الهندسة الاجتماعية وكيفية عملها :
في الهجوم التقليدي للهندسة الاجتماعية، يتصل المجرم الإلكتروني بالضحية ويدّعي أنه ينتمي إلى مؤسسة موثوقة. في بعض الحالات، يتنكر المجرم ويدّعي أنه شخص يعرفه الضحية جيدًا.
عندما يصدق الضحية الخدعة ويعتقد أن المجرم هو الشخص الذي يدّعي أنه عليه، يشجع المجرم الضحية على اتخاذ إجراء إضافي. يمكن أن يتمثل هذا الإجراء في الكشف عن معلومات حساسة مثل كلمات المرور، أو تفاصيل الحساب البنكي، أو تاريخ الميلاد. قد يحث المجرم الضحية على زيارة موقع ويب ملغوم يحتوي على برامج ضارة يمكنها التسبب في أضرار لجهاز الضحية. وفي أسوأ الحالات، قد يتمكن الموقع الإلكتروني الضار من الاستيلاء على معلومات حساسة من جهاز الضحية أو التحكم الكامل فيه.
لماذا تعد الهندسة الاجتماعية خطرة للغاية؟
تكمن واحدة من أكبر مخاطر الهندسة الاجتماعية في أنه ليس من الضروري أن تكون الهجمات ناجحة ضد الجميع. يمكن لضحية واحدة يتم خداعها أن تقدم معلومات كافية لتنفيذ هجوم قد يؤثر على المؤسسة بأكملها.
مع مرور الوقت، تطورت هجمات الهندسة الاجتماعية بشكل متزايد. لم تعد المواقع الإلكترونية أو رسائل البريد الإلكتروني المزيفة وحدها كافية لخداع الضحايا واستخلاص المعلومات التي يمكن استغلالها في سرقة الهوية. أصبحت الهندسة الاجتماعية أيضًا واحدة من أكثر الأساليب شيوعًا بين المهاجمين لاختراق الدفاعات الأولية للمؤسسات وتسبب المزيد من الأضرار والتخريب.
كيفية حماية نفسك ومؤسستك من الهندسة الاجتماعية:
في ظل تزايد قوة الهجمات النفسية، يمكن للشركات تقليل مخاطر الهندسة الاجتماعية من خلال تدريب الموظفين على الوعي والتحصين ضد هذه الهجمات.
بالتالي، يُوصى بشدة بتنفيذ تدريب مستمر مخصص لمؤسستك. يجب أن يتضمن هذا التدريب عروضًا توضيحية للأساليب التي يمكن للمهاجمين استخدامها لتنفيذ الهندسة الاجتماعية ضد الموظفين. على سبيل المثال، يمكن محاكاة سيناريو يتم فيه ادعاء أحد المهاجمين أنه موظف بنكي ويطلب من الشخص المستهدف تأكيد معلومات حسابه. يمكن أيضًا تنفيذ سيناريو آخر ينتحل فيه مديرًا كبيرًا (باستخدام عنوان بريد إلكتروني مزور) يطلب من الشخص المستهدف تحويل أموال إلى حساب معين.
يساعد التدريب في تعليم الموظفين كيفية الدفاع ضد هذه الهجمات وفهم أهمية دورهم في الحفاظ على الأمان الشامل للمؤسسة.
بالإضافة إلى ذلك، يجب على المؤسسات وضع سياسات أمنية واضحة لمساعدة الموظفين في اتخاذ القرارات الصحيحة عند التعامل مع محاولات الهندسة الاجتماعية. يمكن تبني بعض الإجراءات المفيدة، مثل:
- إدارة كلمات المرور: يجب أن تتضمن إرشادات إعداد كلمات المرور متطلبات قوة مثل عدد الأحرف وأنواع الأحرف المطلوبة، وكذلك تحديث كلمات المرور بشكل دوري. يجب على الموظفين عدم مشاركة كلمات المرور مع أي شخص، بغض النظر عن موقعهم الوظيفي، لضمان أمان المعلومات.
- المصادقة متعددة العوامل: يجب استخدام المصادقة متعددة العوامل للوصول إلى الخدمات عبر الشبكة التي تشكل مخاطر عالية، مثل أجهزة المودم وشبكات VPN، بدلاً من الاعتماد فقط على كلمات المرور الثابتة.
- تأمين البريد الإلكتروني بتقنيات مكافحة التصيّد: يمكن لطبقات متعددة من تقنيات مكافحة التصيد الاحتيالي للبريد الإلكتروني تقليل خطر التصيد الاحتيالي والهندسة الاجتماعية الأخرى. توفر بعض أدوات حماية البريد الإلكتروني تدابير مدمجة للحماية من التصيد الاحتيالي.
أنواع هجمات الهندسة الاجتماعية
تُعد عمليات التصيد الاحتيالي أحد أشكال الهجمات الشائعة للهندسة الاجتماعية. وتتمثل هذه الهجمات عادة في إرسال رسائل بريد إلكتروني تظهر بمظهر شرعي، حيث يحاول المهاجمون إغراء الضحايا للكشف عن معلومات حساسة مثل بيانات بطاقات الائتمان أو معلومات شخصية أخرى. في بعض الحالات، يتم إرسال رسائل التصيد الاحتيالي للحصول على بيانات تسجيل الدخول للموظفين أو تفاصيل أخرى تُستخدم في هجمات مستهدفة متقدمة ضد الشركة. وعادة ما تكون هجمات الاحتيال الإلكتروني الأكثر تطورًا مثل التهديدات المستمرة المتقدمة (APT) وبرامج الفدية الضارة مرتبطة بمحاولات التصيد الاحتيالي.
توجد أيضًا أشكال أخرى من التصيد الاحتيالي التي يمكن أن تواجهها، مثل التصيد الاحتيالي الموجّه الذي يستهدف أفرادًا محددين بدلاً من جماعة واسعة من الأشخاص، والتصيد الاحتيالي الموجّه للشخصيات المهمة مثل المديرين التنفيذيين البارزين أو الهيئة التنفيذية (C-suite).
في الآونة الأخيرة، استغل المهاجمون التطور السريع لخدمات البرمجيات كخدمة (SaaS) مثل Microsoft 365. عادة، تتمثل حملات التصيد الاحتيالي في إرسال رسائل بريد إلكتروني مزيفة تدّعي أنها من شركة Microsoft. تحتوي هذه الرسائل على طلب لتسجيل الدخول وإعادة تعيين كلمة المرور للمستخدم، مشيرة إلى عدم تسجيل الدخول الأخير لحسابه أو وجود مشكلة تتطلب اهتمامه. وعادة ما يتم تضمين عنوان URL في البريد الإلكتروني، مما يشجع المستخدم على النقر عليه ومعالجة المشكلة.
هجمات ثقب الري (Watering hole)
تتميز هجمات ثقب الريّ بكونها نوعًا متطورًا من الهندسة الاجتماعية التي تستهدف الأفراد بشكل مباشر. يستغل المهاجمون في هذا النوع من الهجمات ثغرات في مواقع الويب التي يعتاد مجموعة محددة من الأشخاص زيارتها بانتظام. بدلاً من استهداف الأفراد مباشرة، يقوم المهاجمون بإنشاء فخ يهدف إلى اختراق هذه المواقع الإلكترونية المستهدفة.
على سبيل المثال، قد يتم استهداف مواقع متخصصة يقوم موظفون في قطاع معين بزيارتها بشكل متكرر، مثل قطاع الطاقة أو قطاع الخدمة العامة. يهدف القراصنة وراء هجمات ثقب الريّ إلى استغلال فتحة الأمان في هذه المواقع للوصول إلى فرد محدد من المجموعة المستهدفة. وبعد تمكنهم من اختراق جهاز هذا الفرد أو الحصول على بياناته، يمكن للمهاجمين تنفيذ هجمات أخرى.
لحماية أنفسهم من هجمات ثقب الريّ، يجب على الأفراد والمؤسسات اتخاذ التدابير الأمنية المناسبة. ينبغي تحديث البرامج والتطبيقات بانتظام لسد الثغرات الأمنية، واستخدام كلمات مرور قوية وفريدة لكل حساب، وتفعيل خاصية المصادقة الثنائية عند إمكانية ذلك. كما يجب تعزيز الوعي الأمني للمستخدمين وتوفير التدريب اللازم للتعرف على أنماط الاحتيال وطرق الوقاية منها.
هجمات اختراق البريد الإلكتروني للعمل
هناك تحدي جديد يواجه المؤسسات في عالم الأمن السيبراني، وهو هجمات اختراق البريد الإلكتروني للعمل (BEC). يعتبر هذا النوع من الاحتيال عبر البريد الإلكتروني واحدًا من أساليب الاحتيال الشائعة التي تستخدمها الجماعات الإجرامية والمهاجمون السيبرانيون.
في هجمات BEC، يقوم المهاجم بالتنكر والتظاهر بأنه أحد كبار المديرين التنفيذين أو شخصية هامة في المؤسسة، ويقوم بإرسال رسائل بريد إلكتروني مزيفة للموظفين الذين لديهم صلاحيات وصول مرتفعة. يحاول المهاجم خداع المستلم للقيام بإجراءات غير قانونية أو غير مشروعة، مثل تحويل أموال إلى حساب المهاجم.
واستخدام هذه الطريقة يعود إلى الخدعة النفسية التي يقوم بها المهاجمون، حيث يعتمدون على القوة الشخصية والسلطة المفترضة لشخصية المدير التنفيذي لإقناع المستلمين بأنه يجب عليهم اتباع التعليمات بدون تحقق.
لحماية المؤسسات من هجمات BEC، يجب توفير تدريبات مستمرة للموظفين لتعريفهم بأنواع الاحتيال الإلكتروني وكيفية التعامل معها. ينبغي أيضًا تنفيذ إجراءات صارمة للتحقق والمصادقة على الطلبات المالية أو الأوامر القانونية التي تأتي عبر البريد الإلكتروني.
ومن الجدير بالذكر أنه يجب تعزيز الوعي بأمان البريد الإلكتروني وضمان تطبيق إجراءات الأمان المتقدمة، مثل استخدام التوثيق الثنائي عاملي الأمان وتشفير البريد الإلكتروني، لمنع واكتشاف مثل هذه الاحتيالات. تعزيز التعاون بين مجتمع الأمن المعلوماتي والإدارة التنفيذية في المؤسسات يعد أيضًا جوهريًا للوقاية من هجمات BEC ومكافحتها بفعالية.
الهندسة الاجتماعية المادية
عندما نتحدث عن الأمن السيبراني، يجب أن نأخذ في الاعتبار الجوانب المادية لحماية البيانات والأصول. يتعرض بعض الموظفين في المؤسسات، مثل موظفي مكتب المساعدة والاستقبال والموظفين الذين يسافرون كثيرًا، لخطر هجمات الهندسة الاجتماعية المادية بشكل أكبر من غيرهم. هذه الهجمات تستهدفهم على صعيد شخصي.
لذا، يجب أن تتبنى المؤسسة ضوابط أمنية مادية فعالة مثل سجلات الزوار ومتطلبات المرافقة وعمليات التحقق من خلفية الأشخاص. قد يستفيد الموظفون الذين يشغلون مناصب أكثر عرضة لخطر هجمات الهندسة الاجتماعية من التدريب المتخصص للوقاية من هجمات الهندسة الاجتماعية المادية.
الاصطياد عبر USB
على سبيل المثال، تعتبر هجمات الاصطياد عبر USB مشكلة حقيقية. يقوم المجرمون الإلكترونيون بتثبيت برامج ضارة على أجهزة USB ويتركونها في مواقع استراتيجية على أمل أن يجد شخصًا ما هذه الأجهزة ويقوم بتوصيلها بالنظام الإلكتروني في شركة ما. وبهذه الطريقة، يتم تنشيط البرامج الضارة في الشبكة الداخلية للشركة دون أن يدرك المستخدم ذلك.
لذا، يجب على المؤسسات أن تكون حذرة وتتبع إجراءات أمنية صارمة لمنع هذا النوع من الهجمات الاجتماعية المادية. يمكن أن تشمل هذه الإجراءات التوعية والتدريب المستمر للموظفين، وتنفيذ سياسات الأمان التقني المحدّثة، والتحقق من المعدات والأجهزة المستخدمة في المؤسسة بشكل دوري.
بالتالي، يجب أن يكون لدى مجتمع الأمن المعلوماتي الوعي والتركيز على الجوانب المادية للأمن السيبراني، وضمان حماية الأصول والبيانات من هجمات الهندسة الاجتماعية المادية.
