تمت كتابة هذه المقالة لأهداف تعليمية.

المقدمة

كثيرا ما يتردد هذا السؤال، وذلك لسببين: انتشار استخدام البريد الإلكتروني، وتزايد حالات السرقة والاختراق، والمسألة مسألة جدية، نظرا لاحتواء البريد الإلكتروني على رسائل قد تتضمن معلومات شخصية أو معلومات مالية أو معلومات مهمة أخرى، ربما تستغل لتنفيذ جرائم أخرى، مثل الابتزاز أو التغرير بالصغار أو التشهير أو اختلاس الأموال. لذلك، في هذا الموضوع سأطرح طرق وأساليب اختراق البريد الإلكتروني مع بعض الأمثلة الحقيقية، بهدف فهم طرق حماية البريد الإلكتروني من السرقة.

طرق اختراق البريد الإلكتروني

الطريقة الأولى: التخمين

أسهل الطرق وأكثرها بدائية، وأحيانا تنجح وأحيانا تفشل. لماذا؟
تفشل، لأن أغلب مزودي خدمة البريد الإلكتروني يقومون بحظر حساب البريد الإلكتروني بشكل مؤقت لحمايته، في حالة إدخال كلمة مرور خاطئة لعدة مرات.
وتنجح أحيانا لأن أغلب مستخدمي البريد الإلكتروني يستخدمون كلمات مرور ضعيفة (وهذه حقيقة)، مثل أرقام متسلسلة:  123456 و 654321، أو أرقام مكررة مثل: 555 و 777، أو كلمات سهلة مثل: كلمة “password”، أو كلمات أو أرقام أو تواريخ يسهل تخمينها مثل: أرقام الهواتف، أسماء الأبناء، أسماء الأشياء المفضلة، وتاريخ الميلاد. وفي هذه الحالة؛ غالبا ما يكون الاختراق سهلا من قبل الأقرباء أو الأصدقاء أو زملاء العمل!
بالإضافة إلى ذلك، قد يلجأ البعض إلى استخدام تطبيقات تقوم بتخمين أو توليد كلمات مرور عشوائية، مثل: Munga Bunga و Brutus و WWWhack، هذه التطبيقات أثبتت مؤخرا عدم فعاليتها في اختراق البريد الإلكتروني.

الطريقة الثانية: الخداع

حاليا؛ بات الخداع من أشهر طرق اختراق البريد الإلكتروني، وتسمى هذه الطريقة بالهندسة الاجتماعية، حيث يقوم من خلالها المهاجم بالحصول على معلومات سرية من المستخدم عن طريق الحيلة.
مثال على ذلك: إرسال رسالة إلكترونية بعنوان بريد إلكتروني مزيف (مثلا: service@hotmail.com) إلى الضحية، يطلب فيها من المستخدم إرسال كلمة المرور أو بعض البيانات الشخصية إلى عنوان بريدي معين، بحجة ضمان استمرار الخدمة، أو بحجة زيادة سعة تخزين صندوق الوارد (إغراء). رغم أن هذه الطريقة ساذجة، يدعي الكثير من المخترقين أن نسبة عالية من الاختراقات التي قاموا بها كانت بواسطة هذه الطريقة. للأسف، هناك الكثير من المواقع والتطبيقات المجانية التي تقدم خدمة إرسال رسائل إلكترونية بعنوان بريد إلكتروني مزيف، ويطلق مصطلح E-mail spoofing على هذا الإسلوب من الخداع.
مثال آخر وهو أكثر خطورة، إنشاء صفحة مزيفة مشابهة أو بالأحرى طبق الأصل لصفحة تسجيل الدخول في Yahoo  أو Hotmail (تسمى Fake Login Page)، ومن ثم إرسال رابط الصفحة إلى الضحية، وهنا يقوم المهاجم باستغلال ذكائه لإغراء المستخدم على النقر فوق الرابط، وعندما يقوم المستخدم بدخول الصفحة (والتي ستبدو مألوفة لديه) وإدخال كلمة المرور، سيتم إرسال كلمة المرور فورا للمخترق. للأسف أيضا، توجد الكثير من المواقع التي تتيح تنزيل صفحات مزيفة جاهزة، عادة لا تتطلب هذه الصفحات إلا تعديلا بسيطا فقط، ربما فقط تغيير عنوان البريد الإلكتروني الذي سيتم إرسال كلمات المرور إليه! يطلق على المواقع التي تحتوي على صفحات مزيفة مصطلح Phishing Sites.

 

الطريقة الثالثة: الاختراق

وصلنا الآن إلى أكثر الطرق خطورة، وهو الاختراق. غالبا في هذه الطريقة يتم استخدام تطبيقات معينة مثل الـ Keylogger وهو نوع من تطبيقات التجسس يقوم برصد كل ما يكتب بلوحة المفاتيح وإرساله للمخترق بدون معرفة المستخدم، مثل عناوين البريد الإلكتروني، أسماء المستخدمين، كلمات المرور، عناوين المواقع، المحادثات، وتقريبا أي شيء آخر.
تطبيقات Keylogger  متعددة، واحدة من التطبيقات التي وجدتها فعالة -إلى حد ما- هو SniperSpy، فهو يسمح لك بإنشاء ملف تنفيذي على شكل مستند Word لترسله للضحية عبر البريد الإلكتروني، وعندما يقوم المستخدم بتشغيل هذا الملف، سيتم تثبيت Keylogger  بشكل مخفي لتبدأ المراقبة، بالتأكيد التطبيق لن يظهر في قائمة  Add or Remove Programs، ولكن غالبا سيكتشفه مكافح الفيروسات. هناك تطبيق آخر مشابه لـ SniperSpy وهو Realtime-Spy، وهو يوفر نفس الميزات تقريبا.
هناك نوع آخر من Keylogger، يأتي على شكل قطعة إلكترونية صغيرة يتم توصيلها بين لوحة المفاتيح واللوحة الأم، هذا النوع يسمى Hardware-based keyloggers ويمكن شراؤه عن طريق الإنترنت بأسعار زهيدة.

طرق أخرى

بالإضافة إلى ما ذكر أعلاه، هناك أيضا طرق أخرى لا يتسع المجال لذكرها، منها طرق أكثر صعوبة ومنها طرق أقل انتشارا أو فعالية، مثل: استغلال الثغرات الأمنية بالمتصفح، حقن رسائل البريد الإلكتروني بأكواد خبيثة (HTML أو JavaScript)، تخمين جواب السؤال السري (Secret Question)، أو محاولة اختراق الكمبيوتر نفسه.

حماية البريد الإلكتروني من الاختراق أو السرقة

بعد أن عرفنا طرق اختراق البريد الإلكتروني، أصبح الآن بمقدورنا معرفة طرق الحماية وفهمها. فيما يلي أهم الإرشادات:

– اختيار كلمة مرور قوية ومعقدة (أرقام وأحرف كبيرة وصغيرة ورموز).
– تغيير كلمة المرور بانتظام.
– استخدام مكافح فيروسات جيد ومحدث.
– المحافظة على تحديث نظام التشغيل (Windows Update).
– عدم استخدام البريد الإلكتروني في كمبيوتر مشترك.
– تذكر أن مزودو خدمة البريد الإلكتروني لن يطلبوا من المستخدمين إرسال كلمة المرور الخاصة بهم.
– الحذر الشديد عند التعامل مع رسائل يرسلها أشخاص غرباء أو أشخاص غير موثوق بهم (عدم النقر فوق الروابط، وعدم تنزيل المرفقات).

حقائق

– اختراق البريد الإلكتروني أمر صعب ولكنه ليس مستحيلا.
– لا توجد تطبيقات جاهزة بإمكانها اختراق البريد الإلكتروني بمجرد النقر فوق زر واحد.
– أغلب المواقع التي تروج لخدمة اختراق البريد الإلكتروني مقابل المال هي مواقع خادعة.
– لا تثق بتطبيقات وأدوات الاختراق لأنها غالبا ما تكون برمجيات تجسس (Spyware).

وهذا كل شيء، تقريبا!

مواضيع مميزة تحت تصنيف أمن المعلومات:

– كيف تحمي حاسوبك من فيروسات Autorun.
– تعرف على فيروسات الحاسوب Computer Virus.
-هل حاسوبك محمي من الهاكرز؟