معظم مستخدمي الهندسة الاجتماعية Social Engineering ، لا يتواجدون بالضرورة على الانترنت فهي فن التلاعب بعقلية الانسان للحصول منه على معلومات ما كان ليفصح عنها في الحالات العادية أو للاستيلاء على اشياء الاشخاص أو جعلهم يقومون بشيء ما لصالح مستخدم الهندسة الاجتماعية ، وقد استخدمت مند قديم الزمن في النصب و الاحتيال و في اقبية التحقيق مع المعتقلين او في توجيه الرأي العام ، لكن الاستخدام الاخطر لها و ربما الاقوى هو الذي ارتبط بشبكة الانترنت و قدرة الهاكرز المستخدمين لها على الوصول لمعلومات حساسة و على اعلى المستويات ، لهذا يفضل معضم المخترقين الهندسة الاجتماعية، بمعنى استغلال الاخطاء والسلوكيات البشرية لإجراء هجوم إلكتروني.
تعريف الهندسة الاجتماعية Social Engineering
بالنسبة لتعريف الهندسة الاجتماعية، هو فن التلاعب بشخص ما لإفشاء معلومات حساسة او سرية. عادةً من خلال الاتصالات الرقمية، والتي يمكن استخدامها لاغراض احتيالية، على عكس تماماً الهجمات الالكترونية التقليدية التي تعتمد على الثغرات الامنية للوصول الى الاجهزة او الشبكات غير المصرح بها، فإن التقنية المتبعة في الهندسة الاجتماعية هو استهداف نقاط الضعف البشرية لهذا السبب، تعتبر Social Engineering أيضاً قرصنة بشرية. كما يطلق على مجرمي الانترنت الذي يستخدمون هذه التقنية باسم المهندسين الاجتماعيين.
وعادةً تتركز أعمالهم في الحصول على اشياء ثمينة مثل المعلومات المهمة او المال او لإحداث الفوضى بطلب من جهة معينة.
كيف تعمل الهندسة الاجتماعية
إن ابشع طريقة يستغلها المهندس الاجتماعي، هي الثقة (الثقة الزائفة) وثانيا يستخدم فن الإقناع. و بشكل عام هناك 4 خطوات لتنفيذ الهجوم والحصول على المطلوب.
مرحلة التحضير:
يقوم المهندس في هذه المرحلة بجمع العلومات حول الهدف (الضحية) وتحديد الاماكن التي يمكن الوصول لها، مثل حسابه على وسائل التواصل الاجتماعي. البريد الإلكتروني و الرسائل النصية.
مرحلة التسلل الاولى:
يتقرب المهندس الاجتماعي من الضحية، وعادةً ما ينتحل الشخصية مصدر موثوق ويستخدم المعلومات التي تم جمعها حول الضحية للتحقق من صحة المعلومات.
محاولة الاستغلال:
يستخدم المهندس الاجتماعي الإقناع لطلب معلومات من الضحية، محاولة الوصول لدخول الى الحساب، وطرق الدفع، ومعلومات الاتصال.
إنهاء المهمة:
يصل المهندس الاجتماعي للتوقف عن التواصل مع الضحية فيكون وصل الى الهدف وارتكب الهجوم وغادر مسرعاً.
علامات هجوم الهندسة الاجتماعية
يمكن أن تحدث الهندسة الاجتماعية، في كل مكان على الانترنت، على عكس الهجمات الالكترونية التقليدية، حيث يكون المجرمين الالكترونيون متخفين ويريدون المرور دون أن لايحظهم أحد، فإن المهندسين الاجتماعين غالباً مايتواصلون معنا امام الجميع، ضع في اعتبارك تكتيكات الهندسة الاجتماعية المعروفة قد يكون احد اصدقائك على احد وسائل التواصل الاجتماعي.
الاساليب التي يمكن أن تتعرض لها من خلال تقنية الهندسة الاجتماعية
رسالة من صديق: يمكن لمهندس الاجتماعي أن يظهر لك كأفراد موثوقة بهم في حياتك، بما في ذلك صديق او زميل في العمل، يرسل لك سالة واضحة باسمهِ تحمل روابط او لتنزيل فايروسات ضارة، عليك الانتباه دائماً والتعرف جيداً على اصدقائك اذا ارسلوا لك شيء غريباً، أن تسألهم عنه قبل ان تفتح الرابط.
اللعب على وتر العاطفة: المهندسين الاجتماعيين بارعين في إثارة مشاعرك لتكون فريسة سهلة الاصطياد، من خلال اثارة مشاعر الخوف من تهديدات محتملة مزمعة من قبلهم، او الفضول لمعرفة ما الذي يكون خلف الرابط، او الغضب حيال مشهد مؤثر يرسلونه لك. هناك الكثير من الحيل عليك دائماً التصرف بعقلانية قبل اتخاذ قرار بنية على اساس عاطفي.
طلبات مستعجلة: لا يريدك المهندس الاجتماعي أن تفكر كثيراً، فهو يخشى معرفتك للحيلة، فيرسل لك رسائل تتضمن، نوعاً من الإلحاح، مثل مسابقة يانصيب عليك الاشتراك حالاً، او هناك برامج ضارة على جهازك عليك تنزيل البرنامج فوراً لمسح الفايروسات، والحقيقة تكون خلف هذا الرابط حقيبة من الفايروسات الضارة.
عروض يصعب تصديقها: هل تلقيت يوماً اخباراً لم تقم بطلبها ؟ حتى الاخبار التي تكون الفوز في اليانصيب او رحلة الى جزر المالديف. تذكر دائماَ عند وصول مثل هذه الرسائل ان تسأل نفسك لماذا انا ؟.
مساعدة لم تطلبها : من المحتمل ان يتواصل المهندسون الاجتماعيون تحت ستار شركة تقدم المساعدة لمشكلة لديك، بشكل خدمة دعم فني.
طرق الوقاية من الهندسة الاجتماعية
بعد الحديث عن الاساليب، يتسأل الكثير عن طرق الدفاع وصد مثل هذه الهجمات وكيف التخلص منها. فـ أفضل دفاع لك ضد هجمات الهندسة الاجتماعية هو تثقيف نفسك بمخاطرها، وطرق العلاج منها:
تواصل بشكل آمن عبر الانترنت:
ان الذكاء والفطنة هو العامل والمدافع الاول ضد هجمات الهندسة الاجتماعية. إن مجرد التريث بالتعامل مع جميع التفاعلات عبر الانترنت مع التشكيك يمكن أن يوقف هجمات الهندسة الاجتماعية.
- لا تنقر على الروابط المجهولة ابدا التي لم تقم بطلبها.
- لا تشارك الكثير من المعلومات الشخصية عبر الانترنت.
- توخى الحذر دائماً من الصداقات على الانترنت.
- لا تنسى علامات الهندسة الاجتماعية.
و للمزيد من الاحتياطات يمكنك الاطلاع على هذا المقال :
15 اخطر الاخطاء التي يجب عليك ان لا ترتكبها على الانترنت
تأمين الحسابات الخاصة بك
من الأفضل حماية حساباتك والشبكات التي تعمل عليها من الهجمات الالكترونية. تذكر هذه الوسائل والطرق لتأمين الأماكن التي تستضيف معلوماتك الشخصية.
- قم باستخدام كلمات مرور قوية وفريدة من نوعها.
- تعيين تصفية للبريد الالكترونية من البريد العشوائي للتخلص منه مباشرةً.
- لا تعطي كلمة السر الخاصة في WI-FI للغرباء.
- راقب حساباتك دائماً بشكل دوري، وقم بتغير كلمات السر بين كل فترة واخرى.
اقرأ ايضا :
امن المعلومات و الامن السيبراني و الفرق بينهما
حماية الاجهزة الخاصة بك
تأكد دائماً أن الاجهزة تعمل في مجال الامن السيبراني، يعني أنك لست الوحيد المسؤول عن إبعاد الهجمات.
- لا تترك أجهزتك دون مراقبة مستمرة.
- استخدام برامج الحماية، التي تعمل في الامن السيبراني.
- قم دائماً بتحديث برامج الحماية على أجهزتك.
أنواع هجوم الهندسة الاجتماعية
تشمل جميع الهجمات الالكترونية على شكل من أشكال الهندسة الاجتماعية، تتضمن معظم تنقيات الهندسة الاجتماعية على برامج ضارة. وهناك أمثلة حقيقية جرت خلال السنوات السابقة عليك معرفتها.
مثال عن انتحال DNS
تعرضت شركة الحوسبة السحابية وعملائها لهجوم انتحال لنظام اسماء النطاقات أسفر عن سرقة حوالي 17 مليون دولار من العملات المشفرة من الضحايا. كانت العملية بتوجيه الاشخاص الذين يحاولون تسجيل الدخول على حساباتهم بالعملات المشفرة الى موقع ويب مزيف، وقام مهندسين الاجتماعين بجمع البيانات وسرقة عملاتهم المشفرة من الحسابات الخاصة بهم.
أكبر الاختراقات باستخدام الهندسة الاجتماعية
عملية اختراق لحسابات تويتر تموز 2020 :
تعتبر عملية الاختراق هاته من اجرأ عمليات الاختراق على منصة تويتر حيث تمكن القراصنة من اختراق حسابات موثقة على تويتر ، كحساب المرشح الديمقراطي للرئاسة جو بايدن، والملياردير بيل غيتس، والرئيس التنفيذي لشركة “تسلا” إيلون ماسك، وعمدة نيويورك السابق مايك بلومبيرغ .
و تمكن القراصنة من اختراق هذه الحسابات عبر التلاعب عبر تقنية الهندسة الاجتماعية ببعض موظفي تويتر الذين سمحو لهم بالوصول لادوات مهمة مكنتهم من اختراق 45 حسابا موتقا، نُشرت في الحسابات المُخترَقة نفس التغريدات تقريبًا حيثُ طُلب من المتابِعين إرسال عملة بيتكوين إلى محفظة بيتكوين مُحدّدة واعدين بمضاعفة كل من يُرسل مبلغًا مُعيّنًا من المال .
كان نمطُ التغريدات في الحسابات المُخترقَة متشابهًا إلى حدٍ كبيرٍ حيثُ ادّعى المخترِقون أنه وفي إطارِ الجهود الإغاثيّة المبذولة لمكافحةِ الأضرار الناجمة عن مرض فيروس كورونا 2019 فإنه تُقرّر تسديد مبلغٍ مضاعفٍ لكل من يُرسل مبلغًا مُعيّنًا من المال إلى محفظة بيتكوين مُحدّدة. حملت بعضُ التغريدات راوبط خبيثة لكنّ الموقع الذي يستضيف تلك الروابط قد أُزيل بعد فترةٍ قصيرةٍ من نشر التغريدات .
عملية اختراق شركة سوني 2014 :
تمكن المخترقين من الوصول لحسابات بعض المديرين التنفيديين للشركة، من خلال ايمايل يحتوي رابط احتيالي ادعى انه من شركة ابل، بمجرد النقر على الرابط المخادع المؤدي إلى صفحة التحقق الزائفة وإدخال بيانات اعتمادهم على الرابط تمكن المخترقون من الدخول الى قاعدة بيانات الشركة، و الاستيلاء على ملايين الوتائق السرية ليقومو لاحقا بنشرها على الدارك ويب بعد ان امتنعت سوني عن تقديم الفدية المطلوبة .
اختراق البريد الالكتروني للحملة الانتخابية لهيلاري كلينتون 2016
يعتبر من اخطر الاختراقات في عالم السياسة ، حيث عمد المهاجمون الى ارسال رسائل بريد الكترونية لاعضاء مختلفين من شبكة المؤتمر الوطني للحزب الديموقراطي ، و كانت الرسائل عبارة عن تحدير من شركة جوجل لصاحب الايمايل عن نشاط مشبوه على حسابه ينبغي التحقق منه ، و لتحقق منه طلب منهم الضغط على رابط مختصر عبر موقع Bitly ، و بمجرد الضغط عليه يتم نقلهم الى صفحة مشابهة لجوجل و طلب منهم تغيير كلمة السر لديهم ، ليتم الاستيلاء على هذه الحسابات و هكذا تمكن القراصنة من جمع معطيات مهمة و حساسة من الاف الرسائل على البريد الالكتروني لحملة هيلاري كلينتون .
بعض انواع الاحتيال عبر الانترنت
يلجأ البعض الى اتباع طرق احتيالية لحملك على تحميل تطبيق، او برنامج على اجهزتك ، متل الاعلانات التي تدعي بوجود فيروسات على جهازك، و تطلب منك تحميل التطبيق لازالتها ، او التي تدعي انك ربحت جائزة و عليك ملأ بياناتك للحصول عليها ، و يكون احيانا الهدف هو الحصول على بضع دولارات عبر اقناعك بالقيام بعملية التحميل، او ادخال البيانات كالايمايل او الهاتف، و تسمى هذه العملية بالدفع مقابل القيام بعمل ما ويروج لها المسوقين ويسعون دائما الى اقناعك بالقيام بالعملية المطلوبة حتى تقوم الشركة الاشهارية بالدفع لهم عن كل من قام بالعمل المطلوب .
و عليك ان تعلم بان مجرمي الانترنت ليسوا الوحيدين من يستفيدون من عمليات الاحتيال ، ففي عام 2019 قامت شركة بيع ادوات الحماية مع شركة دعم تقني لعقد صفقة مشبوهة فيما بينهم، لترتكب شركة الدعم التقني اعمال تخويف ، وطلب صاحب الشركة من الموظفين اجراء اختبار على اجهزة العملاء والعبث بها ، ليشجع العملاء على شراء خدمات الاصلاح وادوات الحماية الغير ضرورية، لكن في النهاية تم تسريب الخبر والكشف عن العملية لتحكم المحكمة الفدرالية على الشركة الموردة وشركة الدعم بدفع 35 مليون دولار لتسوية أوضاعهم.
في الختام
ذكرنا لك عزيزي متابع موقع بروكسي تعريف الهندسة الاجتماعية وطرق المتبعة في الإحتيال على الضحايا المحتملين، لكن عليك الانتباه دائماً وتسجيل الوصايا التي ذكرنها لك. لتحصن نفسك من اي عملية اختراق او الوقوع في مصيدة احد المخترقين عبر تقنية المهندسين الاجتماعين.
بعض المصادر