الهندسة الاجتماعية
تُعد الهندسة الاجتماعية من أكبر المخاطر في مجال الأمن السيبراني. اكتشف ما هو هذا المفهوم الخاص بالاحتيال، بالإضافة إلى أمثلة لهجمات تستخدم هذا الأسلوب النفسي. وأخيراً، نقدم لك حلولاً لحماية نفسك.
الوعي بمخاطر الأمن السيبراني
لا يزال الوعي بمخاطر الأمن السيبراني في تطور مستمر. تستثمر الشركات والمؤسسات المالية والحكومات بشكل كبير لحماية أموالها وبيانات المستخدمين.
وبالتالي، يضطر المحتالون إلى بذل جهود أكبر لاكتشاف الثغرات التقنية، أو إيجاد طرق لتجاوز أنظمة الحماية، أو حتى اختراق “حصانة” الحكم البشري. وهذا يتطلب منهم وقتاً ومالاً.
لذلك بدأوا يتساءلون:
“ماذا لو أقنعت شخصاً ما بأن يسمح لي بالدخول إلى النظام بدلاً من محاولة اختراقه؟”
وبهذا، بدلاً من البحث عن الثغرة التقنية، أصبحوا يبحثون عن الثغرة البشرية!
لأن الإنسان يبقى إنساناً، وهذا يعني أنه قد يكون ساذجاً أحياناً، أو يثق بالآخرين بسهولة، أو لا يمتلك كل المعلومات، وقد يرتكب أخطاء.
وهذا بالضبط ما يستغله القراصنة لتنفيذ هجمات الهندسة الاجتماعية.
ما هي هجمة الهندسة الاجتماعية؟
هجمة الهندسة الاجتماعية، أو Social Engineering بالإنجليزية، هي هجمة تهدف إلى استغلال نقاط الضعف لدى الإنسان. وهي هجمات تعتمد على التلاعب بمشاعرنا.
لذلك، هناك جانب نفسي كبير في هذا النوع من الاحتيال.
نحن لا نتحدث هنا عن رسائل عامة أو غير موجهة، بل على العكس تماماً، تكون الرسائل مخصصة وشخصية جداً وغالباً تعتمد على معلومات الضحية نفسها.
كما يعتمد المحتالون على أساليب تؤثر على المشاعر مثل: الخوف، الفضول، الحزن، المفاجأة، الغضب، الشعور بالذنب، الحب أو الطمع.
من خلال اللعب على هذه المشاعر، يحاول المهاجمون دفع الضحية لتقديم معلوماتها طوعاً أو القيام بفعل معين.
قد تكون هذه المعلومات شخصية أو حساسة تتعلق بالعمل، أو حتى أسماء المستخدمين وكلمات المرور الخاصة بالحسابات.
وفي بعض الحالات، قد يتم دفع الضحية لإرسال المال بشكل مباشر وبإرادتها.
ما هي الأنواع المختلفة لهجمات الهندسة الاجتماعية؟
توجد عدة أنواع من الهجمات وتقنيات الهندسة الاجتماعية.
وتهدف هذه الهجمات إلى استدراجنا للحصول على المال أو إصابة أجهزتنا ببرامج خبيثة.
1. هجمات التصيّد والتصيّد الموجّه (Phishing / Spear Phishing)
هجمات التصيّد تهدف إلى خداعنا عبر رسائل مزيفة لجعلنا نضغط على رابط أو نفتح ملف ضار، بينما التصيّد الموجّه يستهدفنا بشكل شخصي باستخدام معلومات حقيقية عنا.
2. التصيّد الصوتي (Vishing)
التصيّد الصوتي يعتمد على المكالمات الهاتفية أو الرسائل الصوتية لخداعنا وإجبارنا على كشف معلومات أو القيام بإجراء معين.
3. هجوم الذريعة (Pretexting)
يعتمد هذا الهجوم على اختلاق قصة مزيفة (مثل تقني وهمي) لكسب ثقتنا والحصول على الوصول إلى أجهزتنا.
4. هجوم الطُعم (Baiting)
يستغل هذا الهجوم فضولنا من خلال عروض مغرية أو أدوات مثل USB لإقناعنا بالكشف عن معلومات أو إصابة أجهزتنا.
5. هجوم التسلل (Tailgating)
يعتمد على استغلال ثقة الآخرين للدخول إلى أماكن محمية دون إذن.
6. هجوم نقطة الماء (Watering Hole)
يستهدف مواقع مشهورة ويصيبها ببرامج خبيثة لإصابة الزوار.
7. هجوم المقايضة (Quid Pro Quo)
يقوم على تقديم عرض أو مكافأة وهمية مقابل الحصول على بياناتنا الشخصية.
8. هجمات التخويف (Scareware)
تعتمد على رسائل مزيفة تُشعرنا بالخطر (مثل وجود فيروس أو اختراق) لدفعنا إلى تحميل برامج ضارة.