الأمن السيبرانيوظائف المستقبل

الهندسة الإجتماعية

لقد جعلت وسائل التواصل الاجتماعي دعم العملاء أقرب إليك. متى احتجت إلى حل لمشكلة ما ، يمكنك بسهولة تسجيل الدخول والتفاعل مباشرة مع ممثل خدمة العملاء ، وفي هذه المقالة سوف نتحدث عن الهندسة الإجتماعية وتفاصيلها.

في بعض الأحيان أثناء هذه التفاعلات ، قد ينتهي بك الأمر إلى نشر التفاصيل الشخصية على منتديات وسائل التواصل الاجتماعي بدلاً من استخدام وسائل آمنة لمشاركتها. يمكن بسهولة إساءة استخدام هذه التفاصيل من قبل المحتالين.

ما هي الهندسة الاجتماعية ؟

الهندسة الاجتماعية (بالانجليزي : Social engineering) هي وسيلة هجوم تستخدم التلاعب النفسي لإقناع العامل البشري إما بإفشاء معلومات سرية أو تنفيذ إجراءات نيابة عن المتسلل. يعتمد على الخطأ البشري بدلاً من نقاط الضعف في البرامج.

في حين أن الهندسة الاجتماعية يمكن أن تشمل مجموعة من التكتيكات ، إلا أنها تشمل جميعًا الجهات الفاعلة المهددة التي تحاول انتحال شخصية مصادر موثوقة من أجل التلاعب بالضحايا لاتخاذ المزيد من الإجراءات.

قال مايك ويلكس ، CISO في Security Scorecard ، الذي يوفر تقييمات الأمن السيبراني ، إن الدوافع الأربعة التي تجعل التصيد الاحتيالي ناجحًا هي التعب والفضول والجشع والغرور.

يلاحظ ويلكس أيضًا أن مكافحة هجمات الهندسة الاجتماعية يمكن أن تكون صعبة.

قال ويلكس: “إنها معركة صعبة متعددة الجبهات ، ما نسميه” الحرب غير المتكافئة “. الأشرار يجب أن يفوزوا مرة واحدة فقط ، والأشخاص الطيبون يجب أن يدافعوا بنسبة 100٪ من الوقت”.

كيفية الحماية من هجمات الهندسة الاجتماعية ؟

قالت شركة سيسكو للتكنولوجيا متعددة الجنسيات في بيان إن هجمات الهندسة الاجتماعية قد تطورت بشكل متزايد: “لا تبدو المواقع الإلكترونية أو رسائل البريد الإلكتروني المزيفة واقعية بما يكفي لخداع الضحايا في الكشف عن البيانات التي يمكن استخدامها لسرقة الهوية ، بل أصبحت الهندسة الاجتماعية أيضًا واحدة من الطرق الأكثر شيوعًا للمهاجمين لخرق الدفاعات الأولية لمنظمة ما من أجل التسبب في مزيد من الاضطراب والأذى “.

لحماية الأفراد والمنظمات من هذه الهجمات ، يمكن وضع عدد من الإجراءات :

  • مصادقة متعددة العوامل
  • أمان البريد الإلكتروني مع دفاعات مكافحة التصيد الاحتيالي
  • إدارة كلمات مرور قوية
  • تدريب الموظفين لتحديد وتجنب مثل هذه الهجمات

بالإضافة إلى ذلك ، يلاحظ ويلكس أن هجمات الهندسة الاجتماعية يمكن أن تتفاقم بسبب مسؤولية وكلاء خدمة العملاء ورغبتهم في مساعدة الناس.

أوضح ويلكس أنه يمكن للممثلين السيئين استخدام الهندسة الاجتماعية لتشجيعهم على النقر على رسائل البريد الإلكتروني وتفويض تفاصيلهم. يمكن بعد ذلك استخدام هذا للوصول إلى البنية التحتية للبيانات.

“إنهم يتجاوزون التفويض متعدد العوامل من خلال الحصول على شخص داعم لمنحهم هوية وإمكانية وصول جديدة تمامًا. [دفاعنا هنا] تدريب على الوعي الأمني: تعليم الناس أن يكونوا متشككين وأن يتبعوا العملية التي تم تحديدها وألا يكونوا كذلك قال ويلكس “مفيد”.

هجوم ميل تشيمب للتصيد الاحتيالي

في 26 مارس 2022 ، تعرض ميل تشيمب لهجوم هندسة اجتماعية حيث تمكن المتسللون من الوصول إلى البيانات وتصديرها من حسابات ميل تشيمب. ثم تم استخدام هذه المعلومات لاستهداف عملاء الشركات التي تستخدم ميل تشيمب للخدمات المتعلقة بالأعمال.

في بيان ، قال ميل تشيمب إن الحادث “روج له ممثل سيئ قام بهجوم ناجح للهندسة الاجتماعية على موظفي ميل تشيمب . مما أدى إلى اختراق أوراق اعتماد الموظف”.
حاول الممثل السيئ أيضًا إرسال حملة تصيد احتيالي إلى جهات اتصال المستخدم من حساب المستخدم المذكور باستخدام المعلومات التي حصلوا عليها أثناء الهجوم.

قال ميل تشيمب: “تم عرض 319 حسابًا على ميل تشيمب وتم تصدير بيانات الجمهور من 102 من هذه الحسابات. تظهر النتائج التي توصلنا إليها أن هذا كان حادثًا مستهدفًا يركز على المستخدمين في الصناعات المتعلقة بالعملات المشفرة والتمويل “.

بالإضافة إلى ذلك ، أكدت محفظة تريزور لأجهزة البتكوين أن لديها اختراقًا داخليًا لقاعدة بيانات الرسائل الإخبارية المستضافة على ميل تشيمب نتيجة للهجوم. أدى ذلك إلى استهداف المستخدمين بهجوم تصيد خبيث في 3 أبريل 2022.

تضمن هذا الهجوم معلومات خاطئة عن تعرض تريزور لـ “هجوم أمني”. ثم حث الضحايا على تنزيل محافظ البتكوين الخاصة بهم وتوصيلها بتطبيق تريزور Suite الشبيه . بالإضافة إلى إدخال عباراتهم الأولية في التطبيق.

قال تريزور: “لكي ينجح هذا الهجوم ، كان على المستخدمين تثبيت البرامج الضارة على أجهزتهم . وعند هذه النقطة يجب أن يحدد نظام التشغيل الخاص بهم أن البرنامج يأتي من مصدر غير معروف. لا ينبغي تجاهل هذا التحذير لأن جميع البرامج الرسمية موقعة رقمياً بواسطة SatoshiLabs “.

ومضت الشركة لتقول إنه يجب على المستخدمين القلق بشأن أموال البتكوين الخاصة بهم فقط إذا كانوا قد أدخلوا عباراتهم الأولية في التطبيق الضار.

تقنيات هجوم الهندسة الاجتماعية

تأتي هجمات الهندسة الاجتماعية في العديد من الأشكال المختلفة ويمكن إجراؤها في أي مكان يكون فيه التفاعل البشري متضمنًا. فيما يلي الأشكال الخمسة الأكثر شيوعًا لاعتداءات الهندسة الاجتماعية الرقمية.

Baiting

كما يوحي اسمها ، تستخدم هجمات الطُعم وعدًا كاذبًا لإثارة جشع الضحية أو فضولها. يستدرجون المستخدمين في فخ يسرق معلوماتهم الشخصية أو يلحق أنظمتهم ببرامج ضارة.

يستخدم أكثر أشكال الاصطياد مكروهًا وسائط مادية لتفريق البرامج الضارة. على سبيل المثال ، يترك المهاجمون الطُعم – محركات الأقراص المحمولة المصابة بالبرامج الضارة عادةً – في مناطق بارزة حيث من المؤكد أن يراها الضحايا المحتملون (على سبيل المثال ، الحمامات والمصاعد وموقف سيارات الشركة المستهدفة). يمتلك الطعم مظهرًا أصيلًا ، مثل ملصق يقدمه كقائمة رواتب الشركة.

ليس بالضرورة أن يتم تنفيذ عمليات الخداع في العالم المادي. تتكون أشكال الاصطياد عبر الإنترنت من إعلانات جذابة تؤدي إلى مواقع ضارة أو تشجع المستخدمين على تنزيل تطبيق مصاب ببرامج ضارة.

Scareware

يتضمن برنامج Scareware تعرض الضحايا للقصف بإنذارات كاذبة وتهديدات كاذبة. يتم خداع المستخدمين للاعتقاد بأن نظامهم مصاب ببرامج ضارة . مما يدفعهم إلى تثبيت البرامج التي ليس لها فائدة حقيقية (بخلاف الجاني) أو البرامج الضارة نفسها. يشار إلى Scareware أيضًا باسم برامج الخداع وبرامج الماسح الضوئي الخادعة والبرامج الاحتيالية.

من الأمثلة الشائعة على البرامج المخيفة ظهور اللافتات المنبثقة ذات المظهر الشرعي في متصفحك أثناء تصفح الويب ، والتي تعرض نصًا مثل ، “قد يكون جهاز الكمبيوتر الخاص بك مصابًا ببرامج تجسس ضارة.” .إما أنه يعرض عليك تثبيت الأداة (غالبًا ما تكون مصابة ببرامج ضارة) . أو سيوجهك إلى موقع ضار حيث يصاب جهاز الكمبيوتر الخاص بك.

يتم توزيع Scareware أيضًا عبر البريد الإلكتروني العشوائي الذي ينشر تحذيرات زائفة . أو يقدم عروضًا للمستخدمين لشراء خدمات لا قيمة لها / ضارة.

Pretexting

هنا يحصل المهاجم على معلومات من خلال سلسلة من الأكاذيب المصوغة بذكاء. غالبًا ما يبدأ الاحتيال من قبل الجاني الذي يتظاهر بالحاجة إلى معلومات حساسة من الضحية لأداء مهمة حرجة.

يبدأ المهاجم عادةً بتأسيس الثقة مع ضحيته من خلال انتحال صفة زملائه في العمل أو الشرطة أو البنوك ومسؤولي الضرائب أو غيرهم من الأشخاص الذين لديهم حق المعرفة. يطرح الخبير السابق أسئلة مطلوبة ظاهريًا لتأكيد هوية الضحية ، والتي من خلالها يجمعون بيانات شخصية مهمة.

يتم جمع جميع أنواع المعلومات والسجلات ذات الصلة باستخدام عملية الاحتيال هذه . مثل أرقام الضمان الاجتماعي والعناوين الشخصية وأرقام الهواتف وسجلات الهاتف وتواريخ إجازات الموظفين والسجلات المصرفية وحتى المعلومات الأمنية المتعلقة بمصنع مادي.

Phishing

باعتبارها واحدة من أكثر أنواع هجمات الهندسة الاجتماعية شيوعًا . فإن عمليات التصيد الاحتيالي هي حملات عبر البريد الإلكتروني والرسائل النصية تهدف إلى خلق شعور بالإلحاح أو الفضول أو الخوف لدى الضحايا. ثم يدفعهم إلى الكشف عن معلومات حساسة . أو النقر فوق روابط لمواقع ويب ضارة . أو فتح مرفقات تحتوي على برامج ضارة.

ومن الأمثلة على ذلك رسالة بريد إلكتروني يتم إرسالها إلى مستخدمي خدمة عبر الإنترنت لتنبيههم بانتهاك السياسة الذي يتطلب إجراءً فوريًا من جانبهم . مثل تغيير كلمة المرور المطلوبة. يتضمن رابطًا إلى موقع ويب غير شرعي – مطابق تقريبًا في المظهر لإصداره الشرعي – يدفع المستخدم المطمئن إلى إدخال بيانات الاعتماد الحالية وكلمة المرور الجديدة. عند تقديم النموذج ، يتم إرسال المعلومات إلى المهاجم.

نظرًا لأن الرسائل المتطابقة أو شبه المتطابقة يتم إرسالها إلى جميع المستخدمين في حملات التصيد الاحتيالي . فإن اكتشافها وحظرها أسهل كثيرًا لخوادم البريد التي لديها إمكانية الوصول إلى منصات مشاركة التهديدات.

Spear phishing

هذه نسخة أكثر استهدافًا من عملية التصيد الاحتيالي حيث يختار المهاجم أفرادًا أو مؤسسات معينة. ثم يصممون رسائلهم بناءً على الخصائص والوظائف وجهات الاتصال الخاصة بضحاياهم لجعل هجومهم أقل وضوحًا. يتطلب التصيد بالرمح مزيدًا من الجهد نيابةً عن الجاني وقد يستغرق أسابيع وشهورًا للانسحاب. يكون اكتشافها أصعب بكثير وتتمتع بمعدلات نجاح أفضل إذا تم إجراؤها بمهارة.

قد يتضمن سيناريو التصيد بالرمح مهاجمًا ، في انتحال شخصية مستشار تكنولوجيا المعلومات في مؤسسة ، يرسل بريدًا إلكترونيًا إلى موظف واحد أو أكثر. تمت صياغته وتوقيعه تمامًا كما يفعل الاستشاري عادةً ، وبالتالي يخدع المستلمين ليعتقدوا أنها رسالة حقيقية. تطالب الرسالة المستلمين بتغيير كلمة المرور الخاصة بهم وتوفر لهم رابطًا يعيد توجيههم إلى صفحة ضارة حيث يلتقط المهاجم الآن بيانات اعتمادهم.

اظهر المزيد

م. عبد الله احمد

مطور ومحاضر في مجال البلوكتشين

مقالات ذات صلة

زر الذهاب إلى الأعلى