إليك كيفية تدريب موظفيك على تجنب التصيد الاحتيالي

3 دقائق
إليك كيفية تدريب موظفيك على تجنب التصيد الاحتيالي
حقوق الصورة: shutterstock.com/ Vektor illustration

أصبح الأمن السيبراني الشغل الشاغل لمعظم الشركات والمؤسسات من حول العالم، حيث إن تطبيقها معايير الأمن السيبراني الصحيحة يساعد في تجنب الهجمات السيبرانية ويمنع سرقة البيانات المهمة مثل بيانات العملاء ومعلوماتهم الشخصية وبراءات الاختراع وغيرها من المعلومات الحساسة.

في الماضي، كان النهج الرئيسي لتجنب الهجمات السيبرانية هو الاعتماد على برامج وأنظمة وأجهزة وشبكات آمنة قدر الإمكان، لكن اليوم، لا يعد هذا النهج كافياً، فالقراصنة لا يعتمدون فقط على الثغرات ونقاط الضعف، بل يحاولون استهداف ضحاياهم بطرق مبتكرة تدفع الموظفين لتقديم معلومات مهمة وحساسة.

يعتبر التصيد الاحتيالي اليوم الطريقة الأكثر نجاحاً وفعالية في استهداف الضحايا وتنفيذ الهجمات السيبرانية. لذلك، يجب على كل شركة أو مؤسسة أن تهيئ موظفيها وتدربهم على كشف محاولات التصيد الاحتيالي وتجنبها.

اقرأ أيضاً: كيف تحمي بريدك الإلكتروني من رسائل التصيد الاحتيالي؟

لماذا يعد التصيد الاحتيالي فعّالاً للغاية؟

بحسب تقرير التهديدات عام 2022 الذي أصدرته شركة إيسيت (ESET) السلوفاكية للأمن السيبراني، شهدت هجمات البريد الإلكتروني زيادة بنسبة 37% في الأشهر الأربعة الأولى من عام 2022 مقارنة بالأشهر الأربعة الأخيرة من عام 2021. كما ارتفع عدد عناوين URL المستخدمة للتصيد الاحتيالي بنفس المعدل تقريباً.

يؤكد الصحفي في مجال تكنولوجيا المعلومات فيل مونكاستر في مقال نُشر على مدونة وي لايف سكيوريتي التابعة لشركة إيسيت، أن عمليات التصيد الاحتيالي هي من أنجح الطرق التي يستخدمها المهاجمون لتثبيت البرمجيات الخبيثة وسرقة بيانات الاعتماد أو خداع المستخدمين لإجراء عمليات تحويل الأموال.

اقرأ أيضاً: كيف تتعرف على الرسائل الاحتيالية في واتساب؟

وفيما يتعلق بالأسباب التي تؤدي لنجاح عمليات التصيد الاحتيالي، يقول مونكاستر إن ذلك يعود إلى مزيج من تكتيكات الانتحال التي يتّبعها المحتالون لانتحال شخصية أشخاص آخرين، وإلى تقنيات الهندسة الاجتماعية المصممة للاحتيال ودفع الضحية إلى التصرف دون التفكير في عواقب الإجراء الذي تقوم به.

تشمل هذه التكتيكات التي تحدث عنها مونكاستر:

  • استخدام عناوين أو أرقام هواتف مخادعة تبدو أنها شرعية وغير مزيفة.
  • استخدام حسابات مخترقة وانتحال شخصية أصحاب هذه الحسابات الأصلية، ما يجعل اكتشاف التصيد أمراً شبه مستحيل.
  • البحث على الإنترنت وعلى مواقع التواصل الاجتماعي عن معلومات مفيدة تجعل عملية التصيد أكثر إقناعاً.
  • استخدام الشعارات والشارات الرسمية لشخصيات أو شركات حقيقية.
  • خلق شعور بالإلحاح أو الإثارة لدفع الضحية إلى اتخاذ إجراء بسرعة ودون تفكير.
  • استخدام الروابط المختصرة التي تخفي الرابط الخبيث الذي سيتم التوجيه إليه.
  • إنشاء مواقع ويب تشبه تماماً مواقع حقيقية مثل موقع مزيف لبنك لتقوم الضحية بتسجيل الدخول إليه.

اقرأ أيضاً: استخدم أدوات الأمن السيبراني هذه لحماية أجهزتك من الاختراق

نهج تدريب الموظفين على تجنب تصيد الاحتيالي

نظراً لأن التصيد الاحتيالي من أكثر الطرق الفعّالة في تنفيذ الهجمات السيبرانية، من المؤكد أن على كل شركة أو مؤسسة تدريب موظفيها على كيفية اكتشاف التصيد وتجنبه والإبلاغ عنه. يجب تدريب جميع الموظفين دون استثناء، بما في ذلك الموظفون المؤقتون والمتعاقد معهم وكبار المدراء التنفيذيين، فأي شخص لديه وصول إلى حسابات الشركة هو هدف محتمل للتصيد الاحتيالي.

قد يرى بعض المسؤولين في الشركات أن تدريب الموظفين غير مجدٍ لأنه يكلف الكثير من الوقت والمال، لكن هذه التكلفة والوقت الضائع لا يساويان شيئاً عند مقارنتهما بالتكاليف الكبيرة التي يمكن أن تتكبدها الشركة في حال حصول أي هجوم ناجح، فالهجمات السيبرانية لا تؤثر فقط على عمل الشركة، بل على سمعتها أيضاً، ما يجعل العملاء غير واثقين بها.

اقرأ أيضاً: كيف ينبغي على الشركات أن تتعامل مع تهديد سيبراني داخلي؟

إذا كنت ترغب في تدريب موظفيك على تجنب التصيد الاحتيالي، يدعو مونكاستر إلى تغطية كل الجوانب التالية:

  • أهم الطرق التي يستخدمها القراصنة لتنفيذ هجمات التصيد الاحتيالي (البريد الإلكتروني والرسائل النصية والاتصالات الهاتفية وتطبيقات المراسلة الفورية ومواقع التواصل الاجتماعي وغيرها).
  • تمارين تحاكي عمليات تصيد احتيالي حقيقية باستخدام عدة طرق ينفذها موظفو تكنولوجيا المعلومات لتعريف الموظفين عليها وعلى طريقة تجنبها.
  • استخدام برامج وأدوات الحماية من الهجمات السيبرانية بشكل صحيح وتعريف الموظفين على كيفية إبقائها محدّثة دائماً.
  • تشجيع الموظفين على الإبلاغ عن أي محاولة تصيد احتيالي يتعرضون لها أو يشكون فيها، ليتمكن الموظفون الآخرون من التعرف عليها وتجنبها.
  • تدريب الموظفين على ما يجب القيام به ومع من يجب أن يتواصلوا في حال حصول أي هجوم ناجح.

أخيراً، إذا كانت الشركة غير قادرة على وضع منهج لتدريب موظفيها في مجال الأمن السيبراني، يمكن استشارة متخصصين في هذا المجال وطلب المساعدة منهم.

المحتوى محمي