التصيد الاحتيالي هو محاولة للحصول على معلومات حساسة مثل أسماء المستخدمين وكلمات المرور وتفاصيل بطاقة الائتمان (والأموال)؛ غالبًا لأسباب ضارة، وذلك بالتنكر ككيان جدير بالثقة في اتصال إلكتروني.
كلمة neologism تم إنشاؤه باعتباره homophone من الصيد؛ بسبب تشابه استخدام الطعم في محاولة للقبض على الضحية. وفقًا لمؤشر أمان الحوسبة في مايكروسوفت لعام 2013، الذي تم إصداره في فبراير 2014، قد يصل التأثير العالمي السنوي للتصيد الاحتيالي إلى 5 مليارات دولار أمريكي.[بحاجة لمصدر أفضل]
وعادة ما يتم التصيد بها؛ لخداع البريد الإلكتروني أو الرسائل الفورية، وغالباً ما يوجه للمستخدمين الدخول إلى المعلومات الشخصية على موقع على شبكة الإنترنت وهمية، والشكل والمظهر، والتي تكون مطابقة للالشرعية والفرق الوحيد هو عنوانURL للموقع في قلق. الاتصالات قيل أنها من مواقع الشبكة الاجتماعية، مواقع إلكترونية، البنوك، طرق الدفع عبر الإنترنت، وغالباً ما يستخدمها مديري تكنولوجيا المعلومات؛ لجذب الضحايا. قد تحتوي رسائل البريد الإلكتروني التصيدية على روابط إلى مواقع ويب تقوم بتوزيع برامج ضارة.
التصيد هو مثال على تقنيات الهندسة الاجتماعيةالمستخدمة؛ لخداع المستخدمين، ويستغل نقاط الضعف في أمان الويب الحالي. وتشمل محاولات التعامل مع العدد المتزايد من حوادث التصيد الإلكتروني المبلغ عنها التشريع وتدريب المستخدمين والوعي العام وتدابير الأمن التقني.
وقد تم وصف محاولات التصيّد الموجهة إلى أفراد أو شركات معينة باسم التصيد الاحتيالي. قد يجمع المهاجمون معلومات شخصية عن هدفهم لزيادة احتمالية نجاحهم. هذه التقنية هي الأكثر نجاحًا على الإنترنت اليوم، حيث تمثل 91٪ من الهجمات.
استخدمت مجموعة التهديدات -4127 أساليب التصيد الاحتيالي لاستهداف حسابات البريد الإلكتروني المرتبطة بحملة هيلاري كلينتون الرئاسية لعام 2016. لقد هاجموا أكثر من 1800 حساب في Google ونفذوا account-google.com domain لتهديد المستخدمين المستهدفين.[بحاجة لمصدر محايد]
يُعد التصيّد الاحتيالي نوعًا من هجمات التصيّد الاحتيالي حيث تم إرسال عنوان بريد إلكتروني شرعي تم تسليمه سابقًا ويحتوي على رابط أو رابط، وتم استخدام عنوانه وعنوانه (عناوين) المتلقي واستخدامهما لإنشاء بريد إلكتروني متطابق تقريبًا أو مستنسخ. يتم استبدال المرفق أو الرابط الموجود في البريد الإلكتروني بإصدار ضار، ثم يتم إرساله من عنوان بريد إلكتروني مزيف ليظهر وكأنه يأتي من المرسل الأصلي. قد يدعي أنه إعادة إرسال النسخة الأصلية أو المحدثة إلى النسخة الأصلية. يمكن استخدام هذه التقنية لتدوير (بشكل غير مباشر) من جهاز مصاب سابقًا والحصول على موطئ قدم على جهاز آخر، وذلك من خلال استغلال الثقة الاجتماعية المرتبطة بالاتصال المستنتج بسبب استلام كلا الطرفين للبريد الإلكتروني الأصلي.
وقد تم توجيه العديد من هجمات التصيد على وجه التحديد إلى كبار المسؤولين التنفيذيين وغيرهم من الأهداف البارزة داخل الشركات، وقد صاغ مصطلح صيد الحيتان على هذه الأنواع من الهجمات. في حالة صيد الحيتان، ستأخذ صفحة الويب / البريد الإلكتروني المهزلة شكلاً أكثر جدية من المستوى التنفيذي. سيتم إنشاء المحتوى لاستهداف المدير العلوي ودور الشخص في الشركة. غالبًا ما تتم كتابة محتوى رسالة البريد الإلكتروني الخاصة بهجوم صيد الحيتان على أنها أمر استدعاء قانوني أو شكوى زبون أو قضية تنفيذية. تم تصميم رسائل البريد الإلكتروني احتيالية لصيد الحيتان إلى تنكر باعتبارها بريد إلكتروني الأعمال الهامة، التي أرسلت من سلطة تجارية مشروعة. من المفترض أن يكون المحتوى مخصصًا للإدارة العليا، وعادةً ما ينطوي على نوع من المخاوف المزيفة على مستوى الشركة.وقد قام المحتالون بصيد الحيتان أيضًا بتزوير رسائل البريد الإلكتروني الرسمية لمكتب التحقيقات الفيدرالي (إف بي آي)، وادعى أن المدير يحتاج إلى النقر فوق رابط وتثبيت برنامج خاص لمشاهدة أمر الاستدعاء.
تستخدم معظم أساليب التصيّد الاحتيالي نوعًا من الخداع التقني المصمم لإنشاء رابط في بريد إلكتروني (والموقع الإلكتروني المخادع الذي يؤدي إليه) يبدو أنه ينتمي إلى المنظمة المنتحلة. تمثل عناوين URL التي تحتوي على أخطاء إملائية أو استخدام النطاقات الفرعية حيلًا شائعة يستخدمها المخادعون. في عنوان URL الخاص بالمثال التالي، http://www.yourbank.example.com/ ، يظهر كما لو أن عنوان URL سينقلك إلى قسم المثال من موقع الويب الخاص بشركتك . في الواقع هذه نقطة URL إلى «yourbank قسم» (أي التصيد) من سبيل المثال الموقع. من الخدع الشائعة الأخرى إنشاء النص المعروض لرابط (النص بين العلامات) اقتراح وجهة موثوق بها، عندما يذهب الارتباط فعليًا إلى موقع المخادعين. سيعرض العديد من برامج البريد الإلكتروني لسطح المكتب ومتصفحات الويب عنوان URL المستهدف للرابط في شريط الحالة أثناء تمرير الماوس فوقه. ومع ذلك، قد يتم تجاوز هذا السلوك في بعض الحالات بواسطة المخادع. لا تحتوي تطبيقات الجوال المكافئة عمومًا على ميزة المعاينة هذه.تطبيق محمول
تم العثور على مشكلة أخرى مع عناوين URL في التعامل مع أسماء النطاقات المدولة (IDN) في متصفحات الويب، والتي قد تسمح لعناوين الويب المتطابقة بصريًا بالوصول إلى مواقع ويب مختلفة، وربما ضارة. على الرغم من الدعاية المحيطة بالخلل، والمعروفة باسم هجوم انتحال IDN أو هجوم متجانس، فإن المخادعين قد استفادوا من خطر مماثل، باستخدام معالجات إعادة توجيه عناوين URL المفتوحة على مواقع الويب الخاصة بالمؤسسات الموثوقة لإخفاء عناوين URL الخبيثة مع مجال موثوق به. حتى أن الشهادات الرقمية لا تحل هذه المشكلة لأنه من الممكن تمامًا أن يقوم المخادع بشراء شهادة صالحة وبالتالي تغيير المحتوى لانتحال موقع ويب حقيقي، أو، لاستضافة موقع phish دون SSL على الإطلاق.
حتى أن المخادعين بدأوا في استخدام الصور بدلاً من النص لجعل الأمر أصعب على فلاتر مكافحة الخداع للكشف عن النص المستخدم بشكل شائع في رسائل البريد الإلكتروني المخادعة. ومع ذلك، فقد أدى ذلك إلى تطور المزيد من فلاتر مكافحة الخداع الأكثر تطوراً والقادرة على استرداد النص المخفي في الصور. تستخدم هذه الفلاتر OCR (التعرف الضوئي على الحروف) لمسح الصورة ضوئيًا وتصفيتها ضوئيًا.
حتى أن بعض مرشحات مكافحة الخداع قد استخدمت IWR (التعرّف الذكي على الكلمات)، والذي لا يهدف إلى استبدال OCR تمامًا، ولكن هذه الفلاتر يمكنها حتى الكشف عن مخطوطة أو مكتوبة بخط اليد أو تدويرها (بما في ذلك نص مقلوب) أو مشوهة (مثل جعل النص متموجًا أو ممتدًا رأسيًا أو جانبيًا أو في اتجاهات مختلفة، بالإضافة إلى نص على الخلفيات الملونة.
بمجرد زيارة أحد الضحايا لموقع التصيد الإلكتروني، فإن الخداع لم ينته بعد. تستخدم بعض خدع التصيد الاحتيالي أوامر JavaScript لتغيير شريط العناوين. ويتم ذلك إما عن طريق وضع صورة لعنوان URL شرعي على شريط العناوين، أو عن طريق إغلاق الشريط الأصلي وفتح شريط جديد بعنوان URL شرعي.
يمكن للمهاجم استخدام العيوب في نصوص موقع ويب موثوق به ضد الضحية. هذه الأنواع من الهجمات (المعروفة باسم البرمجة عبر المواقع) هي إشكالية بشكل خاص، لأنها توجه المستخدم لتسجيل الدخول في صفحة الويب الخاصة بالمصرف أو الخدمة الخاصة به، حيث يظهر كل شيء من عنوان الويب إلى شهادات الأمان بشكل صحيح. في الواقع، تم إنشاء رابط الموقع لتنفيذ الهجوم، مما يجعل من الصعب جدًا اكتشافه دون معرفة متخصصة. تم استخدام مثل هذا الخلل في عام 2006 ضد PayPal .
A العالمي الرجل-في منتصف يوفر (MITM) الخداع كيت، الذي اكتشف في عام 2007، واجهة بسيطة الاستخدام التي تسمح للمخادع لإعادة إنتاج مقنع المواقع والتقاط تسجيل الدخول في تفاصيل دخلت في موقع وهمية.
لتجنب تقنيات مكافحة الخداع التي تقوم بمسح مواقع الويب للنص المتعلق بالتصيد الاحتيالي، بدأ المخادعون في استخدام مواقع الويب المستندة على فلاش (تقنية تعرف باسم phlashing). هذه تشبه إلى حد كبير موقع الويب الحقيقي، ولكن إخفاء النص في كائن وسائط متعددة.
إعادة التوجيه السرية هي طريقة خفية لتنفيذ هجمات التصيد الاحتيالي التي تجعل الروابط تبدو مشروعة، ولكن في الواقع إعادة توجيه الضحية إلى موقع المهاجم. عادة ما يتم إخفاء العيب تحت نافذة منبثقة لتسجيل الدخول تستند إلى نطاق الموقع المتأثر. يمكن أن يؤثر ذلك على OAuth 2.0 وOpenID استنادًا إلى معلمات استغلال معروفة جيدًا أيضًا. هذا غالبًا ما يستخدم ثغرات إعادة التوجيه المفتوحة وXSS في مواقع ويب التطبيقات التابعة لجهات خارجية. يمثل التصفح طريقة أخرى لإعادة توجيه المستخدمين إلى مواقع التصيّد الاحتيالي بشكل سري من خلال إضافات المتصفح الضارة.
يمكن أن تكون محاولات الخداع العادية سهلة التعيين لأن عنوان URL للصفحة الخبيثة يكون عادةً مختلفًا عن رابط الموقع الحقيقي. بالنسبة لعملية إعادة التوجيه السرية، يمكن للمهاجم استخدام موقع ويب حقيقي بدلاً من ذلك عن طريق إفساد الموقع باستخدام مربع حوار ضار منبثق لتسجيل الدخول. وهذا يجعل عملية إعادة التوجيه السرية مختلفة عن غيرها.
حتى إذا لم يختار الضحية تفويض التطبيق، فسيظل يتم إعادة توجيهه إلى موقع ويب يسيطر عليه المهاجم. هذا يمكن أن يزيد من خطر الضحية.
تم اكتشاف هذه الثغرة من قبل وانغ جينغ، الدكتوراه في الرياضيات. طالب في كلية العلوم الفيزيائية والرياضية في جامعة نانيانغ التكنولوجية في سنغافورة. تعد إعادة التوجيه السرية عيبًا أمنيًا ملحوظًا، على الرغم من أنها لا تمثل تهديدًا للإنترنت تستحق اهتمامًا كبيرًا.
يمكن تشجيع المستخدمين على النقر على أنواع مختلفة من المحتوى غير المتوقع لمجموعة متنوعة من الأسباب الفنية والاجتماعية. على سبيل المثال، قد يتنكر مرفق ضار كمستند حميمي مرتبط في Google .
بدلاً من ذلك، قد يشعر المستخدمون بالغضب بسبب قصة إخبارية مزيفة، والنقر على رابط وتصيبهم بالعدوى.
لا تتطلب جميع هجمات التصيد الاحتيالي وجود موقع ويب مزيف. طلبت الرسائل التي ادعت أنها من أحد المصارف من المستخدمين طلب رقم هاتف يتعلق بمشكلات في حساباتهم المصرفية. بمجرد الاتصال برقم الهاتف (المملوك من قبل المخادع، وتوفيره عبر خدمة الصوت عبر الإنترنت)، تطلب مطالبات المستخدمين إدخال أرقام حساباتهم ورقم تعريف شخصي. أحيانًا ما يستخدم Vishing (التصيد الصوتي) بيانات هوية المتصل المزيفة لإعطاء المظهر الذي تأتيه المكالمات من مؤسسة موثوق بها. يستخدم التصيد عبر الرسائل النصية القصيرة رسائل نصية للهواتف المحمولة لحث الناس على الإفصاح عن معلوماتهم الشخصية.
تم وصف أسلوب التصيد الاحتيالي بالتفصيل في ورقة وعرض تم تقديمه إلى مجموعة مستخدمي HP HP International ، عام 1987، Interex.
يقال إن مصطلح «التصيّد الاحتيالي» قد تم صياغته من قبل مرسلي البريد المزعج والمخترقين المعروفين في منتصف التسعينات، خان سي سميث. تم العثور على أول إشارة مسجلة لهذا المصطلح في أداة القرصنة AOHell (وفقًا لمبدعها)، والتي تضمنت وظيفة لمحاولة سرقة كلمات المرور أو التفاصيل المالية لمستخدمي America Online.
التصيد على AOL كان مرتبطا بشكل وثيق مع ورز المجتمع أن تبادل برامج غير مرخصة وقبعة سوداء القرصنة المشهد الذي ارتكبت تزوير بطاقات الائتمان وغيرها من الجرائم عبر الإنترنت. سيكشف تطبيق القانون AOL عن الكلمات المستخدمة في غرف دردشة AOL لتعليق حسابات الأفراد المتورطين في برامج التزوير وحسابات التداول المسروقة. تم استخدام المصطلح لأن "<> <" هو العلامة الأكثر شيوعًا لـ HTML التي تم العثور عليها في جميع نسخ المحادثات بشكل طبيعي، وبالتالي لا يمكن اكتشافها أو تصفيتها من قبل موظفي AOL. تم استبدال الرمز <> <لأية صياغة تشير إلى بطاقات الائتمان المسروقة أو الحسابات أو النشاط غير القانوني.نظرًا لأن الرمز يشبه سمكة، ونتيجة لشعبية التدوين، تم تكييفه كـ "Phishing". كان AOHell ، الذي صدر في أوائل عام 1995، عبارة عن برنامج تم تصميمه لاختراق مستخدمي AOL من خلال السماح للمهاجمين بالظهور كموظف في AOL ، وإرسال رسالة فورية إلى أحد الضحايا المحتملين، وطلب منه الكشف عن كلمة المرور الخاصة به. من أجل إغراء الضحية بالتخلي عن معلومات حساسة، قد تتضمن الرسالة ضرورات مثل «إثبات ملكية حسابك» أو «تأكيد معلومات الفوترة».
بمجرد كشف الضحية عن كلمة المرور، يمكن للمهاجم الوصول إلى حساب الضحية واستخدامه لأغراض احتيالية. يتطلب كل من التصيد والتخزين على AOL بشكل عام برامج مكتوبة حسب الطلب، مثل AOHell . أصبح الخداع سائدًا جدًا على AOL بحيث أضافوا سطرًا على جميع الرسائل الفورية ينص على ما يلي: «لن يطلب أي شخص يعمل في AOL كلمة المرور أو معلومات الفوترة». يمكن للمستخدم الذي يستخدم حساب AIM وحساب AOL من مزود خدمة الإنترنت في وقت واحد أن يصيد أعضاء AOL مع الإفلات النسبي من العقاب حيث يمكن استخدام حسابات AIM على الإنترنت من قبل أعضاء شبكة الإنترنت غير التابعة لـ AOL ولا يمكن اتخاذ إجراء (أي يتم إبلاغ قسم AOL TOS للتأديب عمل). .[بحاجة لإعادة كتابة]في أواخر عام 1995، لجأت شركة تكسير AOL إلى التصيد الاحتيالي للحسابات الشرعية بعد أن وضعت AOL إجراءات في أواخر عام 1995 لمنع استخدام أرقام بطاقات الائتمان المزيفة التي تم حسابها باستخدام الخوارزميات لفتح الحسابات. في نهاية المطاف، فرضت سياسة إنفاذ AOL انتهاك حقوق النشر من خوادم AOL ، وألغت AOL على الفور الحسابات المتورطة في التصيد، وغالبا قبل أن يتمكن الضحايا من الاستجابة. تسبب إغلاق مشهد المستودع في AOL في جعل معظم المخادعين يغادرون الخدمة.
{{شريط رسم بياني|width_units=em|float=right|title=Unique phishing reports by year مما أدى إلى الحصول على المفاتيح الرئيسية لجميع سرقة الرموز الأمنية لـ RSA SecureID ، ثم استخدامها لاحقًا لاقتحام موردي الدفاع الأمريكيين.
عام | يناير | فبراير | مارس | أبريل | قد | يونيو | يوليو | أغسطس | سبتمبر | أكتوبر | نوفمبر | ديسمبر | مجموع |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
2005 | 12845 | 13468 | 12883 | 14411 | 14987 | 15050 | 14135 | 13776 | 13562 | 15820 | 16882 | 15244 | 173063 |
2006 | 17877 | 17163 | 18480 | 17490 | 20109 | 28571 | 23670 | 26150 | 22136 | 26877 | 25816 | 23787 | 268126 |
2007 | 29930 | 23610 | 24853 | 23656 | 23415 | 28888 | 23917 | 25624 | 38514 | 31650 | 28074 | 25683 | 327814 |
2008 | 29284 | 30716 | 25630 | 24924 | 23762 | 28151 | 24007 | 33928 | 33261 | 34758 | 24357 | 23187 | 335965 |
2009 | 34588 | 31298 | 30125 | 35287 | 37165 | 35918 | 34683 | 40621 | 40066 | 33254 | 30490 | 28897 | 412392 |
2010 | 29499 | 26909 | 30577 | 24664 | 26781 | 33617 | 26353 | 25273 | 22188 | 23619 | 23017 | 21020 | 313517 |
2011 | 23535 | 25018 | 26402 | 20908 | 22195 | 22273 | 24129 | 23327 | 18388 | 19606 | 25685 | 32979 | 284445 |
2012 | 25444 | 30237 | 29762 | 25850 | 33464 | 24811 | 30955 | 21751 | 21684 | 23365 | 24563 | 28195 | 320081 |
2013 | 28850 | 25385 | 19892 | 20086 | 18297 | 38100 | 61453 | 61792 | 56767 | 55241 | 53047 | 52489 | 491399 |
2014 | 53984 | 56883 | 60925 | 57733 | 60809 | 53259 | 55282 | 54390 | 53661 | 68270 | 66217 | 62765 | 704178 |
2015 | 49608 | 55795 | 115808 | 142099 | 149616 | 125757 | 142155 | 146439 | 106421 | 194499 | 105233 | 80548 | 1413978 |
2016 | 99384 | 229315 | 229265 | 121028 | 96490 | 98006 | 93160 | 66166 | 69925 | 89232 | 118928 | 69533 | 1380432 |
2017 | 96148 | 100932 | 121860 | 87453 | 93285 | 92657 | 99024 | 99172 | 98012 | 61322 | 86547 | 85744 | 1122156 |
2018 | 89250 | 89010 | 84444 | 91054 | 82547 | 90882 |
"APWG Phishing Attack Trends Reports". مؤرشف من الأصل في 2019-05-26. اطلع عليه بتاريخ 2018-10-20.
هناك مواقع لمكافحة الخداع تقوم بنشر رسائل دقيقة تم تداولها مؤخراً على الإنترنت ، مثل FraudWatch International و Millersmiles . غالبًا ما تقدم مثل هذه المواقع تفاصيل محددة حول الرسائل المعينة. لتجنب التعامل المباشر مع الشفرة المصدرية لصفحات الويب ، يستخدم الهاكرز بشكل متزايد أداة تصيّد تدعى Super Phisher تجعل العمل سهلاً عند مقارنته مع الطرق اليدوية لإنشاء مواقع التصيّد.
منذ عام 2007، كان اعتماد استراتيجيات مكافحة الخداع من قبل الشركات التي تحتاج إلى حماية المعلومات الشخصية والمالية منخفضًا. توجد الآن عدة أساليب مختلفة لمكافحة التصيد الاحتيالي ، بما في ذلك التشريعات والتقنيات التي تم إنشاؤها خصيصًا للحماية من التصيد الاحتيالي. وتشمل هذه الأساليب الخطوات التي يمكن اتخاذها من قبل الأفراد ، وكذلك من قبل المنظمات. يمكن الآن إبلاغ السلطات عبر الهاتف ، وموقع الويب ، والتصيد الاحتيالي عبر البريد الإلكتروني ، كما هو موضح أدناه .
تتمثل إحدى إستراتيجيات مكافحة التصيد الاحتيالي في تدريب الأشخاص على التعرف على محاولات الخداع والتصدي لها. يمكن أن يكون التعليم فعالا ، لا سيما عندما يركز التدريب على المعرفة المفاهيمية ويقدم تغذية راجعة مباشرة. تم استخدام أحد أساليب التصيد الاحتيالي الجديدة ، والتي تستخدم رسائل البريد الإلكتروني التصيدية التي تستهدف شركة معينة ، والمعروفة باسم التصيد الاحتيالي ، لتدريب الأفراد في مواقع مختلفة ، بما في ذلك أكاديمية الولايات المتحدة العسكرية في ويست بوينت ، نيويورك. في تجربة في يونيو 2004 مع التصيد الاحتيالي ، تم إرسال 80٪ من 500 من طلاب وست بوينت إلى بريد إلكتروني مزيف من العقيد غير الموجود.تم خداع روبرت ميلفيل في ويست بوينت للنقر على رابط من المفترض أن يأخذهم إلى صفحة يدخلون فيها معلومات شخصية. (أخبرتهم الصفحة أنهم قد تم إغراءهم).
يمكن للأشخاص اتخاذ خطوات لتجنب محاولات الخداع عن طريق تعديل عاداتهم في التصفح بشكل طفيف. عند الاتصال بحساب يحتاج إلى «التحقق» (أو أي موضوع آخر يستخدمه المحتالون)، فمن الحيطة الاحتياطية الاتصال بالشركة التي تنشأ منها الرسالة الإلكترونية على ما يبدو للتحقق من شرعية البريد الإلكتروني. بدلاً من ذلك ، يمكن كتابة العنوان الذي يعرفه الشخص هو موقع الويب الأصلي للشركة في شريط عنوان المتصفح ، بدلاً من الوثوق بأي ارتباطات تشعبية في رسالة الاحتيال الاحتيالي المشتبه بها.
تحتوي جميع رسائل البريد الإلكتروني الشرعية تقريباً من الشركات إلى عملائها على عنصر من المعلومات ليس متاحًا بسهولة للمخادعين. بعض الشركات ، على سبيل المثال ، PayPal ، تخاطب عملاءها دائمًا عن طريق اسم المستخدم في رسائل البريد الإلكتروني ، لذلك إذا كان البريد الإلكتروني يعالج المستلم بطريقة عامة («عزيزي عميل PayPal») فمن المحتمل أن يكون محاولة للتصيد الاحتيالي. علاوة على ذلك ، يقدم PayPal طرقًا مختلفة لتحديد رسائل البريد الإلكتروني المزعجة وينصح المستخدمين بإعادة توجيه رسائل البريد الإلكتروني المشبوهة إلى نطاق [email protected] للتحقيق وتحذير العملاء الآخرين. غالبًا ما تتضمن رسائل البريد الإلكتروني من البنوك وشركات بطاقات الائتمان أرقام حسابات جزئية. ومع ذلك ، البحوث الأخيرة أظهرت أن الجمهور لا يميز عادة بين الأرقام القليلة الأولى والأرقام القليلة الأخيرة من رقم الحساب - مشكلة كبيرة لأن الأرقام القليلة الأولى غالباً ما تكون هي نفسها لجميع عملاء المؤسسة المالية. يمكن تدريب الأشخاص على إثارة شكوكهم إذا لم تتضمن الرسالة أي معلومات شخصية محددة. ومع ذلك ، استخدمت محاولات التصيد في أوائل عام 2006، معلومات شخصية ، مما يجعل من غير الآمن افتراض أن وجود المعلومات الشخصية وحدها يضمن أن الرسالة مشروعة. وعلاوة على ذلك ، خلصت دراسة حديثة إلى أن وجود المعلومات الشخصية لا يؤثر بشكل كبير على معدل نجاح هجمات التصيد الاحتيالي ، مما يوحي بأن معظم الناس لا يهتمون بهذه التفاصيل.
و المجموعة العاملة لمكافحة الاحتيال ، واقترحت، وهي صناعة وتكوين الجمعيات إنفاذ القانون أن تقنيات التصيد التقليدية يمكن أن عفا عليها الزمن في المستقبل من الناس يدركون على نحو متزايد من تقنيات الهندسة الاجتماعية المستخدمة من قبل المخادعين. يتنبأون بأن المزاحمة واستخدامات أخرى للبرامج الضارة ستصبح أدوات أكثر شيوعًا لسرقة المعلومات.
يمكن للجميع المساعدة في تثقيف الجمهور من خلال تشجيع الممارسات الآمنة ، وتجنب الممارسات الخطيرة. لسوء الحظ ، يُعرف حتى اللاعبين المعروفين بتحريض المستخدمين على سلوك خطير ، على سبيل المثال من خلال مطالبة المستخدمين بالكشف عن كلمات المرور الخاصة بهم لخدمات الطرف الثالث ، مثل البريد الإلكتروني.
ومن الأساليب الشائعة الأخرى لمكافحة التصيّد الاحتيالي الحفاظ على قائمة بمواقع التصيد المعروفة والتحقق من مواقع الويب في مقابل القائمة. إحدى هذه الخدمات هي خدمة التصفح الآمن. تحتوي متصفحات الويب مثل Google Chrome وInternet Explorer 7 وMozilla Firefox 2.0 وSafari 3.2 وOpera على هذا النوع من إجراءات مكافحة التصيد الاحتيالي. استخدم فايرفوكس 2برنامج Google لمكافحة الخداع. يستخدم Opera 9.1 القوائم السوداء المباشرة من Phishtank و cyscon و GeoTrust بالإضافة إلى البث المباشر البيضاءمن GeoTrust.ترسل بعض عمليات تنفيذ هذا الأسلوب عناوين URL التي تمت زيارتها إلى خدمة مركزية يتم التحقق منها ، مما أثار مخاوف بشأن الخصوصية. وفقًا لتقرير صدر عن Mozilla في أواخر عام 2006، وجد أن Firefox 2 أكثر فعالية من Internet Explorer 7 عند اكتشاف المواقع الاحتيالية في دراسة أجرتها شركة مستقلة لاختبار البرمجيات.
يتضمن النهج الذي تم تطبيقه في منتصف عام 2006 التبديل إلى خدمة DNS خاصة تعمل على تصفية نطاقات التصيد المعروفة: سيعمل هذا مع أي متصفح ، وهو يشبه من حيث المبدأ استخدام ملف مضيف لمنع إعلانات ويب.
للتخفيف من مشكلة مواقع التصيد الاحتيالي التي تنتحل موقع ضحية من خلال تضمين صورها (مثل الشعارات)، قام العديد من مالكي المواقع بتعديل الصور لإرسال رسالة إلى الزائر بأن أحد المواقع قد يكون مخادعًا. قد يتم نقل الصورة إلى اسم ملف جديد ويتم استبدال النسخة الأصلية نهائيًا ، أو يمكن أن يكشف الخادم عن عدم طلب الصورة كجزء من التصفح العادي ، وبدلاً من ذلك أرسل صورة تحذير.
و بنك أوف أميركا موقع الصورة هي واحدة من عدة التي تطلب من المستخدمين لتحديد صورة شخصية (تسويقه باعتباره SiteKey)، وعرض هذه الصورة المحددة من قبل المستخدم مع أي النماذج التي طلب كلمة مرور. يُطلب من مستخدمي الخدمات المصرفية عبر الإنترنت إدخال كلمة مرور فقط عندما يرون الصورة التي اختاروها. ومع ذلك ، تشير العديد من الدراسات إلى أن عددًا قليلاً من المستخدمين يمتنعون عن إدخال كلمات المرور الخاصة بهم عند غياب الصور. وبالإضافة إلى ذلك، هذه الميزة (مثل غيرها من أشكال المصادقة اثنين عامل) عرضة لهجمات أخرى، مثل تلك التي تعرض لها البنك الاسكندنافي نورديا في أواخر عام 2005، وسيتي بنك في عام 2006.
نظام مماثل ، يتم فيه عرض «كود تعريف الهوية» الذي يتم إنشاؤه آليًا ويتألف من كلمة ملونة داخل مربع ملون لكل مستخدم موقع ويب ، يتم استخدامه في المؤسسات المالية الأخرى.
تمثل جلود الأمان أسلوبًا مرتبطًا يتضمن تركيب صورة مختارة من المستخدم في نموذج تسجيل الدخول كإشارة مرئية يكون النموذج شرعيًا. على خلاف مخططات الصور المستندة إلى موقع الويب ، ومع ذلك ، فإن الصورة نفسها تتم مشاركتها فقط بين المستخدم والمتصفح ، وليس بين المستخدم وموقع الويب. يعتمد المخطط أيضًا على بروتوكول المصادقة المتبادلة ، مما يجعله أقل عرضة للهجمات التي تؤثر على مخططات الاستيقان الخاصة بالمستخدم فقط.
لا تزال تقنية أخرى تعتمد على شبكة ديناميكية من الصور المختلفة لكل محاولة تسجيل دخول. يجب على المستخدم تحديد الصور التي تناسب فئاته المختارة مسبقًا (مثل الكلاب والسيارات والزهور). فقط بعد تحديدهم للصور التي تناسب فئاتهم بشكل صحيح ، يُسمح لهم بإدخال كلمة المرور الأبجدية الرقمية لإكمال تسجيل الدخول. على عكس الصور الثابتة المستخدمة في موقع بنك أوف أميركا ، تنشئ طريقة مصادقة ديناميكية تستند إلى الصور رمز مرور لمرة واحدة لتسجيل الدخول ، وتتطلب مشاركة نشطة من المستخدم ، ويصعب جدًا على موقع التصيد الإلكتروني أن يتكرر بشكل صحيح لأنه تحتاج إلى عرض شبكة مختلفة من الصور التي يتم إنشاؤها عشوائيًا والتي تتضمن الفئات السرية للمستخدم.
يمكن أن تساعد عوامل تصفية الرسائل غير المرغوب فيها المتخصصة على تقليل عدد رسائل البريد الإلكتروني التصيدية التي تصل إلى صناديق البريد الوارد الخاصة بالعناوين الخاصة بهم ، أو توفير إصلاح ما بعد التسليم ، وتحليل وإزالة هجمات التصيد بالرمح عند التسليم من خلال تكامل مستوى مزود البريد الإلكتروني. هذه الطرق تعتمد على التعلم الآلي ومعالجة اللغة الطبيعية النهج لتصنيف رسائل البريد الإلكتروني والتصيد. مصادقة عنوان البريد الإلكتروني هي طريقة جديدة أخرى.
تقدم العديد من الشركات البنوك والمؤسسات الأخرى التي من المحتمل أن تعاني من خدمات التصيد الاحتيالي على مدار الساعة لمراقبة وتحليل ومساعدة في إغلاق مواقع التصيّد. يمكن للأفراد المساهمة من خلال الإبلاغ عن التصيد على كل من مجموعات المتطوعين والصناعة، مثل cyscon أو PhishTank . يمكن للأفراد أيضًا المساهمة عن طريق الإبلاغ عن محاولات الخداع عبر الهاتف إلى Phishing Phone ، وهي هيئة التجارة الفيدرالية. يمكن إبلاغ Google عن صفحات التصيّد الاحتيالي ورسائل البريد الإلكتروني. في مركز شكاوى جرائم الإنترنت افتة تحمل التصيد وانتزاع الفدية التنبيهات.
كما ظهرت حلول باستخدام الهاتف المحمول (الهاتف الذكي) كقناة ثانية للتحقق من المعاملات المصرفية والتصريح بها.
يقول مقال في مجلة فوربس في أغسطس 2014 إن السبب وراء استمرار مشاكل التصيّد حتى بعد عقد من تقنيات مكافحة الخداع التي يتم بيعها هو أن التصيّد الاحتيالي هو «وسيلة تكنولوجية لاستغلال نقاط الضعف البشرية» وأن التكنولوجيا لا يمكنها التعويض الكامل عن نقاط الضعف البشرية.
في 26 يناير 2004، قدمت لجنة التجارة الفيدرالية الأمريكية أول دعوى قضائية ضد مخادع مشتبه به. يزعم أن المدعى عليه ، وهو مراهق من كاليفورنيا، أنشأ صفحة ويب مصممة لتبدو وكأنها موقع America Online ، واستخدمها لسرقة معلومات بطاقة الائتمان. اتبعت دول أخرى هذا الرصاص عن طريق تتبع واعتقال المتصيدين. A المهيمن التصيد، فالدير باولو دي ألميدا، اعتقل في البرازيل لقيادة واحدة من أكبر التصيد عصابات الجريمة، التي في عامين سرق بين الولايات المتحدة 18 مليون $ والولايات المتحدة 37 مليون $ . قامت سلطات المملكة المتحدة بسجن رجلين في يونيو 2005 لدورهما في خداع التصيد ، في قضية متصلة بجدار الحماية السري للخدمة في الولايات المتحدة، والتي استهدفت مواقع الويب «الشهيرة» سيئة السمعة. في عام 2006، ألقت الشرطة اليابانية القبض على ثمانية أشخاص للاشتباه في قيامهم بالتزوير الاحتيالي عن طريق إنشاء مواقع ويب وهمية على ياهو اليابان ، مما أدى إلى تخصيص 100 مليون دولار (870 ألف دولار أمريكي). استمرت الاعتقالات في عام 2006 مع عملية FBI Cardkeeper التي تحتجز عصابة من ستة عشر في الولايات المتحدة وأوروبا.
في الولايات المتحدة، قدم السيناتور باتريك ليهي قانون مكافحة الخداع لعام 2005 في الكونغرس في 1 مارس 2005. وكان هذا القانون، إذا تم سنه ليصبح قانونًا ، قد أخضع المجرمين الذين أنشأوا مواقع ويب مزيفة وأرسلوا رسائل بريد إلكتروني مزيفة بالترتيب للاحتيال على المستهلكين لغرامات تصل إلى 250 ألف دولار أمريكي وأحكام بالسجن تصل إلى خمس سنوات. عززت المملكة المتحدة ترسانتها القانونية ضد التصيد الاحتيالي بقانون الاحتيال لعام 2006، الذي يقدم جريمة عامة من الاحتيال يمكن أن تصل إلى السجن لمدة عشر سنوات ، ويحظر تطوير أو حيازة مجموعات التصيد بقصد ارتكاب الاحتيال.
انضمت الشركات أيضا إلى الجهود للقضاء على التصيد الاحتيالي. في 31 مارس 2005، قدمت شركة مايكروسوفت 117 دعوى قضائية فيدرالية في المحكمة الجزئية الأمريكية للمنطقة الغربية في واشنطن . وتتهم الدعوى القضائية المدعى عليهم «جون دو» بالحصول على كلمات المرور والمعلومات السرية. كما شهد مارس 2005 شراكة بين مايكروسوفت والحكومة الأسترالية لتعليم المسؤولين عن إنفاذ القانون كيفية مكافحة جرائم الإنترنت المختلفة ، بما في ذلك التصيد الاحتيالي. أعلنت شركة مايكروسوفت عن 100 دعوى قضائية أخرى خُطط لها خارج الولايات المتحدة في مارس / آذار 2006، يليها بدء ، حتى نوفمبر / تشرين الثاني 2006، 129 دعوى قضائية تمزج الإجراءات الجنائية والمدنية. عززت AOL جهودها ضد التصيد الاحتيالي إيه أو إل في أوائل عام 2006 مع ثلاث دعاوى قضائية تسعى ما مجموعه 18 مليون $ بموجب التعديلات عام 2005 لقانون ولاية فرجينيا جرائم الحاسوب، وإرثلينك انضمت في طريق المساعدة في تحديد ستة رجال اتهموا في وقت لاحق مع التصيد الغش في كونيتيكت.إيرث لنككونيتيكت
في يناير 2007، أصبح جيفري بريت جودين من كاليفورنيا أول متهم أدانته هيئة المحلفين بموجب أحكام قانون CAN-SPAM لعام 2003
. تم إدانته بارسال آلاف رسائل البريد الإلكتروني إلى مستخدمي America Online ، بينما تظاهر بأنه قسم فوترة AOL ، والذي دفع العملاء إلى تقديم معلومات شخصية وبطاقة ائتمان. في مواجهة السجن لمدة 101 سنة محتملة لانتهاك CAN-SPAM وعشر تهم أخرى بما في ذلك الاحتيال على الأسلاك ، والاستخدام غير المصرح به لبطاقات الائتمان ، وإساءة استخدام العلامة التجارية لـ AOL ، حكم عليه بالسجن لمدة 70 شهراً. وكان غودين رهن الاحتجاز منذ عدم حضور جلسة استماع سابقة في المحكمة وبدأ في تنفيذ فترة سجنه على الفور.
في كومنز صور وملفات عن: تصيد احتيالي |
This article uses material from the Wikipedia العربية article تصيد احتيالي, which is released under the Creative Commons Attribution-ShareAlike 3.0 license ("CC BY-SA 3.0"); additional terms may apply (view authors). المحتوى متاح وفق CC BY-SA 4.0 ما لم يرد خلاف ذلك. Images, videos and audio are available under their respective licenses.
®Wikipedia is a registered trademark of the Wiki Foundation, Inc. Wiki العربية (DUHOCTRUNGQUOC.VN) is an independent company and has no affiliation with Wiki Foundation.