الهندسة الاجتماعية – فن التلاعب بالبشر

محمد ابراهيم نصرالله

كيف تتصرف لو اسلتمت رسالة عبر البريد الإلكتروني باسم صديق الطفولة المغترب أو من أحد أقربائك المسافرين الذين فقدت التواصل معهم ؛ يطلبون منك مبلغاً مالياً لعملية جراحية مستعجلة أو لسداد دين أو إيجار منزل..
هنا لن تقف مكتوف الأيدي حيال تلك الحالات وستجد نفسك منتفضاً لمساعدتهم وما أن ترسل لهم الحوالة حتى تكتشف أنك تعرضت لعملية احتيال منسوجة ببراعة!

نعم يا سادة ؛ إنها هجمات الهندسة الاجتماعية، في هذا المقال سنسلط الضوء على تاريخ الهندسة الاجتماعية منذ ظهور المصطلح للمرة الأولى وصولاً إلى عصرنا الرقمي والخيوط الخفية لعلم النفس في التأثير على هجمات الهندسة الاجتماعية وأفضل السبل المتاحة لمكافحتها والحد منها

لا شك بأنك صادفت إحدى هذه المواقع يوماً ما (” مبروك! لقد ربحت مليون دولار مع مصطفى الآغا”) ، (“مبروك! لقد ربحت أحدث إصدارات آيفون اضغط على الرابط للحصول عليه”) والعديد من المواقع الأخرى المزيفة

قد تبدو هذه المواقع وبشكل واضح لي ولك كأشخاص تقنيين بأنها مواقع احتيال ولكن ماذا لو أخبرتك أن هناك الكثير من الأشخاص الذين يقعون ضحية لهذه الإعلانات الاحتيالية، سواء عن جهل أو بسبب النقر عليها بسبب الفضول، فما هي الهندسة الاجتماعية ؟ وكيف تتم ؟

لمحة تاريخية:

تعود جذور الهندسة الاجتماعية إلى نهايات القرن التاسع عشر، حيث تم استخدام المصطلح لأول مرة في مقال كتبه الصناعي الهولندي “جي سي فان ماركن” في عام 1894 كان يشير إلى الحاجة للمتخصصين أو “المهندسين الاجتماعيين”، لمساعدة أرباب العمل في التعامل مع مشاكل الإنسان لم يعلم ” ماركن ” أنه قد أطلق مصطلحلاً أصبح أحد أهم المصطلحات والمجالات في يومنا الحالي، تبدأ رحلتنا مع الاحتيال والمكر وهما عنصران أساسيان في الهندسة الاجتماعية فمن حصان طروادة الذي استدرج اليونانيين المطمئنين الذين اصبحوا في ما بعد في ديارهم مخترقين، إلى تكتيك الطعم والتبديل الكلاسيكي الذي يستخدمه الباعة في الأسواق، اعتمدت الهندسة الاجتماعية منذ بداياتها على التلاعب بالمشاعر البشرية ونقاط الضعف، دعونا ننتقل الى القرن العشرين ونرى تطورها مع ظهور الاتصالات الهاتفية حيث ظهر التصيد الاحتيالي ( التصيد الصوتي ) أو ما يعرف ب ” vishing ” حيث استُعمِلت من قبل المهاجمين الذين ينتحلون شخصيات ذات سلطة في معظم الأحيان كموظفي البنوك أو ممثلي الشركات مستغلين الثقة المرتبطة بالمكالمات الهاتفية ففي عام 1994 حدث هجوم لايزال مشهوراً حتى الآن، حيث قامت مجموعة من ” الهاكرز ” باستهداف ” CITIBANK ” أحد أكبر المصارف في العالم والأكثر إيداعاً في الولايات المتحدة الأمريكية من خلال انتحال صفة موظفي ” IT support  ” ونجحوا في خداعهم والحصول على بيانات تسجيل الدخول للمستخدمين مما أدى إلى خسارة ما يزيد عن 10 ملايين دولار أمريكي.

العصر الرقمي (أرض أحلام المهاجمين) :

أدى التطور الحاصل في العقدين المنصرمين إلى نهضة في الهندسة الاجتماعية فأصبحت ميزة عدم الكشف عن الهوية وسهولة الاتصال بمثابة أرض الأحلام للمهاجمين وأصبحت رسائل البريد الإلكتروني المصممة بدقة لتقليد المصادر المشروعة مثل البنوك وخدمات الدفع أو حتى زملاء العمل هي السلاح المفضل للمهاجمين، اليوم أصبح بوسع المهاجمين توسيع نطاق هجماتهم مستغلين الخوف من تفويت الصفقات ( مثل ” هجمات التصيد الاحتيالي للحصول على خصومات” ) أو الحاجة الملحة المرتبطة بالتهديدات الأمنية ( على سبيل المثال ” إشعارات مصلحة الضرائب التي تطالب بالدفع الفوري “) وكأمثلة واقعية على ذلك :

اختراق البريد الإلكتروني للجنة الوطنية الديمقراطية لعام 2016: انتحل مهاجمون صفة أفراد وموظفين شرعيين من خلال سلسلة من الهجمات كان أبرزها هجمات التصيد الاحتيالي للوصول إلى رسائل البريد الإلكتروني للجنة الوطنية الديمقراطية، مما أثر على مسار الانتخابات الرئاسية الأمريكية لعام 2016 وأدت هذه الهجمات إلى تسريب معلومات كان لها تأثير كبير على الحملة الانتخابية ل “هيلاري كلينتون “، وقد تم الإشارة إلى الهجمات كعامل محتمل ساهم في خسارة الأخيرة في الانتخابات العامة أمام دونالد ترامب.

طفرة التصيد الاحتيالي بسبب فيروس كورونا (COVID-19): شهد الوباء العالمي ارتفاعاً في عمليات التصيد الاحتيالي التي تستغل المخاوف والرغبة في المساعدة فقد أظهرت أحدث التقارير الصادرة عن مختبرات شركة ” F5 ” أن مجرمي الإنترنت قاموا باستغلال ظروف جائحة فيروس كورونا للقيام بممارسات التصيّد والاحتيال الإلكتروني خلال أزمة جائحة (COVID-19)، ارتفعت حالات التصيّد الاحتيالي بنسبة تصل إلى 220% مقارنة بالمعدّل السنوي لها، تركزت هذه الهجمات على ثلاثة أمور رئيسية:

  • التبرّع لجمعيات خيرية مزيفة: تم استغلال الظروف الراهنة لإرسال رسائل بريد إلكتروني تطلب التبرّع لجمعيات خيرية وهمية.
  • سرقة بيانات المستخدمين: تم الاستهداف للحصول على بيانات تسجيل الدخول ككلمات المرور وأسماء المستخدمين وأرقام هواتفهم
  • نشر البرامج الضّارة: تم نشر برامج ضارة عبر رسائل البريد الإلكتروني

يمكننا من خلال المثال السابق فهم قدرة المهاجمين على:

  • المرونة والتكيف: المهاجمون يستغلون الأحداث العالمية والظروف الطارئة لتكييف هجماتهم بما يتناسب مع الوضع الراهن، مما يزيد من فرص نجاحهم.
  • استغلال العواطف: الاستفادة من الرغبة الطبيعية للناس في مساعدة الآخرين، خاصة خلال الأزمات لتنفيذ عمليات احتيالية تحت ستار التبرعات الخيرية.

وبالطبع قدرات كهذه لن يتم ردعها بواسطة مضاد فيروسات أو جدار ناري تقليدي وإنما يجب العمل بشكل عام على :

  • التوعية الأمنية : هناك حاجة ماسة لتعزيز الوعي الأمني لدى الأفراد والمؤسسات للتعرف على هجمات التصيد الاحتيالي وكيفية التعامل معها.
  • التأكيد على أهمية الإجراءات الوقائية : تأكيد على أهمية تطبيق إجراءات الحماية القوية مثل استخدام كلمات مرور قوية والمصادقة متعددة العوامل والتحديثات الأمنية المنتظمة.
  • الاستجابة السريعة : ضرورة وجود خطط استجابة سريعة وفعالة معدة مسبقاً للتعامل مع الحوادث الأمنية عند وقوعها.

الخيوط الخفية لعلم النفس:

تتوقف فعالية الهجمات على التلاعب ببراعة بالمبادئ النفسية للضحية، حيث يرتدي المهاجم قناع السلطة أو الإلحاح أو التودد مستفيداً من ثقتنا المبنية في الشركات والمرافق الحكومية مسبقاً (مثل البنوك والمؤسسات التابعة للدولة) أو الحاجة إلى اتخاذ إجراء فوري (على سبيل المثال سيتم قفل حسابك، تعريضك للمساءلة القانونية.. إلخ)

أو على العكس فمثلاً يمكن للشعور بالاطمئنان أن يؤدي نفس الغرض (مثل رسائل البريد التي تحاكي الدعم الفني والتقني)

تستغل هذه التكتيكات التصور المبني في أذهاننا عن الشخص المقابل وتحاكيه بدقة للحصول على المعلومات المطلوبة، تخلق هذه التصورات والأفكار المبنية مسبقاً نقطة ضعف يستغلها المهاجمون ببراعة

ربما شاهدت المسلسل الشهير (Prison Break) ، وكيف كانت خطة هروب مايكل مبنية بأكملها على استغلال عواطف المحيطين به

نفس الأمر ينطبق على الناس في العالم الافتراضي وفيما يلي بعض النقاط الرئيسية حول علم النفس في الهندسة الاجتماعية :

  • المعاملة بالمثل : يميل الناس إلى أن يكونوا عادلين، عندما يقدم لنا شخص ما أمراً ما (حتى لو كانت هدية صغيرة)، نشعر بأننا مضطرون إلى الرد بالمثل، غالباً ما تستخدم هجمات التصيد الاحتيالي هذا المبدأ من خلال تقديم شيء ما (مثل قسيمة مجانية) ثم طلب شيء ما في المقابل.
  • الندرة : إن خلق شعور بالندرة أو الإلحاح يمكن أن يدفع إلى التجاوب على سبيل المثال: غالباً ما تشير مواقع السفر على الويب إلى محدودية توفر رحلات الطيران أو غرف الفنادق لتشجيع الحجوزات.
  • السلطة : يميل الناس إلى اتباع شخصيات السلطة، قد يتظاهر المهندسون الاجتماعيون بأنهم أفراد موثوقون (مثل الدعم الفني أو المدراء التنفيذيين للشركة) للحصول على الامتثال.
  • النمطية : بمجرد أن يعتاد الناس على شيء ما، فإنهم يميلون إلى الالتزام به، يستغل المهندسون الاجتماعيون ذلك من خلال حث المستخدمين على الموافقة على الطلبات الصغيرة (مثل التسجيل للحصول على حساب) قبل المطالبة بإجراءات أكثر أهمية.
  • الإعجاب : من المرجح أن يمتثل الأشخاص لطلبات الأشخاص الذين يحبونهم، يقوم المهندسون الاجتماعيون ببناء علاقة وطيدة مبنية على الثقة للتلاعب بالضحايا.
  • الإجماع (أو سياسة الجماهير) : يتطلع الناس إلى الآخرين للحصول على التوجيه يستخدم المهندسون الاجتماعيون الدليل الاجتماعي (على سبيل المثال، “لقد فعل العديد من الاشخاص هذا بالفعل”) للتأثير على السلوك.

مكافحة التهديد (مجال قوة متعدد الأوجه):

الهندسة الاجتماعية تزدهر خلف الكواليس مستغلة العنصر البشري، ولمواجهة هذا التهديد المتطور على صعيد الشركات باستمرار تستلزم الحاجة إلى ترسانة تعطل المهاجمين في كل مرحلة ، وتتكون من :

  • التدريب القائم على المحاكاة : التخلص من التأهيل بالأبيض والأسود ونقله الى المستوى الأعلى، تخيل لعبة تمثيل الأدوار حيث يتنقل الموظفون في محاولات التصيد الاحتيالي، ويكسبون نقاطاً تساعدهم في تحديد نقاط الضعف والتعلم من الأخطاء، يمكن أن تعَزز المشاركة من خلال لوحات الشرف بالإضافة الى المنافسة الودية التي تجعل التدريب الأمني ​​أمراً ممتعاً.
  • معسكرات التصيد الاحتيالي : إنشاء حملات تصيد تحاكي المهاجمين الحقيقين، السماح للموظفين بلعب دور مجرمي الإنترنت، وأن يقوموا بصياغة محاولات الهندسة الاجتماعية، يمكن لـتقمص “فريق المهاجمين ” هذا أن يمنح الموظفين فهماً أعمق لتكتيكات المهاجمين وكيفية إحباطهم.
  • إضافة زر الإيقاف المؤقت : تطوير نسخة معدلة من المتصفح يفرض إيقافاً مؤقتاً إلزامياً عندما يواجه المستخدم بريداً إلكترونياً مشبوهاً، تسمح هذه المهلة المضمنة بالتمعن بقراءة محتويات الرسالة وتشجع الموظفين على التحقق من المرسل، وفحص الروابط، وتجنب ردود الفعل غير المحسوبة.
  • جدار الحماية الاجتماعي : تمكين الموظفين ليكونوا جدران حماية بشرية من خلال تعزيز ثقافة الشك الصحي، وتشجيعهم على التشكيك في الطلبات غير العادية، والتحقق من المعلومات بشكل مستقل والإبلاغ عن الأنشطة المشبوهة، تقدير ومكافأة الموظفين الذين يظهرون اليقظة.

ومن خلال الجمع بين التدريب التقليدي والتجارب المفعمة بالألعاب، ومحاكاة القرصنة الأخلاقية، والحلول التكنولوجية المبتكرة، يُمَكِننا من إنشاء نظام دفاعي ليس مجرد رد فعل، بل استباقي وجذاب.

أما على صعيد الأفراد فلا يتوقف الأمر على مفلتر رسائل البريد الإلكتروني فقط! وإنما أيضاً هناك مجموعة من الإجراءات التي يجب اتخاذها وهي أولاً وأخيراً تتضمن بتغيير العقلية لدى الشخص ، ومن هذه الأمور :

  • عدم الثقة في أي شيء (zero trust) : يجب التشكيك في كل شيء، يمكن أن يتم انتحال رسائل البريد الإلكتروني والمكالمات والرسائل ولتجنب ذلك يمكن التحقق من شرعية المرسل من خلال وسائل مستقلة (على سبيل المثال، الاتصال بشركة مباشرة، وليس من خلال رقم هاتف مقدم).
  • تحصين كلمات المرور : استخدم كلمات مرور قوية وفريدة لكل حساب والتفكير في بدأ استخدام مدير كلمات المرور للمساعدة على إنشاء وتخزين كلمات المرور بشكل آمن، تمكين المصادقة الثنائية حيثما كان ذلك متاحاً، يعطي ذلك طبقة إضافية من الحماية.
  • التفكير قبل النقر : يمكن أن تكون الروابط والمرفقات ملوثة بالبرامج الضارة، يمكن أن يساعد التمرير فوق الروابط لرؤية عنوان URL المقصود الحقيقي قبل النقر عليه في تجنب الوقوع ضحية لهذه الهجمات أو يمكن فتحها في متصفح إضافي معزول عن النظام الحاسوبي (browser sandbox)
  • الحذر من الاستعجال والخوف : غالباً ما تعتمد أساليب التصيد الاحتيالي على الاستعجال أو الخوف لاتخاذ إجراء فوري، فالتمهل والتحقق من المعلومات قبل الرد يجنبك خطراً محتملاً.
  •  زيادة مستوى الثقافة التكنولوجية : البقاء على اطلاع بأحدث أساليب الهندسة الاجتماعية، هناك العديد من الموارد والحملات التعليمية عبر الإنترنت التي يمكن أن تساعد على إبقاء الوعي بالمخاطر مرتفعاً.
  • عدم التعرض المفرط للمشاركة الاجتماعية : الحد من كمية المعلومات الشخصية المشاركة عبر الإنترنت، هذا يجعل من الصعب على المهاجمين تصميم محاولات الهندسة الاجتماعية.

في النهاية:

من خلال الجمع بين هذه الاستراتيجيات، يمكن للأفراد إنشاء نظام دفاعي قوي ضد الهندسة الاجتماعية، علماً أن اليقظة هي خط الدفاع الأول والمفتاح، فكلما زاد فهم التكتيكات التي يستخدمها المهاجمون، أصبحت التجهيزات أفضل للتغلب عليهم.

لتبقى آمن على شبكة الانترنت انصحك وبشدة بقراءة الكتاب المجاني “دليل الحماية الشامل” والعمل على تطبيق هذه النصائح وأخذ الأمر على محمل الجد، الأمن السيبراني صعب ومعقد ولكن سلامتك الرقمية تستحق هذا العناء.

Related posts

Leave a Comment