أنواع الهندسة الاجتماعية
الهندسة الاجتماعية هي عملية تتضمن استدراج الأفراد واستغلال نقاط ضعفهم، مثل الإغراءات المالية أو رغبات السفر. في هذا السياق، سنستعرض أبرز أنواع الهندسة الاجتماعية كما يلي:
المقايضة
- يستغل المخترق شخصية شخص آخر.
- يطلب معلومات من الهدف مقابل تقديم خدمة معينة.
- من أبرز الأمثلة على هذا النوع هو انتحال شخصية موظف الدعم الفني، حيث يطلب المخترق من الضحية اسم المستخدم وكلمة المرور.
الخداع الإلكتروني
- يهدف للخداع في الحصول على معلومات شخصية للضحية، مثل تفاصيل بطاقات الائتمان وكلمات المرور.
- يتم ذلك من خلال التنكر كأشخاص موثوقين.
- تُطلب هذه المعلومات عبر أساليب متعددة، أو يتم إرسال برمجيات خبيثة.
هجمات ثقب الري
- تعتبر من الأنواع المدروسة في الهندسة الاجتماعية.
- يخترق المخترق مواقع إلكترونية يرتادها مجموعة محددة من الناس، مما يتيح له استهدافهم مباشرة.
- موظفو قطاعات مثل الطاقة أو الخدمات غالباً ما يزورون هذه المواقع، مما يجعلهم ضحية محتمَلة لهجمات تتبع ذات نطاق أوسع عند اختراق جهاز واحد.
الادعاء
- يقوم المخترق بخداع المستخدمين على الإنترنت بشكل احترافي.
- يدعي قدراته الخارقة في تنفيذ مهامه بسرعة عالية.
- يتظاهر بأنه موظف أو مدير لدى مؤسسة معينة.
- يسعى للحصول على معلومات سرية تتعلق بالشؤون المالية للضحية.
صيد الحيتان
- يستهدف الأفراد ذوي المناصب العالية، مثل المدير المالي أو الرئيس التنفيذي.
- يتطلب ذلك التفصيل في معرفة معلوماتهم الشخصية والعملية.
- يعمل المخترق على الضغط عليهم للإفصاح عن معلوماتهم السرية.
الهندسة الاجتماعية المادية
- موظفو الاستقبال والدعم الفني والمسافرون الدائمون يتعرضون بشكل متكرر للهجمات المادية.
- يجب أن تتمتع المؤسسات بضوابط أمنية فعالة، مثل سجلات الزوار.
الخداع من خلال الرسائل القصيرة
- يستخدم المخترق الرسائل النصية عبر البريد الإلكتروني أو الهاتف.
- تتضمن الرسائل روابط مشبوهة.
- عند فتح الضحية لهذه الروابط، يُخترق جهازها ويتم الوصول إلى معلوماتها الشخصية.
التخويف
- يوهم المخترق الضحايا بأن حواسيبهم قد تعرضت للاختراق.
- ثم ينصحهم بالذهاب إلى مواقع مزيفة.
- عند الدخول إلى هذه المواقع، يُخترق الجهاز وتُكشف المعلومات السرية.
التصيد بالهاتف
- يعرف أيضًا بـ “التصيد الصوتي”.
- محاولة الحصول على معلومات حساسة عن الشخص المستهدف عبر الهاتف.
الاصطياد
- يستخدم هذا النوع من الهندسة الاجتماعية أجهزة مادية.
- تُترك أجهزة USB في أماكن عشوائية أو تُعلن عنها مجانًا.
- عندما يقوم الضحية باستخدامها، تنتشر البرمجيات الخبيثة وتنفذ عملية الاختراق بسهولة.
الخداع والتزييف
- توجه الضحايا نحو مواقع ويب مزيفة ومخترقة.
- يستهدف المخترق خداعهم للحصول على معلوماتهم السرية.
- يتم ذلك من خلال نشر برمجيات خبيثة تعمل على تغيير الملفات المضيفة لأجهزتهم.
- يشمل ذلك أيضًا تقنية إفساد ذاكرة التخزين المؤقت لنظام أسماء النطاقات.
التذييل
- يدخل المخترق إلى المباني المحصّنة.
- يتم ذلك بالتظاهر بالدخول مع الأفراد المصرح لهم.
- يتصنع البحث عن تصريح الدخول، أو يدّعي نسيانه.
- يجمع المعلومات الضرورية خلال هذه الفترة.
اتباع الخطى بهدف الاستغلال
- يتبع المخترق شخصًا لديه تصريح دخول لمناطق حساسة.
- يبقى قريباً منه طوال الوقت.
- ينتحل شخصيته دون أن يدري المستهدف.
كيفية الوقاية من الهندسة الاجتماعية
تتوافر عدة استراتيجيات للحماية من هجمات الهندسة الاجتماعية، يتم تلخيصها في الآتي:
- تجنب فتح الرسائل الغير مألوفة من البريد الإلكتروني.
- استخدام المصادقة متعددة العوامل بدلاً من كلمات المرور التقليدية.
- الحذر من العروض الجذابة التي قد تدفع الضحية للإفصاح عن معلوماتها السرية.
- التحديث المستمر لبرامج مكافحة الفيروسات والبرمجيات الخبيثة.
- التحقق من مصدر المعلومات قبل تقديمها لأي جهة.
- تطبيق كلمات مرور قوية وصعبة الاختراق.
- تدريب الموظفين على مخاطر الهندسة الاجتماعية وكيفية تجنبها.
- تنبيه الموظفين بعدم الإفصاح عن معلوماتهم الشخصية.
- تعليم الموظفين أن اختراق شخص واحد قد يؤدي لاختراق المؤسسة ككل.
- تعمل الهندسة الاجتماعية غالباً على استغلال الشعور بالعجلة؛ حيث يأمل المخترق أن لا يتردد الضحية في التفكير طويلاً.
- يفضل طلب تأكيد من إدارة المؤسسة أو الاتصال بالرقم الرسمي للتحقق.
خطورة الهندسة الاجتماعية
يتعرض العديد من الأفراد لمخاطر جسيمة ناتجة عن الهندسة الاجتماعية والمخترقين. فيما يلي أبرز هذه المخاطر:
- تعتمد بشكل كبير على أخطاء الأفراد.
- لا تركز على البرامج أو أنظمة التشغيل.
- يصعب التنبؤ بالأخطاء التي قد تحدث.
- يمكن أن تؤثر المعلومات المتاحة عن ضحية واحدة على المؤسسة بالكامل.
- تظهر تأثيرات خطيرة على أمن المؤسسات وسلامتها، مما يتسبب في أضرار جسيمة.