الإصطياد الإلكتروني “phishing” هو نوع من هجمات الهندسة الاجتماعية للحصول على معلومات خاصة بمستخدمي الانترنت سواء كانت معلومات شخصية أو مالية عن طريق الرسائل الالكترونية أو مواقع الانترنت المزيفة.

وتتم هذه العملية عن طريق إرسال رسائل إلكترونية زائفة من قبل أشخاص يطلق عليهم المتصيدون phishers تطلب من الهدف أو الضحية بالنقر على رابط ضار، مما قد يؤدي إلى تثبيت برامج ضارة أو تجميد النظام كجزء من هجوم برامج الفدية أو الكشف عن معلومات حساسة. وقد يكون هذا الرابط هو عنوان لموقع انترنت مزيف صمم من قبل المتصيدون ويكون دائما شبيهاً بالموقع الأصلي، أما في ما يخص روابط الصفحات المزورة فهي تكون غالبا مكشوفة لأنه غير مطابق لرابط الموقع الأصلي و لهذا يلجأ بعض المتصيدون إلى قنص ضحايا عن طريق وضع روابط تشبه بشكل كبير الروابط الأصلية بحيث يكون الاختلاف بسيط جدا و يصعب على مبتدأ أو حتى شخص يعي هذه الأمور الإنتباه إلى أن هذا الرابط هو لصفحة مزورة.نأخذ موقع الفيس بوك كمثال فالكل يعلم أن رابط الموقع هو www.facebook.com يقوم المتصيد بإنشاء رابط يكون الاختلاف فيه بسيط جدا بحيث يكون رابط الصفحة المزورة مثلا www.facabook.com هنا قام المتصيد بتغيير حرف واحد فقط وهو حرف e ليصبح a وفي هذه الحالة يصعب على الضحية أن ينتبه إلى هذا الاختلاف خاصة إذا قام بفتح الرابط وظهرت له صفحة مشابهة تماما بالصفحة الأصلية للفيس بوك وبهذا يقوم الضحية بإدخال بياناته دون أن يعلم أنه تم الاطلاع على تلك البيانات المدخلة.

صورة توضح طريقة عمل الإصطياد الإلكتروني

الإصطياد الإلكتروني لا يعتمد فقط على رسائل البريد الإلكتروني فقط فقد تطورت هذه العملية لتشمل تقنيات جديدة للوصول إلى الضحايا ومن أهم هذه التقنيات هي:

Redirection and Other Malicious Code-Based Schemes

وتعتمد هذه الطريقة على أن يقوم المستخدم عن غير معرفة بتحميل برامج خبيثة على حاسوبه حيث وظيفة هذه البرامج هي إعادة توجيه المستخدم من دون علمه إلى موقع شبيه تماما بالموقع الذي يريد الدخول إليه ويقوم المتصيد بجمع المعلومات الخاصة التي يدخلها المستخدم وتسمى هذه العملية Redirection إعادة التوجيه.

Vishing or voice phishing ويقصد بها التصيد الصوتي:

وتتم هذه العملية عن طريق إرسال رسالة إلى الضحية تحتوي على رقم هاتف مزيف لخدمة العملاء وعندما يقوم الضحية بالاتصال به يتم سؤاله عن معلومات الشخصية والمالية، أو أن يقوم المتصيد بالاتصال مباشرة بالضحية ويوهمه على أنه أحد موظفي خدمة العملاء، ومع استخدام تقنية الصوت عبر الإنترنت وبعض البرامج التي توحي للمستخدم بأن الرقم الذي اتصل به هو رقم مركز خدمة عملاء فعلي وبهذا يصعب على الضحية معرفة أنه واقع في مصيدة.


تعتمد الحماية من الإصطياد الإلكتروني بشكل أساسي على يقظة وفطنة المستخدم، كما أن هناك عدد من الخطوات التي يمكنك اتخاذها لحماية نفسك من هذا الهجوم:

  • التحقق دائما من صحة الروابط قبل النقر عليها وأنها لا تحتوي على أخطاء إملائية أو تغيير في اسم النطاق كما في المثال المذكور سالفاً.
  • استخدام خاصية المصادقة الثنائية دائما فهي الطريقة الأكثر فعالية لمواجهة هجمات الإصطياد الإلكتروني.
  • الحفاظ على تحديث برنامج مضاد الفيروسات المتواجد على حاسوبك بشكل مستمر.
  • الحفاظ على تحديث متصفح الانترنت بشكل مستمر.
  • إذا تلقيت رسالة بريد إلكتروني من مصدر تعرفه ولكن تبدو أنها مريبة، فقم بالتواصل مع هذا المصدر برسالة بريد إلكتروني جديدة، بدلاً من التواصل معهم عن طريق الضغط على زر الرد على البريد الإلكتروني.
  • حاول دائما التقليل من نشر المعلومات الشخصية مثل تاريخ الميلاد ورقم الهاتف وغيرها على مواقع التواصل الإجتماعي.