الهندسة الإجتماعية
ما المقصود بالهندسة الإجتماعية؟
تعرف الهندسة الإجتماعية على أنها التلاعب بالأشخاص وكسب ثقتهم واستدراجهم لتزويد بياناتهم السرية أو تحميل برمجيات ضارة على أجهزتهم أو فتح روابط لمواقع مزيفة. تعتبر طرق الهندسة الإجتماعية أكثر الطرق انتشاراً على الإطلاق في الاحتيال الالكتروني وتنفيذ الهجمات السيبرانية.
كما يتبين من التعريف، فإن المستهدف في الهندسة الإجتماعية هو الأشخاص وليست أنظمة أو مواقع الكترونية أوغيرها من عناصر التكنولوجيا، إذ يحاول المحتالون استغلال نقص معرفة المستخدم بالتكنولوجيا أو الضوابط الأمنية البسيطة. وبالتالي، فإن مواجهة أساليب الهندسة الإجتماعية تتم من خلال التوعية الأمنية للأفراد وتعريفهم بأساليب الاحتيال المختلفة والمخاطر السيبرانية وكيفية الوقاية منها.
كيفية عمل الهندسة الإجتماعية
يستخدم المهاجمون طرق مختلفة لتنفيذ هجمات الهندسة الإجتماعية وذلك تبعاً لعوامل عدة كطبيعة تواجد العميل أو نوع عملية الاحتيال التي سيتم تنفيذها أو الوسائل المتاحة للمجرم كرقم الهاتف، على سبيل المثال. قد يستخدم المهاجمون طرق بسيطة للحصول على المعلومات الحساسة من الضحية كالاستماع إلى مجموعة من الأشخاص خلال حديثهم أو الدخول في محادثة مع الآخرين وجمع المعلومات خلال التحدث معهم كمعرفة البنك الذي يتعامل معه الضحية وطبيعة الخدمات التي يستخدمها وغيرها من التفاصيل التي قد تساعد المهاجم في التخطيط لعملية الاحتيال أو الهجوم الالكتروني. في أحيان أخرى قد يستخدم المهاجمون طرق أكثر تعقيدا كإرسال رسائل البريد الإلكتروني المزيف (Email Phishing) أو التواصل مع العميل من خلال مكالمات هاتفية مزيفة تستخدم رقم البنك (Caller ID Spoofing) أو من خلال رسائل نصية.
قد يستخدم المهاجمون أساليب الهندسة الإجتماعية لسرقة البيانات الحساسة من الضحية مباشرة ، وقد يستخدمون هذه الأساليب لزراعة البرمجيات الضارة كأن يدعي المتصل أنه أحد موظفي الدعم الفني في أحد الشركات أو البنوك حيث يرسل بريد الكتروني للضحية بحجة تقديم الدعم الفني لكن في الواقع تحتوي الرسالة على مرفق ضار، يتم بعدها اختراق جهاز الضحية للقيام بنشاطات إجرامية أخرى.
يعتمد نجاح أساليب الهندسة الإجتماعية على مقدار قدرة المهاجم أو المحتال على اقناع الضحية. مثلا، قد يتصل المهاجم بالضحية مّدعياً أنه أحد موظفي مركز الاتصال، ويطلب تزويد رقم التحقق OTP الذي تم ارساله من خلال خدمة الرسائل النصية SMS. لكن في حال استخدم المحتال أسلوب المكالمات الهاتفية المزيفة ويستخدم رقم البنك (Caller ID Spoofing) بحيث يظهر لمتلقي المكالمة الهاتفية الرقم الفعلي لمركز الاتصال فإن احتمال نجاح عملية الاحتيال يصبح أكبر مقارنة مع الأسلوب الأول.
أبرز طرق الهندسة الإجتماعية
توجد أنواع مختلفة من هجمات الهندسة الإجتماعية وطرق مختلفة لتنفيذها. سنساعدك في هذا الجزء في فهم طريقة عمل هجمات الهندسة الإجتماعية الأساسية لكي يصبح اكتشافها سهلًا بالنسبة لك.
- التصيّد الاحتيالي باستخدام البريد الإلكتروني
تتنوع طرق التصيد الاحتيالي حيث يستخدم المحتالون أساليب متعددة تبعا لطبيعة عملية الاحتيال والمعلومات التي يسعون لسرقتها.
تتضمن هجمات التصيّد الاحتيالي باستخدام البريد الإلكتروني ارسال رسالة بريد إلكتروني تبدو بأنها قادمة من مصدر تثق به كالبنك الذي تتعامل معه أو مزود خدمة تستخدمها. تحتوي رسائل البريد الالكتروني الاحتيالية عادةً روابط لمواقع مزيفة أو مواقع لتحميل فيروسات أو قد تحتوي على مرفقات تحتوي برمجيات ضارة.
كما أن بعض رسائل التصيد الاحتيالي قد تطلب منك مباشرة تزويد بيانات حساسة كبياناتك الشخصية أو كلمة المرور أو الرقم السري للبطاقة (PIN).
- التصيّد الاحتيالي باستخدام الرسائل النصية
هذه الطريقة شبيهة إلى حد ما بالأسلوب السابق باستخدام رسائل البريد الالكتروني. تتضمن هجمات التصيّد الاحتيالي باستخدام الرسائل النصية ارسال رسالة نصية إلى رقم الضحية تبدو بأنها قادمة من مصدر تثق به كالبنك الذي تتعامل معه حيث قد تطلب منك الرسالة النصية تزويد معلومات حساسة أو شخصية أو ارسال رمز التحقق OTP. كما قد تحتوي الرسائل النصية على روابط لمواقع خبيثة تهدف إلى تحميل برمجيات ضارة على هاتفك أو زيارة مواقع مزيفة. كما يمكن للمخترقين ارسال رسائل نصية عبر تطبيقات التراسل المختلفة.
- التصيّد الاحتيالي باستخدام المكالمات الهاتفية
في هذه الطريقة يتواصل المخادع مع العميل من خلال مكالمة هاتفية ويدعي أنه أحد موظفي البنك، وقد يستخدم المخادع أسماء موظفين فعليين يعملون في البنك ليقنع الضحية بشكل أكبر حيث يتحصل المخادع على مثل هذه المعلومات من خلال مواقع التواصل الاجتماعي. قد يطلب المخادع بيانات حساسة ككلمة المرور أو رمز التحقق OTP حيث قد يدعي المخادع أن الضحية قد ربح جائزة ما أو أن البنك بصدد تحديث أنظمته أو أنه تم تحديث الضوابط الأمنية على خدمات البنك. تستخدم أساليب الخداع الحديثة برمجيات ومواقع تقوم بإظهار رقم مركز الاتصال الفعلي على شاشة هاتف الضحية لكن فعلياً تكون المكالمة مخادعة.
كما يمكن للمخترقين ارسال رسائل صوتية عبر تطبيقات التراسل المختلفة.
- الاصطياد باستخدام وسائط الذاكرة (Baiting)
يقوم المخادع بتحميل برمجيات ضارة على وحدة تخزين USB أو CD/DVD ويرسلها إلى عنوان الضحية أو يلقيها على الأرض بانتظار أن يقوم شخص ما بأخذها وتركيبها على جهاز الحاسوب، مما يؤدي إلى اختراق الجهاز الخاص بالضحية.
تم استخدام هذا الأسلوب في اليابان سابقاً حيث قام المجرمون بارسال أقراص مدمجة CD لعملاء أحد البنوك من خلال البريد تدعي بأنها تحتوي على تفاصيل حركاتهم، وبعد أن قام الضحية بتشغيل القرص على جهاز الحاسوب تم اختراق الجهاز.
- التصيّد الاحتيالي من خلال المحادثة
يقوم المخادع بالحصول على معلومات حساسة من الضحية من خلال المحادثة فقط كمعرفة تاريخ ومكان الميلاد وتفاصيل الدراسة والبنوك التي يتعامل معها والبطاقات التي يستخدمها وغيرها من التفاصيل المهمة، امّا من خلال المحادثة وجهاً لوجه أو من خلال المكالمات الهاتفية ووسائل التواصل الاجتماعي.
كيف تتجنب هجمات الهندسة الإجتماعية؟
نقدم لك أهم النصائح للوقاية من هجمات الهندسة الإجتماعية.
القاعدة الذهبية
القاعدة الذهبية هي أن لا تقدم معلومات حساسة ككلمة المرور ورمز التحقق وتفاصيل بطاقاتك والرقم السري لأي شخص كان حتى لو ادّعى ذلك الشخص أنه أحد موظفي البنك. وتذكّر أن الاستثماري لم ولن يطلب منك هذه البيانات الحساسة تحت أي ظرف.
استخدم المنطق
دائماً استعن بحدسك عند تقييم ما يطلب منك. إذا لم يبدو لك الطلب منطقيا ولو قليلاً عندها لا تستجب للطلب وقم بإبلاغ مركز الاتصال. لا تستجب لأي شيء خارج عن المألوف، على سبيل المثال إذا لم تكن معتادا على التواصل مع الاستثماري من خلال البريد الالكتروني، عندها سيبدو لك غريباً أن تستقبل رسائل مشابهة تبدو أنها صادرة من البنك. لا تستجب للطلبات المستعجلة أو التي تدعي أن حسابك سيتم إيقافه اذا لم تستجب بسرعة؛ عادةً ما يستخدم المخادعون هذه الأساليب كيف تتخذ قرارات دون التفكير ملياً بها.
تحقق من المصدر
دائماً تحقق من مصدر المكالمة الهاتفية أو البريد الالكتروني أو الرسالة النصية. على سبيل المثال، في حالة رسائل البريد الإلكتروني، انظر إلى عنوان المرسل وتحقق من أن العنوان صحيح وقادم من الشركة التي تتعامل معها. انظر إلى وجهة الروابط (Hyperlinks) بمجرد تمرير مؤشر الماوس فوقها (لا تنقر فوق الرابط!), انتبه لأية أخطاء املائية أو لغوية في نص الرسالة حيث أن المؤسسات والبنوك تكون حريصة على استخدام لغة سليمة خالية من الأخطاء عند التواصل مع الآخرين بينما لا يعير المجرمون ذلك الكثير من الأهمية، لذا فإن البريد الإلكتروني الذي يحتوي على أخطاء املائية ولغوية يُحتمل أن يكون مزيفًا.
تحقق من هوية الآخرين
في حالة المكالمات الهاتفية، اسأل المتصل عن مكان عمله واسم مديره والفرع الذي يتصل منه، عادةً لا يمتلك المخادعون مثل تلك التفاصيل وبالتالي يتم كشفهم. أيضاً تحقق من هوية الأشخاص الذيت يحاولون التواصل معك من خلال وسائل التواصل الاجتماعي وبرامج التراسل كالواتساب.
لا تستخدم وسائط ذاكرة لا تثق بها
تجنب استخدام وسائط ذاكرة لا تمتلكها على جهاز الحاسوب، اذا وجدت شيئا ملقى على الأرض لا تستخدمه. في حال وصلك وسائط ذاكرة من خلال البريد أو أشخاص آخرين اتصل بالمصدر للتأكد من أنه فعلياً قام بإرسال تلك الوسائط واسأل عما تحتويه.
تأكد من عنوان الموقع الالكتروني الذي تزوره
تأكد من عناوين المواقع التي تزورها (URL) بأنها صحيحة. يفضل دائماً كتابة عنوان الموقع الالكتروني بنفسك بدلاً من النقر على أية روابط. تجنب أيضاً المواقع الإلكترونية التي يظهر متصفح الانترنت علامات تحذيرية بشأنها.
افحص الرسائل الالكترونية
تأكد من الصيغة المستخدمة في الرسائل التي تصلك. لا تفتح أية مرفقات إلا إذا كنت متأكدا منها. و لا تنقر على روابط داخل الرسائل إلا إذا كنت متأكدا بشكل كامل من صحتها.
راجع المعلومات التي تنشرها على الانترنت
يستخدم المحتالون مواقع التواصل الاجتماعي والانترنت لجمع معلومات شخصية عن الضحية واستخدامها في عمليات الهندسة الإجتماعية. راجع المعلومات التي تنشرها على حساباتك وتأكد أنك لا تنشر معلومات شخصية كرقم الهاتف وعنوان البريد الالكتروني.
استخدم برامج مكافحة الفيروسات
تساعدك برامج مكافحة الفيروسات على التعرف على البرمجيات الضارة ومنع عملها. حمل برامج مكافحة فيروسات على أجهزتك من شركات ومصادر موثوقة.
في حال وجود أية استفسارات أو للإبلاغ عن أية محاولات احتيال يرجى التواصل مع مركز الخدمة الهاتفية.
