التصنيف (الترياج) - تقرير إجراء الفحص

حالة استخدام

عندما تتلقى رسالة مشبوهة أو تمت إعادة توجيهها، أجرِ تصنيفًا أوليًا لتحديد ما إذا كانت ضارة بالفعل ولتحديد أفضل استجابة سريعة للمستلم (أو المستلمين) المستهدفين في حال كان ضارًا، ولتحديد ما إذا كانت هناك حاجة إلى إجراء فحوص إضافية. بالنسبة لمعظم الرسائل، يكفي إجراء التحليلات التجريبية البسيطة لفصل التهديدات غير المستهدفة عن التهديدات المستهدفة وتحديد إجراءات الحد من الضرر.

الأهداف

بعد استكمال هذا الموضوع الفرعي، يجب أن يكون الممارس قادرًا على التمييز بين رسائل البريد الإلكتروني السليمة، ورسائل البريد الإلكتروني غير المرغوب فيها أو رسائل التصيد الاحتيالي والرسائل المستهدفة بناءً على العديد من المؤشرات الاستكشافية

المعرفة الأساسية

يجب أن يكون الممارس قادرًا على التعرف على تقنيات البريد الإلكتروني الاحتيالي الشائعة وأهداف المهاجم، وقادر على اكتشاف العلامات الدالة الشائعة على رسائل التصيد الاحتيالي. إذا كنت بحاجة إلى مراجعة هذا الموضوع، يمكنك متابعة اختبار التصيد الاحتيالي من جيغسو (Jigsaw).

غالبًا ما تكون الأساليب التي لا تحتاج الكثير من التقنيات لتحديد ما إذا كانت الرسالة قد تم إرسالها بالفعل من قبل شخص تعرفه هي أبسط وأسرع طريقة لتحديد ما إذا كانت هذه الرسالة سليمة. ومن الأمثلة الرائعة على مثل هذه النهج منخفض التقنية هي المتابعة مع مرسل بريد إلكتروني يحتمل أن يكون مشبوهًا (على افتراض أنك تعرفه) من خلال وسيط اتصال آخر مثل برنامج المراسلة الفورية للتأكد من أنه هو من أرسل البريد الإلكتروني بالفعل وأنه سليم.

اطلّع أيضًا هلة هاتين المقالتين مع أمثلة على التكتيكات والتقنيات الخادعة التي يشيع استخدامها في رسائل التصيد الاحتيالي: 6 هجمات تصيد احتيالي شائعة وكيفية الوقاية ضدها و 5 تقنيات تصيد احتيالي شائع)

معايير التصنيف العملية

الرسائل غير المرغوب فيها ورسائل التصيد الاحتيالي غير المستهدفة هي واقع مؤسف في عالم الإنترنت وليس التحقيق في الرسائل والبنية التحتية الضارة ذات الصلة سوى تمرين عملي ومفيد في مجموعة صغيرة من الحالات. يجب أن تراعي المعايير التالية عند تحديد ما إذا كان الأمر يستحق قضاء بعض الوقت في فحص الرسالة والبنية التحتية ذات الصلة:

• الاستهداف: هل تم تخصيص الرسالة (يظهر فيها انتحال بالهندسة الاجتماعية ومعرفة مسبقة بهوية الشخص المستهدف) لزيادة احتمال تحقيقها الإجراء المقصود (على سبيل المثال النقر على رابط أو تنزيل مرفق ضار)؟
• التهديدات: ما هو الهدف المقصود من الرسالة أو الحملة؟ ما هو سياق الخطر أو التهديد للشخص أو المنظمة أو المجتمع المستهدف؟
• قيمة التدخل: ما القيمة المرجوة من إجراء فحوص وتدخل التحقيق والتدخل بصورة أكبر؟ هل سيكون لمقاطعة البنية التحتية للمهاجمين تأثير جدير بالاهتمام على وقف الهجمات الحالية أو المستقبلية؟ ما هو احتمال إعادة استخدام البنية التحتية الضارة ذاتها؟ هل سيؤدي كشفهم للعلن أو نسب الأفعال إليهم أقل عرضة لشن هجمات إضافية؟ هل سيساعد كشفهم للعلن في تنبيه الأهداف الأخرى التي قد تكون مخترقة؟
• الاستثمار: كم من الوقت وكم من الموارد يحتاجها المهاجم لإنشاء هذه الرسالة؟ هل قاموا على سبيل المثال بإنشاء مجالات وبنية تحتية جديدة؟
• التفرّد: هل الرسالة فريدة من نوعها؟ هل يمكن العثور على النص ذاته من خلال البحث عن اقتباسات من الرسالة على محركات البحث؟

تقول القاعدة العامة إن الرسائل المستهدفة فقط هي ما يستحق الفحص عادةً. عادة ما تكون العديد من رسائل البريد الإلكتروني غير المرغوب فيها أو رسائل التصيد الاحتيالي شديدة انخفاض الجودة أو ترسل إلى مجموعات. عادة ما تُرسل من قبل متطفلين قد يكون لديهم بعض الدوافع المالية ولكنهم لم يستهدفوا المنظمة على وجه التحديد بسبب عملها في مجال حقوق الإنسان أو المجتمع المدني. وبالتالي هم أقل عرضة لمهاجمة المنظمات غير الحكومية في المستقبل وستكون مقالة عن أنشطتهم أقل فائدة للمجتمع.

من المرجح أيضًا أن يُكشف المهاجمون الذين يستخدمون رسائل ذات جودة أقل أو الرسائل الجماعية بواسطة خلال الاختبارات والقواعد التلقائية وثم يغيرون الرسائل ببساطة، على النقيض من أولئك الذين يتابعون الهجمات المستهدفة التي تتطلب استثمارًا أكبر بكثير. غالبًا ما يكون لدى المتطفلين الذين يرسلون رسائل مستهدفة دوافع سياسية أو جيوسياسية، وقد يستخدمون التصيد الاحتيالي كجزء من حملة هجينة أوسع يمكن توجيهها أيضًا إلى منظمات غير حكومية أخرى. وبالتالي يمكن للتحقيق في الرسائل المستهدفة أن يساعد في كثير من الأحيان في الكشف عن مثل هذه الحملات الأوسع. ⚠️ تذكر إنه إذا كنت بحاجة إلى مساعدة إضافية ولا تشعر بالثقة في قدرتك على الاستجابة لمستوى المخاطر أو احتياجات تحليل رسالة ضارة، عليك التواصل للحصول على المساعدة على سبيل المثال مع أعضاء سيفيسيرت (CiviCERT)or through support providers listed at the Digital First Aid Kit أو من خلال مقدمي الدعم المدرجين في مجموعة الإسعافات الأولية الرقمية. ⚠️ عند التفكير في إجراء الفحص أو خلال إجرائه، تأكد من موازنة احتياجات الحد من الضرر ودعم أي أهداف لتنفيذ إجراءات الحد من الضرر في الوقت المناسب، مثل تلك المدرجة في التعافي من اختراق محتمل للحساب (securityinabox.org)

اختبار مهارة

أمض بعض الوقت لاستكمال اختبار التصيد الاحتيالي من شيرا Shira حتى تشعر أنه يمكنك اجتياز الاختبارات بشكل مريح وأن تتعرف بدقة على التصيد الاحتيالي في عدة فئات تطبيقات

ناقش الموقفين التاليين مع نظير أو مُرشِد:

• يتلقى المستخدم بريدًا إلكترونيًا مشبوهًا يخاطبه باسمه الكامل ويشير إلى متجر عبر الإنترنت يشتري منه أشياءً في بعض الأحيان. تحدث إلى نظيرك أو مرشدك عن سبب كون هذا بريدًا إلكترونيًا مستهدفًا أو لا. إجابة محتملة: قد تكون قاعدة بيانات العملاء في هذا المتجر قد تعرضت لاختراق مما تسمح للمجرمين على الإنترنت بإرسال رسائل بريد إلكتروني “مخصصة” إلى جميع العملاء.

• يتلقى المستخدم رسالة بريد إلكتروني وتستنتج أن المرسل هو ممثل ضار معروف قد يكون لديه سبب لاستهدافه، ولكن لا يحتوي البريد الإلكتروني على رابط أو مرفق. تحدث إلى نظيرك أو مرشدك واذكر سببين لذلك. إجابات محتملة: قد يكون المرسل ارتكب خطأ، أو قد ينتظر المرسل حتى يرسل المستلم ردًا ثم يرسل ملفًا أو رابطًا ضارًا فقط بعد بناء علاقة ثقة. (هذا سيناريو حقيقي.)

موارد التعلّم