📁 آخر الأخبار
0

تعرف على الهندسة الاجتماعية في الأمن السيبراني

Tamer Ahmed Tamer Ahmed

في عالم الأمن السيبراني، لا تعتمد جميع الهجمات على المهارات التقنية المعقدة أو البرمجيات الخبيثة، بل هناك نوع آخر يستهدف العنصر البشري بشكل مباشر، وهو ما يُعرف بـ الهندسة الاجتماعية في الأمن السيبراني (Social Engineering). يعتمد هذا النوع من الهجمات على الخداع النفسي والتلاعب بالبشر لجعلهم يسلمون معلومات حساسة دون إدراكهم للخطر.

الهندسة الاجتماعية في الأمن السيبراني

في هذا المقال، سنستعرض مفهوم الهندسة الاجتماعية في الأمن السيبراني، آلياتها، وأبرز الأساليب التي يستخدمها المهاجمون، مثل التأثير النفسي (Psychological Approaches) والإجراءات الفيزيائية (Physical Procedures)، بالإضافة إلى استراتيجيات مثل تقمص الشخصيات (Impersonation) والتصيد الاحتيالي (Phishing)، مع تقديم أمثلة واقعية لفهم كيفية وقوع الضحايا في هذا الفخ.

مفهوم الهندسة الاجتماعية في الأمن السيبراني

تُعرف الهندسة الاجتماعية (Social Engineering) بأنها أسلوب يعتمد على التلاعب النفسي بدلًا من استخدام المهارات التقنية لاختراق الأنظمة، حيث يستهدف المهاجم العنصر البشري مباشرة من خلال الخداع والإقناع للحصول على معلومات حساسة.

يتم ذلك عبر إقناع الضحية بمنح المهاجم البيانات المطلوبة بشكل طوعي، مثل كلمات المرور أو أرقام الحسابات، دون أن يدرك أنه يتعرض لهجوم سيبراني. ويعتمد المهاجم على بناء الثقة وإيهام الضحية بأنه شخصية موثوقة، مما يسهل عملية الاختراق دون الحاجة إلى برمجيات خبيثة معقدة.

آلية عمل الهندسة الاجتماعية

تعتمد الهندسة الاجتماعية في الأمن السيبراني على استغلال ثقة الضحية، حيث يحاول المهاجم الظهور بمظهر شخص موثوق به للحصول على المعلومات المطلوبة. يمكن تصنيف أساليب الهندسة الاجتماعية إلى طريقتين رئيسيتين:

  1. التأثير النفسي (Psychological Approaches):
    • يقوم المهاجم بإقناع الضحية بمنحه المعلومات الحساسة من خلال الحيلة والخداع.
    • يتظاهر باللطف والودّ لكسب الثقة، وأحيانًا يلجأ إلى المجاملة أو تقديم المساعدة المزيفة.
    • قد يستخدم أساليب الاستجواب التدريجي، بحيث يسأل عن معلومات بسيطة ومتفرقة من عدة أشخاص، لتجميع المعلومات المطلوبة دون إثارة الشكوك.
  2. الإجراءات الفيزيائية (Physical Procedures):
    • تعتمد على تنفيذ تصرفات مادية تؤدي إلى كشف المعلومات، مثل التلاعب بالأجهزة أو مراقبة تصرفات الضحية.
    • قد يتم ذلك من خلال إجراءات احتيالية تجعل الضحية تقوم بتنفيذ الأوامر المطلوبة دون وعي بالخطر.

تقنيات الهندسة الاجتماعية

يستخدم المهاجمون عدة تقنيات لاستغلال الضحية وجمع المعلومات المطلوبة، ومن أبرزها:

  • طرح أسئلة غير مريبة: يبدأ المهاجم بطرح أسئلة بسيطة لا تثير الشكوك، مثل اسم المدير أو البريد الإلكتروني الخاص به، قبل الانتقال إلى معلومات أكثر حساسية.
  • تقسيم المعلومات بين عدة أشخاص: بدلاً من طلب المعلومات من شخص واحد، يتم جمعها من عدة أفراد داخل الشركة أو المؤسسة، مما يقلل من احتمالية كشف المخطط.
  • استخدام الحجج المقنعة: يدّعي المهاجم أنه زبون أو موظف جديد للحصول على المعلومات بسهولة، وقد يستخدم الأعذار مثل عدم معرفته بالأنظمة الداخلية.
  • تقمص الشخصيات (Impersonation): يتظاهر المهاجم بأنه شخص ذو صلاحيات، مثل مدير تقنية المعلومات أو موظف دعم فني، لإقناع الضحية بتقديم البيانات المطلوبة.

في أحد الأمثلة، يتصل شخص بموظف في شركة ويدّعي أنه مدير تقنية المعلومات، طالبًا منه تزويده ببيانات الحسابات وكلمات المرور بحجة إصلاح بعض الأعطال التقنية. في الواقع، هذا الاتصال مجرد خدعة للحصول على بيانات حساسة دون إثارة الشكوك.

أنواع هجمات الهندسة الاجتماعية

1- الفارمينج (Pharming)

يعتمد الفارمينج على التلاعب بالسيرفرات أو الأجهزة لإعادة توجيه المستخدمين إلى مواقع مزيفة، حتى لو قاموا بإدخال العنوان الصحيح في المتصفح. عند دخول الضحية إلى الموقع المزور، قد يسجل دخوله إلى حسابه البنكي أو أي خدمة حساسة، مما يسمح للمهاجم بسرقة بياناته بكل سهولة.

2- التصيد المستهدف (Spear Phishing)

يُعد التصيد المستهدف نوعًا متطورًا من هجمات التصيد الاحتيالي، حيث يستهدف أشخاصًا معينين بناءً على معلوماتهم الشخصية. على سبيل المثال، إذا كان المهاجم يستهدف مديرًا في شركة معينة، فسيستخدم اسمه في البريد الإلكتروني لإضفاء مزيد من المصداقية على الرسالة، مما يزيد احتمالية وقوع الضحية في الفخ.

3- التصيد الصوتي (Vishing)

في هذا النوع، يستخدم المهاجم المكالمات الصوتية المسجلة لإيهام الضحية بأنه يتحدث إلى جهة رسمية، مثل البنك، ويطلب منه تحديث بياناته. يتم توجيه الضحية للاتصال برقم معين، والذي يكون في الواقع رقم المهاجم، حيث يتم خداعه لإدخال بياناته الحساسة.

4- التصيد الاحتيالي عبر الرسائل (Phishing Emails)

يتم إرسال رسائل بريد إلكتروني مزيفة تدّعي أنها من مصادر موثوقة مثل البنوك أو الشركات الكبرى. غالبًا ما تحتوي هذه الرسائل على روابط مزورة تؤدي إلى مواقع مخادعة تطلب من الضحية إدخال بياناته الشخصية أو المالية.

دلائل اكتشاف رسائل التصيد الاحتيالي

  • الرسالة موجهة بعبارات عامة مثل "Dear Customer" بدلًا من الاسم الشخصي.
  • الرابط الظاهر في النص يختلف عن الرابط الحقيقي عند تمرير المؤشر عليه.
  • وجود أخطاء إملائية أو نحوية في نص الرسالة.
  • استخدام عبارات عاجلة مثل "يجب تحديث بياناتك فورًا وإلا سيتم إيقاف حسابك".
  • وجود شعارات وهمية أو مسروقة من مواقع رسمية، لكنها ليست دليلًا على صحة الرسالة.

5- البريد العشوائي (Spam)

يتمثل في إرسال رسائل غير مرغوب فيها تحتوي على عروض مغرية مثل "لقد فزت بجائزة!" أو "اربح رحلة مجانية"، بهدف خداع الضحية ودفعها إلى تقديم معلوماتها الشخصية. هذا النوع لا يدّعي أنه من جهة رسمية، لكنه لا يزال يشكل خطرًا كبيرًا على المستخدمين.

6- الرسائل الاحتيالية عبر الهاتف (Smishing)

يشبه البريد العشوائي ولكنه يعتمد على الرسائل النصية القصيرة بدلًا من البريد الإلكتروني. يتم إرسال رسائل تدّعي أنك ربحت جائزة أو تطلب منك الاتصال برقم معين للتحقق من بياناتك، وعند الاستجابة يتم خداعك وسرقة معلوماتك.

تحذر الحكومات والمؤسسات الأمنية من تصديق مثل هذه الرسائل، حيث يتم إرسال تنبيهات رسمية للمستخدمين بضرورة تجاهلها وحذفها فورًا لمنع وقوعهم ضحية للاحتيال.

التحذير من رسائل السبام وتقنيات الاحتيال الإلكتروني

في هذا القسم، نسلط الضوء على ضرورة الحذر من تصديق رسائل السبام التي تصل عبر البريد الإلكتروني أو عبر وسائل التواصل الاجتماعي المختلفة، حيث يلجأ المهاجمون إلى أساليب متعددة لخداع المستخدمين وسرقة بياناتهم، وفيما يلي أنواع رسائل السبام وتقنيات التهرب من الفلترة:

  1. النصوص الاحتيالية (Text-Based Spam)
    بعض رسائل السبام تكون عبارة عن نصوص فقط، تتضمن قصصًا مزيفة أو عروضًا مغرية بهدف خداع المستخدم. نظرًا لكونها نصوصًا مباشرة، يسهل على أنظمة الفلترة اكتشافها وتصنيفها كرسائل غير مرغوب فيها.
  2. الرسائل المصورة (Image-Based Spam)
    عند استخدام الصور بدلًا من النصوص، يصبح من الصعب على الفلاتر اكتشاف الرسالة كمحتوى احتيالي، إذ يتم تضمين المعلومات المخادعة داخل صورة بدلًا من نص قابل للقراءة الآلية. يضاف إلى ذلك إدراج نصوص عشوائية داخل الرسالة لا تحمل معنى حقيقي، مما يزيد من تعقيد عملية اكتشافها.
  3. التحايل باستخدام الصور المتعددة (GIF Layering)
    يستخدم المهاجمون تقنية تقسيم المحتوى إلى عدة طبقات داخل صورة واحدة، بحيث تظهر الرسالة واضحة للمستخدم لكنها غير قابلة للاكتشاف بواسطة الفلاتر الأمنية.
  4. تقنية تفكيك الكلمات (Word Splitting)
    يتم فصل الحروف والكلمات داخل الصور بحيث تبقى مفهومة للبشر ولكن غير قابلة للفهم من قبل الأنظمة الآلية، مما يسمح للرسائل بتجاوز الفلترة والوصول إلى صندوق الوارد للمستخدم.
  5. التغيير المستمر في الشكل (Geometric Variance)
    تعتمد هذه الطريقة على إرسال نفس المحتوى الاحتيالي بتنسيقات مختلفة في كل مرة، مثل تغيير اللون، نوع الخط، حجمه، أو محاذاة النص، مما يجعل عملية اكتشاف النمط الاحتيالي أكثر صعوبة.

الهندسة الاجتماعية والاحتيال الفيزيائي

إلى جانب الأساليب التقنية، هناك طرق تعتمد على استغلال سلوك المستخدمين للحصول على بيانات حساسة، ومنها:

  1. البحث في القمامة (Dumpster Diving)
    يلجأ المهاجمون إلى البحث في نفايات الشركات لاستخراج مستندات أو أجهزة تخزين تحتوي على بيانات حساسة مثل:
    • الأجندات والتقاويم:لمعرفة مواعيد الاجتماعات الهامة واستغلالها في هجمات مستقبلية.
    • الأجهزة المخزنة للبيانات (USB, Hard Disks):في حال التخلص منها دون مسح البيانات بشكل آمن، يمكن للمهاجمين استعادة المعلومات المخزنة فيها.
    • المذكرات الداخلية (Memos):قد تحتوي على معلومات تساعد المهاجمين في تقمص شخصيات الموظفين لتنفيذ عمليات احتيالية.
    • الهيكل التنظيمي للشركة (Organizational Charts):توفر للمهاجمين تفاصيل عن الموظفين وأدوارهم، مما يسهل عمليات الاحتيال المستهدفة.
  2. التسلل الفيزيائي (Tailgating)
    يتمكن المهاجم من دخول المباني المحمية عبر اتباع شخص مرخص له بالدخول دون أن يكون لديه تصريح خاص. يمكن تحقيق ذلك عبر:
    • طلب مساعدة شخص ما بفتح الباب مدعيًا أنه نسي بطاقته.
    • انتظار شخص يستخدم بطاقته ثم الدخول بسرعة خلفه قبل إغلاق الباب.
    • استفادة الموظف نفسه من بطاقته للسماح بدخول شخص آخر دون التأكد من هويته.
  3. التجسس من فوق الكتف (Shoulder Surfing)
    يلجأ المهاجم إلى الوقوف خلف المستخدم أثناء إدخال كلمات المرور أو بيانات حساسة مثل رقم البطاقة الائتمانية، بهدف التقاط هذه المعلومات واستخدامها لاحقًا.

كيفية الحماية من هذه التهديدات

  • الحذر من رسائل البريد الإلكتروني المشبوهة وعدم النقر على الروابط المرفقة دون التحقق من المصدر.
  • استخدام أنظمة حماية متقدمة للكشف عن الرسائل الاحتيالية وإيقافها قبل الوصول إلى المستخدم.
  • تمزيق المستندات الحساسة قبل التخلص منها ومسح الأجهزة الإلكترونية بشكل آمن.
  • الالتزام بإجراءات الأمن الفيزيائي وعدم السماح لأشخاص غير مصرح لهم بالدخول.
  • الحذر أثناء إدخال البيانات الحساسة في الأماكن العامة وتغطية لوحة المفاتيح عند كتابة كلمات المرور.

الهندسة الاجتماعية ليست مجرد تهديد تقني بل هي هجوم يستهدف العنصر البشري مباشرة، مما يجعل الوعي والتدريب عنصرين أساسيين في الحماية منها، وتعتمد هذه الهجمات على استغلال الثقة والخداع النفسي، مما يستدعي توخي الحذر عند مشاركة أي معلومات حساسة، سواء عبر البريد الإلكتروني، الهاتف، أو حتى اللقاءات المباشرة، تذكّر دائمًا أن الخطأ البشري هو أضعف حلقة في سلسلة الأمان، لذا فإن تعزيز الوعي والتدريب المستمر هو أفضل سلاح لمواجهة هذه التهديدات.

Tamer Ahmed
Tamer Ahmed

مقالات قد تهمك

تعليقات