phishing

تصيّد المعلومات (Phishing)

نحن في كاش يو نسعى دوماً لتوفير الأمن لبيانات المستخدمين، حيث نحرص على تطبيق أفضل المعايير العالمية في أمن المعلومات. وحرصاً منا على زيادة الوعي الأمني لمستخدمي كاش يو، نوضح لكم في هذا المقال إحدى أشهر الطرق التي يستخدمها المخترقون للتعدي على حساباتكم، وكيفية الوقاية منها.

تصيّد المعلومات، أو ما يُعرَف بـ (Phishing)

يُعتبر هذا النوع من أخطر أنواع الاختراقات بسبب سهولته على المخترق، وصعوبة كشفه عن طريق برامج الأمن والحماية؛ مثل الـ (firewall, antivirus, intrusion prevention system)، حيث يُصنّف هذا النوع من الاختراق من ضمن الاختراقات المتعلقة بالهندسة الاجتماعية (Social Engineering)، والتي تعتمد خطورتها على مقدار الحِس الأمني الذي يمتلكه المستخدم، وسنتحدث عنها لاحقاً في مقال منفصل.

تحدث هجمات التصيد عبر البريد الإلكتروني، حيث يتلقى المستخدم بريداً إلكترونياً من أحد المؤسسات المالية أو الحكومية التي يتعامل معها، أو أحد المواقع التي يستخدمها المستخدم للتسوق عبر الإنترنت، ويكون هذا البريد الإلكتروني ذا محتوى طبق الأصل عن الموقع الأصلي، صممه المخترق ليحاكي محتوى الموقع الأصلي، مما يجعل منه وسيلة سهلة لاختراق المستخدم.

وليتمكن المخترق من خداعك، يطلب منك في البريد أن تُدخل بياناتك الشخصية عبر الضغط على رابط معين، أو يطلب منك تغيير كلمة السر لديك من خلال الضغط على رابط معين.

تذكر دائماً القاعدة الذهبية للوقاية من الـ (Phishing) وهي:
” فكّر قبل أن تضغط” (Think before you click)
ففي حال شاهدت رابطاً مُعيّناً في إحدى مواقع التواصل الاجتماعي، أو في بريدك الإلكتروني، فكّر قبل أن تضغط على الرابط!

كيف تتأكد من صحة وحقيقة البريد الإلكتروني ومصدره؟

1. تحقق دائماً من اسم المرسل وعنوان بريده الإلكتروني. هل تعرفه؟ هل يدعوك اسم المرسل للشك؟ إن كنت تعرف الاسم، انظر إلى عنوان البريد، هل يدعوك للشك؟

2. تحقق من عنوان الرابط المرسل في الرسالة (URL). يجب أن يبدأ الرابط بـ (https) وليس (http).

3. تحقق من أن الرابط ليس مخادعاً من الناحية الإملائية. مثلاً: (www.faecbook.com) بدلاً من (www.facebook.com)، أو (www.casuh.com) بدلاً من (www.cashu.com).

4. اشعر بالشك في أي موقع يطلب منك تغيير كلمة السر.

5. لا تفتح أية ملفات مرفقة يتم إرسالها في البريد الإلكتروني، سواء كانت صورة أو مستند أو أي نوع آخر من الملفات، ما لم تكن تتوقع البريد الإلكتروني مع تلك المرفقات وكنت واثقاً من المرسل.

6. قم بتحريك مؤشر الفأرة (mouse curser) فوق الرابط (دون الضغط على الرابط)، ولاحظ ما إذا سيختلف الرابط الحقيقي عن الرابط الظاهر في البريد الإلكتروني (لاحظ الصورة في الأسفل للتوضيح).

security-blog-post-1-awareness

ملاحظة: تأكد دائماً بأن كاش يو لن تطلب منك تغيير كلمة السر لحسابك عن طريق مواقع التواصل الاجتماعي (من خلال التعليقات (comments))، ولن ترسل كاش يو أي بريد إلكتروني يطلب منك تغيير كلمة السر الخاصة بحسابك. وفي حال تم إرسال ذلك، لن يحتوِ بريدنا الإلكتروني على أي رابط لتغيير كلمة السر، بل قد يُطلب منك فقط أن تذهب للموقع (www.cashu.com) وأن تقوم بتغيير كلمة السر من هناك.

نرحب بأي استفسارات أو ملاحظات متعلقة بـ أمن المعلومات على عنوان البريد الإلكتروني التالي:
security@cashu.com

محمد زكريا
مستشار أعلى لأمن المعلومات
(مدير نظام أمن المعلومات)