كيف يسرق المخادعون حسابات البريد الإلكتروني

سبتمبر 2, 2019

في العالم الرقمي الحديث الذي يقدم مجموعة كاملة من الخدمات والتطبيقات والرسائل والشبكات الاجتماعية وغيرها من وسائل الاتصال المختلفة، قد يبدو أن خدمة البريد الإلكتروني القديمة قد عفا عليها الزمن. لكن هذا ليس صحيحًا: لا يزال يتعين على معظمنا استخدام البريد الإلكتروني، على الأقل حتى يتسنى لنا تسجيل حسابات جديدة لجميع الخدمات والتطبيقات والشبكات الاجتماعية الموجودة.

وهذا هو بالضبط السبب الذي يجعل تسجيلات البريد الإلكتروني وكلمات المرور جائزة مطمئنة للمهاجمين. وسنشرح في هذا المنشور كيف يستخدم بعض الأشخاص السيئين الخداع للحصول على معلومات تسجيل الدخول وكلمات المرور هذه.

رسائل التصيد الاحتيالي – أكثر أساليب اختراق البريد الإلكتروني شيوعًا

الغالبية العظمى من رسائل الاحتيال التي تمت لسرقة بيانات تسجيل الدخول وكلمات المرور الخاصة بالبريد الإلكتروني تقلد الرسائل الصادرة من الخدمات نفسها. وعند استهداف المستخدمين غير المتخصصين، يقلد المحتالون خدمات بريد الويب الشهيرة. وعند محاولة اختراق حسابات الشركات، فإنهم يتظاهرون بأنهم خدمة البريد الإلكتروني الخاصة بالعمل – وفي هذه الحالة يكون المرسل هو خادم البريد.

بينما يتم تقليد خدمات البريد الشعبية بصورة أكبر بكثير، حيث يحاول المحتالون جعل مثل هذه الرسائل مقنعة قدر الإمكان. وأدوات الخداع هي كالمعتاد: عنوان المرسل الذي يشبه إلى حد كبير العنوان الحقيقي والشعارات والتوقيعات وروابط الموارد الرسمية والشكل الذي يقلد الرسائل الشرعية من الخدمة، إلخ.


[الشرح التوضيحي: خطاب تصيّد يخيف المستخدم بحذف الحساب]

غالبًا ما يرسل المحتالون رسائل تصيّد متخفية كرسائل من خدمات البريد الإلكتروني الخاصة بالشركات أو خدمات البريد العامة إلى العناوين المشتركة (بما في ذلك تلك التي يستخدمها المسؤولون)، لكن في بعض الأحيان تصل هذه الرسائل إلى صناديق البريد الخاصة بالموظفين الفرديين، والتي وصل عنوان بريدهم الإلكتروني بطريقةٍ أو بأخرى إلى قواعد بيانات البريد العشوائي.

تحتفظ الشركات التي تريد أن تؤخذ على محمل الجد، وخاصةً الشركات الكبيرة، بخوادم بريد إلكتروني خاصة بها. ويتم أيضًا تسجيل الدخول وكلمات المرور لمثل هذه الحسابات من قبل المهاجمين. وغالبًا ما يظهر زيف رسائلهم من خلال الأخطاء الطفيفة – عناوين المرسلين من خدمات بريد الويب المجانية والأخطاء الإملائية وما إلى ذلك – ولكن حتى هذه الرسائل قد تنجح في خداع الموظفين عديمي الخبرة للاعتقاد بأنها الشيء الحقيقي.

[الشرح التوضيحي: في هذه الرسالة يتم تقليد تنبيه تجاوز الحصة بواسطة المخادعين]

عند مهاجمة منظمة معينة، عادةً ما يقوم المحتالون بجمع أكبر قدر ممكن من المعلومات حول هذا الموضوع قدر الإمكان لجعل رسائلهم مقنعة قدر الإمكان. وللمسة من المصداقية والتفرد، قد يقومون ببناء عناوين البريد الإلكتروني للضحايا في ارتباطات تشعبية احتيالية، بحيث يكون العنوان موجودًا بالفعل عند زيارة الصفحة المزيفة، ويبقى إدخال كلمة مرور صندوق البريد فقط.

متغيرات خطابات التصيّد الاحتيالي

نص بسيط مع طلب للمعلومات

يقوم المحتالون بالاتصال بالمستخدمين نيابة عن خدمات البريد بعدة ذرائع لجعل المستخدمين يرسلون إليهم عناوين البريد الإلكتروني وكلمات المرور وغيرها من المعلومات. وعادة ما يتم حث المستخدمين على الرد على عنوان بريد إلكتروني يختلف عن عنوان المرسل.

كان هذا النوع من رسائل التصيد مشهورًا بدرجة كافية حتى تم إتقان طرق أكثر فعالية لسرقة المعلومات الشخصية بواسطة المحتالين.

[ مثال على خطاب تصيد مع طلب كلمة مرور حساب المستخدم]
[الشرح التوضيحي: خطاب تصيد مع نص يطلب الحصول على معلومات الحساب، بما في ذلك كلمة المرور. لا ترسل أي شيء ردًا على هذه الطلبات]

رسالة مع رابط إلى موقع ويب للتصيد

تعد رسائل الخداع التي تحتوي على روابط هي الأكثر شيوعًا في الوقت الحالي في حركة البريد غير المهم. وقد يستخدم المحتالون عددًا غير محدود من الروابط، ويقومون بتبديلها من حرف إلى آخر في نفس رسالة البريد الإلكتروني، وإنشاء صفحات تصيّد تشبه إلى حد كبير الصفحات الشرعية، وأتمتة عملية جمع ومعالجة البيانات المسروقة.

ولكن هذه هي بالضبط الروابط التي تخون عملية الاحتيال بسهولة: النطاقات التي لا علاقة لها تمامًا بالمؤسسات المزعومة وأسماء النطاقات التي بها أخطاء إملائية والمصممة لتقليد الأسماء الشرعية والرموز الإضافية التي لا معنى لها والتي سيتم تخطيها عند النقر فوق الارتباط.

وهذا هو السبب وراء محاولة المتطفلين إخفاء العناوين التي تؤدي إليها روابطهم. وهم يفعلون ذلك عن طريق إخفاءها وراء أجزاء النص أو الصور. قد تتضمن أجزاء النص هذه عبارات مثل “تحديث صندوق البريد الخاص بك”. في أوقات أخرى، سيحتوي الجزء النصي من الرابط على عنوان خدمة البريد الحقيقي، بينما يقوم الرابط الفعلي بتوجيه المستخدم إلى موقع ويب للتصيد.

[العنوان البديل: مثال على خطاب تصيّد به رابط تصيد]
[الشرح التوضيحي: تحتوي معظم رسائل الخداع على روابط إلى صفحات التصيد – تجنب استخدام هذه الروابط]

مرفقات التصيد

قد تحتوي رسائل الخداع أيضًا على مرفقات – معظمها ملفات HTML أو PDF أو DOC.

وغالبًا ما تحتوي المرفقات بتنسيقات DOC وPDF على نص رسالة التصيد الاحتيالي ورابط الاحتيال. يختار المهاجمون هذا التكتيك عندما يتطلعون إلى جعل النص الفعلي للرسالة نفسه أقصر وأشبه إلى أقصى قدر ممكن بالمراسلات المشروعة من أجل تجاوز مرشحات البريد العشوائي.


[ مثال على خطاب التصيد مع مرفق PDF]
[الشرح التوضيحي: تأتي بعض رسائل التصيّد مع مرفقات PDF أو DOC مع روابط لمواقع التصيد بالداخل]

يتم استخدام ملفات HTML‏<em‏‏‏>بدلًا من روابط- ويكون مرفق HTML هو في الواقع صفحة تصيّد جاهزة. ومن وجهة نظر المحتالين، تتمثل الميزة في أن ملف HTML المرفق مستقل تمامًا – وليست هناك حاجة لنشره على الإنترنت – مع وجود جميع وظائف الاحتيال التي يحتاجون إليها.

[مثال على خطاب التصيد مع مرفق HTML]
[الشرح التوضيحي: يتم تضمين نموذج إدخال تسجيل الدخول/كلمة المرور في خطاب التصيد نفسه. لا تدخل أي شيء في مثل هذه النماذج أو أي وثائق مماثلة قد تتلقاها في رسائلك]

موضوعات رسائل التصيد الاحتيالي

مشاكل الحساب

فيما يتعلق بنص الرسائل، يبدأ معظمها بالإشارة إلى وجود مشكلة في حساب البريد الإلكتروني للضحية، سواء تم الوصول إلى الحد الأقصى للتخزين أو وجود مشكلة بتسليم الرسائل أو تسجيل الدخول غير المصرح به أو الاتهامات العشوائية أو التنبيهات عن الانتهاكات الأخرى أو ما إلى ذلك.

وعادةً ما تُعلم هذه الرسالة المستخدم كيفية التعامل مع المشكلة – غالبًا تأكيد أو تحديث بيانات الحساب باتباع رابط أو فتح مرفق. لتخويف المستلم، يذكر أنه سيتم حظر الحساب أو حذفه، إذا لم يتم الأمر وفقًا للتعليمات.

يتم دائمًا تعيين إطار زمني للرد – من عدة ساعات إلى عدة أسابيع. وعادة ما تكون 24 ساعة – فهو إطار زمني موثوق به مع عدم السماح للضحية بالاسترخاء ونسيان الرسالة.

[مثال على رسالة تصيد ذات وقت محدود للرد]
[الشرح التوضيحي: “سيتم حذف حسابك في غضون 24 ساعة بسبب البريد العشوائي”. التهديدات والحدود الزمنية هي الحيل النموذجية المستخدمة في رسائل التصيد]

تقليد مراسلات الأعمال

هناك أيضًا أمثلة غير نموذجية لرسائل التصيد التي تستهدف حسابات البريد الإلكتروني. قد لا يشير نص الرسالة مطلقًا إلى بيانات البريد الإلكتروني أو الحساب. وقد تبدو الرسالة تمامًا مثل مراسلات الأعمال الحقيقية.

كذلك تجدر الإشارة إلى أن عدد الرسائل التجارية المزيفة المستخدمة في التصيد قد زاد في السنوات القليلة الماضية. وعادةً ما تُستخدم الرسائل من هذا النوع لتوصيل مرفقات ضارة، لكن بعضها يتصيد أيضًا للحصول على البيانات الشخصية. قد يواجه المستخدم العادي وقتًا عصيبًا في اكتشاف رسالة التصيد الاحتيالي – وهذا هو بالضبط ما تعتمد عليه جرائم الإنترنت.

[مثال على خطاب تصيد يقلد مراسلات الأعمال]
[الشرح التوضيحي: عند البحث عن حسابات الشركات، تكون مراسلات الأعمال المزيفة تكتيكًا شائعًا]

لن يشك بعض المستخدمين في أي عملية احتيال وسيتبعون رابطًا حيث سيُطلب منهم تقديم عناوين البريد الإلكتروني وكلمات المرور الخاصة بهم لعرض مستند غير موجود.

[مثال على موقع ويب للتصيد يطالبك بتسجيل الدخول لعرض مستند]
[الشرح التوضيحي: يطالب موقع التصيد الاحتيالي المستخدم بتسجيل الدخول لعرض المستند المشار إليه في خطاب التصيد]

متغيرات صفحة التصيّد الاحتيالي

الآن وقد انتهينا من تنسيق الرسائل ومحتواها، دعنا نرى شكل صفحات ويب الخاصة بالتصيّد والتحدث عن العناصر التي يجب الانتباه إليها حتى تتمكن من اكتشاف الاحتيال.

أول شيء يستحق الاهتمام عن قرب هو عنوان الرابط. فالعنوان هو ما يكشف الاحتيال على الفور. وهذه هي علامات الاحتيال النموذجية:
• النطاقات غير مرتبطة بالمؤسسات المرسِلة؛
• أسماء المؤسسات في المسار بدلًا من النطاق نفسه، على سبيل المثال، www.example.com/outlook/،
• الأخطاء الإملائية؛
• سلاسل رموز تم إنشاءها أوتوماتيكيًا في عنوان الرابط؛
• الرموز من اللغات الأخرى التي تشبه الأبجدية اللاتينية الأساسية – ç بدلًا من c، á بدلًا من a وهكذا.

تمامًا كما هو الحال مع الحروف، يحاول المحتالون إنشاء صفحات ويب مزيفة مثل الصفحات الحقيقية قدر الإمكان. ولكن هناك دائمًا التفاصيل التي يتم تفويتها – ولسوء الحظ، لا يستطيع جميع المستخدمين رؤيتها.

وهذا أمر يمكن تفسيره تمامًا: قلةٌ من الناس سيتذكرون الشكل الدقيقللصفحات الرسمية الأولى لأي خدمة عبر الإنترنت. لذلك، لإنشاء صفحة تصيّد مقنعة، غالبًا ما يكفي استخدام العناصر المميزة الرئيسية: نظام الألوان المميز، والشعار، إلخ.


[مثال على صفحة تسجيل الدخول إلى بريد الويب على موقع ويب احتيالي]
[الشرح التوضيحي: تقليد صفحة تسجيل الدخول إلى بريد الويب]

بالنسبة لصفحات الخداع المصممة لسرقة بيانات تسجيل الدخول وكلمات مرور بريد الويب المجانية، يكون من المعتاد أن تحتوي على روابط لعدة خدمات بريد إلكتروني على نفس الصفحة.

وبمجرد النقر فوق أي منها، تنبثق نافذة تحاكي صفحة تسجيل الدخول للمورد ذي الصلة. وبهذه الطريقة، يقوم المحتالون بجمع البيانات لعدة حسابات في نفس الوقت باستخدام صفحة واحدة فقط، بدلًا من إنشاء حسابات منفصلة لكل حساب.


[مثال على موقع ويب شامل للتصيد الاحتيالي مع مجموعة من الحسابات لتسجيل الدخول إليها]
[الشرح التوضيحي: يحاكي موقع التصيد الاحتيالي عملية تسجيل الدخول باستخدام حسابات بريد الويب المختلفة]

يمكن الوصول إلى مزيد من الضحايا المحتملين إذا استخدم الشخص رسائل تصيد للمعلومات حول أي موضوع عام (على سبيل المثال، خيار مراسلات الأعمال المذكور أعلاه)، بدلًا من التظاهر بتمثيل خدمة بريد معينة، بحيث يرتبط الموضوع بصفحة تصيد مع اختيارات من خدمات بريد الويب الأكثر شيوعًا حتى يختار المستخدمون ما يحتاجونه.

[مثال على صفحة تسجيل الدخول إلى بريد الويب على موقع ويب احتيالي]
[الشرح التوضيحي: مثال آخر على صفحة تسجيل دخول بريد إلكتروني مزيفة]

أحيانًا يتم استخدام خدعة المهلة التي ذكرناها بالفعل عند مناقشة رسائل التصيد الاحتيالي على صفحات التصيد أيضًا. وبمجرد استخدام رابط الاحتيال، تبدأ الصفحة في العد التنازلي لوقت قيام المستخدم الموثوق بإدخال بياناته.

[مثال على صفحة تصيّد تتضمن حدًا زمنيًا]
[الشرح التوضيحي: بعض صفحات التصيّد تحث المستخدم على التعجيل بالأمر أيضًا]

هناك عدة سيناريوهات أخرى بعد تقديم البيانات من خلال صفحة تصيد احتيالي، حيث تتحول بعض مواقع الويب إلى رسائل خطأ أو يتعذر الوصول إليها. بينما تنبه مواقع أخرى المستخدم إلى إدخال بيانات غير صحيحة وتطلب منهم تسجيل الدخول مرة أخرى.

وربما يكون أخطر سيناريو على الإطلاق، والذي يكتسب الزخم مؤخرًا، هو أنه بمجرد تقديم البيانات تعيد صفحة الخداع توجيه المستخدم إلى صفحة تسجيل الدخول الحقيقية لخدمة البريد الإلكتروني المعنية. ويعتبر المستخدم الأمر كله خللًا، ويقوم بإدخال زوج تسجيل الدخول/كلمة المرور مرة أخرى، ويتم قبوله في حسابه وينسى هذه الحلقة الغريبة.

اكتشاف رسائل التصيد الاحتيالي

• إذا كان نطاق عنوان المرسل لا ينتمي إلى مؤسسة المرسِل المزعوم، أو إذا كان صندوق البريد مسجلًا في إحدى خدمات بريد الويب المجانية – فهذه علامة أكيدة على أنها رسالة احتيالية. فالبريد الرسمي يأتي دائمًا من العناوين الرسمية.
• فإذا كانت الرسالة تحتوي على روابط لاستخدامها، ونطاقات غير ذات صلة، وأخطاء إملائية ورموز خاصة وما إلى ذلك، فأنت تنظر إلى عملية احتيال.
• وإذا كانت الرسالة تشير إلى وجود مشاكل غير متوقعة في حسابك، تحثك على اتباع رابط وتقديم تسجيل الدخول/كلمة المرور الخاصة بصندوق البريد الخاص بك، كل ذلك في غضون فترة زمنية محددة – فإن الرسالة تأتي من المحتالين.

ومن المفيد ولكن ليس من الضروري بشكل صارم تذكر كل هذه الأشياء ومراجعة كل رسالة تتلقاها. قد تفكر أيضًا في تثبيت منتج قوي لمكافحة الفيروسات للتعامل مع التصيد الاحتيالي والتهديدات الأخرى عبر الإنترنت نيابة عنكKaspersky Internet Security.