يجيد الأشخاص المسؤولين عن تكنولوجيا المعلومات تطبيق الضوابط الفنية مثل استخدام جدران الحماية والتشفير وغيرها من منتجات الأمن للدفاع ضد التهديدات الرقمية. إن التكوين والتنفيذ المناسبين لأدوات الدفاع هذه بما يتماشى مع أفضل ممارسات الصناعة يفيد قطعاً بصد الهجمات. ومع ذلك، فإن الضعف في العامل البشري أمر لا يمكن التحكم فيه بدقة كما نفعل مع جدار الحماية وهو ما يجعل عملية الحماية من هجمات الهندسة الاجتماعية أكثر صعوبة.
تُبنى العلاقات الإنسانية على الثقة التي تمتد لتشمل العالمين الحقيقي غير المتصل بالانترنت والرقمي عبر الانترنت. لكن في العالم الرقمي، يأخذ الأمر بعداً فريداً. غالباً ما تفتقر التفاعلات عبر الانترنت إلى إشارات ملموسة مثل لغة الجسد و تعابير الوجه و نبرة الصوت التي يعتمد عليها الأفراد أثناء التواصل وجهاً لوجه، وهو ما يسهل على مجرمي الانترنت خططهم لاستغلال الثغرات الأمنية.
هجمات الهندسة الاجتماعية – استغلال الثقة:
في مجال الأمن السيبراني، يمكن لاستغلال الثقة أن يتم بطرق مختلفة منها:
- استغلال ميل الناس إلى الثقة بمن هم في مناصب عليا أو أولئك الذين يتظاهرون بذلك. وبالتالي، غالباً ما يمتثل الناس لطلباتهم دون التشكيك في شرعية و دقة ما يطلبون. كأن يتلقى الموظف رسالة نصية ممن يعتقد أنه الرئيس التنفيذي في الشركة ويطلب منه كلمة السر.
- يستغل مجرمو الانترنت ثقة شخص ما بسبب علاقة حالية أو سابقة مع شخص مألوف لديه. يتم ذلك عبر انتحال صفة ذلك الشخص أو عبر جمع معلومات عن علاقتهما من وسائل التواصل الاجتماعي لتبدو جديرة بالثقة. يمكن أن تتلقى رسالة من صديق قديم يدعي فيها أنه أرسل رمز تفعيل تطبيق معين لرقمك بالخطأ ويطلب منك مشاركته معه.
- يلجأ منفذو هجمات الهندسة الاجتماعية إلى الضغط على ضحاياهم عبر الإلحاح لطلب شيء معين مما يجعل الأفراد يتصرفون بسرعة دون أن يكون لديهم الوقت الكافي للتدقيق في صحة الطلب. تخيل أن يخبرك أحدهم برسالة بريد إلكتروني أنك إذا لم تنقر على رابط في الرسالة خلال عشر دقائق فستخسر جائزة مقدارها 1000 دولار.
تعريف الهندسة اجتماعية
استخدم الصناعي الهولندي Jacques van Marken تعبير (المهندسين الاجتماعيين) ،في مقال نشره عام 1894، استناداً إلى فكرة أن أصحاب العمل يحتاجون إلى مساعدة أولئك “المهندسين “. في التعامل مع المشاكل الإنسانية ، تماماً كما كانوا بحاجة إلى الخبرة الفنية (المهندسين العاديين) للتعامل مع مشاكل المواد والآلات والعمليات.وفي وقت لاحق، تطور المصطلح ليشير إلى ما يتعلق بالعلاقات الاجتماعية. ومع ذلك، فإن الهندسة الاجتماعية، أو التلاعب بسيكولوجيا الآخرين، كانت موجودة منذ وقت طويل.
وفي عالم الأمن السيبراني، تُعرف الهندسة الاجتماعية عادةً بأنها التلاعب بشخص ما بهدف الحصول على معلومات قيمة. في جوهرها، تهدف الهندسة الاجتماعية إلى استغلال الثقة البشرية.
أساليب الهندسة الاجتماعية:
هناك العديد من الأساليب التي يستخدمها المتسللون لاستغلال ضحاياهم عبر الهندسة الاجتماعية للحصول على المعلومات “القيمة” منهم أو دفعهم لاتخاذ إجراء معين. يمكن استخدام هذه التكتيكات بمفردها أو ربطها ببعضها البعض ومنها:
- التصيد الاحتيالي phishing: يتم إرسال بريد إلكتروني يبدو طبيعياً يغري المستخدم بإكمال النشاط الذي يريده المهاجم (مثل النقر فوق رابط ضار). تعتمد النتيجة على هدف الهجوم. قد يؤدي تجاوب المستخدم (تحوله لضحية) إلى جمع بيانات الاعتماد، أو تنفيذ برامج ضارة، أو هجمات أخرى أكثر تعقيداً. غالباً ما تؤدي هجمات التصيد الناجحة إلى اختراق البيانات .
- التصيد الاحتيالي الموجه Spear phish: هذا هو نفس هجوم التصيد الاحتيالي السابق، باستثناء أنه بدلاً من استهداف جمهور كبير، يتم استهداف مستخدم معين. تتطلب هذه الأنواع من الهجمات قدراً كبيراً من البحث حول الهدف المحدد.
- صيد الحيتان whaling: يشبه النمطين السابقين ولكنه عادةً ما يستهدف المستخدمين المهمين، مثل أعضاء الإدارة التنفيذية.
- التصيد الاحتيالي عبر الرسائل النصية القصيرة (Smishing): يتم عبر خدمة الرسائل القصيرة SMS
- Vishing: استخدام الهندسة الاجتماعية لخداع الضحية عبر مكالمة هاتفية.
الهندسة الاجتماعية – أساليب المهاجمين
- الاصطياد Baiting: يقوم أحد المهاجمين بإغراء المستخدم بعنصر مجاني لإغرائه بالنقر فوق الرابط. (احصل على قسيمة شراء مجانية إذا شاركت في الاستبيان على الرابط التالي).
- الهندسة الاجتماعية العكسية: لا يبدأ المهاجم الاتصال المباشر مع الهدف. يتم خداع الهدف للاتصال بالمهاجم. (المهاجم في محنة ويحتاج إلى مساعدة).
- Watering Hole: يقوم أحد المهاجمين باختراق موقع ويب شرعي يعرف أن من يستهدفهم يزورونه. عندما يزور ذلك الهدف الموقع، يتم نشر البرامج الضارة.
- برمجيات الرعب Scareware: حيث يقوم المهاجم بإدخال تعليمات برمجية ضارة في موقع ويب مما يؤدي إلى عرض الصفحة لنافذة منبثقة بألوان وامضة وأصوات مزعجة لإغراء المستخدم بالنقر فوق رابط أو تنزيل برامج ضارة.
- الإلحاح: يقوم المهاجم بالضغط على الهدف بالإلحاح أو زرع الخوف لديه، لإقناع الهدف بأداء الأنشطة التي يطلبها المهاجم.
إذاً، هناك عدة أنواع من الهجمات لكنها تسعى جميعها إلى جعل الهدف ينفذ الإجراءات المطلوبة من المهاجم. في بعض الحالات، قد يطلب المهاجم منهم تقديم تفاصيل داخلية حساسة (سياسة كلمة المرور، كلمة مرور المستخدم، وما إلى ذلك)، أو تنفيذ بعض الإجراءات (إعادة تعيين كلمة المرور، إعادة تعيين المصادقة متعددة العوامل) . بالإضافة إلى ذلك، فإن بعض الحيل، مثل إساءة استخدام رمز الجهاز، تكون أكثر تعقيداً، حيث تتطلب من المستخدم إرسال رمز على موقع آمن، مما يمنح المهاجم حق الوصول إليه، عبر Anydesk مثلاً.
الحماية من هجمات الهندسة الاجتماعية – أمثلة عملية
فخ المساعدة
حاول مختبر الاختراق حث الموظفين على الانتقال إلى موقع ويب يتحكم فيه. كان الموقع بمثابة نسخة مشابهة لموقع تجاري يبيع أشياء قابلة للارتداء wearable . لم يكن هناك محتوى ضار على الموقع. كان المطلوب فقط هو الحصول على بعض المعلومات حول كيفية تفاعل الموظفين في الشركة المختبرة مع مكالمات الهندسة الاجتماعية. أحد الأهداف المختارة كانت سكرتيرة لأحد المدراء التنفيذيين أمكن الوصول لرقمها بعد القليل من البحث. اتصل مختبر الاختراق بالسكرتيرة وأخبرها بأنه من قسم تكنولوجيا المعلومات وأنه يساعدها لحمايتها من تهديد هجوم سيبراني محتمل. وبالتالي أقنعها بالانتقال إلى موقع الويب الخاص به (أدعى أنه موقع لكشف الاختراقات) ومن ثم نقرت الضحية على رابط أعاد توجيهها إلى صفحة أخرى تحاكي وقوعها ضحية تصيد حقيقي.
سرقة بيانات الاعتماد
كجزء من عملية اختبار لأمن المعلومات في المؤسسة، أرسل مختبرو الاختراق رسالة تصيد احتيالي إالكترونية إلى العديد من الموظفين. كان السياق العام للرسالة يوحي أن هناك تحديث لبعض البرامج المستخدمة في الشركة ومنها Office 365. وتضمنت الرسالة رابطاً عند النقر عليه سيتم إعادة توجيه الضحية إلى صفحة تسجيل الدخول إلى موقع يشبه Microsoft وبعد إدخال بيانات الاعتماد الخاصة بهم تكتمل مهمة التصيد. في هذا السيناريو، تم الحصول على بيانات اعتماد تسجيل الدخول ومن ثم سيصار إلى استخدامها للوصول إلى معلومات المؤسسة.
تجاوز الأمن الفيزيائي
حاول مختبرو اختراق التسلل إلى المقر الرئيسي للشركة -التي يتم اختبارها- بهدف الوصول إلى مركز البيانات الخاص بها. كان لمبنى المقر الرئيسي. تضمنت الحيلة ارتداء شخصين (فريق الاختبار) زي عمل متطابق عليه شعار الشركة. تم نسخ ذات الشعار على أمر المهمة المزيف الذي يحمله المختبرون، والذي ينص على إجراء صيانة طارئة في مركز البيانات. لقد وضع المهاجم معلومات الاتصال الخاصة به على أمر العمل كجهة اتصال.
دخل المخترق وزميله المبنى وقدما لموظف الاستقبال أمر المهمة. بينما كانت موظفة الاستقبال تدقق في أمر المهمة، قام المهاجمون بتشتيت انتباهها و تسلل أحدهم دون لفت انتباهها. اتصلت الموظفة برقم الاتصال المتحكم به من المهاجم لتأكيد أمر العمل ومن ثم سمحت لهم بالدخول. مما منحهم وصولاً لمنطقة محظورة.
الحماية من هجمات الهندسة الاجتماعية
كيف تحمي نفسك أو موظفيك من الوقوع ضحية الهندسة الاجتماعية؟ يمكن ذلك عبر ما يلي:
التحقق من المصدر:
يجب التحقق من مصدر الاتصال وكذلك عدم الثقة في الأطراف غير المعروفة. هل تلقيت رسالة بالبريد الإلكتروني تتضمن رابط وتبدو وكأنها من شركة شحن عالمية تفيد بأن لديك طرداً في طريقه إليك. لكن هل نسيت أنك لم تطلب أي شيء أساساً؟ مذا لو وجدت وحدة تخزين USB في الممر وتملكتك رغبة في وصله لحاسبك لمعرفة ما هو موجود عليه؟
ماذا لو طلب منك مدير الشركة معلومات حساسة عبر رسالة بريد إلكتروني؟
يعد التحقق من المصدر أمراً سهلاً على أن يتم باستخدام قناة اتصال مختلفة عن تلك التي تم تلقي الرسالة المشكوك بها من خلالها أو يمكن مثلاً البحث في الانترنت بدل الرنقر على رابط في الرسالة.
فحص رسائل البريد الإلكتروني:
قد يؤدي التمرير فوق الرابط إلى تحديد عدم التطابق بين الرابط الموقع المستهدف (الذي يدعيه). يمكن أن تكون الأخطاء الإملائية والنحوية مؤشراً جيداً على محاولة التصيد الاحتيالي. لكن ذلك أصبح أكثر صعوبة في عصر الذكاء الاصطناعي الذي يستخدمه المهاجمون بكثافة لجعل رسائلهم أقرب لتلك الحقيقية.
من المهم استخدام نظام anti-spam لفلترة البريد العشوائي . كذلك، إذا لم تتمكن من التحقق من صحة رمز الاستجابة السريعة أو إذا تلقيت رمز الاستجابة السريعة QR بشكل غير متوقع، فلا تفتحه (خاصة إذا كان ذلك يحثك على التصرف فوراً).
أما في حالة الشك بمحاولة تصيد احتيالي عبر الهاتف أو وسائل التواصل فيمكن طرح أسئلة لا يعرفها إلا الشخص المعني. قد يكون الأمر سهلاً مثل السؤال عن كيفية قضاء إجازتهم الأسبوع الماضي. عندما تشك بأي شيء، أطلب إثبات الهوية للتأكد من حقيقة ما يدعيه المتصل.
وكذلك، لا تتردد بالتحقق من صحة أي أمر عمل أو أي مستندات عن طريق الاتصال مباشرة بالفرد المسؤول وليس الرقم المدون على الوثيقة ولا تسمح لأحد أن يضعك تحت ضغط بسبب الإلحاح وإنما خذ الوقت الكافي لفهم ما إذا كان الأمر عاجلاً والتحقق من المصدر عن طريق الاتصال أو الانتقال مباشرة إلى موقع الانترنت.
ضوابط للحماية من هجمات الهندسة الاجتماعية:
يمكن أن يساعد تطبيق الضوابط في الحالات التي ينجح فيها هجوم الهندسة الاجتماعية.
- استخدام المصادقة متعددة العوامل MFA كجزء لازم من عملية وصول الموظفين إلى موارد الشركة.
- فصل المهام عبر إسناد مهمة التصديق على المعلومات المدخلة إلى موظف آخر غير موظف الإدخال وخصوصاً في المهام ذات الحساسية العالية (التحويل الإلكتروني للأموال).
- فرض مبدأ الحد الأدنى من السماحيات. وبذلك يتم منح الموظفين حق الوصول فقط إلى الأنظمة اللازمة لعملهم وفق المسمى الوظيفي المحدد لهم.
- إجراء تدريب دوري للموظفين على تحديد ومعرفة كيفية التعامل مع أساليب الهندسة الاجتماعية. وينبغي أن يشمل ذلك اختبار السياسات والإجراءات من خلال مكالمات الهندسة الاجتماعية والتصيد الاحتيالي وحتى اختبار الأمن الفيزيائي (المكاني).
كلمة أخيرة
تستغل الهندسة الاجتماعية ثقة الإنسان وتستخدم للوصول الأولي إلى البيئة المستهدفة، وجمع البيانات الحساسة، وتنفيذ أنشطة ضارة . يعد تدريب نفسك وموظفيك حول ماهية الهندسة الاجتماعية، وكيفية التعامل مع المواقف عندما يشتبهون في أنهم يخضعون للهندسة الاجتماعية، أمراً ضرورياً. يمثل روبودين شريكاً استراتيجياً للأفراد والمؤسسات في هذه المهمة بما يوفره من معلومات تمثل أرضية مناسبة لتوعية الموظفين حول مخاطر هذه الهجمات.
