الهندسة الاجتماعية: فن اختراق العقول البشرية والتلاعب بها

7 min read Aldawsari
دقائق القراءة: 7

مقدمة في الهندسة الاجتماعية: فن التلاعب البشري

تُعد الهندسة الاجتماعية (Social Engineering) تكتيكًا خبيثًا يعتمد على التلاعب النفسي بالبشر لدفعهم إلى الكشف عن معلومات سرية أو القيام بأفعال قد لا تكون في مصلحتهم. إنها ليست مجرد عملية قرصنة تقنية، بل هي فن اختراق العقول البشرية واستغلال نقاط ضعفها العاطفية والنفسية. في هذا المقال، سنتعمق في فهم الأساليب الشائعة التي يستخدمها مهندسو الاحتيال الاجتماعي لمحاولة التلاعب بك، وكيف يمكنك حماية نفسك ومؤسستك من الوقوع في شباكهم.

إخلاء مسؤولية: تهدف مقالاتي إلى التوعية والتعليم فقط. أي استخدام للمعلومات الواردة هنا لأغراض ضارة يقع على مسؤولية المستخدم وحده، ولا أشجع بأي شكل من الأشكال على الأنشطة غير القانونية أو الممارسات غير الأخلاقية.

قصص تاريخية ومعاصرة في الاحتيال الاجتماعي

من أقدم الأمثلة على الاحتيال الاجتماعي هي خدعة “السجين الإسباني” (Spanish Prisoner)، التي تعود إلى القرن الثامن عشر وما زالت تظهر في صور حديثة ومتطورة. تتضمن هذه الخدعة عادةً شخصًا يزعم أنه في ورطة ويحتاج إلى مساعدتك للوصول إلى ثروته الضخمة. كل ما عليك فعله هو تحويل بضعة آلاف من الدولارات، ووعدك بأنه سيسدد لك عشرة أضعاف المبلغ. لكن كما يمكنك التخمين، فإن هذه القصة لا تنتهي أبدًا بالسداد الموعود.

لقد انتشرت عبر الإنترنت العديد من عمليات الاحتيال المشابهة، مثل: احتيال مصلحة الضرائب (IRS scam)، واحتيالات اليانصيب (Lottery scams)، وغيرها الكثير. تُصنف هذه الهجمات بشكل عام ضمن “احتيالات العروض المسبقة” (Advance offer scams)، حيث يُزعم أن هناك شيئًا ثمينًا ينتظرك، لكن عليك دفع مبلغ مقدم لاستلامه. قد تبدو هذه الهجمات غير متقنة بالنسبة للشخص العادي، إلا أنها تسببت في خسارة آلاف الأشخاص لمدخراتهم التي جمعوها بشق الأنفس، وفي بعض الحالات، خسارة مدخرات حياتهم بأكملها.

كل هذه الأمثلة هي تجليات للهندسة الاجتماعية في العمل. الفكرة الأساسية وراء الهندسة الاجتماعية هي استغلال الميول الطبيعية للضحية المحتملة وردود أفعالها العاطفية. الخوف والطمع هما من أكثر المشاعر ضعفًا التي عادة ما يستغلها مهندسو الاحتيال الاجتماعي ببراعة.

أنواع هجمات الهندسة الاجتماعية الشائعة

يمكن تصنيف الهندسة الاجتماعية بشكل عام إلى خمسة أنواع رئيسية من الهجمات، بناءً على النهج المتبع للتلاعب بالهدف. دعنا نستعرض كل نوع منها بتفصيل:

1. البريد العشوائي (Spamming)

يتضمن البريد العشوائي إرسال رسائل إلى مجموعات كبيرة من الأشخاص، وعادة ما يتم الحصول على معلومات الاتصال الخاصة بهم من خلال طرق غير مشروعة. يُعد مصطلح Spamming مصطلحًا عامًا يستخدم لتعريف بث الرسائل الضارة وغير الضارة على حد سواء.

  • البريد العشوائي غير الضار: يستخدمه المعلنون الذين يحاولون الترويج لمنتجاتهم لغرباء عشوائيين عن طريق إرسال رسائل بريد إلكتروني جماعية. دوافعهم ليست إلحاق الضرر، بل محاولة حث الناس على شراء منتجاتهم أو الترويج لخدماتهم.
  • البريد العشوائي الضار: يتضمن رسائل تحاول إغراء المستخدمين إلى موقع المهاجم للكشف عن معلومات شخصية. تُستخدم هذه المعلومات بعد ذلك لتنفيذ هجمات تصيد (phishing) أو تصيد صوتي (vishing) مستهدفة ضد الضحية المحتملة.

2. التصيد الاحتيالي (Phishing) والتصيد الصوتي (Vishing)

عندما يستخدم المهاجم الرسائل النصية أو البريد الإلكتروني أو المكالمات الصوتية (التصيد الصوتي = vishing)، يُطلق على ذلك اسم التصيد الاحتيالي (Phishing). يُستخدم التصيد لجعل الهدف يعتقد أنه يتم الاتصال به من قبل مؤسسة شرعية أو كيان موثوق به من أجل استخلاص معلومات قيمة منه.

  • مثال على التصيد الصوتي: إذا اتصل شخص بشركتك مدعيًا أنه مورد الطابعات الخاص بك، فقد يتمكن من الحصول على معلومات محددة حول الطابعة – مثل طرازها، وعنوان IP (إذا كانت متصلة بالإنترنت)، وما إلى ذلك. وبمجرد تقديم هذه المعلومات، قد يتم استهداف الطابعة لاختراق شبكتك الداخلية.
  • مثال على التصيد عبر البريد الإلكتروني: هجمات التصيد عبر البريد الإلكتروني شائعة أيضًا. يمكن للمهاجم إرسال بريد إلكتروني إلى شخص في شركتك متظاهرًا بأنه من Facebook. بمجرد أن ينقر عضو الفريق على رابط، سينتهي به المطاف في صفحة تبدو تمامًا مثل Facebook، تطلب منه معلومات تسجيل الدخول الخاصة به. سيتم إرسال معلومات تسجيل الدخول هذه إلى خادم المهاجم، وبعد ذلك سيتمكن المهاجم من الوصول الكامل إلى حساب الضحية على Facebook.

الفرق الرئيسي بين التصيد الاحتيالي والاحتيال العام هو أن هجمات التصيد تكون مستهدفة للغاية. يعرف المهاجم من يريد مهاجمته وما نوع المعلومات التي يبحث عنها.

3. الإغراء (Baiting)

يتضمن الإغراء تصميم فخ والانتظار حتى يقع الضحية المحتملة فيه. كمثال بسيط، إذا أسقط مهاجم عددًا قليلاً من محركات أقراص USB في موقف سيارات شركتك، فمن المحتمل أن يحاول أحد موظفيك توصيلها بجهاز الكمبيوتر الخاص به للتحقق من محتويات محرك الأقراص. قد يبدو هذا سخيفًا، ولكن كانت هناك العديد من الحالات التي أدت فيها الحيل البسيطة من قبل مهندسي الاحتيال الاجتماعي إلى اختراقات هائلة لبيانات الشركات.

من السهل عادةً إغراء الأشخاص بعمليات احتيال مثل احتيالات العروض المسبقة (Advance offer scams) التي لا تزال تنتشر على الإنترنت، مستغلة الأشخاص الساذجين. نوع آخر شائع من الإغراء يوجد في البرامج المقرصنة. يقوم المهاجم بتضمين برامج ضارة داخل نظام تشغيل شائع أو فيلم ليقوم الضحية بتنزيله. بمجرد أن يقوم الضحية بتنزيل وتشغيل البرنامج، يتم تنفيذ التعليمات البرمجية الضارة على نظام الضحية، ويكتسب المهاجم وصولاً كاملاً إلى جهاز الضحية.

4. التطفل (PiggyBacking)

يعني التطفل (PiggyBacking) استخدام شخص آخر لمهاجمة ضحية محتملة. يستخدم المهاجم طرفًا ثالثًا (عادة ما يكون بريئًا) لديه وصول إلى الضحية لتنفيذ هجوم التطفل. هناك العديد من أشكال التطفل:

  • الملاحقة (Tailgating): إذا تبع مهاجم موظفك إلى مكتبك باستخدام بطاقة الوصول الخاصة به، فهذا شكل من أشكال التطفل يسمى tailgating. كانت هناك العديد من حالات هجمات التطفل، خاصة للحصول على معلومات سرية.
  • استهداف الموردين: غالبًا ما تكون الشركات الموردة التي تزود المنظمات الحكومية بالأجهزة والبرامج هدفًا لهجمات التطفل. بمجرد اختراق هؤلاء الموردين، يصبح من السهل مهاجمة المؤسسة المستهدفة نظرًا لأن المورد لديه بالفعل مستوى من الوصول إلى الهدف.
  • التنصت النشط (Active Wiretapping): يرتبط التطفل أيضًا ببعض أشكال التنصت النشط، حيث يستخدم المهاجم اتصالًا شرعيًا للضحية للتنصت على الشبكة.

5. هجمات حفرة الماء (Water Holing)

تأخذ هجمات حفرة الماء (Water Holing) في الاعتبار الإجراءات الروتينية للهدف، وتستخدم أحد هذه الإجراءات للحصول على وصول غير مصرح به. على سبيل المثال، يجد المهاجم مواقع الويب التي يستخدمها الهدف يوميًا ويحاول تثبيت برامج ضارة على أحد تلك المواقع.

يُشتق اسم “حفرة الماء” (Water Holing) من حقيقة أن الحيوانات المفترسة في البرية غالبًا ما تنتظر فريستها بالقرب من مصادر المياه المشتركة. من الأمثلة على ذلك حملة “المياه المقدسة” (Holy Water Campaign) لعام 2019، التي استهدفت المجموعات الدينية والخيرية الآسيوية. تم اختراق الموقع، وبعد ذلك طُلب من الزوار تثبيت Adobe Flash في متصفحاتهم. نظرًا لأن Adobe Flash يحتوي على عدد من الثغرات الأمنية، فقد كان من السهل على المهاجمين بعد ذلك تنفيذ تعليمات برمجية ضارة على أجهزة الضحايا.

هجمات حفرة الماء غير شائعة ولكنها تشكل تهديدًا كبيرًا نظرًا لصعوبة اكتشافها.

كيف تحمي نفسك ومؤسستك من الهندسة الاجتماعية؟

بعد أن استعرضنا الأنواع المختلفة للأساليب التي يستخدمها مهندسو الاحتيال الاجتماعي، دعنا نلقي نظرة على كيفية حماية أنفسنا ومؤسساتنا من هجمات الهندسة الاجتماعية:

  • تثبيت مرشحات البريد الإلكتروني والبريد العشوائي (Spam Filters): على الرغم من أن مرشحات البريد العشوائي لا يمكنها اكتشاف الهجمات المستهدفة للغاية، إلا أنها ستمنع معظم رسائل البريد العشوائي والرسائل الإلكترونية الضارة من الوصول إلى حسابك.
  • تحديث برامج مكافحة الفيروسات وجدار الحماية (Antivirus و Firewall): على غرار مرشحات البريد العشوائي، سيحمي برنامج مكافحة الفيروسات المحدث من معظم الفيروسات الشائعة، وأحصنة طروادة (trojans)، والبرامج الضارة (malware).
  • طلب التحقق دائمًا: اطلب دائمًا التحقق عندما يتصل بك شخص يدعي تمثيل منظمة، على سبيل المثال مصرفك. لا تشارك أبدًا تفاصيل سرية مثل أرقام بطاقات الائتمان أو كلمات المرور عبر الهاتف أو البريد الإلكتروني.
  • خلق الوعي الأمني: أفضل طريقة لمنع استغلال مؤسستك هي إنشاء برامج توعية أمنية. يعد تثقيف موظفيك استثمارًا رائعًا طويل الأجل للحفاظ على أمان شركتك.
  • إذا بدا الأمر جيدًا لدرجة يصعب تصديقها، فهو كذلك: أخيرًا، إذا بدا شيء ما جيدًا لدرجة يصعب تصديقها، فعادة ما يكون كذلك. لا تثق أبدًا في الغرباء الذين يعدونك بالثراء السريع. كما قال أحدهم ذات مرة: “محاولة الثراء السريع هي أسرع طريقة لخسارة كل أموالك”.

الخلاصة التقنية

يُعد مهندسو الاحتيال الاجتماعي أساتذة في التلاعب النفسي، مستغلين نقاط الضعف البشرية الأساسية كالخوف والطمع. ما لم يتم تدريب موظفي الشركات على الوعي بالهندسة الاجتماعية، فمن الصعب جدًا عليهم تجنب الوقوع في فخ هؤلاء المحتالين. يتطلب الدفاع الفعال ضد هذه الهجمات نهجًا متعدد الأوجه يجمع بين الحلول التقنية مثل مرشحات البريد العشوائي وبرامج مكافحة الفيروسات المحدثة، جنبًا إلى جنب مع التدريب المستمر وزيادة الوعي البشري. إن فهم الدوافع والأساليب وراء الهندسة الاجتماعية هو الخطوة الأولى نحو بناء جدار حماية بشري قوي، قادر على تمييز التلاعب والتصدي له بفعالية.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *