الحماية الإلكترونيةالهجمات السيبرانية

هجمات الهندسة الاجتماعية على أرض الواقع

الهندسة الاجتماعية هي تكتيك شائع تم استخدامه في 33% من خروقات البيانات خلال عام 2018، وفقًا لتقرير التحقيق في خروقات البيانات الذي قامت به شركة الاتصالات Verizon الأمريكية سنة 2019.

 

ما هي هجمات الهندسة الاجتماعية ولماذا تكون ناجحة بشكل كبير؟ سنلقي نظرة على تعريف الهندسة الاجتماعية، وسنأخذك في جولة لمعرفة أسباب استخدام المخترقين لتقنيات الهندسة الاجتماعية كوسيلة فعالة للهجوم، وسنتحدث عن بعض الأمثلة الهندسة الاجتماعية الرئيسية.

دعونا نبدأ.

ما هي الهندسة الاجتماعية؟

الهندسة الاجتماعية هي واحدة من بين أخطر التهديدات للشركات والأفراد على حد سواء. باختصار، المهندس الاجتماعي هو الشخص الذي يستخدم التفاعلات الاجتماعية مع الأفراد للحصول على شيء منك (مثل كلمة المرور) أو ليجعلك تقوم بشيء ما (مثل إرسال الأموال). وقد يجعلك تشعر بالارتياح، أو قد يقدم نفسه كشخص ذو سلطة ويؤثر عليك من خلال وضعك في موقف يتسم بالاستعجال في أخذ قراراتك.

وفي كلتا الحالتين، فإن هجمات الهندسة الاجتماعية تدور حول إقناعك بالوثوق بشخص آخر، أو لجعلك تشعر وكأنه شخص ذو سلطة ويجب أن تمتثل لكل ما يطلبه.

تصف Imperva، وهي منظمة ذات شهرة عالمية في مجال الأمن السيبراني، الهندسة الاجتماعية على النحو التالي:

“[…] مجموعة واسعة من الأنشطة الخبيثة يتم تنفيذها من خلال التفاعلات البشرية. ويُستخدم التلاعب النفسي لخداع المستخدمين بهدف ارتكاب أخطاء أمنية أو التخلي عن معلوماتهم الحساسة”.

أو، كما يصنفها مكتب التحقيقات الفدرالي الأمريكي بشكل موجز، إنها “الأكاذيب المستهدفة التي تهدف إلى تخليك عن الحس الدفاعي.”

أنواع هجمات الهندسة الاجتماعية

هجمات الهندسة الاجتماعية، التي تفيد شركة Verizon أنها استخدمت في 33% من خروقات البيانات في عام 2018، يمكن أن تحدث:

* عبر التفاعلات وجهاً لوجه،

* عبر المكالمات الهاتفية (vishing أو ما يعرف باسم التصيُّد الصوتي)،

* عبر الرسائل النصية (smishing أو ما يعرف بالتصيُّد عبر الرسائل النصية القصيرة)،

* استخدام أساليب احتيالية عبر رسائل البريد الإلكتروني (phishing أو ما يسمى بالتصيُّد الاحتيالي)، أو

* باستخدام أي مزيج من هذه السبل وغيرها.

لا تتطلب هذه الأنواع من الهجمات مهارات خاصة أو دراية بتقنيات الاختراق. فهي تدور حول استغلال شخص ما بدلاً من استخدام التكنولوجيا. ومع ذلك، فإن استخدام التكنولوجيا يجعل بالتأكيد إرساء هذه الهجمات أسهل بكثير لمجرمي العالم الرقمي الذين يستخدمونها.

هجمات الهندسة الاجتماعية هي كل شيء يدور حول التعرف عليك

في العالم الرقمي، تتضمن هجمات الهندسة الاجتماعية معرفة المجرمين السيبرانيين للمعلومات بقدر ما يستطيعون عن الشركة والشخص المستهدف (أي أنت). ثم يستخدمون تلك المعلومات لحملك على القيام بشيء لا يجب عليك القيام به (مثل تزويدهم بمعلومات شخصية حساسة أو إجراء تحويل مصرفي).
في الأساس، يعاملونك مثل مشروع بحثي ويتعرفون عليك من خلال مجموعة متنوعة من التكتيكات، بما في ذلك:

1- البحث عنك باستخدام محركات البحث: فكلما كانوا يعرفون عنك أكثر، كان من الأسهل أن يتصلوا بك ويجعلونك تثق بهم. هذا من شأنه أن ينزع منك الحس الدفاعي ويجعلك أكثر عرضة للامتثال.

2- تتبع صفحات مواقع التواصل الاجتماعي الخاصة بك لجمع المعلومات عنك: إذا كان القراصنة يعرفون ما تثبته على بينتيريست، وما تشاهده على اليوتيوب، وما المجموعات التي تنتمي لها على الفيسبوك، أو حتى ما الصور التي أعجبت بها على إينستاغرام، وما إلى ذلك، فهم قادرون على صياغة رسائل التصيُّد عبر البريد الإلكتروني الأكثر تصديقًا للاحتيال عليك.

3- معرفة أصدقائك (عبر موقع لينكدين وموقع الشركة على الويب) ومعرفة التسلسل الهرمي للمؤسسة التي تعمل بها: يريد مجرمو الإنترنت جعل وظائفهم سهلة قدر الإمكان. فإذا كانوا يعرفون أن اسمكِ سارة وأنت تعملين كموظفةْ حسابات، وأن شركتك تعمل عادة مع المورد الفلاني، فقد يتمكنون من انتحال شخصية ذلك المورد لجعلكِ تقومين بإرسال مبلغ مالي بطريقة احتيالية.

4- البحث في القمامة الخاصة بك: لا، أنا لا أتكلم هنا بشكل مجازي. أقصد ذلك حرفياً، فبعض المهندسين الاجتماعيين معروفون بالبحث في القمامة للحصول على معلومات قيمة عنك أو الشركة التي تعمل بها. وهذا مثال على ما يجعل من المهم التخلص بشكل صحيح من الوثائق التي تحمل معلوماتك الشخصية أو معلومات في ملكية الشركة أو غير ذلك من المعلومات الحساسة.

تفاصيل دورة حياة هجوم الهندسة الاجتماعية

للحديث عن دورة حياة هجوم الهندسة الاجتماعية، سنستخدم هذه المصطلحات كما تم تحديدها من قبل شركة Imperva. ويتضمن هجوم الهندسة الاجتماعية أربع مراحلٍ مميزة. ويتم استخدام واحدة أو أكثر من هذه الخطوات:

1- التحري: تدور هذه الخطوة حول البحث وجمع أكبر قدر ممكن من المعلومات عنك وعن شركتك.

2- بناء العلاقة: يتم خلالها استخدام التكتيكات الاجتماعية وعلم النفس للتلاعب بك أو خداعك. مسلحين بالمعلومات التي تم جمعها عنك وعن شركتك، فسوف يتواصلون معك لبناء اتصال من أجل الشروع في تنفيذ الهجوم.

3- تنفيذ عملية الاحتيال: يبدؤون خلال هذه الخطوة بتنفيذ الخطة لاستغلال التفاعل الذي حصلوا عليه سابقًا. فهذه الخطوة تدور حول توسيع نفوذهم وجعلك تقدم المعلومات المرغوبة أو لتنفيذ عمل لصالحهم.

4- الهروب: هذه هي الخطوة التي يتخلصون فيها من الأدلة – مسح بصماتهم الرقمية، مجازًا – من أجل الاختفاء دون أن تعرف حتى أنك ساعدتهم في بلوغ غايتهم.

كيف تحدث هجمات الهندسة الاجتماعية

كما تعلمت، تنطوي الهندسة الاجتماعية على العامل الخبيث الذي يكمن في البحث عنك وعن الشركة التي تعمل بها للحصول على معلومات حتى يتمكنوا من استخدامها من أجل خداعك ودفعك لتسليمهم المعلومات التي يرغبونها أو القيام بشيء لا ينبغي عليك الإقدام عليه.

الهندسة الاجتماعية هي لعبة الصبر. فعلى عكسِ هجماتِ التصيُّد التقليدية، والتي يمكن أن تنطوي على إرسالِ رسائل البريد الإلكتروني الجماعية لآلاف الأشخاص على أملِ جعلِ شخص واحد فقط ينقر على أحد الروابطِ الملغمة، فهجمات الهندسةِ الاجتماعية تكون أكثرَ استهدافًا. يمكن أن يقضي مجرمو الإنترنت بضع ساعات أو حتى أيام أو أسابيع أو أشهر استعدادًا لتنفيذ الهجوم.

إذاً، كيف تحدث إحدى هذه الهجمات؟ في كثير من الأحيان، تتلخص في العثور على الشَّخص المستهدف المناسب وإيجاد – أو خلق – الفرصة المناسبة.

مثال على الهندسة الاجتماعية على أرض الواقع

لنتخيل أنك موظف حسابات تدعى عمر. أنت جالس في مكان عملك بينما، فجأة، تردك مكالمة من شخص يدعى زيد، وهو ممثل أحد الموردين التابعين للشركة التي تعمل بها. يخبرك بأن هناك مشكلة في الدفعة المالية الأخيرة التي تم إجراؤها، مدعيًا أنهم لم يتلقوها أبدًا.

تشعر بالخزي بينما تعتذر ومتحاول العثور بسرعة على إيصال الدفعة الأخيرة، لا يزال زيد يتحدث، ويعمل على طمأنتك ويخبرك بأن لا مشكلة في ذلك ولكنهم حقًا بحاجة إلى أن يتم الدفع بسرعة إذا أرادت شركتك الاستمرار في استخدام خدماتهم. ويتابع قائلا أنه ربما كان مجرد خلط للمستندات – أي أن شركتهم تغير البنوك بشكل مستمر وقد أرسلت معلومات الدفع المحدثة لجميع عملائها، ولكن، بطريقة أو بأخرى، لم تصلكم معلومات الحساب المصرفي الجديد.

يتنهد لكنه يضحك قائلاً إنها مجرد واحدة من تلك الأشياء. التكنولوجيا، أليس كذلك؟ يجب أن نعتاد عليها.

إنه ودود وواثق من نفسه وساحر ومتفهم. ويسترسل في قوله مطمئنًا أنه لا يريد أن يجعلك تقوم بعمل إضافي لأنه يعرف أنك ربما بالفعل غارق جدًا في مهامك المعتادة! لذا، ولتسهيل الأمر، فقد أرسل لك المعلومات المصرفية الجديدة وسيقدر مساعدتك حقًا إذا تمكنت من المضي قدمًا وإرسال الدفعة المالية في أسرع وقت ممكن حتى لا يتوقفوا عن توفير الخدمات للشركة التي تعمل بها.
تتحقق من بريدك الإلكتروني، وتجد رسالة تنتظرك من زيد، تمامًا كما قال. هناك فاتورة مرفقة. تفتحها فورًا وتستخدم بيانات الحساب المصرفي الواردة في الوثيقة وتقوم بإرسال الدفعة المالية.

يشكرك عمر ويخبرك أنه تلقى الدفع. يختتم المحادثة بسلاسة، ويخبرك بأنه سيرسل لك إيصالا بالدفع وأنه سعيد لكونك كنتَ قادرًا على تصحيح الوضع بسرعة. تتبادلان تحية الوداع وتُغلقان الخط.

بعد بضعة أسابيع، يأتي إليك رئيسك ويسألك عن دفعة مالية تم إرسالها إلى حساب غير معروف. تخبره بأنك كنت استباقيًا وأردت الاهتمام بالوضع بسرعة من خلال الدفع لصالح الحساب الجديد لتلك الشركة (حسب ما ادعاه المحتال).

ولكن تم إرسال الدفعة بالفعل، يقول رئيسك، وتبين أن الشركة وقعت ضحية لخرق البيانات وتم تعقب الاختراق وصولاً إلى محطة العمل الخاصة بك.

ما قولك؟!

ما لم تعرفه هو أن الفاتورة التي فتحتها من زيد كانت في الواقع ملفاً خبيثاً، ليس فقط قمت بإرسال دفعة إلى حساب احتيالي، ولكن قمت أيضًا بفتح شبكة شركتك ونظمها المعلوماتية إلى أحد القراصنة.

ما يمكنك القيام به لتفادي الوقوع في فخ هجمات الهندسة الاجتماعية

لا تستغرب من أن التكنولوجيا جعلت من جرائم الهندسة الاجتماعية أسهل بكثير للمجرمين – ولكن هذا لا يعني أن التوقعات ميؤوس منها.

توصي مؤسسة SearchCloudSecurity بالنهج التالي للمؤسسات والشركات والأفراد على حد سواء:

* اجعل دفاعاتك التقنية محكمة من خلال تبني أفضلِ الممارسات الخاصة بأمان الشبكات وتكنولوجيا المعلومات.

* تأمين جميع الخوادم وقواعد البيانات وضمان تشفير بياناتك.

* توفير التوعية الأمنية السيبرانية لموظفيك وزملائك وحتى عائلتك وأصدقائك.

* تشجيعهم على اتباع أفضل ممارسات الأمن السيبراني والبريد الإلكتروني.

* تقييد الوصول إلى البيانات والأنظمة الحساسة فقط للموظفين الذين تتطلب وظائفهم ذلك.

* تنفيذ إجراءات التحقق الثانوية قبل إرسال أيّة دفعات مالية أو إجراء تغييرات على معلومات المورد.

لا تقع في فخ الاختراق

تبدأ 91% من الهجمات الإلكترونية باستخدام بريد إلكتروني، مما قد يترك أنظمتك مفتوحة لخروقات البيانات المدمرة. إن عدم تأمين بريدك الإلكتروني يشبه ترك الباب الأمامي مفتوحًا للقراصنة.

الأفكار النهائية

المجرمون، بشكل أو بآخر، لا يمثلون أمرًا جديدًا على المجتمع. ويمكنُ قول الشيءَ نفسَه عن الهندسة الاجتماعية. ففي حين أنها قد تتكيف وتتغير مع مرور الوقت من حيثُ كيفيةِ تنفيذها، فإن المفهومَ العام لا يزال هو نفسَه. وهذا هو السبب في أنه من المهم جدًا للمؤسسات والشركات إبلاغ موظفيها بخصوص هذه الأنواع من التهديدات، حتى يتمكنوا من التعرف عليها وعدمِ الوقوعِ في شِركِها.

لذا، في حين أن المهندس الاجتماعي أو المجرم الإلكتروني ليس لديه على الأرجح أي اهتمامٍ باكتشاف مقاساتِ ملابسِك، إلا أنه بالتأكيد يريد معرفة كل ما يستطيعُ عنكَ في مجالاتٍ أخرى حتى يتمكنَ من استخدامِ تلك المعلومات للتحايل عليك وإقناعك بأمر لا يجب عليك القيام به.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى