تحذير: لا تقم بتسجيل بريديك الإلكتروني أو كلمة المرور في أي من المواقع المدرجة في هذا الموضوع.


في صبيحة يوم من الأيام تلقيتُ اتصالاً هاتفياً من أحد الإخوة الأعزّاء في ساعة باكرة من الصباح، وما إن رفعت سمّاعة الهاتف الذي أوقضني من النوم حتى صُبّت كلمات الفرح والسعادة والحبور في أذني:

حسين: لقد فزت، لقد فزت.
أبو كوثر: خيراً إن شاء الله، فزت بماذا؟!
حسين: فزت بـ مليون دولار.
أبو كوثر: صحيح؟! كيف ومتى وأين؟!
حسين: للتو فقط تلقيت رسالة على بريدي الإلكتروني تخبرني بأنني فزت بـ مليون دولار، وطلبوا منّي دفع 100 دولار كي يتم تحويل المبلغ، ولقد قمت بدفعها بواسطة الـ Visa Card وسيتم تحويل المبلغ لحسابي قريباً.
أبو كوثر: Hoops، للتو تعرضت لعملية احتيال كبيرة.

نعم؛ تعرّض أخونا لعملية احتيال إلكترونية أو ما يسمّى بـ Social Engineering للأسف الشديد، فهل يعقل أن يفوز بهذا المبلغ الكبير بدون مقدمات؟! وهل يعقل أن يفوز بمبلغ مليون دولار ويُطلب منه بالمقابل أن يدفع 100 دولار لإتمام عملية تحويل المبلغ لحسابه؟! أليس من الأجدر بمقدّم الجائزة خصم مبلغ الـ 100 دولار من نفس المليون دولار؟!، ربما كانت فرحة الفوز العارمة هي السبب في وقوع أخونا في المصيدة من دون التفكير العقلاني البسيط في المسألة.

النصب والاحتيال الإلكتروني أو ما يسمّى بـ Social Engineering هو عملية خداع لا تقنية تعتمد بشكل رئيسي على التواصل البشري بغرض إنتهاك خصوصية الأفراد والنصب عليهم، ويكمن سر نجاح العملية في استغلالها نقطة ضعف المستخدم في جهله بواقع هذه العملية، وهي عملية مشهورة جداً في عالم الإنترنت وتضخ للقائمين عليها أموالاً طائلة من دون أي جهد.

وتعتمد العملية على أساليت كثيرة ومتعددة، ولكل من هذه الأساليب تقنياته المختلفة، لذلك؛ لا يسعنا الآن أن نستعرضها بشكل تفصيلي، ولكننا سنقتصر على أحد أهم تقنياته المسمّى بـ Phishing.

الـ Phishing هي عملية جمع لا شرعية لمعلومات حسّاسة عن المستخدم مثل كلمة المرور الخاصة ببريده الإلكتروني أو رقم بطاقة الائتمان أو المعلومات الشخصية التي يمكن أن تستخدم للإضرار بالمستخدم. فمن الممكن أن تصلك رسالة إلكترونية على بريدك الإلكتروني باسم بنك البحرين الوطني تدعوك لإدخال الرقم السري لبطاقة إئتمانك للحصول على جائزة نقدية أو أن تدخل على أحد المواقع الإلكترونية المزيفة التي تدعي كونها إحدى الشركات الضخمة كـ Microsoft التي تطلب منك أرسال بياناتك الشخصية للحصول على وظيفة براتب مغري، وهناك العديد العديد من الطرق والوسائل المختلفة لهذه العملية.

وللتعرف أكثر على طبيعة المشكلة، دعونا نأخذ الأمثلة التالية:

قم بزيارة الموقعين التالين:
- الموقع الرسمي لـ www.hotmail.com.
- الموقع المزيف لـ www.hotmail.com

بالتأكيد، للوهلة الأولى ستعتقد أن لا فرق بين الموقعين، خصوصاً وأن الشكل والألوان والخطوط هي نفسها في الموقعين، لكنْ إحذر فالأمر ليس كذلك، لاحظ العنوان في شريط الـ Address:


ألا تلاحظ أن العنوان الأول يشير فعلاً للموقع الرسمي لـ Hotmail أما العنوان الثاني فيشير لموقع آخر لا صلة له بالـ Hotmail، بالطبع في هذا المثال جَعلتُ الاختلاف واضح بين العنوانين لتسهيل عملية المقارنة، لكنْ ماذا لو قمتُ بتغيير موقع حرف واحد من كلمة hotmail لتصبح hotmial، هل ستلاحظ الفرق بهذه السرعة؟!

من خلال الموقع الثاني أستطيع وبكل بساطة أن أسرق إيميلات الأعضاء الموجودين بديوان الثقافة، ما رأيكم؟!

لاحظ شكل هذا الموقع، ألا يشبه صفحة الـ login للشركة العالمية yahoo ؟! يمكنك أن تتخيل كم من المستخدمين قام بإدخال اسم المستخدم YahooID وكلمة المرور password في هذا الموقع، ليصبح في اليوم التالي وبريده الإلكتروني مسروق وبسهولة، كيف؟!

يقوم الموقع بحفظ اسم المستخدم وكلمة المرور في ملف بدون تشفير طبعاً، أي أن كلمة المرور لا تحفظ بهذه الطريقة ********* بل abc12356 وبذلك تسهل عملية سرقة الإيميل بتغيير كلمة المرور القديمة ووضع كلمة مرور جديدة من قبل سارق الإيميل.

إحذر!!

تحذير: هذا الموقع خطير جداً، الموقع الذي إطلعنا عليه مسبقاً للـ Hotmail قام بعمله أحد الشباب بناءً على طلبي، ولكنْ هذا الموقع ليس كذلك، فاحذروا من إدخال أي بيانات فيه، إذ أني سأقوم بوضع العنوان هنا.

اليوم وعلى المسنجر أعطاني أحد الشباب هذا الموقع ويقول: (هالموقع فيه ابتسامات عجيبة للمسنجر، وتقدر تركبهم مباشرة على المسنجر ومن دون تعب)، دخلت على العنوان، وهو كالتالي:

لاحظوا معي تصميم الموقع وشكله أليس بالرائع؟! وحتى العنوان موجود به كلمة msn وكأن هالموقع بالفعل يتبع شركة Microsoft، وحتى طالعوا بالأسفل موجودة فيه شعار الشركة، تعتقدون هالموقع فعلاً لشركة Microsoft؟! لنتأكد دعونا نقوم بالتجربة التالية:

1. إدخل الموقع http://msn-emoticons.host.sk/.
2. سجّل في خانة [Windows Live ID]: إلعب غيرها .
3. سجّل في خانه [password]: مو شغلك .

لاحظ إن الموقع راح ينقلك مباشرة إلى:

الموقع الذي ينقلك له هو بالفعل موقع رسمي لشركة Microsoft، أما الموقع الأول فهو فقط يسرق الإيميل وكلمة المرور من المستخدمين. وللأسف الموقع إنتشر وأستخدمه الكثير من المستخدمين (منهم صاحبنا ).

شفتون شلون النصب والاحتيال؟!

هذا الموضوع سيكون مفتاحية لمواضيع أخرى ستكتب إن شاء الله..
وأتمنى أن يحوز على إعجابكم، وتفاعلكم، ويحفّز الأعضاء على العطاء بالديوان..
وطبعاً بدأت بهالموضوع لأني فعلاً تفاجئت إن ناس كثير ما يعرفون شي عن هالنوع من النصب والاحتيال..

مع تحياتي،،

أبو كوثر

جهد كبير

هكذا مواضيع والا فلا؟!
وشكرا عالتحذير

أخي أبو كوثر أشكرك جزيل الشكر على هذا الموضوع الهادف والمفيد والذي ينم عن وعي ويُجسِّد
المثل المعروف " حِبْ لغيرك مثل ما تحب لنفسك "،،
عندي بعض الاستفسارات أخ أبو كوثر

في شركة من الشركات المعروفة بهالأمور وهي تُدعى على ما أعتقد بشركة كوست وهذي الشركة شهيرة جداً
ومُستخدميها بالملايين وهذه الشركة تعمل وفق مفهوم التنظيم الهرمي ما أدري إذا كنت سامع بها أولا
أو على الأقل تعرف لو شي بسيط عنها وعن كيفية التعامل معها؟
- هل التعامل مع هذه الشركة حلال أم حرام؟
- وهل فعلاً هذه الشركة الشهيرة لها أساس من الصِحّة في هدف الربح أم هي تستغِل الناس فقط ؟
- مع العلم إني أعرف كذا شخص خبرني بهالشركة وإنّه يتعامل وياّها وربح ألوف منها !

بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته..

الأخت "زهور"..

شكراً جزيلاً على الرد القيّم الذي لفت نظري لمسألة مهمة أهملتها..
وهي ضرورة تذييل الموضوع بمجموعة من التعليمات للمستخدمين لتفادي الوقوع في مثل هذه المكائد..
سأعمل على وضعها مستقبلاً..

الأخ "علاوي"..

شكراً على المرور..
وإن شاء الله تستمر سلسلة المواضيع الهادفة..

الأخ "آمنت بالحسين"..

بالنسبة لهذه الشركة..
بالفعل هناك الكثير من الناس تعاملوا معها..
وحصل بعضهم على أموال كبيرة في فترة وجيزة..
وباعتقادي أن هناك تلاعباً في الموقف الشرعي عند بعضهم..

فالمؤيديون للشركة، يرسلون استفتاء للفقيه المقلد بصيغة تجعل الفقيه يرد بالجواز..
وفريق المعارضين للشركة يرسلون الاستفتاء بصيغة تجعل الفقيه بعدم الجواز..
أي أنهم لا يشرحون كل تفاصيل الشركة للفقيه..

بالنسبة لي:

ذكر لي من أثق به..
أنه توجه شخصياً لمكتب خاص بالمسائل الشرعية هنا بالبحرين..
وجمع معهم تفاصيل الشركة بشكل عقلاني وبدون تعصب..
وأرسلوا استفتاء للسيد السيستاني..
وكان الجواب بعدم الجواز..
والله أعلم..

والسؤال المحوري بالموضوع هو: إذا خسرت هذه الشركة، من يعوّض المستثمرين فيها؟!

مع تحياتي،،

أبو كوثر

يقدرون يصيدونا من IP؟

في موقع ثاني أسمه Blockdelete

موضوع جميل..

السلام عليكم ورحمة الله وبركاته،،

الموضوع في غاية الأهميّة!
شكراً جزيلاً على بذل هذه الجهود!!

مُتَاْبِعُون معكم بإذن الله!


أُخْتُكُم اَلْصَّغِيْرَة:
البريئة

محبرتك دقيقة جداً..!
أفترشت حبيبات عقلي نسائم من حذر!


وسؤالي..!

أليس هنالك سبيل آخر غير الحذر والتوعية لتفادي كذا متاهات!.!
فالناس في سرعة البديهة لا يعتكفون جميعهم على نفس كفة الميزان ..وفي هذه الحالة يكون من الصعب الإعتماد على سياسة الحذر فقط كوسيلة للحماية !

افضل طريقة للدفاع..ان تتعلم اساليب الهجوم

أؤيدك!
ولكن ليس في النصب و الاحتيال!

أُخْتُكُمْ:
البريئة

مو لازم يطبق

لكن يتعلم..

كلامك سليم 100%

مشكووووووووور جزيل الشكر اخ ابو كوثر على التحذير

دائما يرسلون ليي اني فزت ب1000000دولار واني امسح على طول

تسلم لي ابو كوثر على هالموضوع المهم

سالفة المليون دولار هذي معروفه عندي بس الباقي اول مره اشوف وهذا من بركاتك عزيزي انك نبهتنا


تحياتي

بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته..

الأخت طفولة..

هناك نوعان من الـIPs إلا ممكن نحصل عليها:


1. Static IP Address
2. Dynamic IP Address


النوع الأول يعني إن الجهاز إلا ندخل من خلاله للإنترنت راح يكون له IP ما يتغير طول الوقت، وهذا مو مستخدم عندنا مع Batelco إلا تحت الطلب، يعني كأنك تشتريه، ولكن هذا النوع مستخدم للمواقع، فمثلاً موقع عنده IP ما يتغير، ولو يتغير جان ما نقدر ندخل على الديوان (كأن كل يوم عنوان).

أما النوع الثاني (وهو المستخدم عندنا) هو النوع المتغير، يعني لما نبنّد الـ connection للإنترنت ونرد نشغله مرّة ثانية راح نحصّل في كل مرّة IP جديد.

النوع الأول أخطر من الثاني بواجد..
أظن تعرفون السبب، يعني لما أحصله وأعرف إنه لموقع كرانة مثلاً..
أقوم وأحاول أخترق الموقع مثلاً..

مع تحياتي،،

أبو كوثر

بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته..

الأخت "بنوتة كرانية" والإخوة الأعضاء..

ليس دائماً الهجوم أفضل وسيلة للدفاع..
الثقافة والعلم سلاحان مهمان جداً..

يجب أن يكون تعاملنا مع عالم الإنترنت قائماً على ثقافة معينة..
تقينا أخطاره ودهاليزه قدر الإمكان، خصوصاً ما كان منها مؤثراً على حياتنا الشخصية التي لا نرضى لأحد التدخل فيها..

وإليكم سلسلة من النقاط التي يجب أن نأخذها بعين الاعتبار لتفادي النصب والاحتيال:

1. كن حذراً من كل إيميل لا تعلم مصدره، خصوصاً ما كان منها يستفسر عن (معلومات شخصية)، وإذا كانت شركة تدعي أنها الشركة الفلانية المعروفة عليك أن تراسل الشركة وتتأكد من ذلك.

2. لا تضع معلوماتك الشخصية على الإنترنت أبداً، ولا بالبريد الإلكتروني أيضاً، خصوصاً صور العائلة أو أسماء الإخوة والأخوات ومعلومات عن بيت العائلة.

3. رقم حسابك أو رقم بطاقتك السري للبنك، لا ترسله عبر الإيميل أو تحفظه بالإيميل (خطير جداً).

4. دائماً انتبه لعنوان المواقع التي تزورها، فلربما أحدهم يريد أن يسرق كلمة المرور الخاصة بك، فمثلاً وبكل بساطة كلمة yahoo يمكن أن تكتب yaahoo فلا يمكنك حينها أن تفرّق بينهما..!

5. قم بتسجيل برامج للحماية على جهازك (مهم للغاية).

ومشكورين على الردود..
ومسامحة على التأخر بالرد..
وبتكون لينا عودة مرة ثانية..

مع تحياتي،،

أبو كوثر

بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته..

الإخوة الأعضاء..

إليكم الموقع التالي:

Anti-Phishing Working Group

هذا الموقع هو لمنظمة مهتمة بالتصدي لعمليات الـ phishing التي تحصل للشركات، ويشترك مع هذه المجموعة عدّة شركات عالمية كشركة Microsoft.

تجدون بالموقع إحصائيات عن عدد عمليات الـ phishing التي تحصل دورياً، والتي يتم تسجيلها لدى هذه المنظمة.



- 28074 تقرير عن عمليات الـ phishing خلال نوفمبر 2007.
- 23630 موقع يقوم بعملية الـ phishing.
......
...
.

مع تحياتي،،

أبو كوثر