نظرًا لأن الهندسة الاجتماعية تستغل نقاط الضعف البشرية بدلاً من الثغرات التقنية أو الرقمية للنظام ، فإنها تسمى أحيانًا “القرصنة البشرية”.
ما هي الهندسة الاجتماعية
الهندسة الاجتماعية – Social engineering هي نوع من الهجمات الإلكترونية التي تستخدم التلاعب النفسي لخداع المستخدمين لارتكاب أخطاء أمنية أو الكشف عن معلومات حساسة مثل مشاركة المعلومات التي لا ينبغي لهم مشاركتها ، أو تنزيل البرامج التي لا ينبغي عليهم تنزيلها ، أو زيارة مواقع الويب التي لا يجب عليهم زيارتها ، أو إرسال الأموال إلى المجرمين ، أو ارتكاب أخطاء أخرى تهددهم شخصياََ أو تهدد أمنهم على الانترنت .
في كثير من الحالات ، يستخدم مجرمو الإنترنت تكتيكات الهندسة الاجتماعية للحصول على البيانات الشخصية – مثل بيانات تسجيل الدخول وأرقام بطاقات الائتمان وأرقام الحسابات المصرفية وأرقام الضمان الاجتماعي – التي يمكنهم استخدامها لسرقة الهوية ، وتمكينهم من إجراء عمليات الشراء عبر الإنترنت ، أو التقدم بطلب للحصول على قروض باسم شخص آخر ، وأكثر من ذلك.
هجوم الهندسة الاجتماعية يمكن أن يكون أيضًا المرحلة الأولى من هجوم إلكتروني واسع النطاق على سبيل المثال ، قد يخدع مجرم الإنترنت الضحية لمشاركة اسم مستخدم وكلمة مرور – ثم يستخدم هذه المعلومات لزرع برامج الفدية على شبكة الضحية أو استخدام حاسوبه في عمليات تعدين العملات الرقمية
اقرأ أيضا : التعدين الخبيث “Cryptojacking” و كيف تحمي حاسوبك منه
دوافع استخدام الهندسة الاجتماعية في الهجمات
تعد الهندسة الاجتماعية جذابة لمجرمي الإنترنت لأنها تمكنهم من الوصول إلى الشبكات والأجهزة والحسابات الرقمية دون الاضطرار إلى القيام بالأعمال الفنية الصعبة المتمثلة في اختراق جدران الحماية وبرامج مكافحة الفيروسات وغيرها من ضوابط الأمن السيبراني.
كيف تحدث هجمات الهندسة الاجتماعية
ترتكز تكتيكات وتقنيات الهندسة الاجتماعية على علم التحفيز البشري ، فالمهاجمين يتلاعبون بمشاعر الضحايا بطرق ثبت أنها تدفع الناس إلى اتخاذ إجراءات تحقق للمجرمين أهدافهم
تحدث هجمات الهندسة الاجتماعية بخطوة واحدة أو أكثر ، حيث يقوم المهاجم أولاً بالتحقيق في الضحية المقصودة لجمع المعلومات الأساسية الضرورية مثل معلومات الدخول المحتملة وبروتوكولات الأمان الضعيفة اللازمة للبدء في الهجوم ، بعد ذلك يستخدم المهاجم وسيلة تمكنه من الوصول مثل انتحال الهوية لكسب ثقة الضحية وتوفير محفزات تجعل الضحية يتابع الإجراءات اللاحقة التي تخرق الممارسات الأمنية ، مثل الكشف عن معلومات حساسة أو منح الوصول إلى الموارد الهامة.
تستخدم معظم هجمات الهندسة الاجتماعية واحدًا أو أكثر من الأساليب التالية:
- الظهور كعلامة تجارية موثوق بها : غالبًا ما ينتحل المحتالون صفة أو “مخادعة” الشركات التي يعرفها الضحايا ويثقون بها وربما يتعاملون معها بشكل متكرر أو منتظم – لدرجة أنهم يتبعون تعليمات هذه العلامات التجارية بشكل انعكاسي دون اتخاذ الاحتياطات المناسبة.
- الظهور كهيئة حكومية : يمكن للمهاجم ارسال بريد الكتروني بعنوان أحد الجهات الحكومية بحيث لا يتردد الضحية في فتحه والنقر على الروابط المضمنة بداخلة أو تحميل المرفقات.
- الظهور كشخصية مشهورة ومحبوبة : يمكن للمهاجم انتحال شخصية مشهورة وقد تكون المفضلة للضحية ويطلب منه بعض المعلومات أو فتح روابط معينة أو تحميل مرفقات
- إثارة الخوف أو الشعور بالإلحاح : خبار الضحية بأنه لم تتم الموافقة على معاملة ائتمانية حديثة ، وأن فيروسًا قد أصاب جهاز الكمبيوتر الخاص به ، وأن الصورة المستخدمة على موقع الويب الخاص به تنتهك حقوق الطبع والنشر وغيرها
- طلب المساعدة : يقوم المحتالون بصياغة رسائل التصيد مثل استطلاعات الرأي لتبدو وكأنها تأتي من مؤسسة أو شخص موثوق به أو موثوق به – وأحيانًا حتى من فرد يعرفه المستلم شخصيًا.
- خدعة الأمير النيجيري : وهي رسالة بريد إلكتروني يدعي فيها شخص يدعي أنه ملك نيجيري يحاول الفرار من بلده ويقدم مكافأة مالية ضخمة مقابل معلومات الحساب المصرفي للمستلم أو رسوم مقدمة صغيرة وهي واحدة من أشهر الأمثلة المعروفة للهندسة الاجتماعية التي تستهوي الجشع ، مع أن هذا الاحتيال قديم الا انه لا يزال يجني المال
أنواع هجمات الهندسة الاجتماعية
1- التصيد الاحتيالي – Phishing
هجمات التصيد الاحتيالي عبارة عن رسائل رقمية أو صوتية تحاول التلاعب بالمستلمين لمشاركة معلومات حساسة أو تنزيل برامج ضارة أو تحويل الأموال أو الملفات إلى الأشخاص الخطأ أو اتخاذ بعض الإجراءات الضارة الأخرى.
في هذا النوع من الهجمات يقوم المحتالون بصياغة رسائل التصيد لتبدو وكأنها تأتي من مؤسسة أو فرد موثوق به أو موثوق به – وأحيانًا حتى من فرد يعرفه المستلم شخصيًا.
أنواع حيل التصيد الاحتيالي:
- Bulk phishing emails : يتم إرسال رسائل التصيد الاحتيالي المجمعة إلى ملايين المستلمين في وقت واحد ، فيبدو أنها مرسلة من قبل شركة أو مؤسسة كبيرة ومعروفة مثل بنك وطني أو عالمي ، بائع تجزئة كبير عبر الإنترنت ..الخ – وتقدم طلبًا عامًا مثل “نحن نواجه مشكلة في معالجة عملية الشراء ، يرجى تحديث معلومات الائتمان.
- Spear phishing : يستهدف التصيد الاحتيالي بالرمح فردًا معينًا ، عادةً ما يكون له حق الوصول المميز إلى معلومات المستخدم أو شبكة الكمبيوتر أو أموال الشركة
- Whaling: صيد الحيتان هو تصيد بالرمح يستهدف شخصية رفيعة المستوى ، مثل الرئيس التنفيذي لشركة أو شخصية سياسية هامة
- Voice phishing : التصيد الصوتي هو تصيد احتيالي يتم عبر المكالمات الهاتفية قد يكون من خلال رسالة صوتية مسجلة تطلب من المستخدم إدخال معلومات حساسة أو مكالمة من شخص حقيقي يدعي أنه موظف في البنك على سبيل المثال و يريد تحديث البيانات
- SMS phishing : هو تصيد عبر رسالة نصية.
- Search engine phishing : يتضمن تصيد محرك البحث قراصنة يقومون بإنشاء مواقع ويب ضارة تحتل مرتبة عالية في نتائج بحث Google
- Angler Phishing : هو التصيد الاحتيالي عبر حسابات وسائل التواصل الاجتماعي المزيفة التي تتنكر على أنها الحساب الرسمي لخدمة عملاء الشركات الموثوقة أو فرق دعم العملاء.
2- Baiting
الاصطياد أو الاغراء ويقصد به إغراء الضحايا بتقديم معلومات حساسة عن قصد أو عن غير قصد ، أو تنزيل تعليمات برمجية ضارة ، عن طريق إغرائهم بعرض قيم ، أو حتى بشيء ثمين
تعتبر عملية احتيال الأمير النيجيري هي أفضل مثال معروف على تقنية الهندسة الاجتماعية هذه ، و تتضمن المزيد من الأمثلة الحالية تنزيلات ألعاب أو موسيقى أو برامج مجانية ولكنها مصابة ببرامج ضارة
3- Tailgating
هجوم الذيل ويسمى أيضا ‘piggybacking’ يقوم المهاجم بمتابعة الضحية “غالباََ ما يكون شخص مصرح له بالوصول الى معلومات حساسة أو ملفات هامة “
على سبيل المثال عندما يترك الشخص الكمبيوتر دون مراقبة بينما لا يزال قيد تسجيل الدخول إلى حساب خاص أو شبكة المؤسسة.
4- Pretexting
يعد Pretexting نوعًا معقدًا إلى حد ما من هجوم الهندسة الاجتماعية حيث يخلق المحتال سبباََ أو سيناريو ملفقًا يستطيع من خلاله الوصول إلى أهدافه
على سبيل المثال يظهر المحتال للضحية أنه قد تعرض حسابه لخرق أمني وأنه الشخص القادر على إصلاح المشكلة
5- Quid pro quo
في عملية احتيال المقايضة -Quid pro quo ، يعرض المتسللون سلعة أو خدمة مرغوبة مقابل المعلومات الحساسة للضحية ، على سبيل المثال المكاسب المزيفة في المسابقة مثل (“شكرًا لك على الدفع – لدينا هدية لك”) هي أمثلة على حيل qui pro quo.
6- Scareware
تعتبر البرامج الخبيثة أيضًا أحد أشكال البرامج الضارة ، وهي عبارة عن برامج تستخدم الخوف للتلاعب بالناس من أجل مشاركة معلومات سرية أو تنزيل برامج ضارة
على سبيل المثال : ارسال رسالة دعم تقني مزيفة تحذر المستخدم من وجود برامج ضارة على أجهزته.
7- Honey Trap
في هجوم فخ العسل – Honey Trap ، يتظاهر الجاني بأنه مهتم عاطفيًا أو جنسيًا بالضحية ويجذبهم إلى علاقة عبر الإنترنت ، ثم يقنع المهاجم الضحية بالكشف عن معلومات سرية أو دفع مبالغ كبيرة من المال.
8- Watering hole attack
في هجوم حفرة الماء – Watering hole يقوم المتسللون بحقن كود برمجي ضار في صفحة ويب شرعية يزورها الأشخاص المستهدفين باستمرار ، حيث تعد هجمات Watering hole مسؤولة عن كل شيء بدءًا من بيانات الاعتماد المسروقة وحتى تنزيلات برامج الفدية غير المقصودة.
الوقاية من هجمات الهندسة الاجتماعية
التدريب على الوعي الأمني: لا يعرف العديد من المستخدمين كيفية التعرف على هجمات الهندسة الاجتماعية ، يمكن أن يساعد التدريب على الوعي الأمني ، جنبًا إلى جنب مع سياسات أمان البيانات ، الموظفين على فهم كيفية حماية بياناتهم الحساسة ، وكيفية اكتشاف هجمات الهندسة الاجتماعية الجارية والرد عليها.
سياسات التحكم في الوصول: يمكن لسياسات وتقنيات التحكم في الوصول الآمن ، بما في ذلك المصادقة متعددة العوامل والمصادقة التكيفية ونهج أمان الثقة الصفرية أن تحد من وصول مجرمي الإنترنت إلى المعلومات والملفات الحساسة على شبكة الشركة حتى إذا حصلوا على بيانات اعتماد تسجيل دخول المستخدمين.
لا تفتح مرفقات البريد الإلكتروني من مصادر مشبوهة : حتى إذا كنت تعرف المرسل وكانت الرسالة تبدو مشبوهة ، فمن الأفضل الاتصال بهذا الشخص مباشرة لتأكيد صحة الرسالة.
استخدم المصادقة متعددة العوامل (MFA) : تعتبر بيانات اعتماد المستخدم واحدة من أهم المعلومات التي يبحث عنها المهاجمون ، يساعد تمكين MFA على ضمان حماية حسابك في حالة اختراق الحساب.
اقرأ أيضا : كلمات المرور هل أصبحت من الماضي
احذر من العروض المغرية : إذا كان العرض يبدو جيداََ فننصحك بالبحث عن الموضوع لتحديد ما إذا كنت تتعامل مع عرض حقيقي أم أنه مجرد فخ.
انتبه الى حسابات وسائل التواصل الاجتماعي الخاصة بك : يتجول المهندسون الاجتماعيون على الإنترنت بحثًا عن أي نوع من المعلومات التي يمكنهم العثور عليها عن أي شخص ، فكلما زادت المعلومات التي نشرتها عن نفسك ، زادت احتمالية أن يتمكن المجرم من إرسال هجوم تصيد احتيالي مستهدف.
تثبيت وتحديث برامج مكافحة الفيروسات والبرامج الأخرى : تأكد من تشغيل التحديثات التلقائية لبرنامج الحماية الخاص بك ، تحقق بشكل دوري للتأكد من تطبيق التحديثات وفحص نظامك يوميًا بحثًا عن الإصابات المحتملة
قم بعمل نسخ احتياطي لبياناتك بانتظام : من الضروري أن يكون لديك نسخة احتياطية لبياناتك على محرك أقراص خارجي أو قم بحفظها في السحابة ، وتجنب توصيل أي جهاز USB غير معروف بجهاز الكمبيوتر الخاص بك
اقرأ أيضا : حماية البيانات الشخصية على الانترنت
الخاتمة
يعد الخطأ البشري أحد أكبر نقاط الضعف في استراتيجية الأمن السيبراني لأي مؤسسة ، حيث تستفيد هجمات الهندسة الاجتماعية بشكل أساسي من هذه الثغرة الأمنية عن طريق خداع الأشخاص وحثهم على تعريض الأمان للخطر وإعطاء معلومات حساسة.
يستخدم المهندسون الاجتماعيون العديد من الاختراقات النفسية لخداعك للثقة بهم أو خلق شعور زائف بالإلحاح والقلق لتقليل دفاعاتك الطبيعية ، ما يمكن المهاجمين بعد ذلك من خرق أمانك المادي أو التكنولوجي لسرقة الأموال أو المعلومات السرية.
الطريقة الوحيدة لمنع الاستهداف من قبل الهندسة الاجتماعية هي دراسة الأساليب والمحفزات النفسية والأدوات التكنولوجية التي يستخدمها هؤلاء المهاجمون ، حيث يستخدم المحتالون أنواعًا مختلفة من هجمات الهندسة الاجتماعية ، ولكن يمكن لبعض الميزات الشائعة أن تساعدك على اكتشاف هجمات الهندسة الاجتماعية وتجنبها.
اقرأ أيضا : ما هو هجوم DDoS “حجب الموزع” كيف يعمل و طرق الحماية منه
اقرأ أيضا : مثلث حماية البيانات السيبراني CIA