ثمانية أساليب تستهدفك.. ما الهندسة الاجتماعية

camera iconتعبيرية (Elnur/Dreamstime)

tag icon ع ع ع

عنب بلدي | سلامتك

شاهد قبل الحذف، مسرب وخطير جدًا، فرصة عمل في الخارج براتب مغرٍ جدًا، الدول الأوروبية، أمريكا، كندا، بريطانيا، تفتح باب الهجرة لها من دون أي شروط، كل ما عليك فعله هو الضغط على الرابط والحصول على وظيفة الأحلام. هذه عيّنة بسيطة من عناوين وروابط وإعلانات منتشرة على مواقع ومنصات التواصل الاجتماعي، والهدف منها ليس بريئًا، وليس صادقًا مثل عناوينها، وإنما هي واحدة من أهم أساليب الخداع في الهندسة الاجتماعية.

تعد الهندسة الاجتماعية من الطرق الفعالة والمنتشرة بكثرة على المواقع الإلكترونية ومنصات التواصل الاجتماعي، وتركّز على التلاعب بالحالة النفسية للضحية، أو استغلال الانحياز المعرفي، أو السياسي، أو الاهتمام، لجعل الضحايا يقدمون على أفعال محددة، واستدراجهم لمشاركة وكشف معلومات وبيانات شخصية.

في سياق أمن المعلومات والأمن الرقمي، الهندسة الاجتماعية هي فن استخدام الحنكة والحذاقة.

ويعتمد منفذو الهندسة الاجتماعية على معلومات يجمعونها عن الضحية من خلال مراقبة نشاط الضحية المستهدفة على شبكة الإنترنت، أو حركة البيانات عليها أو على الهواتف (المواقع التي يتصفحونها أو الرسائل التي يرسلونها)، إذ تمكّن هذه المعلومات المهاجمَ من التحايل على الضحية لمشاركة معلومات من المفترض أنها سرية ولا يجب مشاركتها على العلن.

يعتمد هجوم الهندسة الاجتماعية على نصب فخ للإيقاع بالضحية من خلال الاعتماد على عدة خطوات منها:

مكان وضع الفخ، بمعنى ما المنصة التي تم استخدامها لإرسال الرسالة أو تمرير الملف الخبيث أو تمرير الرابط إلى الموقع الخبيث.
الطعم: وهو نص الرسالة الخادع للضحية، مثل استغلال الأخبار والمواضيع الساخنة التي تهم الجمهور، ووضع رابط أو ملف خبيث ضمن الخبر لخداع الضحية.
المحتوى الخبيث: وهو الجزء من الهجوم الذي يلحق الأذى بالمهاجم (الملف المرفق مع رسالة الهندسة الاجتماعية والذي يصيب الجهاز ببرنامج خبيث، أو الرابط إلى موقع خبيث يُستخدم لسرقة كلمة سرّ الضحية أو تنزيل برمجيات خبيثة، أو الرابط إلى صفحة استبانة، تطلب من الضحية إدخال معلومات خاصة أو شخصية، وغير ذلك.
عند معاينة أي هجوم بطريقة الهندسة الاجتماعية، من المفيد الإجابة عن الأسئلة التالية:

1. على أي منصة أو منصات يقوم المهاجمون بتنفيذ الهجوم.

2. ما الطعم؟ كيف يحاول المهاجمون خداع ضحاياهم.

3. ما الحمولة الخبيثة أو ما المحتوى الخبيث.

ما أساليب الهندسة الاجتماعية

تتطور أساليب وأشكال الخداع في الهندسة الاجتماعية بشكل مستمر وسريع، لذلك يجب دائمًا الحرص على قراءة المنشورات على منصات التواصل الاجتماعي بعين ناقدة وحذرة، قبل الضغط على أي رابط أو تنزيل أي تطبيق من خارج المتاجر الرسمية، وتعتبر الثقة نقطة الضعف الأساسية للوقوع ضحية أساليب الهندسة الاجتماعية، إذ يتم استغلالها بشكل سيئ للحصول على المعلومات والبيانات.

وفيما يلي قائمة بأهم أساليب الهندسة الاجتماعية:

1. استغلال الإشاعات

يستغل المهاجمون سهولة انتشار الإشاعات على شبكات التواصل الاجتماعي وخاصة تطبيق “واتساب” و”فيسبوك”، لتمرير المحتوى الخبيث عبر برنامج أو رابط مزيف ودفع الضحية للضغط على الرابط، ثم الحصول على كلمات السر أو السيطرة على الأجهزة الإلكترونية (مثل الحواسيب، والهواتف الجوالة).

2. استغلال عواطف الضحية

يُقصد باستغلال العواطف استخدام نصوص أو صور تخاطب عاطفة ومشاعر الضحية، مثل: الحب، الخوف، الحزن، الحقد والرغبة في الانتقام والكراهية.
وتستغل الجهة المهاجمة فضول المستهدف، وتدفع به إلى مصيدة فتح الملف أو الرابط الخبيث.

3.  استغلال المواضيع الساخنة

بشكل مشابه لاستغلال الإشاعات، تعتبر المواضيع الساخنة طعمًا مناسبًا لإيهام الضحية بأن الرابط المرفق مع الرسالة سليم من البرامج الخبيثة، وهنا يستغل المهاجمون المواضيع الساخنة لتمرير عمليات الاحتيال الرقمي.

4. ضعف الخبرة التقنية للضحية

يستغل المهاجم الرقمي ضعف الخبرة التقنية للشخص أو المجموعة المستهدفة، وعدم القدرة على التمييز بين الملفات الموثوقة والملفات الخبيثة، كأن يدّعي المهاجم أن هذا الرابط أو الملف سيسهم في حماية جهاز الضحية من الفيروسات، في حين أنه في الحقيقة ملف أو رابط خبيث.

5. انتحال الشخصية

من السهل إنشاء حساب على منصات التواصل الاجتماعي، أو بريد إلكتروني باسم مستعار أو اسم مطابق لاسم إحدى الشخصيات المعروفة، وهذا يسمى انتحال الشخصية، إذ يستغل منتحل الشخصية الثقة للحصول على معلومات محددة، أو الانضمام لمجموعات سرية معيّنة بغرض جمع المعلومات.

6. استغلال السمعة الجيدة لتطبيقات معيّنة

هنا يدّعي المهاجم أن رابطًا أو ملفًا هو نفسه النسخة المحدثة من تطبيق معيّن، لكنه في الحقيقة يتضمّن ملفًا خبيثًا، وأشهر مثال في الحالة السورية هو اعتماد تطبيقات مزيفة ومعدلة لتطبيق التراسل “واتساب”.

7. اصطياد كلمات السر

هي طريقة للحصول على كلمة سر مستخدم لخدمة ما أو موقع ما على الإنترنت. تعتمد الطريقة على إيهام الشخص المستهدف بأنه على الموقع الصحيح المعتاد، لكن في الحقيقة يكون الموقع “مزيفًا” يديره أحد لصوص كلمات السر. بالتالي إذا خُدع المستخدم وأدخل كلمة سره في ذلك الموقع تصل كلمة السر بكل بساطة إلى اللص.

8. استغلال الوجود الفيزيائي للمهاجم قريبًا من الضحية

كأن يوجد المهاجم والضحية مثلًا في نفس المكان. في هذه الحالة قد يستخدم المهاجم الحنكة للوصول إلى الحاسب المحمول للضحية مثلًا أو إلى هاتفه.في الختام، كي لا يقع أحد ضحية للهندسة الاجتماعية، من المفضّل الحرص على خصوصية المعلومات الشخصية التي يتم نشرها “أونلاين”، لأنها قد تكون هدفًا سهلًا للمهاجم، وعدم مشاركة كلمات السر مع الآخرين أو تخزينها في أماكن يسهل الوصول إليها، والنظر بعين الشك لكل ما يصل من ملفات وروابط إلى حساباتك، والتأكد من عدم فتح الملفات بشكل مباشر قبل التحقق من خلوها من البرامج الخبيثة، ويوفر موقع “فيروس توتال” طريقة سهلة للتحقق من سلامة الروابط والملفات.


أُعدت هذه المادة من قبل فريق “سلامتك” المتخصص بالأمن الرقمي




مقالات متعلقة


×

الإعلام الموجّه يشوه الحقيقة في بلادنا ويطيل أمد الحرب..

سوريا بحاجة للصحافة الحرة.. ونحن بحاجتك لنبقى مستقلين

ادعم عنب بلدي

دولار واحد شهريًا يصنع الفرق

اضغط هنا للمساهمة