عندما نفكر في الأمن الإلكتروني، يفكر معظمنا في الدفاع عن نفسه ضد المخترقين الذين يستخدمون الثغرات التكنولوجية لمهاجمة شبكات البيانات، ولكن هناك طريقة أخرى للدخول إلى المنظمات والشبكات، وهي الاستفادة من الضعف البشري! يُعرف ذلك باسم الهندسة الاجتماعية، والتي تنطوي على خداع شخص ما للكشف عن المعلومات أو تمكين الوصول إلى شبكات البيانات.
يمكن مثلًا للمتطفل أن يتظاهر بأنه من فريق مكتب مساعدة تكنولوجيا المعلومات ويطلب من المستخدمين تقديم بعض المعلومات الشخصية مثل اسم المستخدم وكلمة المرور. من المثير للدهشة عدد الأشخاص الذين لا يترددون في التطوع بإعطاء تلك المعلومات، خاصة إذا كان يبدو أنها مطلوبة من قبل وكيل شرعي!
الهندسة الاجتماعية ببساطة هي استخدام الخداع للتلاعب بالأفراد لتمكين الوصول إلى المعلومات أو البيانات أو إفشائها.
توجد أنواع مختلفة من هجمات الهندسة الاجتماعية، لذلك من المهم فهم تعريف الهندسة الاجتماعية وكذلك آلية عملها. بمجرد فهم طريقة عمل هجمات الهندسة الاجتماعية الأساسية، يصبح اكتشافها أمرًا سهلًا للغاية.
الاصطياد يتضمن صنع فخ، مثل وحدة تخزين USB محملة ببرامج ضارة حتى يأتي شخص فضولي يرغب في رؤية محتويات وحدة التخزين ويضعه في محرك أقراص USB، مما يؤدي إلى اختراق النظام. في الواقع، توجد وحدة تخزين USB يمكنها إتلاف أجهزة الكمبيوتر من خلال شحن نفسها بالطاقة من محرك أقراص USB ثم إطلاقها في موجة طاقة شرسة، مما يؤدي إلى إتلاف الجهاز الذي تم إدخالها فيه (يبلغ ثمن وحدة تخزين USB هذه 54 دولارًا فقط، أي ما يعادل 200 ريال سعودي أو 850 جنيه مصري تقريبًا).
يستخدم هذا الهجوم ذريعة لجذب الانتباه ودفع الضحية إلى تقديم المعلومات. على سبيل المثال: قد تبدأ دراسة استقصائية على الإنترنت تبدو بريئة تمامًا ثم تطلب تفاصيل الحساب المصرفي، أو قد يظهر شخص معه حافظة ويقول إنه يقوم بمراجعة الأنظمة الداخلية، إلا أنه قد لا يكون صادقًا وهدفه الوحيد سرقة معلومات قيّمة منك.
تتضمن هجمات التصيّد الاحتيالي رسالة بريد إلكتروني أو رسالة نصية تتظاهر بأنها قادمة من مصدر موثوق به، لنكها تطلب معلومات غير ضرورية. أحد الأنواع المعروفة يتمثل في رسالة البريد الإلكتروني التي تزعم أنها من بنك يريد من عملائه "تأكيد" معلومات الأمان الخاصة بهم ومن ثم توجيههم إلى موقع مزيف يتم فيه تسجيل بيانات اعتماد تسجيل دخولهم. يستهدف "التصيّد الاحتيالي الموجه" شخصًا واحدًا داخل الشركة ويرسل بريدًا إلكترونيًا يزعم أنه يأتي من مسؤول تنفيذي رفيع المستوى في الشركة يطلب معلومات سرية.
تُعد هذه الأنواع من هجمات الهندسة الاجتماعية أنواعًا مختلفة من التصيّد الاحتيالي: "التصيّد الاحتيالي الصوتي" وهو ما يعني ببساطة الاتصال وطلب البيانات. يمكن للمجرم في هذا النوع انتحال صفة عامل زميل لك. على سبيل المثال: يمكن للمحتال التظاهر بأنه من مكتب مساعدة قسم تكنولوجيا المعلومات وطلب معلومات تسجيل الدخول. والتصيّد الاحتيالي عبر الرسائل النصية يستخدم رسائل نصية قصيرة بدلًا من ذلك لمحاولة الحصول على هذه المعلومات.
يقولون "التبادل العادل ليس سرقة" ولكنه في هذه الحالة سرقة! تعتمد العديد من هجمات الهندسة الاجتماعية على إقناع الضحايا بأنهم يحصلون على شيء مقابل البيانات أو صلاحية الوصول التي يقدمونها. يعمل برنامج "Scareware" مثلًا بهذه الطريقة، حيث إنه يعد مستخدمي الكمبيوتر بتحديث للتعامل مع مشكلة أمنية عاجلة في حين أن برنامج Scareware في الواقع نفسه هو التهديد الأمني الضار.
ينطوي هذا النوع من الهجمات على اختراق البريد الإلكتروني للفرد أو حساباته على مواقع التواصل الاجتماعي لاكتساب صلاحية الوصول إلى جهات الاتصال. قد يتم إخبار جهات الاتصال بأن الشخص قد تعرض للسرقة وفقد جميع بطاقاته الائتمانية ثم يطلب تحويل الأموال إلى أحد حسابات تحويل الأموال، أو قد يرسل "صديق" مقطع فيديو "لا تفوّت مشاهدته" والذي يرتبط بالبرنامج الضار أو بفيروس حصان طروادة يسجل ضغطات لوحة المفاتيح.
وأخيرًا، انتبه إلى أن بعض هجمات الهندسة الاجتماعية تكون أكثر تطورًا. معظم الطرق البسيطة التي وصفناها أعلاه مجرد شكل من أشكال "الصيد" حيث تعتمد في الأساس على الدخول وحصد المعلومات والخروج.
لكن هناك بعض أنواع هجمات الهندسة الاجتماعية التي تتضمن تكوين علاقة مع الهدف لاستخراج مزيد من المعلومات على مدار فترة زمنية أطول. يُعرف هذا باسم "الزراعة" وهو أكثر خطورة بالنسبة للمهاجم حيث تكون احتمالية اكتشافه أكبر، ولكن إذا نجح تسلله، فيمكنه الحصول على معلومات أكثر.
من الصعب مواجهة هجمات الهندسة الاجتماعية على وجه الخصوص لأنها مصممة صراحةً للعب على الخصائص البشرية الطبيعية، مثل الفضول واحترام السلطة والرغبة في مساعدة الأصدقاء. يوجد عدد من النصائح التي يمكن أن تساعد في اكتشاف هجمات الهندسة الاجتماعية…
توقف للحظة للتفكير في مصدر الاتصالات، لا تثق بها بشكل أعمى. وجدت وحدة تخزين USB على مكتبك دون أن تعرف ماذا تكون؟ تلقيت مكالمة هاتفية مفاجئة تقول إنك ورثت 5 ملايين دولار؟ تلقيت رسالة بريد إلكتروني من رئيسك التنفيذي تطلب الكثير من المعلومات عن الموظفين الأفراد؟ يبدو كل ذلك مشبوهًا ويجب التعامل معه على هذا النحو.
إن التحقق من المصدر ليس أمرًا صعبًا. على سبيل المثال، في حالة رسائل البريد الإلكتروني، انظر إلى الجزء العلوي من الرسالة وتحقق من الرسائل الصالحة الواردة من نفس المرسل. انظر إلى وجهة الروابط - من السهل اكتشاف الارتباطات التشعبية الانتحالية بمجرد تمرير مؤشر الماوس فوقها (لا تنقر فوق الارتباط!) تحقق من التهجئة: تمتلك البنوك فرقًا كاملة من الأشخاص المؤهلين المكرسين لعمل مراسلات مع العملاء، لذا فإن البريد الإلكتروني الذي يحتوي على أخطاء صارخة يُحتمل أن يكون مزيفًا.
إذا راودك شك، فانتقل إلى الموقع الرسمي واتصل بأحد الوكلاء المعتمدين، حيث سيتمكن من تأكيد ما إذا كان البريد الإلكتروني أو الرسالة رسميين أم مزيفين.
ألا يحتوي المصدر على معلومات تتوقعها منهم، مثل اسمك بالكامل، وما إلى ذلك؟ تذكر: إذا اتصل بك أحد البنوك، فيجب أن تكون لديه كل هذه البيانات وسيطرح دائمًا أسئلة أمنية قبل السماح لك بإجراء تغييرات على حسابك. إذا لم يفعل ذلك، فإن فرص أن تكون رسالة البريد الإلكتروني/المكالمة/الرسالة مزيفة أعلى بكثير، ويجب أن تتوخى الحذر.
تعتمد الهندسة الاجتماعية غالبًا على الشعور بالعجلة. حيث يأمل المهاجمون ألا تفكر أهدافهم كثيرًا فيما يحدث. لذا، مجرد قضاء بعض الوقت في التفكير يمكن أن يردع هذه الهجمات أو يظهر لهم حقيقتها، وهي أنها مزيفة.
اتصل بالرقم الرسمي أو انتقل إلى عنوان URL للموقع الإلكتروني الرسمي، بدلًا من إعطاء البيانات على الهاتف أو النقر على أحد الروابط. استخدم طريقة اتصال مختلفة للتحقق من مصداقية المصدر. فمثلًا إذا تلقيت بريدًا إلكترونيًا من صديق يطلب منك تحويل أموال، فراسله على هاتفه المحمول أو اتصل به للتحقق مما إذا كان هو المرسل بالفعل.
إن إحدى أسهل هجمات الهندسة الاجتماعية هو تجاوز الأمن للدخول إلى أحد المباني من خلال حمل صندوق كبير أو مجموعة من الملفات. فعلى كل حال سيقوم فاعل خير بفتح الباب. لا تقع في هذا الفخ. اطلب دائمًا الاطلاع على الهوية.
ينطبق الأمر نفسه على طرق أخرى. يجب أن يكون التحقق من اسم ورقم المتصل أو طالب المعلومات، "مَن الشخص الذي تبلغه؟" ردًا أساسيًا على طلبات المعلومات. ثم تحقق ببساطة من خريطة المنظمة أو دليل الهاتف قبل إعطاء أي معلومات خاصة أو بيانات شخصية. إذا كنت لا تعرف الشخص الذي يطلب المعلومات وما زلت لا تشعر بالراحة عند مشاركة المعلومات، فأخبره أنك بحاجة إلى مراجعة الأمر مرة أخرى مع شخص آخر، وسترد عليه.
إذا كان برنامج البريد الإلكتروني الخاص بك لا يقوم بتصفية عدد كافٍ من الرسائل العشوائية أو تمييز رسائل البريد الإلكتروني على أنها مريبة، فقد يكون عليك تغيير الإعدادات. تستخدم مرشحات الرسائل العشوائية الجيدة أنواعًا مختلفة من المعلومات لتحديد رسائل البريد الإلكتروني التي يُحتمل أن تكون عشوائية. فقد تكتشف الملفات أو الروابط المشبوهة، أو قد تحتوي على قائمة سوداء بعناوين IP أو معرفات المرسل المشبوهة، أو قد تحلل محتوى الرسائل لتحديد الرسائل التي يُحتمل أن تكون مزيفة.
تعمل بعض هجمات الهندسة الاجتماعية من خلال محاولة خداعك لعدم التحليل والتأني لتقييم ما إذا كان الموقف واقعيًا يمكن أن يساعد في اكتشاف العديد من الهجمات. على سبيل المثال:
كن حذرًا بشكل خاص عندما تستشعر الإلحاح في المحادثة. هذه طريقة قياسية للجهات الخبيثة لإيقاف أهدافها عن التفكير في المشكلة. إذا كنت تشعر بالضغط، فتأنَّ في الأمر كله. قل إنك تحتاج إلى وقت للحصول على المعلومات، أو أن عليك أن تسأل مديرك، أو أنك لا تمتلك التفاصيل الصحيحة الآن؛ أي شيء لتعطيل الأمور وإعطاء نفسك الوقت للتفكير.
في معظم الأحيان، لن يغامر مجرمو الهندسة الاجتماعية إذا أدركوا أنهم فقدوا عنصر المفاجأة.
من المهم أيضًا تأمين الأجهزة بحيث تكون هجمات الهندسة الاجتماعية - حتى في حالة نجاحها - محدودة فيما يمكنها تحقيقه. لا تختلف المبادئ الأساسية سواء كان الهدف هاتفًا ذكيًا أو شبكة منزلية أساسية أو نظامًا مؤسسيًا كبيرًا.
قد ترغب أيضًا في التفكير في بصمتك الرقمية. يمكن أن يكون الإفراط في مشاركة المعلومات الشخصية عبر الإنترنت، مثل وسائل التواصل الاجتماعي أمرًا مفيدًا للمهاجمين. على سبيل المثال، يوجد لدى العديد من البنوك "اسم حيوانك الأليف الأول" كسؤال أمني محتمل - هل شاركت هذا الاسم على Facebook؟ إذا كان الأمر كذلك، فقد تكون عرضة للخطر! بالإضافة إلى ذلك، ستحاول بعض هجمات الهندسة الاجتماعية اكتساب المصداقية من خلال الإشارة إلى الأحداث الأخيرة التي ربما تكون قد شاركتها على شبكات التواصل الاجتماعي.
نوصيك بتحويل إعدادات وسائل التواصل الاجتماعي إلى "الأصدقاء فقط" وأن تكون حذرًا فيما تشاركه. لا حاجة للذعر، بل كل ما عليك هو الحذر.
فكر في جوانب حياتك الأخرى التي تشاركها عبر الإنترنت. إذا كان لديك سيرة ذاتية على الإنترنت، على سبيل المثال، فيجب أن تفكر في تنقيح عنوانك ورقم هاتفك وتاريخ ميلادك، وكل المعلومات المفيدة لأي شخص يخطط لشن هجوم هندسة اجتماعية. في حين أن بعض هجمات الهندسة الاجتماعية لا تدرس الضحية بعمق، إلا أن بعضها الآخر يكون مُحضَّرًا بعناية، فلتحرص على تقليل المعلومات التي يمكن أن يستغلها هؤلاء المجرمون.
تُعد هجمات الهندسة الاجتماعية في غاية الخطورة لأنها تأخذ مواقف طبيعية تمامًا وتتلاعب بها لأغراض ضارة. إلا أن بإمكانك تقليل احتمالية وقوعك كضحية من خلال كونك على دراية كاملة بطريقة عملها، واتخاذ الاحتياطات الأساسية.
روابط ذات صلة
كيفية اختراق البرامج الضارة لأجهزة الكمبيوتر وأنظمة تكنولوجيا المعلومات