«الهندسة الاجتماعية» تكشف معلوماتك السرية لقراصنة الإنترنت

استغلوا تقنياتها في سرقة 5 مليارات دولار على مستوى العالم خلال 4 سنوات

«الهندسة الاجتماعية» تكشف معلوماتك السرية لقراصنة الإنترنت

الثلاثاء ١٢ / ٠١ / ٢٠٢١
حذر الباحث المتخصص في الأمن السيبراني بجامعة إمبريال كوليدج بلندن م. المثنى العقيل من خطورة تقنيات الهندسة الاجتماعية، موضحًا أنها عبارة عن مجموعة من الحيل والتقنيات المستخدمة في خداع الناس، وجعلهم يقومون بعمل ما أو الإفصاح عن معلومات سرية وشخصية، وقد تتبع طرقًا نفسية للتلاعب بالمستخدم لتنفيذ أمر ما، مثل: فتح رابط، أو إفشاء معلومات حساسة، كإعطاء تاريخ الميلاد أو رقم الهوية.

مليارات الدولارات


وأضاف: جاء في تقرير Sysgroup أن أكثر من 5 مليارات دولار تمت سرقتها عالميًّا بين عامي 2013 و2016 من خلال الهندسة الاجتماعية، وبينما تشير دراسة Symantec إلى أن 55% من الرسائل البريدية عبارة عن بريد ضار، وحسب شركة Mimecast، فإن 91% من الهجمات المعقدة تبدأ بالهندسة الاجتماعية Spear-Phishing.

سيناريوهات خطيرة

وأوضح أن هناك عدة سيناريوهات محتملة بعد أن تتم الهجمة، مثل إرسال بريد مع رابط أو مرفق ضار، وتشفير جميع ملفاتك، وجعل جهازك منصة للهجوم على أجهزة أخرى من حيث لا تعلم، وأكثر الطرق شيوعًا الطريقة القديمة المعروفة عن أساليب المخترقين، وهي الوصول إلى جهازك وسرقة كلمات المرور، وتحميل الملفات وتسريب البيانات باستخدام برامج أخرى تُعرف ببرامج ما بعد الاختراق.

مشكلة كبرى

واستكمل حديثه قائلًا: ندخل بعد ذلك في مشكلة كبيرة من تسريب بيانات المنظمة، واستكشاف الأجهزة والموارد في الشبكة الداخلية، ومعرفة نقاط الضغط ورفع الصلاحيات، وهي من المخاطر المحتملة المعروفة عند منفذي الاختراقات.

مخلفات الورق

وعن الهندسة الاجتماعية ذات الأساس المادي، قال إن من أهم أمثلتها البحث في المخلفات، كالبحث عن الأوراق الممزقة القابلة لإعادة اللصق، لذلك يجب إتلاف مثل هذه الأوراق بالطريقة الصحيحة باستخدام آلة تمزيق الورق، مشيرًا إلى أن هناك نوعًا آخر من تلك الهندسة، وهو الدخول بتصريح مزيف، وأفضل الطرق المتبعة لمنع ذلك استخدام عملية Mantrap، وهي عملية لتنظيم دخول الأفراد بشكل فردي.

الأساس الإنساني

وأشار إلى أن الهندسة الاجتماعية ذات الأساس الإنساني تعدُّ من أقدم الوسائل، ومن أهم أمثلتها: النظر خلسة إليك في أثناء كتابة كلمة المرور، والمحادثة معك بشكل ودي وانسياق الحديث لاهتماماتك وما تحبه من أفلام وتاريخ ميلادك وذكرياتك، ما يشكل خلفية للمخترق عن اختياراتك في كلمة المرور، لإرسال رسائل بريدية ذات محتوى ضار، وأضاف: النوع الأخير المنتشر هو التنصت، فمثلًا تتصل بالبنك ويطلب منك تاريخ الميلاد ورقم الهوية وزملاءك حولك أو تكون في مكان عام، وقد تستخدم هذه المعلومات لاختراق حسابك مثلًا أو لتخمين كلمات المرور وغيرها.

الهندسة التقنية

وأضاف: الهندسة الاجتماعية التقنية هي التي تهمنا في عام 2020، وهي التي تستخدم رسائل الجوال والواتساب ووسائل التواصل الاجتماعي، ومن أهمها أربعة أنواع:

1- التصيد العام: وتستهدف مجموعة عشوائية في منظمة ما أو عدة منظمات، وتعدُّ سهلة الاكتشاف عند المختصين بتقنية المعلومات.

2- الاصطياد المخصص: وتستهدف فئة محددة في المنظمة أو شخصًا معينًا، خاصة من يملكون صلاحيات المشتريات أو في تقنية المعلومات.

3- اصطياد الحيتان: طريقة تستهدف فقط القادة، مثل رئيس الشركة ونوابه وغيرهم من الشخصيات التي تمتلك معلومات المؤسسة.

4- الحصول على البيانات السرية في المنظمات التي لا يحق لأحد الاطلاع عليها سوى كبار المسؤولين.

أساليب متعددة

وأضاف العقيل أنه من خلال دراسته وجد أكثر من 10 آلاف TLD متاحة للاستخدام، قائلًا: تخيل معي كم نطاقًا يمكن تقليده، وخداع المستخدم الذي لا ينتبه لذلك، وهناك أيضًا طريقة أخرى متداولة قد تصل إلينا في رسائل الجوال، وفي الواتساب، وأحيانًا في البريد الإلكتروني، وهي طريقة «الرابط المختصر»، إذ قد يستخدمها المهاجم كواجهة لإخفاء الرابط الضار، ولا يمكن حصر عدد الأدوات المجانية والمتاحة للجميع والمشروحة في اليوتيوب، والتي توفر للمخترقين أساليب متعددة لتصيد الضحايا، من أشهرها SEC و Black Eye، والهدف من إتاحة هذه الأساليب هو تقييم مستوى وعي المستخدمين في الشركات من قبل مختصي الأمن السيبراني، فالأداة Black Eye مشروحة في اليوتيوب، وتُمكِّن المخترق من تكوين صفحة مطابقة، من دون أي خبرة برمجية، لمواقع التواصل مثل تويتر وفيسبوك وإنستجرام، فيرسل لك موضوعًا يطلب منك قراءته مثلًا، ويكون هذا الموضوع هو الرابط المختصر حتى تظن أنه أمر طبيعي.

هجمات احترافية

وأكد أن طرق الهندسة الاجتماعية التقنية تعمل بنفس طريقة هجمات التصيد، لكنها تُرسل بطريقة احترافية إلى الجوال، مثل وضع روابط موثوقة ثم رابط مختصر ضار يحمل الهجمة التي يريدها المخترق، ومن طرقها أن يأتي اتصال من شخص يعلم أنك قدمت طلبًا إلى جهة بطلب معين، قرض من البنك مثلًا، ثم يتصل مُدعيًا أنه يمثل الجهة نفسها، ويحاول الحصول على معلوماتك الخاصة، مثل رقم الهوية وتاريخ الميلاد وغيرها مما قد يستخدم في سلسلة هجمات أخرى، ومن أسباب وقوع المستخدمين في مثل هذه الهجمات أن بعض الموظفين في الشركات يستخدمون الجوال للتواصل مع العملاء، ما يجعل المستخدم لا يُفرِّق بين الاتصال القادم من الجهة والاتصال القادم من المهاجم، ولذلك يجب أن تتحقق بنفسك من حقيقة المتصل وتتبع طرق الحماية اللازمة.
المزيد من المقالات