عندما نفكر في الأمن الإلكتروني، يفكر معظمنا في الدفاع عن نفسه ضد المخترقين الذين يستخدمون الثغرات التكنولوجية لمهاجمة شبكات البيانات، ولكن هناك طريقة أخرى للدخول إلى المنظمات والشبكات، وهي الاستفادة من الضعف البشري! يُعرف ذلك باسم الهندسة الاجتماعية، والتي تنطوي على خداع شخص ما للكشف عن المعلومات أو تمكين الوصول إلى شبكات البيانات.
يمكن مثلًا للمتطفل أن يتظاهر بأنه من فريق مكتب مساعدة تكنولوجيا المعلومات ويطلب من المستخدمين تقديم بعض المعلومات الشخصية مثل اسم المستخدم وكلمة المرور. من المثير للدهشة عدد الأشخاص الذين لا يترددون في التطوع بإعطاء تلك المعلومات، خاصة إذا كان يبدو أنها مطلوبة من قبل وكيل شرعي!
الهندسة الاجتماعية ببساطة هي استخدام الخداع للتلاعب بالأفراد لتمكين الوصول إلى المعلومات أو البيانات أو إفشائها.
أنواع هجمات الهندسة الاجتماعية
توجد أنواع مختلفة من هجمات الهندسة الاجتماعية، لذلك من المهم فهم تعريف الهندسة الاجتماعية وكذلك آلية عملها. بمجرد فهم طريقة عمل هجمات الهندسة الاجتماعية الأساسية، يصبح اكتشافها أمرًا سهلًا للغاية.
الاصطياد
الاصطياد يتضمن صنع فخ، مثل وحدة تخزين USB محملة ببرامج ضارة حتى يأتي شخص فضولي يرغب في رؤية محتويات وحدة التخزين ويضعه في محرك أقراص USB، مما يؤدي إلى اختراق النظام. في الواقع، توجد وحدة تخزين USB يمكنها إتلاف أجهزة الكمبيوتر من خلال شحن نفسها بالطاقة من محرك أقراص USB ثم إطلاقها في موجة طاقة شرسة، مما يؤدي إلى إتلاف الجهاز الذي تم إدخالها فيه (يبلغ ثمن وحدة تخزين USB هذه 54 دولارًا فقط، أي ما يعادل 200 ريال سعودي أو 850 جنيه مصري تقريبًا).
الذريعة
يستخدم هذا الهجوم ذريعة لجذب الانتباه ودفع الضحية إلى تقديم المعلومات. على سبيل المثال: قد تبدأ دراسة استقصائية على الإنترنت تبدو بريئة تمامًا ثم تطلب تفاصيل الحساب المصرفي، أو قد يظهر شخص معه حافظة ويقول إنه يقوم بمراجعة الأنظمة الداخلية، إلا أنه قد لا يكون صادقًا وهدفه الوحيد سرقة معلومات قيّمة منك.
التصيّد الاحتيالي
تتضمن هجمات التصيّد الاحتيالي رسالة بريد إلكتروني أو رسالة نصية تتظاهر بأنها قادمة من مصدر موثوق به، لنكها تطلب معلومات غير ضرورية. أحد الأنواع المعروفة يتمثل في رسالة البريد الإلكتروني التي تزعم أنها من بنك يريد من عملائه "تأكيد" معلومات الأمان الخاصة بهم ومن ثم توجيههم إلى موقع مزيف يتم فيه تسجيل بيانات اعتماد تسجيل دخولهم. يستهدف "التصيّد الاحتيالي الموجه" شخصًا واحدًا داخل الشركة ويرسل بريدًا إلكترونيًا يزعم أنه يأتي من مسؤول تنفيذي رفيع المستوى في الشركة يطلب معلومات سرية.
التصيّد الاحتيالي الصوتي وعبر الرسائل النصية
تُعد هذه الأنواع من هجمات الهندسة الاجتماعية أنواعًا مختلفة من التصيّد الاحتيالي: "التصيّد الاحتيالي الصوتي" وهو ما يعني ببساطة الاتصال وطلب البيانات. يمكن للمجرم في هذا النوع انتحال صفة عامل زميل لك. على سبيل المثال: يمكن للمحتال التظاهر بأنه من مكتب مساعدة قسم تكنولوجيا المعلومات وطلب معلومات تسجيل الدخول. والتصيّد الاحتيالي عبر الرسائل النصية يستخدم رسائل نصية قصيرة بدلًا من ذلك لمحاولة الحصول على هذه المعلومات.
المقايضة
يقولون "التبادل العادل ليس سرقة" ولكنه في هذه الحالة سرقة! تعتمد العديد من هجمات الهندسة الاجتماعية على إقناع الضحايا بأنهم يحصلون على شيء مقابل البيانات أو صلاحية الوصول التي يقدمونها. يعمل برنامج "Scareware" مثلًا بهذه الطريقة، حيث إنه يعد مستخدمي الكمبيوتر بتحديث للتعامل مع مشكلة أمنية عاجلة في حين أن برنامج Scareware في الواقع نفسه هو التهديد الأمني الضار.
إرسال رسائل عشوائية إلى جهات الاتصال واختراق البريد الإلكتروني
ينطوي هذا النوع من الهجمات على اختراق البريد الإلكتروني للفرد أو حساباته على مواقع التواصل الاجتماعي لاكتساب صلاحية الوصول إلى جهات الاتصال. قد يتم إخبار جهات الاتصال بأن الشخص قد تعرض للسرقة وفقد جميع بطاقاته الائتمانية ثم يطلب تحويل الأموال إلى أحد حسابات تحويل الأموال، أو قد يرسل "صديق" مقطع فيديو "لا تفوّت مشاهدته" والذي يرتبط بالبرنامج الضار أو بفيروس حصان طروادة يسجل ضغطات لوحة المفاتيح.
الزراعة مقابل الصيد
وأخيرًا، انتبه إلى أن بعض هجمات الهندسة الاجتماعية تكون أكثر تطورًا. معظم الطرق البسيطة التي وصفناها أعلاه مجرد شكل من أشكال "الصيد" حيث تعتمد في الأساس على الدخول وحصد المعلومات والخروج.
لكن هناك بعض أنواع هجمات الهندسة الاجتماعية التي تتضمن تكوين علاقة مع الهدف لاستخراج مزيد من المعلومات على مدار فترة زمنية أطول. يُعرف هذا باسم "الزراعة" وهو أكثر خطورة بالنسبة للمهاجم حيث تكون احتمالية اكتشافه أكبر، ولكن إذا نجح تسلله، فيمكنه الحصول على معلومات أكثر.
كيفية تجنب هجمات الهندسة الاجتماعية
من الصعب مواجهة هجمات الهندسة الاجتماعية على وجه الخصوص لأنها مصممة صراحةً للعب على الخصائص البشرية الطبيعية، مثل الفضول واحترام السلطة والرغبة في مساعدة الأصدقاء. يوجد عدد من النصائح التي يمكن أن تساعد في اكتشاف هجمات الهندسة الاجتماعية…
تحقق من المصدر
توقف للحظة للتفكير في مصدر الاتصالات، لا تثق بها بشكل أعمى. وجدت وحدة تخزين USB على مكتبك دون أن تعرف ماذا تكون؟ تلقيت مكالمة هاتفية مفاجئة تقول إنك ورثت 5 ملايين دولار؟ تلقيت رسالة بريد إلكتروني من رئيسك التنفيذي تطلب الكثير من المعلومات عن الموظفين الأفراد؟ يبدو كل ذلك مشبوهًا ويجب التعامل معه على هذا النحو.
إن التحقق من المصدر ليس أمرًا صعبًا. على سبيل المثال، في حالة رسائل البريد الإلكتروني، انظر إلى الجزء العلوي من الرسالة وتحقق من الرسائل الصالحة الواردة من نفس المرسل. انظر إلى وجهة الروابط - من السهل اكتشاف الارتباطات التشعبية الانتحالية بمجرد تمرير مؤشر الماوس فوقها (لا تنقر فوق الارتباط!) تحقق من التهجئة: تمتلك البنوك فرقًا كاملة من الأشخاص المؤهلين المكرسين لعمل مراسلات مع العملاء، لذا فإن البريد الإلكتروني الذي يحتوي على أخطاء صارخة يُحتمل أن يكون مزيفًا.
إذا راودك شك، فانتقل إلى الموقع الرسمي واتصل بأحد الوكلاء المعتمدين، حيث سيتمكن من تأكيد ما إذا كان البريد الإلكتروني أو الرسالة رسميين أم مزيفين.
ماذا يعرفون؟
ألا يحتوي المصدر على معلومات تتوقعها منهم، مثل اسمك بالكامل، وما إلى ذلك؟ تذكر: إذا اتصل بك أحد البنوك، فيجب أن تكون لديه كل هذه البيانات وسيطرح دائمًا أسئلة أمنية قبل السماح لك بإجراء تغييرات على حسابك. إذا لم يفعل ذلك، فإن فرص أن تكون رسالة البريد الإلكتروني/المكالمة/الرسالة مزيفة أعلى بكثير، ويجب أن تتوخى الحذر.
اكسر الحلقة
تعتمد الهندسة الاجتماعية غالبًا على الشعور بالعجلة. حيث يأمل المهاجمون ألا تفكر أهدافهم كثيرًا فيما يحدث. لذا، مجرد قضاء بعض الوقت في التفكير يمكن أن يردع هذه الهجمات أو يظهر لهم حقيقتها، وهي أنها مزيفة.
اتصل بالرقم الرسمي أو انتقل إلى عنوان URL للموقع الإلكتروني الرسمي، بدلًا من إعطاء البيانات على الهاتف أو النقر على أحد الروابط. استخدم طريقة اتصال مختلفة للتحقق من مصداقية المصدر. فمثلًا إذا تلقيت بريدًا إلكترونيًا من صديق يطلب منك تحويل أموال، فراسله على هاتفه المحمول أو اتصل به للتحقق مما إذا كان هو المرسل بالفعل.
طلب الهوية
إن إحدى أسهل هجمات الهندسة الاجتماعية هو تجاوز الأمن للدخول إلى أحد المباني من خلال حمل صندوق كبير أو مجموعة من الملفات. فعلى كل حال سيقوم فاعل خير بفتح الباب. لا تقع في هذا الفخ. اطلب دائمًا الاطلاع على الهوية.
ينطبق الأمر نفسه على طرق أخرى. يجب أن يكون التحقق من اسم ورقم المتصل أو طالب المعلومات، "مَن الشخص الذي تبلغه؟" ردًا أساسيًا على طلبات المعلومات. ثم تحقق ببساطة من خريطة المنظمة أو دليل الهاتف قبل إعطاء أي معلومات خاصة أو بيانات شخصية. إذا كنت لا تعرف الشخص الذي يطلب المعلومات وما زلت لا تشعر بالراحة عند مشاركة المعلومات، فأخبره أنك بحاجة إلى مراجعة الأمر مرة أخرى مع شخص آخر، وسترد عليه.
استخدم مرشحًا جيدًا للرسائل العشوائية
إذا كان برنامج البريد الإلكتروني الخاص بك لا يقوم بتصفية عدد كافٍ من الرسائل العشوائية أو تمييز رسائل البريد الإلكتروني على أنها مريبة، فقد يكون عليك تغيير الإعدادات. تستخدم مرشحات الرسائل العشوائية الجيدة أنواعًا مختلفة من المعلومات لتحديد رسائل البريد الإلكتروني التي يُحتمل أن تكون عشوائية. فقد تكتشف الملفات أو الروابط المشبوهة، أو قد تحتوي على قائمة سوداء بعناوين IP أو معرفات المرسل المشبوهة، أو قد تحلل محتوى الرسائل لتحديد الرسائل التي يُحتمل أن تكون مزيفة.
هل هذا واقعي؟
تعمل بعض هجمات الهندسة الاجتماعية من خلال محاولة خداعك لعدم التحليل والتأني لتقييم ما إذا كان الموقف واقعيًا يمكن أن يساعد في اكتشاف العديد من الهجمات. على سبيل المثال:
- إذا كان صديقك عالقًا حقًا في الصين ولا يستطيع الخروج، فهل سيرسل إليك بريدًا إلكترونيًا أم سيتصل بك/يراسلك أيضًا؟
- هل من المحتمل أن يكون أمير نيجيري قد ترك لك مليون دولار في وصيته؟
- هل سيتصل البنك للسؤال عن تفاصيل حسابك؟ في الواقع، تشير العديد من البنوك إلى أنها ترسل رسائل بريد إلكتروني إلى عملائها أو تتحدث معهم عبر الهاتف. لذا تحقق من الأمر إذا لم تكن متأكدًا.
لا تتسرع
كن حذرًا بشكل خاص عندما تستشعر الإلحاح في المحادثة. هذه طريقة قياسية للجهات الخبيثة لإيقاف أهدافها عن التفكير في المشكلة. إذا كنت تشعر بالضغط، فتأنَّ في الأمر كله. قل إنك تحتاج إلى وقت للحصول على المعلومات، أو أن عليك أن تسأل مديرك، أو أنك لا تمتلك التفاصيل الصحيحة الآن؛ أي شيء لتعطيل الأمور وإعطاء نفسك الوقت للتفكير.
في معظم الأحيان، لن يغامر مجرمو الهندسة الاجتماعية إذا أدركوا أنهم فقدوا عنصر المفاجأة.
قم بتأمين أجهزتك
من المهم أيضًا تأمين الأجهزة بحيث تكون هجمات الهندسة الاجتماعية - حتى في حالة نجاحها - محدودة فيما يمكنها تحقيقه. لا تختلف المبادئ الأساسية سواء كان الهدف هاتفًا ذكيًا أو شبكة منزلية أساسية أو نظامًا مؤسسيًا كبيرًا.
- احرص على التحديث الدائم لبرامج مكافحة البرامج الضارة وبرامج مكافحة الفيروسات. حيث يمكن أن يساعد ذلك في منع البرامج الضارة التي تأتي من خلال رسائل التصيّد الاحتيالي عبر البريد الإلكتروني من تثبيت نفسها. استخدم حزمة مثل Kaspersky's Antivirus للحفاظ على أمان شبكتك وبياناتك.
- احرص على التحديث الدائم للبرامج والبرامج الثابتة بانتظام، وخاصة تصحيحات الأمان.
- لا تشغل هاتفك أثناء فتح الوصول إلى الجذر، ولا تستخدم شبكتك أو جهاز الكمبيوتر في وضع المسؤول. حتى إذا حصل هجوم هندسة اجتماعية على كلمة مرور حساب "المستخدم" الخاص بك، فلن يسمح لهم ذلك بإعادة تكوين نظامك أو تثبيت البرنامج عليه.
- لا تستخدم نفس كلمة المرور لحسابات مختلفة. إذا حصل هجوم هندسة اجتماعية على كلمة مرور حسابك على وسائل التواصل الاجتماعي، فأنت لا تريد أن يتمكن المهاجمون من فتح جميع حساباتك الأخرى أيضًا.
- بالنسبة للحسابات المهمة، استخدم المصادقة ثنائية العوامل بحيث لا يكفي مجرد الحصول على كلمة مرورك للوصول إلى الحساب. قد يتضمن ذلك التعرف على الصوت، أو استخدام جهاز تأمين، أو بصمات الأصابع، أو رموز التأكيد عبر الرسائل القصيرة.
- إذا كنت قد أفصحت للتو عن كلمة مرور أحد حساباتك وتعتقد أنك قد تكون تعرضت لهجوم هندسة اجتماعية، فغير كلمة المرور على الفور.
- ابقَ على اطلاع حول مخاطر الأمن السيبراني الجديدة من خلال القراءة المنتظمة لمركز مواردنا. ستعرف عندئذٍ كل شيء عن الطرق الجديدة للهجمات عند ظهورها، مما يقلل احتمال وقوعك كضحية.
فكر في بصمتك الرقمية
قد ترغب أيضًا في التفكير في بصمتك الرقمية. يمكن أن يكون الإفراط في مشاركة المعلومات الشخصية عبر الإنترنت، مثل وسائل التواصل الاجتماعي أمرًا مفيدًا للمهاجمين. على سبيل المثال، يوجد لدى العديد من البنوك "اسم حيوانك الأليف الأول" كسؤال أمني محتمل - هل شاركت هذا الاسم على Facebook؟ إذا كان الأمر كذلك، فقد تكون عرضة للخطر! بالإضافة إلى ذلك، ستحاول بعض هجمات الهندسة الاجتماعية اكتساب المصداقية من خلال الإشارة إلى الأحداث الأخيرة التي ربما تكون قد شاركتها على شبكات التواصل الاجتماعي.
نوصيك بتحويل إعدادات وسائل التواصل الاجتماعي إلى "الأصدقاء فقط" وأن تكون حذرًا فيما تشاركه. لا حاجة للذعر، بل كل ما عليك هو الحذر.
فكر في جوانب حياتك الأخرى التي تشاركها عبر الإنترنت. إذا كان لديك سيرة ذاتية على الإنترنت، على سبيل المثال، فيجب أن تفكر في تنقيح عنوانك ورقم هاتفك وتاريخ ميلادك، وكل المعلومات المفيدة لأي شخص يخطط لشن هجوم هندسة اجتماعية. في حين أن بعض هجمات الهندسة الاجتماعية لا تدرس الضحية بعمق، إلا أن بعضها الآخر يكون مُحضَّرًا بعناية، فلتحرص على تقليل المعلومات التي يمكن أن يستغلها هؤلاء المجرمون.
تُعد هجمات الهندسة الاجتماعية في غاية الخطورة لأنها تأخذ مواقف طبيعية تمامًا وتتلاعب بها لأغراض ضارة. إلا أن بإمكانك تقليل احتمالية وقوعك كضحية من خلال كونك على دراية كاملة بطريقة عملها، واتخاذ الاحتياطات الأساسية.
روابط ذات صلة
كيفية اختراق البرامج الضارة لأجهزة الكمبيوتر وأنظمة تكنولوجيا المعلومات