البريد الإلكتروني
عندما يُطلب منك تسجيل الدخول إلى خدمة عبر الإنترنت أو التحقق من هويتك أو تنزيل مستند عن طريق رابط، يُطلب منك عادةً إدخال اسم المستخدم وكلمة المرور. وهذا الأمر شائع جدًا لدرجة أن معظمنا يفعله تلقائيًا دون التفكير مرتين. ومع ذلك، يستطيع المحتالون خداعك لإعطائهم كلمات مرور بريدك الإلكتروني أو مواقع ويب الخدمات الحكومية أو الخدمات المصرفية أو شبكات التواصل الاجتماعي عن طريق محاكاة نموذج تسجيل الدخول إلى الخدمة على موقعهم الإلكتروني (الخاص بطرف خارجي). لا تنخدع بذلك: خدمة البريد الإلكتروني نفسها هي الوحيدة التي يمكنها طلب التحقق من كلمة مرور بريدك الإلكتروني – لا أحد آخر. وينطبق الأمر نفسه على الخدمات الحكومية والبنوك وشبكات التواصل الاجتماعي.
لتجنب الوقوع ضحية للاحتيال، في كل مرة تُدخل فيها كلمة مرور، خذ دقيقة واحدة للتحقق من المكان الذي تسجل الدخول إليه بالضبط، وما النافذة التي تطلب بيانات الاعتماد الخاصة بك. وهناك ثلاثة سيناريوهات رئيسية محتملة هنا – اثنان منها آمنان، والثالث احتيالي. وإليك هذه السيناريوهات.
السيناريوهات الآمنة لإدخال كلمات المرور
- تسجيل الدخول إلى بريدك الإلكتروني أو شبكة التواصل الاجتماعي أو الخدمة عبر الإنترنت من خلال موقع الويب الرسمي. هذا هو السيناريو الأبسط، لكن يجب عليك التأكد من أنك بالفعل على الموقع الشرعي – مع عدم وجود أخطاء في عنوان URL. وإذا كنت تدخل إلى الخدمة عبر الإنترنت من خلال النقر على رابط في رسالة بريد إلكتروني أو من نتائج البحث، تحقق بعناية من شريط عنوان مستعرض الإنترنت قبل إدخال كلمة مرورك. وتأكد من صحة اسم الخدمة وعنوان الموقع ومن تطابقهما معًا.
لماذا من المهم جدًا أخذ ثانية إضافية للتحقق؟ يمثل إنشاء نسخ احتيالية من مواقع شرعية خدعة مفضلة لدى المحتالين. وقد يكون عنوان موقع التصيد الاحتيالي متطابقًا تقريبًا مع العنوان الأصلي، ويختلف بحرف أو حرفين فقط (على سبيل المثال، قد يتم استبدال الحرف “i” بحرف “I”)، أو قد يستخدم منطقة نطاق مختلفة.
من السهل أيضًا إنشاء رابط يبدو أنه يقود إلى موقع ما، لكنه في الواقع ينقلك إلى مكان آخر. تأكد بنفسك: يبدو أن هذا الرابط يقودك إلى مدونتنا me.kaspersky.com/blog لكنه في الواقع يعيد توجيهك إلى مدونتنا الأخرى – securelist.com.
تعرض الصورة أدناه أمثلة لصفحات تسجيل دخول مشروعة لخدمات مختلفة حيث يمكنك إدخال اسم المستخدم وكلمة المرور بأمان.
أمثلة على صفحات تسجيل الدخول المشروعة لخدمات مختلفة. إدخال بيانات الاعتماد الخاصة بك هنا آمن
- تسجيل الدخول إلى موقع باستخدام خدمة مساعدة. هذه طريقة ملائمة لتسجيل الدخول دون إنشاء كلمات مرور إضافية، وتُستخدم عادةً لخدمات تخزين الملفات وأدوات التعاون وما إلى ذلك. وتكون الخدمات المساعدة عادةً عبارة عن مزودي خدمات بريد إلكتروني كبار أو شبكات تواصل اجتماعي أو مواقع خدمات حكومية. وقد يقول زر تسجيل الدخول شيئًا مثل “المتابعة باستخدام حساب Google”، أو “المتابعة باستخدام حساب Facebook”، أو “المتابعة باستخدام حساب Apple”، وما إلى ذلك.
عند الضغط على الزر، افتح نافذة أخرى تنتمي للخدمة المساعدة (Google، Facebook، Apple، وما إلى ذلك). وتعمل على النحو التالي: تتحقق الخدمة الخارجية من هويتك وتؤكد ذلك للموقع الذي تسجل الدخول إليه. من المهم للغاية التحقق من العناوين في كلتا النافذتين: تأكد أن النافذة المنبثقة التي تطلب كلمة المرور تنتمي حقًا إلى الخدمة المساعدة التي توقعتها (Google، Facebook، Apple، وما إلى ذلك)، وأن النافذة الرئيسية تنتمي حقًا إلى الموقع الشرعي الذي تحاول تسجيل الدخول إليه. وفي العديد من الحالات، تشير النافذة المنبثقة أيضًا إلى الموقع الذي ستسجل الدخول إليه. وتتيح لك آلية الخدمة المساعدة هذه الدخول إلى الموقع المطلوب دون أن يرى كلمة مرورك على الإطلاق. ويتم التحقق من كلمة المرور من جانب الخدمة المساعدة (Google، Facebook، Apple، وما إلى ذلك). ويُطلق المتخصصون في تكنولوجيا المعلومات على طريقة تسجيل الدخول هذه اسم تسجيل الدخول الموحد (SSO).
مثال على تسجيل الدخول الموحد إلى eBay من خلال خدمة مساعدة (Google) تتحقق من كلمة مرورك. إدخال بيانات الاعتماد الخاصة بك هنا آمن أيضًا
سيناريو احتيالي: سرقة كلمة المرور
تتلقى رسالة بريد إلكتروني أو رسالة تحتوي على رابط تسجيل دخول، تنقر فوقه، وينتهي بك الأمر إلى موقع يشبه إلى حد كبير بريدًا إلكترونيًا شرعيًا أو شبكة تواصل اجتماعي أو خدمة لمشاركة الملفات أو خدمة توقيع إلكتروني. ويطلب منك الموقع تسجيل الدخول إلى حسابك لإثبات هويتك. ولهذا الغرض، سيُطلب منك إدخال بريدك الإلكتروني وكلمة المرور الخاصة ببريدك الإلكتروني أو موقع الخدمات الحكومية أو الخدمة المصرفية أو شبكة التواصل الاجتماعي مباشرةً على هذا الموقع.
في هذا السيناريو، إما أنه لا توجد نافذة منبثقة من خدمة شرعية (مثل تلك الموجودة في الحالة السابقة)، أو أن النافذة الإضافية تنتمي أيضًا إلى موقع طرف خارجي. هذه عملية احتيال مصممة لسرقة كلمة مرور حسابك. وتذكر أن أي موقع تابع لطرف خارجي لا يمكنه التحقق من كلمة مرورك، لأنه ببساطة لا يعرفها، ولا تتم مشاركة كلمات المرور بين المواقع مطلقًا.
انظر إلى شريط العنوان: هذا ليس موقع Netflix بالتأكيد. لا تدخل بياناتك هنا.
كيف تحمي نفسك من سرقة كلمة المرور
- تحقق بعناية من عنوان الموقع الذي يطلب كلمة مرورك.
- أدخل كلمة المرور الخاصة بخدمة ما على موقع الويب الرسمي لتلك الخدمة فقط، وليس في أي مكان آخر.
- في بعض الأحيان تظهر نافذة منفصلة لإدخال كلمة المرور. تأكد أن هذه النافذة هي نافذة مستعرض عادية حيث يمكنك رؤية شريط العنوان والتحقق من العنوان.
- يستطيع المحتالون إنشاء مواقع متشابهة تحتوي على عناوين يصعب التمييز بينها وبين العناوين الحقيقية. ولتجنب الوقوع في هذا الفخ، استخدم حماية موثوقة ضد التصيد الاحتيالي على جميع الأجهزة والمنصات. نوصي بتطبيق Kaspersky Premium، الفائز في اختبار مكافحة التصيد الاحتيالي في عام 2024.
- هناك طريقة حماية متقدمة هي استخدام مدير كلمات المرور لجميع حساباتك. وهو يتحقق من عنوان الصفحة الفعلي، ولن يُدخل أبدًا بيانات اعتمادك على موقع غير مألوف، مهما بدا مقنعًا.
