ما هو التصيد عبر الرسائل النصية القصيرة (SMS Phishing)؟

تم التحديث: 10 يونيو 2024

المساهم: Matthew Kosinski

ما هو التصيد عبر الرسائل النصية القصيرة؟

التصيّد عبر الرسائل النصية القصيرة هو هجوم هندسة اجتماعية يستخدم رسائل نصية مزيفة لخداع الأشخاص لتحميل برنامج ضار أو مشاركة معلومات حساسة أو إرسال أموال إلى مجرمين إلكترونيين. يعد مصطلح "التصيد عبر الرسائل النصية القصيرة" مزيجًا من "الرسائل النصية القصيرة"—أو "خدمة الرسائل القصيرة"، وهي تقنية تجمع بين الرسائل النصية - و"التصيد الاحتيالي".

التصيد عبر الرسائل النصية القصيرة هو شكل من أشكال الجرائم الإلكترونية التي تزداد شيوعًا. وفقًا لتقرير Proofpoint لعام 2024 عن حالة الاحتيال، فإن 75% من المؤسسات تعرضت لهجمات التصيد عبر الرسائل النصية القصيرة في عام 2023.¹

وقد ساهمت عدة عوامل في ارتفاع معدل التصيد عبر الرسائل النصية القصيرة. فمن ناحية، يعرف المخترقون الذين يشنون هذه الهجمات، والذين يُطلق عليهم أحيانًا اسم "المتصيدون عبر الرسائل النصية القصيرة"، أنه من المرجح أن ينقر الضحايا على الرسائل النصية أكثر من الروابط الأخرى. في الوقت نفسه، أدى التقدم في عوامل تصفية الرسائل غير المرغوب فيها إلى صعوبة وصول أشكال أخرى من التصيد الاحتيالي، مثل رسائل البريد الإلكتروني والمكالمات الهاتفية، إلى أهدافها.

كما أدت زيادة ترتيبات أحضر جهازك معك (BYOD) وترتيبات العمل عن بًعد إلى زيادة عدد الأشخاص الذين يستخدمون أجهزتهم المحمولة في العمل، ما سهل على المجرمين الإلكترونيين الوصول إلى شبكات الشركة من خلال الهواتف المحمولة للموظفين.

حدد موعد لقاء فردي لاكتشاف ®X-Force

يمكن لفريق X-Force الذي يضم مخترقين ومستجيبين وباحثين ومحللين استخباريين مناقشة التحديات الأمنية الخاصة بمؤسستك، وتوضيح كيف يمكننا مساعدتك.

محتوى ذو صلة

سجِّل للحصول على تقرير تكلفة خرق البيانات

كيف تعمل هجمات التصيد عبر الرسائل النصية القصيرة

تتشابه هجمات التصيد عبر الرسائل النصية القصيرة مع أنواع أخرى من هجمات التصيّد الاحتيالي، حيث يستخدم المحتالون رسائل زائفة وروابط خبيثة لخداع الأشخاص لاختراق هواتفهم المحمولة أو حساباتهم المصرفية أو بيانات الشخصية. الفرق الرئيسي هو الوسيط. في هجمات التصيد عبر الرسائل النصية القصيرة، يستخدم المحتالون الرسائل النصية القصيرة أو تطبيقات المراسلة لتنفيذ جرائمهم الإلكترونية بدلاً من البريد الإلكتروني أو المكالمات الهاتفية.

يفضل المحتالون التصيد عبر الرسائل النصية القصيرة على الأنواع الأخرى من هجمات التصيد الاحتيالي لأسباب مختلفة. تظهر الأبحاث أنه من المرجح أن ينقر الأشخاص على الروابط في الرسائل النصية. تشير تقارير Klaviyo إلى أن معدلات النقر على الرسائل النصية القصيرة تتراوح بين 8.9% و14.5%.² وعلى سبيل المقارنة، يبلغ متوسط معدل النقر على رسائل البريد الإلكتروني 2%، وفقًا لشركة Constant Contact^.3

وبالإضافة إلى ذلك، يمكن أن يخفي المحتالون مصدر رسائل الاحتيال عن طريق استخدام أساليب مثل انتحال أرقام الهواتف باستخدام هواتف غير قابلة للتبع أو استخدام برامج لإرسال رسائل نصية عن طريق البريد الإلكتروني.

من الصعب أيضًا اكتشاف الروابط الخطيرة على الهواتف المحمولة. يمكن أن يحرك المستخدمون الماوس فوق الرابط على جهاز كمبيوتر لمعرفة إلى أين يؤدي. ولكن ليس لديهم هذا الخيار في الهواتف الذكية. كما اعتاد الناس أيضًا على البنوك والعلامات التجارية التي تتواصل معهم عبر الرسائل النصية القصيرة، وتلقي عناوين URL مختصرة في الرسائل النصية.

في عام 2020، فرضت لجنة الاتصالات الفيدرالية (FCC) على شركات الاتصالات اتباع بروتوكول STIR/SHAKEN. يصادق STIR/SHAKEN على المكالمات الهاتفية، وهو السبب في أن بعض الهواتف المحمولة تعرض الآن "احتيال محتمل" أو "رسائل مزعجة محتملة" عندما تتصل أرقام مشبوهة.

في حين أن هذه القاعدة جعلت اكتشاف مكالمات الاحتيال أسهل، إلا أنه لم يكن لها نفس التأثير على الرسائل النصية، ما دفع العديد من المحتالين إلى تحويل تركيزهم إلى هجمات التصيد عبر الرسائل النصية.

أمثلة على عمليات الاحتيال عبر الرسائل النصية

على غرار الأشكال الأخرى للهندسة الاجتماعية، تعتمد معظم أنواع هجمات التصيد عبر الرسائل النصية على التظاهر الاحتيالي الذي ينطوي على استخدام قصص وهمية للتلاعب بمشاعر الضحايا وخداعهم لتنفيذ أوامر المحتال.

تظاهر المحتال بأنه مؤسسة مالية

قد يتظاهر المحتالون بأنهم البنك الذي يتعامل معه الضحية لتنبيهه إلى وجود مشكلة في حسابه، ويكون ذلك في أغلب الأحيان من خلال إشعار مزيف. إذا نقر الضحية على الرابط، فإنه ينقله إلى موقع إلكتروني أو تطبيق مزيف يسرق معلومات مالية حساسة مثل PIN، وبيانات الاعتماد لتسجيل الدخول، وكلمات المرور، ومعلومات الحساب المصرفي أو معلومات بطاقة الائتمان.

ووفقًا للجنة التجارة الفيدرالية (FTC)، فإن انتحال شخصية البنك هو أكثر عمليات الاحتيال شيوعًا، حيث يمثل 10% من جميع رسائل التصيد عبر الرسائل النصية القصيرة.⁴

تظاهر المحتال بأنه الحكومة

قد يتظاهر المحتالون بأنهم ضباط شرطة أو ممثلين عن مصلحة الضرائب أو غيرهم من مسؤولي الهيئات الحكومية. غالبًا ما تدعي نصوص الرسائل النصية القصيرة الاحتيالية أن الضحية عليه غرامة أو يجب أن يتصرف للمطالبة بميزة حكومية.

على سبيل المثال، أصدر مكتب التحقيقات الفيدرالي (FBI) تحذيرًا في أبريل 2024 من عملية تصيد عبر الرسائل النصية القصيرة تستهدف برامج التشغيل الأمريكية.⁵ يرسل المحتالون رسائل نصية يتظاهرون فيها بأنهم من وكالات تحصيل الرسوم ويدّعون أن الهدف مدين برسوم طريق غير مدفوعة. تحتوي الرسائل على رابط لموقع مزيف يسرق أموال الضحايا ومعلوماتهم.

تظاهر المحتال بأنه من دعم العملاء

يتظاهر المهاجمون بأنهم وكلاء دعم العملاء من العلامات التجارية وتجار التجزئة الموثوق بهم مثل Amazon أو Microsoft أو حتى مزود الخدمة اللاسلكية للضحية. ويقولون عادةً أن هناك مشكلة في حساب الضحية أو مكافأة غير مستلمة أو استرداد للأموال. توجه هذه الرسائل النصية عادة الضحية إلى موقع إلكتروني مزيف يسرق أرقام بطاقاتهم الائتمانية أو معلوماتهم المصرفية.

تظاهر المحتال بأنه شركة شحن

تدّعي رسائل التصيد عبر الرسائل النصية القصيرة أنها واردة من شركة شحن مثل FedEx أو UPS أو خدمة البريد الأمريكية. وتخبر الضحية بوجود مشكلة في توصيل الطرد، وتطلب منه دفع "رسوم توصيل الطرد" أو تسجيل الدخول إلى حسابه لحل المشكلة. ثم يأخذ المحتالون الأموال أو معلومات الحساب ويهربون. هذه الحيل شائعة في فترة العطلات عندما ينتظر الكثير من الناس الطرود.

تظاهر المحتال بأنه رئيس أو زميل في العمل

في اختراق الرسائل النصية ذات الصلة بالأعمال (على غرار اختراق البريد الإلكتروني الخاص بالعمل، ولكن عن طريق الرسائل النصية القصيرة)، يتظاهر المخترقون بأنهم رئيس أو زميل عمل أو زميل أو بائع أو محامٍ يحتاج إلى مساعدة في مهمة عاجلة. وغالباً ما تطلب عمليات الاحتيال هذه اتخاذ إجراء فوري وتنتهي بإرسال الضحية أموالاً إلى المخترقين.

التظاهر بإرسال رسالة نصية إلى رقم خاطئ

يرسل المحتالون رسالة نصية تبدو وكأنها موجهة لشخص آخر غير الضحية. عندما تصحح الضحية "خطأ" المحتال، يبدأ المحتال محادثة مع الضحية.

عادة تكون عمليات الاحتيال بالأرقام الخاطئة طويلة الأمد، حيث يحاول المحتال كسب صداقة الضحية وثقته من خلال الاتصال المتكرر على مدار أشهر أو حتى سنوات. وقد يتظاهر المحتال بتكوين مشاعر رومانسية تجاه الضحية. الهدف هو سرقة أموال الضحية من خلال فرصة استثمار وهمية أو طلب قرض أو قصة مشابهة.

التظاهر بإغلاق حساب

في هذا النوع من الاحتيال الذي يُطلق عليه الاحتيال بالمصادقة متعددة العوامل (MFA)، يحاول أحد المخترقين الذي لديه بالفعل اسم مستخدم وكلمة مرور الضحية سرقة رمز التحقق أو كلمة المرور لمرة واحدة المطلوبة للوصول إلى حساب الضحية.

قد يتظاهر المخترق بأنه أحد أصدقاء الضحية، ويدّعي أن حسابه على إنستغرام أو فيسبوك قد أُغلق، ويطلب من الضحية الحصول على رمز له. يحصل الضحية على رمز MFA —الذي هو في الواقع لحسابه الخاص— ويعطيه المخترق.

التظاهر بتقديم تطبيقات مجانية

تخدع بعض حيل التصيد عبر الرسائل النصية القصيرة الضحايا لتحميل تطبيقات تبدو مشروعة —على سبيل المثال، File Manager، أو تطبيقات الدفع الرقمي، أو حتى تطبيقات مكافحة الفيروسات—وهي في الواقع برامج ضارّة أو برامج فدية.

التصيد عبر الرسائل النصية القصيرة مقابل التصيد الاحتيالي مقابل التصيد الصوتي

التصيّد الاحتيالي هو مصطلح واسع النطاق للهجمات الإلكترونية التي تستخدم الهندسة الاجتماعية لخداع الضحايا لدفع المال أو نقل معلومات حساسة أو تنزيل برنامج ضار. التصيد عبر الرسائل النصية القصيرة والتصيد الصوتي هما نوعان فقط من هجمات التصيد الاحتيالي التي يمكن للمخترقين استخدامها مع ضحاياهم.

يتمثل الفرق الرئيسي بين الأنواع المختلفة من هجمات التصيد الاحتيالي في الوسيلة المستخدمة لتنفيذ الهجمات. في هجمات التصيد عبر الرسائل النصية القصيرة، يستهدف المخترقون ضحاياهم باستخدام الرسائل النصية أو الرسائل القصيرة. في هجمات التصيد الصوتي (اختصارًا لـ "voice phishing")، يستخدم المخترقون الاتصالات الصوتية مثل المكالمات الهاتفية ورسائل البريد الصوتي للتظاهر بأنهم مؤسسات شرعية والتلاعب بالضحايا.

مكافحة الهجمات عبر الرسائل النصية القصيرة

للمساعدة في مكافحة عمليات الاحتيال عبر الرسائل النصية القصيرة، اعتمدت لجنة FCC قاعدة جديدة تتطلب من مقدمي خدمات الاتصالات اللاسلكية حظر الرسائل النصية غير المرغوب فيها المحتملة من الأرقام المشبوهة، بما في ذلك أرقام الهواتف غير المستخدمة أو غير الصالحة.⁶

ومع ذلك، لا يوجد عامل تصفية مثالي للرسائل غير المرغوب فيها، ويعمل المجرم الإلكتروني دائمًا على إيجاد طرق للتحايل على هذه التدابير. يمكن للأفراد والمؤسسات اتخاذ خطوات إضافية لتعزيز دفاعاتهم ضد هجمات التصيد عبر الرسائل النصية القصيرة، بما في ذلك:

حلول الأمن الإلكتروني للأجهزة المحمولة

تحتوي أنظمة تشغيل Android وiOS على وسائل حماية ووظائف مدمجة، مثل حظر التطبيقات غير المعتمدة وتصفية النصوص المشبوهة إلى مجلد الرسائل غير المرغوب فيها.

على مستوى المؤسسة، يمكن للشركات استخدام حلول إدارة نقاط النهاية الموحدة (UEM) وأدوات الكشف عن الاحتيال لتعيين ضوابط لأمن الأجهزة المحمولة، وفرض سياسات أمنية، واعتراض الأنشطة الضارة.

التدريب على التوعية الأمنية

يمكن للمؤسسات أن توقف المزيد من عمليات الاحتيال من خلال تدريب الموظفين على التعرف على العلامات التحذيرية للهجمات الإلكترونية ومحاولات التصيد عبر الرسائل النصية القصيرة، مثل أرقام الهواتف غير المعتادة، والمرسلين غير المعروفين، وعناوين URL غير المتوقعة، والشعور المتزايد بالإلحاح.

تستخدم العديد من المؤسسات عمليات محاكاة التصيد عبر الرسائل النصية القصيرة لمساعدة الموظفين على التدرب على مهارات الأمن الإلكتروني الجديدة. يمكن أن تساعد هذه المحاكاة أيضًا فرق الأمن في الكشف عن نقاط الضعف في أنظمة الكمبيوتر والسياسات التنظيمية التي تعرض الشركة لعمليات الاحتيال.

يمكن أن تعالج المؤسسات هذه الثغرات من خلال الجمع بين أدوات كشف التهديدات، وسياسات التعامل مع البيانات الحساسة، وتفويض المدفوعات، وطلبات التحقق قبل التصرف فيها.

حلول ذات صلة

حلول الدفاع ضد التهديدات على الأجهزة المحمولة (MTD)

ويشتمل ®IBM Security ® MaaS360 على حزمة شاملة ومضمّنة للدفاع ضد التهديدات على الأجهزة المحمولة (MTD) والتي تساعدك على اتباع نهج يتمحور حول المستخدم والأمن إزاء إدارة نقاط النهاية الموحدة (UEM).

استكشف حلول الدفاع ضد التهديدات على الأجهزة المحمولة

IBM Security® Trusteer® Pinpoint Assure

تعد IBM Security Trusteer Pinpoint Assure إحدى أدوات البرمجيات كخدمة (SaaS) لكشف مخاطر الهوية للمستخدمين الضيوف وأثناء إنشاء الحساب الرقمي والتنبؤ بها.

استكشف Trusteer Pinpoint Assure

®IBM Storage FlashSystem

التخزين لتحقيق مرونة البيانات في حالة حدوث هجوم إلكتروني. يراقب نظام الذاكرة الوميضية IBM Storage باستمرار الإحصائيات التي يتم جمعها من كل عملية إدخال/إخراج باستخدام نماذج التعلم الآلي لكشف الحالات الشاذة مثل برامج الفدية في أقل من دقيقة.

استكشِف IBM Storage FlashSystem

الموارد

مؤشر X-Force Threat Intelligence

يُشكل فهم الأساليب التي يتبعها المهاجمون أهمية كبيرة في حماية موظفيك وبياناتك وبنيتك التحتية. تمكَّن من تعزيز قدراتك ومعرفتك من خلال التعلم من التحديات والنجاحات التي واجهتها فِرَق الأمان في جميع أنحاء العالم.

الأمن الإلكتروني في عام 2024: استغلال سطح الهجوم البشري، والتغيرات والتحولات للتهديدات الإلكترونية

تعرّف على كيف يحول المجرمون الإلكترونيون تركيزهم إلى المسارات الأقل مقاومة، ويستغلون "سطح الهجوم البشري" لتحقيق أهدافهم.

التحوّل من الأمن الإلكتروني إلى المرونة الإلكترونية

ألقِ نظرة أعمق على مفهوم المرونة الإلكترونية التي لا تدافع ضد الهجمات الإلكترونية فحسب، بل تضع حلولاً للتعافي من أجل العودة إلى الوضع الطبيعي بأسرع وقت ممكن في حال وقوع هجوم.

الحواشي

تؤدي كل الروابط إلى صفحات خارج ibm.com

¹2024State of the Phish. Proofpoint.

²Campaign SMS and MMS benchmarks. Klaviyo. 7 June 2024.

³Average industry rates for email as of April 2024. Constant Contact. 9 May 2024.

⁴New FTC data analysis shows bank impersonation is most-reported text message scam. Federal Trade Commission. 8 June 2023.

⁵ Did you get a text about unpaid road tolls? It could be a 'smishing' scam, FBI says. USA Today. 18 April 2024.

⁶FCC adopts its first rules focused on scam texting. Federal Communications Commission. 17 May 2023.