التصيد الاحتيالي هو هجوم إلكتروني يتظاهر فيه المجرمون بأنهم جهات موثوقة—مثل البنوك أو شركات التكنولوجيا أو الزملاء—عبر البريد الإلكتروني أو الرسائل النصية أو المواقع المزيفة، بهدف خداعك للكشف عن معلومات حساسة ككلمات المرور وأرقام بطاقات الائتمان أو البيانات الشخصية. ويُعدّ من أكثر أشكال الجرائم الإلكترونية شيوعاً وفاعليةً حتى اليوم.

How can I recognize a phishing email?

ابحث عن اللغة العاجلة أو التهديدية، وعناوين المرسلين المشبوهة التي تحاكي الشركات الشرعية، والتحيات العامة مثل "عزيزي العميل"، والمرفقات غير المتوقعة، والروابط التي لا تتطابق مع عنوان URL الرسمي للموقع. مرّر مؤشر الفأرة فوق الروابط قبل النقر عليها للاطلاع على عنوان الوجهة الفعلية.

Does using a VPN protect me from phishing attacks?

يقوم الـ VPN بتشفير حركة مرور الإنترنت الخاصة بك وإخفاء عنوان IP الخاص بك، إلا أنه لا يستطيع منع هجمات التصيد الاحتيالي بشكل مباشر. إذ يستهدف التصيد الاحتيالي السلوك البشري لا ثغرات الشبكة. ولا يزال الـ VPN ذا قيمة للأمن العام، غير أنه ينبغي دمجه مع أدوات مكافحة التصيد الاحتيالي وعادات التصفح الحذر.

What should I do if I accidentally clicked a phishing link?

افصل اتصالك بالإنترنت فوراً، وأجرِ فحصاً للبرامج الضارة على جهازك، وغيّر كلمات المرور لأي حسابات يُحتمل أنها تعرضت للاختراق، وفعّل المصادقة الثنائية، وأخطر بنكك في حال إدخال أي معلومات مالية. أبلغ عن محاولة التصيد الاحتيالي لمزود البريد الإلكتروني الخاص بك والجهات المختصة مثل FTC أو Action Fraud.

Phishing

التصيد الاحتيالي: ما هو ولماذا يجب أن تعرفه

كل يوم، تُرسَل مليارات الرسائل الإلكترونية والنصية والمواقع الإلكترونية المزيفة بهدف واحد: خداعك للتخلي عن معلوماتك الشخصية. تُعرف هذه التقنية بالتصيد الاحتيالي (Phishing)، وهي لا تزال من أكثر الهجمات الإلكترونية فاعلية وانتشاراً — ليس لأنها متطورة تقنياً، بل لأنها تستهدف علم النفس البشري بدلاً من أنظمة الحاسوب.

ما هو التصيد الاحتيالي؟

التصيد الاحتيالي هو شكل من أشكال الهندسة الاجتماعية، يتظاهر فيه المهاجم بأنه شخص تثق به — بنكك، أو خدمة بث، أو صاحب عملك، أو حتى جهة حكومية — للتلاعب بك لتتخذ إجراءً لم تكن لتقدم عليه في الأحوال العادية. قد يكون ذلك الإجراء النقر على رابط خبيث، أو تنزيل مرفق مصاب، أو إدخال كلمة مرورك في صفحة تسجيل دخول مزيفة.

والاسم مستوحى عمداً من كلمة "fishing" أي الصيد بالسنارة. يُلقي المهاجمون طُعمهم وينتظرون من سيقع في الفخ.

كيف يعمل التصيد الاحتيالي؟

تتبع معظم هجمات التصيد الاحتيالي نمطاً متوقعاً:

الطُعم: تتلقى رسالة تبدو شرعية. قد تحاكي تنبيهاً من Netflix بشأن الفوترة، أو تحذيراً أمنياً من PayPal، أو بريداً إلكترونياً عاجلاً من قسم تقنية المعلومات في شركتك.
الشِصّ: تخلق الرسالة إحساساً بالإلحاح — حسابك على وشك التعليق، أو ثمة نشاط مشبوه، أو يجب عليك التحقق من هويتك فوراً.
الفخ: يُوجَّه إلى موقع إلكتروني مزيف يبدو مطابقاً للموقع الحقيقي. حين تُدخل بيانات اعتمادك، تذهب مباشرةً إلى المهاجم.

ثمة أشكال أكثر استهدافاً أيضاً. يتضمن Spear Phishing هجمات شخصية موجَّهة نحو أفراد بعينهم، وغالباً ما تستخدم معلومات مُجمَّعة من وسائل التواصل الاجتماعي. أما Whaling فيستهدف كبار المديرين التنفيذيين. في حين يستخدم Smishing رسائل SMS النصية، ويقع Vishing عبر المكالمات الصوتية.

كثيراً ما تستخدم مواقع التصيد الاحتيالي الحديثة HTTPS وتعرض أيقونة القفل، مما يعتقد كثير من الناس خطأً أنه يعني أن الموقع آمن. وهو لا يعني سوى أن الاتصال مشفَّر — لا أن الموقع نفسه جدير بالثقة.

لماذا يهم هذا مستخدمي VPN

من المفاهيم الخاطئة الشائعة أن استخدام VPN يحميك من التصيد الاحتيالي. لكنه لا يفعل ذلك — على الأقل ليس بصورة مباشرة. تُشفِّر VPN حركة مرور الإنترنت الخاصة بك وتخفي عنوان IP الخاص بك، لكنها لا تستطيع منعك من إدخال بيانات اعتمادك طوعاً في موقع مزيف.

ومع ذلك، لا يخلو مستخدمو VPN من وسائل دفاع:

تتضمن بعض خدمات VPN ميزات الحماية من التهديدات التي تحجب نطاقات التصيد الاحتيالي المعروفة قبل أن يحمِّلها متصفحك.
يمكن لـ VPN منع اختطاف DNS، وهي تقنية يستخدمها المهاجمون لإعادة توجيهك بصمت إلى مواقع مزيفة حتى حين تكتب العنوان الصحيح.
يمنع استخدام VPN على شبكة Wi-Fi العامة هجمات الوسيط (man-in-the-middle)، التي تُستخدم أحياناً جنباً إلى جنب مع التصيد الاحتيالي لاعتراض بيانات الاعتماد.

غير أن الاعتماد على VPN وحده للحماية من التصيد الاحتيالي يمنحك إحساساً زائفاً بالأمان. لا تزال بحاجة إلى ممارسات صحة رقمية سليمة.

أمثلة من الواقع

تتلقى بريداً إلكترونياً من "Apple Support" يفيد بأن حسابك قد جُمِّد. يأخذك الرابط إلى apple-support-login.com — موقع مزيف مقنع يسرق معرِّف Apple ID الخاص بك.
تدَّعي رسالة نصية أن بنكك رصد عملية احتيال وتطلب منك الاتصال برقم 800. يتصل الرقم بمحتال يتظاهر بأنه متخصص في مكافحة الاحتيال.
يطلب بريد إلكتروني من مكان العمل يبدو صادراً عن قسم الموارد البشرية من الموظفين تسجيل الدخول إلى بوابة مزايا جديدة — وهي في الحقيقة صفحة لجمع بيانات الاعتماد.

كيف تحمي نفسك

تحقق دائماً من عنوان البريد الإلكتروني الفعلي للمرسل، لا من اسم العرض فحسب
مرِّر مؤشر الفأرة فوق الروابط قبل النقر عليها لرؤية عنوان URL الحقيقي للوجهة
فعِّل المصادقة الثنائية على جميع الحسابات المهمة — فحتى كلمات المرور المسروقة تصبح عديمة الفائدة دون العامل الثاني
استخدم مدير كلمات مرور، إذ لن يملأ بيانات الاعتماد تلقائياً في المواقع المزيفة
عند الشك، اذهب مباشرةً إلى الموقع الرسمي بدلاً من النقر على أي رابط

يعمل التصيد الاحتيالي لأنه بسيط وقابل للتوسع. إن فهم آلية عمله هو خط دفاعك الأول.

Phishingمبتدئ