التصيد الاحتيالي هو نوع من الهجمات الإلكترونية التي تستخدم رسائل البريد الإلكتروني أو الرسائل النصية أو المكالمات الهاتفية أو مواقع الويب الاحتيالية لخداع الأشخاص لمشاركة بيانات حساسة أو تنزيل برنامج ضار أو تعريض أنفسهم للجرائم الإلكترونية.
تُعدّ هجمات التصيّد الاحتيالي شكلاً من الهندسة الاجتماعية. وعلى عكس الهجمات الإلكترونية الأخرى التي تستهدف الشبكات والموارد مباشرة، تعتمد الهجمات المعتمدة على الهندسة الاجتماعية على أخطاء بشرية، وقصص مزيفة، وأساليب ضغط نفسي لخداع الضحايا ودفعهم عن غير قصد إلى إيذاء أنفسهم أو مؤسساتهم.
في سيناريو تصيّد تقليدي، ينتحل المخترق صفة شخصية موثوقة من وجهة نظر الضحية — مثل زميل، أو مدير، أو شخصية اعتبارية، أو ممثل لعلامة تجارية معروفة. يرسل المخترق رسالة تطلب من الضحية دفع فاتورة، أو فتح مرفق، أو النقر على رابط، أو اتخاذ إجراء معين.
ونظرًا لثقة المستخدم في مصدر الرسالة الظاهري، فإنه يتبع التعليمات ويقع في فخ المخترق. قد تُحوِّل تلك 'الفاتورة' الأموال مباشرة إلى حساب المخترق. قد يؤدي هذا المرفق إلى تثبيت برامج الفدية على جهاز المستخدم. وقد يأخذ ذلك الرابط المستخدم إلى موقع إلكتروني يسرق أرقام بطاقات الائتمان، أو حسابات مصرفية، أو بيانات اعتماد تسجيل الدخول، أو أي بيانات شخصية أخرى.
يحظى التصيّد الاحتيالي بشعبية كبيرة بين المجرمين الإلكترونيين، وهو فعال للغاية. ووفقًا لتقرير تكلفة خرق البيانات الصادر عن IBM، يُعدّ التصيّد الاحتيالي أكثر وسائل خرق البيانات شيوعًا، ويمثل 15٪ من إجمالي الحوادث. وتبلغ متوسط تكلفة خروقات البيانات الناتجة عن التصيّد الاحتيالي 4.88 مليون دولار أمريكي لكل مؤسسة.
يُعد التصيّد الاحتيالي تهديدًا كبيرًا لأنه يستغل الأشخاص بدلًا من استغلال الثغرات التقنية. لا يحتاج المخترقون إلى اختراق الأنظمة بشكل مباشر أو التفوّق على أدوات الأمن السيبراني. يمكنهم خداع أشخاص يمتلكون صلاحية الوصول إلى الهدف — سواء كان مالًا، أو معلومات حساسة، أو غير ذلك — للقيام بالمهمة نيابةً عنهم.
يمكن أن يكون المحتالون محتالين وحيدين أو عصابات إجرامية متطورة. ويمكن أن تُستخدم هجمات التصيّد الاحتيالي في مجموعة واسعة من الأنشطة الضارة، مثل سرقة الهوية، والاحتيال ببطاقات الائتمان، وسرقة الأموال، والابتزاز، والاستيلاء على الحسابات، والتجسس، وغيرها.
وتستهدف هجمات التصيّد الاحتيالي الجميع، من الأفراد العاديين إلى المؤسسات الكبرى والهيئات الحكومية. في واحدة من أكثر الهجمات شهرة، استخدم مخترقون روس رسالة بريد إلكتروني مزيفة لإعادة تعيين كلمة المرور بهدف سرقة آلاف الرسائل من حملة Hillary Clinton الرئاسية في الولايات المتحدة عام 2016.1
ونظرًا لأن هذه الهجمات تعتمد على التلاعب بالبشر، فإن أدوات مراقبة الشبكة التقليدية لا يمكنها دائمًا اكتشافها أثناء وقوعها. بل إن فريق الدعم التقني في حملة Clinton آنذاك اعتقد أن رسائل إعادة تعيين كلمة المرور كانت من مستخدمين حقيقيين.
وللتصدي لهجمات التصيّد الاحتيالي، يتعيّن على المؤسسات دمج أدوات الكشف المتقدّمة عن التهديدات مع برامج توعية وتدريب شاملة للموظفين، لضمان قدرة المستخدمين على التعرّف على محاولات الاحتيال والتعامل معها بشكل آمن.
يقوم مصطلح "التصيّد الاحتيالي" على فكرة تشابه أسلوب المخترقين في استخدام طُعم جذاب لخداع الضحية، تمامًا كما يستخدم الصياد الطُعم للإيقاع بالأسماك. في التصيّد الاحتيالي، تكون "الطُعوم" رسائل احتيالية تبدو موثوقة وتستثير مشاعر قوية مثل الخوف أو الطمع أو الفضول.
وتعتمد أنواع الطُعوم التي يستخدمها المخترقون في التصيّد الاحتيالي على من يستهدفونه وما يسعون إليه. تشمل بعض أمثلة هجمات التصيّد الشائعة ما يلي:
في التصيّد عبر البريد الإلكتروني الجماعي، يرسل المخترقون رسائل عشوائية إلى أكبر عدد ممكن من الأشخاص، على أمل أن يقع جزء من الضحايا في الفخ.
وغالبًا ما يصمّم المخترقون رسائل تبدو كما لو كانت صادرة عن شركات كبيرة وحقيقية، مثل المصارف، أو متاجر إلكترونية، أو مطوّري تطبيقات شائعة. من خلال انتحال صفة علامات تجارية معروفة، يعزّز المخترقون احتمال أن يكون المتلقي عميلاً حقيقيًا لتلك العلامة. وإذا كان الضحية يتعامل مع العلامة التجارية بانتظام، فمن المرجح أن يفتح رسالة تصيّد احتيالي تزعم أنها صادرة عنها.
يبذل المجرمون الإلكترونيون جهدًا كبيرًا لجعل رسائل التصيّد الاحتيالي تبدو حقيقية. فقد يستخدمون شعار الجهة المُنتحلة وعلامتها التجارية. وقد يُزيّفون عنوان البريد الإلكتروني ليبدو كما لو أن الرسالة صادرة من نطاق الجهة المُنتحلة نفسها. بل وقد ينسخون رسالة إلكترونية حقيقية صادرة من تلك الجهة ويُعدّلونها لأغراض ضارة.
يعتمد المخترقون على عناوين جذابة تُثير المشاعر أو تُوحي بالإلحاح. ويستخدم المخترقون المتمرّسون مواضيع قد تستخدمها الجهة المُنتحلة فعليًا، مثل: "مشكلة في طلبك" أو "فاتورتك مرفقة".
يتضمن نص الرسالة تعليمات تُوجّه المتلقي لاتخاذ إجراء يبدو منطقيًا، لكن نتيجته تسريب معلومات حساسة أو تنزيل برمجيات ضارة. على سبيل المثال، قد يتضمن رابط تصيّد عبارة مثل: "انقر هنا لتحديث ملفك الشخصي." وعند النقر على الرابط، يتم تحويل الضحية إلى موقع وهمي يسرق بيانات تسجيل الدخول الخاصة به.
ويحرص بعض المخترقين على توقيت حملات التصيّد الخاصة بهم لتتزامن مع مواسم العطل أو المناسبات التي يكون فيها الأشخاص أكثر عرضة للضغوط. على سبيل المثال، تتصاعد هجمات التصيّد التي تستهدف عملاء Amazon غالبًا بالتزامن مع فعالية Prime Day — يوم التخفيضات السنوي للمتجر.2 يرسل المخترقون رسائل تتحدث عن عروض وهمية أو مشكلات في الدفع، مستغلين انخفاض يقظة المستخدمين خلال تلك الفترة.
التصيّد الموجّه هو هجوم تصيّد يستهدف شخصًا محددًا بعينه. وغالبًا ما يكون الهدف شخصًا يملك صلاحيات وصول إلى بيانات حساسة أو يتمتع بسلطة يمكن للمخترق استغلالها، مثل مدير مالي يمكنه تحويل الأموال من حسابات الشركة.
يقوم المخترق بدراسة الضحية وجمع المعلومات التي تمكّنه من انتحال صفة شخص يثق به الهدف، كصديق، أو مدير، أو زميل عمل، أو مورّد، أو مؤسسة مالية. وتُعدّ وسائل التواصل الاجتماعي ومنصات الشبكات المهنية — حيث يشارك الأشخاص التهاني، ويمنحون التوصيات، ويكشفون الكثير من المعلومات عن أنفسهم — مصدرًا غنيًا بالمعلومات التي تُستخدم في التخطيط لهجمات التصيّد الموجّه.
يستخدم المخترق ما جمعه من معلومات لصياغة رسائل تتضمن تفاصيل شخصية دقيقة، مما يجعلها تبدو شديدة المصداقية بالنسبة للضحية. على سبيل المثال، قد ينتحل مخترق في هجوم تصيّد موجّه شخصية مدير الضحية، ويرسل له رسالة بريد إلكتروني نصّها: "أعلم أنك ستغادر في إجازة هذا المساء، لكن هل يمكنك دفع هذه الفاتورة قبل نهاية دوام اليوم؟"
ويُطلق على هجوم التصيّد الموجّه الذي يستهدف مسؤولًا تنفيذيًا رفيع المستوى أو شخصًا ثريًا أو هدفًا عالي القيمة اسم تصيّد كبار الشخصيات (Whaling).
الاحتيال عبر البريد الإلكتروني الخاص بالأنشطة التجارية (BEC) هو نوع من هجمات التصيّد الموجّه التي تهدف إلى سرقة أموال أو معلومات قيّمة — مثل الأسرار التجارية أو بيانات العملاء أو المعلومات المالية — من مؤسسة تجارية أو منظمة أخرى.
تتخذ هجمات BEC أشكالاً مختلفة. من أكثرها شيوعًا:
تُعتبر هجمات BEC من بين أكثر الهجمات الإلكترونية تكلفة، إذ غالبًا ما يسرق المخترقون ملايين الدولارات في عملية واحدة. في أحد الأمثلة البارزة، تمكّنت مجموعة من المخترقين من سرقة أكثر من 100 مليون دولار أمريكي من شركتَي Facebook وGoogle من خلال انتحال صفة مورد برمجيات حقيقي..3
وبينما كان بعض المخترقين يعتمدون على هذه العمليات واسعة النطاق، بدأ آخرون في التحوّل نحو هجمات أصغر حجمًا تستهدف عددًا أكبر من الضحايا. وبحسب مجموعة مكافحة التصيّد الاحتيالي (APWG)، ازدادت وتيرة هجمات BEC في عام 2023، لكن المخترقين باتوا يطلبون مبالغ أقل في كل هجوم.4
التصيد الاحتيالي عبر الرسائل النصية القصيرة (smishing) يعتمد على إرسال رسائل نصية مزيفة لخداع الضحايا. غالبًا ما ينتحل المخترقون صفة شركة الاتصالات الخاصة بالضحية، ويرسلون له رسالة تدّعي تقديم "هدية مجانية" أو تطلب منه تحديث معلومات بطاقة الدفع.
في بعض الحالات، ينتحل المخترقون صفة هيئة البريد الأمريكية أو شركة شحن أخرى، ويرسلون رسائل نصية تطلب من الضحية دفع رسوم لاستلام طرد مزعوم.
التصيّد الصوتي (Vishing) هو نوع من التصيّد يتم عبر المكالمات الهاتفية. وقد شهد هذا النوع من الهجمات تصاعدًا كبيرًا في السنوات الأخيرة، إذ ارتفعت الحوادث بنسبة 260٪ بين عامي 2022 و2023 وفقًا لمجموعة APWG.5 يرجع هذا الارتفاع جزئيًا إلى سهولة استخدام تقنيات الاتصال الصوتي عبر الإنترنت (VoIP)، والتي تتيح للمخترقين إجراء ملايين المكالمات الآلية يوميًا.
وغالبًا ما يستخدم المخترقون تقنيات انتحال هوية المتصل (Caller ID Spoofing) لجعل المكالمة تبدو وكأنها واردة من جهة حقيقية أو من رقم محلي مألوف. عادةً ما تتضمّن مكالمات التصيّد الصوتي تحذيرات تُثير الخوف، مثل مشكلة في معالجة بطاقة الائتمان، أو دفعة متأخرة، أو إجراء قانوني وشيك. ينتهي المطاف بالضحايا بتقديم بيانات حساسة أو تحويل أموال إلى المجرمين الإلكترونيين "لحل" المشكلة.
يعتمد التصيّد عبر وسائل التواصل الاجتماعي على استغلال منصات التواصل لخداع المستخدمين. يستخدم المخترقون وظائف المراسلة المدمجة في المنصات — مثل Facebook Messenger، ورسائل InMail في LinkedIn، والرسائل الخاصة في X (المعروف سابقًا باسم Twitter) — بالطريقة نفسها التي يُستخدم بها البريد الإلكتروني أو الرسائل النصية.
غالبًا ما ينتحل المخترقون صفة مستخدمين يطلبون من الضحية مساعدتهم في تسجيل الدخول إلى حسابهم، أو مساعدتهم في الفوز بمسابقة. ومن خلال هذه الحيلة، يحصل المخترقون على بيانات اعتماد تسجيل الدخول الخاصة بالضحية، ويستولون على حسابه في المنصة. وتكون هذه الهجمات مكلفة بشكل خاص في حال كان المستخدم يعيد استخدام كلمات المرور نفسها عبر عدة حسابات — وهي ممارسة شائعة للغاية.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
يواصل المخترقون ابتكار أساليب جديدة في التصيّد لتجنّب الاكتشاف. ومن بين أبرز التطورات الحديثة:
يعتمد التصيّد باستخدام الذكاء الاصطناعي على أدوات الذكاء الاصطناعي التوليدي لإنشاء رسائل تصيّد. تُنتج هذه الأدوات رسائل بريد إلكتروني أو نصية مصمّمة خصيصًا، وخالية من الأخطاء الإملائية أو النحوية أو غيرها من المؤشرات التقليدية على التصيّد.
كما يساعد الذكاء الاصطناعي التوليدي المخترقين على توسيع نطاق عملياتهم. وبحسب تقرير X-Force Threat Intelligence Index الصادر عن IBM،يحتاج المخترق إلى 16 ساعة لصياغة رسالة تصيد يدويًا. أما باستخدام الذكاء الاصطناعي، فيمكنه إنشاء رسالة أكثر إقناعًا خلال خمس دقائق فقط.
ويستخدم المخترقون أيضًا أدوات توليد الصور وتوليف الصوت لإضفاء مزيد من المصداقية على مخططاتهم. فعلى سبيل المثال، في عام 2019، استخدم مخترقون الذكاء الاصطناعي لتقليد صوت الرئيس التنفيذي (CEO) لشركة طاقة، وخدعوا مدير بنك لتحويل 243,000 دولار أمريكي.7
يستخدم Quishing رموز QR مزيفة تُدرج في رسائل البريد الإلكتروني أو الرسائل النصية، أو تُنشر في الأماكن العامة. ويُتيح هذا النوع من الهجمات للمخترقين إخفاء روابط المواقع الضارة والبرمجيات الضارّة في العلن.
فعلى سبيل المثال، حذّرت لجنة التجارة الفيدرالية الأمريكية (FTC) العام الماضي من عملية احتيال استُبدلت فيها رموز QR الموجودة على أجهزة دفع مواقف السيارات العامة برموز مزيفة تسرق بيانات الدفع.6
يجمع التصيّد الصوتي الهجين بين التصيّد عبر المكالمات الهاتفية (Vishing) وأساليب أخرى لتفادي مرشحات الرسائل المزعجة وكسب ثقة الضحية.
فعلى سبيل المثال، قد يرسل مخترق رسالة بريد إلكتروني تدّعي أنها صادرة عن مصلحة الضرائب الأمريكية (IRS). وتُخبر الرسالة الضحية بوجود مشكلة في الإقرار الضريبي. ولحل المشكلة، يُطلب من الضحية الاتصال برقم هاتف مرفق في الرسالة — والذي يصل به مباشرة إلى المخترق.
رغم أن التفاصيل تختلف من حالة لأخرى، إلا أن هناك علامات شائعة يمكن أن تشير إلى أن الرسالة قد تكون محاولة تصيّد. تشمل علامات هجوم التصيّد الاحتيالي ما يلي:
تسعى عمليات التصيّد الاحتيالي إلى إثارة شعور بالإلحاح لدى الضحايا، كي يتصرفوا بسرعة دون التفكير. غالبًا ما يعتمد المخترقون على مشاعر قوية مثل الخوف، أو الطمع، أو الفضول. وقد يفرضون مهلًا زمنية قصيرة ويهددون بعواقب غير واقعية، مثل السجن.
ومن الحِيَل الشائعة في هجمات التصيّد:
عادةً ما تطلب هجمات التصيّد أحد أمرين: المال أو البيانات. الطلبات المفاجئة أو غير المتوقعة للدفع أو لمعلومات شخصية قد تكون من علامات التصيّد الاحتيالي.
يُخفي المخترقون طلباتهم المالية في شكل فواتير متأخرة أو غرامات أو رسوم خدمات. كما يُخفون طلبات الحصول على البيانات في شكل إشعارات لتحديث معلومات الدفع أو الحساب، أو إعادة تعيين كلمة المرور.
نظرًا لأن العديد من عصابات التصيّد تعمل على مستوى دولي، فإنها غالبًا ما تكتب الرسائل بلغات لا تُجيدها بطلاقة. لذلك، تحتوي الكثير من رسائل التصيّد على أخطاء نحوية أو تناقضات لغوية.
الرسائل الصادرة عن علامات تجارية شرعية غالبًا ما تحتوي على تفاصيل محددة. قد يخاطبون العملاء بالاسم، أو يشير إلى أرقام الطلبات المحددة أو يشرحون تفاصيل المشكلة. أما الرسائل التي تحتوي على عبارات غامضة مثل: "هناك مشكلة في حسابك"، دون أي تفاصيل إضافية، فهي مؤشر خطر.
كثيرًا ما يستخدم المخترقون روابط إلكترونية وعناوين بريد تبدو حقيقية عند النظرة الأولى. على سبيل المثال، قد تبدو الرسالة من: "admin@rnicrosoft.com" آمنة، لكن إذا دققت النظر ستلاحظ أن "m" في "Microsoft" هي في الواقع "r" و"n".
ومن الحِيَل الشائعة أيضًا استخدام روابط مثل: "bankingapp.scamsite.com". قد يظن المستخدم أن الرابط يتبع "bankingapp.com"، لكنه في الحقيقة تابع للنطاق "scamsite.com". وقد يستخدم المخترقون أيضًا خدمات اختصار الروابط لإخفاء الوجهة الحقيقية للروابط الضارة.
قد يُرسل المخترقون ملفات ومرفقات لم يطلبها الهدف ولم يكن يتوقعها. وقد يستخدمون صورًا تحتوي على نصوص بدلاً من النصوص الفعلية في الرسائل وصفحات الويب، لتفادي مرشّحات الرسائل المزعجة.
يستغل بعض المخترقين القضايا الحساسة لإثارة مشاعر الضحايا. فعلى سبيل المثال، وجدت IBM® X-Force® أن المخترقين يستخدمون الصراع في أوكرانيا بشكل متكرر لاستثارة مشاعر أهدافهم.
نظرًا لأن هجمات التصيّد الاحتيالي تستهدف الأشخاص، فإن الموظفين غالبًا ما يكونون خط الدفاع الأول والأخير في وجه هذه الهجمات. يمكن للمؤسسات أن تُعلّم موظفيها كيفية التعرف على علامات التصيّد الاحتيالي والتعامل مع رسائل البريد الإلكتروني والرسائل النصية المشبوهة. وقد يشمل ذلك توفير طرق سهلة للإبلاغ عن محاولات التصيّد إلى فريق تكنولوجيا المعلومات أو فريق الأمن الإلكتروني.
كما يمكن للمؤسسات وضع سياسات وإجراءات تُصعّب على المخترقين تحقيق أهدافهم.
فعلى سبيل المثال، يمكن منع الموظفين من تنفيذ تحويلات مالية عبر البريد الإلكتروني. كما يمكن إلزام الموظفين بتأكيد أي طلب مالي أو متعلق بمعلومات حساسة عبر وسيلة تواصل بديلة عن تلك الواردة في الرسالة. على سبيل المثال، يمكن للموظف إدخال عنوان الموقع الإلكتروني يدويًا في المتصفح بدلًا من النقر على الرابط، أو الاتصال على رقم المكتب المباشر للزميل بدلًا من الرد على رسالة نصية واردة من رقم غير معروف.
يمكن للمؤسسات تعزيز تدريب الموظفين وسياساتها المؤسسية من خلال أدوات أمان تساعد على اكتشاف رسائل التصيّد والتصدي للمخترقين الذين يستخدمونها لاختراق الشبكات.
1 How Russian hackers pried into Clinton campaign emails, Associated Press, 4 November 2017.
2 How cybercriminals are targeting Amazon Prime Day shoppers, TechRepublic, 6 July 2022.
3 How this scammer used phishing emails to steal over USD 100 million from Google and Facebook, CNBC, 27 March 2019.
4, 5 Phishing Activity Trends Report, Anti-Phishing Working Group, 13 February 2024.
6 Quishing is the new phishing, ZDNET, 11 December 2023.
7 That panicky call from a relative? It could be a thief using a voice clone, FTC warns, NPR, 22 March 2023.