ما هي الهندسة الاجتماعية؟ وكيف ينتحل المهاجمون شخصيات بارزة لتنفيذ أهدافهم الخاصة؟

4 دقائق
ما هي الهندسة الاجتماعية؟ وكيف ينتحل المهاجمون شخصيات بارزة لتنفيذ أهدافهم الخاصة؟
حقوق الصورة: shutterstock.com/ Dennis Diatel

من خلال التنكر بشخصيات معروفة أو موظفين بارزين في شركة، يحصل بعض المتسللين على معلومات وبيانات مهمة خاصة بهذه الشركة، ليتمكنوا من سرقة الأموال أو نشر البرامج الضارة وغيرها من عمليات الاحتيال. هذا ما يُعرف باسم الهندسة الاجتماعية، فما هي وكيف تتم؟ إليك بعضاً من أشهر هجماتها.

ما هي الهندسة الاجتماعية؟

الهندسة الاجتماعية هي تكتيك للتلاعب بالضحية أو التأثير عليها أو خداعها من أجل السيطرة على نظام الحاسوب أو لسرقة المعلومات الشخصية والمالية أو نشر برامج ضارة. تستخدم التلاعب النفسي لخداع المستخدمين لارتكاب أخطاء أمنية أو الكشف عن معلومات حساسة.

يستخدم المهاجم التفاعل البشري (المهارات الاجتماعية) للحصول على المعلومات حول المؤسسة أو أنظمة الحاسوب الخاصة بها أو المساومة عليها. قد يبدو المهاجم متواضعاً ومحترماً، وربما يدّعي أنه موظف جديد، أو شخص مصلح، أو باحث وحتى إنه يعرض أوراق اعتماد لدعم تلك الهوية. يبدأ بطرح أسئلة يستطيع من خلالها تجميع معلومات كافية للتسلل إلى شبكة المؤسسة. إذا لم يتمكن المهاجم من جمع معلومات كافية من مصدر واحد، فقد يتواصل مع مصدر آخر داخل نفس المؤسسة والاعتماد على المعلومات من المصدر الأول لزيادة مصداقيته.

يهدف مهاجم الهندسة الاجتماعية إلى التخريب عن طريق تعطيل أو إتلاف البيانات لإحداث ضرر أو إزعاج الضحية، أو سرقة الأشياء الثمينة سواء كانت المعلومات أو المال.

مراحل الهندسة الاجتماعية

تعتمد معظم هجمات الهندسة الاجتماعية على التواصل الفعلي بين المهاجمين والضحايا، وتتبع الخطوات التالية

  • جمع معلومات أساسية عن الشخص أو عن مجموعة أكبر كمؤسسة، تكون المعلومات عبارة عن نقاط الدخول المحتملة وبروتوكولات الأمان الضعيفة، اللازمة للشروع في الهجوم.
  • انتحال الهوية أو إقامة علاقة مع الضحية أو التفاعل بطريقة تبني الثقة معها.
  • بعد بناء الثقة، يتم استغلال الضحية وضعفها للكشف عن معلومات مهمة لتعزيز الهجوم.
  • قطع التواصل مع الضحية بمجرد أن ينفذ المهاجم الإجراء المطلوب.

يمكن أن تتم هذه العملية بخطوة واحدة مثل رسالة بريد إلكتروني واحدة أو عدة خطوات قد تمتد على مدار أشهر مثل سلسلة من محادثات الوسائط الاجتماعية. 

اقرأ أيضاً: كيف تحمي بريدك الإلكتروني من رسائل التصيد الاحتيالي؟

أنواع هجمات الهندسة الاجتماعية

يوجد الكثير من أشكال هجمات الهندسة الاجتماعية، وفيما يلي بعض منها:

التصيد الاحتيالي

التصيد الاحتيالي هو أكثر الأنواع شيوعاً، وفيه يحاول منفذ الهجوم الحصول على معلومات حساسة مثل أسماء المستخدمين وكلمات المرور وتفاصيل بطاقة الائتمان باستخدام رسائل البريد الإلكتروني أو الرسائل النصية القصيرة أو الهاتف، بحيث يخلق شعوراً بالخوف أو الفضول لدى الضحية، ما يدفعها للكشف عن  معلومات حساسة، أو النقر فوق روابط لمواقع ويب ضارة أو فتح مرفقات تحتوي على برامج ضارة.

اقرأ أيضاً: إليك كيفية تدريب موظفيك على تجنب التصيد الاحتيالي

الاصطياد

في هذا النوع، يستخدم المحتال وعداً كاذباً لإيقاع الضحية في الفخ بقصد سرقة المعلومات الشخصية والمالية أو يتسبب في إصابة النظام ببرامج ضارة. 

هجمات الخرق الجسدي

يظهر المهاجم شخصياً، ويتواصل مع الضحية وكأنه شخص مسموح له الوصول إلى مناطق أو معلومات غير مصرح بها. تشيع هذه الهجمات في الحكومات أو الشركات أو المؤسسات الأخرى. قد يتظاهر المهاجمون بأنهم ممثلون لبائع معروف وموثوق للشركة. 

برمجيات التخويف

في برمجيات التخويف يُغرق المهاجم الضحية بإنذارت كاذبة وتهديدات وهمية مثل تحذيرات تبلغ عن إصابات مزيفة ببرامج ضارة أو اختراق الحسابات، بهدف إخافتها ودفعها للاعتقاد بأن نظامها مصاب ببرامج ضارة، وأن عليها تثبيت برنامج معين، يستطيع المهاجم من خلاله الوصول إلى الأجهزة، وقد يكون غرضه اكتساب المال.

التنقيب في المهملات (Dumpster Diving)

في هذا النوع، يبحث المهاجم عن معلومات حساسة منقولة إلى سلة المهملات دون التخلص منها بطريقة صحيحة، مثل كشوف الحسابات المصرفية وبطاقات الائتمان القديمة وقروض الطلاب. 

المكافآت مقابل الخدمات (Quid Pro Quo)

يطلب المهاجم هنا من الضحية تقديم معلومات حساسة مقابل خدمة يقدمها أو مكافأة، غالباً ما تكون هذه الخدمة جيدة جداً بدرجة يصعب تصديقها.

اقرأ أيضاً: كيف تتعرف على الرسائل الاحتيالية في واتساب؟ وما الذي عليك فعله؟

لماذا تنجح الهندسة الاجتماعية؟ 

غالباً ما ينجح المهاجم الذي يعتمد على الهندسة الاجتماعية لأنها تعتمد على الخطأ البشري، وليست على نقاط الضعف في البرامج وأنظمة التشغيل. فالأخطاء التي يرتكبها المستخدمون الشرعيون أقل قابلية للتنبؤ بها، ما يجعل التعرف عليها وإيقافها أكثر صعوبة من التسلل المستند إلى البرامج الضارة.

أمثلة على هجمات الهندسة الاجتماعية 

الأمثلة عن هجمات الهندسة الاجتماعية كثيرة، اخترنا بعضاً من أكبرها.

  • نفذ الليتواني إيفالداس ريماسوسكاس هجوم هندسة اجتماعية ضد شركتي جوجل وميتا (فيسبوك)، فقد أسس وفريقه شركة تصنيع حواسيب وهمية وحسابات مصرفية باسم الشركتين، وأرسلوا لموظفين محددين فيهما رسائل بريد إلكتروني تتضمن فواتير لأجهزة وخدمات قدّمتها الشركة، مع الطلب منهم إيداع مبالغ تزيد على 100 مليون دولار في حساباتهم الشخصية.
  • في هجوم آخر، قلّد المهاجمون نطاقات البريد الإلكتروني لوزارة العمل الأميركية (DoL)، وأرسلوا رسائل للموظفين تبدو وكأنها مرسلة من موظف كبير في الوزارة يطلب منهم تقديم عطاءات لمشروع حكومي، ويؤدي النقر على زر في الرسالة إلى نقل الموظف إلى موقع تصيد يستخدم لسرقة بيانات الاعتماد.
  • في مارس/ آذار 2019، تلقى الرئيس التنفيذي لمزود الطاقة في المملكة المتحدة مكالمة هاتفية من شخص بدا تماماً مثل رئيسه، وطُلب منه تحويل 243 ألف دولار إلى مورد مجري، وهو حساب مصرفي يعود لمحتال.
  • راحت شركة تصنيع الطائرات النمساوية FACC ضحية عملية احتيال خسرت فيها نحو 60 مليون دولار، فقد تم انتحال شخصية المدير التنفيذي للشركة، وخداع الموظفين لتحويل الأموال إلى حساب منفذ الهجوم.
  • كشف خمسة موظفين في مدينة ساكرامنتو في ولاية كاليفورنيا عن بيانات اعتماد تسجيل الدخول الخاصة بهم لمجرمي الإنترنت بعد تلقيهم رسائل بريد إلكتروني احتيالية، تتضمن رابطاً يؤدي إلى موقع ويب ضار، يُدخل فيه الموظف اسم المستخدم وكلمة المرور الخاصة به، ليلتقطها منفذ الهجوم. 

اقرأ أيضاً: إليك عمليات الاحتيال الأكثر شيوعاً على لينكد إن وكيف تتجنبها

لم يتم اكتشاف الهجوم إلا بعد خمسة أشهر أثناء مراجعة داخلية لصناديق البريد الإلكتروني للعمال، وأسفر عن خرق للبيانات كشف 2096 سجلاً للمعلومات الصحية و816 سجلاً لمعلومات التعريف الشخصية. 

المحتوى محمي