ماذا تعني "الهندسة الاجتماعية Social Engineering" ؟
الهندسة الاجتماعية هي فنّ استخدام الحيلة وخداع الضحية من قبل المهاجم لجعل ضحيته تقوم بشكل إرادي وطوعي بكشف معلومات سريّة أو بإعطاء المهاجم الفرصة للوصول للمعلومات السرية ، بحيث تقوم الضحية بالقيام بأمر لم تكن لتقوم به لولا وقوعها ضحيةً لخدعة يدبرها المهاجم.
لا تعتمد أساليب الهندسة الاجتماعية على معرفة تقنية عميقة بالتالي يتسطيع أي شخص يتوافر لديه قدر معين من الحنكة والدهاء القيام بهجمات الهندسة الاجتماعية.
أغلب من يقوم بهجمات الهندسة الاجتماعية هواة وغير خبراء، لكن إن ترافقت المعرفة التقنية بأساليب الهندسة الاجتماعية فإن ذلك يشكل تهديد أكبر بكثير من مجرد المعرفة التقنية أو الحنكة بشكل منفصل .
يكفيكم استيعاب الهندسة الاجتماعية لتتمكنوا من حماية أنفسكم وتقليل مخاطر الوقوع كضحية ، واستيعاب موضوع البرمجيات الخبيثة وطرق الوقاية من الإصابة بها.
مراحل هجوم الهندسة الاجتماعية
يمكن تلخيص هجوم الهندسة الاجتماعية بالمراحل التالية:- مرحلة اختيار الجهة المستهدفة
- مرحلة جمع معلومات عن الجهة المستهدفة
- تحديد أهداف الهجوم والخطوات
- مرحلة إعداد الهجوم لتحقيق أهداف الهجوم
- مرحلة تنفيذ عملية الحيلة وإيقاع الضحية
- حصد نتائج نجاح عملية الخداع ، و المتابعة حسب أهداف الهجوم
أساليب الخداع في الهندسة الاجتماعية
لأُحيطكم علماً أن المهاجمون يبتكرون بشكل مستمر أساليب جديدة لخداع الضحايا.- استغلال الشائعات
تنتشر الشائعات بشكل سريع جدا ضمن شبكات التواصل الاجتماعي ، بالتالي تكون المساهمة في نشر الشائعات بشكل أو بآخر مساهمة في تسهيل عمل من ينوي استغلال الشائعات لتغليف روابطهم الخبيثة.
- استغلال عواطف الضحية وطباعه الشخصية
من العواطف التي قد يستغلها المهاجم، في سبيل المثال وليس الحصر عواطف: الحقد، الانتقام، الحزن، الكره والنقمة. أو عواطف كالحب، الشوق، الحنين، الاعجاب، يضاف إلى ذلك المشاعر الدينية أو الطائفية والعشائرية والقومية وغيرها...
يمكن أيضا للمهاجم استغلال فضول المستهدف أو غروره أو بحثه عن الحب أو عن علاقة عاطفية مشروعة أو غير مشروعة .
- استغلال الطمع
- استغلال الحاجة
مثلا يحاول المهاجم عبر المنشور على موقع فيسبوك حث الضحايا على دخول الموقع الخبيث الذي أعده المهاجم، مدعيا أن الموقع تابع لمؤسسة UNESCO الأممية ذات الصيت الحسن، كما يستغل في الوقت نفسه بؤس الناس وحاجتهم للمساعدة المالية.
- استغلال المناسبات والأعياد الدينية
تكثر خلال المناسبات الدينية حملات جمع الأموال للمحتاجين، ما يعطي المهاجمين فرصة لإستغلال عواطف الضحايا ورغبتهم بالعطاء والاحتيال عليهم عبر اقناعهم بارسال الأموال بشكل أو بآخر لتنتهي إلى حسابات المهاجمين الشخصية. تعتبر هذه الهجمات من الهجمات المعتادة خلال فترة الأعياد والمناسبات الدينية وتطال معتنقي جميع الديانات.
- استغلال المواضيع الساخنة
مثال على ذلك حملة هجمات الهندسة الاجتماعية التي استغلت خبر تفشي فيروس كورونا المستجد COVID-19 واهتمام الجميع بأي معلومات عنه، وحيث قام المهاجمون بإرسال رسائل بريد الكترونية مدعين أنهم من منظمة الصحة العالمية World Health Organisation.
- استغلال ضعف الخبرة التقنية والأمنية للضحية
يمكن للمهاجم أن ينشئ مثلا حساب على فيسبوك، أو حساب إيميل، بإسم مستعار أو باسم مطابق لاسم صديق لك أو لاسم شخص تعرفه بنية انتحال الشخصية.
حيث يقوم منتحل الشخصية باستغلال الثقة للحصول على معلومات خاصة او غاية أخرى.
- استغلال السمعة الجيدة لتطبيقات معينة
- استغلال السمعة الجيدة لجهات معينة
- استغلال الثقة العمياء
أهداف هجمات الهندسة الاجتماعية
- الحصول على المعلومات
مثال على هذه الهجمات
استخدام المهاجمين لموقع مزور يدعي تسجيل المستهدفين على قائمة قرعة الهجرة إلى كندا.
- الحصول على المال
- الحصول على كلمات السرّ
تعتمد هذه الهجمات عادة على طريقتين:
1. الطريق الأولى هي الحصول على كلمة السر بالخداع، كأن ينتحل المهاجم شخصية خبير تقني على منصة التواصل الاجتماعي يدعي بقيامه بصيانة مشكلة تقنية في حساب المستخدم الضحية، ويدعي حاجته لكلمة سرّ المستخدم كي ينجز مهمة الصيانة.
2. الطريقة الثانية فتسمى اصطياد كلمات السرّ Passwords Phishing
- إصابة جهاز الضحية ببرنامج خبيث
- دفع المستخدم لزيارة مواقع معينة غير خبيثة
- دفع المستخدم لزيارة مواقع خبيثة
الوقاية من هجمات الهندسة الاجتماعية:
بناء على أساليب الإحتيال التي تم ذكرها في سابقاً يمكن إدراج النقاط التالية كأسلوب وقاية من الوقوع ضحية لهجوم باستخدام الهندسة الاجتماعية.كي لا تكونوا ضحية سهلة راعوا النقاط التالية:
- احرصوا على خصوصيتكم وعدم نشر معلومات شخصية عن أنفسكم لأن المهاجم قد يستخدمها لانتحال شخصيتكم ومهاجمة صديق لكم أو قد يستخدم المعلومات ليصيغ الهجوم عليكم بشكل مقنع أكثر.
- لا تشاركوا كلمات السرّ خاصتكم مع الآخرين مهما كانت الثقة عميقة بينكم.
- لا تشاركوا أسماء أو عناوين حساباتكم مع غير المقربين منكم
- استخدموا ميزة التحقق بخطوتين في جميع حساباتكم.
كي لا تقعوا ضحية للخداع أو الاحتيال:
- لا تثقوا بأحد.
- كونوا على مستوى حذر عالي طوال الوقت.
- تحققوا من شخصية من يراسلكم سواء كان التراسل عبر البريد الالكتروني Email، أو عبر وسائل التواصل الاجتماعي مثل فيسبوك Facebook أو تويتر Twitter.
- انظروا بعين الشك إلى كل بريد الكتروني أو رسالة أو تعليق يصلك يحتوي على ملفات وروابط مرفقة.
- عند الشك بأي رابط أو ملف قوموا بفحصه على موقع VirusTotal قبل استخدامه على أجهزتكم.
شكراً لكم على زيارة موقعنا، اذا استفدتم من هذه المعلومات نرجوا مشاركة رابط المقال مع أصدقائكم ليستفيدوا منها.
لاتنسوا متابعتنا على مواقع التواصل.