مفهوم الهندسة الاجتماعية:
الهندسة الاجتماعية هي تقنية تلاعب تعتمدُ الإقناعَ وكيفية تفكير المستخدم وتصرفاته، وتستغل الخطأ الذي يرتكبه البشر وفقدان المعرفة لديهم للوصول إلى معلومات خاصة أو أشياء ثمينة؛ فمثلاً تُغري حِيَلُ “القرصنة البشرية” في الجرائم الإلكترونية المستخدمين الواثقين ليكشفوا بياناتهم، كما تنشر إصابات بالبرامج الضارة، ومن الممكن حدوث هجمات الهندسة الاجتماعية من خلال الإنترنت أو شخصياً لتحقيق أهدافها المنشودة.
هدف الهندسة الاجتماعية:
يهدف مهاجمو الهندسة الاجتماعية أساساً إلى هدفين أساسيين، وهما:
- التخريب: أي تعطيل البيانات أو إتلافها؛ لإحداث ضرر ما أو إزعاج.
- السرقة: أي بهدف الحصول على الأشياء الثمينة؛ كالمعلومات، أو صلاحيات الوصول، أو المال.
يمكن فهم مفهوم الهندسة الاجتماعية على نحو أوسع بمعرفة كيفية عملها تماماً.
كيف تعمل الهندسة الاجتماعية؟
تعتمد الهندسة الاجتماعية عموماً على التواصل بين المهاجمين والضحايا؛ بهدف إقناعهم وكسب ثقتهم؛ فيقلُّ حذرهم، ثمَّ تشجيعهم على اتخاذ إجراءات غير آمنة مثل إفشاء المعلومات الشخصية أو الضغط على روابط أو فتح مرفقات قد تكون ضارة؛ بمعنى آخر يعمل المهاجم على تحفيز المستخدم بدلاً من استخدام أساليب القوة لخرق بياناته، وتكون دورة هجوم الهندسة الاجتماعية وفق الخطوات الآتية:
- الاستعداد للهجوم من خلال جمع معلومات أساسية يدعي المجرم أنَّها معلوماته أو تخصُّ مجموعة هو عنصر فيها.
- التسلُّلْ من خلال إقامة علاقة مع الضحية أو بدء التفاعل معه لبناء الثقة.
- بمجرد أن تنشأ الثقة يستغِلُّ المجرمُ الضحيةَ لتعزيز هجومه.
- فَكُّ الارتباط بعد أن يتخذ المستخدم الإجراء المطلوب.
من المحتمل أن تحصل تلك العملية في رسالة بريد إلكتروني واحدة أو خلال عدة أشهر في سلسلة من محادثات السوشيال ميديا، كما من الممكن أن يحدث تفاعلاً وجهاً لوجه؛ لكنَّها تنتهي بإجراء تقوم به الضحية، مثل مشاركة معلومات خاصة أو التعرُّض لبرامج ضارة.
سمات هجمات الهندسة الاجتماعية:
كما أشرنا تعتمد هجمات الهندسة الاجتماعية استخدامَ المهاجم أسلوب الإقناع والثقة، وفي معظم الهجمات ستجد نفسك تتعرض للتضليل من خلال السلوكات الآتية:
1. زيادة المشاعر:
حيث يُعَدُّ التلاعب العاطفي للمهاجمين هو الأساس، وأنت ستكون أكثر عرضة لاتخاذ إجراءات غير عقلانية أو خَطرِة عندما تكون في حالة عاطفية معينة، وتستخدم كافة المشاعر على نحو متساوٍ لإقناع المستخدم.
شاهد بالفيديو: 10 نصائح تحفظ خصوصيتك على الإنترنت
2. الاستعجال:
تُعَدُّ الفرص أو الطلبات الحساسة للوقت وسيلة أخرى يعتمدها المهاجم؛ إذ من الممكن أن يكون لديك دافع للتنازل عن نفسك في سبيل حل مشكلة خطيرة تحتاج إلى اهتمام مباشر، كما من الممكن أن تُعرَض عليك جائزة أو مكافأة قد تخسرها في حال لم تتصرف بسرعة.
3. الثقة:
تُعَدُّ المصداقية أمراً هاماً جدَّاً وضرورياً لهجوم الهندسة الاجتماعية، فالمهاجم يكذب عليك في النهاية؛ لذا أجرى عنك بحثاً كافياً كي يتمكن من صياغة قصة يسهل تصديقها.
أنواع هجمات الهندسة الاجتماعية:
تحتوي أنواع هجمات الأمن السيبراني على أنواع الهندسة الاجتماعية، فالرسائل المخادعة عبر البريد الإلكتروني والفيروسات التقليدية مليئة بالإيحاءات الاجتماعية، كما من الممكن أن تؤثر الهندسة الاجتماعية فيك رقمياً من خلال هجمات أجهزة الكمبيوتر، أو تهديد شخصي، وهنا بعض الأساليب الشائعة التي يستخدمها مهاجمو الهندسة الاجتماعية:
1. هجمات التصيد الاحتيالية:
يتظاهر المهاجم بأنَّه من مؤسسة موثوقة أو شخص موثوق به ليحاول إقناع المستخدم ليكشف عن البيانات الشخصية والأشياء الثمينة، وهو نوعين: التصيد غير المرغوب فيه، أو التصيد الجماعي، وكل من هذه الهجمات غير شخصية؛ إنَّما تحاول القبض على أي شخص مطمئن، كما توجد عدة أنواع؛ كالتصيد بالرمح، وبالتبعية، وصيد الحيتان، واستخدام المعلومات الشخصية لاستهداف مستخدمين معينين.
تستهدف هجمات صيد الحيتان أهدافاً عالية القيمة كالمشاهير والإدارة العليا وكبار المسؤولين الحكوميين؛ إمَّا من خلال الاتصال المباشر معهم أو من خلال نموذج موقع ويب مزيف؛ لذا أي شيء تشاركه ينتقل مباشرةً إلى جيب المحتال، كما قد يُقنِعك بتحميل برامج ضارة تحتوي على المرحلة التالية من هجوم التصيد الاحتيالي، وتوجد عدة أساليب للتصيد الاحتيالي.
أمَّا مكالمات التصيد الصوتي فهي أنظمة رسائل آلية تسجل كافة مدخلاتك، كما قد يتحدث معك شخص لزيادة الثقة والإلحاح، أو قد تتضمن الرسائل القصيرة (SMS) أو رسائل السوشيال ميديا رابطاً أو المتابعة عبر بريد إلكتروني أو رقم هاتف احتيالي.
2. هجمات الاصطياد:
يتضمن الهجوم عادةً إصابتك ببرامج ضارة، كما يشمل طرائق الاصطياد عدة طرائق كما يأتي:
- محركات (USB) المتروكة في الأماكن العامة كالمكتبات ومواقف السيارات.
- مرفقات البريد الإلكتروني مثل تفاصيل عن عرض مجاني أو برنامج مجاني احتيالي.
3. هجمات الخرق الجسدي:
تتضمن الانتهاكات الجسدية ظهور المهاجمين شخصياً والتظاهر بأنَّهم شخص شرعي؛ وهذا النوع أكثر شيوعاً في المؤسسات بما فيها الحكومات أو الشركات أو المنظمات الأخرى؛ فقد يتظاهر المهاجمون بأنَّهم ممثلون لبائع موثوق للشركة، ومن الممكن حتى أن يطرد بعض المهاجمين موظفين رداً للثأر من صاحب العمل السابق، ويكونوا ذوي هوية غامضة؛ لكنَّها قابلة للتصديق لتجنب الأسئلة، وكل ما يحتاج إليه الأمر هو القليل من البحث؛ لكنَّه ينطوي على مخاطر كثيرة.
4. هجمات التحريف:
يستخدم المحتوى السابق هوية مخادعة ذريعةً لتأسيس الثقة؛ مثلاً تُنتَحل شخصية بائع أو موظف منشأة مباشرةً، وهنا يتفاعل المهاجم مع الضحية بصورة أكثر استباقية، ثمَّ يأتي الاستغلال بعد إقناعهم بأنَّهم شرعيون.
5. هجمات Quid Pro Quo:
يشير مصطلح (Quid pro quo) إلى خدمة مقابل خدمة؛ التي تعني تبادل معلوماتك الشخصية مقابل مكافأة أو تعويض آخر، فيأتي الاستغلال من خلال إثارة حماستك لشيء ذي قيمة له استثمار لديك، ولكن يحصل المهاجم على بياناتك دون أي مكافأة.
6. هجمات انتحال DNS وتسمم ذاكرة التخزين المؤقت:
يتلاعب انتحال DNS بالمتصفح وخوادم الويب لديك للانتقال إلى مواقع الويب الضارة عند إدخال عنوان URL شرعي، وبمجرد الإصابة بهذا الاستغلال ستستمر إعادة التوجيه ما لم تُمسَح بيانات التوجيه غير الدقيقة من الأنظمة المعنية، وتصيب هجمات التسمم بذاكرة التخزين المؤقت لنظام أسماء النطاقات جهازك بإرشادات توجيه لعنوان URL الشرعي أو عنوانات URL متعددة للاتصال بمواقع الويب الاحتيالية.
7. هجمات Scareware:
Scareware هو أحد أنواع البرامج الضارة التي تُستخدَم لتخويف الضحية لاتخاذ إجراء ما، فتستخدم تحذيرات تُنذِر بالخطر؛ فتبلغ عن إصابات مزيفة بالبرامج الضارة أو تدَّعي اختراق أحد حساباتك؛ ما يجعل البرامج المخيفة تدفعك كي تشتري برنامج أمان إلكترونياً احتيالياً، أو تكشف عن تفاصيل خاصة مثل بيانات اعتماد حسابك.
8. هجمات ثقب الري:
يصيب هذا النوع صفحات الويب الشهيرة ببرامج ضارة؛ كي تؤثر في عدة مستخدمين في وقت واحد، ويتطلب تخطيطاً دقيقاً من المهاجم كي يجد نقاط الضعف في مواقع محددة.
طرائق الهندسة الاجتماعية غير العادية:
أحياناً يستخدم مجرمو الإنترنت أساليب معقدة لإكمال هجماتهم الإلكترونية، مثل:
- التصيد الاحتيالي المستند إلى الفاكس؛ إذ يتلقى عملاء أحد البنوك بريداً إلكترونياً مزيفاً يزعم أنَّه من البنك سيطلب من العميل تأكيد رموز الوصول. سابقاً لم تكن طريقة التأكيد من خلال مسارات البريد الإلكتروني المعروفة؛ بل كان يُطلَب من العميل طباعة النموذج في email، ثمَّ ملء بياناته وإرسال النموذج بالفاكس إلى المجرم.
- التوزيع التقليدي للبرامج الضارة عبر البريد؛ مثلاً استخدم مجرمو الإنترنت في اليابان خدمة التوصيل للمنازل لتوزيع الأقراص المضغوطة المصابة ببرامج تجسس طروادة، وقد سُلِّمَت الأقراص لعملاء بنك ياباني، وكانت قد سُرِقت عنوانات العملاء من قاعدة بيانات البنك.
أمثلة على الهندسة الاجتماعية:
يستخدم مُنشِئُو البرامج الضارة تقنيات الهندسة الاجتماعية ليجذبوا مستخدماً غير حذر ليفتح ملفاً أو رابط ويب مُصاباً، ومن أبرز الأمثلة على هجمات الهندسة الاجتماعية:
1. هجمات الدودة:
يهدف المجرم إلى جذب انتباه المستخدم إلى الرابط أو الملف المصاب وحثِّه على النقر عليه، وأبرز الأمثلة على هذا النوع:
دودة LoveLetter التي اتبعتها خوادم البريد الإلكتروني لعدة شركات في عام 2000، إذ تلقَّى الضحايا بريداً طُلِبَ منهم فتح رسالة الحب المرفقة، وبمجرد فتحه نسخَت الدودة نفسها إلى كافة جهات الاتصال في دفتر عنوانات الضحية.
في حين نقلَت دودة Swen نفسها كرسالة أُرسِلَت من مايكروسوفت، وادَّعت أنَّ المرفق تصحيحٌ سيُزيل نقاط الضعف في Windows.
2. هجمات شبكة (P2P):
تُستخدم شبكات P2P أيضاً لتوزيع البرامج الضارة؛ إذ يظهر فيروس حصان طروادة على شبكة P2P، ولكن يحمل اسم يجذب انتباه المستخدمين ويحثهم على تحميل الملف وتشغيله؛ مثلاً: Generator.exe، AIM & AOL Password، Microsoft CD Key PornStar3D.ex.
كيفية اكتشاف هجمات الهندسة الاجتماعية:
يتطلب التصدي للهندسة الاجتماعية ممارسة الوعي الذاتي، لكن عليك التمهل والتفكير قبل الاستجابة أو فعل أي شيء، فيتوقع المهاجمون منك أن تتخذ إجراء معيناً قبل أن تفكِّر في المخاطر؛ ما يعني أنَّك يجب أن تفعل خلاف ذلك، ولمساعدتك على ذلك يمكنك الإفادة من الأسئلة الآتية لاكتشاف الهجوم:
1. هل اشتدت مشاعري؟
عندما تكون فضولياً أو خائفاً أو متحمساً؛ فمن غير المرجح أن تُقيِّم عواقب أفعالك، ويمكنك عَدُّ ذلك دليلاً في حال كانت حالتك العاطفية مرتفعة.
2. هل جاءت هذه الرسالة من مرسل شرعي؟
افحص عنوانات الإيميل وحسابات السوشيال ميديا جيداً عندما تتلقى رسالة مريبة؛ فقد يحتوي على أحرف تحاكي الآخرين “torn@example.com” بدلاً من “tom@example.com”، كما أنَّ الحسابات المزيفة في الشبكات الاجتماعية التي تكرر صورة صديقك وسيلة شائعة.
3. هل قام صديقي بالفعل بإرسال هذه الرسالة إلي؟
عليك سؤال صديقك شخصياً أو هاتفياً إن كان هو المرسل الحقيقي للرسالة؛ فمن المحتمل أن يكون حسابُه قد اختُرِق أو أنَّ شخصاً ما ينتحل شخصيته في حساباته دون علمه.
4. هل يحتوي موقع الويب الذي أستخدمه على تفاصيل غريبة؟
تُعَدُّ المخالفات في عنوان URL، وجودة الصورة الرديئة، وشعارات الشركة القديمة أو غير الصحيحة، والأخطاء المطبعية لصفحات الويب علامات تحذير أنَّ هذا الموقع احتيالي.
5. هل هذا العرض جيِّدٌ لدرجة يصعب تصديقها؟
تُعَدُّ العروض في حالة الهبات وغيرها من طرائق الاستهداف الأخرى حافزاً قوياً لدفع هجوم الهندسة الاجتماعية إلى الأمام؛ لذا يجب التفكير في سبب تقديم شخص ما شيئاً ذا قيمة كبيرة مقابل ربح قليل.
6. هل المرفقات أو الروابط مشبوهة؟
في حال ظهر لك رابط أو اسم ملف غريب في الرسالة؛ فأعد النظر في مصداقية الاتصال، وكذلك انتبه ما إذا أُرسِلَت الرسالة في سياق أو وقت غريبَين وما إلى ذلك.
7. هل يستطيع هذا الشخص إثبات هويته؟
فإن لم تستطع جعل هذا الشخص يتحقق من هويته مع المنظمة التي يدعي أنَّه جزء منها، لا تسمح له بالوصول إلى مطلبه مهما كانت الطريقة سواء كانت شخصياً أم عبر الإنترنت، ولكن عندما تكتشف الهجمات، كيف ستمنعها أو ستحمي نفسك منها؟
طرائق الحماية من الهندسة الاجتماعية:
كما يُقال: “درهم وقاية خير من قنطار علاج”؛ لذا عليك الحرص على حماية نفسك من كافة أنواع الهجمات الإلكترونية، وهنا بعض الطرائق:
1. الاتصال الآمن وإدارة الحساب:
يُعَدُّ الاتصال عبر الإنترنت أكثر مكان تتعرَّض فيه للخطر، لا سيَّما الوسائط الاجتماعية والبريد الإلكتروني؛ لذا إليك بعض النصائح عند استخدامها:
- لا تنقر أبداً على الروابط في رسائل بريد إلكتروني أو رسائل إن لم تستطع التحقق منه أنَّه رسمي أو شرعي.
- استخدم المصادقة متعددة العوامل؛ إذ تضيف طبقات إضافية للتحقق من هويتك عند تسجيل الدخول إلى الحساب، مثل القياسات الحيوية بما فيها بصمات الأصابع أو التعرُّف إلى الوجه، أو رموز المرور المؤقتة المرسلة في رسالة نصية.
- استخدم كلمات مرور قوية وفريدة ومعقدة، واحرص على تنوُّع الأحرف فيها بما في ذلك أحرف كبيرة وصغيرة وأرقام ورموز.
- تجنَّب مشاركة أي تفاصيل شخصية عنك بما فيها اسم مدرستك أو حيواناتك الأليفة أو مكان ميلادك؛ فقد تكشف عن إجابات لأسئلة الأمان الخاصة بك أو أجزاء من كلمة المرور دون قصد؛ لذا احرص على إعداد أسئلة أمان لا تُنسى؛ لكنَّها غير دقيقة كي يَصعُب على المجرم اختراق حسابك.
- احذر عند تكوين صداقات عبر الإنترنت فقط؛ فهي طريقة شائعة لهجمات الهندسة الاجتماعية.
- راقب التحذيرات والعلامات الحمراء التي تدل على التلاعب أو إساءة استخدام الثقة على نحو واضح.
2. استخدام الشبكة استخداماً آمناً:
قد تكون الشبكات المُخترقَة عبر الإنترنت نقطة ضعف أخرى تُستغل للبحث في الخلفية؛ فكي تتجنب استخدام بياناتك ضدك؛ عليك اتخاذ إجراءات وقائية للشبكات التي تتصل بها، وأبرز تلك الإجراءات:
- لا تسمح للغرباء بالاتصال بشبكتك (Wi-Fi) سواء في المنزل أم العمل، وهذا يبقيك آمناً وخالياً من الاعتراضات؛ ففي حال أراد أحد “التنصت” عليك والوصول إلى معلومات معينة فلن يتمكن من الوصول إلى النشاط الذي تريد الحفاظ عليه.
- استخدم (VPN)، فيمكنه إبعاد أي شخص وجد شبكتك الرئيسة سواء كانت سلكية أم لاسلكية أم حتى خلوية بهدف اعتراض حركة المرور، كما أنَّه يخفي هويتك وبياناتك؛ فلا يمكن تتبعها إليك عبر الروابط أو غيرها من الوسائل.
- حافظ على أمان كافة الأجهزة والخدمات المتصلة بالشبكة بما فيها أنظمة المعلومات والترفيه في السيارة وأجهزة توجيه الشبكة المنزلية، فانتهاكات البيانات فيها قد تُضفي طابعاً شخصياً على عملية احتيال الهندسة الاجتماعية.
3. استخدام الجهاز الآمن:
تُعَدُّ عملية حماية جهازك سواء أكان كمبيوتراً أم لوحياً أم محمولاً بصورة آمنة لا تقل أهمية عن باقي سلوكاتك الرقمية الأخرى، ويمكن فعل ذلك باتباع هذه النصائح:
- استخدم برنامج أمان الإنترنت الشامل لمكافحة أحصنة طروادة والروبوتات الأخرى؛ كونه يقضي على العدوى ويساعد على تتبع مصدرها.
- لا تترك أجهزتك سواء المحمولة أم الكمبيوتر غير آمنة في الأماكن العامة مطلقاً، واحرص على قفله خاصة في العمل.
- احرص على تحديث نظام التشغيل وكافة برامجك بمجرد توافرها؛ إذ تحتوي التحديثات على إصلاحات أمان أساسية؛ فعندما تتخطى تحديثاً معيَّناً أو تؤخِّره ستترك ثغرات أمنية معروفة مكشوفة للمتسللين لاستهدافها.
- تحقق من انتهاكات البيانات المعروفة لحساباتك عبر الإنترنت، فتراقب بعض الخدمات كخدمة (Kaspersky Security Cloud) عمليات اختراق البيانات الجديدة والحالية لعنوانات بريدك الإلكتروني، فإذا ضمنت حساباتك في بيانات اختُرِقَت سترسل إليك إشعاراً مع نصائح عن كيفية اتخاذ إجراء.
في الختام:
إنَّ عملية الحماية من الهندسة الاجتماعية تبدأ من التعليم عندما يكون المستخدمون على دراية بالتهديدات لضمان سلامة الجميع؛ لذا من الضروري التأكد من زيادة الوعي بهذه المخاطر من خلال مشاركة ما تعلمته مع زملاء العمل والعائلة والأصدقاء.
