أنواع الهندسة الاجتماعية .. وأمثلة عليها .. ومخاطرها
تعريف الهندسة الاجتماعية
الهندسة الاجتماعية هي تقنية استغلال الأخطاء للحصول على معلومات حول شخص آخر أو الوصول إلى معلومات ثمينة. وفي حالة الجرائم الإلكترونية، يستخدم القراصنة التقنيات الاجتماعية كأداة لإغراء المستخدمين المطمئنين والكشف عن البيانات أو السماح بالوصول إلى الأنظمة المحظورة. يمكن أن تحدث هذه الهجمات عبر الإنترنت أو عن طريق أشخاص أو تفاعلات أخرى.
تقوم عمليات الاصتياد على فكرة الهندسة الاجتماعية عن طريق التفكير بالناس وكريقتهم، على هذا الاتجاه، تعتبر هجمات الهندسة الاجتماعية مهمة بصورة خاصة للسلوك بشكل المستخدمين، وفي اللحظة التي يفهم المهاجم ما الذي يدفع به تصرفات المستخدم، يمكن أن يخدع المستخدم والتلاعب به بصورة فعالة.
بالإضافة إلى ذلك، تسعى الأشخاص الغير مصرح لهم إلى استغلال جهل المستخدم فيما يتعلق بالتكنولوجيا. نتيجة لسرعة التطور التكنولوجي، قد لا يدرك العديد من المستخدمين والموظفين التهديدات التي تنشأ أثناء تنزيل برامج معينة. قد لا يدرك المستخدمون أيضا القيمة الحقيقية للبيانات الشخصية، مثل أرقام الهواتف. وبسبب ذلك، يجهل العديد من المستخدمين كيفية حماية أنفسهم ومعلوماتهم بشكل أمثل.
أنواع الهندسة الاجتماعية
- التصيد الاحتيالي: التصيد الاحتيالي هو نوع من الهندسة الاجتماعية، حيث يقوم المهاجم بإرسال رسائل بريد إلكتروني احتيالية يدعي فيها أنها من مصدر موثوق به، على سبيل المثال، المهندس الاجتماعي يرسل بريدا إلكترونيا يقوم بإظهاره وكأنه من مدير خدمة العملاء في البنك الذي يتعامل معه العميل، ويدعي أنه يمتلك معلومات هامة عن الحساب الشخصي، كما يطلب من الشخص الرد بالاسم الكامل وتاريخ الميلاد ورقم الضمان الاجتماعي ورقم الحساب للتحقق من هويته.
- Vishing: يقوم المتصيد بمحاولة خداع الضحية للحصول على معلومات مهمة أو إعطائه الإمكانية للوصول إلى حاسوب الضحية من خلال الهاتف. وتشمل إحدى خطط الاحتيال الإلكتروني المعروفة اتصال المهاجم بالضحايا والتظاهر بأنه مثلا من مكتب الضرائب، وغالبا ما يتم تهديد المتصل بالضحية أو تحفيزها على الكشف عن معلومات شخصية أو المطالبة بتعويض. وعادة ما يستهدف الاحتيال هذا كبار السن، لكن يمكن لأي شخص أن يقع ضحية لهذا الاحتيال إذا لم يتم تعليمه بشكل كاف.
- Pretexting: يعتبر هذا نوعا من تقنيات الهندسة الاجتماعية، حيث يقوم المهاجم بإنشاء سيناريو يجبر الشخص على تصديق الادعاءات الكاذبة، عادة يخدع المهاجم الضحية بشخص يعرفه لإقناع الضحية باتباع أوامره.
- Baiting: يتم استغلال فضول أو طموح الضحية من قبل الهندسة الاجتماعية، حيث يتم وضع مخطط كطعم لتنزيلات مجانية لمقاطع موسيقية أو بطاقة هدايا، وذلك بهدف إيهام المستخدم بأنه يحصل على شيء مجاني، فيحاول المستخدم توفير بيانات الاعتماد الخاصة به. كما يمكن أيضا استخدام البرامج المختلفة التي يتم تحميلها للخداع.
- Tailgating and Piggybacking: هذا نوع من الهندسة الاجتماعية البسيطة المستخدمة للوصول المادي إلى موقع غير مسموح به، يحدث ذلك عن طريق متابعة المستخدم المصرح له عن قرب في المنطقة بدون أن يلاحظه المستخدم المستهدف، ويمكن للمهاجم الوصول إلى شخص آخر.
- Quid Pro Quo: الهندسة الاجتماعية هي نوع من الهندسة التي يستخدمها المهاجمون لتجارة الخدمات للحصول على المعلومات، وقد يتضمن سيناريو المقايضة التواصل مع الشركات التي تبدو وكأنها من قسم تكنولوجيا المعلومات، في محاولة للوصول إلى شخص يعاني من مشاكل تقنية.
أمثلة على الهندسة الاجتماعية
يتم استلام رسالة صوتية يفيد بأن المستخدم محقق في قضية الاحتيال الضريبي ويجب التواصل على الفور لمنع الاعتقال والتحقيق الجنائي، ويتم استخدام الهندسة الاجتماعية في بداية موسم الضرائب عندما يكون الناس قلقين بشأن ضرائبهم، ويستغل المجرمون الإنترنت والتوتر والقلق الذي يأتي مع فرض الضرائب ويخدعون الناس عن طريق الاستفادة من هذه المشاعر الخوف للاعتماد على رسائل البريد الصوتية.
يستغل مجرمو الإنترنت المشاعر الإنسانية، التي تستند إلى الثقة والجشع، لإقناع الضحايا بإمكانية التبرع لجهات إنسانية تحتاج دعما ماليا. يتم إرسال رسائل بريد إلكتروني توضح بصياغتها أنها تطلب من الضحايا تقديم معلومات حول حساباتهم المصرفية، وسيتم تحويل الأموال في نفس اليوم.
يستغل مجرمو الإنترنت الأحداث التي تنتشر في العديد من القنوات الإخبارية، ثم يستغلون الفضول الذي ينتاب العامة لخداع ضحاياهم عن طريق الهندسة الاجتماعية، على سبيل المثال، بعد حادث تحطم طائرة Boeing MAX8 الثانية، قاموا متصيدي الإنترنت بإرسال رسائل بريد إلكتروني تحتوي على مرفقات تزعم أنها تتضمن بيانات غير معلنة عن التحطم، وفي الحقيقة، هذا الإيميل قام بتنزيل نسخة من Hworm RAT على الحاسوب، ليقوم بصيد الحواسيب.
يرغب الأفراد في الثقة والدعم المتبادل، وبعد إجراء بحث في إحدى الشركات، قام بعض الموظفين المجرمين الإلكترونيين بإرسال رسالة بريد إلكتروني بزعمها من مدير الأفراد، يطلبون فيها إرسال كلمة المرور الخاصة بقاعدة بيانات المحاسبة إلى المدير، مدعين أنه يحتاجها للتأكد من حصول الجميع على مستحقاتهم المالية في الوقت المحدد، وكانت صيغة البريد الإلكتروني ملحة، وبذلك يتم خداع الضحايا وجعلهم يعتقدون أنهم يساندون مديرهم من خلال التصرف بسرعة.
مخاطر الهندسة الاجتماعية والوقاية منها
إن الاصطياد الاجتماعي هو استغلال نقاط ضعف الأشخاص بدلا من استغلال نقاط ضعفهم التقنية فقط. لذلك، التعليم ليس مقتصرا على التكنولوجيا فحسب، بل هو أمر أساسي. لذا فإن التدريب على الوعي الأمني يعتبر أمرا حيويا لجميع الموظفين في أي مؤسسة، بغض النظر عن نشاطها. يتطلب التدريب للجميع والتعرف على الخطوط الحمراء في جميع الرسائل الواردة واتباع إجراءات الأمن المادي الملائمة. غالبا، يجمع المتسللون الاجتماعيون المعلومات التي تم الوصول إليها عن طريق الهندسة الاجتماعية مع البيانات من مصادر أخرى. لذا، ضمان الأمن القوي يجعل عملهم أكثر صعوبة. وتتمثل وسائل الوقاية في:
- عدم الوثوق بأحد: يتطلب تدريب كل فرد داخل أي منظمة على الشك في كل رسالة والسعي للوصول، ويشمل ذلك تدريب الموظفين عن طريق تعريفهم بأساليب الاحتيال والتفكير والتشاور قبل الانجراف في الرسائل العاجلة، والالتزام الصارم ببروتوكولات الأمان التي تنتهجها الشركة.
- تحقق من وضع الأمان الالكتروني: يجب أن يتم إجراء تدقيقات داخلية وخارجية بشكل منتظم للحصول على صورة عامة للوضع الأمني للشركة أو المؤسسة، بما في ذلك الأمان السيبراني والمرونة في الهندسة الاجتماعية والأمن المادي. يعتبر تشكيل فريق الاختبار الأحمر أفضل طريقة لاختراق عقل المهاجم، ويمكن أن توفر تدريبات فريق الاختبار الأحمر فكرة جيدة عن نقاط الضعف وتطوير القدرات الدفاعية.
- القضاء على الثغرات الأمنية: للحفاظ على أنظمة آمنة ومنع وصول المجرمين الإلكترونيين إلى المعلومات الحساسة والهجوم بالهندسة الاجتماعية، يجب استخدام ماسح ضوئي للثغرات الأمنية لتطبيق الويب الذي يستخدمه الشخص في عمله، ويفضل استخدام ماسح ضوئي عالي الجودة للتخلص من أي ثغرات أمنية يمكن أن تؤدي إلى الكشف عن المعلومات.