يعرف المهندسون الاجتماعيون الأزرار التي يجب الضغط عليها لإجبارك على القيام بما يريدونه. وتنجح تقنياتهم التقليدية بالفعل. لذا كان من المحتم أن يطبق مجرمو الإنترنت هذه التقنيات على الجرائم الإلكترونية.
كيف تعمل الهندسة الاجتماعية
منذ الولادة، يتم برمجتنا على أن نكون مفيدين ومهذبين. فإذا طرح عليك شخص سؤالاً، فإنك تحتاج إلى بذل جهد واعٍ لعدم الإجابة عليه ـ وخاصة إذا بدا السؤال غير ضار. وهذا أحد السلوكيات التي يتلاعب بها المهندسون الاجتماعيون لتحقيق ما يريدون. فهم يفعلون ذلك بمهارة وبطء، فيستخرجون المعلومات من ضحيتهم قطعة قطعة. وسوف يخلطون الأسئلة غير الضارة بالأسئلة التي تدفعك إلى الكشف عما يريدون معرفته.
إن الهندسة الاجتماعية تعمل عن طريق التلاعب بالناس باستخدام تقنيات تستغل السمات البشرية الأساسية. ويمكن للمهندسين الاجتماعيين المهرة أن يجعلوك تشعر بالتعاطف معهم أو مع موقفهم المفتعل. ويمكنهم أن يجعلوك ترغب في ثني القواعد، ولو لمرة واحدة فقط، إما لأنك تتعاطف معهم وترغب في مساعدتهم أو لأنهم مصدر إزعاج وترغب حقًا في إنهاء مكالمتهم الهاتفية. ويمكنهم أن يجعلوك تشعر بالقلق أو الذعر أو الأمل أو الإثارة. ثم يستغلون هذه الاستجابات العاطفية لجعلك تتصرف على عجل، غالبًا لتجنب كارثة مفترضة أو للاستفادة من عرض خاص.
يمكن أن تحدث هجمات الهندسة الاجتماعية من خلال مكالمة هاتفية واحدة. وقد تستمر لفترة من الوقت، حيث تعمل ببطء على تعزيز علاقة زائفة. لكن الهندسة الاجتماعية لا تقتصر على الكلام المنطوق. يتم إرسال أكثر هجمات الهندسة الاجتماعية شيوعًا عبر البريد الإلكتروني.
الشيء الوحيد المشترك بين جميع هجمات الهندسة الاجتماعية هو هدفها. فهي تريد اختراق إجراءاتك الأمنية، مع كونك شريكها غير المتعمد.
اختراق الطبيعة البشرية
لقد اعتاد الناس على استخدام تقنيات الهندسة الاجتماعية منذ وجود المحتالين. يعود تاريخ عملية الاحتيال المعروفة باسم “السجين الإسباني” إلى ثمانينيات القرن السادس عشر. حيث يتلقى أحد الأثرياء خطابًا من شخص يدعي أنه يمثل مالك أرض محتجز بشكل غير قانوني في إسبانيا تحت هوية مزيفة. ولا يمكن الكشف عن هويته الحقيقية لأن هذا من شأنه أن يعرضه هو وابنته الجميلة لخطر أكبر.
إن أملهم الوحيد في النجاة هو رشوة حراسهم. وأي شخص يساهم في صندوق الرشوة سوف يكافأ مرات عديدة عندما يتم إطلاق سراح الأسير ويصبح لديه القدرة على الوصول إلى أصوله المالية الضخمة. وأي شخص يوافق على التبرع يلتقي بالوسيط الذي يجمع التبرع.
سرعان ما يتم الاقتراب من الضحية مرة أخرى. تظهر المزيد من الصعوبات – سيتم إعدام الأسير وابنته، ولم يتبق لدينا سوى أسبوعين! – وبالطبع هناك حاجة إلى المزيد من المال. يتكرر هذا حتى ينزف الضحية تمامًا أو يرفض تسليم المزيد من المال.
إن مثل هذه الاحتيالات تستهدف أشخاصاً مختلفين بطرق مختلفة. فيقع بعض الضحايا في الفخ لأنها تستغل صفاتهم النبيلة مثل اللطف والرحمة والشعور بالعدالة. وبالنسبة لآخرين، فإن العداء المتزايد بين بريطانيا العظمى وإسبانيا من شأنه أن يحفزهم على التصرف. أما آخرون فقد ينتهزون الفرصة لتحقيق ربح سهل.
إن عملية الاحتيال التي تحمل اسم “السجين الإسباني” هي المعادل الإليزابيثي – والسلف المباشر لـ “الأمير النيجيري” وغيره من رسائل البريد الإلكتروني الاحتيالية التي لا تزال تدر الأموال على مجرمي الإنترنت في عام 2021.
يستطيع أغلب الناس اليوم التعرف على هذه الهجمات باعتبارها عمليات احتيال. ولكن أغلب هجمات الهندسة الاجتماعية الحديثة أكثر دهاءً ودهاءً. ولم يتغير نطاق ردود الفعل البشرية تجاه الأحداث العاطفية. وما زلنا مبرمجين بنفس الطريقة، لذا ما زلنا عرضة لهذه الهجمات.
أنواع الهجمات
يريد الفاعل التهديدي منك القيام بشيء يعود بالنفع عليه. قد يكون هدفه جمع بيانات اعتماد الحساب أو تفاصيل بطاقة الائتمان. قد يريد منك تثبيت برامج ضارة عن غير قصد مثل برامج الفدية أو برامج تسجيل المفاتيح أو البرامج الخلفية. قد يريد حتى الوصول الفعلي إلى المبنى الخاص بك.
من السمات المشتركة بين جميع هجمات الهندسة الاجتماعية أنها تحاول توليد شعور بالإلحاح. بطريقة أو بأخرى، يقترب الموعد النهائي. والرسالة الخفية للمتلقي هي “تصرف الآن، لا تتوقف للتفكير”. ويضطر الضحية إلى عدم السماح للكارثة بالوقوع، وعدم تفويت العرض الخاص، أو عدم السماح لشخص آخر بالوقوع في مشكلة.
رسائل البريد الإلكتروني الاحتيالية
تستخدم أكثر هجمات الهندسة الاجتماعية شيوعًا رسائل البريد الإلكتروني الاحتيالية. تبدو هذه الرسائل وكأنها واردة من مصدر موثوق، لكنها في الواقع رسائل مزيفة متخفية تحت ستار الشركة الأصلية. وتقدم بعضها فرصة مثل عرض خاص. وتقدم بعضها الآخر مشكلة تحتاج إلى معالجة، مثل مشكلة قفل الحساب.
من السهل جدًا إعادة تصميم رسائل التصيد الاحتيالي لتتناسب مع أي شيء موجود في الأخبار. لقد منحت جائحة كوفيد-19 في عام 2020 مجرمي الإنترنت الغطاء المثالي لإرسال رسائل تصيد احتيالي بخطوط موضوع جديدة. تم استخدام الأخبار حول الوباء، والوصول إلى أدوات الاختبار، وإمدادات معقم اليدين كخطافات لإيقاع الغافلين. تحتوي رسائل التصيد الاحتيالي إما على رابط إلى موقع ويب ملوث أو مرفق يحتوي على مثبت برامج ضارة.
مكالمات هاتفية
يتم إرسال رسائل البريد الإلكتروني الاحتيالية بالملايين، مع نص عام. عادةً ما يتم تصميم الهندسة الاجتماعية من خلال مكالمة هاتفية لتناسب مؤسسة معينة، لذا يجب على الجهات الفاعلة المهددة إجراء استطلاع للشركة. سوف ينظرون إلى صفحة Meet the Team على الموقع الإلكتروني ويتحققون من ملفات تعريف LinkedIn وTwitter لأعضاء الفريق.
يمكن للمهاجمين إسقاط معلومات مثل من هو خارج المكتب في إجازة، أو يحضر مؤتمرًا، أو يدير فريقًا جديدًا، أو يتم ترقيته، في محادثات هاتفية حتى لا يتساءل المتلقي عما إذا كان المتصل هو حقًا من الدعم الفني، أو من الفندق الذي يقيم فيه فريق المبيعات، وما إلى ذلك.
إن الاتصال بالموظفين والتظاهر بأنهم من فريق الدعم الفني هو حيلة شائعة. والموظفون الجدد أهداف جيدة. فهم يحاولون جاهدين إرضاء العملاء ولا يريدون الوقوع في أي نوع من المشاكل. وإذا اتصل بهم فريق الدعم الفني وسألهم عما إذا كانوا قد حاولوا القيام بشيء لا ينبغي لهم القيام به ـ محاولة الوصول إلى مشاركات الشبكة المميزة على سبيل المثال ـ فقد يبالغ الموظف في التعويض ويصبح راغبًا للغاية في التعاون مع الشركة لتبرئة اسمه.
يمكن للمهندس الاجتماعي أن يستغل هذا الوضع لصالحه، وخلال المحادثة، يمكنه استخراج معلومات كافية من الموظف ليكون قادرًا على اختراق حسابه.
قد يكون الدعم الفني أيضًا هدفًا. حيث يتظاهر المهاجم بأنه أحد كبار الموظفين ويتصل بالدعم الفني ويشكو من وجوده في فندق ولا يمكنه إرسال بريد إلكتروني مهم من حسابه الخاص بالشركة. هناك صفقة ضخمة على المحك والوقت يمضي بسرعة. ويقول إنه سيرسل لقطة شاشة لرسالة الخطأ، باستخدام بريده الإلكتروني الشخصي. يريد مهندس الدعم حل هذه المشكلة في أقرب وقت ممكن. وعندما يصل البريد الإلكتروني، يفتح على الفور المرفق الذي يقوم بتثبيت البرامج الضارة.
يمكن لأي شخص أن يكون متلقيًا لمكالمة هاتفية للهندسة الاجتماعية. ولا يتمتع الدعم الفني بالاحتكار. فهناك مئات من الخيارات التي يمكن للمهاجمين الاختيار من بينها.
الدخول إلى المبنى الخاص بك
سيتظاهر مرتكبو التهديد بأنهم أي شخص تقريبًا للوصول إلى مبناك. لقد تم استخدام سعاة البريد، ومقدمي الطعام، وبائعي الزهور، ومفتشي الحرائق، ومهندسي خدمة المصاعد، ومهندسي الطابعات. قد يصلون بشكل غير متوقع أو قد يتصلون مسبقًا ويحجزون موعدًا. يساعد حجز الموعد في تحديد هوية مرتكب التهديد. في يوم الموعد، تتوقع وصول مهندس طابعات، لكن أحدهم يصل.
بدلاً من القول إنهم سيصلحون الطابعة، فمن المرجح أن يقولوا إنهم يقومون بتحديث البرامج الثابتة الخاصة بها أو مهمة أخرى لا تتطلب أدوات أو قطع غيار. وسوف يكونون مطمئنين للغاية. كل ما يحتاجون إليه هو اتصال بالشبكة أو الدخول إلى أحد أجهزة الكمبيوتر لديك لبضع لحظات. ولن يتم فصل الطابعة حتى عن الإنترنت. وبمجرد وصولهم إلى مقرك وعلى شبكتك، يمكنهم تثبيت أي نوع من البرامج الضارة. وعادةً ما يكون ذلك بابًا خلفيًا يسمح لهم بالوصول عن بُعد إلى شبكتك.
يتطلب نوع آخر من الهجمات إخفاء جهاز صغير في مكان ما. خلف الطابعة يوجد مكان شائع. إنه بعيد عن الأنظار وعادة ما توجد منافذ كهربائية وشبكة احتياطية خلفه. يقوم الجهاز بإنشاء اتصال مشفر يسمى نفق SSH العكسي إلى خادم الجهات الفاعلة في التهديد. الآن يمكن للجهات الفاعلة في التهديد الوصول بسهولة إلى شبكتك متى أرادوا ذلك. يمكن بناء هذه الأجهزة باستخدام Raspberry Pi أو أجهزة كمبيوتر أحادية اللوحة رخيصة أخرى وإخفائها كمصدر للطاقة أو أجهزة غير ضارة مماثلة.
الحماية من الهندسة الاجتماعية
تؤثر الهندسة الاجتماعية على الناس، لذا فإن الدفاع الأساسي هو تدريب الموظفين على الوعي، ووضع سياسات وإجراءات واضحة. يجب أن يشعر الموظفون بالأمان بأنهم لن يتعرضوا للعقوبة بسبب الالتزام بالبروتوكول. تقدم بعض شركات الأمن السيبراني دورات تدريبية وجلسات لعب الأدوار مع مهندسيها الاجتماعيين الداخليين. إن رؤية التقنيات في العمل هي طريقة قوية لإظهار أنه لا أحد محصن.
قم بوضع إجراءات توفر للموظفين إرشادات واضحة حول ما يجب عليهم فعله إذا طُلب منهم مخالفة البروتوكول – بغض النظر عن الشخص الذي يطلب منهم ذلك. على سبيل المثال، لا ينبغي لهم أبدًا إخبار الدعم الفني بكلمة المرور الخاصة بهم.
يجب إجراء عمليات مسح منتظمة للشبكة للعثور على الأجهزة الجديدة التي تم توصيلها بالشبكة. يجب تحديد أي شيء غير مفهوم وفحصه.
لا ينبغي ترك الزوار دون مراقبة مطلقًا، ويجب التحقق من بيانات اعتمادهم عند وصولهم إلى الموقع.