كيف تحمي شركتك من النصوص المارقة؟
القاهرة : الأمير كمال فرج.
إذا كانت عمليات التصيد الاحتيالي التقليدية المستندة إلى البريد الإلكتروني لم تكن ذات تأثير كافٍ ، فإن التهديد المتصاعد يتضمن رسائل نصية مخادعة يتم إرسالها إلى هاتفك الذكي.
كتب ديفيد بالابان في تقرير نشرته مجلة Forbes أن "هذا الجزء الفرعي للهندسة الاجتماعية يعرف باسم smishing، وهو مصطلح متنقل يجمع بين "الرسائل القصيرة" و "التصيد الاحتيالي". هذا المصطلح يهدف إلى خداع المستخدمين للكشف عن معلومات حساسة، أو تنزيل برامج ضارة للأجهزة المحمولة، وعادةً ما تنتحل هذه الرسائل صفة شركات أو أفراد موثوق بهم، وقد تتضمن روابط تؤدي إلى صفحات تصيد بيانات الاعتماد".
تطور مفهوم الرسائل القصيرة SMS على مر السنين، ولم تعد قنوات تنظيم هذه الحملات مقتصرة على الرسائل النصية القصيرة التقليدية بعد الآن. ينشر المحتالون بشكل متزايد النصوص المارقة عبر تطبيقات المراسلة المحمولة الشهيرة ، مثل WhatsApp و Facebook Messenger و WeChat. أدى استخدام هذه المنصات المستندة إلى الإنترنت إلى "دمقرطة" عملية المراوغة ، مما سمح للمجرمين بتوسيع نطاق وصولهم إلى حد كبير.
تقع العديد من الشركات على الطرف المتلقي لخدع الرسائل النصية القصيرة التي يحاول فيها المحتالون الوصول إلى شبكات المؤسسات، أو سرقة بيانات الملكية، أو تضليل الموظفين لتحويل الأموال إلى وجهة خاطئة. دعنا نحلل ظاهرة الجرائم الإلكترونية هذه بعمق، ونرى كيف يمكن للمؤسسات أن تمنع smishers ؟.
أنواع الرسائل النصية التي يجب أن تعطيك تنبيهًا :
لزيادة فاعلية لعبهم الخبيث، أتقن المحتالون عددًا لا بأس به من تقنيات التصويب على الرسائل النصية القصيرة بمرور الوقت. كل واحد يسحب الخيوط مع المستلمين بطريقته الخاصة لجعلهم ينزلقون. تهيمن الموضوعات التالية حاليًا على مشهد التهديد هذا:
1 ـ تنبيهات وهمية حول نشاط الحساب المشكوك فيه
لتعزيز حماية أصول المؤسسة ضد الاستخدام غير المصرح به في عالم الأعمال مع حصة متزايدة من العمل عن بعد ، تقوم المؤسسات بفرض خطوة تحقق إضافية في السيناريوهات التي يتم فيها الوصول إلى حساب الشركة من جهاز أو موقع غير قياسي. قد تستغل الجهات الخبيثة هذا التحذير عن طريق إرسال طلبات تأكيد غير مشروعة إلى الموظفين.
في كثير من الحالات، يتم تمويه هذه الرسائل لتكون في شكل عناصر من سلسلة مصادقة ثنائية (2FA). هدفهم هو إقناع المستخدم المطمئن بالنقر على الرابط المضمن، مما يؤدي إلى صفحة تصيد بيانات الاعتماد أو تحميل برامج ضارة.
2 ـ رسائل تتظاهر بأنها قادمة من أحد البنوك
يمكن القول إن المشكلات المتعلقة بالمال هي من بين الموضوعات الأكثر حساسية بالنسبة للشخص العادي، والمحتالون يعرفون ذلك. مما لا يثير الدهشة، غالبًا ما تنتحل الرسائل النصية القصيرة شخصية مؤسسة مالية واحدة.
إنهم يُعلمون الضحية المحتملة بشأن معاملة مشبوهة على حسابه، ويذكرون أن بطاقته الائتمانية قد تم حظرها بسبب انتهاك شروط الخدمة المصرفية، أو تتضمن تنبيهًا بالسحب على المكشوف. لمعرفة تفاصيل المشكلة المزعومة، يُطلب من الشخص اتباع رابط وإجراء عمليات التحقق من الهوية.
3 ـ لقد فزت بجائزة!
تتمثل إحدى الحيل الأخرى في ذخيرة المحتال في خداع شخص ما ليعتقد أنه حصل على شيء ما ، سواء كان ذلك في يانصيب أو بطاقة هدايا أو هاتفًا ذكيًا جديدًا لامعًا.
لمعرفة المزيد والمطالبة بالجائزة المزعومة، من المفترض أن ينقر المستخدم على رابط. الخبر السار هو أن معظم هذه الخدع يسهل تمييزها. ومع ذلك، فإن احتمالات الوقوع في الخطاف مرتفعة إلى حد ما عندما يقوم المجرمون ببعض الاستطلاع مقدمًا ويستخدمون العروض الترويجية الحقيقية التي تحتفظ بها المتاجر الكبيرة في منطقة الضحية.
4 ـ استطلاعات الرأي ليست على ما يبدو
تعرض بعض النصوص المفخخة للمتلقين المشاركة في الاستبيان. نظرًا لإحجام معظم الناس عن الانخراط في دراسات تسويقية تستغرق وقتًا طويلاً مثل هذه، يتعين على الأشرار التفكير خارج الصندوق للوصول إلى عقول أهدافهم. من الأمثلة على الطُعم الشائع الوعد بتقديم خصم أو جائزة بعد استكمال الاستبيان.
5 ـ رسائل ظاهريا مرسلة من قبل الحكومة
لمساعدة الناس أثناء الوباء، أطلقت معظم الحكومات في جميع أنحاء العالم مبادرات مختلفة للإغاثة من COVID-19 ، بما في ذلك مدفوعات البطالة وبرامج القروض منخفضة الفائدة.
كما هو متوقع، يرسل المخربون إخطارات مزيفة نيابة عن السلطات المحلية فيما يتعلق بأنواع مختلفة من الفوائد. حيث تناسب أي رسالة تتعلق بأحد هذه البرامج الاجتماعية السياق الحالي ولا يُحتمل أن يتم تجاهلها.
كيف يمكن لشركتك تجنب هجمات الرسائل النصية القصيرة
وفقًا لخبراء الأمن من NAKIVO، فإن مفتاح إحباط مثل هذه الهجمات هو التأكد من أن فرقك يمكنها التعرف عليها. بغض النظر عن موضوع التلاعب، فإن معظم عمليات الاحتيال هذه تنقل إحساسًا بالإلحاح، وتوجه المستخدمين إلى اتخاذ إجراء في غضون الموعد النهائي المحدد. هذه تربة خصبة للقرارات المتسرعة التي لا يدعمها التفكير الرصين.
أيضًا، الرسائل التي تظهر باللون الأزرق هي علامة حمراء. عادةً ما يتم تلقي رسالة SMS جديرة بالثقة من مزود الخدمة عندما تحاول التحقق من حساب، أو ردًا على استفسار قمت به بالفعل.
1ـ الارتباط بالداخل هو هدية أيضًا.
مشغلو حملات الرسائل النصية القصيرة الاحتيالية smishing أذكياء، ولكن يمكنك التغلب عليهم بسهولة. ومع ذلك ، فلنستعرض طرق كبح هذا التهديد الشنيع.
فرض سياسة BYOD. يجب أن يكون لدى المنظمات التي تسمح للموظفين باستخدام هواتفهم الذكية الشخصية في العمل لوائح واضحة بشأن إحضار جهازك الخاص (BYOD) والتي تحدد طرق التفاعل مع الرسائل المشبوهة.
تطبيق التحكم في الوصول. يعد مبدأ الامتياز الأقل أحد أعمدة الموقف الأمني المدروس جيدًا للشركات. هذا يعني أن الموظفين لديهم فقط إمكانية الوصول إلى أصول الشركة التي يحتاجونها لأداء واجباتهم. سيؤدي ذلك إلى تقليل سطح الهجوم إذا وقع المستخدم في خدعة الاحتيال الإلكتروني وأعطى تفاصيل المصادقة الخاصة به.
عزز وعي فريقك. يجب أن يتضمن تدريب الوعي الأمني للأفراد توصيات شاملة حول كيفية تجنب الهندسة الاجتماعية بشكل عام، والتصوير الاحتيالي على وجه الخصوص. ضع في اعتبارك أيضًا إجراء استبيانات دورية لتقييم يقظة المستخدمين في هذا المجال.
التعامل مع النصوص المستعجلة بحذر. قد تكون العروض ذات الوقت المحدود، والرسائل الأخرى التي تطلب منك القيام بشيء ما على الفور خدعًا.
2ـ القليل من البارانويا (جنون الشك) لن يضر.
فكر مرتين قبل الرد. من المحتمل أن تكون الرسالة التي تغريك بالرد مشكوك فيها، حتى لو بدت وكأنها مطالبة بإلغاء الاشتراك من خدمة غير مرغوب فيها عن طريق إرسال "STOP" مرة أخرى. يمكن أن تكون هذه محاولة لتحديد أرقام الهواتف قيد الاستخدام النشط.
الامتناع عن الضغط على الروابط في الرسائل القصيرة. كقاعدة عامة، الضغط على الروابط فكرة سيئة - خاصة إذا كانت الرسالة من مرسل غير مألوف.
لا تشارك المعلومات الشخصية. إذا طلبت منك رسالة عشوائية تقديم بيانات حساسة، لا سيما التفاصيل المالية، فلا تشارك.
الإبلاغ . تأكد من إبلاغ الموظفين لفريق الأمان الخاص بك عن محاولات الاحتيال عبر الرسائل النصية القصيرة للحصول على المشورة في الوقت المناسب، وإجراء مزيد من التحقيقات.
من المفيد أيضًا الإبلاغ عن مثل هذه الحوادث لمزود الهاتف الخلوي، لأنه يساعد في كبح حملات الاحتيال.
استخدم أدوات حظر الرسائل. أسلوب فعال آخر هو منع النصوص المشبوهة من الوصول إليك في المقام الأول. توفر العديد من شركات الجوال خدمات تقوم بتصفية الرسائل من المرسلين المشبوهين.
اسحب قابس الرسائل القصيرة المرسلة من الإنترنت. لتنفيذ حيل الرسائل النصية القصيرة، يستخدم معظم المحتالين خدمات ترحيل النص عبر الإنترنت بدلاً من إرسال رسائل من هاتف ناسخ. إنه نهج أسهل وأكثر فعالية من حيث التكلفة، بالإضافة إلى أنه يساعد المحتالين على إخفاء هوياتهم. لحسن الحظ، تمتلك معظم شركات الهواتف المحمولة ميزة تمنع النصوص الموزعة عبر القنوات القائمة على الإنترنت.
اتصل بالبنك أو مزود الخدمة مباشرة. عندما تكون في شك فيما إذا كانت الرسالة واردة بالفعل من منظمة موثوق بها، فلا تتردد في الاتصال برقم خط المساعدة المحدد على الموقع الرسمي.
حقق أقصى استفادة من المصادقة ذات العاملين. حتى إذا قام أحد المحتالين بإخراج كلمة المرور الخاصة بك، فلن يتمكن من استخدامها لتسجيل الدخول إلى حساب العمل الخاص بك، طالما تم تمكين المصادقة الثنائية (2FA). مطلوب مفتاح سري إضافي، وأنت الشخص الوحيد الذي يعرفه.
حافظ على أجهزتك محدثة. تجلب تحديثات البرامج إصلاحات أمنية مهمة، وتحسينات ترفع من مستوى المحتالين الذين قد يحاولون الهجوم. يمكن لميزات الحماية المضمنة في iOS و Android ومتصفح الويب الخاص بك التخلص من معظم هجمات الرسائل النصية القصيرة الاحتيالية.
كيف تحافظ على علاقاتك مع العملاء بطريقة آمنة من الرسائل النصية القصيرة؟
لتجنب الإضرار بالسمعة، يجب على المؤسسات التأكد من أن إستراتيجيتها التسويقية التي تتضمن الرسائل القصيرة متسقة وجديرة بالثقة. يعد هذا أيضًا شرطًا أساسيًا لوصول هذه الرسائل إلى جمهور العميل المستهدف دون تصفيتها.
نشر المركز الوطني للأمن السيبراني (NCSC) في المملكة المتحدة مؤخرًا نصائح تغطي أفضل ممارسات الاتصالات التجارية لقطاع المؤسسات. تتضمن الإرشادات، من بين أشياء أخرى ، تقنيات للحفاظ على الثقة مع العملاء ومساعدتهم على فهم أن الرسالة النصية من العلامة التجارية مشروعة. فيما يلي تقرير موجز عن هذه التوصيات:
1 ـ الامتناع عن إدراج روابط الويب في الرسائل القصيرة. إذا كان عليك ذلك تمامًا ، فلا تستخدم خدمات تقصير عناوين URL.
2 ـ استخدم معرّف المرسل بدلاً من رقم الهاتف الرقمي. هذا يجعل من السهل على المستلمين معرفة أن الرسالة أصلية. التزم بمعرف المرسل نفسه عبر جميع نواقل اتصالات العملاء. لا تقم بتضمين أحرف خاصة فيه. أيضًا، قم بتسجيله في منتدى النظام البيئي للجوال (MEF).
3 ـ تحقق جيدًا من رسائلك النصية. تأكد من أن مشغل شبكة الجوال لا يعدل معلومات المرسل ومحتوى رسائلك. يجب أن يرى المستلمون رسائل SMS الخاصة بك تمامًا كما أرسلتها.
حافظ على عدد مزودي الرسائل إلى الحد الأدنى. هذا يقلل من فرصة الاستغلال ويسهل إدارة حملات التوعية الخاصة بك.
1
0
Hrad 
First 
燈籠 
لابور 
Bonjour 
Цезарь 
단위 
Mauer 
ताजमहल 
Paras 
Toros 
De koningin 
Kolinda 
Firenze 
Keragaman 
Όμηρος 
luksus 
Hősök 
Rättvisa 
明るい太陽 
Wałęsa 
חזרה 
laranja 
Mevlevi 
Dunărea 
آزادی 
กรุงเทพฯ 
Karpaty 
