معهد سكيورتي العرب | وظائف خالية
وظائف 2018 سوق السيارات عقارات 2018 الارشيف البحث
اسم العضو:  
كلمة المرور:     
تسجيل المساعدة قائمة الأعضاء اظهار المشاركات الجديدة اظهارمشاركات اليوم

رسائل الاصطياد الإلكتروني


رسائل الاصطياد الإلكتروني
التوقيت الحالي : 12-30-2024, 08:01 PM
مستخدمين يتصفحوا هذا الموضوع:
الكاتب: dr.wolf
آخر رد: dr.wolf
الردود : 0
المشاهدات : 2741

إضافة رد 

رسائل الاصطياد الإلكتروني

الكاتب الموضوع

رقم العضوية :3
الاقامة : ام الدنيا
التواجد : غير متصل
معلومات العضو
المشاركات : 7,392
الإنتساب : Oct 2010
السمعة : 5


بيانات موقعي اسم الموقع : سكيورتي العرب
اصدار المنتدى : 1.6.8

مشاركات : #1
رسائل الاصطياد الإلكتروني

رسائل الاصطياد الإلكتروني


السلام عليكم ورحمة الله وبركاته :

رسائل الاصطياد الإلكتروني

رسائل الاصطياد الإلكتروني (Phishing): هي سرقة البيانات الشخصية السرية والحساسة عن طريق رسائل البريد الإلكتروني لغرض انتحال الشخصية، وذلك عن طريق انتحال شخصية مصرف أو منظمة معينة وإيهام الضحية بجدية الطلب وأهميته.

سمي هذا النوع من الرسائل برسائل الاصطياد لأن مرسلوها يستخدمون رسالة البريد الإلكتروني كطعم لاصطياد الأرقام السرية وغيرها من البيانات الشخصية الحساسة الأخرى من بحر مستخدمي الشبكة العالمية.

كما الحال في الرسائل الإلكترونية غير المرغوبة (Spam)، فإن رسائل الاصطياد الإلكتروني لاتقتصر على البريد الإلكتروني فقط بل تتعداها إلى تطبيقات التراسل الإلكترونية الأخرى كالرسائل النصية القصيرة (SMS) والرسائل الآنية (Instant Messaging)، حيث أن المفهوم يبقى نفسه ولكن الاختلاف يكون في الوسيط الذي يتم تنفذ الجريمة من خلاله. وتعتبر رسائل البريد الإلكتروني الأكثر شيوعا في تنفيذ هجمات الاصطياد[1].

كان أوائل مخترقوا الشبكة العالمية (Hackers) عادة مايستبدلون الحرف "f" بالحرفين "ph" لإنشاء كلمات جديدة في مجتمعهم، أي مجتمع قراصنة الشبكة العالمية، حيث أن النطق نفسه ولكن الكتابة تختلف. نشأت كلمة (Phishing) في التسعينات الميلادية من الكلمة (fishing) والتي تعني اصطياد السمك.

رسائل الاصطياد الإلكتروني مثلها كمثل الرسائل البريدية غير المرغوبة (Spam) حيث أن مرسلوها أيضا يستغلون الجانب الاجتماعي بالإضافة إلى الجانب الفني في عملية الاحتيال على الضحية وهذا كما ذكر سابقا يندرج تحت باب الهندسة الاجتماعية (Social Engineering).

تدّعي رسائل الاصطياد الإلكترونية أن مصدرها منظمات حقيقية كالمصارف المالية في محاولة لخداع مستقبل هذا البريد لإفشاء بياناته الشخصية كبيانات الدخول على الحساب الشخصي في مصرف ما كإسم المستخدم والرمز السري، أوبيانات البطاقات الإئتمانية كبطاقة فيزا (Visa) الإئتمانية لغرض سرقتها وانتحال شخصية الضحية لاحقا.

مثال تقليدي لرسائل الاصطياد، هي رسالة بريد إلكتروني تدعي أن مصدرها المصرف "س"، وكما ذكر سابقا أن برتوكول نقل البريد البسيط (SMTP) يفتقد لخاصية التصديق (Authentication) حيث أن عنوان المرسل ليس بالضرورة أن يعكس حقيقة شخصية المرسل لأنه من الممكن التلاعب بحقل عنوان المرسل، وفي هذا المثال يضع المرسل عنوان بريدي ملفق متبوعا باسم النطاق لذلك المصرف، لإيهام المستقبل بأن مصدرها هو المصرف "س"، وعن طريق استخدام رسائل البريد غير المرغوبة (Spam) ترسل هذه الرسالة لعدد هائل من عناوين البريد الإلكترونية.

محتوى هذه الرسالة سيكتب بطريقة لخداع المستقبل لإفشاء بيانات الدخول إلى حسابه الشخصي عبر الموقع الإلكتروني لذلك المصرف، بحيث تكتب الرسالة بطريقة مشابهة لنمط (Style) رسائل المصرف البريدية الموجهة للعملاء من حيث النظر والإحساس (Look and Feel) ووضع رمز المصرف (Logo) وشعاره (slogans).

إحدى أساليب الخداع التي استخدمت في كتابة محتوى الرسالة هو الإدعاء بأن محاولات الدخول إلى الحساب الشخصي للمستقبل قد استنفذت وأنه لابد من تعبئة النموذج الموجود في الرابط الموجود في الرسالة، ويكون هذا الرابط لموقع مزور (Spoofed) مصمم ليطابق تصميم موقع المصرف الأصلي من حيث أيضا النظر والإحساس (Look and Feel) ووضع إسم المصرف ورمزه وشعاره، حيث أن هيئة وطبيعة اللغة الأساسية لإنشاء المواقع الإلكترونية ألا وهي لغة الترميز النصي المتشعب (Hypertext Markup Language – HTML) تجعل من السهل نسخ الصور من المواقع الإلكترونية الأخرى أو حتى نسخ الموقع الإلكتروني بكاملة، والهدف من ذلك هو محاولة خداع المستقبل والذي صادف أنه عميل لذلك المصرف وذلك بسرقة بيانات الدخول إلى الحساب الإلكتروني والتي عادة ماتكون اسم المستخدم والرمز السري.

قد تكون رسالة البريد الإلكترونية نفسها مزودة بنموذج (form) ويطلب من المستقبل تعبئته ومن ثم ارسالها مرة أخرى إلى المرسل، أو بتسليم النموذج بالبيانات المعبئة فيه إلى عنوان موقع على الشبكة العالمية في حالة البريد الإلكتروني المبني على الشبكة العالمية (Web-based E-Mail – webmail).

في المثال السابق نجد أن الرسالة البريدية مثلت الطعم الذي جذب الضحية والذي كما ذكرنا أنه صادف أن يكون عميل لدى ذلك المصرف، بينما مثل الموقع المزور كلاب الصنارة الذي تم اصطياد الضحية بواسطته.

ومن المواضيع الأخرى المشهورة المستخدمة في رسائل الاصطياد[2]:

-رسالة تدّعي أن هناك مشكلة في حساب المستقبل في مصرف ما، وتطلب من المستقبل زيارة موقع لتصحيح المشكلة بإستخدام رابط لموقع مزور موجود في الرسالة.

-رسالة تدّعي أن حساب المستقبل في مصرف ما في خطر، وتعرض عليه التسجيل في برنامج مكافحة الاختلاسات.

-رسالة فاتورة مبيعات، وهي في الأصل مزيفة ولم يقم المستقبل بطلبها، ويزود المستقبل برابط موجود في الرسالة لإلغاء هذا الطلب المزيف.

-رسالة إشعار مزيف بحصول تغيير غير متوقع على الحساب المصرفي للمستقبل، ويزود المستقبل برابط للنظر في هذا التغيير.

-رسالة تدّعي نزول خدمات مالية جديدة في مصرف ما وتعرض على المستقبل كعميل حالي فرصة الحصول على هذه الخدمة مجانا لفترة مؤقتة.

في كل حالة من الحالات السابقة فإن مستقبل الرسالة يوجه إلى موقع مزور لجمع البيانات السرية والتي يستخدمها الصيادون لاحقا في انتحال شخصية الضحية في عمليات إما مالية أو أخرى.



يمكن اختصار هجمات الاصطياد في الخطوات التالية:



1- التخطيط لهجمة الاصطياد.

2- تجهيز الموقع المزيف.

3- ارسال كمية هائلة من الرسائل المزيفة، وقد تكون باستخدام أحد أساليب الرسائل غير المرغوبة (Spam).

4- عدد من المستقبلين للرسالة المزورة يقومون بفتح الرسالة وتتبع الرابط الموجود في الرسالة، ومن ثم كتابة البيانات المطلوبة في الموقع المزيف.

5- الصيادون يسرقون البيانات السرية ومن ثم ينتحلون شخصيات الضحايا.


المواضيع المحتمل أن تكون متشابهة .
التحذير من رسائل مشبوهة مشابهة للشركات العملاقة yahoo و hotmail
فرز البريد الإلكتروني
رسائل الجوال الاقتحامية
احصائيات عن هجمات الاصطياد الالكتروني
التسوق الإلكتروني الآمن
التوقيع الإلكتروني وغموض المعنى
أساليب البريد الإلكتروني غير المرغوب فيها
أمن النشر الإلكتروني
05-20-2011 10:53 PM
إقتباس هذه الرسالة في الرد
إضافة رد 






سوق العرب | معهد سكيورتى العرب | وظائف خالية © 2024.
Google