60مليون جنية خسائر  البنوك البريطانية عام 2003وشركة تقوم بحجب  96بليون رسالة إغراقية شهريا

الأحساء - يوسف الحسن:

* يعتبر الاستدراج (phishing) أحداث الأساليب المستخدمة في جرائم الهاكرز عالمياً.. وهو يعني إقناع مستخدمي الإنترنت بأن يذهبوا إلى أحد مواقع الإنترنت بزعم أنه موقع لشركة أو مؤسسة مالية أو عامة بينما الحقيقة أنها تأخذك إلى موقع آخر مخادع. ويهدف الهاكرز من ذلك إلى الحصول على معلومات شخصية من المخدوعين لاستخدامها في نشاطات هاكرية أخرى. فعندما يتم استدراج شخص إلى موقع على أساس أنه موقع لبنك مثلا، يطلب منه أن يقوم بتحديث بياناته الشخصية والتي يكون منها بالضرورة رقم الحساب وكلمة المرور الخاصة بالدخول إلى الحساب، أو أرقام بطاقات  الائتمان، أو حتى بيانات شخصية مثل أرقام التأمينات الاجتماعية والتي يمكن أن يستفاد منها كثيراً للتعريف بالهوية في بعض البلدان كالولايات المتحدة. ويتم استخدام هذه البيانات من المستدرجين بطرق غير قانونية ، مثل القيام بعمليات شراء أو تسديد التزامات مالية، أو القيام بتحويلات مالية. وعادة ما تتم عملية الإقناع بالبريد الإلكتروني الذي يظهر وكأنه أرسل من الجهة الصحيحة، وذلك أما بإرسالها من موقع باسم قريب من الإسم الأصلي مع اختلاف في حرف أو حرفين أو حتى من بريد الكتروني مجاني مثل هوتميل أو ياهو. ويظهر ا
لبريد الإلكتروني المرسل وكأنه أرسل من الموقع الأصلي إلى حد التطابق مع وجود حتى العلامات التجارية واللوغو للشركة الأصلية. وعادة ما لا ينتبه من تصله الرسائل إلى عنوان المرسل بالضبط خاصة إذا كانت معالم الرسالة تتشابه مع معالم الموقع الأصلي المراد الإيهام بوصول الرساله منه. ويمكن أن تصل الرسائل على أساس أنها من شركة تأمين أو من أحد مواقع البيع على النت مثل paypal أو eBay،
وقد تم أخذ التسمية phishing من كلمة Fishing باللغة الانجليزية، والتي تعني صيد السمك لكن مع تغيير في بعض الحروف والإحتفاظ بنفس الرنة الصوتية لها. والحقيقة أن معنى الكملة (وهي صيد السمك) تتطابق مع أساليب الاستدراج الإلكتروني بوضع طُعم للسمك في سنارة الصيد وهو ما يحصل بالفعل في عملية الخداع المذكورة. وقد تم تأسيس مواقع خاصة للتوعية بحقيقة ومخاطر الاستدراج منها موقعي
www.Tumbleweed.com/en و www.Anti-phishing.org .
ورغم أن هذا النوع من الاحتيال الإلكتروني قد انتشر بشكل كبير مؤخراً، إلا أنه كان موجودا قبل مدة ليست بالقصيرة لكن بأساليب ووسائل أخرى. وكان هناك نوع شبيه بالاستدراج حتى قبل ظهور الكمبيوتر وذلك باستخدام الهاتف حيث كان يتصل شخص ما طالباً بعض المعلومات الشخصية عن الشخص المستهدف حيث يستخدمها في أغراض احتيالية، وكانت عملية الاتصال هذه تسمى الهندسة الاجتماعية social engineering .

دراسات وإحصاءات:
في مسح أجرته إحدى شركات البرمجة (Cyota) نشر في الرابع من مايو 2004، جاء بأن ثلاثة من بين كل أربعة (74%) ممن لديهم حسابات بنكية على الإنترنت بدأوا يميلون إلى عدم التسوق عبر النت بسبب مخاوف من الاستدراج الإلكتروني. وجاء في المسح أيضاً إن 75% ممن لديهم هذه الحسابات أصبحوا أيضاً أقل ميلاً للتجاوب مع البريد الإلكتروني الذي يصلهم من بنوكهم. وقال 65% أنهم أقل رغبة في التسجيل لحساب بنكي على النت أو الاستمرار فيه كنتيجة لهذه المخاوف. وعبر 30% فقط من بين  650شخصاً استجابوا للمسح المذكور على مستوى عال من الثقة بقدراتهم على التمييز بين البريد الحقيقي والمحتال.
وتقول شركة Brightmail (متخصصة في فلترة البريد الإلكتروني) بأن عدد الرسائل الشهرية التي تتضمن محاولات استدراج الزبائن عالميا وصلت إلى  3.1بلايين رسالة في ابريل  2004لوحده (5% من البريد الإلكتروني العالمي) متضاعفة عشر مرات خلال تسع شهور، حيث إن الشركة كانت قد قالت إنها سجت  300مليون رسالة فقط من هذا النوع في أغسطس  2003.وبلغت خسائر بطاقات الائتمان أو معلومات البنوك لهذا الشهر فقط ثلاث بلايين دولار. وتضيف الشركة بأنها تقوم بحجب  96بليون رسالة إغراقية شهرياً.
وقدر البوليس البريطاني خسائر البنوك البريطانية من هذا النوع من الجرائم بمبلغ  60مليون جنية للعام  2003.وتقول غارتنر بأن هناك  57مليون أمريكي كانوا عرضة لهجمات الاستدراج الإلكتروني في العام 2003، وأن  1.78مليون شخص أبلغ عن قيامه بإعطاء معلومات شخصية أو تفاصيل مالية عن أنفسهم إلى جهات غير قانونية (هاكرز). وتقول لجنة التجارة الفيدرالية الأمريكية إنها تلقت أكثر من نصف مليون شكوى سرقة هوية identiy theft، أكثر من 40% منها عبر الإنترنت أو ما يسمى بالاستدراج phishing.
ويقول موقع متخصص في فلترة البريد الإلكتروني (MessageLabs) بأنه قد تمكن بنهاية يناير  2004من اعتراض  290016بريد الكتروني من نوع الاستدراج.
من الأساليب الأخرى للمستدرجين:
هناك عدة طرق يستخدمها المستدرجون تهدف جميعها في النهاية إلى أخذ معلومات من الشخص المخدوع. ومن هذه الأساليب أن يضع المستدرجون في الرسالة وصلة حقيقية لعنوان إحدى المؤسسات المالية، لكن عندما يقوم المستخدم بالضغط عليها فإن الموقع الأصلي الشرعي يظهر للمستخدم، لكن تظهر معه نافذة أخرى من نوع (النوافذ القافزة) pop-up window يفترض أن يقوم المستخدم بتعبئتها بالبيانات المحدثة. وعندما يقوم بذلك ويرسلها بالضغط على زر Submit أو Send فإنها ترسل، لكن ليس إلى الموقع الأصلي الحقيقي، بل إلى موقع المستدرجين الهاكرز.
وهناك أسلوب آخر يقوم فيه المستدروجون بإخفاء جزء من اسم الموقع وإظهار الجزء الصحيح فقط والذي يجعل اسم الموقع يبدو وكأنه إسم حقيقي، لكنه يأخذ المستخدم إلى موقع مخادع يطلب منه معلومات شخصية.
وهناك طريقة أخرى متطورة يقوم فيها المستدرجون باستخدام تقنية الجافا سكريبت لإظهار عنوان الموقع على أنه الموقع الحقيقي، ويظهر هكذا في المتصفح، بينما الموقع هو في الحقيقة موقع مخادع! وعنوان الموقع الحقيقي الذي يظهر ما هو إلا شكل فقط لا أكثر! والطريقة المستخدمة هو أن يقوم الموقع المخادع بالتعرف على نوعية المستخدم، ثم يقوم بإظهار عنوان الموقع في أعلى المتصفح وكأنه حقيقي، والمتصفح كأنه حقيقي، مع وجود زر Go إلى جانب المتصفح لزيادة الإيهام. والأكثر دهاءً أنك تستطيع طباعة الإسم الحقيقي في المكان المخصص لذلك، لكن كل ذلك جزء من برنامج الجافا سكريبت لا أكثر. (لكن عند طباعتك لعنوان وب آخر لا تتغير العبارات الترحيبية حينذاك!!). والأخطر من هذا أنك حين تحاول أن تكون خبيراً في برمجة وتصميم الموقع وتضغط على الزر الأيمن من الفأرة من أجل مشاهدة رموز البرنامج بلغة HTML فإنك لا ترى الرموز الدالة على برنامج جافا المستخدم في عملية الاستدراج!! ويظهر تصميم الموقع سليما أمامك. إذن كيف يمكنك رؤية تلك الرموز؟ يمكن ذلك فقط عبر الطريقة الأخرى وهي من قائمة الأوامر: source code ثم view (وذلك في برنامج انترنت اكسبلورر). ويمكن لهذه الخدعة أن ت
نطلي على المتصفحات الأخرى كذلك وليست مقتصرة على هذا المتصفح.
ويتم استخدام أساليب متقدمة في الاستدراج، لدرجة قد تصعب على الكثيرين ملاحظة الخدع. ويمكن لبعض الهاكرز أن يتحايلوا حتى على القفل الأمني الذي يظهر أسفل المتصفح ويسمى (SSL-LOK ICON)، وهو القفل الذي يفترض أن يجعل المتصفح مطمئناً إلى كون التصفح وإرسال البيانات آمنا جداً.
وفي إحصائة تبين أن نسبة التجاوب مع هذه الرسائل تبلغ 5% من مجموع الرسائل المرسلة والتي تقدر بالبلايين. بينما تقول مؤسسة غارتنر بأن 19% ممن وصلهم هذا البريد قد ضغطوا على الوصلة التي تؤدي إلى الموقع المخادع.
من قصص الاستدارج:
نذكر هنا بعض قصص الاستدراج الإلكتروني التي بدأت في الانتشار وهي مرشحة للزيادة بشكل كبير:
وصلت إلى حاملي بطاقة الفيزا رسائل تطلب منهم تحديث بياناتهم الخاصة بالفيزا وذلك بسبب قيام الشركة بتحديث نظامها الأمني. وعند الضغط على الرابط الموجود ف الرسالة، تم توجيههم إلى موقع يشبه إلى حد بعيد موقع شركة فيزا.
لكنهم عندما ضغطوا على الرابط المحدد لتحديث البيانات قادهم ذلك الرابط إلى موقع آخر يشبه موقع فيزا، لكن موقع استدراجي. وكان أي شخص حامل لبطاقة الفيزا يقوم بتحديث بياناته عبر هذا الموقع ترسل بياناته إلى المستدرجين (الهاكرز) الذين تتجمع لديهم بيانات الأشخاص الذي انطلت عليهم الحيلة ليستخدموها كما يحلو لهم.
في اكتوبر  2003حكم على امرأة أمريكية.. فقد قامت (هيلين كار) -  55عاماً - بإرسال رسائل مكثفة إلى مشتركي شركة AOL موهمة إياهم بأنها من قبل إدارة أمن الشركة. وقالت السيدة في رسالتها بأن مشكلة ما حصلت لشركة AOL في سحب مبلغ المال من بطاقة الإئتمان للمرة الأخيرة التي قام فيها الزبائن بالشراء. وكتبت وصلة في الرسالة تؤدي إلى موقع (مركز فواتير AOL).
وعندما كان المستخدم يضغط على الوصلة يظهر له نموذج يطلب منه كتابة اسمه وعنوانه ورقم بطاقة الإئتمان وتاريخ انتهاء البطاقة والثلاثة أرقام الخاصة التي ترفق أحياناً مع بعض بطاقات الائتمان لمزيد من الحرص الأمني (تكتب أحياناً خلف البطاقة)، إضافة إلى حدود بطاقة الائتمان. ويبدو أن الحيلة انطلت على الكثيرين، لكن الحظ العاثر لهيلين قادها إلى إرسال رسالة إلى أحد عملاء FBI والذي كان كذلك متخصصاً في جرائم الكمبيوتر، حيث اكتشفت أن البريد الذي تعود إليه المعلومات هو precious44257166@aol.com، والذي من المستبعد جد أن تستخدمه الشركة. وكان البريد مرسلاً إلى  19شخصاً آخر في نفس الوقت. كما لاحظ الخبير بأن الموقع هو مجرد موقع مستضاف من قبل شركة Geocities التي تستضيف المواقع مجاناً وتتبع شركة ياهو. وعندما تمت متابعة الموضوع مع ياهو اكتشفوا عدة أشخاص لهم علاقة بالجريمة. كما اعترفوا بدورهم على هيلين التي اسموها رئيسة العصابة.
في واحدة من أكبر الحملات ضد جرائم الاستدراج الإلكترونية في بريطانيا اعتقلت السلطات البريطانية (الوحدة الوطنية لجريمة التكنلولوجيا العالية في المملكة المتحدة) مطلع مايو  2004عشرات الأشخاص من روسيا وأوروبا الشرقية بتهمة قيامهم بسرقة مئات آلاف الجنيهات الإسترلينية من بنوكها، وقيامهم بغسيل الأموال الناتجة عن سرقات الاستدراج. وتنتمي هذه المجموعة إلى عصابات الجريمة الرويسة. وقد تعاون مع البريطانيين كل من FBI والخدمة السرية الأمريكية. وقد تم التحفظ على جوازات سفر ودفاتر شيكات وبطاقات بنكية.

ولمزيد من الأمثلة والقصص مراجعة الموقع:
www.antiphishing.org/phishing_archive.htm

حلول:
تعتبر التوعية بالمشكلة هي المحور الرئيسي لحلها، فطالما بقي مستخدم ما جاهلا بالمشكلة، فسوف يظل ضحية للمستدرجين. وحتى من يعرف المشكلة فستبقى لديه لحظات غفلة هي وحدها كافية للهاكرز لكي ينالوا ما يريدون، قبل أن ينتبه لوقوعه ضحية لها. المشكلة الحقيقة هي أن محاربة هذه الجريمة تشبه إلى حد كبير الطب الوقائي. فلطالما حذر الأطباء (مثلا) الناس من الإصابة بمرض معين أو الإقتراب من مريض لديه مرض معد، ورغم ذلك تبقى الأمراض وتبقى الإصابات ويموت الناس بسبب ذلك نتيجة طبيعتهم ونسيانهم للنصائح أو تكاسلهم عن اتخاذ إجراء تجاهها.
كما ينبغي تجنب التجاوب مع البريد الإلكتروني المشكوك فيه، أو المبادرة إلى الاتصال الهاتفي بالجهة المرسلة للتأكد من حقيقة الرسالة. ولا ينبغي أن يكون شكل الرسالة وما تتضمنه من كتابة مشجعاً لنا للتجاوب معها. وقد وصل الحد ببعض المستدرجين أن يضمنوا رسائلهم تحذيرات (من المستدرجين والتجاوب مع رسائلهم الاحتيالية!!). وهنا نشير إلى أنه من الصعب أن نقترح عدم التجاوب نهائيا مع رسائل البريد الألكتروني التي تصلنا من جهات أو مواقع مالية لاحتمال وجود بريد الكتروني مشكوك فيها.
كما يمكن الاستفادة من تقنية التوقيع الرقمي الذي يمكن أن يجنب مستقبل الرسائل التجاوب مع الرسائل الاحتيالية. وينصح الخبراء من يقع في فخ المستدرجين، أن يقوم وعلى الفور بإبلاغ الجهة التي يتعامل معها بالموضوع حتى تتخذ الإجراء المناسب والذي يوقف مزيداً من الخسائر. وينبغي أن يبادر بتغيير كلمات المستخدم الخاصة به، وأرقامه السرية، وحتى إلغاء حسابه البنكي الذي انكشفت معلوماته، وفتح حساب آخر مكانه.
yousef@alriyadh-np.com