25 مارس 2025
امرأة تدخل بهو مكتب شركة. إنها المرة الأولى التي تطأ فيها قدمها هذا المبنى. لم يرها أحد هنا من قبل. إنها ليست موظفة. إنها ليست ضيفة أحد. ليس لديها بيانات الاعتماد.
لكنك لن تعرف ذلك من الطريقة التي يتفاعل بها الناس معها. في الواقع، لا يتفاعلون على الإطلاق. يتجاهلونها بملل، وكأنها قطعة أثاث مكتبية باهتة. لا توجد حتى طاولة كرة قدم في غرفة الاستراحة—بل أشبه بنبتة بلاستيكية موضوعة في وعاء ومثبتة بالمسامير في الأرض: موجودة دائمًا ولا تستحق التوقف للإعجاب بها.
دون عوائق، تخطو مباشرة إلى مكتب الاستقبال.
"مرحبًا"، تغرد بخجل قليلًا.
ترفع موظفة الاستقبال رأسها عن شاشتها بلهفة توحي بأنها سعيدة بهذا الإلهاء. (جيري من قسم المحاسبة يردّ مرة أخرى على جميع رسائل البريد الإلكتروني التي ينبغي أن تكون خاصة.)
سرعان ما يتبدد الارتياح ليحل محله الاستغراب وهي تتأمل الغريب الجالس إلى مكتبها. وينكمش وجهها في تفكير بينما تحاول - وتفشل - في تذكر هوية الزائر.
تتابع المرأة قائلة: "أكره إزعاجك، ولكن لدي مقابلة عمل في المكتب المجاور، وقد انسكب القهوة على سيرتي الذاتية بأكملها. هلّا طبعت لي نسخة أخرى؟ لدي الملف هنا."
أخرجت المرأة محرك أقراص فلاش، بحركة استعراضية. ها هو! يبتسم وجه موظفة الاستقبال بلطف. بالطبع ستساعد هذه الروح الفقيرة التعيسة. بعد أن أطلقت بعض الشتائم في زحمة السير في لوس أنجلوس هذا الصباح، فإنها بحاجة إلى القليل من الحظ الجيد.
أدخلت موظفة الاستقبال وحدة التخزين USB في جهاز الكمبيوتر الخاص بها دون تفكير. تتبادل الاثنتان حديثًا عابرًا بينما تتنقل هي إلى الملف الوحيد الموجود على القرص وتنقُر عليه نقرًا مزدوجًا، مما يؤدي إلى سلسلة معقدة من الأحداث ستؤدي، بحلول نهاية اليوم، إلى اختراق الشبكة بأكملها.
كما ترى، فإن السيرة الذاتية ليست سيرة ذاتية على الإطلاق، بل هي عبارة عن برنامج ضار مقنّع بذكاء، يقوم الآن بتثبيت نفسه سرًا على كمبيوتر موظف الاستقبال. إنها لا تشك في أي شيء، ومن يستطيع إلقاء اللوم عليها؟ تبدو المرأة لطيفة بما فيه الكفاية، وقام والداها بتربيتها لتكون لطيفة.
تعزيز الذكاء الأمني لديك
ابقَ على اطلاع على التهديدات من خلال الأخبار والرؤى حول الأمن والذكاء الاصطناعي والمزيد، أسبوعياً في رسائل Think الإخبارية.
ما قرأته للتو يستند إلى قصة حقيقية، قصة كنت فيها أنا الزائرة التي خدعت موظفة استقبال حسنة النية وجعلتها تعرض شركتها للخطر. لا يوجد عمل صالح يمر دون عقاب، أليس كذلك؟
بالرغم من أنني بحاجة إلى التأكيد على أنني لم أُصب أي جهاز كمبيوتر ببرنامج الفدية، وكنت هناك بإذن. لقد وظفتني الشركة لإجراء تقييم مادي للمبنى. (هذا نوع من الأشياء التي أحبها). وكما ترون، وجدت بعض نقاط الضعف.
لكنني عادة ما أجد نقاط ضعف عندما أقوم بإجراء التقييم، مادي أو رقمي. وخاصة نقاط الضعف في الهندسة الاجتماعية.
على الرغم من كل التدريبات، ونشرات إنفاذ القانون، وقصص عمليات السطو بملايين الدولارات وتحذيرات الخبراء (مثلي!)، لا تزال هجمات الهندسة الاجتماعية تباغتنا.
كنت تظن أن الأمر بسيط بما فيه الكفاية: "لا تأخذ وحدة تخزين USB من الغرباء." ولكن الهندسة الاجتماعية تنجح تحديدًا لأنها تستغل غرائزنا الإنسانية الأساسية، مثل الرغبة في المساعدة.
ويستغل المحتالون المشاعر الأخرى أيضًا.
يستغل المهاجمون فضول الناس، حيث يعرضون قصصًا غير محتملة ويعدون بمكافآت رائعة تغري الضحايا لمعرفة ما سيحدث لاحقًا.
نرى هذا التكتيك كثيراً في عمليات احتيال "ذبح الخنزير"، حيث يتظاهر المهاجمون بأنهم مستثمرون أثرياء ولديهم "فرصة" من المؤكد أنها ستجعل الضحية تكسب الملايين. (لن يحدث ذلك.)
يثير المهاجمون الخوف، غالبًا عن طريق انتحال شخصية رئيس أو شرطي أو أي شخصية ذات سلطة وتهديد الضحية بفقدان الوظيفة أو السجن إذا لم يفعلوا ما يُطلب منهم. يعمل هذا الستار بشكل جيد للغاية لأننا نتعلم طاعة رموز السلطة بشكل أساسي منذ لحظة ولادتنا.
يستخدم المهاجمون التهديد بالنُدرة، تمامًا مثل الإعلانات التجارية القديمة: "بادر الآن!" حتى نفاذ الكمية!"
على سبيل المثال، في فترة التسجيل المفتوح، غالبًا ما ينتحل المحتالون صفة ممثلي الموارد البشرية أو التأمين الصحي: "نافذة التسجيل في الخطة تغلق، لذا من الأفضل أن تعطيني رقم الضمان الاجتماعي الخاص بك على الفور!"
يجبر المهاجمون الضحايا على استخدام الأدلة الاجتماعية. يريد معظمنا الاندماج في الحشد. إذا تلقينا رسالة بريد إلكتروني (مشكوك فيها، باعتراف الجميع) تزعم أننا آخر شخص في مؤسستنا يقوم بإجراء استطلاع الموظفين (التدخّلي بشكل مفاجئ)، فسوف نبادر إلى إجرائه على الفور.
الأمر أشبه بالضغط على الأقران في المدرسة الثانوية: الجميع يفعل ذلك! باستثناء أن "ذلك" في هذه الحالة يعني "تسليم كلمة مرورك إلى مخترق" بدلاً من "تدخين السجائر خلف الكافيتريا".
لإثارة هذه المشاعر، يختلق المحتالون ذرائع (قصص مزيفة) وشخصيات (أدوار يلعبونها). على سبيل المثال:
"أنا سوزان من قسم تكنولوجيا المعلومات. أنا جديدة، ولهذا السبب لم تسمع بي بعد. لكنك سمعت عن ترحيل البريد الإلكتروني، أليس كذلك؟ أحتاج إلى إعداد حسابك الجديد. أنت آخر فرد في قسمك. إذا كان بإمكاني الحصول على كلمة المرور الخاصة بك فقط—"
أحيانًا أعتقد أن تأسيس شركة مسرحية لهؤلاء الأشخاص سيقلل عدد هجمات الهندسة الاجتماعية إلى النصف. امنحهم منفذًا صحيًا لأوهامهم. يا صاحبي، فهمت الأمر—أستمتع بارتداء الشعر المستعار عندما أقتحم مباني العملاء.
لست متشائمًا، ولكن علينا أن نواجه الحقائق. لن نتمكن أبدًا من القضاء على الهندسة الاجتماعية تمامًا. لن نتمكن أبدًا من تطوير مرشح للرسائل غير المرغوب فيها لا يستطيع المهاجمون خداعه بحيلة ذكية. لن يكون لدينا أبدًا اختبار مضمون للتمييز بين التزييفات الخبيثة والمنتج الأصلي، سواء أكان ذلك نصًا من مصرفك أو سيدة خرقاء بسيرة ذاتية ملطخة بالقهوة.
طالما أن الناس لديهم عواطف، سيستغلها المحتالون. (ربما يحتاج أسياد الذكاء الاصطناعي لدينا إلى الإسراع.)
هذا خبر جيد لآفاقي الوظيفية بصفتي رئيس قراصنة الموارد البشرية، وليس كذلك بالنسبة لبقيتكم.
على الجانب المشرق، علمتني كل السنوات التي قضيتها في الاحتيال على المحتالين (يا له من وصف!) أنه كلما زادت العقبات التي نضعها في طريق المهاجمين المحتملين، قل احتمال مباغتتهم لنا.
ولتحقيق هذه الغاية، إليك بعض الطرق الأكثر فعالية التي يمكن لمؤسستك من خلالها منع هجمات الهندسة الاجتماعية.
السبب الرئيسي وراء اعتماد هجمات الهندسة الاجتماعية على المشاعر القوية مثل الخوف والضغط الاجتماعي هو جعلك تتصرف قبل أن تفكر.
يا إلهي—يقول رئيسي أننا سنكون في ورطة كبيرة إذا لم أدفع هذه الفاتورة الكبيرة بشكل غير عادي على الفور. من الأفضل أن أباشر الأمر!
نصيحتي هي أن تبطئ حقًا وتقيّم أي نص أو بريد إلكتروني أو مكالمة هاتفية أو رسالة أخرى. القول أسهل من الفعل، لكنه الدفاع الأكثر فعالية ضد هجمات الهندسة الاجتماعية. لو أن غالبية الناس قرأوا رسائلهم الإلكترونية بانتباه وطرحوا أسئلة قبل الرد، لبدأوا في رؤية جميع العلامات الحمراء تتكشف أمام أعينهم مباشرةً.
انتظر دقيقة. مدفوعات الموردين لدينا ليست بهذا الحجم عادةً. ولماذا يرسل لي رئيسي بريدًا إلكترونيًا حول هذا الموضوع مباشرةً بدلًا من إرساله عبر نظام المحاسبة؟ من الأفضل أن أتابع هذا الأمر.
نصيحة أخرى: عند متابعة الطلبات المشبوهة، حاول استخدام قناة اتصال مختلفة. إذا أرسل رئيسك في العمل بريدًا إلكترونيًا غريبًا، فاتصل به للتأكيد. إذا كانت الرسالة الأصلية عبارة عن هجوم هندسة اجتماعية، فإن الرد عليها مباشرةً سيقودك مباشرةً إلى المحتالين.
يبدو الأمر بديهيًا، لكن الكثير من المؤسسات تعتمد على تدريبات عامة في مجال الأمن السيبراني لا تتناول الهجمات الحقيقية التي يواجهها موظفوها.
لا يمكنني أن أخبرك كم مرة راجعت فيها تدريبًا لأحد العملاء لأجد أنه قديم للغاية، ويركز على أشياء لم يعد المهاجمون يفعلونها حتى. (الظاهر: أمراء نيجيريون. الباطن: استثمارات العملات المشفرة.)
يجب بناء دورات التوعية حول أفضل الممارسات القياسية في الصناعة والسياق الفريد لمؤسستك على حد سواء. هل تتلقى أنواعًا محددة من المكالمات الهاتفية؟ هل يستخدم المحتالون ذرائع وشخصيات معينة عندما يستهدفون موظفيك؟ ادمج ذلك في التدريب على الوعي الأمني.
أحد أنواع التدريب التي تحظى باهتمام أقل مما يستحقه هو استخدام تمارين النطاق الإلكتروني.
النطاقات السيبرانية هي بيئات مادية أو افتراضية تحاكي شبكات العالم الحقيقي والهجمات السيبرانية. نحن نستخدمها لإجراء محاكاة لأزمات سيبرانية، حيث نضع مسؤولين تنفيذيين وأعضاء فريق آخرين في هجوم محاكاة — مثل عدوى برامج الفدية – ونرى كيف يستجيبون.
لئلا تظن أنني أقوم بالترويج لشركات ساحات التدريب السيبراني الكبرى، دعني أقول هذا: ربما تكون أكبر فائدة لمحاكاة أزمة سيبرانية هي أنها يمكن أن تساعدك في اكتشاف ما هو مفقود من خطط الاستجابة للأزمات لديك.
تدخل العديد من المؤسسات إلى نطاقاتنا السيبرانية بخطة موضوعة، ولكن عندما يحين وقت التنفيذ الفعلي، سرعان ما تجد ثغرات كبيرة في تلك الخطط: تكتيكات هجوم لم تكن في الحسبان، ومسؤوليات لم يتم تحديدها قط، وخطط اتصالات لم يتم توضيحها أبدًا.
من خلال إجراء محاكاة لأزمة سيبرانية، يمكن للفرق تحديد مسؤوليات كل فرد ومن يعمل مع من قبل أن يطرق المخترقون الأبواب. وبهذه الطريقة، لن يجلس أحد يحتسي القهوة في غرفة الاستراحة بينما تحترق الشبكة ككلب "هذا جيد.
إحدى أسهل الطرق لإيقاف المهاجمين هي طلب التحقق لكل طلب مهم أو غير معتاد: دفع الفواتير، مشاركة معلومات سرية، مساعدة مديرك التنفيذي في شراء بطاقات هدايا iTunes لطاقم التنظيف.
(حسنًا، الأخير هو بالتأكيد عملية احتيال.)
تكمن المشكلة في أن العديد من المؤسسات تستخدم عوامل التحقق التي يسهل تخمينها، مثل أعياد الميلاد أو تواريخ البدء. بدلاً من ذلك، أوصي بعوامل يصعب التلاعب بها أو اكتشافها.
على سبيل المثال، في الصيف الماضي، أحبط مسؤول تنفيذي في Ferrari محاولة احتيال (بالتصيد الصوتي) عن طريق سؤال المحتالين—الذين كانوا يستخدمون أدوات استنساخ الصوت لانتحال شخصية الرئيس التنفيذي!—عما إذا كانوا يتذكرون الكتاب الذي أوصى به الرئيس التنفيذي الحقيقي مؤخرًا. أغلق المحتالون المرتبكون المكالمة على الفور.
ما لم تكن تدير مكتبة، لا يمكنك على الأرجح أن تستند في جميع عمليات التحقق إلى توصيات الكتب. ولكن يمكنك القيام بأشياء أخرى. استخدم أحد عملائي كلمات مرور دوارة تتغير كل يوم إثنين. ولسوء الحظ، كان هذا هو عامل التحقق الوحيد الذي استخدموه، لذلك تمكنت من اختراق نظامهم عن طريق خداع شخص ما لإعطائي كلمة المرور.
وهو ما يقودني إلى نقطتي التالية: الطبقات. لا تطلب عامل تحقق واحد. اطلب اثنين أو ثلاثة. كلما زادت مخاطر الطلب، زادت العوامل التي يجب أن تطلبها. يصعب على المحتالين خداع أي شخص عندما يحتاجون إلى جمع معلومات متعددة.
يمكنك إخضاع الجميع لتدريب على أحدث طراز وتطوير سياسات مُحكمة. إذا لم يكن لدى الموظفين الأدوات التي يحتاجون إليها لممارسة ما تدعو إليه، فإن كل ذلك لا يساوي شيئًا عمليًا.
دعونا نعود إلى القصة التي رويتها في الأعلى. لقد تصرفت فيها ببعض الحرية الإبداعية. ليس صحيحًا أن أحدًا لم يلاحظني. لقد لاحظني شخص واحد—المرأة التي تبعتها إلى داخل المبنى.
نظر، للدخول، كان على الموظفين تمرير بطاقة تعريف. لم تكن لدي واحدة، لذا اضطررت إلى استخدام فن التسلل القديم—أعني بذلك، اللحاق بشخص عن قرب شديد حتى يمسك الباب مفتوحًا لك، لأن إغلاقه في وجهك سيكون وقحًا.
كان بإمكاني أن أقول وأنا أتابع هذه المرأة أنها كانت تعرف أن هناك شيئًا ما يحدث. إن النظرة الغاضبة التي أطلقتها علي قالت كل شيء. وبعد أن أدركت أن غطائي قد انكشف، استعددتُ لحارس أمن قوي البنية ليأخذني ويرميني خارجًا على طريقة الرسوم المتحركة.
ومما أثار دهشتي أن ذلك لم يحدث. تمكنت من التنقل بزرع وحدات تخزين USB مثل جنية البرامج الضارة لساعات قبل التحضير للمواجهة الحاسمة في مكتب الاستقبال.
وبينما كنت أقف هناك، أشاهد موظفة الاستقبال تطبع سيرتي الذاتية، التقطت جزءًا من محادثة غريبة تدور خلفي مباشرةً. كان أحدهم يصف شخصًا رآه، وبدا لي أنه يشبهني كثيرًا. ملابسي. طولي. لون شعري.
بعناية، وبسرعة، نظرت من فوق كتفي. كانت هناك. المرأة التي كانت عند الباب تصفني لحارس أمن كان يتفحص لقطات الكاميرا على حاسوبه المحمول. يبحث عني وأنا أقف على بُعد أقدام قليلة فقط.
بطريقة ما، كنت لا أزال قادرة على التسلل دون أن يتم اكتشافي.
عندما عدت لمناقشة نتائج تقييمي مع عميلي، كان أول شيء سألته: "ما الذي استغرق كل هذا الوقت؟" رصدتني المرأة أثناء دخولي البناية، لكنها لم تبلغ عني إلا بعد ثلاث أو أربع ساعات.
قمنا ببعض البحث، واتضح أنها أرادت الإبلاغ عني في وقت أقرب بكثير. هي فقط لم تعرف كيف. استغرقها الأمر بضع ساعات للعثور على عنوان البريد الإلكتروني الصحيح وبضع ساعات أخرى حتى يرد عليها الأمن.
أرى هذا النوع من الأشياء كثيراً: شخص ما يمسك بي وأنا ألحق به. أقول "شكرًا لك!" بصوتي الأكثر مرحًا. ينظر إلي من أعلى إلى أسفل. لم يتعرف عليّ. لكن ماذا يفترض أن يفعل؟
إنهم لا يعرفون ماذا يقولون. إنهم لا يعرفون كيفية منع شخص ما من تتبعهم، أو كيفية رفض طلب شخص غريب باستخدام طابعة بأدب. لا يتم بالضرورة تعليم الناس التشكيك في الآخرين عندما تكون الطبيعة البشرية تميل إلى المساعدة—ناهيك عن قول "لا" بشكل قاطع.
وجهة نظري هي أنه لا يكفي إصدار أوامر مثل "لا تسمح للغرباء بالدخول إلى المبنى" أو "أبلغ الأمن عن الأشخاص المشبوهين". اشرح للموظفين كيف تبدو هذه العملية بالضبط، وامنحهم فرصًا للتدرب عليها كجزء من تدريبهم.
إذا رأيت شخصًا يتجول بدون شارة هوية ولا يبدو مألوفًا لك، أوقفه. اسأل، "هل يمكنني مساعدتك؟ لنقم بتسجيل دخولك." إذا سأل شخص ما عن استخدام طابعة، فقل: "يجب أن أحضر لك تصريح دخول أولًا —مجرد إجراء شكلي! لنذهب إلى الأمن بسرعة."
ولا تتوقع أن يحفظ الناس هذه الخطوات. من السهل أن تصاب بالارتباك عندما تواجه الأمر الحقيقي. تأكد من أن كل محطة عمل — كل جهاز ومكتب — لديها دليل متاح بسهولة للاستجابة لهجمات الهندسة الاجتماعية المادية والرقمية. قم بتضمين أرقام الهواتف المهمة وعناوين البريد الإلكتروني وتعليمات إعداد التقارير خطوة بخطوة.
لو كانت تلك المرأة قادرة على التصرف بمجرد رؤيتي لما تمكنت من خداع موظفة الاستقبال.
لذا، إذا فكرت في الأمر حقًا، ستجد أن اللوم يقع عليها. ليس علي.