إي ميل

استغلال القراصنة مناخ الخوف من جائحة كورونا لتكثيف هجمات التصيّد whaling attack

نشرت في: 28/01/2021 - 12:18

تشرح نايلة الصليبي في "إي ميل" مونت كارلو الدولية ما هو"التصيّد الحوتي" أو Whaling Phishing التي يتوقع خبراء الأمن السيبراني توسع انتشارها و استخدامها من قبل القراصنة خلال عام 2021؛ مستغلين مناخ الخوف من فيروس كورونا المستجد و المتحول الذي يسود المجتمعات.

مع جائحة كورونا المستجد والمتحول اليوم، ليس لدى الشركات والمؤسسات سوى إبقاء معظم موظفيها في منازلهم والتحول الرقمي للعمل عن بعد.

حذرت مرارا من مخاطر العمل عن بعد وكيفية تأمين عملنا من المنزل وضرورة الوعي لكيفية استخدامنا للأدوات المعلوماتية وخدمات الإنترنت الرقمية.

إذ يبدو أن عام 2021 سيشهد انتشار هجمات تصيّد Phishing تعرف بـ "هجمات التصيّد الحوتية" whaling attack أو whaling phishing لتي هي شكل من أشكال Spear Phishing.

تستهدف تقنية التصيّد Whaling القادة من رجال الأعمال وصانعي سياسات المؤسسات والإدارات الحكومية والمديرين. أي أن التصيد الــ Phishing الذي كان يستهدف عشوائيا أكبر عدد ممكن من الناس من الأسماك الصغيرة، يتحول لصيد "الحيتان" أي الأسماك الكبيرة والكبيرة جدا. حسب روبرت ماسي، مستشار من شركة Deloitte، في إطار مذكرة لشركة HP، التي تحذر من استغلال القراصنة مناخ القلق الذي يسود المجتمعات والخوف من فيروس كورونا المستجد والمتحول والضائقة المالية نتيجة الأزمة الصحية وأيضا عدم الاستقرار السياسي لتكثيف حملات التصيد عبر البريد إلكتروني عن اللقاحات أو المساعدات الحكومية، هذا البريد الإلكتروني مفخخ ببرامج خبيثة.

كيف تتم عملية التصيد whaling phishing؟

تتم عملية" whaling phishing" من خلال إرسال بريد الكتروني مزيف إلى مدير تنفيذي أو مدير مالي، ينتحل شخصية موظف رفيع المستوى.

يتفنن القراصنة في أسلوب كتابة هذا البريد الإلكتروني الذي ينسخ تماما أسلوب الموظفين الرفيعي المستوى، ولإضافة المصداقية على بريدهم المزيف، يجمع القراصنة البيانات الشخصية عن الموظف الرفيع المستوى الذي ينتحلون شخصيته، من خلال المنصات الاجتماعية أو المعلومات المتوفرة في محركات البحث.

الهدف من هذه الهجمات، هي خداع الموظف الذي يظن أن الرسالة من رئيسه أو من موظف مهم، والحصول منه على البيانات الحساسة وأيضا الحصول من خلال ثغرات أمنية على المعلومات السرية الخاصة بالشركة أو المؤسسة.

حسب شركة الأمن السيبراني "كاسبيرسكي" يعتبر "التصيّد الحوتي" عنصرا إضافيا من تقنيات الهندسة الاجتماعية التي تتلاعب بمشاعر الضحية، بحيث "لا يمكن للموظف رفض طلب من شخص يعتبره مهما، كرفض طلب الرئيس التنفيذي أو مدير المالية".

ضرورة توعية الموظفين و المسؤولين

لمواجهة هجمات التصيّد الحوتية العمل على توعية موظفي الشركات وكبار المسؤولين لخطورة هذه العمليات وكلفتها الباهظة على ميزانية وأموال الشركة. و دعوة الجميع للشك بما يتلقون من رسائل والتأكد من مرسل و مصدر البريد الإلكتروني عبر الاتصال الهاتفي المباشر بالمسؤول المرسل أو من خلال التراتبية الهرمية للموظفين في الشركة للتأكد من الطلب.

يمكنكم التواصل مع نايلة الصليبي عبر صفحة برنامَج "إي ميل" مونت كارلو الدولية على لينكد إن تويتر @salibi و @mcd_digital وعبر موقع مونت كارلو الدولية مع تحيات نايلة الصليبي

إعداد: نايلة الصليبي تابِع

لقراءة المزيد حول نفس المواضيع: