هندسة اجتماعية

فن استغلال علم النفس البشري.
لا توجد تكنولوجيا اليوم لا يمكن التغلب عليها من خلال الهندسة الاجتماعية.

كيفن ميتنيك، هاكر سابق وخبير في الهندسة الاجتماعية.

على الرغم من تنفيذ أقوى تدابير الأمن التكنولوجي، تواجه كل مؤسسة ثغرة أمنية صعبة ولا يمكن التنبؤ بها: إنها نحن البشر. بالنسبة للمتسلل الذي يهدف إلى الحصول على البيانات الحيوية أو الوصول إلى النظام، فإن فهم علم النفس البشري لا يقل أهمية عن إتقان أنظمة الكمبيوتر. ما هي الهندسة الاجتماعية وكيف يمكنك الحماية منها؟ سنتناول هذه الاستفسارات الحاسمة في المناقشة التالية.

ما هذا؟ وأين يتم استخدامه؟

الهندسة الاجتماعية هي استراتيجية غير تقنية يستخدمها مجرمو الإنترنت وتعتمد بشكل كبير على التفاعل البشري وغالبًا ما تتضمن التلاعب بالأشخاص لكسر الممارسات والإجراءات الأمنية القياسية للوصول غير المصرح به إلى الأنظمة أو المعلومات.

 بمعنى آخر، الهندسة الاجتماعية هي فن التلاعب بالناس أو التأثير عليهم أو خداعهم حتى يتخلوا عن معلومات سرية. نظرًا لأن الهندسة الاجتماعية تستغل نقاط الضعف البشرية بدلاً من نقاط الضعف التقنية أو الرقمية في النظام، فإنها تسمى أحيانًا "القرصنة البشرية". يستفيد المجرمون من إستراتيجيات الهندسة الاجتماعية حيث أنه من الأسهل عادةً التلاعب بميلك المتأصل إلى الثقة بدلاً من إيجاد طرق لاختراق برامجك. على سبيل المثال، يعد خداع شخص ما للكشف عن كلمة المرور الخاصة به أقل تعقيدًا بشكل عام من محاولة اختراق كلمة المرور هذه (ما لم تكن كلمة المرور ضعيفة بشكل خاص).

لا تُستخدم الهندسة الاجتماعية فقط في سياقات القرصنة أو الأمن السيبراني. وقد تم تطبيق مبادئها في مجموعة متنوعة من السيناريوهات خارج العالم الرقمي. إن مناهج الهندسة الاجتماعية متجذرة بعمق في فهم السلوك البشري والدوافع. إنهم يستغلون عواطف الضحايا ودوافعهم بطرق معروفة لإجبار الأفراد على القيام بأفعال قد تضر بهم. إنه مخطط احتيالي قائم منذ عدة عقود. فيما يلي بعض المجالات التي يتم فيها تطبيق الهندسة الاجتماعية عادةً:

  • الأمن السيبراني والقرصنة: غالبًا ما تكون الهندسة الاجتماعية هي التكتيك الأول الذي يستخدمه مجرمو الإنترنت والمتسللون في محاولاتهم للوصول غير المصرح به إلى الأنظمة أو المعلومات. عادةً ما تكون هذه هي نقطة البداية لأنها تميل إلى أن تكون أسهل وأقل استهلاكًا للوقت لاستغلال الثغرات البشرية بدلاً من العثور على الثغرات التقنية واستغلالها. غالبًا ما يكون الأشخاص هم الحلقة الأضعف في سلسلة الأمن السيبراني. يمكن التلاعب بها للكشف عن معلومات حساسة، مثل كلمات المرور، أو خداعها لتنفيذ إجراءات تهدد الأمان، مثل النقر على رابط ضار أو فتح مرفق مصاب. علاوة على ذلك، فإن معظم الناس لا يدركون تمامًا أنواع وحجم المخاطر التي يواجهونها، مما يجعلهم أكثر عرضة للوقوع في مثل هذه الأنواع من الهجمات. ولهذا السبب يعد التعليم والتدريب على التوعية حول الهندسة الاجتماعية وغيرها من تهديدات الأمن السيبراني أمرًا حيويًا للمساعدة في منع مثل هذه الهجمات. 
  • التسويق والمبيعات: غالبًا ما تُستخدم تقنيات الهندسة الاجتماعية في المبيعات والتسويق لإقناع العملاء بشراء المنتجات أو الخدمات. يمكن أن يشمل ذلك خلق شعور بالإلحاح، أو استخدام شخصيات ذات سلطة أو مشاهير لتأييد المنتجات، أو تقديم صفقات "حصرية" تجعل العميل يشعر بالتميز. 
  • السياسة والدعاية: غالبًا ما يستخدم السياسيون والحكومات تقنيات الهندسة الاجتماعية للتأثير على الرأي العام أو سلوك الناخبين. يمكن أن يشمل ذلك مناشدة المشاعر، أو استخدام تكتيكات الخوف، أو استخدام الدعاية لتشكيل التصورات والمعتقدات. 
  • تقنيات الاستجواب: غالبًا ما تستخدم وكالات إنفاذ القانون الهندسة الاجتماعية أثناء الاستجواب. على سبيل المثال، قد يبنون علاقة مع المشتبه بهم لجعلهم أكثر عرضة للكشف عن المعلومات، أو قد يتظاهرون بمعرفة أكثر مما يفعلون للحث على الاعتراف. 
  • المحتالون والاحتيال: الهندسة الاجتماعية هي في الأساس خبز وزبدة الفنانين المحتالين. وقد يستخدمون أساليب مثل التظاهر بأنهم موظفون في بنك، أو ممثل يانصيب، أو فرد محتاج لخداع ضحاياهم لمنحهم المال. 
  • التجسس: تُستخدم الهندسة الاجتماعية منذ فترة طويلة في التجسس لانتزاع معلومات حساسة. قد يستخدم الجواسيس تقنيات مثل الإغواء أو مصادقة الأهداف أو الابتزاز للتلاعب بالأفراد لكشف الأسرار. 

كيف يعمل؟

تستغل الهندسة الاجتماعية علم النفس البشري وسلوكياته لخداع الأفراد لتقديم معلومات حساسة أو منح الوصول إلى الأنظمة أو الموارد. في حين أن تفاصيل هجوم الهندسة الاجتماعية يمكن أن تختلف بشكل كبير بناءً على التكتيك المستخدم والهدف المعني، فإن الخطوات العامة غالبًا ما تتضمن ما يلي: 

  • التحقيق أو البحث: يحدد المهاجم الهدف ويجمع أكبر قدر ممكن من المعلومات لفهم اهتماماته وعاداته وعلاقاته ودوره الوظيفي وما إلى ذلك. وغالبًا ما يتم جمع هذه المعلومات من ملفات تعريف وسائل التواصل الاجتماعي أو مواقع الشركة أو مصادر عامة أخرى. 
  • تطوير الإستراتيجية: بناءً على المعلومات التي تم جمعها، يبتكر المهاجم سيناريو أو ذريعة معقولة. يمكن أن يتظاهر ذلك كزميل محتاج، أو بائع موثوق به، أو شخص دعم من شركة برمجيات، أو حتى في مسابقة يانصيب بجائزة مغرية، على سبيل المثال. 
  • بناء العلاقة: يقوم المهاجم بإجراء اتصال أولي مع الهدف ويعمل على بناء الثقة. وقد يستخدمون المعلومات التي تم جمعها سابقًا لبناء اتصال أو إثبات المصداقية. عادة ما يقوم المحتالون بتقليد أو "تقليد" الشركات التي يعرفها الضحايا، ويثقون بها، وربما يتعاملون معها بشكل متكرر - في كثير من الأحيان يمتثلون تلقائيًا لتعليمات هذه العلامات التجارية، ويهملون اتخاذ تدابير السلامة اللازمة. يستخدم بعض المحتالين الذين يستخدمون أساليب الهندسة الاجتماعية مجموعة أدوات يمكن الوصول إليها بسهولة لإنشاء مواقع ويب مزيفة تعكس مواقع العلامات التجارية أو الشركات المعروفة. 
  • الاستغلال: بمجرد إنشاء الثقة، يتلاعب المهاجم بالهدف لتنفيذ إجراء معين أو الكشف عن معلومات سرية. قد يتضمن ذلك النقر فوق رابط ضار، أو الكشف عن كلمة المرور، أو تحويل الأموال إلى حساب معين. في هذه المرحلة، غالبًا ما يثير المهاجمون الذعر أو الشعور بالفورية. غالبًا ما يتفاعل الأفراد بشكل متهور عندما يشعرون بالخوف أو الاندفاع.

قد تستخدم مخططات الهندسة الاجتماعية مجموعة متنوعة من الأساليب لإثارة الذعر أو الشعور بالتسرع لدى الضحايا - على سبيل المثال، إبلاغ الضحية برفض معاملة حديثة باستخدام بطاقة الائتمان، أو إصابة جهاز الكمبيوتر الخاص به بفيروس، أو ظهور صورة على موقعهم الإلكتروني ينتهك قوانين حقوق الطبع والنشر، وما إلى ذلك. يمكن للهندسة الاجتماعية أيضًا الاستفادة من خوف الضحايا من فقدان الفرصة (FOMO)، مما يولد شكلاً مميزًا من الإلحاح. 

  • التنفيذ: يستخدم المهاجم المعلومات المكتسبة أو الوصول إليها لأغراض ضارة. قد يتضمن ذلك سرقة الأموال، أو الوصول إلى البيانات السرية، أو تثبيت برامج ضارة لمزيد من الهجمات. 
  • الخروج: بعد تحقيق هدفه، يقوم المهاجم عادةً بتغطية مساراته لتجنب اكتشافه وربما استخدام نفس طريق الوصول في المستقبل.

تعرف على أساليب وتقنيات الهندسة الاجتماعية:

يحتوي كل نوع من هجمات الأمن السيبراني تقريبًا على نوع من الهندسة الاجتماعية. على سبيل المثال، تكون عمليات الاحتيال الكلاسيكية عبر البريد الإلكتروني والفيروسات محملة بالإيحاءات الاجتماعية. يمكن أن تؤثر الهندسة الاجتماعية عليك رقميًا من خلال هجمات الأجهزة المحمولة بالإضافة إلى أجهزة سطح المكتب. ومع ذلك، يمكنك بسهولة أن تواجه تهديدًا شخصيًا. يمكن أن تتداخل هذه الهجمات وتتداخل مع بعضها البعض لإنشاء عملية احتيال. يعد فهم نواقل الهجوم المختلفة لهذا النوع من الجرائم أمرًا أساسيًا عندما يتعلق الأمر بالوقاية. فيما يلي بعض الأساليب الشائعة التي يستخدمها مهاجمو الهندسة الاجتماعية:

  • التصيد الاحتيالي: هذه طريقة يرسل فيها المهاجم رسالة، عادة ما تكون بريدًا إلكترونيًا، يبدو أنها واردة من مصدر حسن السمعة ويطلب معلومات حساسة مثل أسماء المستخدمين أو كلمات المرور أو تفاصيل بطاقة الائتمان. يتم خداع المستلم للاعتقاد بأن الرسالة هي شيء يريده أو يحتاجه، ثم ينقر على رابط أو يقوم بتنزيل مرفق. 
  •  التصيد الاحتيالي بالرمح: هذا شكل أكثر استهدافًا من التصيد الاحتيالي، حيث يقوم المهاجم بالبحث عن الضحية وتخصيص اتصالاته لتبدو أكثر شرعية. قد يتضمن ذلك استخدام اسم الضحية أو المسمى الوظيفي أو معلومات شخصية أخرى. تعتبر هجمات التصيد الاحتيالي فعالة بشكل خاص لأنها مخصصة للغاية وغالبًا ما تبدو وكأنها تأتي من مصدر موثوق به. 
  • هجوم Watering Hole: في هذا النوع من الهجمات، يراقب المهاجم مواقع الويب التي تزورها منظمة أو مجموعة معينة من الأشخاص بشكل متكرر، ثم يحاول إصابة تلك المواقع ببرامج ضارة - ولكن الهدف الرئيسي هو إصابة جهاز كمبيوتر المستخدم والوصول إلى شبكة. يقوم مرتكب الجريمة بجمع بيانات حول مجموعة محددة من الأشخاص لتحديد مواقعهم الإلكترونية التي يزورونها بشكل شائع، ومن ثم فحص هذه المواقع بحثًا عن نقاط الضعف. وتدريجيًا، سيستسلم بعض أعضاء المجموعة المستهدفة للعدوى، مما يوفر للمهاجم نقطة دخول إلى النظام الآمن. 
  • فخ العسل: في هذه الطريقة، يقوم المهاجم بإنشاء ملف شخصي مزيف على وسائل التواصل الاجتماعي أو مواقع المواعدة لجعل الضحية يكشف عن معلومات سرية بمرور الوقت، وغالبًا ما يكون ذلك تحت ستار علاقة صداقة رومانسية أو وثيقة جدًا. حيلة تغري الرجال بالتعامل مع شخصية أنثوية غير موجودة ولكنها جذابة عبر الإنترنت. تعود جذور هذه الإستراتيجية إلى تقنيات التجسس القديمة حيث تم توظيف امرأة حقيقية لأغراض مماثلة. 
  • الاصطياد: يتضمن الاصطياد تقديم عرض مثير للهدف، مما يدفعه إلى اتخاذ إجراء محدد. يمكن تنفيذ ذلك عبر موقع نظير إلى نظير أو شبكة اجتماعية، مما يوفر تنزيلًا جذابًا لفيلم (يحتمل أن يكون للبالغين)، أو يمكن أن يتضمن محرك أقراص USB يحمل علامة "Q1 Layoff Plan" الذي تم تركه عمدًا في مكان عام ليكتشفه الضحية. . بمجرد استخدام جهاز USB أو تنزيل الملف الضار، يصاب جهاز الكمبيوتر الخاص بالضحية، مما يمكّن مرتكب الجريمة من السيطرة على النظام. 

أمثلة على هجمات الهندسة الاجتماعية:

وفيما يلي أمثلة على العديد من الحوادث الهامة التي تنطوي على الهندسة الاجتماعية: 

  • مهنة كيفن ميتنيك في مجال القرصنة: ربما يكون كيفن ميتنيك أشهر مهندس اجتماعي. في الثمانينيات والتسعينيات، استخدم ميتنيك الهندسة الاجتماعية، من بين تكتيكات أخرى، لاختراق عشرات الأنظمة، بما في ذلك أنظمة الشركات الكبرى مثل IBM وNokia. غالبًا ما كان يخدع الأشخاص للكشف عن كلمات المرور الخاصة بهم من خلال التظاهر بأنه مسؤول النظام. تم القبض على ميتنيك في النهاية وحكم عليه بالسجن. ويعمل الآن مستشارًا أمنيًا، وقد ألف عدة كتب حول هذا الموضوع. 
  • عملية أورورا: في عام 2009، تم إطلاق سلسلة من الهجمات الإلكترونية المعروفة باسم "عملية أورورا" من قبل قراصنة يعتقد أن مقرهم في الصين. استخدمت الهجمات، التي استهدفت العشرات من الشركات الكبرى، بما في ذلك Google وAdobe، رسائل البريد الإلكتروني التصيدية لخداع الموظفين للنقر على رابط يؤدي إلى تثبيت حصان طروادة مخفي على أجهزة الكمبيوتر الخاصة بهم. 
  • اختراق تويتر AP: في عام 2013، تم اختراق حساب وكالة Associated Press على تويتر، وتم إرسال تغريدة كاذبة تدعي حدوث انفجار في البيت الأبيض وإصابة الرئيس أوباما. استخدم المتسللون رسائل البريد الإلكتروني للتصيد الاحتيالي للحصول على معلومات تسجيل الدخول لموظفي AP. تسببت التغريدة في حالة من الذعر لفترة وجيزة وانخفاض مؤقت كبير في سوق الأسهم. 
  • The Fappening أو Celebgate: حدثت في عام 2014. في هذه الحالة البارزة، استخدم فرد (أو ربما مجموعة) تقنيات الهندسة الاجتماعية، من بين أمور أخرى، للحصول على وصول غير مصرح به إلى حسابات iCloud للعديد من المشاهير، مما أدى إلى التسريب للعديد من الصور الشخصية، وبعضها صريح. وبحسب ما ورد استخدم المهاجم تقنية تسمى "التصيد بالرمح"، حيث أرسل رسائل بريد إلكتروني مستهدفة إلى المشاهير يبدو أنها من Apple أو Google، ويطلب منهم تقديم أسماء المستخدمين وكلمات المرور الخاصة بهم. وبمجرد الحصول على المعلومات، تمكن المهاجم من الوصول إلى الحسابات وتنزيل المحتوى. حقق مكتب التحقيقات الفيدرالي في الانتهاك وتم القبض في النهاية على رجل يُدعى ريان كولينز. واعترف بأنه مذنب بارتكاب جناية انتهاك قانون الاحتيال وإساءة استخدام الكمبيوتر، وفي عام 2016 حُكم عليه بالسجن لمدة 18 شهرًا فيدراليًا. تجدر الإشارة إلى أن هذه الحالة تؤكد أهمية ليس فقط كلمات المرور القوية والفريدة من نوعها، ولكن أيضًا استخدام المصادقة الثنائية، والتي يمكن أن تضيف طبقة أخرى من الأمان إلى الحسابات. 
  • التدخل في الانتخابات الأمريكية لعام 2016: استخدم المتسللون الروس تقنيات الهندسة الاجتماعية في تدخلهم المزعوم في الانتخابات الرئاسية الأمريكية لعام 2016. لقد أرسلوا رسائل بريد إلكتروني للتصيد الاحتيالي إلى أكثر من 1000 شخص، بما في ذلك العديد منهم مرتبطون باللجنة الوطنية الديمقراطية (DNC). ومن خلال انتحال شخصية جوجل وطلب من المستخدمين تغيير كلمات المرور الخاصة بهم، تمكن المتسللون من الوصول إلى العديد من حسابات البريد الإلكتروني، بما في ذلك حساب رئيس حملة هيلاري كلينتون.
  • عملية احتيال البيتكوين على تويتر لعام 2020: في عام 2020، تم الاستيلاء على 130 حسابًا رفيع المستوى على تويتر، بما في ذلك حسابات إيلون ماسك وبيل جيتس وباراك أوباما. نشر المهاجمون تغريدات يطلبون فيها من المتابعين إرسال بيتكوين إلى عنوان محدد مع وعد بمضاعفة أموالهم. وبحسب ما ورد تمكن المهاجمون من الوصول إلى أنظمة تويتر الداخلية عن طريق الاتصال بالموظفين والتظاهر بأنهم موظفو تكنولوجيا المعلومات في تويتر الذين يحتاجون إلى بيانات اعتماد تسجيل الدخول للوصول إلى النظام. يعد الاختراق أحد أبرز الأمثلة على الهندسة الاجتماعية في السنوات الأخيرة.
التهديد الصامت
الكشف عن القوة التدميرية لبرامج الفدية