الهندسة الاجتماعية هي تكتيك شائع تم استخدامه في 33٪ من خروقات البيانات خلال عام 2018، وفقًا لتقرير التحقيق في خروقات البيانات الذي أنجزته شركة الاتصالات Verizon الأمريكية سنة 2019.
فما هي هجمات الهندسة الاجتماعية ولماذا تكون ناجحة بشكل كبير؟ سنلقي نظرة على تعريف الهندسة الاجتماعية، وسنأخذك في جولة لمعرفة أسباب استخدام المخترقين لتقنيات الهندسة الاجتماعية كوسيلة فعالة للهجوم، وسنتحدث عن بعض أمثلة الهندسة الاجتماعية الرئيسية.
دعونا نبدأ.
ما هي الهندسة الاجتماعية؟
الهندسة الاجتماعية هي إحدى أخطر أنواع التهديدات التي تستهدف الشركات والأفراد على حد سواء. باختصار، المهندس الاجتماعي هو الشخص الذي يستخدم التفاعلات الاجتماعية مع الأفراد لبلوغ مبتغاه (مثل كلمة المرور) أو ليجعلك تقوم بشيء ما (مثل إرسال المال). وقد يجعلك تشعر بالارتياح، أو قد يقدم نفسه كشخص ذو سلطة ويؤثر عليك من خلال وضعك في موقف يتسم بالاستعجال في أخذ قراراتك.
وفي كلتا الحالتين، فإن هجمات الهندسة الاجتماعية تحوم حول إقناعك بالوثوق بشخص آخر، أو لجعلك تشعر وكأنه شخص ذو سلطة يجب أن تمتثل لكل ما يطلبه منك.
تصف Imperva، وهي شركة ذات شهرة عالمية في مجال الأمن السيبراني، الهندسة الاجتماعية على أنها:
[...] مجموعة واسعة من الأنشطة الخبيثة يتم تنفيذها من خلال التفاعلات البشرية. ويُستخدم التلاعب النفسي لخداع الأشخاص بهدف ارتكاب أخطاء أمنية أو التخلي عن معلوماتهم الحساسة".
أو، كما يصنفها مكتب التحقيقات الفدرالي الأمريكي بشكل موجز، إنها "الأكاذيب التي تهدف إلى تخليك عن الحس الدفاعي."
أنواع هجمات الهندسة الاجتماعية
هجمات الهندسة الاجتماعية، التي تفيد شركة Verizon أنها استخدمت في 33٪ من الخروقات التي طالت البيانات في عام 2018، يمكن أن تحدث:
- عبر التفاعلات وجهاً لوجه،
- عبر المكالمات الهاتفية (vishing أو ما يعرف باسم التصيُّد الصوتي)،
- عبر الرسائل النصية (smishing أو ما يعرف بالتصيُّد عبر الرسائل النصية القصيرة)،
- استخدام أساليب احتيالية عبر رسائل البريد الإلكتروني (phishing أو ما يسمى بالتصيُّد الاحتيالي)، أو
- باستخدام أي مزيج من هذه الطرق وغيرها.
لا تتطلب هذه الأنواع من الهجمات مهارات خاصة أو دراية بتقنيات الاختراق. فهي تدور حول استغلال شخص ما بدلاً من استخدام التكنولوجيا. ومع ذلك، فإن استخدام التكنولوجيا يجعل بالتأكيد إرساء هذه الهجمات أسهل بكثير لمجرمي الفضاء الرقمي الذين يستخدمونها.
هجمات الهندسة الاجتماعية هي مجموعة محاولات للتعرف عليك
في العالم الرقمي، تتضمن هجمات الهندسة الاجتماعية جمع المجرمين السيبرانيين للمعلومات بقدر ما يستطيعون عن الشركة أو الشخص المستهدف (أي أنت). ثم يستخدمون تلك المعلومات لحملك على القيام بشيء لا يجب عليك القيام به (مثل تزويدهم بمعلومات شخصية حساسة أو إجراء تحويل مصرفي).
في الأساس، يعاملونك مثل مشروع بحثي ويتعرفون عليك من خلال مجموعة متنوعة من التكتيكات، بما في ذلك:
- البحث عن معلومات عنك على غوغل ومحركات البحث الأخرى: كلما كانوا يعرفون عنك أكثر، كان من الأسهل أن يتصلوا بك ويجعلونك تثق بهم. هذا من شأنه أن ينزع منك الحس الدفاعي ويجعلك أكثر عرضة للامتثال.
- تتبع صفحات مواقع التواصل الاجتماعي الخاصة بك لجمع المعلومات عنك: إذا كان القراصنة يعرفون ما تثبته على بينتيريست، وما تشاهده على اليوتيوب، وما المجموعات التي تنتمي لها على الفيسبوك، أو حتى ما الصور التي أعجبت بها على إينستاغرام، وما إلى ذلك، فهم قادرون على صياغة رسائل التصيُّد عبر البريد الإلكتروني الأكثر تصديقًا من أجل الاحتيال عليك.
- معرفة أصدقائك (عبر موقع لينكدين وموقع الشركة على الويب) ومعرفة التسلسل الهرمي للمؤسسة التي تعمل بها:
يريد مجرمو الإنترنت جعل وظائفهم سهلة قدر الإمكان. فإذا كانوا يعرفون أن اسمك سارة وأنت تعملين كموظفة في قسم الحسابات، وأن شركتك تعمل عادة مع الشركة الفلانية كمورد، فقد يتمكنون من انتحال شخصية تلك الشركة لجعلكِ تقومين بإرسال مبلغ مالي بطريقة احتيالية. - البحث في القمامة الخاصة بك: لا، أنا لا أتكلم هنا بشكل مجازي. أقصد ذلك حرفياً، فبعض المهندسين الاجتماعيين معروفون بالبحث في القمامة للحصول على معلومات قيمة عنك أو الشركة التي تعمل بها. وهذا مثال على ما يجعل من المهم التخلص بشكل صحيح من الوثائق التي تتضمن معلوماتك الشخصية أو معلومات في ملكية الشركة التي تعمل بها أو غير ذلك من المعلومات الحساسة.
تفاصيل دورة حياة هجوم الهندسة الاجتماعية
للحديث عن دورة حياة هجوم الهندسة الاجتماعية، سنستخدم هذه المصطلحات كما تم تحديدها من قبل شركة Imperva. فدورة الحياة الهندسية الاجتماعية تتضمن أربع مراحل مميزة. ويتضمن هذا النوع من الهجمات واحدة أو أكثر من هذه الخطوات:
- التحري: تدور هذه الخطوة حول البحث وجمع أكبر قدر ممكن من المعلومات عنك وعن شركتك.
- بناء العلاقة: يتم خلالها استخدام التكتيكات الاجتماعية وعلم النفس للتلاعب بك أو خداعك. ولأنهم مسلحين بالمعلومات التي تم جمعها عنك وعن شركتك، فسوف يتواصلون معك لبدء عملية التواصل والشروع في تنفيذ الهجوم.
- تنفيذ عملية الاحتيال: يبدؤون خلال هذه الخطوة بتنفيذ الخطة لاستغلال التفاعل الذي حصلوا عليه سابقًا. فهذه الخطوة تدور حول توسيع نفوذهم وجعلك تقدم المعلومات المرغوبة أو لتنفيذ عمل لصالحهم.
- الهروب: هذه هي الخطوة التي يتخلصون فيها من الأدلة - مسح بصماتهم الرقمية، مجازًا – من أجل الاختفاء دون أن تعرف حتى أنك ساعدتهم في بلوغ غايتهم.
كيف تحدث هجمات الهندسة الاجتماعية
كما تعلمت، تنطوي الهندسة الاجتماعية على عامل خبيث يكمن في البحث عنك وعن الشركة التي تعمل بها للحصول على معلومات حتى يتمكن منفذ الهجوم من استخدامها بهدف خداعك ودفعك لتسليمه المعلومات التي يرغب في الحصول عليها أو القيام بشيء لا ينبغي عليك الإقدام عليه.
الهندسة الاجتماعية هي لعبة الصبر. فعلى عكس هجمات التصيُّد التقليدية، والتي يمكن أن تنطوي على إرسال رسائل البريد الإلكتروني الجماعية لآلاف الأشخاص على أمل جعل شخص واحد فقط ينقر على أحد الروابط الملغمة، فهجمات الهندسة الاجتماعية تكون أكثر استهدافًا. يمكن أن يقضي مجرمو الإنترنت بضع ساعات أو حتى أيام أو أسابيع أو أشهر استعدادًا لتنفيذ الهجوم.
إذاً، كيف تحدث إحدى هذه الهجمات؟ ففي كثير من الأحيان، تتلخص في العثور على الشخص المستهدف المناسب وإيجاد - أو خلق - الفرصة المناسبة.
مثال على الهندسة الاجتماعية على أرض الواقع
لنتخيل أنك موظف حسابات تدعى عَمر. أنت جالس في مكان عملك بينما، فجأة، ترِدك مكالمة من شخص يدعى زَيد، وهو ممثل أحد الموردين التابعين للشركة التي تعمل بها. يخبرك بأن هناك مشكلة في الدفعة المالية الأخيرة التي تم إجراؤها، مدعيًا أنهم لم يتلقوها أبدًا.
تشعر بالخزي بينما تعتذر وتحاول العثور بسرعة على إيصال الدفعة الأخيرة، ولا يزال زَيد يتحدث ويعمل على طمأنتك ويخبرك بأن لا مشكلة في ذلك ولكنهم حقًا بحاجة إلى أن يتم الدفع بسرعة إذا أرادت شركتك الاستمرار في استخدام خدماتهم. ويتابع قائلا إنه ربما كان مجرد خلط للمستندات – أي أن شركتهم تغير البنوك بشكل مستمر وقد أرسلت معلومات الدفع المحدثة لجميع عملائها، ولكن، بطريقة أو بأخرى، لم تصلكم معلومات الحساب المصرفي الجديد.
يتنهد لكنه يضحك قائلاً إنها التكنولوجيا، أليس كذلك؟ يجب أن نحبها.
يتقمص دور الشخص الودود والواثق من نفسه والساحر والمتفهم. ويسترسل في قوله مطمئنًا أنه لا يريد أن يجعلك تقوم بعمل إضافي لأنه يعرف أنك ربما تكون غارق جدًا في مهامك المعتادة! لذا، ولتسهيل الأمر، فقد أرسل لك المعلومات المصرفية الجديدة وسيقدر مساعدتك حقًا إذا تمكنت من المضي قدمًا وإرسال الدفعة المالية في أسرع وقت ممكن حتى لا يتوقفوا عن توفير الخدمات للشركة التي تعمل بها.
تتحقق من بريدك الإلكتروني، وتجد رسالة تنتظرك من زَيد، تمامًا كما قال. هناك فاتورة مرفقة. تفتحها فورًا وتستخدم بيانات الحساب المصرفي الواردة في الوثيقة وتقوم بإرسال الدفعة المالية.
يشكرك عَمر ويخبرك أنه تلقى الدفعة المالية. يختتم المحادثة بسلاسة، ويخبرك بأنه سيرسل لك إيصالا بالدفع وأنه سعيد لكونكَ كنتَ قادرًا على تصحيح الوضع بسرعة. تتبادلان تحية الوداع وتُغلقان الخط.
بعد بضعة أسابيع، يأتي إليك رئيسك ويسألك عن دفعة مالية تم إرسالها إلى حساب مصرفي غير معروف. تخبره بأنك كنت استباقيًا وأردت الاهتمام بالوضع بسرعة من خلال الدفع لصالح الحساب الجديد لتلك الشركة (حسب ما ادعاه المحتال).
ولكن سبق أن أُرسِلت الدفعة بالفعل، يقول رئيسك، وتبين أن الشركة وقعت ضحية لخرق البيانات وتم تعقب الاختراق وصولاً إلى محطة العمل الخاصة بك.
ما قولك؟!
ما لم تعرفه هو أن الفاتورة التي فتحتها من المسمى زَيد كانت في الواقع ملفاً خبيثاً، لم تقم فقط بإرسال دفعة مالية إلى حساب احتيالي، ولكن جلعتَ أيضًا شبكة شركتك ونظمها المعلوماتية عرضة لهجمات أحد القراصنة.
ما يمكنك القيام به للحيلولة دون الوقوع في فخ هجمات الهندسة الاجتماعية
من غير الغريب أن التكنولوجيا جعلت جرائم الهندسة الاجتماعية أسهل بكثير على المجرمين السيبرانيين - ولكن هذا لا يعني أن التوقعات ميؤوس منها.
توصي مؤسسة SearchCloudSecurity بالنهج التالي للمؤسسات والشركات والأفراد على حد سواء:
- اجعل دفاعاتك التقنية قوية ومحكمة من خلال تبني أفضل الممارسات الخاصة بأمان الشبكات وتكنولوجيا المعلومات.
- تأمين جميع الخوادم وقواعد البيانات وضمان تشفير بياناتك.
- توفير التوعية الأمنية السيبرانية لموظفيك وزملائك وحتى عائلتك وأصدقائك
- تشجيعهم على اتباع أفضل ممارسات الأمن السيبراني وتلك الخاصة بالبريد الإلكتروني
- تقييد الوصول إلى البيانات والأنظمة الحساسة فقط للموظفين الذين تتطلب وظائفهم ذلك
- تنفيذ إجراءات التحقق الثانوية قبل إرسال أيّة دفعات مالية أو إجراء تغييرات على معلومات المورد
لا تقع في فخ الاختراق
تبدأ 91٪ من الهجمات الإلكترونية باستخدام رسالة بريد إلكتروني، مما قد يترك أنظمتك عرضة لخروقات البيانات المدمرة. إن عدم تأمين بريدك الإلكتروني يشبه ترك الباب الأمامي مفتوحًا للقراصنة.
الأفكار النهائية
المجرمون، بشكل أو بآخر، لا يمثلون أمرًا جديدًا على المجتمع. ويمكن قول الشيء نفسه عن الهندسة الاجتماعية. ففي حين أنها قد تتكيف وتتغير مع مرور الوقت من حيث كيفية تنفيذها، فإن المفهوم العام لا يزال هو نفسه. وهذا هو السبب في أنه من المهم جدًا للمؤسسات والشركات إبلاغ موظفيها بخصوص هذه الأنواع من التهديدات، حتى يتمكنوا من التعرف عليها وعدم الوقوع في شركها.
لذا، في حين أن المهندس الاجتماعي أو المجرم الإلكتروني ليس لديه على الأرجح أي اهتمام باكتشاف مقاسات ملابسك، إلا أنه بالتأكيد يريد معرفة كل ما يستطيع عنك في مجالات أخرى حتى يتمكن من استخدام تلك المعلومات للتحايل عليك وإقناعك بأمر لا يجب عليك القيام به.
تعليقات
إرسال تعليق