معظم الحسابات لا تُخترَق على يد عبقري يكسر التشفير، بل يُسلّمها صاحبها بنفسه — شخص حقيقي كتب كلمة مروره في صفحة دخول مزيّفة بعد رسالة مقنعة. هذا هو التصيّد الاحتيالي (Phishing)، ولا يزال من أكثر الطرق شيوعًا التي يفقد بها الناس بريدهم وأموالهم وهويّتهم.

والخبر الجيد أن التصيّد يتبع أنماطًا. وما إن تعرف ما الذي تبحث عنه، حتى تبدأ الحِيَل نفسها بالقفز إلى عينيك. يغطّي هذا الدليل العلامات الحقيقية، والأنواع الجديدة في عصر الذكاء الاصطناعي، وماذا تفعل بالضبط — سواء اكتشفت رسالة أم نقرت عليها بالفعل.

ما هو التصيّد الاحتيالي فعلًا

التصيّد رسالة مصمَّمة لخداعك كي تفعل شيئًا ضارًّا: كتابة كلمة مرورك في صفحة مزيّفة، أو فتح مرفق خبيث، أو إرسال أموال، أو كشف بيانات شخصية. وهي عادةً تنتحل صفة جهة تثق بها — مصرفك، أو شركة شحن، أو زميل، أو مايكروسوفت، أو جوجل، أو آبل.

وتنجح لأنها تستهدف العاطفة لا المنطق. فالرسالة الجيدة تصنع استعجالًا («سيُغلق حسابك»)، أو خوفًا («رُصد تسجيل دخول مشبوه»)، أو إغراءً («وصلك مبلغ مُسترَدّ») كي تتصرّف قبل أن تفكّر. واللعبة كلها أن تتجاوز ثانيتَي الشكّ اللتين كانتا ستكشفانها.

العلامات التي تفضحها

لا توجد علامة واحدة تُعدّ دليلًا قاطعًا بمفردها، لكن كلما تراكمت أكثر، ازداد وجوب ريبتك.

  1. عنوان المُرسِل لا يطابق. الاسم الظاهر «PayPal»، لكن البريد الفعلي service@paypal-secure-team.com أو عنوان Gmail عشوائي. تحقّق دائمًا من العنوان الحقيقي لا من الاسم فقط.
  2. تصطنع الاستعجال أو التهديد. «تصرّف خلال 24 ساعة وإلا عُلِّق حسابك». نادرًا ما تهدّدك الشركات الموثوقة لتدفعك إلى تصرّف فوري.
  3. تحية عامة. «عزيزي العميل» أو «عزيزي المستخدم» بدل اسمك قد يكون مؤشرًا — مع أن الهجمات الموجَّهة قد تستخدم اسمك الحقيقي، فهذه العلامة ذات حدّين.
  4. روابط لا تؤدّي إلى ما تدّعيه. النص يقول account.microsoft.com، لكن تمرير المؤشر يكشف عنوانًا مختلفًا تمامًا. هذه أكبر علامة منفردة — والمزيد عن فحص الروابط أدناه.
  5. مرفقات غير متوقَّعة. فاتورة أو «بريد صوتي» أو «بطاقة شحن» لم تكن تنتظرها، خصوصًا بصيغة .zip أو .html أو مستند يطلب منك «تمكين المحتوى».
  6. تطلب بيانات اعتماد أو رموزًا أو دفعًا. المصارف والمنصّات الحقيقية لا تراسلك أبدًا لتطلب كلمة مرورك الكاملة، أو رمزًا لمرة واحدة، أو تفاصيل بطاقتك.
  7. تفاصيل ناشزة — شعارات أو نبرة أو صياغة. علامة تجارية مغلوطة قليلًا أو نبرة غريبة. ملاحظة: نصيحة «الإملاء والقواعد السيئة» الكلاسيكية أصبحت الآن أقل موثوقية، لأن أدوات الذكاء الاصطناعي تتيح للمحتالين كتابة رسائل نظيفة وفصيحة. فلا تَعُدّ سلامة اللغة دليلًا على الأمان.

العادة الواحدة التي تكشف معظمها: افحص الرابط

قبل أن تنقر أي شيء، تحقّق من وجهة الرابط الحقيقية:

  • على الحاسوب، مرّر المؤشر فوق الرابط (دون نقر) وانظر إلى العنوان الظاهر أسفل الشاشة.
  • على الهاتف، اضغط مطوّلًا على الرابط لمعاينة الوجهة.
  • اقرأه من اليمين لليسار (للنطاق). في microsoft.account-verify.ru، النطاق الحقيقي هو account-verify.ru — لا مايكروسوفت. فوجود اسم العلامة داخل الرابط لا يعني شيئًا؛ المهم هو النطاق الفعلي الواقع مباشرةً قبل أول شرطة مائلة مفردة.

وعند الشكّ، لا تنقر الرابط إطلاقًا. افتح تبويبًا جديدًا واذهب إلى الموقع بكتابة عنوانه بنفسك، أو استخدم التطبيق الرسمي. لن تخسر شيئًا بالتحقّق باستقلالية.

حِيَل جديدة تستحق المعرفة

انتشر التصيّد إلى ما هو أبعد من البريد بكثير:

  • التصيّد عبر الرسائل النصية (Smishing) والمكالمات (Vishing): رسائل «فشل التسليم» المزيّفة، ومكالمات تنتحل صفة قسم الاحتيال في مصرفك.
  • التصيّد عبر رموز QR ("Quishing"): رمز QR في رسالة أو ملصق يحيلك إلى صفحة دخول مزيّفة — وهو مغرٍ لأنك لا ترى الرابط بسهولة أولًا.
  • رسائل مكتوبة أو مستنسَخة بالذكاء الاصطناعي: صار المحتالون يستخدمون الذكاء الاصطناعي لكتابة رسائل لا تشوبها شائبة ومخصّصة، بل ومحاكاة الأصوات. فالفصاحة لم تعد إشارة أمان.
  • هجمات إرهاق المصادقة الثنائية (MFA fatigue): إن كنت تستخدم المصادقة الثنائية، فقد يُغرقك مهاجم يملك كلمة مرورك بطلبات موافقة متكرّرة على أمل أن تضغط «موافقة» من الضجر. لا توافق أبدًا على تسجيل دخول لم تبدأه أنت.

ماذا تفعل عندما تكتشف رسالة تصيّد

  1. لا تنقر، لا تردّ، لا تفتح المرفقات.
  2. لا تلغِ الاشتراك من رسالة احتيال واضحة — فذلك يؤكّد فقط أن عنوانك فعّال.
  3. أبلِغ عنها. استخدم زر «الإبلاغ عن تصيّد» في تطبيق بريدك؛ ولانتحال صفة شركة، أعد توجيهها إلى عنوان الإساءة الرسمي لديها. وفي الولايات المتحدة يمكنك الإبلاغ عبر reportfraud.ftc.gov.
  4. احذفها.

وإن كانت رسالة عمل، فنبّه أيضًا فريق تقنية المعلومات/الأمن — فقد لا تكون الهدف الوحيد. وبناء هذا الوعي هو تحديدًا جوهر أساسيات الأمن السيبراني.

ماذا تفعل إن كنت قد نقرت بالفعل

لا تُصَب بالذعر — تصرّف بسرعة:

  • إن أدخلت كلمة مرور: غيّرها فورًا في الموقع الحقيقي، وغيّرها في كل مكان أعدت استخدامها فيه. وهذا أيسر بكثير إن كنت تستخدم مدير كلمات المرور بكلمات فريدة.
  • فعّل المصادقة الثنائية (أو الأفضل، مفاتيح المرور) حتى لا تكفي كلمة المرور المسروقة وحدها.
  • إن أدخلت بيانات بطاقة أو مصرف: اتصل بمصرفك، وراقب أي مدفوعات غير مألوفة.
  • إن فتحت مرفقًا: شغّل فحصًا أمنيًا وراقب أي سلوك غير معتاد.
  • راقب حساباتك بحثًا عن رسائل إعادة تعيين كلمة المرور أو عمليات دخول لم تقم بها.

كيف تحمي نفسك مستقبلًا

لا تستطيع منع وصول رسائل التصيّد، لكنك تستطيع جعلها بلا أثر:

  • استخدم كلمات مرور فريدة كي لا يفتح حساب واحد مسروق كل شيء.
  • فعّل المصادقة الثنائية أو مفاتيح المرور على كل حساب مهم.
  • تحقّق باستقلالية. إن طلبت منك رسالة تسجيل الدخول أو الدفع، فاذهب إلى الموقع أو التطبيق مباشرةً بدل استخدام رابطها.
  • تمهّل أمام الاستعجال. فشعور «يجب أن أتصرّف الآن» هو نفسه علامة الإنذار.

أسئلة شائعة

كيف أعرف أن البريد من مصرفي فعلًا؟ تحقّق من العنوان الفعلي للمُرسِل، وابحث عن التخصيص، ولا تثق بالتهديدات العاجلة أبدًا. والأأمن أن تتجاهل روابط الرسالة تمامًا وتسجّل الدخول بالذهاب إلى تطبيق المصرف الرسمي أو كتابة عنوان موقعه بنفسك.

هل ما زال الإملاء السيئ علامةً موثوقة على التصيّد؟ أقل مما كان. فأدوات الكتابة بالذكاء الاصطناعي تتيح للمحتالين إنتاج رسائل نظيفة وفصيحة، فلم تعد سلامة اللغة تعني أن البريد آمن. اعتمد بدلًا من ذلك على عنوان المُرسِل ووجهات الروابط والطلبات المشبوهة.

ما الفرق بين Phishing وSmishing وVishing؟ هي الحيلة نفسها على قنوات مختلفة: التصيّد عبر البريد، وSmishing عبر الرسائل النصية، وVishing عبر المكالمات الصوتية. وكلها تهدف إلى خداعك لكشف معلومات أو إرسال أموال.

هل أنقر رابط «إلغاء الاشتراك» في رسالة تصيّد؟ لا. فالتفاعل مع احتيال واضح — بما في ذلك إلغاء الاشتراك — قد يؤكّد أن عنوانك نشط ويجلب المزيد. اكتفِ بالإبلاغ والحذف.

ما أول ما أفعله إن نقرت رابط تصيّد وأدخلت كلمة مروري؟ غيّر تلك الكلمة فورًا في الموقع الحقيقي، وغيّرها في كل مكان أعدت استخدامها فيه، وفعّل المصادقة الثنائية. ثم راقب الحساب بحثًا عن أي نشاط غير مصرّح به.

الخلاصة

يعمل التصيّد على الاستعجال والثقة، لا على براعة تقنية — ما يعني أن عادةً هادئة ومرتابة تتغلّب عليه في معظم الأحيان. تحقّق من المُرسِل، وافحص وجهة الروابط الحقيقية، وتأكّد من أي أمر مهم بزيارة الموقع بنفسك. وادعم ذلك بكلمات مرور فريدة ومصادقة ثنائية، فتصبح رسالة التصيّد مجرّد رسالة أخرى تحذفها. وللصورة الأشمل عن البقاء آمنًا، ابدأ بدليلنا حول أساسيات الأمن السيبراني.