حيل مدروسة في الهندسة الاجتماعية لاختراق الحسابات

عبر أشكال متنوعة للاحتيال الإلكتروني

حيل مدروسة في الهندسة الاجتماعية لاختراق الحسابات

الاثنين ٠٢ / ٠٨ / ٢٠٢١
حذر مختصون في أمن المعلومات وتقنيون خلال حديثهم لـ «اليوم» من انتشار عمليات الاحتيال الإلكتروني، التي تنجح بين الحين والآخر في الإيقاع بضحايا من كل الأعمار، واستهداف كل مستويات الدخل، مبينين أنها تتم وفق آلية مدروسة من حيث المحتوى ومن حيث اختيار الوقت المناسب لتبدو مشابهة إلى حد كبير للحقيقة وتتخذ أشكالا عديدة، فتارة تأخذ مسار الجوائز والهدايا، وتارة تطالب بتجديد حسابك المصرفي، وفي أسوأ الأحوال قد تأتي من حساب صديق لك قد تم اختراق حسابه لخلق قصص يمكن تصديقها من شأنها إقناع الضحية بتقديم المال أو التفاصيل الشخصية فيما حددوا أهم الأساليب المتبعة في الاحتيال وطرق الإبلاغ عنها، والوقاية منها، مطالبين بإنشاء مركز موحد لكل المؤسسات المالية لتحليل البيانات والعمليات المالية لرصد التعاملات، ويعد من أهم عنصر لمكافحة الاحتيال المالي هو الاكتشاف المبكر قبل توسعه.

ضعف الوعي لدى المستخدمين


قال الأستاذ المشارك في قسم تقنية المعلومات بجامعة الملك عبدالعزيز، د. أحمد برناوي إن الاحتيال الإلكتروني نوع من أنواع الاحتيال بمصطلح «الهندسة الاجتماعية» وهو مصنف ضمن المخاطر الأمنية في الأمن السيبراني، ويقوم فيه المحتالون بنسج سيناريو خيالي عبر الفضاء الإلكتروني على الضحايا لإيهامهم بأمر ما للحصول على معلوماتهم السرية واستخدامها للاحتيال.

وأضاف إن فرص نجاح الاحتيال تزداد باشتمال القصة المحبوكة على معلومات شخصية للضحايا مثل أسمائهم أو أماكن عملهم أو عناوينهم، لذلك فالجانب التقني لتفادي هذه العمليات يقتصر على أمرين. أولًا تقوم التقنية بتصنيف الاتصالات أو المراسلات الإلكترونية الصادرة من المحتالين، وذلك أن تخضع لفلاتر في الإيميلات أو في تطبيقات الجولات وأيضًا تقوم التقنية بمنع العمليات سواء إعادة الإرسال أو التمرير للرسائل الموجهة.

وأوضح أن الأمر التقني الآخر هو إجراءات المحافظة على الخصوصية أثناء نقل المعلومات الشخصية للضحايا، وذلك لضمان عدم حصول المحتالين عليها، الذين قد يلجأون لعمليات اختراق للأجهزة الشخصية، ولذلك فلا بد من مستخدم التقنية القيام على الأقل بالأخذ بالاعتبارات التالية أولا التأكد من تحديثات برامج الحماية والجدار الناري، وثانيا عدم إدخال المعلومات الشخصية إلا في المواقع المعروفة، وثالثا يمكن استخدام برامج الشبكات الخاصة (VPN)، التي ستقوم بإنشاء قنوات اتصالات آمنة بينه وبين المواقع، التي يريد التواصل بها دون أن يستطيع أحد الحصول على معلومات الاتصال.

وبيَّن أنه يمكن الوصول للمعلومات الشخصية بإحدى هذه الطرائق: إما أن يصرح الشخص بمعلوماته الشخصية لجهة الاحتيال ظنا منه أنها آمنة ضمن سيناريو الهندسة الاجتماعية، وهذا هو الأغلب، وإما أن يخترق المحتال الأجهزة الشخصية للضحية أو يخترق النظم الحاسوبية لجهات قد تعامل معها الشخص مسبقا كالمتاجر الإلكترونية، وإما أن يحصل على المعلومات أثناء نقلها بين الضحايا والجهات، التي يتعامل معها، وهذه الطريقة تتطلب جهدا تقنيا كبيرا جدا، ووصولا للمحتال للمواجهات وأجهزة الشبكة.

أفاد مدير مركز تقنية المعلومات بالكلية التقنية بجدة نايف الثبيتي أن الاحتيال الإلكتروني يعد حاليًا من أهم المواضيع المطروحة على الساحة في عالم الإنترنت والاتصالات، خاصة أنه يوجد العديد من أنواع الاحتيال ومن أبرزها: الاحتيال الإلكتروني من خلال البيع والشراء عبر مواقع وهمية أو من خلال الرسائل النصية أو عبر الرسائل الإلكترونية والهدف منها سرقة معلومات الضحية الشخصية والمالية، وتتم من خلال تضليل الضحية وخداعه باستخدام وسائل تسويقية خادعة، ورسائل مزيفة مستخدمين علامات تجارية مقلدة، أيضًا من أنواع الاحتيال الإعلان عن جوائز وهمية للأشخاص، وذلك من خلال الاتصالات المباشرة أو الرسائل الإلكترونية أو النصية للضحايا.

وأوضح أن عمليات الاحتيال تتم من خلال اتصالات من أشخاص مجهولين لخداع الضحية وإغرائه بأرباح عالية عبر توظيف واستثمار الأموال أو عن طريق بيع وشراء العملات من خلال منصات وهمية، لذلك من أبرز الإجراءات التقنية الواجب اتخاذها لتفادي الوقوع في عمليات الاحتيال، التي تتم عن طريق الاتصالات أو المواقع الإلكترونية الحرص على تحديث جهازك الشخصي وهاتفك المحمول بشكل دوري، استخدام كلمات مرور معقدة سواء في أجهزتك أو في حساباتك في الشبكات الاجتماعية، أيضًا الاحتفاظ بمعلوماتك ومستنداتك الشخصية في مكان آمن، ويفضل أن تكون محمية بكلمة مرور، وعدم مشاركة المعلومات الشخصية من خلال الشبكات الاجتماعية.

وأضاف الثبيتي إنه يجب التأكد من هوية أي شخص يتواصل معك سواء من خلال الرسائل النصية أو الإلكترونية وعدم فتح أي روابط تصلك بشكل عام على هاتفك أو صفحات الإنترنت وحذفها ما لم تكن متأكدا من هوية المرسل، محذراً من استخدام أجهزة الحاسوب في الأماكن العامة أو استخدام نقاط الإنترنت الـ (WiFi) في الأماكن العامة أيضًا، خصوصًا إذا كان الأمر يتعلق بعملياتك المصرفية، ومن التجاوب مع الطلبات التي تتعلق بمعلوماتك الشخصية أو بطاقات الائتمان ما لم تكن متأكدا من الشخص وتثق به.

وأشار إلى أن هيئة الاتصالات وتقنية المعلومات دعت إلى الإبلاغ عن رسائل الاحتيال عبر الخدمة المجانية لـ (الإبلاغ عن رسائل الاحتيال)، وذلك بإعادة إرسال الرسالة النصية الواردة للمستخدم إلى الرقم (330330).

سيناريوهات خيالية لجذب الضحايا

طرق متنوعة لعمليات الاحتيال

أكد المتخصص في الأمن السيبراني ياسر الرحيلي أن الاحتيال لا يتم بسبب ثغرات تقنية وضعف تقني في أنظمة البنوك، وإنما هو استغلال لضعف الوعي لدى المستخدمين، وذلك من خلال تطور أساليب الاحتيال وطرقه المتجددة، وضعف الوعي فيما يمكن مشاركاته من معلومات وما لا يمكن مشاركته أبدا، فمثلاً إذا غلب المحتال عليهم بسرقة مبالغ من حساباتهم أخبروا المحتالين بالأرقام السرية المؤقتة، التي تصلهم من البنك ومثل هذه الأرقام لا يمكن مشاركتها أبداً بأي حال ومع أي شخص أيضاً، وبعض مَنْ تم الاحتيال عليهم في عمليات نصب، كانوا يعتقدون أنه ما دام المبلغ المحول هو لحساب بنكي باسم شخص معروف، فهذا كافٍ لحمايتهم، وهذه أيضاً غير صحيحة ما دام الشخص مجهولا بالنسبة للمحول. وأضاف إن بعض ضحايا الاحتيال يعتقدون أنه ما دامت المبالغ محولة لهم، فهذا يعني أنه لا يمكن الاحتيال عليهم لأن المبالغ مدفوعة لهم وليس العكس، وهم لا يدركون أنهم أصبحوا جزءا من عملية احتيال أكبر، لذلك يجب رفع الوعي بأساليب الاحتيال وكيفية الحماية منه، وعدم الخضوع لفكرة الاختراق أو أنه بسبب ثغرات تقنية، وقد يكون الجانب التقني الذي يسبب انتشار هذه العمليات، هو أن المعلومات الشخصية قد تم اختراقها من مواقع وبرامج أخرى، مما يجعل المحتال يستعرض بعض المعلومات الشخصية للضحية ليكسب ثقته فقط، ومن ثم يحتال عليه وهذه تحتاج لوعي لتقليل خطرها، حيث لا يمكن منع انتشار هذه المعلومات بعد اختراق مواقع وتطبيقات أخرى.

المزيد من المقالات
x