الصفحة الرئيسية الموضوعات الاحتيال بالذرائع ما المقصود بالاحتيال بالذرائع؟
استكشف حل مكافحة الاحتيال بالذرائع من IBM اشترك في الرسالة الإخبارية من Think
رسم توضيحي مع مجموعة من الصور التوضيحية لسحابة وهاتف محمول وبصمة إصبع وعلامة اختيار

تم التحديث: 6 سبتمبر 2024  
المساهمون: Jim Holdsworth، وMatthew Kosinski

ما المقصود بالاحتيال بالذرائع؟

الاحتيال بالذرائع هو استخدام قصة ملفقة أو ذريعة لكسب ثقة الضحية وخداعها أو التلاعب بها لمشاركة معلومات حساسة أو تنزيل برامج ضارة أو إرسال الأموال إلى المجرمين أو إلحاق الأذى بأنفسهم أو المؤسسة التي يعملون بها.

يعتمد الشخص المخادع في أسلوبه على الثقة. تتمثل قصة الذريعة في الوسيلة التي يتم من خلالها كسب ثقة الضحية في هجمات الهندسة الاجتماعية المستهدفة مثل التصيد الاحتيالي المستهدف، وهجمات التصيد الموجهة ضد أهداف رفيعة المستوى وعمليات الاحتيال المعتمدة على انتحال هوية مسؤول في العمل. لكن المجرمين الإلكترونيين وكذلك المجرمون التقليديون قد يستخدمون أيضًا الذرائع وحدها لسرقة معلومات أو أصول قيِّمة من الأفراد أو المؤسسات.

حدِّد موعدًا لحضور جلسة إحاطة استكشافية مع فريق X-Force

ناقش التحديات الأمنية الخاصة بمؤسستك والطرق التي يمكننا من خلالها مساعدتك.

آلية عمل الاحتيال بالذرائع: الشخصيات والمواقف

في كثير من الأحيان، يبتكر الفاعل المهدِّد موقفًا وهميًا للضحية ويتظاهر بأنه شخص موثوق به يمكنه حله. في كتاب Social Engineering Penetration Testing، لاحظ المؤلفون أن معظم الذرائع تتكون من عنصرين أساسيين: شخصية وموقف.1

الشخصية هي الدور الذي يلعبه المحتال في القصة. لبناء المصداقية مع الضحية المحتملة، غالبًا ما ينتحل المحتال شخصية شخص له سلطة على الضحية، مثل رئيس أو مسؤول تنفيذي أو شخص تميل الضحية إلى الوثوق به. قد تكون هذه الشخصية (المزيفة) زميلًا في العمل أو موظفًا في تكنولوجيا المعلومات أو مزود خدمة. وقد يحاول بعض المهاجمين انتحال شخصية صديق للضحية المستهدفة أو انتحال شخصية أحد أفراد أسرتها.

الموقف هو حبكة قصة المحتال المزيفة - السبب الذي يجعل الشخصية (المحتال) تطلب من الضحية اتخاذ بعض الإجراءات. قد تكون المواقف عامة، مثل: "يجب عليك تحديث معلومات حسابك". أو قد تكون القصة محددة، خاصة إذا كان المحتال يستهدف ضحية معينة: "أحتاج إلى مساعدتك يا جدتي".

ولجعل انتحال شخصيتهم ومواقفهم قابلة للتصديق، غالبًا ما يبحث ممثلو التهديد عن شخصياتهم وهدفهم عبر الإنترنت. وهذا البحث ليس صعبًا. وفقًا لبعض التقديرات، يمكن للمخترقين إنشاء قصة مقنعة تعتمد على معلومات تم جمعها من مواقع التواصل الاجتماعي ومصادر عامة أخرى، مثل Google أو LinkedIn، بعد 100 دقيقة فقط من البحث عبر الإنترنت.

يمكن أن يؤدي الانتحال -تزوير عناوين البريد الإلكتروني وأرقام الهواتف لجعلها تبدو كما لو كانت الرسالة قادمة من مصدر آخر- إلى جعل سيناريوهات الذرائع أكثر تصديقًا. أو قد يذهب ممثلو التهديد إلى أبعد من ذلك ويختطفون حساب البريد الإلكتروني أو رقم الهاتف الخاص بشخص حقيقي لإرسال رسالة احتيال بالذريعة. حتى إن هناك قصصًا عن مجرمين يستخدمون الذكاء الاصطناعي لاستنساخ أصوات الناس.

تقنيات الاحتيال بالذرائع والهندسة الاجتماعية

الاحتيال بالذرائع هو عنصر أساسي في العديد من أساليب الهندسة الاجتماعية، بما في ذلك:

  • التصيد الاحتيالي
  • الاصطياد
  • التسلسل
التصيد الاحتيالي

الاحتيال بالذرائع شائع في هجمات التصيد المستهدف مثل التصيد الاحتيالي المستهدف، الذي يستهدف فردًا معينًا، وهجمات التصيد الموجهة للمسؤولين الكبار، والتي تستهدف مديرًا تنفيذيًا أو موظفًا يتمتع بامتياز الوصول إلى المعلومات أو الأنظمة الحساسة.  

لكن الاحتيال بالذرائع له دور أيضًا في عمليات الاحتيال غير المستهدفة، مثل عمليات التصيد عبر البريد الإلكتروني العشوائي أو التصيد الصوتي (vishing) أو التصيد عبر الرسائل النصية القصيرة (smishing).

على سبيل المثال، قد يُرسل أحد المحتالين رسالة نصية مفادها "[اسم البنك العالمي هنا]: حسابك في حالة عجز" إلى ملايين الأشخاص، متوقعًا أن نسبة من المستلمين هم عملاء للبنك وأن نسبة من هؤلاء العملاء قد تستجيب للرسالة. نسبة صغيرة حتى من الضحايا يمكن أن تؤدي إلى حصيلة كبيرة للمحتالين.

الاصطياد

في هذه الأنواع من الهجمات، يخدع المجرم الضحية لتنزيل برامج ضارة عن طريق إغرائها بطُعم جذاب ولكنه مخترق. قد يكون الطُعم ماديًا، مثل محرك أقراص فلاش USB محمَّل برمز ضار ويُترك بشكل واضح في مكان عام. أو يمكن أن يكون الطُعم رقميًا، مثل الإعلان عن التنزيلات المجانية للأفلام التي تبين أنها برامج ضارة. 

غالبًا ما يستخدم المحتالون الذرائع لجعل الطُعم أكثر جاذبية. على سبيل المثال، قد يقوم المخادع بوضع ملصقات على محرك أقراص USB محمول تم اختراقه للإشارة إلى أنه ينتمي إلى شركة معينة ويحتوي على ملفات مهمة. 

التسلسل

يمكن أيضًا استخدام الذرائع في عمليات الاحتيال الشخصية، مثل التسلل غير المصرَّح به (Tailgating). والذي يُعرَف أيضًا باسم "Piggybacking" (الدخول المرافق)، وهو عندما يتَّبِع شخص غير مصرَّح له شخصًا مصرَّحًا له إلى موقع مادي يتطلب الدخول إليه تصريحًا، مثل مبنى مكاتب آمن. يستخدم المحتالون الذرائع لجعل محاولاتهم أكثر نجاحًا، على سبيل المثال، قد يتظاهر المحتال بأنه عامل توصيل ويطلب من موظف غير متشكك فتح باب مغلق له.

أمثلة على الذرائع

تُعَد عمليات الاحتيال التي تعتمد على انتحال الشخصية، مثل الاحتيال بالذرائع (Pretexting)، أكثر أنواع الاحتيال شيوعًا وفقًا لتقرير هيئة التجارة الفيدرالية (FTC)، حيث بلغت الخسائر المُبلَغ عنها 2.7 مليار دولار أمريكي نتيجةً لهذه العمليات في العام الماضي.2 ومن الأنواع الأكثر شيوعًا من عمليات الاحتيال بالذرائع ما يلي:

  • عمليات الاحتيال المتعلقة بتحديث الحساب
  • الاحتيال من خلال اختراق البريد الإلكتروني للأعمال
  • عمليات الاحتيال بالعملات المشفرة
  • الاحتيال على كبار السن
  • عمليات الاحتيال المتعلقة بالفواتير
  • عمليات الاحتيال المتعلقة بدائرة الإيرادات الداخلية والحكومة
  • عمليات الاحتيال في عروض العمل
  • عمليات الاحتيال الرومانسية والاجتماعية
  • الاحتيال باستخدام برامج التخويف
عمليات الاحتيال المتعلقة بتحديث الحساب

في هذا الهجوم الإلكتروني، يتظاهر المحتال بأنه ممثل لشركة تنبِّه الضحية إلى وجود مشكلة في حسابها، مثل معلومات الفواتير منتهية الصلاحية أو عملية شراء مشبوهة. يقوم المحتال بإدراج رابط يأخذ الضحية إلى موقع وهمي يسرق منها بيانات اعتماد الدخول، ومعلومات بطاقة الائتمان، ورقم حساب البنك، أو رقم الضمان الاجتماعي.

الاحتيال من خلال اختراق البريد الإلكتروني للأعمال

اختراق البريد الإلكتروني للأعمال (BEC) هو نوع من هجمات الهندسة الاجتماعية المستهدفة التي تعتمد بشكل كبير على الاحتيال بالذرائع. %25 من جميع هجمات BEC (الرابط موجود خارج موقع ibm.com) في الوقت الحالي تبدأ بالذرائع. 

في هجمات BEC، تكون الشخصية هي المدير التنفيذي للشركة في الحياة الواقعية أو شريك أعمال رفيع المستوى يتمتع بالسلطة أو النفوذ على الهدف. ولأن المحتال يتظاهر بأنه شخص في موقع سلطة، فإن العديد من الأهداف ستوافق ببساطة.

الموقف هو حاجة الشخصية للمساعدة في مهمة (دائمًا تقريبًا) عاجلة. على سبيل المثال، "أنا عالق في المطار ونسيت كلمة المرور الخاصة بنظام الدفع. هل يمكنك تذكيري من فضلك؟" أو "هل يمكنك تحويل مبلغ XXX,XXX دولار أمريكي إلى الحساب البنكي رقم YYYYY لدفع الفاتورة المرفقة؟ سريعًا، قبل أن يقوموا بإلغاء خدمتنا".

من خلال انتحال شخصية المدير عبر الرسائل النصية، والبريد الإلكتروني، والمكالمات الهاتفية، وحتى مقاطع الفيديو التي تم إنشاؤها بواسطة الذكاء الاصطناعي، يمكن للمحتالين غالبًا خداع الموظفين للكشف عن معلومات حساسة أو حتى ارتكاب جرائم.

في إحدى الحالات الشهيرة، انتهى مؤتمر إلكتروني مسجَّل مسبقًا (ومُنتج بالذكاء الاصطناعي) بتعليمات من القيادة العليا المزيفة أقنعت أحد الموظفين بتحويل 200 مليون دولار هونج كونج إلى المهاجمين.4

عامًا بعد عام، تُصنَّف هجمات BEC على أنها من بين أغلى الجرائم الإلكترونية وتقنيات الهندسة الاجتماعية. ووفقًالتقرير تكلفة خرق البيانات الصادر عن IBM، تتسبَّب عمليات اختراق أمن البيانات الناتجة عن هجمات BEC في خسائر للمؤسسات الضحية بمتوسط قدره 4.88 ملايين دولار أمريكي. 

ووفقًا للبيانات من مركز شكاوى الجرائم الإلكترونية التابع لمكتب التحقيقات الفيدرالي (FBI)، تسبَّبت هجمات BEC في خسائر إجمالية تقرُب من 2.9 مليار دولار أمريكي للضحايا في عام 2023.3

 

عمليات الاحتيال المتعلقة بالعملات المشفرة

منتحل صفة مستثمر ناجح لديه فرصة استثمارية "مضمونة" في العملات الرقمية، يقوم المحتال بتوجيه الضحية إلى بورصة عملات رقمية مزيفة، حيث تُسرق المعلومات المالية أو الأموال الخاصة بالضحية. 

في أحد المتغيرات طويلة الأجل لعملية الاحتيال هذه، والتي تُسمَّى "ذبح الخنازير"، يقوم المحتال بتنمية علاقة مع الضحية وكسب ثقتها من خلال وسائل التواصل الاجتماعي. بعد ذلك، يقدم المحتال "فرصة عمل" للضحية، التي يتم توجيهها إلى موقع للعملات المشفرة لإجراء الودائع. وقد يزعم الموقع بشكل مضلل وجود مكاسب في قيمة الاستثمار، ولكن لا يمكن سحب العملة نهائيًا.5 

الاحتيال على كبار السن

كما هو الحال مع العديد من حيل الهندسة الاجتماعية، غالبًا ما يستهدف هذا النوع من الحيل كبار السن. يتظاهر مجرم الإنترنت بأنه حفيد الضحية ويتظاهر بأنه في مشكلة من نوع ما -مثل تعرضه لحادث سيارة أو اعتقاله- ويحتاج إلى أن يرسل له أجداده المال حتى يتمكن من دفع فواتير المستشفى أو دفع الكفالة. 

عمليات الاحتيال المتعلقة بالفواتير

يتلقى الضحية المقصود فاتورة لخدمة أو منتج لم يطلبه أو لم يستخدمه. غالبًا ما يريد المحتال من الضحية أن تنقر على رابط في رسالة بريد إلكتروني لطلب المزيد من المعلومات أو تقديم شكوى من التهمة. ثم يُطلب من الضحية تقديم معلومات تحديد الهوية الشخصية (PII) للتحقق من حسابها. وتلك المعلومات الخاصة هي ما كان يسعى إليه المحتال منذ البداية.

عمليات الاحتيال المتعلقة بدائرة الإيرادات الداخلية والحكومة

يتظاهر المحتال بأنه مسؤول في دائرة الإيرادات الداخلية (IRS) أو أحد ضباط إنفاذ القانون أو غيرهم من ممثلي الحكومة، ويدَّعي أن الهدف يواجه مشكلة ما. قد تكون هذه المشكلة هي عدم دفع الضرائب أو صدور أمر بالقبض عليه. عادةً، يطلب المحتال من الهدف المقصود إجراء عملية دفع لتجنُّب الاعتقال أو فرض رهن عقاري أو خصم الأجور. بالطبع، يذهب المبلغ المدفوع إلى حساب المحتال. 

عمليات الاحتيال المتعلقة بعروض العمل

قد يكون الباحث عن عمل على استعداد للإفصاح عن معلومات حساسة عادةً لصاحب عمل محتمل. ولكن إذا كان الوصف الوظيفي مزيفًا وتم نشره بواسطة أحد المحتالين، فقد يقع مقدم الطلب ضحية لسرقة الهوية.

عمليات الاحتيال الرومانسية والاجتماعية

يتظاهر المخادع بالبحث عن علاقة رومانسية مع الضحية. بعد الفوز بقلب الضحية، يطلب المحتال عادةً المال الذي سيزيل بعض العقبات الأخيرة أمام وجودهما معًا. وقد تكون هذه العقبة ديونًا مثقلة أو التزامًا قانونيًا، أو حتى تكلفة تذكرة طائرة لزيارة الضحية.

الاحتيال باستخدام برامج التخويف

البرامج المخيفة هي عملية احتيال هندسية اجتماعية تستخدم الخوف لخداع الأشخاص وحملهم على تنزيل البرامج الضارة أو خسارة الأموال أو تسليم البيانات الشخصية.

يمكن أن تكون الذريعة المخيفة تحذيرًا كاذبًا من فيروس، أو عرضًا مزيفًا للدعم الفني، أو احتيالًا متعلقًا بجهات إنفاذ القانون. قد تظهر نافذة منبثقة تحذِّر الضحية من أنه تم العثور على "مواد غير قانونية" على جهازها الرقمي، أو قد يظهر "اختبار تشخيصي" عبر الإنترنت يخبر الضحية بأن جهازها تم اختراقه ويتعين عليها تنزيل (برامج مكافحة الفيروسات المزيفة) لإصلاحه. 

خطوات الأمن الإلكتروني للمساعدة في منع الاحتيال بالذرائع

كما هو الحال مع أي شكل آخر من أشكال الهندسة الاجتماعية، قد يكون من الصعب إيقاف محاولات الاحتيال بالذرائع؛ لأنها تستغل علم النفس البشري بدلًا من نقاط الضعف التقنية التي يمكن علاجها. ولكن هناك العديد من الخطوات التي يمكن للمؤسسات اتخاذها.

  • استخدام بروتوكول DMARC
  • التدريب على التوعية الأمنية
  • استخدام تقنيات الأمن الإلكتروني الأخرى
مصادقة الرسائل المعتمدة على النطاق، والتقارير، والامتثال (DMARC)

بروتوكول DMARC هو بروتوكول مصادقة للبريد الإلكتروني يمكنه المساعدة على منع التزييف. من خلال تحليل النص والبيانات الوصفية للرسائل بحثًا عن مؤشرات شائعة على الاختراق، يتحقق DMARC من إذا ما كانت الرسالة الإلكترونية قد أُرسلت من النطاق الذي تدَّعي أنها تأتي منه. وإذا كانت الرسالة الإلكترونية مزيفة، يمكن تحويلها تلقائيًا إلى مجلد الرسائل المزعجة أو حذفها.

التدريب على التوعية الأمنية

ولأن الاحتيال بالذرائع يتلاعب بالأشخاص لتعريض أمنهم للخطر، فإن تدريب الموظفين على اكتشافه والاستجابة له بشكل صحيح يمكن أن يساعد على حماية المؤسسة. يوصي الخبراء بإجراء عمليات محاكاة تستند إلى أمثلة واقعية للاحتيال بالذرائع؛ وذلك لمساعدة الموظفين على التمييز بينها وبين الطلبات المشروعة من الزملاء.  

وقد يتضمن التدريب أيضًا بروتوكولات واضحة لإجراءات المصادقة الصارمة مثل المصادقة متعددة العوامل (MFA)، والتعامل مع المعلومات القيِّمة، وتفويض المدفوعات، والتحقق من الطلبات مع مصادرها المفترضة قبل الامتثال.

قد يكون التحقق بسيطًا مثل إرسال رسالة نصية إلى المرسل المزعوم: "هل أرسلت هذا إليّ؟" أو رسالة إلى مكتب الخدمة: "هل يبدو هذا وكأنه متسلِّل؟" وقد تتضمن إجراءات المعاملات المالية متطلبات للتحقق من صحة الطلبات الواردة شخصيًا أو من خلال التواصل الشخصي المباشر.

قوانين مكافحة الاحتيال بالذرائع

تستهدف العديد من قوانين الصناعة الاحتيال بالذرائع صراحةً. ويجرم قانون Gramm-Leach-Bliley لعام 1999 الاحتيال بالذرائع فيما يتعلق بالمؤسسات المالية، ما يجعل الحصول على المعلومات المالية للعميل تحت ذرائع كاذبة جريمة. كما يفرض القانون على المؤسسات المالية تدريب الموظفين على اكتشاف عمليات الاحتيال بالذرائع ومنعها.

يحظر قانون حماية سجلات الهاتف والخصوصية لعام 2006 بشكل صريح استخدام الاحتيال بالذرائع للوصول إلى معلومات العملاء التي يحتفظ بها مزودو خدمات الاتصالات.

وقد اعتمدت لجنة التجارة الفيدرالية (FTC) مؤخرًا قاعدة تحظُر رسميًا انتحال شخصية أي وكالة حكومية أو شركة.5 وهذه القاعدة تمنح لجنة التجارة الفيدرالية (FTC) السلطة لفرض حظر على الأساليب الشائعة للاحتيال بالذرائع مثل استخدام شعار شركة دون إذن، وإنشاء موقع وهمي يحاكي موقعًا شرعيًا، وانتحال هوية الرسائل الإلكترونية للأعمال.

حلول ذات صلة
IBM X-Force

الجرائم التي يحرِّكها المخترقون. الدفاع القائم على الأبحاث. الحماية المستندة إلى المعلومات الاستخباراتية.

 

استكشف IBM X-Force
خدمات إدارة التهديدات

التنبؤ بالتهديدات الحديثة ومنعها والاستجابة لها، ما يزيد من مرونة الأعمال.

 

استكشف خدمات إدارة التهديدات
حلول الحماية من برامج الفدية الضارة

تمكَّن من إدارة مخاطر الأمن الإلكتروني لديك بشكل استباقي في الوقت شبه الحقيقي وتقليل تأثير هجمات برامج الفدية باستخدام برنامج حماية مضاد لبرامج الفدية.

استكشف حلول برامج الفدية الضارة
الموارد تقرير تكلفة خرق البيانات

كن مستعدًا للاختراقات من خلال فهم كيفية حدوثها والتعرُّف على العوامل التي تزيد أو تقلِّل من تكاليفك.

مؤشر X-Force Threat Intelligence

يمكنك تقوية نفسك وأعمالك من خلال التعلم من التحديات والنجاحات التي واجهتها فِرَق الأمن في جميع أنحاء العالم.

ما المقصود بالهندسة الاجتماعية؟

تعتمد هجمات الهندسة الاجتماعية على الطبيعة البشرية بدلًا من القرصنة التقنية للتلاعب بالأشخاص لتعريض أمنهم الشخصي أو أمن شبكة المؤسسة للخطر.

اتخِذ الخطوة التالية

يقدم الفريق العالمي في IBM X-Force Red مجموعة كاملة من خدمات الأمن الهجومي — بما في ذلك اختبار الاختراق، وإدارة الثغرات الأمنية، ومحاكاة الهجمات — لمساعدتك في تحديد الثغرات الأمنية التي تغطي النظام البنائي الرقمي والمادي بالكامل وتحديد أولوياتها ومعالجتها.

استكشف خدمات X-Force Red
الحواشي

جميع الروابط تؤدي إلى صفحات خارج موقع ibm.com.

1  Social Engineering Penetration Testing (الرابط موجود خارج موقع ibm.com)، شركة Syngress، عام 2014.  

2 Think you know what the top scam of 2023 was? Take a guess (الرابط موجود خارج موقع ibm.com)، لجنة التجارة الفيدرالية (FTC)، بتاريخ 9 فبراير 2024.   

3 Internet Crime Report 2023 (الرابط موجود خارج موقع ibm.com)، مكتب التحقيقات الفيدرالي، 2024. 

4 Hong Kong sees three deepfake video scams since last year, says security chief (الرابط موجود خارج موقع ibm.com)، شركة The Standard، بتاريخ 26 يونيو 2024.

5 FTC Announces Impersonation Rule Goes into Effect Today (الرابط موجود خارج موقع ibm.com) ، لجنة التجارة الفيدرالية، 1 أبريل 2024.