أسامة أبو السعود
انتشرت في الفترة الأخيرة رسائل البريد الإلكتروني الاحتيالية (Phishing Emails) وهي رسائل ترسل باسم مواقع رسمية كالبوابات الرسمية للدول أو مواقع البنوك. هذه الرسائل تطلب من المرسل إليه معلومات مالية وشخصية خاصة كمعلومات الحساب البنكي أو بطاقات الائتمان أو تطلب منه دفع رسوم مستحقة عليه. تحوي هذه الرسالة رابطا (Link) يوصل المستخدم إلى موقع مزيف (Phishing Site) يطابق في تصميمه ومعلوماته الموقع الحقيقي للجهة الرسمية التي يتم الاحتيال باسمها لإيهام المستخدم بأن هذه الرسالة حقيقية ومرسلة من الجهة نفسها وأن هذا الموقع موقع حقيقي. تطلب صفحة الموقع المزيفة من المستخدم إدخال بياناته الشخصية كبيانات البطاقة المدنية وبيانات بطاقة الائتمان أو الحساب البنكي وذلك لدفع رسوم معينة مستحقة عليه أو لتحديث بياناته. بمجرد أن يقوم المستخدم بإدخال هذه البيانات تنتقل هذه البيانات إلى الشخص الذي صمم الموقع المزيف مما يتسبب في استخدام هذه البيانات الشخصية والمالية في أعمال إجرامية منها التسوق باستخدام معلومات بطاقة الائتمان المسروقة أو القيام بعمليات مالية غير قانونية باسم الضحية. يحرص الجهاز المركزي لتكنولوجيا المعلومات على توعية مستخدمي الإنترنت بالمخاطر المرتبطة باستخدام الإنترنت ومنها رسائل الاحتيال الإلكتروني والمواقع المزيفة وذلك من خلال المشروع الوطني التوعوي في تكنولوجيا المعلومات الذي يقوم الجهاز بتنفيذه، لتجنب مخاطر رسائل الاحتيال الإلكتروني والمواقع المزيفة ينصح الجهاز بما يلي:
٭عدم الاستجابة لأي رسالة بريد الكتروني تطلب منك معلومات شخصية (خصوصا المعلومات المالية).
٭ عدم الاستجابة لأي رسالة بريد إلكتروني من أي جهة تطلب منك دفع مبالغ مالية أو تزويدها ببيانات شخصية أو مالية قبل التأكد من أن الجهة الحقيقية قامت فعليا بإرسال هذه الرسالة إليك (عن طريق مراسلة الجهة إلكترونيا أو الاتصال بهم هاتفيا).
٭ التأكد من أن عنوان الإنترنت (URL) الذي يظهر لك على شاشة المتصفح بعد ضغط الرابط الذي تحويه الرسالة هو العنوان الحقيقي للجهة المرسلة وليس عنوانا مزيفا آخر (تحمل المواقع المزيفة عنوانا غير حقيقي لا يطابق العنوان الحقيقي الرسمي).
٭ إبلاغ الجهة المالكة للموقع الحقيقي في حال تسلمك لرسالة تشك في أنها مزيفة مرسلة باسمها.
٭ استخدم نظاما للحماية من رسائل الاحتيال والمواقع المزيفة (Anti Phishing) أو استخدم متصفحا مزودا بنظام حماية من المواقع المزيفة (مثل Firefox). أنظمة الحماية من رسائل الاحتيال والمواقع المزيفة تقوم بتحذيرك من المواقع التي يشتبه بأنها مواقع مزيفة من أجل حمايتك من إدخال بياناتك الشخصية لهذه المواقع (وغالبا ما تحجب مثل هذه المواقع). تقوم هذه الأنظمة بعملها باستخدام تقنيات تحليل المحتوى (Content Analysis) وتحليل عناوين الإنترنت (URLs) عن طريق قواعد بيانات بعناوين الإنترنت المزيفة توفرها وتحدثها جهات عالمية متخصصة بأمن المعلومات تعمل على محاربة الاحتيال الإلكتروني (مثل Phishtank، Anti-Phishing Workgroup). تأتي هذه الأنظمة كجزء من أنظمة حماية الإنترنت الشاملة Internet Security Suits. من أمثلة أنظمة حماية الإنترنت الشاملة. وأضاف الجهاز أنه لا يرسل رسائل بريد إلكتروني تطلب من المستلمين لهذه الرسائل دفع رسوم مالية عن طريق موقع البوابة الإلكترونية الرسمية لدولة الكويت (e.gov.kw). كما أنه يؤكد أن الدفع الإلكتروني عن طريق البوابة يتم من خلال نظام الدفع الإلكتروني الحكومي (تسديد) باستخدام كي نت (K-Net) وليس باستخدام بطاقات الائتمان (Credit Cards) التي تطلب رسائل الاحتيال والمواقع المزيفة من المستخدمين ادخال بياناتها للمواقع المزيفة.
من جهة أخرى يؤكد الجهاز حرصه على توفير أقصى درجات الأمن لمستخدمي البوابة من خلال اعتماد المعايير العالمية في مجال أمن المعلومات عند تصميم البوابة ومحتوياتها ومن خلال التدقيق الفني الدوري على أمن وسلامة البوابة ومحتوياتها، إضافة إلى تتبع أي محاولات لتصميم أو إرسال مواقع مزيفة احتيالية مشابهة للبوابة وذلك لحجبها أو التحذير منها بالتعاون مع الجهات العالمية المتخصصة في أمن المعلومات والمهتمة بالحماية من مواقع الاحتيال (Phishing Sites) ومن هذه الجهات:
CERT
Phishtank
Anti-Phishing Workgroup
Open DNS
تتعاون هذه الجهات العالمية مع الشركات المنتجة لمتصفحات الويب والشركات المنتجة لأنظمة الحماية وذلك لجعل استخدام الإنترنت أكثر أمنا. لمزيد من المعلومات عن الاستخدام الأمثل والمأمون لتكنولوجيا المعلومات يمكنكم زيارة صفحة التوعية المعلوماتية على البوابة الإلكترونية الرسمية لدولة الكويت
(e.gov.kw/awareness)