ما المقصود بالهندسة الاجتماعية؟

رسالة البريد الإلكتروني التي تبدو وكأنها واردة من زميل عمل موثوق به وتطلب معلومات حساسة، ورسالة البريد الصوتي التهديدية التي تدعي أنها من مصلحة الضرائب الأمريكية، وعروض الثراء من أحد الأغنياء الأجانب، كل ذلك ما هو إلا أمثلة قليلة عن الهندسة الاجتماعية. ونظرًا إلى أن الهندسة الاجتماعية تستخدم التلاعب النفسي وتستغل الأخطاء أو نقاط الضعف البشرية بدلاً من الثغرات التقنية أو الرقمية في الأنظمة، فإنها يطلق عليها أحيانًا "الاختراق البشري".

كثيرًا ما يستخدم المجرمون الإلكترونيون أساليب الهندسة الاجتماعية للحصول على بيانات شخصية أو معلومات مالية، بما في ذلك بيانات اعتماد تسجيل الدخول وأرقام بطاقات الائتمان وأرقام الحسابات المصرفية وأرقام الضمان الاجتماعي. ويستخدمون المعلومات المسروقة لانتحال الشخصية، ما يمكنهم من إجراء عمليات شراء باستخدام أموال أو بطاقات ائتمان الآخرين، أو التقدم بطلب الحصول على قروض باسم شخص آخر، أو التقدم بطلب للحصول على إعانات البطالة المستحقة لأشخاص آخرين، وغير ذلك الكثير.

لكن هجوم الهندسة الاجتماعية يمكن أن يكون أيضًا المرحلة الأولى من هجوم إلكتروني أوسع نطاقًا. على سبيل المثال، قد يخدع المجرم الإلكتروني الضحية لمشاركة اسم المستخدم وكلمة المرور، ثم يستخدم بيانات الاعتماد هذه لتثبيت برامج فدية على شبكة جهة عمل الضحية.

تُعد الهندسة الاجتماعية وسيلة جذابة للمجرمين الإلكترونيين لأنها تمكنهم من الوصول إلى الشبكات الرقمية والأجهزة والحسابات من دون الحاجة إلى إجراء أعمال تقنية صعبة مثل اختراق جدران الحماية، وبرامج مكافحة الفيروسات، وغيرها من ضوابط الأمن الإلكتروني .

وهذا هو أحد الأسباب التي تجعل الهندسة الاجتماعية السبب الرئيسي وراء حوادث اختراق الشبكات اليوم وفقًا لتقرير وضع الأمن الإلكتروني لعام 2022 الصادر عن جمعيات تدقيق ومراقبة نظم المعلومات (ISACAs). وفقًا لتقرير تكلفة خرق البيانات الصادر عن IBM، كانت حوادث الاختراق الناتجة عن أساليب الهندسة الاجتماعية (مثل التصيد الاحتيالي واختراق البريد الإلكتروني للشركات) من بين الأعلى تكلفة.

ترتكز أساليب وتقنيات الهندسة الاجتماعية على علم الدوافع البشرية. فهي تتلاعب بمشاعر الضحايا وغرائزهم بطرق ثبت أنها تدفع الناس إلى اتخاذ إجراءات تضر بمصلحتهم.

تستخدم معظم هجمات الهندسة الاجتماعية واحدًا أو أكثر من الأساليب التالية:

• التظاهر كعلامة تجارية موثوقة: غالبًا ما ينتحل المحتالون هوية أو يدعون أنهم " شركة" من الشركات التي يعرفها الضحايا ويثقون بها وربما يتعاملون معها كثيرًا أو بشكل دوري، لدرجة أنهم يتبعون تعليمات هذه العلامات التجارية من دون تردد، ومن دون اتخاذ الاحتياطات المناسبة. يستخدم بعض محتالي الهندسة الاجتماعية مجموعات الأدوات المتوفرة على نطاق واسع لإنشاء مواقع الويب المزيفة التي تشبه تلك الخاصة بالعلامات التجارية أو الشركات الكبرى.

• التظاهر كهيئة حكومية أو شخصية ذات سلطة: يثق الناس بالسلطات أو يحترمونها أو يخشون منها (بدرجات متفاوتة). تلعب هجمات الهندسة الاجتماعية على هذه الغرائز من خلال رسائل تبدو أو تدّعي أنها من هيئات حكومية (على سبيل المثال: مكتب التحقيقات الفيدرالي أو مصلحة الضرائب الأمريكية)، أو شخصيات سياسية أو حتى مشاهير.

• إثارة الخوف أو الشعور بالعجلة: يميل الناس إلى التصرف بتهور عند الشعور بالخوف أو الاستعجال. يمكن أن تستخدم عمليات الاحتيال في الهندسة الاجتماعية أي عدد من التقنيات لإثارة شعور الخوف أو العجلة لدى الضحايا. على سبيل المثال، إخبار الضحية بعدم الموافقة على معاملة ائتمانية حديثة، أو أن فيروسًا قد أصاب جهاز الكمبيوتر الخاص بها، أو أن الصورة المستخدمة على موقعه تنتهك حقوق الطبع والنشر وما إلى ذلك. يمكن للهندسة الاجتماعية أيضًا أن تستغل خوف الضحايا من تفويت الفرص (FOMO)، ما يتسبب في نوع مختلف من الشعور بالعجلة.

• استغلال الجشع: تُعد عملية احتيال الأمير النيجيري، وهي رسالة بريد إلكتروني يدعي فيها شخص ما أنه أحد أفراد العائلة المالكة النيجيرية ويحاول الفرار من بلاده ويقدم مكافأة مالية ضخمة في مقابل معلومات الحساب المصرفي لمتلقي الرسالة أو رسوم مسبقة صغيرة، واحدة من أشهر الأمثلة على الهندسة الاجتماعية التي تستغل الجشع. ويمكن أن يأتي هذا النوع من هجوم الهندسة الاجتماعية أيضًا من شخصية تدعي أنها ذات سلطة مع إثارة الشعور بالعجلة، وهو ما يُعد مزيجًا قويًا. هذه الحيلة قديمة قدم البريد الإلكتروني نفسه، ولكنها لا تزال تحقق أرباحًا تقدر بنحو 700000 دولار أمريكي سنويًا حتى عام 2018.

• استغلال الرغبة في المساعدة أو الفضول: يمكن لحيل الهندسة الاجتماعية أن تستغل أيضًا الفطرة السليمة للضحايا. على سبيل المثال، قد تظهر رسالة تبدو وكأنها واردة من صديق أو من موقع تواصل اجتماعي لتقديم مساعدة تقنية، أو تطلب المشاركة في استطلاع، أو تدعي أن منشور متلقي الرسالة قد انتشر على نطاق واسع، ثم توفر رابطًا مزيفًا لموقع مزيف أو رابط تحميل برنامج ضار .

هجمات التصيد الاحتيالي هي رسائل رقمية أو صوتية تحاول خداع متلقي الرسالة لمشاركة معلومات حساسة، أو تحميل برامج خبيثة، أو تحويل أموال أو أصول إلى الأشخاص الخطأ، أو اتخاذ أي إجراءات ضارة أخرى. يصمم المحتالون رسائل التصيّد الاحتيالي لتبدو أو تُسمع وكأنها واردة من مؤسسة أو فرد موثوق به أو ذي مصداقية، وأحيانًا حتى من شخص يعرفه متلقي الرسالة شخصيًا.

يوجد العديد من أنواع عمليات التصيد الاحتيالي:

• تُرسل رسائل التصيد الاحتيالي عبر البريد الإلكتروني بكميات كبيرة إلى ملايين المستلمين في وقت واحد. وتبدو وكأنها مرسلة من شركة أو مؤسسة كبيرة ومعروفة، مثل بنك وطني أو عالمي، أو شركة بيع بالتجزئة عبر الإنترنت كبيرة، أو مقدم خدمات دفع عبر الإنترنت شهير، وما إلى ذلك. في رسائل البريد الإلكتروني هذه يقدمون طلبًا عامًا مثل "نواجه مشكلة في معالجة عملية شرائك، يُرجى تحديث معلومات بطاقتك الائتمانية". في كثير من الأحيان، تتضمن هذه الرسائل رابطًا خبيثًا ينقل المستلم إلى موقع إلكتروني مزيف يسجل اسم المستخدم وكلمة المرور وبيانات بطاقة الائتمان الخاصة بالمستلم وغير ذلك الكثير.

• يستهدف التصيد بالرمح شخصًا معينًا، وعادةً ما يكون هذا الشخص لديه حق الوصول إلى معلومات المستخدمين أو شبكة الكمبيوتر أو أموال الشركة. يُجري المحتال بحثًا عن الضحية المستهدفة، وغالبًا ما يستخدم المعلومات التي عثر عليها على LinkedIn أو Facebook أو أي موقع تواصل اجتماعي أخر لإنشاء رسالة تبدو وكأنها واردة من شخص تعرفه الضحية المستهدفة ويثق به أو تذكر مواقف تعرفها الضحية المستهدفة. تصيد الحيتان هو نوع من هجمات التصيد بالرمح يستهدف شخصًا بارزًا، مثل مدير تنفيذي أو شخصية سياسية. في اختراق البريد الإلكتروني للشركات (BEC)، يستخدم المخترق بيانات الاعتماد المخترقة لإرسال رسائل بريد إلكتروني من حساب البريد الإلكتروني الفعلي لشخص مسؤول، ما يجعل اكتشاف عملية الاحتيال أكثر صعوبة.

• التصيد الاحتيالي الصوتي أو Vishing، هو عملية تصيد احتيالي تُجرى من خلال المكالمات الهاتفية. يتعرض الأفراد عادةً للتصيد الصوتي في شكل مكالمات تهديدية مسجلة تدعي أنها واردة من مكتب التحقيقات الفيدرالي.

• التصيد الاحتيالي عبر الرسائل النصية القصيرة، أو Smishing، هو تصيد احتيالي يُجرى من خلال رسالة نصية.

• ينطوي التصيّد الاحتيالي عبر محركات البحث على إنشاء المخترقين لمواقع ويب خبيثة تظهر في أوائل نتائج البحث عن مصطلحات البحث الشائعة.

• التصيد الاحتيالي Angler هو تصيد احتيالي باستخدام حسابات وهمية على وسائل التواصل الاجتماعي تتظاهر بأنها الحسابات الرسمية لفرق خدمة العملاء أو دعم العملاء في الشركات الموثوقة.

وفقًا إلى IBM® X-Force® Threat Intelligence Index، يُعد التصيد الاحتيالي العامل الرئيسي لنشر البرامج الضارة، حيث رُصد في 41% من إجمالي الحوادث. وفقًا لتقرير تكلفة خرق البيانات ، يُعد التصيد الاحتيالي هو العامل الأولي للهجوم الذي يؤدي إلى أكثر حوادث اختراق أمن البيانات تكلفة.

يغري الطُعم (من دون مبالغة) الضحايا ويدفعهم إلى تقديم معلومات حساسة أو تنزيل تعليمات برمجية خبيثة عن علم أو عن غير علم من خلال إغرائهم بعرض قيّم أو حتى بشيء ثمين .

وربما تكون عملية احتيال الأمير النيجيري هي أشهر مثال على تقنية الهندسة الاجتماعية هذه. ومن الأمثلة الحديثة على ذلك عمليات تنزيل الألعاب أو الأغاني أو البرامج المجانية ولكن المصابة ببرمجيات خبيثة. لكن بعض أشكال الإغراء ليست ماهرة على الإطلاق. على سبيل المثال، يترك بعض عناصر التهديد أقراص USB مصابة ببرامج خبيثة ليجدها الناس ويأخذونها ويستخدمونها بدافع "يا للهول، قرص USB مجاني".

في الملاحقة، والتي تسمى أيضًا "التطفل"، يتبع شخص غير مصرح له شخصًا مصرحًا له عن كثب للدخول إلى منطقة تحتوي على معلومات حساسة أو أصول قيمة. يمكن إجراء الملاحقة على أرض الواقع، فمثلاً يمكن أن يتبع عنصر التهديد موظفًا للدخول من باب تُرك مفتوحًا. لكن الملاحقة يمكن أن تكون أيضًا أسلوبًا رقميًا، مثل عندما يترك شخص جهاز كمبيوتر من دون مراقبة بينما لا يزال مسجلاً الدخول إلى حساب أو شبكة خاصة.

في الاحتيال بالذرائع، يختلق عنصر التهديد موقفًا وهميًا للضحية، ويتظاهر بأنه الشخص المناسب لحله. في كثير من الأحيان (وهو من المفارقات) يدعي المحتال أن الضحية قد تأثر بحادثة اختراق أمني، ثم يعرض إصلاح الأمور إذا قدم الضحية معلومات مهمة عن الحساب أو تحكم في جهاز الكمبيوتر أو الجهاز الخاص بالضحية. من الناحية الفنية، يتضمن كل هجوم من هجمات الهندسة الاجتماعية تقريبًا درجة معينة من الذرائع.

في احتيال المقايضة، يعرض المخترقون سلعة أو خدمة مرغوبة مقابل الحصول على معلومات حساسة للضحية. الفوز المزيف في المسابقات أو مكافآت الولاء التي تبدو بريئة ("شكرًا لك على الدفع، لدينا هدية لك") هي أمثلة على حيل المقايضة.

تُعد برمجيات التخويف أيضًا شكلاً من أشكال البرامج الضارة، وهي برامج تستخدم الخوف للتلاعب بالأشخاص ودفعهم إلى مشاركة معلومات سرية أو تنزيل برنامج ضار. غالبًا ما تتخذ برمجيات التخويف شكل إشعار مزيف من جهات إنفاذ القانون يتهم المستخدم بارتكاب جريمة، أو رسالة دعم تقني مزيفة تحذر المستخدم من وجود برنامج ضار على جهازه.

من خلال عبارة "شخص ما سمم حفرة الري"، يضخ المخترقون تعليمات برمجية خبيثة في صفحة ويب شرعية يتردد عليها الأشخاص المستهدفون. تُعد هجمات حفرة الري مسؤولة عن كل شيء، بدءًا من سرقة بيانات الاعتماد وحتى تنزيلات برامج الفدية من دون علم.

من المعروف أن هجمات الهندسة الاجتماعية يصعب منعها لأنها تعتمد على علم النفس البشري بدلاً من المسارات التقنية. نطاق الهجوم يكون كبيرًا أيضًا: في المؤسسات الكبرى، لا يتطلب الأمر سوى خطأ واحد من موظف واحد لتعريض سلامة شبكة المؤسسة بأكملها للخطر. تتضمن بعض الخطوات التي يوصي بها الخبراء للحد من مخاطر ونجاح عمليات احتيال الهندسة الاجتماعية ما يلي:

• التدريب على الوعي الأمني: لا يعرف الكثير من المستخدمين كيفية التعرف على هجمات الهندسة الاجتماعية. في وقت يتبادل فيه المستخدمون المعلومات الشخصية مقابل سلع وخدمات، لا يدركون أن تقديم معلومات تبدو عادية، مثل رقم الهاتف أو تاريخ الميلاد، يمكن أن يسمح للمخترقين باختراق الحساب. يمكن أن يساعد التدريب على الوعي الأمني، إلى جانب سياسات أمن البيانات ، الموظفين على فهم كيفية حماية بياناتهم الحساسة وكيفية اكتشاف هجمات الهندسة الاجتماعية الجارية والاستجابة لها.

• سياسات التحكم في الوصول: يمكن لسياسات وتقنيات التحكم الآمن في الوصول، بما في ذلك المصادقة متعددة العوامل، والمصادقة التكيفية، ونهج أمن الثقة الصفرية أن تحد من وصول المجرمين الإلكترونيين إلى المعلومات والأصول الحساسة على شبكة الشركة حتى لو حصلوا على بيانات اعتماد تسجيل دخول المستخدمين.

• تقنيات الأمن الإلكتروني: يمكن لعوامل تصفية البريد العشوائي وبوابات البريد الإلكتروني الآمنة منع بعض هجمات التصيد الاحتيالي من الوصول إلى الموظفين أصلاً. ويمكن أن تخفف جدران الحماية وبرامج مكافحة الفيروسات من مدى الضرر الذي قد يلحقه المهاجمون الذين يتمكنون من الوصول إلى الشبكة. ويمكن أن يؤدي تحديث أنظمة التشغيل بأحدث التصحيحات الأمنية إلى سد بعض الثغرات الأمنية التي يستغلها المهاجمون من خلال الهندسة الاجتماعية. وكذلك، يمكن لحلول الكشف والاستجابة المتقدمة، بما في ذلك كشف نقطة النهاية والاستجابة لها (EDR) و الكشف والاستجابة الموسعة (XDR)، أن تساعد فرق الأمن على اكتشاف التهديدات الأمنية التي تصيب الشبكة من خلال أساليب الهندسة الاجتماعية وتحييدها.