ما هو التصيد الاحتيالي؟ كيف تعمل الخدعة وكيف تحمي نفسك؟

ما هو التصيّد؟

التزييف هو نوع من الاحتيال حيث يقوم المجرم بتغيير عنوان البريد الإلكتروني أو اسم العرض أو رقم الهاتف أو الرسالة النصية أو عنوان URL لموقع الويب لإقناع الهدف بأنه يتفاعل مع مصدر معروف وموثوق. غالبًا ما يتضمن التزييف تغيير حرف أو رقم أو رمز واحد فقط في الاتصال بحيث يبدو صالحًا عند النظر السريع. على سبيل المثال، قد تتلقى بريدًا إلكترونيًا يبدو أنه من Netflix باستخدام اسم النطاق المزيف "netffix.com".

النقاط الرئيسية

يمكن أن يتم خداعك للكشف عن معلوماتك الشخصية من خلال البريد الإلكتروني، الرسائل النصية، هوية المتصل، وحتى أجهزة استقبال GPS.

كن متشككًا في أي طلب للحصول على معلومات شخصية، وقم بتنزيل الملفات فقط من مصادر موثوقة، وقم بتثبيت برامج مكافحة الفيروسات والبرامج الضارة ذات السمعة الجيدة.
إذا كنت تعتقد أنك تعرضت لعملية احتيال، قم بتقديم شكوى في مركز شكاوى المستهلك التابع للجنة الاتصالات الفيدرالية (FCC). إذا فقدت أموالاً، فاتصل بالشرطة المحلية.

كيف تعمل الخداع (Spoofing)

يحاول المحتالون الذين يستخدمون الخداع كسب ثقتك، ويعتمدون على جعلك تصدق أن الاتصالات المزيفة شرعية. في كثير من الأحيان، يكون استخدام اسم شركة كبيرة وموثوقة - مثل Amazon أو PayPal - كافياً لجعل الأهداف تتخذ نوعًا من الإجراءات أو تكشف عن معلومات. get targets to take some kind of action

على سبيل المثال، قد يشير بريد إلكتروني مزيف من Amazon إلى وجود مشكلة في عملية شراء حديثة، مما قد يدفعك للنقر على الرابط لمعرفة المزيد (تلميح: لا تنقر على الرابط). من خلال هذا الرابط، قد تقوم بتنزيل برامج ضارة أو يتم توجيهك إلى صفحة تسجيل دخول مزيفة، حيث تقوم بإدخال اسم المستخدم وكلمة المرور الخاصة بك دون علمك.

يمكن أن يؤدي الخداع إلى الكشف عن المعلومات الشخصية والمالية، إرسال الأموال، وتنزيل البرامج الضارة، مما قد يؤدي إلى إصابة أجهزة الكمبيوتر، الاحتيال المالي، وسرقة الهوية. يمكن استخدام الخداع لنشر البرامج الضارة عبر الروابط والمرفقات، تجاوز ضوابط الوصول إلى الشبكة، وتقييد الوصول من خلال هجمات حجب الخدمة (DoS). على المستوى المؤسسي، يمكن أن يتسبب الخداع في إصابة أنظمة وشبكات الكمبيوتر، اختراق البيانات، وفقدان الدخل.

هناك عدة أنواع من التزوير، بما في ذلك تزوير البريد الإلكتروني، وتزوير الرسائل النصية، وتزوير هوية المتصل، وتزوير الروابط وعناوين GPS. بشكل أساسي، إذا كان هناك شكل من أشكال التواصل عبر الإنترنت، فإن المحتالين يحاولون التسلل إليه—وإلى هويتك وأصولك.

كيفية حماية نفسك من الاحتيال (Spoofing)

هناك عدة طرق لحماية نفسك من المحتالين الذين يحاولون التلاعب بك:

قم بتفعيل مرشح البريد العشوائي في بريدك الإلكتروني. سيساعدك ذلك في منع العديد من رسائل البريد الإلكتروني المزيفة من الوصول إلى صندوق الوارد الخاص بك.
لا تقم بالنقر على الروابط أو فتح المرفقات في الرسائل الإلكترونية من مرسلين غير معروفين. إذا كان هناك احتمال أن تكون الرسالة الإلكترونية شرعية، تواصل مباشرة مع المرسل للتأكد من صحتها.
عرض امتدادات الملفات في Windows. لا يعرض Windows امتدادات الملفات بشكل افتراضي، ولكن يمكنك تغيير هذا الإعداد. للقيام بذلك، انقر على علامة التبويب "عرض" في مستكشف الملفات وقم بتحديد المربع لعرض امتدادات الملفات. بينما لا يمنع هذا المحتالين من تزوير امتدادات الملفات، ستتمكن من رؤية أي امتدادات مزورة وتجنب فتح أي ملفات ضارة.
استثمر في برامج الأمن السيبراني ذات السمعة الجيدة. البرامج الجيدة ستنبهك بشأن التهديدات المحتملة، وتوقف التنزيلات، وتمنع البرمجيات الخبيثة من السيطرة. تذكر أن البرامج تعمل فقط إذا قمت بتحديثها واستخدامها بانتظام.
إذا تلقيت استفسارًا يطلب معلومات شخصية، لا تقدمها. قم بإنهاء المكالمة (أو تسجيل الخروج) ثم ابحث عن رقم الهاتف أو عنوان البريد الإلكتروني لخدمة العملاء من الجهة التي تدعي الاتصال بك للحصول على معلوماتك الشخصية.

إذا كنت تعتقد أنك تعرضت للاحتيال، يمكنك تقديم شكوى في مركز شكاوى المستهلك التابع لـ لجنة الاتصالات الفيدرالية (FCC). لا تتعامل لجنة الاتصالات الفيدرالية مع الشكاوى الفردية ولكنها ستضيف تلك المعلومات إلى قاعدة بياناتها. إذا فقدت أموالًا بسبب الاحتيال، توصي لجنة الاتصالات الفيدرالية بالاتصال بقسم الشرطة المحلي لديك.

أنواع الخداع (Spoofing)

انتحال البريد الإلكتروني

تزييف البريد الإلكتروني هو عملية إرسال رسائل بريد إلكتروني بعناوين مرسل مزيفة، وعادةً ما يكون ذلك كجزء من هجوم التصيد الاحتيالي الذي يهدف إلى سرقة بياناتك أو طلب المال أو إصابة جهاز الكمبيوتر الخاص بك ببرامج ضارة. تُستخدم هذه الطريقة من قبل المعلنين غير النزيهين واللصوص بشكل صريح. يقوم المزيّف بإرسال رسائل بريد إلكتروني بخط "من:" مزيف لخداع الضحايا ليعتقدوا أن الرسالة من صديق أو من البنك الخاص بهم أو من مصدر شرعي آخر. أي بريد إلكتروني يطلب كلمة المرور الخاصة بك أو رقم الضمان الاجتماعي أو أي معلومات شخصية أخرى قد يكون خدعة.

عادةً ما تتضمن هذه الرسائل الإلكترونية مجموعة من الميزات الخادعة، بما في ذلك:

عناوين مرسلين مزيفة تبدو وكأنها من شخص تعرفه وتثق به
عنوان المرسل مفقود، أو على الأقل يصعب على المستخدم العادي العثور عليه
العلامات التجارية للشركات المألوفة، مثل الشعارات، والألوان، وأزرار الدعوة إلى العمل، وما شابه ذلك.
الأخطاء الإملائية، القواعد النحوية السيئة، والتركيب غير المعتاد (مثل: "يوم جيد سيدي، يرجى التأكد من أن هذه البيانات جيدة").

انتحال رسائل النصوص

يُشار أحيانًا إلى انتحال الرسائل النصية القصيرة (SMS) باسم "smishing"، وهو مشابه لانتحال البريد الإلكتروني. تظهر الرسالة النصية وكأنها صادرة من مصدر موثوق، مثل البنك الخاص بك أو مكتب الطبيب. قد تطلب منك الاتصال برقم هاتف محدد أو النقر على رابط داخل الرسالة لجعلك تكشف عن معلومات شخصية.

تزييف هوية المتصل

هنا، يقوم المحتال بتزوير رقم الهاتف الذي يتصل منه على أمل أن تجيب على المكالمة. قد يظهر على معرف المتصل لديك أن المكالمة تأتي من شركة أو وكالة حكومية شرعية، مثل خدمة الإيرادات الداخلية (IRS). لاحظ أن مصلحة الضرائب الأمريكية (IRS) تقول إنها لا تتصل بدافعي الضرائب لإخبارهم بأنهم مدينون بالضرائب دون إرسال فاتورة لهم بالبريد أولاً.

تأتي عمليات الخداع بأشكال عديدة، لكن الهدف عادة هو خداع الناس للكشف عن معلومات شخصية يمكن للمجرمين استخدامها.

انتحال الجوار

هذا نوع من انتحال هوية المتصل حيث يبدو أن المكالمة تأتي من شخص تعرفه أو شخص يعيش بالقرب منك. تقول لجنة الاتصالات الفيدرالية (FCC) إن قانون الحقيقة في هوية المتصل يحظر "على أي شخص نقل معلومات هوية المتصل المضللة أو غير الدقيقة بقصد الاحتيال أو التسبب في ضرر أو الحصول بشكل خاطئ على أي شيء ذي قيمة." إذا تم القبض عليهم (وهذا "إذا" كبيرة)، يمكن أن يواجه المنتحل غرامات تصل إلى 10,000 دولار لكل انتهاك.

تحريف عنوان URL أو الموقع الإلكتروني

يحدث انتحال عناوين URL عندما يقوم المحتالون بإنشاء موقع ويب احتيالي للحصول على معلومات من الضحايا أو تثبيت برامج ضارة على أجهزة الكمبيوتر الخاصة بهم. على سبيل المثال، قد يتم توجيه الضحايا إلى موقع يبدو وكأنه تابع لبنكهم أو شركة بطاقات الائتمان الخاصة بهم ويُطلب منهم تسجيل الدخول باستخدام معرف المستخدم وكلمة المرور الخاصة بهم. إذا وقع الشخص في الفخ وقام بتسجيل الدخول، يمكن للمحتال بعد ذلك استخدام المعلومات التي أدخلها الضحية لتسجيل الدخول إلى الموقع الحقيقي والوصول إلى حساباتهم.

GPS Spoofing

يهدف التلاعب بنظام تحديد المواقع العالمي (GPS) إلى غرض مختلف بعض الشيء. فهو يحاول خداع جهاز استقبال GPS ليعتقد أنه في موقع مختلف أو متجه في اتجاه مختلف عن طريق بث إشارات GPS زائفة أو بوسائل أخرى. في هذه المرحلة، من المرجح أن يُستخدم التلاعب بنظام GPS في الحروب أو من قبل اللاعبين (مثل لاعبي Pokémon GO) أكثر من استهداف المستهلكين الأفراد، على الرغم من أن التكنولوجيا موجودة لجعل أي شخص عرضة لذلك.

هجمات الرجل في المنتصف (MitM)

تتضمن هجمات التزوير ثلاثة أطراف: الضحية، والكيان الذي يحاول الضحية التواصل معه، و"الرجل في الوسط" الذي يعترض الاتصالات. يحاول المتسلل التنصت على التبادل أو انتحال شخصية أحد الأطراف. الهدف هو اعتراض معلومات مفيدة أو حساسة أو قد تكون مربحة (مثل بيانات تسجيل الدخول ومعلومات بطاقة الائتمان). يمكن استخدام المعلومات المسروقة للموافقة على المعاملات المالية، أو لسرقة الهوية، أو قد يتم بيعها لطرف ثالث.

انتحال عنوان IP

يحدث هذا النوع من الاحتيال عندما يريد شخص ما إخفاء أو تمويه الموقع الذي يرسل منه أو يطلب البيانات، فيقوم باستبدال عنوان بروتوكول الإنترنت (IP) الأصلي بآخر مزيف. يبدو عنوان IP المزيف وكأنه من مصدر موثوق (العنوان الأصلي) بينما يخفي هويته الحقيقية: طرف ثالث غير معروف. تتيح خدمات الشبكة الافتراضية الخاصة (VPN) للمستخدمين إخفاء عنوان IP والموقع الخاص بهم، ويمكن استخدامها لأسباب مشروعة مثل الخصوصية أو بث المحتوى أثناء السفر إلى الخارج.

Facial Spoofing

هذه هي أحدث أشكال الخداع. في الخداع الوجهي، يستخدم المجرم وجه شخص ما ويحاكي بياناته البيومترية الوجهية باستخدام صورة أو فيديو لاستبدال هويته. يُستخدم الخداع الوجهي بشكل شائع لارتكاب احتيال الهوية البنكية. ومع ذلك، يُستخدم أيضًا في غسيل الأموال.

كيفية اكتشاف التلاعب (Spoofing)

يمكن أن يكون التلاعب (Spoofing) معقدًا، لذا المفتاح هو الانتباه جيدًا للتفاصيل والثقة في حدسك. كن حذرًا من المواقع التي لا تحتوي على رموز القفل أو الأشرطة الخضراء، أو الروابط التي تبدأ بـ HTTP بدلاً من HTTPS، النسخة المشفرة من HTTP. طريقة أخرى لاكتشاف موقع وهمي هي إذا لم يقم مدير كلمات المرور الخاص بك بملء بيانات تسجيل الدخول تلقائيًا، وهو علامة على أنه لا يتعرف على الموقع.

مع رسائل البريد الإلكتروني، ألقِ نظرة فاحصة على عنوان المرسل، مع الأخذ في الاعتبار أن المحتالين سيستخدمون نطاقات مزيفة تشبه إلى حد كبير النطاقات الشرعية. بالطبع، الأخطاء الإملائية، والنحو السيئ، والتركيب غير المعتاد في البريد الإلكتروني هي أيضًا علامات تحذيرية. إذا كنت لا تزال غير متأكد، انسخ والصق محتويات البريد الإلكتروني في Google، حيث يمكن أن يكشف البحث السريع عما إذا كان هناك احتيال معروف يتم تداوله. أخيرًا، قم دائمًا بتمرير المؤشر فوق الرابط المضمّن لكشف عنوان URL قبل النقر عليه. إذا بدا عنوان URL مشبوهًا، فمن المحتمل أن يكون احتيالًا. قم بتوسيع تفاصيل المرسل للتحقق مما إذا كان عنوان البريد الإلكتروني صحيحًا وليس مجرد الاسم. أيضًا، انتبه للتغييرات في التفاصيل الصغيرة مثل استخدام "I" كبيرة بدلاً من "l" صغيرة.

مع الهواتف، يمكن بسهولة تزوير هوية المتصل. غالبًا ما يستخدم المحتالون تقنية تزوير الجوار، بحيث يبدو أن المكالمات تأتي من رقم محلي. قد يقومون أيضًا بتزوير رقم من وكالة حكومية أو شركة تعرفها وتثق بها. تنصح لجنة الاتصالات الفيدرالية (FCC) الناس بعدم الرد على المكالمات من أرقام غير معروفة - والقيام بإنهاء المكالمة فورًا إذا قمت بالرد على مثل هذه المكالمة.

هل يعتبر الخداع (Spoofing) غير قانوني؟

يمكن أن يكون التلاعب (Spoofing) غير قانوني اعتمادًا على نوع التلاعب، والنية، والاختصاص القضائي المعني. إذا قمت بإخفاء رقم هاتفك ولكن لم يكن هناك ضرر، فإن التلاعب يكون قانونيًا. ولكن في الولايات المتحدة، تمنع لجنة الاتصالات الفيدرالية (FCC) أي شخص من نقل معلومات معرف المتصل المضللة أو غير الدقيقة بنية الاحتيال، مع فرض غرامات تصل إلى 10,000 دولار لكل حالة.

ما هو مثال على الخداع؟

سيناريو شائع للتزوير يحدث عندما يتم إرسال بريد إلكتروني من عنوان مرسل مزيف، يطلب من المستلم تقديم بيانات حساسة. عادةً ما يُطلب من المستلم النقر على رابط لتسجيل الدخول إلى حسابه وتحديث التفاصيل الشخصية والمالية. الروابط في رسائل البريد الإلكتروني المزورة تصيب أيضًا جهاز الكمبيوتر الخاص بالمستلم بالبرامج الضارة.

ما الفرق بين التلاعب (Spoofing) والتصيد الاحتيالي (Phishing)؟

المصطلحان "التزييف" و"التصيد الاحتيالي" غالبًا ما يُستخدمان بالتبادل، لكنهما يعنيان أشياء مختلفة. يستخدم التزييف عنوان بريد إلكتروني مزيف أو اسم عرض أو رقم هاتف أو عنوان ويب لخداع الناس ليعتقدوا أنهم يتفاعلون مع مصدر معروف وموثوق. بينما التصيد الاحتيالي يخدعك لتقديم بيانات شخصية يمكن استخدامها لسرقة الهوية. يستخدم العديد من المحتالين أساليب التزييف لخداع ضحاياهم ليعتقدوا أنهم يقدمون معلومات شخصية لمصدر شرعي وموثوق.

الخلاصة

لقد تظاهر الناس بأنهم أشخاص آخرون أو ممثلو منظمات أخرى منذ الأزل. ومع ذلك، مع ظهور الإنترنت ووسائل الاتصال عبر الإنترنت، أصبح "التزييف" أسهل وأكثر انتشارًا. يمكن للمواقع الإلكترونية، والبريد الإلكتروني، والمواقع الجغرافية، وأرقام الهواتف اليوم أن تُزيف من قبل الجهات الخبيثة لارتكاب الجرائم، أو سرقة الهويات، أو تنفيذ عمليات الاحتيال. معرفة كيفية اكتشاف وحماية نفسك من التزييف أمر مهم في العصر الرقمي. في الوقت نفسه، يمكن أن يوفر التزييف إخفاء الهوية لمستخدمي الإنترنت لأغراض مشروعة تتعلق بالخصوصية. على سبيل المثال، يمكن لاستخدام الشبكات الافتراضية الخاصة (VPNs) إخفاء موقعك وهويتك أثناء تصفح الويب.

المصادر

[1]Consumer Complaint Center-Federal Communications Commission. ": Home

[2]Avast. “: What Is Spoofing and How Can You Prevent It?

[3]Malwarebytes. “: What Is a Spoofing Attack?

[4]Federal Communications Commission. “: Consumer Guide: Caller ID Spoofing

[5]Norton. “: IP Spoofing: What Is It and How Does It Work?

[6]Federal Communications Commission. “: Caller ID Spoofing

[7]Rochester Institute of Technology. “: ‘Hovering’ Before You Click

#التمويل الشخصي #الاحتيال المالي