الكاتبة : نورة محمد عبدالرحمن الراشد
المقدمة:
منذ القدم وحتى وقتنا الحاضر,ومهنة التجارة من أشهر المهن التي يزاولها البشر,والتي تلعب دورا" هاما" في النمو الاقتصادي للدول, فهي توفر للتجار جني الأموال و توفر للمستهلكين السلع والخدمات التي يطلبونها, ولكنها تواجه العديد من الصعوبات,حيث على التجار السفر لعقد صفقاتهم التجارية , وعلى المستهلكين كذلك التجول في الأسواق لأوقات طويلة للبحث عن السلعة التي يريدونها , أما الآن ومع التطور التقني الذي نشهده في هذا العصر, جاءت التجارة الإلكترونية التي تلاشت فيها كل تلك الصعوبات, فأصبح بإمكان المستثمر عقد صفقاته التجارية و إدارة أعماله وهو في منزله وبكل سهولة , ومكنت المستهلك كذلك من التجول في المواقع الإلكترونية والبحث عن ما يريد بأفضل المميزات و أقل الأسعار وفي وقت قصير.
وقامت العديد من دول العالم بوضع قوانين لتنظيم هذه المعاملات الإلكترونية, كقانون نظام مكافحة جرائم المعلوماتية الموجود في المملكة العربية السعودية,والذي يهدف إلى حماية تلك المعاملات من خلال سن عقوبات صارمة على أصحاب النفوس الدنيئة الذين يقومون بالتعدي على تلك المعاملات.
المستفيدون من المقالة:
مستخدمي مواقع التجارة الإلكترونية.
محتوى المقال التفصيلي:
مفهوم التجارة الإلكترونية:
هي عبارة عن إجراء العديد من المعاملات المالية,وتنفيذ المعاملات التجارية كالبيع والشراء,وتقديم الخدمات, بشكل إلكتروني من خلال شبكة الإنترنت.
و بالرغم من ما تقدمه التجارة الإلكترونية من مميزات وخدمات إلا أنها ما زالت حتى الآن تفتقر إلى الحماية الكاملة من سرقة المعلومات , وما زالت تعاني من الاختراقات الأمنية من قبل ضعاف النفوس الذين يسعون إلى الحصول على المال بأي طريقة.
ومن أشهر طرق الهجوم التي تتعرض لها التجارة الإلكترونية:
1-الهندسة الاجتماعية (social engineering):
تعتمد هذه الطريقة على خداع واستغلال الآخرين,ولا تحتاج أن يمتلك المهاجم خبرات تقنية عالية . ومن الأمثلة عليها:
أن يقوم المهاجم بالبحث عن أوراق تحتوي على كلمات مرور, وأسماء مواقع إلكترونية, وأي معلومات هامة قام صاحبها برميها في سلة المهملات, أو قام بوضعها بالقرب من جهازه الخاص , وذلك حتى يتمكن المهاجم من الدخول لتلك المواقع الإلكترونية والحصول على خدماتها, أو أن يقوم المهاجم باستغلال طيبة الآخرين عن طريق التحاور معهم ومعرفة معلومات كاسم الأم,وعدد أفراد الأسرة ,واسم المدرسة الثانوية, ثم استغلال هذه المعلومات في استرجاع كلمات المرور من المواقع التي توفر خدمة استرجاع كلمات المرور من معرفة الإجابة على هذه الأسئلة.
وبالرغم من ما تتمتع به هذه الطريقة من سهولة بالغة ,إلا أنها تعتبر من أكثر الطرق نجاحا"وفعالية في عملية الاختراق.
2-الاصطياد الإلكتروني(phishing):
يقوم المهاجم بإرسال رسائل بريد إلكترونية خادعة إلى المستخدمين , هذه الرسائل تتضمن روابط لمواقع إلكترونية مزيفة تدعي أنها تقدم سلع وخدمات, أو تكون لمواقع إلكترونية مزيفة تدعي أنها بنوك وتقدم خدمات بنكية, وبالتالي عندما يقوم المستخدم بالدخول لتلك المواقع فإنها تطلب منه معلومات مثل معلومات حسابه البنكي ,أو معلومات بطاقته الائتمانية. إن هذه المواقع الإلكترونية المزيفة تكون مصممة بطريقة تشبه فيها المواقع الإلكترونية الحقيقة ,فعلى سبيل المثال,تكون واجهة الموقع المزيف متماثلة مع واجهة الموقع الحقيقي من ناحية الألوان وأشكال خانات تعبئة المعلومات, وكذلك ممكن أن يكون عنوان صفحة الموقع المزيف, يختلف بحرف واحد فقط عن عنوان صفحة الموقع الحقيقي , ونتيجة لدرجة التشابه العالية , فإن المستخدم قد لا يستطيع التفريق بين الموقع المزيف والحقيقي.
وتواجه مواقع التجارة الإلكترونية نوع آخر من الهجوم , يتمثل في انتحال الشخصية, الذي أدى إلى خسارة مادية بالغة للعديد من ممارسي التجارة الإلكترونية , ومن أمثلة هذا النوع:
1-الهجمات على برتوكول التوثيق باعتراض البيانات (man in the middle attack):
حيث يكون المهاجم في منتصف عملية الاتصال بين المستخدم والموقع الإلكتروني , فعندما يرسل المستخدم رقم البطاقة الائتمانية أو كلمة المرور, فإنها تصل إلى المهاجم الذي إما أن يقوم بإرسالها دون تغيير إلى الموقع الإلكتروني وهذا يسمى (passive attack) , أو أن يقوم المهاجم بتغييرها قبل إرسالها للموقع الإلكتروني وهذا يسمى(active attack),ويتمكن المهاجم في كلا الحالتين من الحصول على معلومات هامة ككلمة المرور , أو رقم البطاقة الائتمانية ثم استخدامها للدخول للموقع الإلكتروني وانتحال شخصية المستخدم. وغالبا" هذا النوع من الهجوم يحدث عندما تكون الشبكة غير مشفرة, فعلى المستخدم التعامل مع المواقع الإلكترونية التي تشفر المعلومات , وهي المواقع الإلكترونية التي تستخدم بروتوكول طبقة المقابس الآمنة(secure socket layer(, ويستطيع المستخدم معرفة ذلك من خلال اتصاله معها عن طريق (https) , والتي توجد فيها صورة القفل في أعلى أو أسفل الصفحة.
هذه الصورة يتضح من خلالها تشفير المعلومات المتبادلة بين المستخدم وبنك سامبا,حيث توجد علامة القفل, والإتصال يتم عن طريق https
2-هجوم إعادة الإرسال((replay attack:
يشبه الهجوم على برتوكول التوثيق باعتراض البيانات و بدرجة كبيرة جدا", فالمهاجم في هذه الطريقة يقوم بالتقاط المعلومات المتبادلة بين المستخدم و خادم الموقع الإلكتروني كاسم المستخدم و كلمة المرور , ثم يقوم المهاجم بعد فترة بإعادة إرسال هذه المعلومات إلى خادم الموقع الإلكتروني حتى يتمكن من انتحال شخصية المستخدم , والدخول إلى الموقع الإلكتروني . ويوجد عدد من الطرق لتفادي هذا النوع من الهجوم, منها ختم الوقت(time stamping) ,وهي عبارة عن وجود تزامن بين المرسل والمستقبل, حيث بالإضافة إلى المعلومات المرسلة, فإنه يتم إرسال الوقت الذي تم فيه الإتصال, وكلها تكون مشفرة, حتى اذا حصل عليها المهاجم فإنه لا يستطيع تغيير الوقت واستخدامها مرة أخرى.
ولتضمن المؤسسات الضخمة إنشاء مواقع إلكترونية آمنة للمستخدمين ,فإنه يجب تطبيق العديد من الإجراءات الأمنية في تلك المواقع ,فيجب على الشركات عدم الإفشاء عن نوع برامج الحماية التي تستخدمها لحماية مواقعها الإلكترونية حتى لا تسهل على المهاجمين عملية اكتشاف نقاط ضعفها وثغراتها الأمنية ,و يجب أن يكون النظام قادر على تحديد هوية الشخص والتأكد من صحتها ,و أن تكون معلومات المستخدمين في عملية الاتصال مشفرة حتى لايتمكن أي شخص من الإطلاع عليها ,ويجب كذلك أن توفر للمستخدم القدرة على مراجعة مصروفاته بشكل دوري لكي يتمكن من التصدي لعمليات السرقة في وقت مبكر.
ومع تطور أساليب الاختراق والهجوم , قامت المؤسسات التي لها مواقع تجارة إلكترونية بتوفير العديد من وسائل الحماية ضد هجمات انتحال الشخصية, ومن هذه الوسائل:
1-تثقيف وتوعية المستخدمين بأحدث أساليب المخترقين وكيفية تجنبها والتصدي لها.
هذه صورة للتوجيهات التي وضعها بنك سامبا,لتثقيف المستخدمين ومساعدتهم على مواجهة الاحتيال الإلكتروني
2-توفير الأجهزة الصغيرة التي تولد رقم تعريف شخصي للاستخدام الفوري:
هي عبارة عن أجهزة صغيرة تعرف باسم أجهزة التعريف ((authentication token, وهي سهلة الحمل ,وتعمل على توليد رقم يسمى رقم التعريف الشخصي((PIN ,وهذا الرقم يتغير كل دقيقة تقريبا" وبشكل مستمر.
وغالبا" البنوك تقدم هذه الأجهزة للعملاء الذين يملكون محفظة بنكية تحتوي على أسهم تجارية; لأن المحافظ البنكية تحتاج إلى حماية عالية وهي أكثر عرضة لمحاولات الاختراق وسرقة الأموال , فهذه الأجهزة تمكن العميل من بيع وشراء الأسهم وإدارة محفظته البنكية بكل سهولة و أمان وهو في منزله,فعندما يريد المستخدم الدخول للنظام لإدارة محفظته التجارية فإن عليه إدخال الرقم الظاهر في شاشة الجهاز بالإضافة إلى كلمة مروره التقليدية .إن هذه الطريقة تسمى ((RSA SecurID , وهي تعتمد على توليد كلمات مرور فورية تستخدم لمرة واحدة(OTP)
(one time password(, وبالرغم مما تمتاز به هذه الأجهزة من قدرة على توفير حماية للمستخدم من عمليات الاصطياد الإلكتروني و الهجمات على بروتوكولات التوثيق ,إلا أنها تسبب بعض الإزعاج للمستخدمين حيث يتوجب على المستخدم حملها , وكذلك قد تتعرض هذه الأجهزة للسرقة, بالإضافة إلى تكلفة صناعتها.
هذه صورة لمجموعة من أجهزة التعريف الشخصي.
3-تطوير وسائل الدفع المالي:
توفر المواقع الإلكترونية العديد من وسائل الدفع مثل: البطاقة الائتمانية التي تعتبر أكثر وسائل الدفع أمانا"; وذلك لأن الشركات المصدرة لها تتحمل كافة المسؤولية عند حدوث أخطاء, وكذلك تصدر كشوف دورية للحسابات يستطيع من خلالها المستخدم مراجعة مصروفاته . وحتى يتسنى للمستخدم الشراء بأمان ,فقد وفرت البنوك البطاقة الائتمانية التي تكون مخصصة للتسوق الإلكتروني , ويقوم المستخدم بشحنها بقيمة مشترياته.وهذه هي أفضل طريقة حتى لا يتعرض رصيد المستخدم للسرقة.
4-خدمة الرسائل القصيرة المتضمنة لكلمات مرور فورية:
فعندما يريد المستخدم الدخول مثلا" إلى حسابه البنكي , فإنه يدخل اسم المستخدم الخاص به, وكلمة مروره التقليدية , ثم بعد ذلك تصله رسالة قصيرة من البنك على جهازه المحمول, تحتوي هذه الرسالة على كلمة مرور فورية تستخدم لمرة واحدة , يقوم المستخدم بإدخالها لإكمال إجراءات التحقق من هويته , ثم بعد ذلك يتمكن المستخدم من إدارة حسابه البنكي.
ولكن المشكلة التي تواجهها هذه الطريقة هي إمكانية تعرض شبكات اتصال الهواتف المحمولة للتجسس من قبل المهاجمين.
إرشادات لتجارة إلكترونية آمنة:
1-على المستخدم التعامل مع مواقع التجارة الإلكترونية التي تشفر المعلومات , وهي المواقع التي يتصل معها المستخدم عن طريق https , و التي توجد فيها صورة القفل في أعلى أو أسفل الصفحة.
2-الدفع المالي عن طريق البطاقة الائتمانية , وشحنها بقيمة المشتريات.
3-استخدام كلمة مرور قوية يصعب تخمينها ,بحيث تكون مكونة من 8 خانات على الأقل تشمل حروف وأرقام ورموز ولا تحتوي على معلومات معروفة عن الشخص وبالتالي يمكن توقعها بسهولة , وكذلك يجب أن تكون كلمة المرور تختلف من موقع لآخر حتى إذا تم اختراق حساب المستخدم في أحدها , لا يتم اختراق بقية الحسابات.
4-عدم إفشاء رقم البطاقة الائتمانية ورقم كلمة المرور لأي شخص, وتجنب كتابة تلك المعلومات على أوراق يستطيع أي شخص الحصول عليها, وكذلك عند رميها فإنه يجب تمزيقها حتى لا يتمكن أي شخص من الحصول عليها .
5- التعامل مع مواقع التجارة الإلكترونية من خلال الجهاز الخاص بالمستخدم, و تجنب أن يكون ذلك في مكان عام حتى لا يتمكن أحد من اختلاس النظر .
6-تفعيل جدار الحماية الخاص بجهاز المستخدم, واستخدام برامج مكافحة الفيروسات وتحديثها دائما".
7-تجنب الدخول إلى الروابط الموجودة في الرسائل الإلكترونية و إجراء معاملات مالية من خلالها , وإنما على المستخدم كتابة عنوان الموقع بنفسه في شريط العنوان ليتأكد أنه يتعامل مع الموقع الحقيقي غير المزيف.
8-على المستخدم التعامل مع المواقع الإلكترونية المشهورة والمعروفة , وليتأكد المستخدم من ذلك, فإن عليه وضع اسم الموقع في محرك البحث (قوقل), فإذا لم يجد أي معلومات عنه فهذه إشارة إلى أن الموقع مزيف ويهدف إلى سرقة المال.
9-على المستخدم متابعة مصروفاته و مراجعة حساباته البنكية بصورة دورية ,ليتصدى لأي هجمات تهدف إلى التعدي على أمواله.
10-قراءة سياسة الموقع التي تتبعها أثناء إجراء معاملاتها الإلكترونية, ومن خلالها يستطيع المستخدم أن يحدد مستوى الأمان والخصوصية التي يقدمها الموقع , بالإضافة إلى معرفة المستخدم بالهيئات التي قامت بتصديق الموقع , وبالتالي يتفادى المستخدم التعامل مع المواقع الغير موثوقة.
الخاتمة:
يجب على مستخدمي مواقع التجارة الإلكترونية الحذر الشديد أثناء أداء معاملاتهم المالية, وإتباع تعليمات الحماية , ليتمتعوا بتجارة إلكترونية آمنة, وخالية من المخاطر.
المراجع:
1-كتاب:Security+ Guide to network security fundamentals, 2nd edition
2-http://www.rsa.com/rsalabs/technotes/One-TimePWWP.pdf
3-http://www.info.gov.hk/hkma
4-http://www.ibm.com/us/en/sandbox/ver1
5- مركز التميز لأمن المعلومات:
http://coeia.edu.sa/index.php/ar/asuurance-awarness/articles/58-e-government-and-e-business-assurance/588-safe-shopping.html
6-http://www.ecommerce-digest.com
7-قاموس أمن المعلومات:
http://coeia.edu.sa/index.php/ar/asuurance-awarness/information-security-dictionary.html
8-http://www.samba.com