
تخيّل أنك تلقّيت مكالمة من شخص يدّعي أنّه من المصرف الذي تتعامل معه، أو ربما بريد إلكتروني من شركة معروفة يطلب منك تحديث بياناتك بشكل عاجل.
كل شيء يبدو رسميّا، واللّهجة تبدو مقنعة، لكن ما لا تعلمه هو أن هذه مجرد خطوة بسيطة في خطة أكبر تستهدف خداعك وسرقة معلوماتك الشخصية أو أموالك.
هذا هو سلاح المهاجمين في الهندسة الاجتماعيّة: خداعك وجعلك تثق بهم دون حتى أن تشعر بذلك.
الهندسة الاجتماعية هي أحد أخطر التّهديدات الرّقميّة، لأنها لا تعتمد على اختراق الأجهزة أو الأنظمة، بل على استغلال الثقة والعواطف البشرية.
ببساطة، يمكن لأي شخص أن يكون الضّحيّة، حتى لو كان على دراية بالأمان الإلكتروني.
الخطر يكمن في أنّ البشر هم الحلقة الأضعف، وغالبا ما يسقطون ضحية لأساليب المهاجمين المبتكرة.
هل تعتقد أنك في مأمن؟ الحقيقة المرعبة هي أن الهجمات تبدأ بطرق بسيطة، وفي لحظة واحدة يمكن أن تتعرض لخسائر لا يمكن تعويضها.
تعريف الهندسة الاجتماعيّة
الهندسة الاجتماعيّة (باللغة الإنجليزيّة: Social engineering) هي فنّ الخداع الذي يستخدمه المهاجمون لاستغلال نقاط الضّعف البشريّة بدلا من التقنية.
أي بدلا من محاولة اختراق الأجهزة أو الأنظمة، يستهدف المهاجم عقلك وثقتك ويُحاول اختراقهما والتّلاعب بهما، مما يجعلك تُسَلِّمُهُ معلوماتك السّرّيّة بيديك.
قد تكون ضحيّة لمكالمة هاتفية، رسالة بريد إلكتروني، أو حتى لقاء عابر، وكلها تبدو بريئة، لكنها بداية لسرقة أموالك أو اختراق خصوصيتك.
المُخيف في الأمر هو أن أي شخص يمكن أن يكون هدفا لهذه الهجمات، مهما كان حذرا. فالهندسة الاجتماعية تعتمد على التلاعب بالعواطف البشرية -كالخوف، الثقة، والعجلة- وتستخدمها لتسلبك ما هو ثمين لديك دون حتى أن تدرك ذلك.
لماذا تحصل هجمات الهندسة الاجتماعيّة
تحدث هجمات الهندسة الاجتماعيّة عبر الإنترنت لأن هذا الوسيط يوفِّر بيئة مثالية لاستغلال الثّقة البشريّة والذي يُمَكِّن المهاجمين من إخفاء هويتهم بسهولة واستخدام مجموعة واسعة من الأساليب مثل البريد الإلكتروني، مواقع التواصل الاجتماعي، والمكالمات الهاتفية.
الإنترنت يسمح بالوصول السريع إلى عدد كبير من الأهداف دون الحاجة إلى تفاعل جسدي، مما يجعل من الصعب تتبعهم أو إيقافهم في الوقت المناسب.
هذا بالإضافة إلى قلّة وعي بعض المستخدِمين حول كيفيّة اكتشاف الحِيَل، ما يجعلهم أكثر عرضة للخداع والاحتيال.
طُرُق الهندسة الاجتماعيّة الأكثر شيوعا
في ما يلي قائمة سريعة لبعض أشهر طرق الهندسة الاجتماعية الشائعة:
- التصيد الإلكتروني (Phishing): إرسال بريد إلكتروني يحتوي على روابط أو مرفقات ضارة.
- التصيد عبر الهاتف (Vishing): خداع الضحايا عبر مكالمات هاتفية لجمع معلومات حساسة.
- التصيد المستهدف (Spear Phishing): استهداف شخص أو مؤسسة معينة برسائل احتيالية مخصصة.
- الطُعم (Baiting): استخدام وسائط ملوثة مثل أقراص USB لجذب الضحية.
- الانتحال (Pretexting): خلق قصة مقنعة للحصول على معلومات شخصية من الضحية.
أمثلة واقعية لهجمات الهندسة الاجتماعية
في ما يلي بعض الأمثلة الواقعيّة لهجامت هندسة اجتماعيّة تعرّض لها أشخاص معروفين وشركات عالميّة.
1. حادثة التصيد الإلكتروني (Phishing) - اختراق حسابات البريد الإلكتروني
في عام 2016، وقع اختراق كبير للبريد الإلكتروني لجون بوديستا، رئيس حملة أحد المرشحين للرئاسة الأمريكية، حصل المهاجمون على بيانات حساسة عبر رسالة تصيد إلكتروني (Phishing) التي ادعت أن حسابَه مخترَق وأنّ عليه تغيير كلمة المرور فورا.
بدلا من ذلك، أدى الرّابط في الرّسالة إلى صفحة مزيّفة مشابهة تماما لصفحة تسجيل الدخول، ممّا مكَّن المهاجمين من سرقة بياناته.
يُمكنك الاطّلاع على مزيد من التّفاصيل حول حادثة اختراق حساب جون بودستا.
2. هجوم 'المدير التنفيذي المزيف' (CEO Fraud)
في عام 2015، تعرّضت شركة فرنسيّة كبيرة لهجوم مهندسي اجتماعيين جعلوهم يخسرون حوالي 47 مليون دولار.
استغلّ المهاجمون الثّقة الموجودة بين المديرين والموظَّفين، حيث تنكَّر المهاجمون في شخصيّة المدير التّنفيذي للشّركة، وطلبوا من الموظَّفين المسؤولين عن التحويلات المالية تحويل مبالغ ضخمة إلى حسابات خارجية بحجة أنها صفقة سرية مهمة.
بسبب الضغط والجدّيّة الظاهرة، تم التحويل قبل اكتشاف الخدعة.
يُمكنك الاطّلاع على مزيد من التّفاصيل حول اختراق الشّركة الفرنسية باستخدام الهندسة الاجتماعيّة.
3. حادثة اختراق تويتر 2020 - التصيد عبر الهاتف (Vishing)
في عام 2020، شهدت منصّة تويتر اختراقا غير مسبوق لحسابات شخصيّات بارزة مثل إيلون ماسك، وبيل جيتس، وأبل، وغيرهم.
تمّ تنفيذ الهجوم باستخدام التّصيد عبر الهاتف (Vishing)، حيث قام المهاجمون بالاتصال بموظّفي تويتر عبر الهاتف، وانتحلوا هوية قسم الدّعم الدّاخلي في الشّركة، وأقنعوهم بإعطائهم بيانات تسجيل الدّخول إلى نظام الإدارة الدّاخلي لتويتر.
باستخدام تلك البيانات، قاموا بنشر تغريدات احتياليّة تطلب من المتابعين إرسال عملات بيتكوين إلى عنوان معيّن.
وقالت شركة تويتر: "لم يكن لدى جميع الموظفين المستهدفين في البداية أذونات لاستخدام أدوات إدارة الحسابات، لكن المهاجمين استخدموا بيانات اعتمادهم للوصول إلى أنظمتنا الداخلية والحصول على معلومات حول عملياتنا". "ثم مكنتهم هذه المعرفة من استهداف موظفين إضافيين لديهم إمكانية الوصول إلى أدوات دعم الحسابات لدينا.
المزيد من التّفاصيل حول حادثة اختراق تويتر سنة 2020.
4. خداع شخصي للحصول على بيانات مصرفية (Pretexting)
في هذا النّوع من الهجمات، يقوم المحتال بانتحال شخصيّة جهة موثوقة، مثل البنك أو شركة اتّصالات.
أحد الأمثلة الواقعيّة حدثت لشخص أعرف، حيث تلقَّى اتصالا من شخص يدّعي أنه موظّف في البنك، حيث أبلغه بأن هناك مشكلات في حسابه المصرفي ويحتاج إلى تأكيد بياناته الشّخصيّة ورقم البطاقة.
بعد أن وثق بالمتصل، قام الشخص بإعطاء معلوماته كاملة، ما أدى إلى سرقة أمواله من حسابه المصرفي.
5. هجوم الصندوق الخيري الوهمي
خلال الأزمات والكوارث، غالبا ما تنشط حملات تبرُّع وهمية تعتمد على استغلال مشاعر التّعاطف.
على سبيل المثال، بعد الكوارث الطبيعية، يُنشئ المهاجمون مواقع وصفحات وهميّة تدعي أنها لجمع التبرّعات للضّحايا.
يتفاعل النّاس بسرعة تحت تأثير العاطفة ويرسلون تبرعاتهم عبر هذه المواقع، لكنها في الواقع تذهب مباشرة إلى جيوب المهاجمين.
هذه الأمثلة الواقعية تُظهِر كيف يمكن للهندسة الاجتماعيّة أن تحدث في أي وقت، وبطرق مختلفة وتجعلك تفهم أن الثّقة العمياء والتسرُّع يمكن أن يكونا سببا في الوقوع ضحية لهذه الهجمات.
كيف أحمي نفسي من الهندسة الاجتماعيّة
لحماية نفسك من هجمات الهندسة الاجتماعية، يمكنك اتباع النصائح التالية:
كن واعيا: كن حذرا عند التّعامل مع الرّسائل الإلكترونية أو المكالمات الهاتفية التي تطلب معلومات شخصية.
تحقق من المصدر: تأكَّد من صحّة أيّ طلبات معلومات من خلال الاتصال بالجهة مباشرة، على سبيل المثال:
- عنوان البريد الإلكتروني لمرسل الرّسالة
- نطاق الموقع الإلكتروني
- الرّقم الهاتفي للمتَّصِل
استخدم المصادقة الثنائية: قم بتفعيل خيارات الأمان الإضافيّة مثل المصادقة الثّنائيّة على حساباتك، على سبيل المثال يُمكنك تأمين حساب جوجل بخطوتَين.
تجنب مشاركة المعلومات الشخصية: لا تشارك معلوماتك الشخصية على الإنترنت دون ضرورة، واعلم أنّ المختَرِق صبور، ويُمكن أن يبدأ في جمع المعلومات عنك من هنا وهناك بمرور الوقت، يوم، شهر، سنة أو أكثر.
تثقيف نفسك: تابع الأخبار والتوجيهات حول أساليب الهندسة الاجتماعية.
علامات اختراق الهندسة الاجتماعيّة
للكشف عن اختراق باستخدام أسلوب الهندسة الاجتماعية، راقب العلامات التالية:
- تغييرات غير مألوفة: لاحظ أي تغييرات غير معتادة في حساباتك، مثل رسائل غير مرسلة منك أو تغييرات في الإعدادات.
- تنبيهات غير معتادة: تحقق من رسائل تنبيه غريبة من منصات التواصل أو البريد الإلكتروني، مثلا من مشاركات لم تقم بنشرها أو إشعار تفاعلات لم تقم بها.
- مكالمات مشبوهة: إذا تلقيت مكالمات تطلب معلومات حساسة، فقد تكون علامة على هجوم، على سبيل المثال، يتّصل بك شخص ويقول لك نحن من القصر الملكي.
- مشاكل في تسجيل الدخول: عدم القدرة على الوصول إلى حساباتك أو تلقي تنبيهات تسجيل دخول غير مألوفة.
إذا لاحظت أيًا من هذه العلامات، فمن المهم اتخاذ إجراءات فورية، مثل تغيير كلمات المرور أو التّواصل معي في حال كنت تبحث عن مساعدة خاصّة.
بالمناسبة، هل شاهت فيلم أمسك بي إن استطعت؟ القصّة الواقعية ببطولة ليوناردو دي كابريو حيث جاء بدور فرانك ابيجنايل أكثر شخص مشهور بسبب الهندسة الاجتماعيّة، أدعوك لمشاهدته، وهذه المقدّمة الخاصّة به:
في ختام هذا الموضوع، أدعوكم للتفكير بجدية في مخاطر الهندسة الاجتماعية وضرورة تعزيز الوعي الأمني، وتأكدوا من اتخاذ الخطوات اللازمة لحماية أنفسكم ومعلوماتكم الشخصية.
إذا كانت لديكم أي استفسارات أو تحتاجون إلى مزيد من المساعدة، لا تترددوا في طرحها في منتدى الدعم العربي.
ليست هناك تعليقات
إرسال تعليق
شارك رأيك مع مدوّنة الدّعم العَربي! يرجى الالتزام بقواعد التعليقات. التعليقات التي تحتوي على إساءة أو تشهير أو دعاية أو محتوى مسيء لن يتم نشرها بعد المراجعة اليدويّة.