زهرة العز
04-11-2006, 11:18 PM
الإحتيال الإلكتروني وطرق الوقاية منه :
اصبحت الانترنت وسيلة سريعة لنشر المعلومات وتبادل البيانات بين جهات مختلفة , وتزايدت وسائل استخدام الانترنت فاصبح هناك ما يمسى بالتجارة الالكترونية والتعليم الالكتروني .
واصبحت اغلب الامؤسسات والشركات تؤدي خدماتها للموظفيها وعملائها عن طريق الانترنت , ومع هذا الطور انتشرت كذلك ظاهرة خطيرة وهي سرقة البيانات الخاصة من الانترنت . فكما هناك سرقات للبنوك والمؤسسات انتشرت كذلك ظاهرة السرقة في الانترنت .
عن طريق الحتيال والتحايل على الاخرين بالعبث بالبرامج المكونه للبرامج الخدمية التي تقدمها المؤسسات التجارية . والاحتيال هو ( اخذ واغتصاب حقوق الاخرين وسلبهم ملكياتهم بدون وجة حق )
ومن طرق الاحتيال الالكتروني :
-القرصنة . ( Hacker )
القرصنة تكون بعمل برامج وأكواد خاصة تهاجم المجمع الرئيسي الداخلي للشركة او المؤسسة لسرقة بيانات الزبائن او بياناتهم الشخصية لبيعها او استغلال ارقام الحساب البنكي وارقام البطاقات الالكترونية وغيرها .
-اختراق المجمعات العامله ب ( ISP's ) . ( Bogus Attack )
اختراق المجمعات الرئيسية المستضيفة للمجمع الداخلي للمؤسسة في حال كان المؤسسة تمنع باتخاذ التدابير الامنية من اختراق المجمع الداخلي يقوم المخترق باختراق المجمع الرئيسي الذي يستضيف المجمع المحلي للمؤسسة فيحصل على المعلومات التي يبحث عنها .
-تعطيل الشبكة DOS ( Denial – of – service )
هذه الطريقة يتخذها المنافسون والمؤسسات المعادية للمؤسسة المستهدفة حيث يقوم المخترق بتعطيل المجمع للمؤسسة المقصودة فيقوم باحداث اعطال بسيطة بها تتسبب بابطا المجمع فتصبح الخدمات الالكترونية التي يقدمها موقع المؤسسة ضعيفة جدا مما يؤثر على جودة الخدمات مما يهز اسم المؤسسة ويقلل من مكانتها فيتسبب بانسحاب العملاء وبحثهم عن مؤسسات تقدم خدمات افضل واسرع .
-الدخول بلا استئذان ( Un –Authorized access ) .
الدخول الى قواعد المعلومات للمؤسسة عن طريق اختراق المجمع المحلي او الرئيسي للمؤسسة فيقوم بسرقة المعلومات والبيانات الاقتصادية كمقدار الدخل والارباح والخسارة والخطة الاقتصادية وبيانات العملاء المالية فيقوم ببع هذه البيانات للمؤسسات المنافسة باسعار خيالية .
-الهجوم الفيروسي ( Viruses ) .
بعث رسالة او برنامج مفخخ لموقع المؤسسة المقصودة فيقوم الفيروس بتخريب الموقع فتتوقف خدمات المؤسسة الالكترونية مما يفقدها سمعتها ويؤثر على عملائها بشكل سلبي .
-سرقة البيانات الالكترونية وسرقة البريد الالكتروني ( Mail Spoofing ) :
تتم هذه الطريقة عن طريق ارسال رسالة الكترونية الى الشخص المستهدف وبمجرد ان يضغط الضحية على الرسالة حتى بعث برسالة تلقائية الى المخترق فيها الرقم السري للمستهدف والبيانات الخاصة عنه كالاسم والعمر والمهنة والدولة وغيرها , ويقوم المخترق بهذا العمل لبيع البريد الالكتروني والبيانات الشخصية للضحية او الاستفادة الشخصية من تلك المعلومات بسحب وتحويل مبالغ من حساب الضحية الى حسابات اخرى للمخترق . امثلة على هذا قد تصلك على بريد رسالة كتب فيها انك ربحت مليون دولار للحصول عليها اكتب اسمك وبياناتك الخاصة ورقم حسابك بالبنك فيقوم بعض الناس بكتابة تلك البيانات املا بالفوز ولكنه بالحقيقة يريل بياناته للمخترق فيستغلها .
-سرقة البيانات باستخدام موقع مزور ( +++ Spoofing )
وهذه الطريقة من اخطر الطرق وهي تعتمد على ثقة العملاء , حيث يقوم المخترق بارسال صفحة الكترونية واجهة موقع شبية تماما ( نسخة طبق الاصل عن الموقع الحقيقي ) برسالة الكترونية يطلب فيها من الضحية ان يكتب البيانات الخاصة به وذلك لان المؤسسة تقوم بعملية تعديل وتحديث البيانات فيثق الضحية كون ان الموقع هو نفسة الموقع الاصلي فيكتب بياناته ويرسلها في حين انه بمجرد تلقيه الرسالة تلقائيا ترسل رسالة من بريدة الى بريد المخترق بها الرقم السري للبريد ثم تصل الرسالة التي بها الصفحة الاكترونية الى بريد المخترق وبها بينات الضحية كلها من اسسم وعنوان حتى الرقم السري لبطاقة السحب الالي وغيرها من المعلومات الخاصة التي ادرجها العمليل ظانا منه ان الرسالة مرسله من المؤسسة التي يتعامل معها ؟ وهنا تكمن خطورة هذه العملية .
-إصياد الضحية . ( Phishing Attacks )
اصياد الضحية اسمها مأخوذ من عملية الصيد فالصيد يقوم على ان تضع الطعم للضحية فيلتقم الضحية الطعم فيجد نفسة قد علق بشباك الطياد ولا يقدر على الفلات . وتتم هذه الطريقة بان يرسل المخترق رسالة باسم مؤسسة للضحية يخبره فيها ان اذا ارتد الحصول على الخدمة الفلانية من موقعنا وهي جدمات مجانيه كل ماعليك فعله هو ان تكتب بياناتك الخاصة . وكالعادة بمجرد ان يضغط الضحية على الرسالة حتى ترسل تلقائيا رسالة لبريد المخترق بها الرقم السري للضحية ويتبعها الرسالة الاخرى بها بيانات الضحية التي كتبها هو بنفسة وارسلها ؟
وتكمن خطورة الاحتيال الالكتروني بالنسبة:
-للمؤسسات التجارية بان تخسر المال .
-خسارة ثقة العملاء .
-خساة وقلة عدد الشركاء في المؤسسة التجارية
-خسارة السمعة العامة للمؤسسة في السوق بسبب كثرة الخسائر المالية .
طرق الحماية المتبعه للحماية من عمليات الاحتيال الالكتروني :
-المصادقة ( Authentication ) :
وهي تعد من اشهر طرق الحماية باستخدام كلمة مرور خاصة واسم مستخدم خاص لتحقق من شخصية المستخدم , وقد تطورت هذه الطريقة في البداية كانت باستخدام الكلمات بالحروف العادية ومن ثم اصبخت اكثر تطورا باستخدام التوقيع الالكتروني , بصمة اليد , بصمة العين , بصمة الوجة , ترددات موجة الصوت .
-التحكم بخصائص الدخول ( Access Control ) :
بان يتم تقسيم خصائص الدخول بحسب اسم المستهدم فان كان المستخدم عضو فيتم عرض المعلومات والخصائص الخاصة للاعضاء فقط وان كان من الادارة يفتح له خصائص الادارة وهكذا .
-الترميز والتشفير ( encryption ) :
وتتم هذه الطريقة بتحويل الكمات الى رموز خاصة مشفرة متفاهم عليها الطرفان المستخدمان الذان يتواصلان مع بعض ويستخدم المتصفح للانترنت تلقائيا برنامج لتشفير البيانات وهناك نوعان لتلك البرامج وهي :
- SSL .
- SET .
وللترميز مجالان هما :
- الرموز الخاصة للتشفير ( Secret Key Encryption )
- الرموز العامة للتشفير ( Public Key )
فعند القيام بارسال معلومة بين طرفين فإن الطرف المرسل يستخدم المعلومات العامة للتشفير , ويقوم المستقبل باستخدام رموز خاصة لفك التشفير لايعرفها الا هو .
مثال : قام الطرف ( أ ) بارسال رسالة مشفرة للطرف ( ب) يقوم الطرف (أ ) باستخدام مفتاح عام للتشفير مثلا 123 , فعندما يعترض طرف ثالث ( ج ) للرسالة وقام باختراقها فانه ان حاول فتحها بالمفتاح العام 123 لن تفتح له لانها مبرمجة تلقائيا بان تفتح بنفتاح خاص متفق عليه بين طرفي الحوار , والمفتاح الخاص لا يعلمه الا الطرف ( ب) مثلا 888 , فيقوم بفتح الرسالة اما بالنسبة للمخترق فان الرسالة تكون عديمة الفائدة لانها مشفرة ولايمكل كود فتح الشفرة الا المستقبل فقط .
ومن طرق التشفير ايضا طريقة التوقيع الرقمي والتي تستخدم ايضا في الطريقة الخاصة بالتحقق من شخصية المستخدم , التوقيع الرقمي :
هو رموز خاصة يفهما الكمبيوتر وتكون مميزة لكل مستخدم فلا يكون هناك مستخدمان لهما نفس التوقيع الرقمي كما التوقيع العادي فالتوقعي العادي اليدوي توقيع خاص لايمكن تقليده او تكراره بين شخصين . ونذكر هنا مثال لكيفية تكوين التوقيع الرقمي :
----------- BIGING--- ------
IQBIAwUBMVSiA5YCuMfgNYjAQFAKgl\ZkBfFEBSVJHENMSKLLSJ///hsjkJHHJIU/'P[OJJG2DDCN,JSUHS8373JJSKsgeumJJSwh23HHSJMNHEIK=SS--=+WJW7384873HHSHJ83hshsgshHSSH=KS/,.KDUJIhsumwo8374k/;dd]\dkduh
-------END SIGNATURE -----
-جدار الحماية الناري ( Firewalls ) :
استخدام ام يشبه الجدار الحاجز بين طرفين بين الشبكة الدالخية المحلية لمؤسسة خاصة وبين الشكبة العاليمة العامة يمنع من تسريب البيانات الخاصة او اختراق المجمع للشبكة الداخلية .
-كلمات المرور الخاصة ( Password Spearing ) :
استخدام رموز خاصة ككلمات مرور في التعاملات المالية .
-برامج مضادات الفيروسات ( Anti – Virus Software ) :
استخدام البرامج المضادة للفيروسات لمنع الهجمات التخريبية بالفيورسات الالكترونية .
إنتهت .
أرجو الفائدة للجميع
المهندسة \ هناء .
اصبحت الانترنت وسيلة سريعة لنشر المعلومات وتبادل البيانات بين جهات مختلفة , وتزايدت وسائل استخدام الانترنت فاصبح هناك ما يمسى بالتجارة الالكترونية والتعليم الالكتروني .
واصبحت اغلب الامؤسسات والشركات تؤدي خدماتها للموظفيها وعملائها عن طريق الانترنت , ومع هذا الطور انتشرت كذلك ظاهرة خطيرة وهي سرقة البيانات الخاصة من الانترنت . فكما هناك سرقات للبنوك والمؤسسات انتشرت كذلك ظاهرة السرقة في الانترنت .
عن طريق الحتيال والتحايل على الاخرين بالعبث بالبرامج المكونه للبرامج الخدمية التي تقدمها المؤسسات التجارية . والاحتيال هو ( اخذ واغتصاب حقوق الاخرين وسلبهم ملكياتهم بدون وجة حق )
ومن طرق الاحتيال الالكتروني :
-القرصنة . ( Hacker )
القرصنة تكون بعمل برامج وأكواد خاصة تهاجم المجمع الرئيسي الداخلي للشركة او المؤسسة لسرقة بيانات الزبائن او بياناتهم الشخصية لبيعها او استغلال ارقام الحساب البنكي وارقام البطاقات الالكترونية وغيرها .
-اختراق المجمعات العامله ب ( ISP's ) . ( Bogus Attack )
اختراق المجمعات الرئيسية المستضيفة للمجمع الداخلي للمؤسسة في حال كان المؤسسة تمنع باتخاذ التدابير الامنية من اختراق المجمع الداخلي يقوم المخترق باختراق المجمع الرئيسي الذي يستضيف المجمع المحلي للمؤسسة فيحصل على المعلومات التي يبحث عنها .
-تعطيل الشبكة DOS ( Denial – of – service )
هذه الطريقة يتخذها المنافسون والمؤسسات المعادية للمؤسسة المستهدفة حيث يقوم المخترق بتعطيل المجمع للمؤسسة المقصودة فيقوم باحداث اعطال بسيطة بها تتسبب بابطا المجمع فتصبح الخدمات الالكترونية التي يقدمها موقع المؤسسة ضعيفة جدا مما يؤثر على جودة الخدمات مما يهز اسم المؤسسة ويقلل من مكانتها فيتسبب بانسحاب العملاء وبحثهم عن مؤسسات تقدم خدمات افضل واسرع .
-الدخول بلا استئذان ( Un –Authorized access ) .
الدخول الى قواعد المعلومات للمؤسسة عن طريق اختراق المجمع المحلي او الرئيسي للمؤسسة فيقوم بسرقة المعلومات والبيانات الاقتصادية كمقدار الدخل والارباح والخسارة والخطة الاقتصادية وبيانات العملاء المالية فيقوم ببع هذه البيانات للمؤسسات المنافسة باسعار خيالية .
-الهجوم الفيروسي ( Viruses ) .
بعث رسالة او برنامج مفخخ لموقع المؤسسة المقصودة فيقوم الفيروس بتخريب الموقع فتتوقف خدمات المؤسسة الالكترونية مما يفقدها سمعتها ويؤثر على عملائها بشكل سلبي .
-سرقة البيانات الالكترونية وسرقة البريد الالكتروني ( Mail Spoofing ) :
تتم هذه الطريقة عن طريق ارسال رسالة الكترونية الى الشخص المستهدف وبمجرد ان يضغط الضحية على الرسالة حتى بعث برسالة تلقائية الى المخترق فيها الرقم السري للمستهدف والبيانات الخاصة عنه كالاسم والعمر والمهنة والدولة وغيرها , ويقوم المخترق بهذا العمل لبيع البريد الالكتروني والبيانات الشخصية للضحية او الاستفادة الشخصية من تلك المعلومات بسحب وتحويل مبالغ من حساب الضحية الى حسابات اخرى للمخترق . امثلة على هذا قد تصلك على بريد رسالة كتب فيها انك ربحت مليون دولار للحصول عليها اكتب اسمك وبياناتك الخاصة ورقم حسابك بالبنك فيقوم بعض الناس بكتابة تلك البيانات املا بالفوز ولكنه بالحقيقة يريل بياناته للمخترق فيستغلها .
-سرقة البيانات باستخدام موقع مزور ( +++ Spoofing )
وهذه الطريقة من اخطر الطرق وهي تعتمد على ثقة العملاء , حيث يقوم المخترق بارسال صفحة الكترونية واجهة موقع شبية تماما ( نسخة طبق الاصل عن الموقع الحقيقي ) برسالة الكترونية يطلب فيها من الضحية ان يكتب البيانات الخاصة به وذلك لان المؤسسة تقوم بعملية تعديل وتحديث البيانات فيثق الضحية كون ان الموقع هو نفسة الموقع الاصلي فيكتب بياناته ويرسلها في حين انه بمجرد تلقيه الرسالة تلقائيا ترسل رسالة من بريدة الى بريد المخترق بها الرقم السري للبريد ثم تصل الرسالة التي بها الصفحة الاكترونية الى بريد المخترق وبها بينات الضحية كلها من اسسم وعنوان حتى الرقم السري لبطاقة السحب الالي وغيرها من المعلومات الخاصة التي ادرجها العمليل ظانا منه ان الرسالة مرسله من المؤسسة التي يتعامل معها ؟ وهنا تكمن خطورة هذه العملية .
-إصياد الضحية . ( Phishing Attacks )
اصياد الضحية اسمها مأخوذ من عملية الصيد فالصيد يقوم على ان تضع الطعم للضحية فيلتقم الضحية الطعم فيجد نفسة قد علق بشباك الطياد ولا يقدر على الفلات . وتتم هذه الطريقة بان يرسل المخترق رسالة باسم مؤسسة للضحية يخبره فيها ان اذا ارتد الحصول على الخدمة الفلانية من موقعنا وهي جدمات مجانيه كل ماعليك فعله هو ان تكتب بياناتك الخاصة . وكالعادة بمجرد ان يضغط الضحية على الرسالة حتى ترسل تلقائيا رسالة لبريد المخترق بها الرقم السري للضحية ويتبعها الرسالة الاخرى بها بيانات الضحية التي كتبها هو بنفسة وارسلها ؟
وتكمن خطورة الاحتيال الالكتروني بالنسبة:
-للمؤسسات التجارية بان تخسر المال .
-خسارة ثقة العملاء .
-خساة وقلة عدد الشركاء في المؤسسة التجارية
-خسارة السمعة العامة للمؤسسة في السوق بسبب كثرة الخسائر المالية .
طرق الحماية المتبعه للحماية من عمليات الاحتيال الالكتروني :
-المصادقة ( Authentication ) :
وهي تعد من اشهر طرق الحماية باستخدام كلمة مرور خاصة واسم مستخدم خاص لتحقق من شخصية المستخدم , وقد تطورت هذه الطريقة في البداية كانت باستخدام الكلمات بالحروف العادية ومن ثم اصبخت اكثر تطورا باستخدام التوقيع الالكتروني , بصمة اليد , بصمة العين , بصمة الوجة , ترددات موجة الصوت .
-التحكم بخصائص الدخول ( Access Control ) :
بان يتم تقسيم خصائص الدخول بحسب اسم المستهدم فان كان المستخدم عضو فيتم عرض المعلومات والخصائص الخاصة للاعضاء فقط وان كان من الادارة يفتح له خصائص الادارة وهكذا .
-الترميز والتشفير ( encryption ) :
وتتم هذه الطريقة بتحويل الكمات الى رموز خاصة مشفرة متفاهم عليها الطرفان المستخدمان الذان يتواصلان مع بعض ويستخدم المتصفح للانترنت تلقائيا برنامج لتشفير البيانات وهناك نوعان لتلك البرامج وهي :
- SSL .
- SET .
وللترميز مجالان هما :
- الرموز الخاصة للتشفير ( Secret Key Encryption )
- الرموز العامة للتشفير ( Public Key )
فعند القيام بارسال معلومة بين طرفين فإن الطرف المرسل يستخدم المعلومات العامة للتشفير , ويقوم المستقبل باستخدام رموز خاصة لفك التشفير لايعرفها الا هو .
مثال : قام الطرف ( أ ) بارسال رسالة مشفرة للطرف ( ب) يقوم الطرف (أ ) باستخدام مفتاح عام للتشفير مثلا 123 , فعندما يعترض طرف ثالث ( ج ) للرسالة وقام باختراقها فانه ان حاول فتحها بالمفتاح العام 123 لن تفتح له لانها مبرمجة تلقائيا بان تفتح بنفتاح خاص متفق عليه بين طرفي الحوار , والمفتاح الخاص لا يعلمه الا الطرف ( ب) مثلا 888 , فيقوم بفتح الرسالة اما بالنسبة للمخترق فان الرسالة تكون عديمة الفائدة لانها مشفرة ولايمكل كود فتح الشفرة الا المستقبل فقط .
ومن طرق التشفير ايضا طريقة التوقيع الرقمي والتي تستخدم ايضا في الطريقة الخاصة بالتحقق من شخصية المستخدم , التوقيع الرقمي :
هو رموز خاصة يفهما الكمبيوتر وتكون مميزة لكل مستخدم فلا يكون هناك مستخدمان لهما نفس التوقيع الرقمي كما التوقيع العادي فالتوقعي العادي اليدوي توقيع خاص لايمكن تقليده او تكراره بين شخصين . ونذكر هنا مثال لكيفية تكوين التوقيع الرقمي :
----------- BIGING--- ------
IQBIAwUBMVSiA5YCuMfgNYjAQFAKgl\ZkBfFEBSVJHENMSKLLSJ///hsjkJHHJIU/'P[OJJG2DDCN,JSUHS8373JJSKsgeumJJSwh23HHSJMNHEIK=SS--=+WJW7384873HHSHJ83hshsgshHSSH=KS/,.KDUJIhsumwo8374k/;dd]\dkduh
-------END SIGNATURE -----
-جدار الحماية الناري ( Firewalls ) :
استخدام ام يشبه الجدار الحاجز بين طرفين بين الشبكة الدالخية المحلية لمؤسسة خاصة وبين الشكبة العاليمة العامة يمنع من تسريب البيانات الخاصة او اختراق المجمع للشبكة الداخلية .
-كلمات المرور الخاصة ( Password Spearing ) :
استخدام رموز خاصة ككلمات مرور في التعاملات المالية .
-برامج مضادات الفيروسات ( Anti – Virus Software ) :
استخدام البرامج المضادة للفيروسات لمنع الهجمات التخريبية بالفيورسات الالكترونية .
إنتهت .
أرجو الفائدة للجميع
المهندسة \ هناء .