ما هو التصيد عبر الرسائل النصية القصيرة (SMS Phishing)؟

التصيد عبر الرسائل النصية القصيرة هو شكل من أشكال الجرائم الإلكترونية التي تزداد شيوعًا. وفقًا لتقرير Proofpoint لعام 2024 عن حالة الاحتيال، فإن 75% من المؤسسات تعرضت لهجمات التصيد عبر الرسائل النصية القصيرة في عام 2023.¹

وقد ساهمت عدة عوامل في ارتفاع معدل التصيد عبر الرسائل النصية القصيرة. فمن ناحية، يعرف المخترقون الذين يشنون هذه الهجمات، والذين يُطلق عليهم أحيانًا اسم "المتصيدون عبر الرسائل النصية القصيرة"، أنه من المرجح أن ينقر الضحايا على الرسائل النصية أكثر من الروابط الأخرى. في الوقت نفسه، أدى التقدم في عوامل تصفية الرسائل غير المرغوب فيها إلى صعوبة وصول أشكال أخرى من التصيد الاحتيالي، مثل رسائل البريد الإلكتروني والمكالمات الهاتفية، إلى أهدافها. 

كما أدت زيادة ترتيبات أحضر جهازك معك (BYOD) وترتيبات العمل عن بًعد إلى زيادة عدد الأشخاص الذين يستخدمون أجهزتهم المحمولة في العمل، ما سهل على المجرمين الإلكترونيين الوصول إلى شبكات الشركة من خلال الهواتف المحمولة للموظفين.

تتشابه هجمات التصيد عبر الرسائل النصية القصيرة مع أنواع أخرى من هجمات التصيّد الاحتيالي، حيث يستخدم المحتالون رسائل زائفة وروابط خبيثة لخداع الأشخاص لاختراق هواتفهم المحمولة أو حساباتهم المصرفية أو بيانات الشخصية. الفرق الرئيسي هو الوسيط. ففي هجمات Smishing، يستخدم المخترقون الرسائل النصية (SMS) أو تطبيقات المراسلة لتنفيذ جرائمهم الإلكترونية بدلًا من رسائل البريد الإلكتروني أو المكالمات الهاتفية.

يفضل المحتالون التصيد عبر الرسائل النصية القصيرة على الأنواع الأخرى من هجمات التصيد الاحتيالي لأسباب مختلفة. تظهر الأبحاث أنه من المرجح أن ينقر الأشخاص على الروابط في الرسائل النصية. تشير تقارير Klaviyo إلى أن معدلات النقر على الرسائل النصية القصيرة تتراوح بين 8.9% و14.5%.² وعلى سبيل المقارنة، يبلغ متوسط معدل النقر على رسائل البريد الإلكتروني 2%، وفقًا لشركة Constant Contact^.3

وبالإضافة إلى ذلك، يمكن أن يخفي المحتالون مصدر رسائل الاحتيال عن طريق استخدام أساليب مثل انتحال أرقام الهواتف باستخدام هواتف غير قابلة للتبع أو استخدام برامج لإرسال رسائل نصية عن طريق البريد الإلكتروني.

من الصعب أيضًا اكتشاف الروابط الخطيرة على الهواتف المحمولة. يمكن أن يحرك المستخدمون الماوس فوق الرابط على جهاز كمبيوتر لمعرفة إلى أين يؤدي. ولكن ليس لديهم هذا الخيار في الهواتف الذكية. كما اعتاد الناس أيضًا على البنوك والعلامات التجارية التي تتواصل معهم عبر الرسائل النصية القصيرة، وتلقي عناوين URL مختصرة في الرسائل النصية.

في عام 2020، ألزمت هيئة الاتصالات الفيدرالية (FCC) شركات الاتصالات باعتماد بروتوكول STIR/SHAKEN. يقوم هذا البروتوكول بمصادقة المكالمات الهاتفية، وهو السبب في ظهور تنبيهات مثل "احتيال محتمل" أو "رسالة مزعجة محتملة" على بعض الهواتف المحمولة عند ورود مكالمات مشبوهة.

في حين أن هذه القاعدة جعلت اكتشاف مكالمات الاحتيال أسهل، إلا أنه لم يكن لها نفس التأثير على الرسائل النصية، ما دفع العديد من المحتالين إلى تحويل تركيزهم إلى هجمات التصيد عبر الرسائل النصية.

على غرار الأشكال الأخرى للهندسة الاجتماعية، تعتمد معظم أنواع هجمات التصيد عبر الرسائل النصية على التظاهر الاحتيالي الذي ينطوي على استخدام قصص وهمية للتلاعب بمشاعر الضحايا وخداعهم لتنفيذ أوامر المحتال.

قد ينتحل المخترق صفة البنك الخاص بالضحية ويُرسل إشعارًا مزيفًا يفيد بوجود مشكلة في الحساب. وإذا نقر الضحية على الرابط، يتم توجيهه إلى موقع أو تطبيق مزيف يسرق معلومات مالية حساسة، مثل رقم التعريف الشخصي (PIN)، أو بيانات تسجيل الدخول، أو كلمات المرور، أو معلومات الحساب المصرفي أو بطاقة الائتمان.

ووفقًا للجنة التجارة الفيدرالية (FTC)، فإن انتحال شخصية البنك هو أكثر عمليات الاحتيال شيوعًا، حيث يمثل 10% من جميع رسائل التصيد عبر الرسائل النصية القصيرة.⁴

قد يتظاهر المحتالون بأنهم ضباط شرطة أو ممثلين عن مصلحة الضرائب أو غيرهم من مسؤولي الهيئات الحكومية. غالبًا ما تدعي نصوص الرسائل النصية القصيرة الاحتيالية أن الضحية عليه غرامة أو يجب أن يتصرف للمطالبة بميزة حكومية.

على سبيل المثال، أصدر مكتب التحقيقات الفيدرالي (FBI) تحذيرًا في أبريل 2024 من عملية تصيد عبر الرسائل النصية القصيرة تستهدف برامج التشغيل الأمريكية.⁵ يرسل المحتالون رسائل نصية يتظاهرون فيها بأنهم من وكالات تحصيل الرسوم ويدّعون أن الهدف مدين برسوم طريق غير مدفوعة. تحتوي الرسائل على رابط لموقع مزيف يسرق أموال الضحايا ومعلوماتهم.

يتظاهر المهاجمون بأنهم وكلاء دعم العملاء من العلامات التجارية وتجار التجزئة الموثوق بهم مثل Amazon أو Microsoft أو حتى مزود الخدمة اللاسلكية للضحية. ويقولون عادةً أن هناك مشكلة في حساب الضحية أو مكافأة غير مستلمة أو استرداد للأموال. توجه هذه الرسائل النصية عادة الضحية إلى موقع إلكتروني مزيف يسرق أرقام بطاقاتهم الائتمانية أو معلوماتهم المصرفية.

تدّعي بعض رسائل Smishing أنها صادرة عن شركة شحن مثل FedEx أو UPS أو هيئة البريد الأمريكية (USPS). تُخبر الرسالة الضحية بوجود مشكلة في تسليم الطرد، وتطلب منه دفع "رسوم تسليم الطرد" أو تسجيل الدخول إلى حسابه لحل المشكلة. ثم يستولي المخترقون على المال أو معلومات الحساب ويختفون. تنتشر هذه الحِيَل بشكل خاص خلال موسم العطلات، عندما ينتظر الكثير من الأشخاص استلام طرودهم.

في اختراق الرسائل النصية ذات الصلة بالأعمال (على غرار اختراق البريد الإلكتروني الخاص بالعمل، ولكن عن طريق الرسائل النصية القصيرة)، يتظاهر المخترقون بأنهم رئيس أو زميل عمل أو زميل أو بائع أو محامٍ يحتاج إلى مساعدة في مهمة عاجلة. وغالباً ما تطلب عمليات الاحتيال هذه اتخاذ إجراء فوري وتنتهي بإرسال الضحية أموالاً إلى المخترقين.

يرسل المحتالون رسالة نصية تبدو وكأنها موجهة لشخص آخر غير الضحية. عندما تصحح الضحية "خطأ" المحتال، يبدأ المحتال محادثة مع الضحية.

عادة تكون عمليات الاحتيال بالأرقام الخاطئة طويلة الأمد، حيث يحاول المحتال كسب صداقة الضحية وثقته من خلال الاتصال المتكرر على مدار أشهر أو حتى سنوات. وقد يتظاهر المحتال بتكوين مشاعر رومانسية تجاه الضحية. الهدف هو سرقة أموال الضحية من خلال فرصة استثمار وهمية أو طلب قرض أو قصة مشابهة.

في هذا النوع من الاحتيال الذي يُطلق عليه الاحتيال بالمصادقة متعددة العوامل (MFA)، يحاول أحد المخترقين الذي لديه بالفعل اسم مستخدم وكلمة مرور الضحية سرقة رمز التحقق أو كلمة المرور لمرة واحدة المطلوبة للوصول إلى حساب الضحية.

قد يتظاهر المخترق بأنه أحد أصدقاء الضحية، ويدّعي أن حسابه على إنستغرام أو فيسبوك قد أُغلق، ويطلب من الضحية الحصول على رمز له. يحصل الضحية على رمز MFA —الذي هو في الواقع لحسابه الخاص— ويعطيه المخترق.

وتقوم بعض رسائل Smishing بخداع الضحايا لتثبيت تطبيقات تبدو شرعية — مثل تطبيقات إدارة الملفات، أو الدفع الإلكتروني، أو حتى تطبيقات الحماية — لكنها في الحقيقة برمجيات ضارة أو برمجيات الفدية.

يُعد التصيّد الاحتيالي مصطلحًا عامًا يُستخدم للإشارة إلى هجمات إلكترونية تعتمد على الهندسة الاجتماعية لخداع الضحايا من أجل دفع المال، أو تسليم بيانات حساسة، أو تنزيل برمجيات ضارة. ويُعد كل من Smishing وVishing مجرد نوعين من بين عدة أنواع من هجمات التصيّد التي يمكن أن يستخدمها المخترقون ضد ضحاياهم.

يتمثل الفرق الرئيسي بين الأنواع المختلفة من هجمات التصيد الاحتيالي في الوسيلة المستخدمة لتنفيذ الهجمات. في هجمات التصيد عبر الرسائل النصية القصيرة، يستهدف المخترقون ضحاياهم باستخدام الرسائل النصية أو الرسائل القصيرة. في هجمات التصيد الصوتي (اختصارًا لـ "voice phishing")، يستخدم المخترقون الاتصالات الصوتية مثل المكالمات الهاتفية ورسائل البريد الصوتي للتظاهر بأنهم مؤسسات شرعية والتلاعب بالضحايا.

لمكافحة هجمات Smishing، اعتمدت هيئة الاتصالات الفيدرالية (FCC) قاعدة جديدة تُلزم مزودي خدمات الاتصالات بحظر الرسائل النصية المشبوهة، بما في ذلك الرسائل الواردة من أرقام غير مستخدمة أو غير صالحة.⁶

ومع ذلك، لا يوجد عامل تصفية مثالي للرسائل غير المرغوب فيها، ويعمل المجرم الإلكتروني دائمًا على إيجاد طرق للتحايل على هذه التدابير. يمكن للأفراد والمؤسسات اتخاذ خطوات إضافية لتعزيز دفاعاتهم ضد هجمات التصيد عبر الرسائل النصية القصيرة، بما في ذلك:

تحتوي أنظمة تشغيل Android وiOS على وسائل حماية ووظائف مدمجة، مثل حظر التطبيقات غير المعتمدة وتصفية النصوص المشبوهة إلى مجلد الرسائل غير المرغوب فيها.  

على مستوى المؤسسة، يمكن للشركات استخدام حلول إدارة نقاط النهاية الموحدة (UEM) وأدوات الكشف عن الغش لتعيين ضوابط لأمن الأجهزة المحمولة، وفرض سياسات أمنية، واعتراض الأنشطة الضارة.  

يمكن للمؤسسات أن توقف المزيد من عمليات الاحتيال من خلال تدريب الموظفين على التعرف على العلامات التحذيرية للهجمات الإلكترونية ومحاولات التصيد عبر الرسائل النصية القصيرة، مثل أرقام الهواتف غير المعتادة، والمرسلين غير المعروفين، وعناوين URL غير المتوقعة، والشعور المتزايد بالإلحاح.

تستخدم العديد من المؤسسات عمليات محاكاة التصيد عبر الرسائل النصية القصيرة لمساعدة الموظفين على التدرب على مهارات الأمن الإلكتروني الجديدة. يمكن أن تساعد هذه المحاكاة أيضًا فرق الأمن في الكشف عن نقاط الضعف في أنظمة الكمبيوتر والسياسات التنظيمية التي تعرض الشركة لعمليات الاحتيال.  

يمكن أن تعالج المؤسسات هذه الثغرات من خلال الجمع بين أدوات كشف التهديدات، وسياسات التعامل مع البيانات الحساسة، وتفويض المدفوعات، وطلبات التحقق قبل التصرف فيها.