الهندسة الاجتماعية: تعريفها ومخاطرها وطرق الحماية منها
كثيراً ما نسمع بمصطلح الهندسة الاجتماعية في عصر التكنولوجيا والتحول الرقمي الشامل؛ لذا سنعرض أدناه مفهومها ومبدأ عملها ومخاطرها وكيفيَّة التَّصدي لها.
مفهوم الهندسة الاجتماعية:
الهندسة الاجتماعية هي تقنية تلاعب تستغل الخطأ البشري لتحقيق أهدافها؛ إمَّا من خلال التخريب لتعطيل البيانات أو إتلافها لإحداث ضرر أو إزعاج، أو السرقة للحصول على الأشياء الثمينة كالمعلومات أو الوصول أو المال؛ ففي الجرائم الإلكترونية تُغري حِيَلُ "القرصنة البشرية" المستخدمين المطمئنِّين للكشف عن البيانات، ونشر إصابات البرامج الضارة، أو منح الوصول إلى الأنظمة المحظورة، وقد تحدث تلك الهجمات إمَّا من خلال الإنترنت أو شخصياً أو غير ذلك من التفاعلات.
كيفية عمل الهندسة الاجتماعية:
تتركَّز عمليات الاحتيال القائمة على الهندسة الاجتماعية على كيفية تفكير الناس وتصرفهم، كما تفيد بصورة خاصة في التلاعب بسلوك المستخدم؛ فبمجرد فهم المهاجم ما الذي يحفز تصرفات المستخدم يستطيع خداعه والتلاعب به على نحوٍ فعَّال، كما يحاول المتسللون استغلال افتقار المستخدم إلى المعرفة.
باختصار تعتمد معظم هجمات الهندسة الاجتماعية على التواصل الفعلي بين المهاجمين والضحايا؛ إذ يميل المهاجم إلى تحفيز المستخدم على تعريض نفسه للخطر بدلاً من استخدام أساليب القوة لخرق بياناته.
مراحل هجمات الهندسة الاجتماعية:
تمنح دورة الهجوم هؤلاء المجرمين عملية موثوقة لخداعك، وعادة تكون خطوات دورة هجوم الهندسة الاجتماعية على النحو الآتي:
- الاستعداد من خلال جمع معلومات أساسية عنك أو عن مجموعة أنت جزء منها.
- التَّسلُّل من خلال إقامة علاقة أو بدء تفاعل يبدأ ببناء الثقة.
- استغلال الضحية بعد إقامة الثقة والضعف لتعزيز الهجوم.
- فك الارتباط عندما يتخذ المستخدم الإجراء المطلوب.
قد تحصل تلك العملية في رسالة بريد إلكتروني واحدة أو على مدار عدة أشهر في سلسلة من محادثات الوسائط الاجتماعية، كما يمكن أن يكون تفاعلاً وجهاً لوجه؛ لكنَّها في كلِّ الحالات تنتهي بإجراء تتخذه؛ كمشاركة معلوماتك، أو تعريض نفسك لبرامج ضارة؛ فمن خلال التنكر على أنَّهم مستخدمون شرعيون لموظفي دعم تكنولوجيا المعلومات يحصل المهاجمون على تفاصيلك الخاصة بما في ذلك: الاسم، أو تاريخ الميلاد، أو العنوان؛ فيسهل عليهم إعادة تعيين كلمات المرور أو سرقة الأموال وغير ذلك.
مخاطر الهندسة الاجتماعية:
جوهر الهندسة الاجتماعية هو الثقة البشرية؛ إذ ينفق المهاجم كثيراً من الوقت والموارد للبحث عن الضحية لجمع الأفكار الرئيسة كنقاط الدخول المحتملة، والبروتوكولات الضعيفة، وغير ذلك، كما يستفاد من مزج الكلمات والأفعال مع التكنولوجيا بما في رسائل البريد الإلكتروني، والمكالمات الصوتية وغيرها لخداع الضحية في الوثوق به قبل الهجوم، ومن أبرز ما يقوم به المهاجمون:
1. التصيد الاحتيالي و Spear Phishing:
تبدأ كافة الهجمات الإلكترونية من خلال التصيد الاحتيالي؛ إذ تُستَلم الرسائل من خلال البريد الإلكتروني والدردشة والإعلانات الرقمية وموقع الويب ووسائل التواصل الاجتماعي؛ فقد تنتحل الرسائل في هجمات التصيد الاحتيالي صفة أنظمة ومنظمات حقيقية / شرعية كالبنوك والمنظمات غير الحكومية والشركات الكبرى والجمعيات الخيرية الشرعية أو حتى تلك الخاصة بالمستخدم.
لقد صُمِّمَت الرسائل لغرس الشعور بالإلحاح أو الخوف الذي يقنع المستخدم أن يقوم بما يريده المهاجم مثل منح الوصول إلى المعلومات السرية، وتنزيل البرامج الضارة، والمال النقدي وغير ذلك، كما يمكن للمهاجم أن يتظاهر بأنَّه الرئيس التنفيذي للشركة ويرسل رسائل بريد إلكتروني إلى الموظفين تحثهم على اتخاذ بعض الإجراءات التي من شأنها إفشاء بيانات اعتماد تسجيل الدخول للمهاجم، كما قد يتظاهر المهاجم بأنَّه مصرفي ويطلب تفاصيل بطاقة الائتمان للضحية مدَّعياً أنَّ البطاقة على وشك أن تُحظَر أو أنَّ الضحية يمكن أن تستفيد من ميزات إضافية.
2. الاصطياد:
يرمز إلى جشع الضحية عندما ينزعج من خلال تقديم شيء ما يبحث عنه، ويحثه على تنزيل برامج ضارة على أجهزته أو الكشف عن معلومات شخصية؛ ففي معظم الأحيان يستخدم المهندسون الاجتماعيون هذه الطريقة في مواقع مشاركة الأقران أو الأفلام أو مواقع تنزيل الموسيقى أو من خلال محركات أقراص فلاش تحمل علامة تجارية للشركة تُرِكَت على المكتب، كما يمكنهم وضع الطُعم للضحية على صورة صفقات عبر الإنترنت، ورسائل بريد إلكتروني مزيفة تحتوي كوبونات مجانية وغير ذلك.
3. الحِيَل والثقة والادعاء:
يُنظَّم هذا النوع من الهندسة الاجتماعية بصيغة اتصال ذكي وحقيقي مثل: رسائل بريد إلكتروني، ومكالمات هاتفية؛ ليستخرج المهاجم الذي ينتحل شخصية زميل أو شخصية سلطة لها الحق في المعرفة المعلومات الهامة من الضحية؛ فمثلاً يمكن للمهاجم الاتصال بالضحية مدَّعياً أنَّه X من قسم تكنولوجيا المعلومات وجمع معلومات تسجيل الدخول بحجة التَّدقيق.
4. Piggybacking / Tailgating:
يمكن أن يحصل المهاجم على الوصول المادي إلى الأصول التجارية من خلال شخص مخول للدخول في منطقة محظورة؛ فقد يُطلب من الضحية إقراض جهاز الكمبيوتر أو المحمول لبضع دقائق يستطيع المهاجم خلالها تثبيت برامج ضارة.
كيفية الحماية من مخاطر الهندسة الاجتماعية:
تبدأ الحماية من مخاطر الهندسة الاجتماعية بالتعليم والتوعية؛ إذ يجب أن يعلم كافة المستخدمين بالتهديدات، لضمان سلامتهم، وإليك أبرز النصائح:
1. تحقَّق من مصدر الاتصال:
لا تثق بأي مصدر اتصال دون التحقق منه؛ إذ توجد أشياء مشبوهة ويجب معاملتها بحذر؛ كأن تتلقى رسالة بريد إلكتروني من رئيسك يطلب فيها قدراً كبيراً من المعلومات عن الموظفين الفرديين، هنا تحقق من عنوان البريد الإلكتروني ومن رسائل البريد الإلكتروني الصالحة من المرسل نفسه، ولا تنقر على أي رابط ضمنها دون التحقُّق منه.
2. تأكَّد من هوية المرسل:
عليك التحقق من هوية المرسل ومن ذلك الاسم والرقم قبل إعطاء أي معلومات خاصة أو بيانات شخصية.
3. استخدم عامل تصفية جيد للبريد العشوائي:
تقوم عوامل تصفية البريد العشوائي الجيدة بفلترة مختلف أنواع المعلومات لتحديد رسائل البريد الإلكتروني التي قد تكون بريداً عشوائياً، كما يستطيعون اكتشاف الملفات أو الروابط المشبوهة، وقد تكون لديهم قائمة سوداء لعنوانات IP المشبوهة أو معرفات المرسل، كما يحلِّلون محتوى الرسائل لتحديد المزيف منها.
4. تأكَّد إن كان هذا واقعياً:
خذ الوقت الكافي لتقييم الموقف إن كان واقعياً أم لا؛ فهذا يساعدك على اكتشاف عدَّة هجمات.
5. لا تكن سريعاً:
عليك الحذر وأخذ الحيطة عندما تشعر بإلحاح الدخول في محادثة؛ فهذه طريقة قياسية للجهات الخبيثة لمنع أهدافها من التفكير في المشكلة، فإذا كنت تشعر بالضغط تمهَّل فأي شيء يبطئ الأمور يمنحك الوقت للتَّفكير.
6. أمِّن أجهزتك:
حافظ على تحديث برامج مكافحة البرامج الضارة والفيروسات، والبرامج الثابتة بانتظام، وتلك المرتبطة بتصحيحات الأمان على وجه الخصوص، ولا تشغِّل هاتفك بصلاحيات الروت أو كمبيوترك الشخصي في وضع المسؤول، ولا تستخدم كلمة المرور نفسها لعدة حسابات، وبالنسبة إلى الحسابات الهامة فاستخدم المصادقة ذات العاملين.
7. فكر في بصمتك الرقمية:
إذ إنَّ الإفراط في مشاركة المعلومات الشخصية عبر الإنترنت كوسائط السوشيال ميديا يعرضك للخطر.
في الختام:
الجدير بالذكر أنَّ الحذر من الهندسة الاجتماعية أمر هام للغاية؛ فلا يدرك كثير من الموظفين والمستهلكين أنَّ قليلاً من المعلومات قد يمنح المتسللين الوصول إلى عدة شبكات وحسابات؛ لذا من الجيِّد مشاركة ما تعرفه عن الهندسة الاجتماعيَّة ومخاطرها وكيفية الوقاية منها مع زملائك في العمل وعائلتك وأصدقائك لضمان سلامة الجميع.