مع موجة النمو التكنولوجي تتعدد برامج التواصل التي تحوي معلومات مستخدميها وبياناتهم، وتلجأ بعض الشركات لاستثمار هذه المعلومات وبيعها لشركات أخرى بمبالغ طائلة تزيد من دخلها، بالمقابل تقع حالات كثيرة للنصب والاحتيال والتي تُعرف بالتصيد الإلكتروني (phishing)، لبلوغ مقصد الربح من وراء بيع هذه البيانات.
وعن هذه الحالة، كان لـ«القطيف اليوم» حديث مع خبير التقنية وأمن المعلومات حسين إبراهيم عباس، للتحذير من الوقوع بشِراك رسائل التصيد.
ماذا تعرف عن الـ phishing؟
ذكر “عباس” أنه حين نطرح هذا السؤال فإن مختصر الإجابات عليه يكون “لا أعلم”.
وأوضح أن رسائل التصيد Phishing هي رسائل تصل للعديد من المستخدمين، وتاريخها قديم جدًا من عمر الإنترنت، على سبيل المثال تصل رسالة تحوي فاتورة شراء آيفون لكن العنوان خاطئ، أو فاتورة شراء تطبيق غالي الثمن وإذا أردت إلغاءها ادخل من هذا الرابط، وتضغط على الرابط ليذهب بك لموقع شبيه بالضبط بموقع أبل أو موقع الإيميل، وعندما تدخل معلومات حسابك يخبرك بأن حسابك تم إيقافه، بينما يقومون بعمل Log تسجيل لمعلومات حسابك ومن ثم سرقته وسرقة محتوياته من تطبيقات ومعلومات ائتمانية وصور شخصية.
الهدايا والأموال طُعم للاستدراج
وأشار “عباس” إلى أن التصيد هو كل ما اُستخدم فيه الطُعم (المال، الهدايا وغيرها) لجذب الأشخاص لسرقة معلوماتهم أو ابتزازهم أو سرقة أموالهم وغيرها.
وحذر بقوله: “لا يوجد شيء بالمجان، لا تطمع بفاتورة وهمية لآيفون حديث، أو تهلع عند وصول فاتورة شراء تطبيق لم تقم بشرائه، وتذكر أن هذه الرسائل جماعية، وترسل للملايين، ومن يلقم الطعم يتم سرقته، وصدقوني هناك الألوف يوميًا ممن يلتقطون الطعم، فلا تكونوا منهم إني لكم من الناصحين”.
مسابقات خبيثة
تنتشر بين الحين والآخر بعض الروابط لبعض المسابقات المغرية التي تأخذ اسماء بعض الأشخاص أو الشركات المعروفة أدرجها “عباس” بقائمة التصيد وسرقة المعلومات وقال عنها إنها تحتوي كذلك على بريمجات خبيثة تزرع في الأجهزة التي تستخدم نظام أندرويد، فتكون بصورة “تجسس، اختراق”.
ونوه بأن التصيد ليس له علاقة بنوعية الهواتف، فهو يأتي لمستخدمي الآيفون كما يأتي لمستخدمي السامسونج، فقد تأتي رسالة لتأكيد إلغاء الإيميل، مع أنه لا يوجد هناك شيء اسمه تأكيد إلغاء الإيميل، وعند فتح الرسالة نجد رابط تسجيل دخول للإيميل، وعند إدخال أي معلومات يخبرك أن المعلومات خطأ بينما هو يقوم بتسجيل وحفظ المعلومات لسرقتها.
ضعف اللغة الإنجليزية ثغرة للاصطياد
ونبه “عباس” أن بعض الرسائل حين تكون مرسلة باللغة الإنجليزية تصطاد أكثر الأشخاص الذين يشكون من ضعف اللغة لديهم، حيث يزيد احتمال الضغط على الرابط الموجود بين طيات الكلام غير المفهوم لدى المستخدم ليتعرف على مقصود الرسالة، ولا يعلم أنه يتم اصطياده من خلال هذه الروابط وسرقة معلوماته.
المتصيدون يختلفون عن (الهاكرز)
وبين “عباس” أن من يقوم بالتصيد عادة هم عصابات وأفراد امتهنوا النصب بوسائل قديمة وجديدة باستخدام قوائم بريدية قديمة وجديدة يتم شراؤها من مواقع محددة، كما كانوا يبيعون قوائم بهواتف محلية تحتوي عددًا ممعيًا من الأرقام من أجل التسويق للبضائع والمنتجات سابقًا، ويطلق عليهم “متصيدون” Phishers ويختلفون عن الهاكرز (المتسللين).
قيمة البيانات المسروقة
وأوضح أنه حال السرقة، يختلف سعر البيع حسب قيمة المعلومات والبيانات المسروقة، فالمعلومات المسروقة من شركة “أرامكو” مثلًا تختلف عن المسروقة من شخص عادي.
والبيانات المسروقة من شركة “سوني” (معلومات الدفع بالفيزا لملايين المستخدمين كما حدث عام 2011) تختلف عن سرقة معلومات فيزا لشخص واحد فقط.
أرقام التصيد
وأما عن الإحصاءات والدراسات التي جعلت التصيد ضمن أرقامها، ذكر “عباس” أن 76% من المنظمات تقول إنها تعرضت لهجمات تصيد في عام 2017، وأن البريد الإلكتروني لايزال وسيلة التسليم الأولى للبرامج الضارة، حيث يتم تسليم ٩٢.٤٪ من البرامج الضارة عبر البريد الإلكتروني.
وأضاف أن بعض الدراسات كشفت أنه بحلول نهاية عام 2017، كان المستخدم العادي يتلقى 16 بريدًا إلكترونيًا ضارًا شهريًا.
أمثلة للتصيد
قال “عباس” إن أنواع التصيّد الإلكتروني مختلفة وطرقه كذلك، وأقدم الأساليب المستخدمة هو الادعاء بوجود أموال لشخص متوفى تحتاج التهريب خارج البلاد وبمساعدتك ستكسب نصف المبلغ، بينما فعليًا هي سرقة علنية لأموالكم، أو تكون بصورة فاتورة شراء، مثل فاتورة شراء بطاقة App Store بقيمة ١٠٠ دولار، وستلاحظ أن الإيميل غير حقيقي ومن المهم التأكد منه قبل الوقوع في الفخ.
لتفادي الوقوع
وعن كيفية تفادي الوقوع بفخ التصيد، أوضح “عباس”: “نستطيع أن نتفادى ذلك ببساطة عبر الحظر وإبلاغ الشركة التي وردنا عبرها هذا النصب، بالإضافة لأهمية تأمين جميع الحسابات في مواقع التواصل الاجتماعية والإيميلات والأجهزة المستخدمة (الهواتف وأجهزة الكمبيوتر)”.
حماية وتأمين الحسابات
ونبه لأهمية تأمين وحماية الحسابات الشخصية لأنها تمثل واجهة الشخص وهويته، ولابد للشخص من حمايتها لأنه محاسب أمام الجهات الرسمية في حال سوء استخدامها.
وشدد على ضرورة حماية شريحة الجوال وربط الإيميل بإيميل آخر من مقدم آخر وربطها برقم الجوال في حال فقدان كلمة السر ليتم استرجاعها عن طريق رقم الجوال.
وقال: “ولحماية حساب فيس بوك، يجب الابتعاد عن الروابط التي تدعي تغيير لونه أو تغيير ثيمه أوتحويل الصورة لصورة مرسومة بالقلم الرصاص، فهذه كلها روابط تصادر معلومات صاحب الحساب”.
ونصح “عباس” بعدم التهور وفتح أي رابط حتى لو جاء من أشخاص معروفين لدينا إلا بعد سؤالهم عن ماهية الرابط، وللحفاظ على إنستجرام وكذا سناب شات وتويتر، يجب ربطه بحساب فيس بوك والإيميل ورقم الجوال، والابتعاد قدر الإمكان عن حسابات زيادة المتابعين لمستخدمي برنامجي إنستجرام وتويتر.
في حال التورط
وأوصى في حال التورط معهم عبر إرسال معلومات خاصة، بالمبادرة لتغيير ما يمكن تغييره وإغلاق أي تواصل بينكم.
وأضاف: “أما اذا كان عبر إرسال مبالغ نقدية، فالمطلوب إبلاغ أقرب مركز شرطة، مع احتمالية عدم إمكانية استرجاع المبالغ إذا تم تسليمها لجهات خارج المملكة”.
جرائم إلكترونية
وأكد “عباس” أن التصيد الإلكتروني يعاقب فاعله ويعد من الجرائم الإلكترونية، حسب المادة الثالثة بنظام مكافحة الجرائم المعلوماتية، وتكون عقوبته بالسجن مدة لا تزيد على سنة وبغرامة لا تزيد على خمسمائة ألف ريال.
