الهندسة الاجتماعية Social engineering هو المصطلح المستخدم للتلاعب النفسي لخداع المستخدمين لارتكاب أخطاء أمنية أو الكشف عن معلومات حساسة.
ويستخدم مجموعة واسعة من الأنشطة الخبيثة التي يتم إنجازها من خلال التفاعلات البشرية.
ما يجعل الهندسة الاجتماعية خطيرة بشكل خاص هو أنها تعتمد على الخطأ البشري، بدلاً من نقاط الضعف في البرامج وأنظمة التشغيل، لأنه غالبًا ما يكون استغلال الأشخاص أسهل من العثور على ثغرة أمنية في الشبكة أو البرامج.
إذاً الهندسة الاجتماعية هي تقنية تلاعب تستغل الخطأ البشري للحصول على معلومات خاصة وحساسة، تتمحور عمليات الاحتيال القائمة على الهندسة الاجتماعية حول كيفية تفكير الناس وتصرفهم فهي تدور حول تصرفات وسلوك المستخدم، بمجرد أن يفهم المهاجم ما الذي يحفز تصرفات المستخدم، يمكنه خداع المستخدم والتلاعب به بشكل فعال.
بالإضافة إلى ذلك يحاول المتسللون استغلال افتقار بعض المستخدمين إلى المعرفة. كما لايحرص الكثير من المستخدمين على حماية بياناتهم الشخصية مثل أرقام هواتفهم، لا يعرف الكثير من المستخدمين كيفية حماية أنفسهم ومعلوماتهم بشكل أفضل.
أهم تقنيات هجوم الهندسة الاجتماعية:
تأتي هجمات الهندسة الاجتماعية في العديد من الأشكال المختلفة ويمكن إجراؤها في أي مكان يكون فيه التفاعل البشري متضمنًا. فيما يلي الأشكال الخمسة الأكثر شيوعًا لهجمات الهندسة الاجتماعية الرقمية.
- الإغراء Baiting
تستخدم الهجمات من هذا النوع إثارة فضول الضحية واستدراجه للوقع في الفخ ثم يتم سرقة بياناته أو إلحاق الضرر ببرامج الجهاز.
وتتنوع أشكال اغراء الضحايا من وضع اعلانات جذابة تؤدي إلى مواقع ضارة، أو تشجيع المستخدمين على تحميل تطبيق مصاب ببرامج ضارة، أو من خلال ترك المهاجم جهازًا ماديًا مصابًا ببرامج ضارة مثل USB فتقوم الضحية بإدخاله إلى جهاز الحاسب الخاص به مما يسبب تثبيت البرامج الضارة دون علم الضحية.
- الادعاء Pretexting
يحصل المهاجم بواسطة هذه التقنية على المعلومات من خلال سلسلة من الأكاذيب المصوغة بذكاء. غالبًا ما يبدأ الاحتيال من قبل الجاني الذي يتظاهر بالحاجة إلى معلومات حساسة من الضحية لأداء أمر مهم.
يبدأ المهاجم عادةً بتأسيس رابطة ثقة مع ضحيته ثم التظاهر بالحاجة إلى بيانات مالية أو شخصية لتأكيد هوية المستلم.
- هجوم Scareware
يتم هذا الهجوم من خلال خداع الضحية للاعتقاد بأن جهاز الكمبيوتر الخاص به مصاب ببرامج ضارة أو قام بتنزيل محتوى غير قانوني بدون قصد. ثم يعرض المهاجم على الضحية حلاً لإصلاح المشكلة الوهمية فيتم خداع الضحية ببساطة لتنزيل البرامج الضارة للمهاجم وتثبيتها.
- المقايضة Quid pro quo
هذا هجوم يتظاهر فيه المهندس الاجتماعي بتقديم شيء ما مقابل معلومات أو تقديم المساعدة، فيمكن أن يتصل المهاجم على مجموعة مختارة من الأرقام العشوائية والتظاهر بأنه متخصص دعم فني فإذا وجد المخترق شخصاً لديه مشكلة تقنية حينها يستغل المهاجم الضحية في الحصول على معلومات حساسة أو تشغيل البرامج الضارة.
- التصيد Phishing
تعد واحدة من أكثر أنواع هجمات الهندسة الاجتماعية شيوعًا، وهي عبارة عن حملات إرسال رسائل بالبريد الإلكتروني أو الرسائل النصية تهدف لخلق شعور بالفضول أو الخوف لدى الضحايا مما يدفعهم إلى الكشف عن معلومات حساسة، أو الضغط على روابط لمواقع ويب ضارة، أو فتح مرفقات تحتوي على برامج ضارة.
مثل إرسال رسائل بالبريد الالكتروني تنبههم بانتهاك السياسة الذي يتطلب إجراءً فوريًا من جانبهم ، مثل تغيير كلمة المرور المطلوبة من خلال نماذج مطابقة تقريباً من حيث المظهر مع النموذج الأصل يدفع المستخدم المطمئن إلى إدخال بيانات الاعتماد الحالية وكلمة المرور الجديدة، ثم يتم إرسال المعلومات إلى المهاجم.
نصائح لتجنب الوقوع في فخ الهندسة الاجتماعية:
- يريد منك مرسلو البريد العشوائي أن تتصرف أولاً وأن تفكر لاحقًا، لذلك إن وجدت رسائل تحتوي على الكثير من الإلحاح فيجب الحذر منها وقم بمراجعة دقيقة لمحتوى الرسالة.
- لا تقم بتحميل أي محتوى يرد إليك وبالأخص إذا كنت لاتعرف المرسل شخصياً.
- إذا تلقيت أي طلبات لتحويل أموال من بلد أجنبي مقابل حصة من الأموال، فمن المؤكد أنها عملية احتيال.
- احذف أي طلب للحصول على معلومات مالية أو كلمات مرور، إذا طُلب منك الرد على رسالة بمعلومات شخصية فهذه عملية احتيال.
- تأمين أجهزة الكمبيوتر الخاصة بك من خلال بتثبيت برامج مكافحة الفيروسات والجدران النارية وتحديثها باستمرار كما قيم بضبط نظام التشغيل لديك ليتم تحديثه تلقائيًا.
- تقديم برامج تدريبية للتوعية الأمنية للموظفين في المؤسسات، وتحديد الموظفين الذين يحتاجون إلى تدريب إضافي.
- تقوم المؤسسة بالتأكد من عدم قيام الموظفين بإعادة استخدام كلمات المرور نفسها للحسابات الشخصية وحسابات العمل؛ فإذا حصل المتسلل الذي يرتكب هجوم هندسة اجتماعية على كلمة المرور لحساب أحد الموظفين على وسائل التواصل الاجتماعي، فقد يتمكن المتسلل أيضًا من الوصول إلى حسابات عمل الموظف.