يركّز الاهتمام في عالم الأمن السيبراني عادة على مواجهة الاختراقات التقنية والثغرات المعقدة التي تستهدف شبكات البيانات وأنظمة التشغيل، لكن خبراء الأمن يحذرون من تهديد أكثر ذكاء وفعالية لا يعتمد على التكنولوجيا، بل يستغل الضعف البشري الطبيعي.
هذا التكتيك، المعروف باسم الهندسة الاجتماعية، هو فن الخداع الذي ينطوي على التلاعب بالأفراد للكشف عن معلومات حساسة، أو منح وصول غير مصرح به إلى الشبكات والبيانات، وغالباً ما يتم ذلك عبر انتحال صفة جهة موثوقة مثل فريق الدعم التقني، لطلب اسم المستخدم أو كلمة المرور.
خمسة أساليب رئيسية لهجمات الهندسة الاجتماعية
يُعتمد الاصطياد الإغرائي على زرع فخ لجذب فضول الضحية، وأبرز أمثلته ترك وحدة تخزين USB تحتوي على برامج ضارة في مكان عام على أمل أن يعثر عليها شخص ويوصلها بجهازه.
وقد توجد أنواع من وحدات التخزين لا تحتوي فقط على برامج خبيثة، بل قد تكون مصممة لإتلاف أجهزة الكمبيوتر مادياً عبر إطلاق موجات طاقة شرسة.
تقوم الذريعة على إنشاء سيناريو زائف ومقنع لدفع الضحية إلى كشف معلومات، فيزعم المهاجم أنه جهة رسمية أو يجري استطلاعا بريئاً عبر الإنترنت، يطالب في النهاية تفاصيل الحساب المصرفي، أو يدعي أنه مسؤول عن مراجعة الأنظمة الداخلية.
التصيد الاحتيالي هو أشهر أنواع الهجمات، ويتضمن إرسال رسالة بريد إلكتروني أو رسالة نصية تتظاهر بأنها واردة من مصدر موثوق مثل البنك أو شركة كبرى، وتطلب معلومات غير ضرورية أو عاجلة، وتوجّه الضحية غالباً إلى موقع مزيف مطابق للموقع الأصلي لتسجيل بيانات الدخول.
التصيد الصوتي والنصي شكلان متقدمان من التصيد الاحتيالي يتمان عبر المكالمات الهاتفية أو الرسائل النصية القصيرة حيث ينتحل المجرم صفة موظف دعم فني أو زميل عمل أو موظف بنك لطلب بيانات حساسة مثل كلمات المرور أو أرقام البطاقة الائتمانية بحجة وجود مشكلة عاجلة.
المقايضة تقوم على مبدأ “شيء مقابل شيء”، حيث يقنع المهاجم الضحية بأنه سيحصل على مكافأة أو خدمة مقابل تقديم معلومات، ومن أمثلتها برامج Scareware التي توهم المستخدم بوجود مشكلة أمنية ملحة وتعده بتحديث لحلها، بينما يكون البرنامج نفسه التهديد الضار الذي يثبت الضحية بإرادته.
كما أن هناك هجمات أخرى أكثر تطوراً تعرف باسم الزراعة تتضمن بناء علاقة مع الهدف لاستخراج مزيد من المعلومات على مدار فترة زمنية أطول بدلاً من مجرد “الصيد” العشوائي السريع.
كيف تحمي نفسك من الخداع؟
لتقليل مخاطر الوقوع ضحية للهندسة الاجتماعية، يوصي الخبراء باتخاذ استراتيجيات دفاعية تركز على التشكيك الواعي وعدم التسرع، لأن هذه الهجمات مصممة للعب على الفضول واحترام السلطة والرغبة في المساعدة من خلال الاتي.
التحقق من المصدر: توقف وفكر في مصدر الاتصالات ولا تثق بها بشكل أعمى، ولا تتردد في التحقق من المصدر بمراجعة عناوين البريد الإلكتروني، أو فحص الروابط المشبوهة عبر تمرير مؤشر الماوس فوقها، أو ملاحظة الأخطاء الإملائية الصارخة في الرسائل.
اكسر الحلقة والضغط: تعتمد الهندسة الاجتماعية على الإلحاح لمنعك من التفكير، من خلال مقاومة الشعور بالعجلة وأعط لنفسك وقتاً. إذا تلقيت طلباً عاجلاً من جهة ما، اتصل بالرقم الرسمي أو استخدم طريقة اتصال مختلفة للتحقق من مصداقية المصدر، بدلاً من إعطاء البيانات مباشرة.
تأمين الهوية والأجهزة: لا تقع في فخ المجاملة الاجتماعية بفتح الأبواب لأشخاص مجهولين؛ اطلب دائماً الاطلاع على الهوية، علاوة على ذلك، يجب تأمين الأجهزة من خلال التحديث الدائم لبرامج مكافحة الفيروسات، واستخدام كلمات مرور فريدة لكل حساب، وتفعيل المصادقة الثنائية للحسابات المهمة، فإذا أفصحت عن كلمة مرور بالخطأ، غيّرها على الفور.
مراجعة البصمة الرقمية: فكر في بصمتك الرقمية، لأن الإفراط في مشاركة المعلومات الشخصية عبر الإنترنت مفيد للمهاجمين، فيوصى بتحويل إعدادات وسائل التواصل الاجتماعي إلى الأصدقاء فقط وتوخي الحذر من مشاركة بيانات يمكن استخدامها في أسئلة الأمان الخاصة بالبنوك.
