الهندسة الاجتماعية .. العدو الأخطر!

عندما يتعلق الأمر بالأمن السيبراني، إنه لأمر متفق عليه بأن الحلقة الأضعف والقابلة للكسر في سلسلة الأمان لأي نظام هي الإنسان. فبغض النظر عن قوة وأنواع الحماية المتاحة، يمكن للسلسة أن تكسر بكل سهولة في حال اتخاذ الإنسان قرار خاطئ واحد، مما يؤدي لمشاكل أمنية تتفاوت في مدى خطورتها. 

ما هي الهندسة الاجتماعية؟

تم تعريف الهندسة الاجتماعية كفن التلاعب بعقل الإنسان واستخدام أساليب الخداع لغرض الحصول على معلومات خاصة وحساسة مثل معلومات الدخول لحسابات شخصية، كحساب البنك المصرفي [1]. بناءً على إحصائيات مقامة من قبل شركة سيسكو في عام 2021، أُثبت أن 90% من جرائم اختراق المعلومات كانت ناتجة عن هجمات التصيد التي تتم عن طريق الهندسة الاجتماعية [2].

ما هي العوامل التي جعلت الهندسة الاجتماعية من أكثر الطرق استخدامًا في مجال الهجمات الإلكترونية؟

يَعتبر مجرمو الإنترنت الهندسة الاجتماعية طريقة سهلة وقليلة التكلفة نتيجة للضعف البشري وتصرفات الإنسان العاطفية، المتهاونة أو الفضولية.  كمثال: عند تواجد شخص غريب عند البوابة، فإن دوافع حارس الشركة الداخلية قد تقوده لفتح الباب للغريب لاعتقاده بأن هذا هو التصرف الصحيح والمهذب أو لعدم اهتمامه بأمن المبنى والعواقب المترتبة لتصرفاته الخاطئة، فيسمح للشخص بالدخول من دون السؤال عن هوية الشخص والتحقق منها. 

مثال آخر قد يكون عن طريق استغلال للجانب الفضولي للإنسان: يتم رمي وحدة تخزين USB محملة ببرامج خبيثة في موقع قريب من الضحية، فعندما يمر الضحية عند وحدة التخزين يغلب عليه الجانب الفضولي لاستكشاف محتوى وحدة التخزين، مما يؤدي إلى عواقب وخيمة كإتلاف محتوى جهاز الكمبيوتر، أو تسريب معلومات حساسة [3].

كيف تبدو هجمات الهندسة الاجتماعية؟

قد تأخذ الهندسة الاجتماعية عددًا من الأشكال، فقد تكون على هيئة رسالة من صديق أو سُلطة موثوقة، وقد تكون على هيئة تهنئة بجوائز وهمية، ومن الممكن أيضًا استخدام أساليب التهديد أو التخويف. 

أنواع هجمات الهندسة الاجتماعية:

هجمات الهندسة الاجتماعية تتخذ أشكالاً متعددة؛ فيما يلي أكثر الأنواع انتشاراً لهجمات الهندسة الاجتماعية. 

1. التصيّد الاحتيالي (phishing)

تستخدم هجمات التصيد الاحتيالي تقنيات لجمع المعلومات الشخصية مثل بيانات اعتماد تسجيل الدخول وأرقام بطاقات الائتمان عن طريق إرسال بريد إلكتروني مخادع يبدو أنه من مصدر موثوق [4]. يتكون هجوم التصيد الاحتيالي من ثلاث مكونات رئيسية: الإغراء والخطاف والقبض. الإغراء عبارة عن رسالة بريد إلكتروني مخادعة تتضمن رابط إلى الخطاف. الخطاف هو موقع ويب يشبه تمامًا موقع ويب شرعي، والذي قد يخدع المستخدمين لتقديم معلوماتهم سرية. والقبض هو المكان الذي يستخدم فيه المخادع المعلومات التي تم جمعها [5]. علاوة على ذلك، فإن هجمات التصيد الاحتيالي لها عدة أنواع، بما في ذلك التصيد بالرمح، والذي يستهدف مجموعة معينة من الأفراد بدلاً من الأشخاص العشوائيين. والتصيد الاحتيالي بالصنارة الذي يستهدف مستخدمي وسائل التواصل الاجتماعي [6]. 

1. الاصطياد (baiting)

الاصطياد هو شكل آخر من أشكال الهندسة الاجتماعية؛ في هذه الهجمة يستغل المهاجم فضول الضحية أو جشعها. في هذا النوع، يخدع المهاجم الضحية لتسليم معلوماته الحساسة باستخدام وعد كاذب مثل هدية مجانية أو مكافأة لإغراء الضحية. على سبيل المثال، تزويد الضحية بعرض مجاني خاص من برامج مكافحة الفيروسات عبر البريد الإلكتروني أو الإعلانات أو وسائل التواصل الاجتماعي [7].

1. الذريعة (pretexting)

تركز هذه الهجمة على تطوير سيناريو ملفق لإقناع الضحية بالكشف عن معلومات حساسة. يتم تنفيذ هذا الهجوم من خلال البريد الإلكتروني أو المكالمات الهاتفية أو الوسائط المادية، ويمكن أن يكون في شكل عرض لأداء خدمة، أو مساعدة شخص ما على الوصول إلى نظام الكتروني، أو الفوز باليانصيب [7].

1. صيد الحيتان الاحتيالي (Whaling) 

هجوم صيد الحيتان الاحتيالي هو استراتيجية إجرامية إلكترونية تتضمن انتحال صفة أحد كبار موظفي الشركة واستهداف شخصيات مهمة محددة كالمدراء التنفيذيين بقصد سرقة أموال أو مستندات سرية أو الوصول إلى أجهزة الكمبيوتر الخاصة بهم لأغراض إجرامية. يعد صيد الحيتان الاحتيالي، أو احتيال الرئيس التنفيذي ، نوعًا من التصيد المستهدف الذي يستخدم أساليب انتحال مثل انتحال البريد الإلكتروني لخداع الضحية للقيام بأنشطة معينة، مثل الكشف عن المعلومات الشخصية أو إرسال الأموال. بينما تستهدف هجمات التصيد الاحتيالي غرباء عشوائيين وهجمات التصيد بالرمح التي تستهدف أفرادًا معينين ، فإن صيد الحيتان الإحتيالي يعمل على استهداف الموظفين الأكثر أهمية في الشركة فقط. [8] 

1. التصيد بالرمح الاحتيالي(Spear-phishing) 

التصيد بالرمح هو تصيد احتيالي يستهدف أشخاصًا أو مجموعات معينة في المؤسسة. هو شكل متطور من التصيد الاحتيالي يستخدم رسائل البريد الإلكتروني والرسائل الفورية والمنصَات الأساسية الأخرى لحث المستخدمين على كشف المعلومات الشخصية أو القيام بأنشطة تضر بأنظمة وشبكات المؤسسة ، أو تسبب فقدان البيانات ، أو تؤدي إلى خسارة مالية. في هجوم التصيد الاحتيالي التَقليدي، يتم استخدام بريد إلكتروني يحتوي على معلومات شخصية ، مثل اسم المستهدف والمنصب التنظيمي. تزيد تقنيات الهندسة الاجتماعية من احتمالية أن يقوم المستهدف بتنفيذ جميع الخطوات المطلوبة للهجوم ، بما في ذلك فتح البريد الإلكتروني وتنزيل الملفات الضارة. [9]

1. استراتيجية التخويف (Scareware) 

استراتيجية التخويف هي شكل من أشكال الهندسة الاجتماعية حيث يتم التلاعب بالمستخدمين لشراء برامج غير مرغوب فيها عن طريق إحداث صدمة أو ذعر أو تصُّور وهمي بأن المستخدم معرض للتهديد. تقوم هذه الاستراتيجية بإقناع المستخدمين بأن جهاز الكمبيوتر الخاص بهم قد تعرض للاختراق بسبب فيروس ، ثم ينصحهم بتثبيت برنامج مضاد للفيروسات زائف ودفع ثمنه للتخلص منه. في معظم الأحيان ، لا وجود للفيروس المزعوم ، بل برنامج مكافحة الفيروسات الزائف غالبا ما يحتوي على هذه البرامج الضارة. [10]

1. مصيدة الإغواء  (Honey Trap)

مصيدة الإغواء هي من تقنيات الهندسة الاجتماعية العديدة التي تعتمد على العلاقات الرومانسية الوهمية لإختراق الشبكات وإقناع الضحايا بالكشف عن معلومات حساسة أو إرسال الأموال. عادة ما يصنع مستخدمي مصيدة الإغواء ملفًا شخصيًا إلكترونيًا لإمرأة وهمية على وسائل التواصل الاجتماعي ومواقع المواعدة ، ويستهدفون ضحاياهم ، ثم يبنون علاقة معهم لكسب ثقتهم. يستخدم هذا النوع من التقنيات مع الأفراد الذين لديهم بيانات شديدة الحساسية ، مثل جنود الجيش والمدراء التنفيذيين. [11] 

ما هي تأثيرات الهندسة الاجتماعية؟

إنّ الهندسة الاجتماعية من شأنها أن تُلحق آثارًا سلبية ساحقة. من أمثلة ذلك أن تؤدي إلى خسارة مالية ضخمة ومباشرة. كما هو مذكور في [12] أن متوسط تكلفة الوقوع كضحية للهندسة الاجتماعية قد تصل إلى أكثر من 130 ألف دولار، وتكون الخسائر في أقصاها ما إذا كان المُنتحَل هو شخصية رئيس تنفيذي.

إنّ حادثة هجوم هندسة اجتماعية ناجحة قد تتسبب في تقليل الإنتاجية وتؤثر على استمرارية الأعمال [13]؛ حيث أنها تتطلب من العاملين في فريق تكنلوجيا المعلومات والموظفين في المستويات الإدارية أن يأجلوا أعمالهم ويلتفتوا إلى التعامل مع تبعات هذه الحادثة بعدة طرق. كشراء أجهزة تقي من تكرار مثل هذه الحوادث، أو حل المشاكل التي حصلت مع العملاء نتيجةً لحادثة الاختراق، أو تحديث السياسات الخاصة بالشركة وتدريب الموظفين لمنع مثل هذه الهجمات.

إلى جانب ذلك، تعتبر الثقة عنصرًا أساسيًا في العلاقات مع العملاء، وحينما تُكسر فإنه من الصعب إصلاحها. فبالإضافة إلى أن الوقوع ضحية لمثل هذه الهجمات يؤدي إلى تدمير ثقة الشركة تمامًا، أنها قد تفتح بابًا لتنفيذ هجمات عدّة. على سبيل المثال، أن تقع ضحية لبرامج الفدية عن طريق تشفير الملفات مقابل دفع المال للمهاجم.

الآن، يجب أن نتناول هذا السؤال بمنتهى الجدية: كيف يمكننا الدفاع عن أنفسنا من هجمات الهندسة الاجتماعية؟ هناك مجموعة متنوعة من الأساليب التي يمكن استخدامها لغرض الحماية. يعد برنامج التعليم والتدريب والتوعية (ETA) أحد أنجح الطرق. يهدف هذا النوع من التدريب إلى تعليم الناس الإجراءات التي يمكن أن تساعد في تحسين سلوكهم في التعامل مع المعلومات ومنها التعرف على التهديدات المحتملة أيضا. تتضمن هذه الإجراءات التحقق من مصدر الاتصال ، على سبيل المثال، في حالة رسائل البريد الالكتروني، من المهم التحقق من عنوان البريد الإلكتروني لمعرفة ما إذا كان جاء من بريد إلكتروني حقيقي او لا، اما بالنسبة للروابط، من المهم التحقق من وجهتهم الحقيقية وذلك يكون من خلال تمرير الماوس فوق الروابط. 

بالإضافة إلى ذلك، تركز برامج ETA أيضًا على تأثير وسائل التواصل الاجتماعي والمعلومات التي ينشرها الأفراد فيها، وكيف يمكن للمهاجمين استغلال هذه المعلومات [14].  بالإضافة الى ذلك، يتم استخدام آليات الحماية الرقمية كوسيلة فعالة للحماية من خطر هجمات الهندسة الاجتماعية. على سبيل المثال، قد يساعد جدار الحماية القوي في الدفاع عن مؤسسة من هجمات التصيد الاحتيالي [15].

تعد هجمات الهندسة الاجتماعية في غاية الخطورة حيث ان حتى أحدث أنظمة الأمن، من الممكن ان تقع ضحية وتفشل في منع هذه الهجمات. نتيجة لذلك، يجب على الأفراد والمؤسسات فهم أخطار هذه الهجمات وتقنيات المهاجمين لاتخاذ الاحتياطات الأساسية وحماية أنفسهم.

المصادر:

1. “Social engineering”, CathayBank. [Online]. Available: https://www.cathaybank.com/security-information-center/cybersecurity/social-engineering?msclkid=84ceb732c12711ecb3921d938f5923e1.

2. Cisco’s 2021 Cyber Security Threat Trends report, 2021. [Online]. Available: https://learn-umbrella.cisco.com/ebook-library/2021-cyber-security-threat-trends-phishing-crypto-top-the-list.

3. D. Selck-Paulsson, “The psychology behind social engineering”, Orange Cyber Defence, 2019., Available: https://orangecyberdefense.com/no/blog/cybersecurity/the-psychology-behind-social-engineering/

4. Chiew, Kang Leng; Yong, Kelvin Sheng Chek; Tan, Choon Lin (2018). A Survey of Phishing Attacks: Their Types, Vectors and Technical Approaches. Expert Systems with Applications, (), S0957417418302070–. doi:10.1016/j.eswa.2018.03.050

5. Chaudhry, Junaid & Chaudhry, Shafique & Rittenhouse, Robert. (2016). Phishing Attacks and Defenses. International Journal of Security and Its Applications. 10. 247–256. 10.14257/ijsia.2016.10.1.23.

6. O’Hagan, Louise. “Angler Phishing: Criminality in Social Media.” 5th European Conference on Social Media ECSM 2018. 2018.

7. Salahdine, Fatima; Kaabouch, Naima (2019). Social Engineering Attacks: A Survey. Future Internet, 11(4), 89–. doi:10.3390/fi11040089

8. “What is a Whaling Attack?”, www.kaspersky.com. [Online]. Available: https://www.kaspersky.com/resource-center/definitions/what-is-a-whaling-attack. [Accessed: 15- Apr- 2022].

9. “Spear phishing”, www.trendmicro.com. [Online]. Available: https://www.trendmicro.com/vinfo/us/security/definition/spear-phishing. [Accessed: 15- Apr- 2022].

10. Social Engineering Attack Guide — What is a Scareware Attack?”, Security7.net. [Online]. Available: https://www.security7.net/guide/social-engineering/what-is-a-scareware-attack. [Accessed: 15- Apr- 2022].

11. “14 Types of Social Engineering Attacks”, easydmarc.com, 2022. [Online]. Available: https://easydmarc.com/blog/14-types-of-social-engineering-attacks/. [Accessed: 15- Apr- 2022].

12. D. Partida, “Social engineering cyberattacks and how they’re impacting businesses”, Securityinfowatch.com, 2022. [Online]. Available: https://www.securityinfowatch.com/cybersecurity/article/21203580/social-engineering-cyberattacks-and-how-theyre-impacting-businesses. [Accessed: 20- Mar- 2022]

13. W. Fuertes et al, “Impact of social engineering attacks: A Literature review,” in Developments and Advances in Defense and SecurityAnonymous Singapore: Springer Singapore, 2021, pp. 25–35.

14. Measuring Awareness of Social Engineering in the Educational Sector in the Kingdom of Saudi Arabia Information, 2021 DOI:10.3390/info12050208

15. J. Saleem and M. Hammoudeh, “Defense methods against social engineering attacks,” in Computer and Network Security EssentialsAnonymous Cham: Springer International Publishing, 2017, pp. 603–618.