ما هي الهندسة الاجتماعية؟
الهندسة الاجتماعية في جوهرها ليست هجومًا إلكترونيًا. بل تدور حول سيكولوجية الإقناع: فهي تستهدف العقل كشخص غشاش أو محتال في مدرستك القديمة. ويتمثل الهدف منها في كسب ثقة الأشخاص ليتخلوا عن حذرهم، ثم تشجيعهم على اتخاذ إجراءات غير آمنة مثل إفشاء المعلومات الشخصية أو الضغط على الارتباطات الإلكترونية أو فتح مرفقات قد تكون ضارة.
كيف تعمل الهندسة الاجتماعية؟
في هجوم الهندسة الاجتماعية التقليدي، سيتواصل المجرم الإلكتروني مع الضحية المنشودة بزعم أنه من مؤسسة موثوقة. وفي بعض الحالات، سينتحل حتى شخصية أحد الأفراد الذين تعرفهم الضحية جيدًا.
وإذا انطلت الحيلة (صدّقت الضحية أن المعتدي نفس الشخصية التي يزعمها)، فسيشجع المعتدي الضحية على اتخاذ إجراء إضافي. قد يتمثل هذا الإجراء في إفشاء معلومات حساسة مثل كلمات مرور، أو تاريخ الميلاد، أو تفاصيل الحساب البنكي. أو قد يشجع المعتدي الضحية على زيارة موقع إلكتروني يحتوي على برمجيات ضارة مثبتة تستطيع التسبب في خلل لحاسوب الضحية. وفي أسوأ السيناريوهات، قد يستحوذ الموقع الإلكتروني الضار على معلومات حسّاسة من الجهاز أو يتحكم في الجهاز بشكل كامل.
لماذا تعتبر الهندسة الاجتماعي خطرة للغاية؟
يتمثل أحد أكبر مخاطر الهندسة الاجتماعية في أنه ليس ضروري أن تنجح الهجمات ضد الجميع: فبإمكان ضحية واحدة مخدوعة أن توفر معلومات كافية لشن هجوم من الممكن أن يؤثر على مؤسسة بأسرها.
وبمرور الوقت، تطورت هجمات الهندسة الاجتماعية على نحو متزايد. فلم تعد المواقع الإلكترونية أو رسائل البريد الإلكتروني المزيفة وحدها تبدو واقعية بما يكفي لخداع الضحايا للكشف عن البيانات التي يمكن استخدامها لسرقة الهوية، بل أصبحت الهندسة الاجتماعية أيضًا واحدة من أكثر الطرق شيوعًا للمهاجمين لخرق الدفاعات الأولية للمؤسسات من أجل التسبب في مزيد من الخلل والضرر.
كيف أحمي نفسي ومؤسستي ضد الهندسة الاجتماعية؟
في الوقت الذي تختبر فيه الهجمات النفسية قوة أفضل أنظمة الأمان، يمكن للشركات الحد من مخاطر الهندسة الاجتماعية من خلال التدريب على التوعية.
لذا فالتدريب المستمر المُصمم خصيصًا لمؤسستك موصى به بشدة. وينبغي أن يشتمل هذا التدريب على عروض توضيحية للطرق التي قد يحاول المهاجمون من خلالها تطبيق الهندسة الاجتماعية على موظفيك. على سبيل المثال، محاكة سيناريو ينتحل فيه مهاجم شخصية موظف بنكي يطلب من الشخص المستهدف أن يؤكد معلومات حسابه. وقد يتمثل سيناريو آخر في مدير كبير (تم نسخ أو انتحال عنوان بريده الإلكتروني) يطلب من الشخص المستهدف إرسال مدفوعات مالية إلى حساب معيّن.
يساعد التدريب على تعليم الموظفين الدفاع ضد هذه الهجمات وفهم سبب أهمية دورهم المؤسسي في إطار الثقافة الأمنية.
كما يتعيّن على المؤسسات أيضًا وضع مجموعة واضحة من السياسات الأمنية لمساعدة الموظفين في اتخاذ أفضل القرارات عندما يتعلق الأمر بالتصدي لمحاولات الهندسة الاجتماعية. وتتضمن الأمثلة للإجراءات المفيدة التي يمكن تبنّيها ما يلي:
-
إدارة كلمات المرور: تساعد إرشادات مثل عدد ونوع الأحرف التي يجب أن تتضمنها كل كلمة مرور، وعدد مرات تغيير كلمة المرور، وحتى قاعدة بسيطة تنص على أنه لا ينبغي للموظفين الكشف عن كلمات المرور لأي شخص - بغض النظر عن مناصبهم - في تأمين أصول المعلومات.
- المصادقة متعددة العوامل: ينبغي أن تستخدم المصادقة على خدمات الشبكة عالية الخطورة، مثل تجمّعات أجهزة المودم والشبكات الخاصة الافتراضية (VPN)، مصادقة متعددة العوامل بدلاً من كلمات المرور الثابتة.
-
تأمين البريد الإلكتروني بدفاعات مكافحة التصيد الاحتيالي: قد تقلل طبقات متعددة من دفاعات البريد الإلكتروني من خطر التصيد الاحتيالي وهجمات الهندسة الاجتماعية الأخرى. وتحتوي بعض أدوات تأمين البريد الإلكتروني على تدابير مدمجة للحماية من التصيد الاحتيالي.
أنواع هجمات الهندسة الاجتماعية
التصيد الاحتيالي
تُعد عمليات التصيد الاحتيالي أكثر أنواع هجمات الهندسة الاجتماعية شيوعًا. فهي عادة تأخذ شكل بريد إلكتروني يبدو كما لو كان من مصدر شرعي. وسيحاول المهاجمون أحيانًا إجبار الضحية على إعطائهم معلومات البطاقات الائتمانية أو غيرها من البيانات الشخصية. وفي أحيان أخرى، تُرسل رسائل التصيد الاحتيالي الإلكترونية من أجل الحصول على معلومات تسجيل الدخول الخاصة بالموظفين أو تفاصيل أخرى لاستخدامها في هجمات متقدمة ضد شركتهم. وغالبًا تبدأ هجمات الجرائم الإلكترونية مثل التهديدات المستمرة المتطورة (APT) وبرامج الفدية الضارة بمحاولات تصيد احتيالي.
وتكمن الأمثلة الأخرى على التصيد الاحتيالي الذي قد تصادفه في التصيد الاحتيالي الموجّه، والذي يستهدف أفرادًا معينين بدلاً من مجموعة كبيرة من الأشخاص، والتصيد الاحتيالي الموجّه لأشخاص مهمين، والذي يستهدف المديرين التنفيذيين البارزين أو الهيئة التنفيذية (C-suite).
مؤخرًا، فقد أصبح المهاجمون يستغلون النمو في مجال البرمجيات كخدمة (SaaS) مثل Microsoft 365. عادة تتخذ حملات التصيد الاحتيالي هذه شكل بريد إلكتروني مزيف يدّعي أنه من شركة Microsoft.حتوي هذا البريد الإلكتروني على طلب لتسجيل دخول المستخدم وإعادة تعيين كلمة المرور الخاصة به لأنه لم يسجل الدخول إلى حسابه مؤخرًا، أو يدّعي أن هناك مشكلة في الحساب بحاجة إلى عنايته. ويكون عنوان URL مضمنًا في البريد الإلكتروني، ما يشجّع المستخدم على النقر فوقه ومعالجة المشكلة.
هجمات ثقب الريّ (Watering hole)
هجمات ثقب الريّ عبارة عن نوع شديد الاستهداف من الهندسة الاجتماعية. سينصب المهاجم فخًا باختراق موقع إلكتروني اعتادت مجموعة معيّنة من الأشخاص على زيارته، بدلًا من استهداف تلك المجموعة مباشرة. ومثالًا على ذلك المواقع الإلكترونية المتخصصة التي يزورها مرارًا موظفون في قطاع بعينه مثل قطاع الطاقة، أو قطاع الخدمة العامة. الجناة الذين يقفون وراء هجوم ثُقب الري باختراق الموقع الإلكتروني بهدف القبض على فرد من تلك المجموعة المستهدفة. ومن المحتمل أن ينفذوا هجمات أخرى بمجرد أن يخترقوا جهاز هذا الفرد أو يحصلون على بياناته.
هجمات اختراق البريد الإلكتروني للعمل
تُعد هجمات اختراق البريد الإلكتروني للعمل (BEC) شكلًا من أشكال الاحتيال عبر البريد الإلكتروني، حيث يدّعي المهاجم أنه أحد كبار المديرين التنفيذين ويحاول خداع المستلم لينفذ مهام عمله، لغرض غير قانوني، مثل إرسال حوالات مالية إليه.
الهندسة الاجتماعية المادية
عند الحديث عن الأمن السيبراني، نحن بحاجة إلى الحديث أيضًا عن الجوانب المادية لحماية البيانات والأصول. يتعرّض بعض الأشخاص في مؤسستك - مثل موظفي مكتب المساعدة، وموظفي الاستقبال، والموظفين دائمي السفر - لخطر هجمات الهندسة الاجتماعية المادية أكثر من غيرهم، والتي تحدث لهم بصفة شخصية.
وينبغي على مؤسستك أن يكون لديها ضوابط أمنية مادية فعّالة مثل سجلات الزوار، ومتطلبات المرافقة، وعمليات التحقق من الخلفية الحياتية للشخص. وقد يستفيد الموظفون الذين يشغلن مناصب أكثر عرضة لخطر هجمات الهندسة الاجتماعية من التدريب المتخصص للحماية من الهجمات المادية للهندسة الاجتماعية.
الاصطياد عبر USB
يبدو الاصطياد عبر USB غير واقعي بعض الشيء، ولكنه يحدث أكثر مما قد تظن. فما يحدث في الأساس هو أن المجرمين الإلكترونيين ينصّبون برمجيات ضارة على أقراص USB ويتركونها في مواقع استراتيجية، آملين أن يعثر عليها أحد ما ويصلها بالنظام الإلكتروني لشركة ما، وبالتالي يطلق العنان لأكواد ضارة في مؤسسته دون قصد.