التصيّد الموجّه هو نوع من هجمات التصيّد الاحتيالي يستهدف فردًا محددًا، أو مجموعة، أو مؤسسة بعينها. تعتمد هذه الهجمات الاحتيالية المُخصصة على خداع الضحايا ودفعهم إلى الكشف عن بيانات حساسة، أو تنزيل برمجيات ضارة، أو تحويل أموال إلى المخترق.
وكما هو الحال في جميع هجمات التصيّد، ينطوي التصيّد الموجّه على خداع الضحايا من خلال قصص مزيفة وسيناريوهات احتيالية. يمكن تنفيذ هجمات التصيّد الموجّه من خلال رسائل بريد إلكتروني، أو رسائل نصية، أو تطبيقات المحادثة، أو المكالمات الهاتفية.
ووفقًا لتقرير تكلفة خرق البيانات الصادر عن IBM، يُعد التصيّد السبب الأكثر شيوعًا لحدوث خروقات البيانات. ويُعد التصيّد الموجّه من أكثر أشكال التصيّد فاعلية، لأن المجرمين الإلكترونيين يخصّصون هجماتهم لتكون مقنعة للغاية بالنسبة للهدف.
في تقرير صادر عن Barracuda تضمن تحليلًا لـ 50 مليار رسالة بريد إلكتروني، وجد الباحثون أن التصيّد الموجّه شكّل أقل من 0.1٪ من إجمالي الرسائل، لكنه تسبب في 66٪ من حالات الخرق الناجحة.1 بينما يبلغ متوسط تكلفة خرق البيانات الناتج عن التصيّد 4.76 مليون دولار أمريكي وفقًا لتقرير تكلفة خرق البيانات، إلا أن هجمات التصيّد الموجّه قد تصل إلى 100 مليون دولار أمريكي.2
ويُعد التصيّد الموجّه شكلًا من هجمات الهندسة الاجتماعية، حيث يستغل الطبيعة البشرية بدلًا من الثغرات الأمنية في الشبكة. ولمكافحة هذا النوع من التهديدات بفعالية، يجب على فرق الأمن السيبراني الجمع بين تدريب الموظفين وأدوات الكشف المتقدّمة عن التهديدات، لتشكيل خط دفاع قوي ضد هذا التهديد الخفي.
التصيّد الاحتيالي هو فئة عامة تشمل أي هجوم هندسة اجتماعية يستخدم رسائل احتيالية لخداع الضحايا. أما التصيّد الموجّه، فهو فرع من التصيّد يركّز على هدف محدد تم اختياره بعناية.
ويُعد التصيّد التقليدي، المعروف أيضًا باسم "التصيّد الجماعي"، لعبة أرقام. يقوم المخترقون بإنشاء رسائل احتيالية تظهر وكأنها من شركات أو مؤسسات موثوقة، أو حتى من شخصيات مشهورة.
ثم يرسلون هذه الرسائل إلى مئات أو آلاف الأشخاص، على أمل أن يقع بعضهم في الفخ، من خلال زيارة مواقع وهمية أو تقديم معلومات حساسة مثل أرقام الضمان الاجتماعي.
أما هجمات التصيّد الموجّه، فهي هجمات مستهدفة تُركّز على أفراد محددين لديهم صلاحية الوصول إلى أصول يطمع بها المجرمون الإلكترونيون.
يختار منفذو التصيّد الموجّه شخصًا أو مجموعة بعينها، مثل مسؤول تنفيذي في شركة أو مديري مبيعات إقليميين، ويقومون ببحث مكثف حول حياتهم الشخصية والمهنية، ويستخدمون تلك المعلومات لصياغة رسائل احتيالية شديدة المصداقية.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
تتبع معظم هجمات التصيّد الموجّه عملية من أربع خطوات:
تهدف العديد من حملات التصيّد الموجّه إلى سرقة مبالغ مالية كبيرة من المؤسسات. ويمكن لمنفذي التصيّد الموجّه تحقيق ذلك بطرق مختلفة: يقوم البعض بخداع الضحايا لجعلهم يجرون دفعة مالية أو تحويلًا بنكيًا إلى مورد احتيالي. بينما يُقنع آخرون الأهداف بمشاركة أرقام بطاقات الائتمان، أو الحسابات المصرفية، أو غيرها من البيانات المالية.
ويمكن أن تسعى حملات التصيّد الموجّه إلى تحقيق أهداف ضارة أخرى، منها:
بعد ذلك، يحدّد منفذ التصيّد الموجّه الضحية المناسبة. يكون الهدف شخصًا يمكنه منح المخترقين إمكانية الوصول إلى الموارد المطلوبة، إما بشكل مباشر (مثل إجراء عملية دفع)، أو غير مباشر (مثل تنزيل برمجيات تجسس).
وغالبًا ما تستهدف محاولات التصيّد الموجّه موظفين من المستوى المتوسط أو المنخفض، أو الموظفين الجدد الذين يمتلكون صلاحيات موسعة على الشبكة أو النظام. وقد يكون هؤلاء الموظفون أقل التزامًا باتباع السياسات المؤسسية من الأهداف ذات المناصب العليا. كما أنهم قد يكونون أكثر عرضة لأساليب الضغط، مثل انتحال شخصية قائد تنفيذي كبير.
ومن الأمثلة الشائعة على الضحايا المديرون الماليون المخولون بإجراء المدفوعات، وموظفو تكنولوجيا المعلومات الذين لديهم صلاحية إدارية على الشبكة، ومديرو الموارد البشرية الذين لديهم صلاحية الوصول إلى البيانات الشخصية للموظفين.
كما تستهدف أنواع أخرى من هجمات التصيّد الموجّه موظفين تنفيذيين فقط. لمزيد من المعلومات، راجع قسم «التصيّد الموجّه، تصيّد كبار الشخصيات، وBEC».
يقوم المخترق بجمع المعلومات حول الهدف، سعيًا إلى انتحال صفة جهة موثوقة مقرّبة من الضحية، مثل صديق، أو زميل، أو مدير مباشر.
وبفضل الكمّ الكبير من المعلومات التي يُشاركها الأشخاص بحرية على وسائل التواصل الاجتماعي وغيرها من المنصات على الإنترنت، يستطيع المجرمون الإلكترونيون العثور على هذه المعلومات دون الكثير من البحث. يستطيع العديد من المخترقين صياغة رسالة تصيّد موجّه مقنعة بعد بضع ساعات فقط من البحث عبر Google.
لكن بعض المخترقين يفعل أكثر من ذلك. إذ يخترقون حسابات البريد الإلكتروني المؤسسية أو تطبيقات المراسلة، ويقضون وقتًا في مراقبة الهدف لجمع معلومات أكثر تفصيلًا.
باستخدام ما جمعوه من معلومات، يُنشئ منفذو التصيّد الموجّه رسائل تستهدف الضحية وتبدو ذات مصداقية عالية. العنصر الأساسي هو أن هذه الرسائل تحتوي على تفاصيل شخصية ومهنية يعتقد الهدف أن مصدرًا موثوقًا فقط يمكن أن يعرفها.
على سبيل المثال، لنفترض أن Jack مدير الحسابات الدائنة في شركة ABC Industries. من خلال مراجعة ملف Jack الشخصي على LinkedIn، قد يعثر المخترق على مسماه الوظيفي، ومسؤولياته، وعنوان بريده الإلكتروني في الشركة، واسم المدير المباشر ومسمّاه الوظيفي، وأسماء الشركاء في العمل ومناصبهم.
يمكن للمخترق استخدام هذه التفاصيل لإرسال رسالة بريد إلكتروني مقنعة تدّعي أنها من مدير Jack، مثل:
مرحبا Jack،
أعلم أنك تتولى معالجة فواتير XYZ Systems. لقد أبلغوني الآن أنهم يحدّثون عملية الدفع، ويحتاجون إلى توجيه جميع الدفعات القادمة إلى حساب مصرفي جديد. إليك أحدث فاتورة لهم، وتحتوي على تفاصيل الحساب الجديد. هل يمكنك إرسال المدفوعات اليوم؟
الفاتورة المرفقة مزيفة، و"الحساب المصرفي الجديد" هو الحساب الذي يمتلكه المحتال. وبذلك، يُرسل Jack الأموال مباشرةً إلى المخترق عند تنفيذ التحويل.
عادةً ما تتضمن رسائل التصيّد الاحتيالي عناصر بصرية تعزّز مصداقية عملية الاحتيال. فعلى سبيل المثال، قد يستخدم المخترق عنوان بريد إلكتروني مزيف يُظهر اسم مدير Jack، لكنه يُخفي عنوان البريد الإلكتروني الاحتيالي الحقيقي.
وقد يُضيف أيضًا عنوانًا مزيفًا لزميل آخر ضمن النسخة الكربونية (CC)، ويُدرج توقيعًا يحتوي على شعار شركة ABC Industries.
أما المحتال المتمرّس، فقد يخترق البريد الإلكتروني الفعلي لمدير Jack ويرسل الرسالة من هناك، مما لا يترك أمام Jack أي سبب للشك.
يُنفذ بعض المحتالين حملات تصيّد موجّه هجينة، تجمع بين رسائل البريد الإلكتروني ورسائل نصية (تُعرف باسم "Smishing") أو مكالمات هاتفية (تُعرف باسم "Vishing").
على سبيل المثال، بدلًا من إرفاق فاتورة مزيفة، قد تتضمن الرسالة تعليمات لجاك بالاتصال بقسم الحسابات الدائنة في XYZ Systems، لكن الرقم في الواقع تحت سيطرة المحتال.
ونظرًا لأنها تستخدم عدة وسائل تواصل، فإن هجمات التصيّد الموجّه الهجينة غالبًا ما تكون أكثر فاعلية من هجمات التصيّد الموجّه التقليدية.
بالإضافة إلى كسب ثقة الضحايا، تعتمد هجمات التصيّد الموجّه كثيرًا على أساليب الهندسة الاجتماعية للضغط النفسي على الأهداف لدفعهم إلى اتخاذ إجراءات لا ينبغي لهم اتخاذها، ولا يتخذونها عادةً.
ومن الأمثلة على ذلك انتحال شخصية مسؤول تنفيذي رفيع في الشركة، كما ورد في رسالة التصيّد في القسم السابق. فالموظفون مهيّأون لاحترام السلطة، ويخشون عدم الامتثال لتعليمات أحد التنفيذيين، حتى إن بدت غير معتادة.
تشمل أساليب الهندسة الاجتماعية الأخرى الشائعة ما يلي:
التمهيد المسبق (Pretexting): اختلاق قصة أو موقف يبدو واقعيًا ويمكن للهدف أن يتعرّف عليه ويتفاعل معه. على سبيل المثال، قد ينتحل منفذ التصيّد الموجّه صفة موظف في قسم تكنولوجيا المعلومات ويُخبر الهدف بأنه حان وقت تحديث كلمة المرور المجدول دوريًا.
إثارة الشعور بالإلحاح: على سبيل المثال، قد ينتحل المخترق صفة مورد ويدّعي أن دفعة مقابل خدمة حيوية تأخرت.
استغلال المشاعر القوية: إثارة الخوف أو الشعور بالذنب أو الامتنان أو الطمع، أو الإشارة إلى أمر يهتم به الهدف — يمكن أن يُؤثّر على حكم الضحية ويجعله أكثر عرضة للوقوع في الفخ. مثلًا، قد يتظاهر المحتال بأنه المدير ويَعِد بمكافأة مقابل "المساعدة في طلب عاجل في اللحظة الأخيرة".
أدّت سهولة الوصول المتزايدة إلى الذكاء الاصطناعي (AI)، وخاصة الذكاء الاصطناعي التوليدي (gen AI)، إلى جعل تنفيذ هجمات التصيّد الموجّه المعقدة والفعّالة أسهل من أي وقت مضى.
وبحسب تقرير X-Force Threat Intelligence Index الصادر عن IBM، يحتاج المخترق إلى 16 ساعة لصياغة رسالة تصيد يدويًا. أما باستخدام الذكاء الاصطناعي، فيمكنه إنشاء رسالة أكثر إقناعًا خلال خمس دقائق فقط.
وبالنسبة لمنفذي التصيّد الموجّه، يُمكن للذكاء الاصطناعي تبسيط بعض من أصعب جوانب الهجوم. على سبيل المثال ، يمكن للمخترق استخدام الذكاء الاصطناعي لاستخراج المعلومات من ملفات تعريف الضحايا على مواقع التواصل الاجتماعي بشكل آلي. كما يمكنه تزويد أدوات الذكاء الاصطناعي التوليدي بعينات من أسلوب كتابة الأشخاص الذين سيتم انتحال صفتهم، مما يسمح للذكاء الاصطناعي بإنتاج رسائل تصيّد أكثر مصداقية.
كما يمكنهم استخدام الذكاء الاصطناعي لإنشاء مستندات مزيفة مقنعة، مثل: فواتير، ونماذج بريد إلكتروني، وتقارير، وغيرها من المواد. ويمكن للمخترقين حتى إنشاء مقاطع فيديو أو تسجيلات صوتية باستخدام الذكاء الاصطناعي، مما يجعل التمييز بين الهجمات الاحتيالية والتواصل الحقيقي أكثر صعوبة.
هناك نوعان فرعيان بارزان من هجمات التصيّد الموجّه: تصيّد كبار الشخصيات (Whaling أو Whale Phishing) والاحتيال عبر البريد الإلكتروني الخاص بالأنشطة التجارية (BEC).
الفرق الأساسي بين تصيّد كبار الشخصيات والتصيّد الموجّه العادي هو أن تصيّد كبار الشخصيات يستهدف أشخاصًا ذوي مكانة عالية وقيمة كبيرة. على سبيل المثال: أعضاء مجلس الإدارة أو المديرين من المستوى ج أو المشاهير أو السياسيين. يسعى منفذو تصيّد كبار الشخصيات خلف أهداف لا يمكن الوصول إليها إلا من خلال هذه الفئة من الأشخاص — مثل مبالغ مالية كبيرة أو معلومات شديدة الحساسية.
أما هجمات BEC، فهي هجمات تصيّد موجّه تهدف تحديدًا إلى سرقة الأموال من المؤسسات. ومن بين الأشكال الشائعة لهجمات BEC:
احتيال الرئيس التنفيذي (CEO Fraud): ينتحل المحتال صفة مسؤول تنفيذي من المستوى ج عن طريق تزوير أو اختراق حساب بريد إلكتروني أو تطبيق محادثة أو وسيلة تواصل أخرى. ثم يُرسل رسائل إلى موظف واحد أو أكثر من ذوي المناصب الأدنى، طالبًا منهم تحويل أموال إلى حساب احتيالي، أو إجراء عملية شراء من مورد مزيف.
اختراق حساب البريد الإلكتروني (EAC): يحصل المحتال على وصول إلى حساب البريد الإلكتروني لأحد الموظفين من المستوى الأدنى — مثل مدير في قسم المالية أو المبيعات. ثم يستخدم هذا الحساب لإرسال فواتير مزيفة إلى الموردين، أو إعطاء تعليمات لموظفين آخرين بتنفيذ مدفوعات احتيالية، أو طلب الوصول إلى بيانات سرية.
تُعد هجمات BEC الناجحة من بين أكثر التهديدات الإلكترونية تكلفةً، حيث بلغ إجمالي الخسائر المُبلّغ عنها في عام 2023 ما يُقارب 2.9 مليار دولار أمريكي، وذلك وفقًا لتقرير الجرائم الإلكترونية الصادر عن مكتب التحقيقات الفيدرالي (FBI).3
تُعد هجمات التصيّد الاحتيالي من أصعب الهجمات الإلكترونية من حيث الكشف والمواجهة، لأن أدوات الأمن الإلكتروني التقليدية لا يمكنها دائمًا اكتشافها. ويُعد التصيد الموجّه أكثر صعوبة في الاكتشاف، بسبب طبيعته الموجهة والمحتوى المُخصص بعناية، ما يجعله أكثر إقناعًا للضحية العادية.
ومع ذلك، هناك إجراءات يمكن للمؤسسات اتخاذها لتعزيز دفاعاتها ضد التصيّد الموجّه وتقليل احتمال نجاح الهجوم:
نظرًا لأن هجمات التصيّد الموجّه تستهدف الأشخاص وليس الثغرات التقنية، فإن تدريب الموظفين يُعد خط دفاع مهمًا ضد هذه التهديدات. وقد يشمل التدريب على الوعي الأمني ما يلي:
يمكن لأدوات إدارة الهوية والوصول (IAM)، مثل التحكم في الوصول بناءً على الدور، و المصادقة متعددة العوامل (MFA)، أن تمنع المخترقين من الوصول إلى حسابات المستخدمين أو البيانات الحساسة. فعلى سبيل المثال، إذا قام المدراء التنفيذيون بتمكين المصادقة متعددة العوامل على حسابات بريدهم الإلكتروني، فإن المخترق سيحتاج إلى أكثر من مجرد كلمة مرور للاستيلاء على الحساب.
لا توجد أداة أمنية واحدة قادرة على إيقاف هجمات التصيّد الموجّه تمامًا، لكن عدة أدوات يمكن أن تساعد في منعها أو التخفيف من آثارها.
أدوات أمن البريد الإلكتروني، مثل مرشحات الرسائل المزعجة وبوابات البريد الإلكتروني الآمنة، يمكن أن تكتشف وتحوّل رسائل التصيّد الموجّه في الوقت الفعلي.
برامج مكافحة الفيروسات تُسهم في تحييد البرمجيات الضارة أو برمجيات الفدية التي قد تنتج عن هجمات التصيّد الموجّه.
بوابات الويب الآمنة، وجدران الحماية، وأدوات تصفية محتوى الإنترنت الأخرى، يمكن أن تحظر المواقع الضارة التي تحاول رسائل التصيّد توجيه المستخدمين إليها.
يمكن أن تُساعد تحديثات النظام والبرامج في إغلاق الثغرات التقنية التي تُستغل عادةً في هجمات التصيّد الموجّه.
أدوات حماية نقاط النهاية — مثل الكشف عن نقطة النهاية والاستجابة لها (EDR) وإدارة نقاط النهاية الموحّدة (UEM) — يمكن أن تمنع المحتالين من السيطرة على الأجهزة، أو انتحال هوية المستخدمين، أو زرع برمجيات ضارة.
1 2023 spear-phishing trends, Barracuda, 2023.
2 How this scammer used phishing emails to steal over USD 100 million from Google and Facebook, CNBC, 27 March 2019.
3 Internet Crime Report 2023, FBI Internet Crime Complaint Center, 4 April 2024.