التصيد الإلكتروني: أنواعه وطرق الحماية منه

التصيد الإلكتروني ​

التصيد الإلكتروني نوع من أنواع الاحتيال على الإنترنت، الهدف منه سرقة بيانات حساسة زي: اسم المستخدم، كلمة السر، بيانات البطاقات البنكية أو حتى الفلوس بشكل غير مباشر.
الفكرة بسيطة: الهاكر بيبعتلك رسالة أو لينك شكله موثوق، وإنت بمجرد ما تضغط عليه أو تفتح المرفق، هو كده خد البيانات اللي عايزها.

إزاي بيشتغل التصيد الإلكتروني؟ ​

• بيجيلك إيميل أو رسالة فورية منتحل شخصية شركة معروفة (زي PayPal أو Apple) أو حتى صديق.
• جوه الرسالة بيكون فيه إما:
  • رابط خبيث بيوصلك لموقع مزيف شبيه بالموقع الأصلي.
  • مرفق مصاب بينزل Malware على جهازك.

بمجرد ما تدخل بياناتك، الموقع أو البرنامج الخبيث بيجمعها ويرسلها للهاكر.

أمثلة مشهورة ​

• حسب تقرير Microsoft سنة 2014، الخسائر من التصيد وصلت لـ 5 مليار دولار سنويًا!
• 54% من هجمات التصيد استهدفت عملاء Apple و PayPal و Taobao.

أنواع هجمات التصيد ​

1. التصيد بالرمح (Spear Phishing) ​

هجوم موجه لأشخاص أو شركات محددة. بيبذل فيه المخترق مجهود يجمع معلومات عن الضحية علشان يزيد فرصة النجاح. بيمثل 91% من الهجمات.

2. التصيد بالاستنساخ (Clone Phishing) ​

المخترق ياخد رسالة أصلية، يعدلها ويحط رابط/ملف خبيث، ويرسلها كأنها تحديث من المرسل الأصلي.

3. تصيد الحيتان (Whaling) ​

بيستهدف كبار المدراء أو المسؤولين التنفيذيين برسائل شكلها قانوني (زي استدعاء من FBI).

4. تعديل الروابط (Link Manipulation) ​

تغيير بسيط في الرابط (مثلاً: GOOGLE → GO0GLE) يخلي الضحية يدخل موقع مزيف شبه الأصلي 100%.

5. تزوير المواقع (Website Forgery) ​

موقع مزيف يستخدم تقنيات زي XSS أو JavaScript لتزييف العنوان وإقناعك إنه آمن.

6. التصيد بالمكالمات أو الرسائل ​

هاكر يتواصل معاك برسائل SMS أو مكالمة هاتفية ويطلب بياناتك البنكية بحجة التحديث أو تأكيد الحساب.

7. التوأم الشرير (Evil Twin) ​

مخترق ينشئ شبكة Wi-Fi وهمية (في كافيه، مطار…) ويخلي الضحايا يتصلوا بيها. بمجرد الاتصال، يقدر يلتقط كل البيانات المرسلة.

إزاي تتعرف على رسائل التصيد؟ ​

• أخطاء إملائية/قواعدية في الرسالة.
• روابط غريبة أو معدلة.
• تهديدات زي "حسابك هيتقفل لو ما دخلتش دلوقتي".
• مكالمات غير طبيعية من "شركات عالمية" بتطلب بياناتك.

طرق الحماية من التصيد الإلكتروني ​

• متضغطش على أي لينك غير لما تمرر الماوس عليه وتتأكد من الدومين.
• متدخلش بياناتك البنكية غير على المواقع الرسمية.
• متحملش مرفقات مشكوك فيها (خصوصًا ملفات .exe).
• لو وصلك إيميل تصيدي، بلغ الجهات المتخصصة:
  • reportphishing@antiphishing.org
  • phish@pitt.edu
  • spam@uce.gov

الخلاصة ​

التصيد مش بيعتمد على اختراق الأنظمة بشكل مباشر، لكنه بيعتمد على الهندسة الاجتماعية وخداع الضحية. الهاكر مش محتاج يكسر جهازك، هو محتاج يقنعك بضغطة زر واحدة!