الهندسة الاجتماعية (Social engineering) هي ممارسة شائعة جدًا لاستغلال عنصر بشري لبدء و / أو تنفيذ هجوم إلكتروني.
يمثل الضعف البشري والجهل أهدافًا سهلة بحيث أن 82% من الهجمات الواردة في تقرير تحقيقات خرق البيانات لعام 2022 الصادر عن Verizon قد تم ارتكابها، جزئيًا على الأقل، عبر شكل من أشكال الهندسة الاجتماعية.
في هذه المقالة، نلقي نظرة على أشكال الهندسة الاجتماعية التي يتم استخدامها بشكل متكرر وأفضل الممارسات للحد من فعاليتها داخل المؤسسة.
ما هي الهندسة الاجتماعية؟
تعريف القاموس للهندسة الاجتماعية (في سياق الأمن السيبراني) هو "استخدام الخداع للتلاعب بالأفراد من أجل إفشاء معلومات سرية أو شخصية يمكن استخدامها لأغراض احتيالية."
بشكل أساسي، يشمل ذلك إرسال الرسائل الإلكترونية العشوائية إلى حسابات البريد الإلكتروني الفردية في الأسواق مع محاولة التصيد الاحتيالي مثل عرض شهادة هدية مجانية من بائع تجزئة معروف. المستهلكون الذين ينقرون فوق ارتباط إلى موقع ويب ضار أو يفتحون مرفق ملف مصاب ويدخلون معلومات شخصية قد يعرضون أنفسهم للاستغلال الإجرامي.
بالنسبة لأهداف المؤسسة ذات القيمة الأعلى، يمكن أن تصبح التقنية أكثر تفصيلاً - أو تظل بسيطة بشكل مذهل.
روجر جرايمز، المبشر الدفاعي القائم على البيانات في شركة KnowBe4 المتخصصة في تدريب التوعية الأمنية، يصفها على أنها: خدعة، عملية احتيال. "إنه شخص يتظاهر بأنه علامة تجارية أو شركة أو شخص تثق به أكثر مما لو كنت تعلم أن الرسالة تم إرسالها من قبل شخص غريب تمامًا يحاول خداعك للقيام بشيء من شأنه التأثير عليك أو على اهتمامات مؤسستك"، كما يوضح . "غالبًا ما تكون الإجراءات المطلوبة هي إطلاق برنامج ضار، أو توفير كلمات مرور لتسجيل الدخول، أو تقديم محتوى سري (مثل رقم الضمان الاجتماعي، والمعلومات المصرفية، وما إلى ذلك)".
يستخدم المجرم التلاعب النفسي لخداع المستخدم للقيام بأعمال أو إفشاء معلومات سرية. سبع وسائل للاستئناف المقنع، على النحو الذي أوضحه روبرت سياليني في التأثير: علم نفس الإقناع، يتم الاستشهاد بها بشكل شائع في شرح سبب تعرض الناس لتطبيقهم في الهندسة الاجتماعية:
- تبادل Reciprocity
- نقص Scarcity
- سلطة Authority
- التزام Commitment
- إجماع Consensus
- وحدة Unity
تأتي العديد من محاولات الهندسة الاجتماعية عبر البريد الإلكتروني، لكن هذه ليست القناة الوحيدة. يتم أيضًا إنجاز الهندسة الاجتماعية عبر الرسائل النصية القصيرة أو مواقع الويب أو وسائل التواصل الاجتماعي أو المكالمات الهاتفية أو حتى شخصيًا.
كما يشير مانوس جافريل، رئيس المحتوى في شركة التدريب على القرصنة Hack The Box، "تعتبر الهندسة الاجتماعية التهديد الأول في الأمن السيبراني، حيث إنها تستغل الخطأ البشري الفردي الذي يجعل من الصعب جدًا إيقافها، وحتى أبسط أشكالها يمكن أن يكون للهجوم تأثير مدمر ".
أنواع تقنيات وأساليب الهندسة الاجتماعية
يتم إنجاز الهندسة الاجتماعية بعدة طرق:
- إنشاء نص مسبق: يتضمن هذا العرض الخاطئ للهوية أو السياق لجعل الهدف يعتقد أنه يجب عليه مشاركة بيانات حساسة أو اتخاذ إجراء مساومة، وهو عنصر في معظم الهندسة الاجتماعية.
- الاصطياد: عادة ما يقدم الخصم وعدًا مزيفًا بشيء لخداع الضحية أو سرقة معلومات حساسة أو إصابة المؤسسة ببرامج ضارة.
- التصيد الاحتيالي: يرسل المهاجم كميات كبيرة من رسائل البريد الإلكتروني، دون وضع هدف محدد في الاعتبار، على أمل النقر فوق ارتباط أو مرفق ضار لمنح المهاجم إمكانية الوصول إلى المعلومات الحساسة.
- التصيد بالرمح: التنكر كمرسل معروف أو موثوق به لضحية معينة، يرسل المهاجم رسالة تصيد مستهدفة، وعادة ما تكون مصممة بشكل شخصي.
- تصيد الحوت: هذا هو التصيد بالرمح لهدف عالي القيمة، مثل مسؤول تنفيذي كبير أو موظف مالي رئيسي. من المحتمل أن تكون مبنية على معلومات مفصلة جمعها المهاجم أولاً حول الهدف والمنظمة من أجل تقديم ذريعة ذات مصداقية تتضمن الوصول إلى معلومات حساسة أو الشروع في إجراء مالي.
- التصيد أو التصيد الاحتيالي: هذه محاولة تصيد عبر مكالمة صوتية أو رسالة نصية قصيرة SMS، بدلاً من رسالة بريد إلكتروني.
- اختراق البريد الإلكتروني للأعمال (BEC): يقوم المجرم الإلكتروني باختراق حساب بريد إلكتروني للنشاط التجاري وانتحال شخصية المالك لخداع شخص ما في دائرة العمل لإرسال أموال أو بيانات حساسة إلى حساب المهاجم.
- التزييف: يتم وضع رمز على جهاز كمبيوتر أو خادم لتحويل أو خداع المستخدم لزيارة موقع ويب ضار.
- Tailgating أو Piggybacking: يكتسب الممثل الضار حق الوصول المادي إلى منشأة آمنة تابعة للمؤسسة من خلال المتابعة الوثيقة لموظف أو مشارك آخر مرخص له استخدم بيانات الاعتماد لتمرير الأمان.
- الغوص في القمامة: كما يبدو، هذا هجوم آخر على موقع مادي، حيث ينقل المجرم من خلال سلة مهملات المنظمة للعثور على المعلومات التي يمكنهم استخدامها لشن هجوم.
غالبًا ما يتم الجمع بين هذه الأنواع من الهجوم أو تعديلها لتتضمن تجاعيد جديدة:
- غالبًا ما يتظاهر مجرمو الإنترنت بأنهم ينتمون إلى مؤسسة موثوقة، مثل مورد الطاقة أو البنك أو قسم تكنولوجيا المعلومات للهدف المستهدف. يستخدمون شعارات من هذه المؤسسات وعناوين بريد إلكتروني مشابهة لتلك الرسمية. بمجرد اكتساب الثقة، يطلبون معلومات حساسة مثل تسجيلات الدخول أو تفاصيل الحساب لاختراق الشبكات أو سرقة الأموال.
- النهج الشائع هو سيناريو خاطئ مع تحذير من أنه إذا لم يتم اتخاذ إجراء في وقت قريب جدًا، فستكون هناك بعض النتائج السلبية غير المرغوب فيها، مثل تأمين الحساب بشكل دائم أو دفع غرامة أو زيارة من جهات إنفاذ القانون. الهدف المعتاد هو جعل الشخص ينقر على رابط عنوان URL خادع يأخذ الضحية إلى صفحة تسجيل دخول مزيفة حيث يقوم بإدخال بيانات اعتماد تسجيل الدخول الخاصة به لخدمة شرعية.
- خيار آخر هو حملة BazarCall. يبدأ برسالة بريد إلكتروني للتصيد الاحتيالي. ولكن بدلاً من خداع المستخدم للنقر على رابط أو مرفق ضار، فإن البريد الإلكتروني يطالب المستخدم بالاتصال برقم هاتف لإلغاء الاشتراك. يتم حقن الاستعجال بالتهديد بأنهم على وشك أن يتم تحصيلهم تلقائيًا. تقوم مراكز الاتصال المزيفة بعد ذلك بتوجيه المستخدمين إلى موقع ويب لتنزيل نموذج إلغاء يقوم بتثبيت برنامج BazarCall الضار.
- في حالة التصيد بالرمح، قد يجمع المهاجم بيانات قيمة من LinkedIn و Facebook ومنصات أخرى لكي يبدو أكثر واقعية. إذا كان الهدف خارج البلد، على سبيل المثال، ومن المعروف أنه يستخدم بطاقة Amex، فقد تدعي مكالمة أو بريد إلكتروني أنه من American Express، سعياً للتحقق من الهوية للموافقة على المعاملات في البلد الذي يسافر فيه المستخدم. يقوم الشخص بتسليم معلومات الحساب وأرقام بطاقات الائتمان والدبابيس ورموز الأمان - ويذهب المهاجم في فورة شراء عبر الإنترنت.
- نظرًا لأن صيد الحيتان يركز على أهداف عالية القيمة، يتم استخدام تقنيات معقدة بشكل متزايد. إذا كان الاندماج مستمرًا أو كانت هناك منحة حكومية كبيرة على وشك التنفيذ، فقد يتظاهر المهاجمون كشخص مشارك في الصفقة ويضخون ما يكفي من الإلحاح لتحويل الأموال إلى حساب جماعة إجرامية. يمكن استخدام تقنية Deepfake لجعل الموظف المالي يعتقد أن رئيسه أو شخصية سلطة أخرى تطلب الإجراء.
- تزايد انتشار طلبات LinkedIn من جهات فاعلة سيئة. يجذب المحتالون الباحثين عن عمل المطمئنين بفتح ملفات PDF ومقاطع فيديو ورموز QR ورسائل بريد صوتي ضارة.
- إرسال رسائل بريد إلكتروني غير مرغوب فيها لإشعارات الدفع هو عندما يقصف أحد المهاجمين باستمرار مستخدمًا للموافقة عليه عبر تطبيق مصادقة متعددة العوامل (MFA). يمكن للمستخدم أن يصاب بالذعر أو يتضايق من عدد الإخطارات القادمة في طريقه ويعطي الموافقة لممثل التهديد لدخول الشبكة.
- جني الأموال من أزمة حالية، يلعب هجوم الهندسة الاجتماعية على العناوين الرئيسية الحالية أو مخاوف الناس بشأن الموارد المالية الشخصية. سواء كانت رسائل نصية تقدم فواتير طاقة مزيفة وخصومات ضريبية أو زيادة في عمليات الاحتيال المصرفية عبر الإنترنت، يصبح الناس أكثر عرضة للاستغلال من الجهات السيئة الانتهازية مع تشديد الميزانيات.
ومع ذلك، ليس من الضروري أن تكون الهندسة الاجتماعية معقدة حتى تنجح. عادةً ما تتضمن الهندسة الاجتماعية المادية المهاجمين الذين يتظاهرون بأنهم موظفين موثوق بهم أو موظفين لتقديم الدعم والدعم أو مسؤولين حكوميين مثل رجال الإطفاء أو الشرطة. هناك حيلة أخرى فعالة تتمثل في ترك محرك أقراص USB في مكان ما يسمى "محفظة البيتكوين" أو حتى في موقف سيارات الشركة أو المبنى في نهاية العام، "زيادات سنوية".
كما قال إيغور فولوفيتش، نائب رئيس الامتثال في Qmulos، "في الآونة الأخيرة، شرع زوجان من الشخصيات على وسائل التواصل الاجتماعي في إثبات أنهما يمكنهما الدخول في الحفلات الموسيقية بمجرد حمل سلم و" مسؤول بالإنابة ". لقد نجحوا عدة مرات".
يمثل الضعف البشري والجهل أهدافًا سهلة بحيث أن 82% من الهجمات الواردة في تقرير تحقيقات خرق البيانات لعام 2022 الصادر عن Verizon قد تم ارتكابها، جزئيًا على الأقل، عبر شكل من أشكال الهندسة الاجتماعية.
في هذه المقالة، نلقي نظرة على أشكال الهندسة الاجتماعية التي يتم استخدامها بشكل متكرر وأفضل الممارسات للحد من فعاليتها داخل المؤسسة.
ما هي الهندسة الاجتماعية؟
تعريف القاموس للهندسة الاجتماعية (في سياق الأمن السيبراني) هو "استخدام الخداع للتلاعب بالأفراد من أجل إفشاء معلومات سرية أو شخصية يمكن استخدامها لأغراض احتيالية."
بشكل أساسي، يشمل ذلك إرسال الرسائل الإلكترونية العشوائية إلى حسابات البريد الإلكتروني الفردية في الأسواق مع محاولة التصيد الاحتيالي مثل عرض شهادة هدية مجانية من بائع تجزئة معروف. المستهلكون الذين ينقرون فوق ارتباط إلى موقع ويب ضار أو يفتحون مرفق ملف مصاب ويدخلون معلومات شخصية قد يعرضون أنفسهم للاستغلال الإجرامي.
بالنسبة لأهداف المؤسسة ذات القيمة الأعلى، يمكن أن تصبح التقنية أكثر تفصيلاً - أو تظل بسيطة بشكل مذهل.
روجر جرايمز، المبشر الدفاعي القائم على البيانات في شركة KnowBe4 المتخصصة في تدريب التوعية الأمنية، يصفها على أنها: خدعة، عملية احتيال. "إنه شخص يتظاهر بأنه علامة تجارية أو شركة أو شخص تثق به أكثر مما لو كنت تعلم أن الرسالة تم إرسالها من قبل شخص غريب تمامًا يحاول خداعك للقيام بشيء من شأنه التأثير عليك أو على اهتمامات مؤسستك"، كما يوضح . "غالبًا ما تكون الإجراءات المطلوبة هي إطلاق برنامج ضار، أو توفير كلمات مرور لتسجيل الدخول، أو تقديم محتوى سري (مثل رقم الضمان الاجتماعي، والمعلومات المصرفية، وما إلى ذلك)".
يستخدم المجرم التلاعب النفسي لخداع المستخدم للقيام بأعمال أو إفشاء معلومات سرية. سبع وسائل للاستئناف المقنع، على النحو الذي أوضحه روبرت سياليني في التأثير: علم نفس الإقناع، يتم الاستشهاد بها بشكل شائع في شرح سبب تعرض الناس لتطبيقهم في الهندسة الاجتماعية:
- تبادل Reciprocity
- نقص Scarcity
- سلطة Authority
- التزام Commitment
- إجماع Consensus
- وحدة Unity
تأتي العديد من محاولات الهندسة الاجتماعية عبر البريد الإلكتروني، لكن هذه ليست القناة الوحيدة. يتم أيضًا إنجاز الهندسة الاجتماعية عبر الرسائل النصية القصيرة أو مواقع الويب أو وسائل التواصل الاجتماعي أو المكالمات الهاتفية أو حتى شخصيًا.
كما يشير مانوس جافريل، رئيس المحتوى في شركة التدريب على القرصنة Hack The Box، "تعتبر الهندسة الاجتماعية التهديد الأول في الأمن السيبراني، حيث إنها تستغل الخطأ البشري الفردي الذي يجعل من الصعب جدًا إيقافها، وحتى أبسط أشكالها يمكن أن يكون للهجوم تأثير مدمر ".
أنواع تقنيات وأساليب الهندسة الاجتماعية
يتم إنجاز الهندسة الاجتماعية بعدة طرق:
- إنشاء نص مسبق: يتضمن هذا العرض الخاطئ للهوية أو السياق لجعل الهدف يعتقد أنه يجب عليه مشاركة بيانات حساسة أو اتخاذ إجراء مساومة، وهو عنصر في معظم الهندسة الاجتماعية.
- الاصطياد: عادة ما يقدم الخصم وعدًا مزيفًا بشيء لخداع الضحية أو سرقة معلومات حساسة أو إصابة المؤسسة ببرامج ضارة.
- التصيد الاحتيالي: يرسل المهاجم كميات كبيرة من رسائل البريد الإلكتروني، دون وضع هدف محدد في الاعتبار، على أمل النقر فوق ارتباط أو مرفق ضار لمنح المهاجم إمكانية الوصول إلى المعلومات الحساسة.
- التصيد بالرمح: التنكر كمرسل معروف أو موثوق به لضحية معينة، يرسل المهاجم رسالة تصيد مستهدفة، وعادة ما تكون مصممة بشكل شخصي.
- تصيد الحوت: هذا هو التصيد بالرمح لهدف عالي القيمة، مثل مسؤول تنفيذي كبير أو موظف مالي رئيسي. من المحتمل أن تكون مبنية على معلومات مفصلة جمعها المهاجم أولاً حول الهدف والمنظمة من أجل تقديم ذريعة ذات مصداقية تتضمن الوصول إلى معلومات حساسة أو الشروع في إجراء مالي.
- التصيد أو التصيد الاحتيالي: هذه محاولة تصيد عبر مكالمة صوتية أو رسالة نصية قصيرة SMS، بدلاً من رسالة بريد إلكتروني.
- اختراق البريد الإلكتروني للأعمال (BEC): يقوم المجرم الإلكتروني باختراق حساب بريد إلكتروني للنشاط التجاري وانتحال شخصية المالك لخداع شخص ما في دائرة العمل لإرسال أموال أو بيانات حساسة إلى حساب المهاجم.
- التزييف: يتم وضع رمز على جهاز كمبيوتر أو خادم لتحويل أو خداع المستخدم لزيارة موقع ويب ضار.
- Tailgating أو Piggybacking: يكتسب الممثل الضار حق الوصول المادي إلى منشأة آمنة تابعة للمؤسسة من خلال المتابعة الوثيقة لموظف أو مشارك آخر مرخص له استخدم بيانات الاعتماد لتمرير الأمان.
- الغوص في القمامة: كما يبدو، هذا هجوم آخر على موقع مادي، حيث ينقل المجرم من خلال سلة مهملات المنظمة للعثور على المعلومات التي يمكنهم استخدامها لشن هجوم.
غالبًا ما يتم الجمع بين هذه الأنواع من الهجوم أو تعديلها لتتضمن تجاعيد جديدة:
- غالبًا ما يتظاهر مجرمو الإنترنت بأنهم ينتمون إلى مؤسسة موثوقة، مثل مورد الطاقة أو البنك أو قسم تكنولوجيا المعلومات للهدف المستهدف. يستخدمون شعارات من هذه المؤسسات وعناوين بريد إلكتروني مشابهة لتلك الرسمية. بمجرد اكتساب الثقة، يطلبون معلومات حساسة مثل تسجيلات الدخول أو تفاصيل الحساب لاختراق الشبكات أو سرقة الأموال.
- النهج الشائع هو سيناريو خاطئ مع تحذير من أنه إذا لم يتم اتخاذ إجراء في وقت قريب جدًا، فستكون هناك بعض النتائج السلبية غير المرغوب فيها، مثل تأمين الحساب بشكل دائم أو دفع غرامة أو زيارة من جهات إنفاذ القانون. الهدف المعتاد هو جعل الشخص ينقر على رابط عنوان URL خادع يأخذ الضحية إلى صفحة تسجيل دخول مزيفة حيث يقوم بإدخال بيانات اعتماد تسجيل الدخول الخاصة به لخدمة شرعية.
- خيار آخر هو حملة BazarCall. يبدأ برسالة بريد إلكتروني للتصيد الاحتيالي. ولكن بدلاً من خداع المستخدم للنقر على رابط أو مرفق ضار، فإن البريد الإلكتروني يطالب المستخدم بالاتصال برقم هاتف لإلغاء الاشتراك. يتم حقن الاستعجال بالتهديد بأنهم على وشك أن يتم تحصيلهم تلقائيًا. تقوم مراكز الاتصال المزيفة بعد ذلك بتوجيه المستخدمين إلى موقع ويب لتنزيل نموذج إلغاء يقوم بتثبيت برنامج BazarCall الضار.
- في حالة التصيد بالرمح، قد يجمع المهاجم بيانات قيمة من LinkedIn و Facebook ومنصات أخرى لكي يبدو أكثر واقعية. إذا كان الهدف خارج البلد، على سبيل المثال، ومن المعروف أنه يستخدم بطاقة Amex، فقد تدعي مكالمة أو بريد إلكتروني أنه من American Express، سعياً للتحقق من الهوية للموافقة على المعاملات في البلد الذي يسافر فيه المستخدم. يقوم الشخص بتسليم معلومات الحساب وأرقام بطاقات الائتمان والدبابيس ورموز الأمان - ويذهب المهاجم في فورة شراء عبر الإنترنت.
- نظرًا لأن صيد الحيتان يركز على أهداف عالية القيمة، يتم استخدام تقنيات معقدة بشكل متزايد. إذا كان الاندماج مستمرًا أو كانت هناك منحة حكومية كبيرة على وشك التنفيذ، فقد يتظاهر المهاجمون كشخص مشارك في الصفقة ويضخون ما يكفي من الإلحاح لتحويل الأموال إلى حساب جماعة إجرامية. يمكن استخدام تقنية Deepfake لجعل الموظف المالي يعتقد أن رئيسه أو شخصية سلطة أخرى تطلب الإجراء.
- تزايد انتشار طلبات LinkedIn من جهات فاعلة سيئة. يجذب المحتالون الباحثين عن عمل المطمئنين بفتح ملفات PDF ومقاطع فيديو ورموز QR ورسائل بريد صوتي ضارة.
- إرسال رسائل بريد إلكتروني غير مرغوب فيها لإشعارات الدفع هو عندما يقصف أحد المهاجمين باستمرار مستخدمًا للموافقة عليه عبر تطبيق مصادقة متعددة العوامل (MFA). يمكن للمستخدم أن يصاب بالذعر أو يتضايق من عدد الإخطارات القادمة في طريقه ويعطي الموافقة لممثل التهديد لدخول الشبكة.
- جني الأموال من أزمة حالية، يلعب هجوم الهندسة الاجتماعية على العناوين الرئيسية الحالية أو مخاوف الناس بشأن الموارد المالية الشخصية. سواء كانت رسائل نصية تقدم فواتير طاقة مزيفة وخصومات ضريبية أو زيادة في عمليات الاحتيال المصرفية عبر الإنترنت، يصبح الناس أكثر عرضة للاستغلال من الجهات السيئة الانتهازية مع تشديد الميزانيات.
ومع ذلك، ليس من الضروري أن تكون الهندسة الاجتماعية معقدة حتى تنجح. عادةً ما تتضمن الهندسة الاجتماعية المادية المهاجمين الذين يتظاهرون بأنهم موظفين موثوق بهم أو موظفين لتقديم الدعم والدعم أو مسؤولين حكوميين مثل رجال الإطفاء أو الشرطة. هناك حيلة أخرى فعالة تتمثل في ترك محرك أقراص USB في مكان ما يسمى "محفظة البيتكوين" أو حتى في موقف سيارات الشركة أو المبنى في نهاية العام، "زيادات سنوية".
كما قال إيغور فولوفيتش، نائب رئيس الامتثال في Qmulos، "في الآونة الأخيرة، شرع زوجان من الشخصيات على وسائل التواصل الاجتماعي في إثبات أنهما يمكنهما الدخول في الحفلات الموسيقية بمجرد حمل سلم و" مسؤول بالإنابة ". لقد نجحوا عدة مرات".
