الهندسة الاجتماعية (Social Engineering)- التصيّد الاحتيالي والمواقع المخادعة
الهندسة الاجتماعية هي محتوى كاذب يخدع المتصفحين لحثّهم على تنفيذ إجراءات خطيرة، مثل الكشف عن معلومات شخصية حساسة.
تتم هذه الأساليب من الهجمات بطرق مختلفة، أي أن هذا النوع لا يعتمد على البرمجيات الخبيثة (الفايروسات) بشكل أساسي، بل على كسب المعلومات بطرق خداعية من خلال صفحات وأسماء وحسابات مستعارة بأسماء شخصيات مشهورة، أو بانتحال صفحات تابعة لشخصيات ذات صلة بالموضوع، أو من خلال حسابات بأسماء فتيات جميلات أو ممثلات وغيرها فقط من أجل الإيقاع بالأشخاص الذين يجهلون ما يدور من خداع عبر الشبكة العنكبوتية.
تستخدم طرق الاحتيال هذه أساليب طرح الأسئلة التي قد تكون أسئلة بسيطة غير مهمة ولا تثير أية شكوك، في محاولة لكسب ثقة الضحية. أحيانً، تمرر الأسئلة عبر البريد الإلكتروني أو عبر منصات التواصل الاجتماعي المختلفة، قد تكون على شكل مسابقات، تعارف، صفحات تجارية وغيرها مما ذكر أعلاه لتجعل الأشخاص يتفاعلون مع هذه الحسابات الوهمية ليتمّ بعد ذلك إمّا اختراق أجهزتهم من خلال الروابط المرفقة للإجابة على الأسئلة وإمّا يتم جذبهم للتعامل مع هذه الحسابات لكسب ثقة أصحابها تدريجيًا. وفي كلتا الحالتين ينفذ المخترق هدفه في جمع المعلومات والبيانات عن الأشخاص لابتزازهم بها إلكترونيًا فيما بعد.
أنواع مختلفة من هجمات الهندسة الاجتماعية:
التصيّد الاحتيالي: (phishing) يقوم المهاجم بخداع المستخدمين لحثهم على الكشف عن معلومات حساسة تخضهم من خلال تصميم صفحة مزيفة مصممة كموقع رسمي، على سبيل المثال:
موقع للتأمين الوطني
موقع للبريد المركزي
موقع مصرف (بنك)
موقع إنستغرام وما اشبه من مواقع المنصات الاجتماعية
بحيث يتطلب من الضحية إدخال معطياته الشخصية، مثل رقم الهوية، رقم الهاتف وما شابه من المعلومات، حسب رغبة المخادع. عادة ما يتم الإيقاع بالكثيرين من المستخدمين بسبب التصميم الخارجي
للصفحة الذي يكون على مستوى عالٍ من الدقة يمكنه من خداعه ليظن أن الموقع رسمي دون أية شكوك تدل على غير ذلك.
المحتوى المخادع - الإغراء (Baiting): يحاول المخادع من خلال المحتوى خداع الضحية وحثّه على تنفيذ إجراءات لا يجريها عادةً إلا مع جهة موثوقة لكي يحصل على بياناته، مثل:
مشاركة كلمة المرور
تنزيل برامج (تكون برامج خبيثة بالطبع)
الضغط على روابط (تكون روابط خبيثة ملغومة بفايروسات تجسسية)
في أغلب المحاولات يشمل المحتوى إعلانًا قد يشد انتباه الضحية، إذ قد يكون إعلانًا تحذيريًا يبلّغ الضحية بأن جهازه قديم ويجب تحديث النسخة من خلال الضغط على الرابط المرفق ويحث الضحية على تثبيت برنامج غير مرغوب فيه.
هنالك طرق إضافية أكثر تعقيدًا لا تستخدم مع المستخدمين أو الأشخاص إنما تستخدم كهجمات ضد مراكز حساسة في الدولة وبشكل عام من يهاجم هم قراصنة (هاكرز) مختصون وليس من فئة المخادعين، لأن تلك الهجمات تستخدم أساليب يتم تطويرها بشكل شخصي وليس برمجيات جاهزة وتُصنّف هذه الهجمات تحت اسم "الحرب الإلكترونية" ويكون ضررها بشكل عام كبيرًا جدًا ومكلفًا جدًا.
التصيّد الاحتيالي الصوتي وعبر الرسائل النصية
تُعد هذه الأنواع من هجمات الهندسة الاجتماعية أنواعًا مختلفة من التصيّد الاحتيالي: "التصيّد الاحتيالي الصوتي" وهو استخدام طرق الاتصال وطلب البيانات. يمكن للمحتال في هذا النوع انتحال صفة عامل زميل لك. على سبيل المثال: يمكن للمحتال التظاهر بأنه من مكتب خدمات قسم تكنولوجيا المعلومات وطلب معلومات تسجيل الدخول. ويستخدم التصيّد الاحتيالي عبر الرسائل النصية رسائل نصية قصيرة بدلًا من ذلك لمحاولة الحصول على هذه المعلومات.
كيف نحمي أنفسنا من الوقوع في فخ الهندسة الاجتماعية؟
من الصعب مواجهة هجمات الهندسة الاجتماعية على وجه الخصوص لأنها مصممة للعب على الخصائص البشرية الطبيعية، مثل الفضول والرغبة في مساعدة الآخرين. وإن لم نكن على وعي كامل بضرورة التحقق من كل ما يرسل إلينا من خلال الشبكة، فنحن نعرض أنفسنا إلى خطر الوقوع في شباك المحتالين.
عدد من النصائح التي يمكن أن تساعد في اكتشاف هجمات الهندسة الاجتماعية:
تحقق من المصدر
التحقق من المصدر ليس أمرًا صعبًا. على سبيل المثال، في حالة رسائل البريد الإلكتروني، انظر إلى الجزء العلوي من الرسالة وتحقق من الرسائل الصالحة الواردة من نفس المرسل. قد تصلك رسالة بريد تهديد بأنه تم اختراق جهازك أو الكاميرات في مكتبك أو في بيتك. جميع هذه التهديدات هي أسلوب يستخدمه المحتال لكي يجعلك تخضع لطلباته وتنفذ ما يأمرك به. عليك أن تتجاهل الأمر تماماً وأن تتواصل مع أي خبير من منطقتك دون أن تظهر للطرف المتعدي أنك تشعر بالخوف. تأكد أن كل هذه الرسائل هي مجرد أكاذيب وإن أردت أن أثبت لك ذلك، فمثلًا: أن أكون أنا من أهددك بأنني قد اخترقت جهازك أو معلوماتك وصورك التي لم تنشرها أبدًا. فلكي أثبت لك ذلك، عليّ أن أرسل لك الكثير من المعلومات وأن أرسل لك فيديوهات من الكاميرا التي قمت أنا بتشغيلها وليس فيديو قد تم تسريبه لأحدهم لكي يشعرك بأنه قد اخترق جهازك.
قم بتأمين أجهزتك
احرص على التحديث الدائم لبرامج مكافحة البرامج الضارة وبرامج مكافحة الفيروسات برنامج antivirus هو أمر من الضروري جداً أن يكون مثبتاً في جهازك أو بإمكانك التواصل مع شركه الاتصالات التي توفر لك خدمات التلفون لجهازكم بأن تفعّل لك خدمة antivirus.
عدم الضغط على روابط قد ترسل إليك حتى من الأصدقاء وإن حدث هذا وقمت بالضغط على الرابط فاحذر أن تملأ المعطيات التي يُطلب منك إدخالها. وفي كل الأحوال، إن قمت بتفعيل خدمات الـ antivirus عليك أن تتأكد من أن هذه الخدمة ستحذرك من الرابط الخبيث فورًا.
لا تثق بالرسائل التي تصلك من شركة فيسبوك أو انستغرام أو أي شبكة تواصل اجتماعي تحمل تحذيرًا بأن حسابك سوف يغلق وعليك أن تملأ الاستمارة التي ستُرسَل إليك من خلال رابط. للعلم فقط، فإن شركة فيسبوك لا تستخدم مثل هذا النوع من الرسائل ولن تقوم شركة فيسبوك أو واتساب أو أي موقع من مواقع التواصل الاجتماعي بشكل عام بالتواصل معك عن طريق الرسائل لطلب اسم المستخدم أو كلمة السر الخاصة بك. إن قررت فيسبوك حجب حسابك، فستحجبه أولًا ومن ثم سترسل إليك رسالة لتمكنك من تقديم طلب استعادة توضيح.
الرسائل التي تخبرك بأنك ربحت مبلغاً من المال ويجب عليك النقر على رابط URL للحصول على الجائزة هي روابط احتيالية.
نصيحتي لك
لكي تتمكن من حماية نفسك، عليك أن تتثقف تكنولوجيا، أن تتابع أخبار التكنولوجيا، أن تسأل ولا تخجل. حاول اكتساب المعلومات التكنولوجية دون أن تطلب من الآخرين أن يقوموا بتفعيل ما تحتاج إليه من حسابات وغيرها. إن رأيت نفسك ضعيفًا في علوم التكنولوجيا وفي استخدامها، أنصحك بأن تبحث عن دورة ولو قصيرة لتمكنك من اكتساب القدرة على الاستخدام الصحيح.
أسامة أبو عبيد
مهندس برمجة وأمن معلومات، سايبر هجومي ودفاعي، مختص بمكافحة الجرائم الإلكترونية، cyber defense and attack