ما المقصود بتصيد كبار الشخصيات؟

تشمل أهداف تصيّد كبار الشخصيات المديرين التنفيذيين من المستوى C (مثل الرؤساء التنفيذيين (CEOs)، والمديرين الماليين (CFOs)، ومديري العمليات (COOs))، وكذلك كبار المسؤولين التنفيذيين الآخرين، وشاغلي المناصب السياسية، وقادة المؤسسات الذين يمكنهم تفويض تحويلات مالية كبيرة أو الإفراج عن معلومات حساسة دون الرجوع إلى جهة أخرى. ويُطلق عليهم مصطلح حيتان (Whales) — كناية عن المصطلح الشائع في عالم المال والقمار الذي يُستخدم للإشارة إلى العملاء أو المقامرين الذين يمتلكون أموالًا تفوق المتوسط.

من المهم فهم العلاقة بين التصيّد الاحتيالي (Phishing)، والتصيّد الموجّه (Spear Phishing)، وتصيّد كبار الشخصيات (Whale Phishing)، وذلك لأن هذه المصطلحات كثيرًا ما تُستخدم بشكل متبادل أو غير دقيق أو خارج السياق.

التصيد الاحتيالي هو أي رسالة بريد إلكتروني، أو رسالة نصية، أو مكالمة هاتفية احتيالية تهدف إلى خداع المستخدمين لدفعهم إلى تنزيل برمجيات ضارة (من خلال رابط ضار أو مرفق ضار)، أو مشاركة معلومات حساسة، أو تحويل أموال إلى المجرمين الإلكترونيين، أو اتخاذ إجراءات أخرى تعرّضهم هم أو مؤسساتهم لخطر الهجمات الإلكترونية.

من المرجح أن يكون أي شخص يستخدم حاسوبًا أو هاتفًا ذكيًا قد تعرّض لهجوم تصيّد جماعي، وهو عبارة عن رسالة موحّدة تبدو وكأنها صادرة من شركة أو مؤسسة معروفة، وتصف موقفًا شائعًا أو منطقيًا، وتطلب اتخاذ إجراء عاجل — مثل تم رفض بطاقة الائتمان الخاصة بك. يُرجى النقر على الرابط أدناه لتحديث معلومات الدفع. عند نقر المتلقي على الرابط، يتم توجيهه إلى موقع إلكتروني ضار قد يسرق رقم بطاقته الائتمانية أو يقوم بتنزيل برمجيات ضارة إلى جهازه.

تُعدّ حملات التصيّد الجماعي لعبة أرقام. يرسل المخترقون رسائل إلى أكبر عدد ممكن من الأشخاص، مع علمهم أن نسبةً منهم ستقع في الفخ. وقد كشف أحد الدراسات عن أكثر من 255 مليون رسالة تصيّد خلال فترة ستة أشهر في عام 2022. ووفقًا لتقرير تكلفة خرق البيانات 2024 الصادر عن IBM، جاء التصيّد في المرتبة الثانية كأكثر الأسباب شيوعًا لخروقات البيانات في 2024، وكان الوسيلة الأكثر استخدامًا لنشر برمجيات الفدية بين الضحايا.

التصيّد الموجّه هو هجوم تصيّد يستهدف فردًا معيّنًا أو مجموعة أفراد داخل مؤسسة. غالبًا ما تستهدف هجمات التصيّد الموجّه مديرين من المستوى المتوسط ممن يمتلكون صلاحية الموافقة على المدفوعات أو تحويل البيانات — مثل مديري الحسابات الدائنة أو مديري الموارد البشرية — ويقوم المخترق بانتحال صفة زميل لديه سلطة على الضحية، أو صفة جهة خارجية موثوقة مثل مورد أو شريك أعمال أو مستشار.

تعتبر هجمات التصيّد الموجّه أكثر تخصيصًا من التصيّد الجماعي، وتتطلب جهدًا وبحثًا أكبر. لكن هذا الجهد الإضافي يُمكن أن يُؤتي ثماره بالنسبة للمجرمين الإلكترونيين. فعلى سبيل المثال، سرق منفذو التصيّد الموجّه أكثر من 100 مليون دولار أمريكي من Facebook وGoogle بين عامي 2013 و2015 عبر انتحال صفة موردين شرعيين وخداع الموظفين لدفع فواتير احتيالية.

تصيّد كبار الشخصيات (Whale Phishing)، أو (Whaling)، هو هجوم تصيّد موجه يستهدف حصريًا مسؤولًا تنفيذيًا رفيع المستوى أو مسؤولًا رسميًا. عادةً ما ينتحل المخترق صفة زميل من داخل المؤسسة، أو جهة نظيرة أو أعلى في مؤسسة أخرى.

تكون رسائل تصيّد كبار الشخصيات شديدة التخصيص. يبذل المخترقون جهدًا كبيرًا لتقليد أسلوب كتابة المرسل الحقيقي، وعند الإمكان، يشيرون إلى سياق محادثات عمل حقيقية جارية. وغالبًا ما يتجسس منفذو هذه الهجمات على المحادثات بين المرسل والضحية؛ ويحاول الكثير منهم اختراق حساب البريد الإلكتروني أو الرسائل النصية الخاص بالمرسل، لإرسال الرسالة الاحتيالية مباشرةً من هناك، لتحقيق أقصى درجة من المصداقية.

ونظرًا لأن هذه الهجمات تستهدف أفرادًا يمكنهم الموافقة على تحويلات مالية كبيرة، فهي توفر عائدًا فوريًا أكبر للمخترق.

ويتم أحيانًا الخلط بين هجمات تصيّد كبار الشخصيات وهجمات الاحتيال عبر البريد الإلكتروني الخاص بالأنشطة التجارية (BEC)، وهو نوع آخر من هجمات التصيّد الموجّه، حيث يرسل المخترق رسالة احتيالية تظهر وكأنها من زميل أو موظف آخر. لكن BEC لا يُعد دائمًا تصيّد كبار شخصيات (لأنه غالبًا ما يستهدف موظفين من مستويات أقل)، كما أن تصيّد كبار الشخصيات لا يُعد دائمًا BEC (لأنه لا يعتمد دائمًا على البريد الإلكتروني). ومع ذلك، تتضمّن العديد من أكثر هجمات تصيّد كبار الشخصيات تكلفةً عناصر من هجمات BEC أيضًا. على سبيل المثال:

• في عام 2015، خسرت شركة Ubiquity Networks ما يقرب من 47 مليون دولار أمريكي خلال 17 يومًا فقط، عندما أرسل منفذو هجوم تصيّد كبار الشخصيات رسائل احتيالية منتحلين صفة الرئيس التنفيذي (and) والمستشار العام للشركة، ونجحوا في إقناع المدير المالي بتحويل أموال عبر عدة عمليات تحويل بنكي، بزعم تمويل عملية استحواذ سرّية.
• في عام 2018، خسرت شركة Pathe Film Group مبلغ 19.2 مليون يورو (21 مليون دولار أمريكي) بعد أن انتحل المخترقون صفة الرئيس التنفيذي (CEO) لمقر الشركة في فرنسا وأرسلوا رسالة بريد إلكتروني إلى الرئيس التنفيذي (CEO) لمكتب الشركة في هولندا، يطلبون فيها تحويلات بنكية لتمويل عملية استحواذ.
• وفي عام 2018 أيضًا، انتحل المخترقون صفة الرئيس التنفيذي (CEO) وكبار المسؤولين التنفيذيين والمستشار القانوني لشركة Tecnimont SpA الإيطالية، ونجحوا في خداع رئيس وحدة الأعمال التابعة للشركة في الهند لنقل 1.3 مليار روبية هندية (18.25 مليون دولار أمريكي) إلى أحد البنوك في هونغ كونغ، أيضًا بزعم تمويل عملية استحواذ. وكجزء من عملية الاحتيال هذه، وكجزء من عملية الاحتيال هذه، ذهب المخترقون إلى حد تنظيم عدة مكالمات جماعية مزيفة لمناقشة تفاصيل "عملية الاستحواذ".

التصيّد الاحتيالي، والتصيّد الموجّه، وتصّيّد كبار الشخصيات كلها أمثلة على هجمات الهندسة الاجتماعية، أو أي هجمات تستغل نقاط الضعف البشرية بدلاً من الثغرات التقنية لاختراق الأنظمة الأمنية. ونظرًا لأنها تترك أثرًا رقميًا أقل بكثير من البرمجيات الضارة أو الاختراقات التقنية، فقد يكون من الصعب جدًا على فرق الأمن والمحترفين في مجال الأمن الإلكتروني اكتشاف هذه الهجمات أو منعها.

تهدف معظم هجمات تصيّد كبار الشخصيات إلى سرقة مبالغ مالية كبيرة من مؤسسة، وذلك من خلال خداع مسؤول رفيع المستوى لدفعه إلى إجراء أو تفويض أو إصدار أمر بتحويل مالي إلى مورد أو حساب بنكي احتيالي. لكن هجمات تصيّد كبار الشخصيات قد يكون لها أهداف أخرى، منها:

• سرقة بيانات حساسة أو معلومات سرية. وقد يشمل ذلك سرقة بيانات شخصية، مثل معلومات الرواتب الخاصة بالموظفين أو البيانات المالية الشخصية للعملاء. كما يمكن أن تستهدف عمليات تصيّد كبار الشخصيات أيضًا الملكية الفكرية، والأسرار التجارية، وغيرها من المعلومات الحساسة.
  
  
• سرقة بيانات اعتماد المستخدمينيقوم بعض المجرمين الإلكترونيين بشن هجوم أولي من نوع تصيّد كبار الشخصيات لسرقة بيانات اعتماد البريد الإلكتروني، بهدف استخدام الحساب المُخترق لاحقًا في تنفيذ هجوم تصيّد كبير آخر. ويستخدم آخرون بيانات الاعتماد تلك للحصول على وصول عالي المستوى إلى أصول أو بيانات على شبكة الهدف.
  
  
• زرع برمجيات ضارةتحاول نسبة صغيرة نسبيًا من هجمات تصيّد كبار الشخصيات خداع الضحايا لنشر برمجيات الفدية أو أنواع أخرى من البرمجيات الضارة، عن طريق فتح مُرفق ضار أو زيارة موقع إلكتروني ضار.

ومرة أخرى، فإن الطمع هو الدافع الأساسي لمعظم هجمات تصيّد كبار الشخصيات. لكن قد تكون هناك دوافع أخرى أيضًا، مثل الانتقام الشخصي من مسؤول تنفيذي أو من مؤسسة، أو الضغوط التنافسية، أو النشاط الاجتماعي أو السياسي. أما الهجمات التي تستهدف مسؤولين حكوميين رفيعي المستوى، فقد تُعدّ أعمالًا من الإرهاب الإلكتروني المستقل أو المدعوم من دولة.

يختار المجرمون الإلكترونيون "حوتًا" (شخصًا رفيع المستوى) يمتلك صلاحية الوصول إلى ما يسعون إليه، ويختارون مرسلًا يمتلك صلاحية الوصول إلى ذلك الشخص. فعلى سبيل المثال، قد يقوم مخترق يسعى إلى اعتراض دفعات مالية موجهة إلى شريك في سلسلة التوريد بإرسال فاتورة وطلب دفع إلى المدير المالي (CFO) للشركة، منتحلًا صفة الرئيس التنفيذي (CEO) لشريك سلسلة التوريد. وقد ينتحل مخترق آخر صفة المدير المالي (CFO) ويطلب من نائب الرئيس للموارد البشرية بيانات الرواتب الخاصة بالموظفين، بهدف سرقتها.

ولكي تكون رسائل المرسل ذات مصداقية عالية، يجري منفذو تصيّد كبار الشخصيات أبحاثًا معمقة حول كل من الهدف والمرسل، وكذلك المؤسسات التي يعملان بها.

وبفضل حجم المعلومات التي يُشاركها الأشخاص على وسائل التواصل الاجتماعي وغيرها من المنصات الإلكترونية، يستطيع المخترقون العثور على معظم ما يحتاجونه فقط من خلال البحث في مواقع التواصل أو على الإنترنت. فعلى سبيل المثال، بمجرد دراسة ملف هدف محتمل على LinkedIn، يمكن للمخترق معرفة المسمّى الوظيفي للشخص، ومسؤولياته، وعنوان بريده الإلكتروني في العمل، واسم القسم، وأسماء وصفات زملائه وشركائه في الأعمال، والفعاليات التي حضرها مؤخرًا، وخطط السفر الخاصة بالعمل.

وبناءً على طبيعة الهدف، يمكن أن توفّر وسائل الإعلام العامة، أو المتخصصة في الأعمال، أو حتى المحلية معلومات إضافية، مثل: صفقات يجري التفاوض بشأنها أو أُعلن عنها، أو مشاريع مطروحة للمناقصة، أو التكاليف المتوقعة لمشاريع بناء، وهي معلومات يمكن للمحتالين استغلالها. وغالبًا ما يستطيع المخترقون إعداد رسالة تصيّد موجّه مقنعة فقط من خلال إجراء بحث عام باستخدام محركات البحث مثل Google.

لكن عند التحضير لهجوم تصيّد كبار الشخصيات، غالبًا ما يتخذ المحتالون خطوة إضافية مهمة، وهي اختراق أنظمة الهدف والمرسل لجمع مواد إضافية. وقد يكون ذلك بسيطًا مثل إصابة أجهزة الهدف والمرسل ببرمجيات تجسس تتيح للمحتالين استعراض محتويات الملفات لإجراء مزيد من البحث. أما المخترقون الأكثر طموحًا، فقد يخترقون الشبكة الخاصة بالمرسل للحصول على وصول فعلي إلى حسابات البريد الإلكتروني أو المراسلات النصية، حيث يمكنهم متابعة المحادثات الفعلية والتسلل إليها.

عندما يحين وقت تنفيذ الهجوم، يرسل المحتال رسالة أو رسائل الهجوم. تكون رسائل تصيّد كبار الشخصيات الأكثر فاعلية هي تلك التي تبدو وكأنها جزء من محادثة جارية، وتتضمن إشارات تفصيلية إلى مشروع أو صفقة محددة، وتعرض موقفًا يبدو واقعيًا (وهي خدعة تُعرف باسم التمهيد المسبق (pretexting))، وتتضمن طلبًا يبدو موثوقًا بالمثل. على سبيل المثال، قد يُرسل مخترق ينتحل صفة الرئيس التنفيذي (CEO) للشركة الرسالة التالية إلى المدير المالي (CFO):

وفقًا لمحادثتنا بالأمس، مرفق طيه فاتورة من المحامين المسؤولين عن استحواذ BizCo. يُرجى الدفع قبل الساعة 5 مساءً بتوقيت شرق الولايات المتحدة غدًا، كما هو محدد في العقد. شكرًا.

في هذا المثال، قد تكون الفاتورة المرفقة نسخة حقيقية من فاتورة صادرة عن شركة المحاماة، تم تعديلها لتحويل المدفوعات إلى حساب المحتال.

لكي تبدو الرسائل حقيقية أمام الهدف، قد تتضمن رسائل تصيّد كبار الشخصيات عدّة أساليب للهندسة الاجتماعية، مثل:

• نطاقات بريد إلكتروني مزيفة (Spoofed Email Domains). إذا لم يتمكن المخترقون من اختراق حساب البريد الإلكتروني الخاص بالمرسل، فإنهم يُنشئون نطاقات بريد إلكتروني شبيهة (مثل: bill.smith@cornpany.com بدلًا من bill.smith@company.com). وقد تحتوي رسائل تصيّد كبار الشخصيات أيضًا على توقيعات بريد إلكتروني منسوخة، أو بيانات خصوصية، أو مؤشرات بصرية أخرى تجعلها تبدو حقيقية من النظرة الأولى.
  
  
• إثارة الشعور بالإلحاح. يمكن للضغط الزمني — مثل الإشارة إلى مواعيد نهائية حاسمة أو رسوم تأخير — أن يدفع الهدف إلى اتخاذ إجراء بسرعة دون التفكير بتمعّن في الطلب.
  
  
• الإصرار على السرية. غالبا ما تحتوي رسائل صيد الحيتان على تعليمات مثل يرجى الاحتفاظ بهذا لنفسك في الوقت الحالي لمنع الهدف من الذهاب إلى الآخرين الذين قد يشككون في الطلب.
  
  
• نسخ احتياطي للتصيد الصوتي. تتضمن رسائل التصيد بشكل متزايد أرقام هواتف يمكن للهدف الاتصال بها للتأكيد. يُلحق بعض المحتالين رسائل التصيد الإلكتروني برسائل بريد صوتي تستخدم انتحالاً صوتياً قائماً على الذكاء الاصطناعي للمُرسِل المزعوم.

مثلها مثل باقي هجمات التصيّد الاحتيالي، تُعد هجمات تصيّد كبار الشخصيات من أصعب الهجمات الإلكترونية التي يمكن مكافحتها، لأنها لا تُكتشف دائمًا باستخدام أدوات الأمن السيبراني التقليدية القائمة على التوقيعات. في العديد من الحالات، لا يحتاج المخترق سوى إلى تجاوز الدفاعات البشرية. وتُعد هجمات تصيّد كبار الشخصيات صعبة بشكل خاص نظرًا لطبيعتها المستهدفة ومحتواها المخصص، مما يجعلها مقنعة للغاية بالنسبة للهدف أو من يراقبها.

ومع ذلك، يمكن للمؤسسات اتخاذ خطوات تساعد في التخفيف من أثر هذه الهجمات، حتى إن لم يكن من الممكن منعها تمامًا.

التدريب على الوعي الأمنينظرًا لأن تصيّد كبار الشخصيات يستغل نقاط الضعف البشرية، فإن تدريب الموظفين يُعد خط الدفاع الأساسي ضد هذه الهجمات. وقد يشمل التدريب على مكافحة التصيّد الاحتيالي ما يلي:

• تدريب الموظفين على كيفية التعرف على رسائل البريد الإلكتروني المشبوهة (مثل التحقق من أسماء مرسلي البريد الإلكتروني لرصد نطاقات احتيالية).
  
  
• نصائح لتجنّب "مشاركة معلومات زائدة" على مواقع التواصل الاجتماعي
  
  
• التشديد على عادات العمل الآمنة، مثل عدم فتح المرفقات غير المرغوب فيها أبدًا، وتأكيد طلبات الدفع غير المعتادة من خلال قناة ثانية، والاتصال بالبائعين لتأكيد الفواتير والانتقال مباشرة إلى المواقع الإلكترونية بدلاً من النقر على الروابط داخل رسائل البريد الإلكتروني
  
  
• محاكاة هجمات تصيّد كبار الشخصيات تُتيح للمسؤولين التنفيذيين فرصة تطبيق ما تعلّموه عمليًا.

المصادقة متعددة العوامل والمصادقة التكيفية. إن تطبيق المصادقة متعددة العوامل (التي تتطلب بيانات اعتماد إضافية إلى جانب اسم المستخدم وكلمة المرور)، و/أو المصادقة التكيفية (التي تطلب بيانات إضافية عند تسجيل الدخول من أجهزة أو مواقع غير معتادة) يمكن أن يمنع المخترقين من الوصول إلى حساب البريد الإلكتروني للمستخدم، حتى لو تمكنوا من سرقة كلمة المرور.

برامج الحماية لا توجد أداة أمنية واحدة قادرة على منع هجمات تصيّد كبار الشخصيات تمامًا، لكن عدة أدوات يمكن أن تساهم في الوقاية أو التخفيف من آثارها، ومنها:

• بعض أدوات أمان البريد الإلكتروني — بما في ذلك برامج مكافحة التصيّد الاحتيالي المدعومة بالذكاء الاصطناعي، ومرشحات الرسائل المزعجة، وبوابات البريد الإلكتروني الآمنة — يمكن أن تساعد في اكتشاف وتحويل رسائل تصيّد كبار الشخصيات بعيدًا عن البريد الوارد.
  
  
• يمكن لبرامج مكافحة الفيروسات أن تعطّل برمجيات التجسس أو البرمجيات الضارة التي قد يستخدمها المخترقون لاختراق شبكات الهدف بغرض البحث، أو التنصّت على المحادثات، أو السيطرة على حسابات البريد الإلكتروني. كما يمكنها أيضًا تحييد الإصابات الناتجة عن برمجيات الفدية أو البرمجيات الضارة الناجمة عن رسائل تصيّد كبار الشخصيات.
  
  
• يمكن أن تُساعد تحديثات النظام والبرامج في إغلاق الثغرات التقنية التي تُستغل عادةً في هجمات التصيّد الموجّه.
  
  
• يمكن لبوابات الويب الآمنة وأدوات تصفية المحتوى على الويب حظر المواقع الضارة المرتبطة برسائل تصيّد كبار الشخصيات.
  
  
• يمكن لحلول الأمن المؤسسية مساعدة فرق الأمن ومراكز عمليات الأمن (SOCs) على اكتشاف واعتراض حركة البيانات الضارة والأنشطة الشبكية المرتبطة بهجمات التصيّد الاحتيالي. وتشمل هذه الحلول (على سبيل المثال لا الحصر) تنسيق الأمن ، والأتمتة والاستجابة (SOAR)، وإدارة الحوادث والمعلومات الأمنية (SIEM)،والكشف عن نقاط النهاية والاستجابة لها (EDR)، والكشف عن الشبكة والاستجابة لها (NDR)، والكشف والاستجابة الموسعة (XDR).