ما هي الهندسة الاجتماعية وكيف يستغلها القراصنة في تنفيذ هجماتهم الفتاكة؟
يعتمد أغلب قراصنة الإنترنت إن لم يكن كلهم على الهندسة الاجتماعية في تنفيذ هجماتهم الإلكترونية، وهي ثاني شيء يقومون به بعد جمع المعلومات، وتحقيق هجوم ناجح ليس بالأمر السهل أبداً فيجب أن يكون المهاجمون دقيقين بجمع المعلومات عن ضحاياهم وماكرين في استخدام الهندسة الاجتماعية للإيقاع بهم، ولأن الهجمات الإلكترونية منتشرة بكثرة هذه الأيام قررنا نحن موقع جوشن/Joshen تسليط الضوء على مفهوم الهندسة الاجتماعية وشرح أساليبها الأكثر خطورة وكيف يمكن للمستخدم العادي مواجهتها.
مفهوم الهندسة الاجتماعية
الهندسة الاجتماعية (Social Engineering) هي أسلوب قائم على الخداع أكثر من كونها تقنية اختراق، وتهدف إلى كسب ثقة الضحية لسرقة المعلومات والأموال، ولكن في لحظة ما تكون الدوافع غير واضحة تماماً لأن المهاجم يستخدم هذا الأسلوب لأسباب شخصية أو بسبب دوافع انتقامية.
وتعمل هجمات الهندسة الاجتماعية من خلال حيث المستخدمين على مشاركة معلومات لا ينبغي عليهم مشاركتها أو تنزيل برامج لا يجب تنزيلها أو زيارة مواقع ويب لا ينبغي زيارتها أو إرسال أموال أو ارتكاب أخطاء أخرى تعرض أمنهم الشخصي أو المؤسسي للخطر، ولأن الهندسة الاجتماعية تستخدم التلاعب النفسي وتستغل الخطأ البشري بدلا من نقاط الضعف أو الثغرات التقنية، فإنها تسمى أحيانا “الاختراق البشري”.
يستخدم مجرمو الإنترنت أساليب الهندسة الاجتماعية المختلفة للحصول على البيانات الشخصية أو المعلومات المالية، بما في ذلك بيانات اعتماد تسجيل الدخول وأرقام بطاقات الائتمان وأرقام الحسابات المصرفية وأرقام الضمان الاجتماعي، كما يوظفون المعلومات التي حصلوا عليها في انتحال شخصية ضحاياهم مما يُمكنهم من إجراء عمليات شراء باستخدام أموال أشخاص آخرين أو التقدم بطلب للحصول على قروض باسم شخص آخر وأكثر من ذلك.
وقد تكون الهندسة الاجتماعية بداية مشروع هجوم إلكتروني كبير مثل خداع الضحية لسرقة اسم المستخدم وكلمة المرور والولوج إلى الموقع أو المؤسسة لحقن برامج فدية خبيثة وإلحاق الضرر بمجموعة أكبر من المستخدمين.
أساليب الهندسة الاجتماعية
بما أن الهندسة الاجتماعية قائمة على الخداع والمراوغة فإن أساليبها قد تكون لا نهائية، وقد نجد أن هذا المصطلح يذكرنا بالهجوم الأكثر انتشاراً في العالم وهو التصيد الاحتيالي، حيث بلغت نسبة هجمات التصيد الاحتيالي أكثر من 90% من مجمل الهجمات الإلكترونية، وحتى لا تختلط الأمور علينا يجب أن نوضح بأن الهندسة الاجتماعية هي أسلوب في الاختراق أما التصيد الاحتيالي فهو التقنية، وليكون الأمر واضحا ومفهوما سنذكر أساليب الاختراق الأكثر فتكاً التي تستخدم الهندسة الاجتماعية.
1. التصيد عبر البريد الإلكتروني
يُعد البريد الإلكتروني جزءاً من حياتنا اليومية والوسيلة الرسمية للتواصل مع الشركات وأصحاب العمل، ولهذا فهو الوسيلة الأولى التي يستخدمها القراصنة لخداع المستخدمين عبر الإنترنت، حيث يقومون بتجهيز رسالة بريد إلكتروني تبدو شرعية وغالباً ما ينتحلون صفة جهات موثوقة مثل البنوك أو الهيئات الحكومية أو الشركات ذات السمعة الطيبة ويطلبون معلومات حساسة وبيانات مصرفية، وفي الكثير من الأحيان يحتوي البريد الإلكتروني على رسائل عاجلة مثل تعليق الحسابات أو خروقات أمنية أو عروض مغرية بهدف إرباك المستخدم وجعله يتصرف بسرعة دون تفكير، كما قد يتضمن البريد الإلكتروني روابط أو مرفقات ضارة بهدف اختراق جهاز المستخدم.
2. التصيد عبر الرسائل النصية
يستخدم القراصنة أسلوب التصيد عبر الرسائل النصية والذي يدعى (Smishing) مستغلين ثقة المستخدمين بالرسائل النصية مقارنةً بالبريد الإلكتروني لأنها غالباً من تكون من أشخاص معروفين، ولهذا يصبح من السهل وقوع ضحية في هذا النوع من الاحتيال.
على سبيل المثال، قد تتلقى رسالة من أمازون تخبرك بوصول طرد لم تطلبه أو رسالة من شخص غريب يدّعي أنه اتصل بك بالخطأ ويحاول بدء محادثة معك والغاية النهائية هي طلب المال أو استدراجك للنقر على رابط مُلغم.
وهناك أيضاً نوع آخر من هذا الهجوم يسمى “ذبح الخنزير” ويعتمد على كسب ثقة الضحايا من أجل إقناعهم بالاستثمار في شيء ما مثل العملات المشفرة ثم سرقة أموالهم.
3. المكالمات الخادعة
أصبحت المكالمات الهاتفية وسيلة شائعة في هجمات الهندسة الاجتماعية وذلك بسبب تقنيات الذكاء الاصطناعي التي تُمكن القراصنة من تغيير أصواتهم وتزوير المكالمات من أجل إيهام الضحايا بأنهم مصدر موثوق، وغالبا ما يُلح المهاجم على الضحية بكثرة ليبدو وكأنه يتمتع بالسلطة مانعاً إياه من التفكير بوضوح.
ويستخدم القراصنة ما يُعرف بالتصيد الصوتي (Vishing) للإيقاع بضحاياهم، ولأن المكالمات يصعب تجاهلها على عكس الإشعارات التي قد تكون مارقة فإنها تُعد من أكثر هجمات الهندسة الاجتماعية فتكا، فبهذا التكتيك يمكن للقراصنة الإيقاع بضحاياهم باستخدام عامل الخوف وإيهامهم بوقوع كارثة في حال عدم الاستجابة لمتطلباتهم ويمكنهم توجيههم كيفما يشاؤون.
4. وسائل التواصل الاجتماعي
تُعد وسائل التواصل بمختلف أنواعها الوسيلة الأشيع لدى القراصنة والتي يستخدمونها منذ عقود، حيث أن نشر الكثير من المعلومات الشخصية على وسائل التواصل يُمكّن المحتالين من استغلالها في هجمات الهندسة الاجتماعية للوصول إلى بيانات حساسة.
وتنطوي هذه الهجمات غالبا على رابط لموقع ضار، وفي بعض الحالات يمكن أن يقوم المحتال بإنشاء حساب مزيف وينتحل شخصية صديقك أو أحد معارفك ويتظاهر بأنه في مشكلة ويطلب منك تحويل الأموال له أو يرسل لك رابطا يقنعك بالدخول إليه.
5. رمز الاستجابة السريع (QR)
أغلب المستخدمين أصبحوا يعرفون حيلة الرابط الضار ويمكنهم تمييزه عن الرابط الرسمي ولهذا فهم يتجنبون الضغط على الروابط بشكل عام، ولكن الذي لا يعرفونه والذي لا يمكن قراءته هو رمز الاستجابة السريع (QR) والذي يحوي رابط أو محتوى ضار أو وسيلة دفع مخادعة، ويستغل القراصنة هذا الأمر حيث يمكنهم نشر رمز استجابة سريعة في الأماكن العامة وكتابة وصف يثير فضول الناس لمسحه وبالتالي الإيقاع بهم.
6. وحدة تخزين USB
استخدام وحدة تخزين USB بأنواعها المختلفة هو من أخطر أساليب الهندسة الاجتماعية والتي تختلف عن باقي الأساليب، فالهندسة الاجتماعية بشكل عام هي أسلوب يعتمد على التواصل مع الضحية للإيقاع به، ولكن في وحدات تخزين USB لا يحتاج المهاجم لأي نوع من التواصل، فقط يضع وحدة تخزين USB في مكان قريب من الضحية مثل مكتبه أو منزله وسيكون فضوله كفيلاً للإيقاع به، وسنذكر أبرز الأجهزة التي تندرج تحت اسم وحدة تخزين USB ولكنها ليست كذلك والتي تًستخدم في الهندسة الاجتماعية بكثرة:
– Rubber Ducky: هي جهاز خداع للغاية حيث يعتقد المستخدم أنها وحدة تخزين USB بينما يعتقد الحاسوب بأنها لوحة مفاتيح ولكن في الحقيقة هي أداة لسرقة المعلومات، وتتوفر بإصدارات عديدة فسابقاً كانت تُعتمد لسرقة بيانات تسجيل الدخول من المتصفحات ثم تطورت لتصبح أداة لتسجيل أزرار لوحة المفاتيح التي يدخلها المستخدم، وتلتها إصدارات أحدث وأكثر فتكاً.
– USB Drop: نوع من الهجمات الإلكترونية حيث يترك المهاجم وحدة تخزين USB في مكان قريب من الضحية ويكون محملاً بملفات تحتوي على برمجيات خبيثة، وغالباً ما يستخدم القراصنة أسماء مغرية للملفات تدفع الضحية لفتحها، وبمجرد فتحها قد تحقن برامج ضارة أو تعيد توجيه الضحية لموقع ويب احتيالي، ورغم أن برامج مكافحة الفيروسات قد تمنعها فإن عمليات إعادة التوجيه غالباً ما تمر دون أن يلاحظها أحد.
– USB Killer: هي الأخطر من حيث الأذى حيث لا يستخدمها القراصنة في عملية اختراق أو سرقة أو جمع معلومات، بل هي مخصصة لتدمير الجهاز الذي تتصل به بشكل لا يمكن إصلاحه، ومن المثير للاهتمام أن USB Killer لا تحوي ذاكرة تخزين بل مكونة من مكثفات متعددة تأخذ تيار كهربائي من الجهاز والذي يكون عادةً 5 فولت وتعيده بجهد 220 فولت مما يؤدي إلى تلف القطع الداخلية للجهاز مثل المعالج واللوحة والأم وغيرها، والقطعة الأخطر هي البطارية والتي قد تسبب انفجارها.
الحماية من هجمات الهندسة الاجتماعية
بما أن الهندسة الاجتماعية تهدف للتلاعب بالعامل النفسي للضحية مثل الخوف والفضول وحب السلطة، فإن أفضل شيء لمواجهتها هو التحلي بالصبر والحكمة والتفكير بموضوعية، ولكنّ الكثيرين لا يعرفون كيف يتصرفون عند مواجهة أساليب الهندسة الاجتماعية التي ذكرناها، ولهذا سنذكر أهم الإجراءات الاحترازية التي يمكن أن تبدأ بها.
1. التحقق من المصدر
عندما تتعرض لأي حدث غريب ومفاجئ – توقف للحظة – وفكر بالأمر بشكل منطقي، مثلاً عندما تتلقى مكالمة من مصدر مجهول أو في حال وجدت وحدة تخزين USB على مكتبك أو تلقيت مكالمة هاتفية مفاجئة تقول إنك ورثت 5 ملايين ريال سعودي أو تلقيت رسالة بريد إلكتروني من مديرك يطلب الكثير من بيانات الموظفين، فيجب أن تتوقف عند كل هذه المواقف وتتحقق من مصدرها.
وهذا ليس بالأمر الصعب، فمثلاً في حال البريد الإلكتروني يمكنك التحقق من الجزء العلوي للرسالة حيث يكون عنوان المرسل، كما يمكن التحقق من الروابط المرفقة دون الدخول عليها، وأخيراً إذا وجدت أخطاء إملائية أو نحوية في البريد الإلكتروني فتأكد بأنه احتيالي.
وفي حال تلقي أي اتصال مجهول يدعي أنه أحد أقربائك، فيمكنك ببساطة الاتصال بقريبك والتأكد، وبالنسبة لوحدة تخزين USB فمن المستحيل أن تجد واحدة بجوارك صدفة، فلا بد من أن شخصا ما قد وضعها لغرض معين.
2. فعّل خاصية التحقق الثنائي
قد يجد القراصنة ثغرة معينة للوصول إلى بيانات تسجيل الدخول الخاصة بك، ولكن يمكنك إغلاق هذا الطريق عليهم عند تفعيلك ميزة التحقق الثنائي والتي تجعل بيانات تسجيل الدخول غير كافية لوحدها، وهكذا تضمن حماية حساباتك في حال حدوث أي خرق.
3. كن حذرا مع العروض المغرية
في حال وصلك عرض مغري والذي يبدو غير منطقي في الكثير من الأحيان، فكر مرتين قبل قبول العرض، كما يمكن أن يساعدك بحث جوجل في معرفة ما إذا كان هذا العرض شرعياً أم مزيّفاً.
4. استخدام برنامج مكافحة فيروسات
تساعد برامج مكافحة الفيروسات على اكتشاف البرامج الخبيثة والروابط الضارة وتمنعك من فتحها ولهذا فإن هذه البرامج ضرورية، ومن المهم المحافظة على التحديثات الدورية للنظام وذلك بسبب تطور البرمجيات الخبيثة وأساليبها.
5. فهم أساليب الهندسة الاجتماعية
إن خير طريقة لتجنب هجمات القراصنة هي فهم أساليب الهندسة الاجتماعية ومعرفة كيف يفكر القراصنة وما هي أدواتهم، فبمعرفة التكتيكات الشائعة مثل استغلال الخوف أو الطمع أو الفضول، يمكنك التعرف على محاولات الاحتيال وتجنب الوقوع ضحية لها، فكلما زادت معرفتك بآليات عمل هذه الهجمات، زادت قدرتك على حماية نفسك ومعلوماتك.