القائمة
الدليل النهائي لفهم التصيد الاحتيالي في عام 2023
إذا ماذا التصيد?
التصيد الاحتيالي هو شكل من أشكال الهندسة الاجتماعية يخدع الأشخاص للكشف عن كلمات المرور أو كلمات المرور الخاصة بهم معلومات. يمكن أن تكون هجمات التصيد في شكل رسائل بريد إلكتروني ورسائل نصية ومكالمات هاتفية.
عادةً ما تشكل هذه الهجمات خدمات وشركات شائعة يتعرف عليها الناس بسهولة.
عندما ينقر المستخدمون فوق ارتباط تصيد في نص رسالة بريد إلكتروني ، يتم إرسالهم إلى إصدار مشابه لموقع يثقون فيه. يُطلب منهم بيانات اعتماد تسجيل الدخول الخاصة بهم في هذه المرحلة من عملية التصيد الاحتيالي. بمجرد إدخال معلوماتهم على موقع الويب المزيف ، يكون لدى المهاجم ما يحتاجون إليه للوصول إلى حسابهم الحقيقي.
يمكن أن تؤدي هجمات التصيد الاحتيالي إلى معلومات شخصية أو معلومات مالية أو معلومات صحية مسروقة. بمجرد وصول المهاجم إلى حساب واحد ، يقوم إما ببيع الوصول إلى الحساب أو استخدام هذه المعلومات لاختراق حسابات أخرى للضحية.
بمجرد بيع الحساب ، سيشتري الشخص الذي يعرف كيفية الاستفادة من الحساب بيانات اعتماد الحساب من الويب المظلم ، ويستفيد من البيانات المسروقة.
فيما يلي تصور لمساعدتك على فهم خطوات هجوم التصيد الاحتيالي:
تأتي هجمات التصيد في أشكال مختلفة. يمكن أن يعمل التصيد الاحتيالي من خلال مكالمة هاتفية أو رسالة نصية أو بريد إلكتروني أو رسالة وسائط اجتماعية.
تعد رسائل التصيد الاحتيالي العامة أكثر أنواع هجمات التصيد الاحتيالي شيوعًا. مثل هذه الهجمات شائعة لأنها تتطلب أقل قدر من الجهد.
يأخذ المتسللون قائمة بعناوين البريد الإلكتروني المرتبطة بحسابات Paypal أو حسابات الوسائط الاجتماعية ويرسلون ملف إرسال بريد إلكتروني جماعي للضحايا المحتملين.
عندما ينقر الضحية على الرابط في البريد الإلكتروني ، غالبًا ما يأخذهم إلى نسخة مزيفة من موقع ويب شهير ويطلب منهم تسجيل الدخول باستخدام معلومات حسابهم. بمجرد إرسال معلومات حسابهم ، يكون لدى المتسلل ما يحتاجون إليه للوصول إلى حسابهم.
بمعنى ما ، هذا النوع من التصيد هو مثل إلقاء شبكة في مدرسة للأسماك ؛ في حين أن الأشكال الأخرى من التصيد الاحتيالي هي جهود أكثر استهدافًا.
التصيد بالرمح هو عندما مهاجم يستهدف فردًا معينًا بدلاً من إرسال بريد إلكتروني عام إلى مجموعة من الأشخاص.
تحاول هجمات التصيد بالرمح معالجة الهدف على وجه التحديد وتنكر نفسها كشخص قد تعرفه الضحية.
تكون هذه الهجمات أسهل بالنسبة للمخادع إذا كانت لديك معلومات تعريف شخصية على الإنترنت. المهاجم قادر على البحث عنك وشبكتك لصياغة رسالة ذات صلة ومقنعة.
نظرًا للكم الكبير من التخصيص ، يصعب التعرف على هجمات التصيد بالرمح مقارنة بهجمات التصيد الاحتيالي العادية.
كما أنها أقل شيوعًا ، لأنها تستغرق وقتًا أطول للمجرمين لإخراجها بنجاح.
سؤال: ما هو معدل نجاح البريد الإلكتروني الخادع؟
الإجابة: رسائل البريد الإلكتروني Spearphishing لديها متوسط معدل فتح البريد الإلكتروني 70% و 50% من المستلمين انقر فوق ارتباط في البريد الإلكتروني.
بالمقارنة مع هجمات التصيد بالرمح ، فإن هجمات صيد الحيتان أكثر استهدافًا بشكل كبير.
تستهدف هجمات صيد الحيتان أفرادًا في مؤسسة مثل الرئيس التنفيذي أو المدير المالي للشركة.
أحد أكثر أهداف هجمات صيد الحيتان شيوعًا هو التلاعب بالضحية لتحويل مبالغ كبيرة من المال إلى المهاجم.
على غرار التصيد الاحتيالي المعتاد من حيث أن الهجوم في شكل بريد إلكتروني ، قد يستخدم صيد الحيتان شعارات الشركة وعناوين مماثلة لإخفاء أنفسهم.
في بعض الحالات ، ينتحل المهاجم صفة المدير التنفيذي واستخدم هذه الشخصية لإقناع موظف آخر بالكشف عن البيانات المالية أو تحويل الأموال إلى حساب المهاجمين.
نظرًا لأن الموظفين أقل عرضة لرفض طلب من شخص أعلى ، فإن هذه الهجمات تكون أكثر خداعًا.
غالبًا ما يقضي المهاجمون وقتًا أطول في صياغة هجوم لصيد الحيتان لأنهم يميلون إلى تحقيق نتائج أفضل.
يشير اسم "صيد الحيتان" إلى حقيقة أن الأهداف تتمتع بقوة مالية أكبر (المدير التنفيذي).
الصياد الاحتيالي نسبيًا نوع جديد من هجوم التصيد وموجود على وسائل التواصل الاجتماعي.
إنهم لا يتبعون تنسيق البريد الإلكتروني التقليدي لهجمات التصيد الاحتيالي.
بدلاً من ذلك ، يتنكرون كممثلين لخدمة العملاء للشركات ويخدعون الأشخاص لإرسال معلومات إليهم من خلال الرسائل المباشرة.
تتمثل إحدى عمليات الاحتيال الشائعة في إرسال الأشخاص إلى موقع ويب وهمي لدعم العملاء يقوم بتنزيل برامج ضارة أو بعبارة أخرى الفدية على جهاز الضحية.
هجوم التصيد هو عندما يتصل بك محتال لمحاولة جمع معلومات شخصية منك.
عادة ما يتظاهر المحتالون بأنهم شركة أو مؤسسة ذات سمعة طيبة مثل Microsoft أو IRS أو حتى البنك الذي تتعامل معه.
يستخدمون تكتيكات الخوف لإقناعك بالكشف عن بيانات الحساب المهمة.
هذا يسمح لهم بالوصول المباشر أو غير المباشر إلى حساباتك المهمة.
تعتبر هجمات التصيد الاحتيالي خادعة.
يمكن للمهاجمين انتحال شخصية الأشخاص الذين تثق بهم بسهولة.
شاهد مؤسس Hailbytes David McHale يتحدث عن كيفية اختفاء المكالمات الآلية مع التكنولوجيا المستقبلية.
تحدث معظم هجمات التصيد الاحتيالي من خلال رسائل البريد الإلكتروني ، ولكن هناك طرقًا لتحديد شرعيتها.
عندما تفتح بريدًا إلكترونيًا تحقق لمعرفة ما إذا كان من مجال بريد إلكتروني عام أم لا (على سبيل المثال @ gmail.com).
إذا كان من مجال بريد إلكتروني عام ، فمن المرجح أن يكون هجوم تصيد لأن المؤسسات لا تستخدم المجالات العامة.
بدلاً من ذلك ، ستكون نطاقاتهم فريدة بالنسبة إلى أعمالهم (على سبيل المثال ، نطاق البريد الإلكتروني لـ Google هو google.com @).
ومع ذلك ، هناك هجمات تصيد أكثر تعقيدًا تستخدم مجالًا فريدًا.
من المفيد إجراء بحث سريع عن الشركة والتحقق من شرعيتها.
تحاول هجمات التصيد الاحتيالي دائمًا أن تصادقك بتحية لطيفة أو تعاطف.
على سبيل المثال ، وجدت في الرسائل غير المرغوب فيها منذ وقت ليس ببعيد رسالة بريد إلكتروني للتصيد الاحتيالي مع تحية "صديقي العزيز".
كنت أعرف بالفعل أن هذا كان بريدًا إلكترونيًا للتصيد الاحتيالي كما ورد في سطر الموضوع ، "أخبار جيدة عن أموالك 21/06/2020".
يجب أن تكون رؤية هذه الأنواع من التحيات بمثابة علامات حمراء فورية إذا لم تتفاعل مع جهة الاتصال هذه مطلقًا.
تعتبر محتويات رسالة البريد الإلكتروني المخادعة مهمة للغاية ، وسترى بعض الميزات المميزة التي تشكل معظمها.
إذا بدت المحتويات سخيفة ، فعلى الأرجح أنها عملية احتيال.
على سبيل المثال ، إذا قال سطر الموضوع ، "لقد ربحت اليانصيب 1000000 دولار" ولم تتذكر المشاركة ، فهذه علامة حمراء.
عندما يخلق المحتوى إحساسًا بالإلحاح مثل "يعتمد الأمر عليك" ويؤدي إلى النقر فوق رابط مريب ، فمن المرجح أنه عملية احتيال.
تحتوي رسائل البريد الإلكتروني المخادعة دائمًا على رابط أو ملف مشبوه مرفق بها.
من الطرق الجيدة للتحقق مما إذا كان الرابط يحتوي على فيروس هو استخدام VirusTotal ، وهو موقع ويب يقوم بفحص الملفات أو الروابط بحثًا عن البرامج الضارة.
مثال على البريد الإلكتروني المخادع:
في المثال ، تشير Google إلى أن البريد الإلكتروني يمكن أن يكون خطيرًا.
وهي تدرك أن محتواها يتطابق مع رسائل البريد الإلكتروني الاحتيالية المماثلة الأخرى.
إذا كان البريد الإلكتروني يلبي معظم المعايير المذكورة أعلاه ، فمن المستحسن الإبلاغ عنه إلى reportphishing@apwg.org أو phishing-report@us-cert.gov حتى يتم حظره.
إذا كنت تستخدم Gmail ، فهناك خيار للإبلاغ عن البريد الإلكتروني بسبب التصيد الاحتيالي.
على الرغم من أن هجمات التصيد الاحتيالي موجهة نحو مستخدمين عشوائيين ، إلا أنها غالبًا ما تستهدف موظفي الشركة.
ومع ذلك ، فإن المهاجمين لا يسعون دائمًا وراء أموال الشركة ولكن بياناتها.
من حيث الأعمال التجارية ، تعتبر البيانات أكثر قيمة من المال ويمكن أن تؤثر بشدة على الشركة.
يمكن للمهاجمين استخدام البيانات المسربة للتأثير على الجمهور من خلال التأثير على ثقة المستهلك وتشويه اسم الشركة.
لكن هذه ليست العواقب الوحيدة التي يمكن أن تنتج عن ذلك.
تشمل العواقب الأخرى التأثير السلبي على ثقة المستثمرين وتعطيل الأعمال والتحريض على الغرامات التنظيمية بموجب اللائحة العامة لحماية البيانات (GDPR).
يوصى بتدريب موظفيك على التعامل مع هذه المشكلة لتقليل هجمات التصيد الاحتيالي الناجحة.
تتمثل طرق تدريب الموظفين بشكل عام في عرض أمثلة على رسائل البريد الإلكتروني المخادعة وطرق اكتشافها.
هناك طريقة أخرى جيدة لإظهار الموظفين للتصيد الاحتيالي وهي من خلال المحاكاة.
محاكاة التصيد الاحتيالي هي في الأساس هجمات وهمية مصممة لمساعدة الموظفين على التعرف على التصيد بشكل مباشر دون أي آثار سلبية.
سنشارك الآن الخطوات التي تحتاج إلى اتخاذها لتشغيل حملة تصيد احتيالي ناجحة.
لا يزال التصيد الاحتيالي يمثل أكبر تهديد أمني وفقًا لتقرير ويبرو عن حالة الأمن السيبراني لعام 2020.
تتمثل إحدى أفضل الطرق لجمع البيانات وتثقيف الموظفين في تشغيل حملة تصيد داخلية.
يمكن أن يكون إنشاء بريد إلكتروني للتصيد الاحتيالي باستخدام نظام أساسي للتصيد الاحتيالي أمرًا سهلاً بدرجة كافية ، ولكن هناك ما هو أكثر بكثير من مجرد إرسال الرسائل.
سنناقش كيفية التعامل مع اختبارات التصيد مع الاتصالات الداخلية.
بعد ذلك ، سنستعرض كيفية تحليل واستخدام البيانات التي تجمعها.
لا تتعلق حملة التصيد الاحتيالي بمعاقبة الأشخاص إذا وقعوا في عملية احتيال. تدور محاكاة التصيد الاحتيالي حول تعليم الموظفين كيفية الرد على رسائل البريد الإلكتروني المخادعة. تريد أن تتأكد من أنك تتحلى بالشفافية بشأن إجراء تدريب على التصيد في شركتك. إعطاء الأولوية لإبلاغ قادة الشركة عن حملة التصيد الاحتيالي الخاصة بك ووصف أهداف الحملة.
بعد إرسال أول اختبار أساسي للتصيد الاحتيالي عبر البريد الإلكتروني ، يمكنك إصدار إعلان على مستوى الشركة لجميع الموظفين.
أحد الجوانب المهمة للاتصالات الداخلية هو الحفاظ على اتساق الرسالة. إذا كنت تجري اختبارات التصيد الخاصة بك ، فمن الجيد أن تبتكر علامة تجارية مختلقة لموادك التدريبية.
سيساعد ابتكار اسم لبرنامجك الموظفين في التعرف على المحتوى التعليمي الخاص بك في صندوق الوارد الخاص بهم.
إذا كنت تستخدم خدمة اختبار تصيد مُدارة ، فمن المحتمل أن يتم تغطيتها. يجب أن يتم إنتاج المحتوى التعليمي في وقت مبكر حتى تتمكن من المتابعة الفورية بعد حملتك.
امنح موظفيك تعليمات ومعلومات حول بروتوكول البريد الإلكتروني للتصيد الداخلي الخاص بك بعد الاختبار الأساسي الخاص بك.
تريد منح زملائك في العمل الفرصة للاستجابة بشكل صحيح للتدريب.
تعتبر رؤية عدد الأشخاص الذين يكتشفون البريد الإلكتروني ويبلغون عنه بشكل صحيح معلومات مهمة للاستفادة من اختبار التصيد الاحتيالي.
ما الذي يجب أن يكون على رأس أولوياتك لحملتك؟
الارتباط.
يمكنك محاولة بناء نتائجك على عدد النجاحات والإخفاقات ، لكن هذه الأرقام لا تساعدك بالضرورة في تحقيق هدفك.
إذا أجريت محاكاة لاختبار التصيد ولم ينقر أحد على الرابط ، فهل هذا يعني أن اختبارك كان ناجحًا؟
الجواب القصير هو لا".
الحصول على نسبة نجاح 100٪ لا يُترجم على أنه نجاح.
يمكن أن يعني أن اختبار التصيد الخاص بك كان من السهل جدًا اكتشافه.
من ناحية أخرى ، إذا حصلت على معدل فشل هائل في اختبار التصيد ، فقد يعني ذلك شيئًا مختلفًا تمامًا.
قد يعني ذلك أن موظفيك غير قادرين على اكتشاف هجمات التصيد حتى الآن.
عندما تحصل على معدل مرتفع من النقرات لحملتك ، فهناك فرصة جيدة لأنك تحتاج إلى تقليل صعوبة رسائل البريد الإلكتروني الخاصة بالتصيد الاحتيالي.
خذ المزيد من الوقت لتدريب الناس على مستواهم الحالي.
تريد في النهاية تقليل معدل نقرات رابط التصيد الاحتيالي.
قد تتساءل ما هو معدل النقر الجيد أو السيئ باستخدام محاكاة التصيد.
وفقًا لموقع sans.org ، فإن ملف قد ينتج عن أول محاكاة للتصيد الاحتيالي معدل نقر يتراوح بين 25 و 30٪.
يبدو أن هذا رقم كبير حقًا.
لحسن الحظ ، أبلغوا عن ذلك بعد 9-18 شهرًا من التدريب على التصيد الاحتيالي ، كان معدل النقر لاختبار التصيد هو أقل من 5٪.
يمكن أن تساعد هذه الأرقام كتقدير تقريبي للنتائج المرجوة من تدريب التصيد الاحتيالي.
لبدء أول محاكاة للبريد الإلكتروني للتصيد الاحتيالي ، تأكد من إدراج عنوان IP الخاص بأداة الاختبار في القائمة البيضاء.
هذا يضمن أن الموظفين سيتلقون البريد الإلكتروني.
عند صياغة أول رسالة بريد إلكتروني محاكية للتصيد ، لا تجعل الأمر سهلاً للغاية أو صعبًا للغاية.
يجب أن تتذكر أيضًا جمهورك.
إذا لم يكن زملاؤك في العمل مستخدمين كثيفين لوسائل التواصل الاجتماعي ، فربما لن يكون من الجيد استخدام بريد إلكتروني مزيف لإعادة تعيين كلمة مرور على موقع LinkedIn. يجب أن يكون للبريد الإلكتروني للمختبِر نداء واسع بما فيه الكفاية بحيث يكون لدى كل فرد في شركتك سبب للنقر عليه.
بعض الأمثلة على رسائل البريد الإلكتروني المخادعة ذات الجاذبية الواسعة يمكن أن تكون:
فقط تذكر علم النفس الخاص بكيفية أخذ الجمهور للرسالة قبل الضغط على إرسال.
استمر في إرسال رسائل بريد إلكتروني للتدريب على التصيد الاحتيالي إلى موظفيك. تأكد من أنك تزيد الصعوبة ببطء بمرور الوقت لزيادة مستويات مهارات الأشخاص.
يوصى بإرسال بريد إلكتروني شهريًا. إذا كنت "تصيد" مؤسستك كثيرًا ، فمن المحتمل أن يصابوا بها بسرعة كبيرة جدًا.
إن جذب موظفيك ، قليلًا من الحذر هو أفضل طريقة للحصول على نتائج أكثر واقعية.
إذا أرسلت نفس النوع من رسائل البريد الإلكتروني "التصيدية" في كل مرة ، فلن تعلم موظفيك كيفية الرد على عمليات الاحتيال المختلفة.
يمكنك تجربة عدة زوايا مختلفة بما في ذلك:
أثناء إرسال حملات جديدة ، تأكد دائمًا من أنك تقوم بضبط ملاءمة الرسالة لجمهورك.
إذا قمت بإرسال بريد إلكتروني للتصيد الاحتيالي لا يتعلق بشيء مثير للاهتمام ، فقد لا تحصل على الكثير من الاستجابة من حملتك.
بعد إرسال حملات مختلفة إلى موظفيك ، قم بتحديث بعض الحملات القديمة التي خدعت الأشخاص في المرة الأولى وقم بعمل دورة جديدة في تلك الحملة.
ستكون قادرًا على معرفة مدى فعالية تدريبك إذا رأيت أن الناس إما يتعلمون ويتحسنون.
من هناك ستتمكن من معرفة ما إذا كانوا بحاجة إلى مزيد من التعليم حول كيفية اكتشاف نوع معين من رسائل البريد الإلكتروني المخادعة.
هناك 3 عوامل لتحديد ما إذا كنت ستنشئ برنامجًا تدريبيًا للتصيد الاحتيالي أو الاستعانة بمصادر خارجية للبرنامج.
إذا كنت مهندسًا أمنيًا أو لديك واحدًا في شركتك ، فيمكنك بسهولة إنشاء خادم تصيد باستخدام نظام أساسي للتصيد الاحتيالي موجود مسبقًا لإنشاء حملاتك.
إذا لم يكن لديك أي مهندسين أمنيين ، فقد يكون إنشاء برنامج التصيد الخاص بك غير وارد.
قد يكون لديك مهندس أمن في مؤسستك ، لكن قد لا يكون لديهم خبرة في اختبارات الهندسة الاجتماعية أو التصيد الاحتيالي.
إذا كان لديك شخص ذو خبرة ، فسيكون موثوقًا بما يكفي لإنشاء برنامج التصيد الخاص به.
هذا هو عامل كبير حقًا للشركات الصغيرة والمتوسطة الحجم.
إذا كان فريقك صغيرًا ، فقد لا يكون من المناسب إضافة مهمة أخرى إلى فريق الأمان لديك.
من الملائم أكثر أن يكون لديك فريق آخر من ذوي الخبرة يقوم بالعمل نيابة عنك.
لقد قمت باستعراض هذا الدليل بالكامل لمعرفة كيف يمكنك تدريب موظفيك وأنت على استعداد لبدء حماية مؤسستك من خلال التدريب على التصيد الاحتيالي.
ماذا الان؟
إذا كنت مهندسًا أمنيًا وترغب في بدء تشغيل حملات التصيد الاحتيالي الأولى الآن ، انتقل هنا لمعرفة المزيد حول أداة محاكاة التصيد التي يمكنك استخدامها للبدء اليوم.
أو…
إذا كنت مهتمًا بالتعرف على الخدمات المُدارة لتشغيل حملات التصيد نيابةً عنك ، تعرف على المزيد هنا حول كيفية بدء الإصدار التجريبي المجاني لتدريب التصيد.
استخدم قائمة التحقق لتحديد رسائل البريد الإلكتروني غير العادية وإذا كانت تصيد احتيالي ، فأبلغ عنها.
على الرغم من وجود عوامل تصفية للتصيد الاحتيالي يمكن أن تحميك ، فهي ليست 100٪.
تتطور رسائل البريد الإلكتروني الخادعة باستمرار وليست هي نفسها أبدًا.
إلى حماية شركتك من هجمات التصيد الاحتيالي التي يمكنك المشاركة فيها محاكاة التصيد لتقليل فرص نجاح هجمات التصيد الاحتيالي.
نأمل أن تكون قد تعلمت ما يكفي من هذا الدليل لمعرفة ما عليك القيام به بعد ذلك لتقليل فرصك في التعرض لهجوم تصيد على عملك.
يرجى ترك تعليق إذا كان لديك أي أسئلة لنا أو إذا كنت ترغب في مشاركة أي من معرفتك أو خبرتك مع حملات التصيد الاحتيالي.
لا تنس مشاركة هذا الدليل ونشر الخبر!
هيل بايت
9511 كوينز جارد Ct.
لوريل ، ماريلاند 20723
الهاتف: (732) 771-9995
البريد الإلكتروني: info@hailbytes.com
