تم التحديث: 6 سبتمبر 2024
المساهمون: Jim Holdsworth، وMatthew Kosinski
الاحتيال بالذرائع هو استخدام قصة ملفقة أو ذريعة لكسب ثقة الضحية وخداعها أو التلاعب بها لمشاركة معلومات حساسة أو تنزيل برامج ضارة أو إرسال الأموال إلى المجرمين أو إلحاق الأذى بأنفسهم أو المؤسسة التي يعملون بها.
يعتمد الشخص المخادع في أسلوبه على الثقة. تتمثل قصة الذريعة في الوسيلة التي يتم من خلالها كسب ثقة الضحية في هجمات الهندسة الاجتماعية المستهدفة مثل التصيد الاحتيالي المستهدف، وهجمات التصيد الموجهة ضد أهداف رفيعة المستوى وعمليات الاحتيال المعتمدة على انتحال هوية مسؤول في العمل. لكن المجرمين الإلكترونيين وكذلك المجرمون التقليديون قد يستخدمون أيضًا الذرائع وحدها لسرقة معلومات أو أصول قيِّمة من الأفراد أو المؤسسات.
ناقش التحديات الأمنية الخاصة بمؤسستك والطرق التي يمكننا من خلالها مساعدتك.
في كثير من الأحيان، يبتكر الفاعل المهدِّد موقفًا وهميًا للضحية ويتظاهر بأنه شخص موثوق به يمكنه حله. في كتاب Social Engineering Penetration Testing، لاحظ المؤلفون أن معظم الذرائع تتكون من عنصرين أساسيين: شخصية وموقف.1
الشخصية هي الدور الذي يلعبه المحتال في القصة. لبناء المصداقية مع الضحية المحتملة، غالبًا ما ينتحل المحتال شخصية شخص له سلطة على الضحية، مثل رئيس أو مسؤول تنفيذي أو شخص تميل الضحية إلى الوثوق به. قد تكون هذه الشخصية (المزيفة) زميلًا في العمل أو موظفًا في تكنولوجيا المعلومات أو مزود خدمة. وقد يحاول بعض المهاجمين انتحال شخصية صديق للضحية المستهدفة أو انتحال شخصية أحد أفراد أسرتها.
الموقف هو حبكة قصة المحتال المزيفة - السبب الذي يجعل الشخصية (المحتال) تطلب من الضحية اتخاذ بعض الإجراءات. قد تكون المواقف عامة، مثل: "يجب عليك تحديث معلومات حسابك". أو قد تكون القصة محددة، خاصة إذا كان المحتال يستهدف ضحية معينة: "أحتاج إلى مساعدتك يا جدتي".
ولجعل انتحال شخصيتهم ومواقفهم قابلة للتصديق، غالبًا ما يبحث ممثلو التهديد عن شخصياتهم وهدفهم عبر الإنترنت. وهذا البحث ليس صعبًا. وفقًا لبعض التقديرات، يمكن للمخترقين إنشاء قصة مقنعة تعتمد على معلومات تم جمعها من مواقع التواصل الاجتماعي ومصادر عامة أخرى، مثل Google أو LinkedIn، بعد 100 دقيقة فقط من البحث عبر الإنترنت.
يمكن أن يؤدي الانتحال -تزوير عناوين البريد الإلكتروني وأرقام الهواتف لجعلها تبدو كما لو كانت الرسالة قادمة من مصدر آخر- إلى جعل سيناريوهات الذرائع أكثر تصديقًا. أو قد يذهب ممثلو التهديد إلى أبعد من ذلك ويختطفون حساب البريد الإلكتروني أو رقم الهاتف الخاص بشخص حقيقي لإرسال رسالة احتيال بالذريعة. حتى إن هناك قصصًا عن مجرمين يستخدمون الذكاء الاصطناعي لاستنساخ أصوات الناس.
الاحتيال بالذرائع هو عنصر أساسي في العديد من أساليب الهندسة الاجتماعية، بما في ذلك:
الاحتيال بالذرائع شائع في هجمات التصيد المستهدف مثل التصيد الاحتيالي المستهدف، الذي يستهدف فردًا معينًا، وهجمات التصيد الموجهة للمسؤولين الكبار، والتي تستهدف مديرًا تنفيذيًا أو موظفًا يتمتع بامتياز الوصول إلى المعلومات أو الأنظمة الحساسة.
لكن الاحتيال بالذرائع له دور أيضًا في عمليات الاحتيال غير المستهدفة، مثل عمليات التصيد عبر البريد الإلكتروني العشوائي أو التصيد الصوتي (vishing) أو التصيد عبر الرسائل النصية القصيرة (smishing).
على سبيل المثال، قد يُرسل أحد المحتالين رسالة نصية مفادها "[اسم البنك العالمي هنا]: حسابك في حالة عجز" إلى ملايين الأشخاص، متوقعًا أن نسبة من المستلمين هم عملاء للبنك وأن نسبة من هؤلاء العملاء قد تستجيب للرسالة. نسبة صغيرة حتى من الضحايا يمكن أن تؤدي إلى حصيلة كبيرة للمحتالين.
في هذه الأنواع من الهجمات، يخدع المجرم الضحية لتنزيل برامج ضارة عن طريق إغرائها بطُعم جذاب ولكنه مخترق. قد يكون الطُعم ماديًا، مثل محرك أقراص فلاش USB محمَّل برمز ضار ويُترك بشكل واضح في مكان عام. أو يمكن أن يكون الطُعم رقميًا، مثل الإعلان عن التنزيلات المجانية للأفلام التي تبين أنها برامج ضارة.
غالبًا ما يستخدم المحتالون الذرائع لجعل الطُعم أكثر جاذبية. على سبيل المثال، قد يقوم المخادع بوضع ملصقات على محرك أقراص USB محمول تم اختراقه للإشارة إلى أنه ينتمي إلى شركة معينة ويحتوي على ملفات مهمة.
يمكن أيضًا استخدام الذرائع في عمليات الاحتيال الشخصية، مثل التسلل غير المصرَّح به (Tailgating). والذي يُعرَف أيضًا باسم "Piggybacking" (الدخول المرافق)، وهو عندما يتَّبِع شخص غير مصرَّح له شخصًا مصرَّحًا له إلى موقع مادي يتطلب الدخول إليه تصريحًا، مثل مبنى مكاتب آمن. يستخدم المحتالون الذرائع لجعل محاولاتهم أكثر نجاحًا، على سبيل المثال، قد يتظاهر المحتال بأنه عامل توصيل ويطلب من موظف غير متشكك فتح باب مغلق له.
تُعَد عمليات الاحتيال التي تعتمد على انتحال الشخصية، مثل الاحتيال بالذرائع (Pretexting)، أكثر أنواع الاحتيال شيوعًا وفقًا لتقرير هيئة التجارة الفيدرالية (FTC)، حيث بلغت الخسائر المُبلَغ عنها 2.7 مليار دولار أمريكي نتيجةً لهذه العمليات في العام الماضي.2 ومن الأنواع الأكثر شيوعًا من عمليات الاحتيال بالذرائع ما يلي:
في هذا الهجوم الإلكتروني، يتظاهر المحتال بأنه ممثل لشركة تنبِّه الضحية إلى وجود مشكلة في حسابها، مثل معلومات الفواتير منتهية الصلاحية أو عملية شراء مشبوهة. يقوم المحتال بإدراج رابط يأخذ الضحية إلى موقع وهمي يسرق منها بيانات اعتماد الدخول، ومعلومات بطاقة الائتمان، ورقم حساب البنك، أو رقم الضمان الاجتماعي.
اختراق البريد الإلكتروني للأعمال (BEC) هو نوع من هجمات الهندسة الاجتماعية المستهدفة التي تعتمد بشكل كبير على الاحتيال بالذرائع. %25 من جميع هجمات BEC (الرابط موجود خارج موقع ibm.com) في الوقت الحالي تبدأ بالذرائع.
في هجمات BEC، تكون الشخصية هي المدير التنفيذي للشركة في الحياة الواقعية أو شريك أعمال رفيع المستوى يتمتع بالسلطة أو النفوذ على الهدف. ولأن المحتال يتظاهر بأنه شخص في موقع سلطة، فإن العديد من الأهداف ستوافق ببساطة.
الموقف هو حاجة الشخصية للمساعدة في مهمة (دائمًا تقريبًا) عاجلة. على سبيل المثال، "أنا عالق في المطار ونسيت كلمة المرور الخاصة بنظام الدفع. هل يمكنك تذكيري من فضلك؟" أو "هل يمكنك تحويل مبلغ XXX,XXX دولار أمريكي إلى الحساب البنكي رقم YYYYY لدفع الفاتورة المرفقة؟ سريعًا، قبل أن يقوموا بإلغاء خدمتنا".
من خلال انتحال شخصية المدير عبر الرسائل النصية، والبريد الإلكتروني، والمكالمات الهاتفية، وحتى مقاطع الفيديو التي تم إنشاؤها بواسطة الذكاء الاصطناعي، يمكن للمحتالين غالبًا خداع الموظفين للكشف عن معلومات حساسة أو حتى ارتكاب جرائم.
في إحدى الحالات الشهيرة، انتهى مؤتمر إلكتروني مسجَّل مسبقًا (ومُنتج بالذكاء الاصطناعي) بتعليمات من القيادة العليا المزيفة أقنعت أحد الموظفين بتحويل 200 مليون دولار هونج كونج إلى المهاجمين.4
عامًا بعد عام، تُصنَّف هجمات BEC على أنها من بين أغلى الجرائم الإلكترونية وتقنيات الهندسة الاجتماعية. ووفقًا لتقرير تكلفة خرق البيانات الصادر عن IBM، تتسبَّب عمليات اختراق أمن البيانات الناتجة عن هجمات BEC في خسائر للمؤسسات الضحية بمتوسط قدره 4.88 ملايين دولار أمريكي.
ووفقًا للبيانات من مركز شكاوى الجرائم الإلكترونية التابع لمكتب التحقيقات الفيدرالي (FBI)، تسبَّبت هجمات BEC في خسائر إجمالية تقرُب من 2.9 مليار دولار أمريكي للضحايا في عام 2023.3
منتحل صفة مستثمر ناجح لديه فرصة استثمارية "مضمونة" في العملات الرقمية، يقوم المحتال بتوجيه الضحية إلى بورصة عملات رقمية مزيفة، حيث تُسرق المعلومات المالية أو الأموال الخاصة بالضحية.
في أحد المتغيرات طويلة الأجل لعملية الاحتيال هذه، والتي تُسمَّى "ذبح الخنازير"، يقوم المحتال بتنمية علاقة مع الضحية وكسب ثقتها من خلال وسائل التواصل الاجتماعي. بعد ذلك، يقدم المحتال "فرصة عمل" للضحية، التي يتم توجيهها إلى موقع للعملات المشفرة لإجراء الودائع. وقد يزعم الموقع بشكل مضلل وجود مكاسب في قيمة الاستثمار، ولكن لا يمكن سحب العملة نهائيًا.5
كما هو الحال مع العديد من حيل الهندسة الاجتماعية، غالبًا ما يستهدف هذا النوع من الحيل كبار السن. يتظاهر مجرم الإنترنت بأنه حفيد الضحية ويتظاهر بأنه في مشكلة من نوع ما -مثل تعرضه لحادث سيارة أو اعتقاله- ويحتاج إلى أن يرسل له أجداده المال حتى يتمكن من دفع فواتير المستشفى أو دفع الكفالة.
يتلقى الضحية المقصود فاتورة لخدمة أو منتج لم يطلبه أو لم يستخدمه. غالبًا ما يريد المحتال من الضحية أن تنقر على رابط في رسالة بريد إلكتروني لطلب المزيد من المعلومات أو تقديم شكوى من التهمة. ثم يُطلب من الضحية تقديم معلومات تحديد الهوية الشخصية (PII) للتحقق من حسابها. وتلك المعلومات الخاصة هي ما كان يسعى إليه المحتال منذ البداية.
يتظاهر المحتال بأنه مسؤول في دائرة الإيرادات الداخلية (IRS) أو أحد ضباط إنفاذ القانون أو غيرهم من ممثلي الحكومة، ويدَّعي أن الهدف يواجه مشكلة ما. قد تكون هذه المشكلة هي عدم دفع الضرائب أو صدور أمر بالقبض عليه. عادةً، يطلب المحتال من الهدف المقصود إجراء عملية دفع لتجنُّب الاعتقال أو فرض رهن عقاري أو خصم الأجور. بالطبع، يذهب المبلغ المدفوع إلى حساب المحتال.
قد يكون الباحث عن عمل على استعداد للإفصاح عن معلومات حساسة عادةً لصاحب عمل محتمل. ولكن إذا كان الوصف الوظيفي مزيفًا وتم نشره بواسطة أحد المحتالين، فقد يقع مقدم الطلب ضحية لسرقة الهوية.
يتظاهر المخادع بالبحث عن علاقة رومانسية مع الضحية. بعد الفوز بقلب الضحية، يطلب المحتال عادةً المال الذي سيزيل بعض العقبات الأخيرة أمام وجودهما معًا. وقد تكون هذه العقبة ديونًا مثقلة أو التزامًا قانونيًا، أو حتى تكلفة تذكرة طائرة لزيارة الضحية.
البرامج المخيفة هي عملية احتيال هندسية اجتماعية تستخدم الخوف لخداع الأشخاص وحملهم على تنزيل البرامج الضارة أو خسارة الأموال أو تسليم البيانات الشخصية.
يمكن أن تكون الذريعة المخيفة تحذيرًا كاذبًا من فيروس، أو عرضًا مزيفًا للدعم الفني، أو احتيالًا متعلقًا بجهات إنفاذ القانون. قد تظهر نافذة منبثقة تحذِّر الضحية من أنه تم العثور على "مواد غير قانونية" على جهازها الرقمي، أو قد يظهر "اختبار تشخيصي" عبر الإنترنت يخبر الضحية بأن جهازها تم اختراقه ويتعين عليها تنزيل (برامج مكافحة الفيروسات المزيفة) لإصلاحه.
كما هو الحال مع أي شكل آخر من أشكال الهندسة الاجتماعية، قد يكون من الصعب إيقاف محاولات الاحتيال بالذرائع؛ لأنها تستغل علم النفس البشري بدلًا من نقاط الضعف التقنية التي يمكن علاجها. ولكن هناك العديد من الخطوات التي يمكن للمؤسسات اتخاذها.
بروتوكول DMARC هو بروتوكول مصادقة للبريد الإلكتروني يمكنه المساعدة على منع التزييف. من خلال تحليل النص والبيانات الوصفية للرسائل بحثًا عن مؤشرات شائعة على الاختراق، يتحقق DMARC من إذا ما كانت الرسالة الإلكترونية قد أُرسلت من النطاق الذي تدَّعي أنها تأتي منه. وإذا كانت الرسالة الإلكترونية مزيفة، يمكن تحويلها تلقائيًا إلى مجلد الرسائل المزعجة أو حذفها.
ولأن الاحتيال بالذرائع يتلاعب بالأشخاص لتعريض أمنهم للخطر، فإن تدريب الموظفين على اكتشافه والاستجابة له بشكل صحيح يمكن أن يساعد على حماية المؤسسة. يوصي الخبراء بإجراء عمليات محاكاة تستند إلى أمثلة واقعية للاحتيال بالذرائع؛ وذلك لمساعدة الموظفين على التمييز بينها وبين الطلبات المشروعة من الزملاء.
وقد يتضمن التدريب أيضًا بروتوكولات واضحة لإجراءات المصادقة الصارمة مثل المصادقة متعددة العوامل (MFA)، والتعامل مع المعلومات القيِّمة، وتفويض المدفوعات، والتحقق من الطلبات مع مصادرها المفترضة قبل الامتثال.
قد يكون التحقق بسيطًا مثل إرسال رسالة نصية إلى المرسل المزعوم: "هل أرسلت هذا إليّ؟" أو رسالة إلى مكتب الخدمة: "هل يبدو هذا وكأنه متسلِّل؟" وقد تتضمن إجراءات المعاملات المالية متطلبات للتحقق من صحة الطلبات الواردة شخصيًا أو من خلال التواصل الشخصي المباشر.
تستهدف العديد من قوانين الصناعة الاحتيال بالذرائع صراحةً. ويجرم قانون Gramm-Leach-Bliley لعام 1999 الاحتيال بالذرائع فيما يتعلق بالمؤسسات المالية، ما يجعل الحصول على المعلومات المالية للعميل تحت ذرائع كاذبة جريمة. كما يفرض القانون على المؤسسات المالية تدريب الموظفين على اكتشاف عمليات الاحتيال بالذرائع ومنعها.
يحظر قانون حماية سجلات الهاتف والخصوصية لعام 2006 بشكل صريح استخدام الاحتيال بالذرائع للوصول إلى معلومات العملاء التي يحتفظ بها مزودو خدمات الاتصالات.
وقد اعتمدت لجنة التجارة الفيدرالية (FTC) مؤخرًا قاعدة تحظُر رسميًا انتحال شخصية أي وكالة حكومية أو شركة.5 وهذه القاعدة تمنح لجنة التجارة الفيدرالية (FTC) السلطة لفرض حظر على الأساليب الشائعة للاحتيال بالذرائع مثل استخدام شعار شركة دون إذن، وإنشاء موقع وهمي يحاكي موقعًا شرعيًا، وانتحال هوية الرسائل الإلكترونية للأعمال.
تمكَّن من إدارة مخاطر الأمن الإلكتروني لديك بشكل استباقي في الوقت شبه الحقيقي وتقليل تأثير هجمات برامج الفدية باستخدام برنامج حماية مضاد لبرامج الفدية.
كن مستعدًا للاختراقات من خلال فهم كيفية حدوثها والتعرُّف على العوامل التي تزيد أو تقلِّل من تكاليفك.
يمكنك تقوية نفسك وأعمالك من خلال التعلم من التحديات والنجاحات التي واجهتها فِرَق الأمن في جميع أنحاء العالم.
تعتمد هجمات الهندسة الاجتماعية على الطبيعة البشرية بدلًا من القرصنة التقنية للتلاعب بالأشخاص لتعريض أمنهم الشخصي أو أمن شبكة المؤسسة للخطر.
جميع الروابط تؤدي إلى صفحات خارج موقع ibm.com.
1 Social Engineering Penetration Testing (الرابط موجود خارج موقع ibm.com)، شركة Syngress، عام 2014.
2 Think you know what the top scam of 2023 was? Take a guess (الرابط موجود خارج موقع ibm.com)، لجنة التجارة الفيدرالية (FTC)، بتاريخ 9 فبراير 2024.
3 Internet Crime Report 2023 (الرابط موجود خارج موقع ibm.com)، مكتب التحقيقات الفيدرالي، 2024.
4 Hong Kong sees three deepfake video scams since last year, says security chief (الرابط موجود خارج موقع ibm.com)، شركة The Standard، بتاريخ 26 يونيو 2024.
5 FTC Announces Impersonation Rule Goes into Effect Today (الرابط موجود خارج موقع ibm.com) ، لجنة التجارة الفيدرالية، 1 أبريل 2024.