الهندسة الاجتماعية (Social Engineering)
المعلوماتية >>>> اتصالات وشبكات
بسبب التطورات في تكنولوجيا الاتصالات الرقمية؛ أصبح التواصل بين المجتمعات ليس فقط أسهل وأسرع، بل وجعل المعلومات الشخصية -التي قد تكون حساسة في بعض الأحيان- متاحة عبر الإنترنت من خلال شبكات التواصل الاجتماعي والكثير من الخدمات الأخرى التي تفتقر التدابير الأمنية اللازمة لحماية هذه المعلومات.
أنظمة الاتصال غير حصينة تمامًا ويمكن اختراقها بسهولة عن طريق هجمات تعتمد على مبدأ الهندسة الاجتماعية (Social Engineering)، تهدف هذه الهجمات إلى خداع الأفراد أو المؤسسات لأداء أعمال تفيد المهاجمين أو تزوّدهم ببيانات حساسة؛ مثل رقم الضمان الاجتماعي والسجلات الصحية وكلمات المرور.
تُعدّ الهندسة الاجتماعية من أكبر التحديات التي تواجه أمن الشبكات لأنها تستغل الميل البشري الطبيعي للثقة بالآخر (1).
حاليًّا، تُعدّ هجمات الهندسة الاجتماعية من أكبر التهديدات التي تواجه الأمن السيبراني؛ إذ يمكن اكتشافها ولكن لا يمكن إيقافها (2). يستغلّ المهاجمون الضحايا للحصول على معلومات حساسة؛ التي يمكن استخدامها لأغراض محددة مثل الاختراق أو الابتزاز أو السرقة أو بيعها في السوق السوداء والويب المظلم. ومع ظهور البيانات الكبيرة (Big Data)، استخدم المهاجمون هذه البيانات للاستفادة من البيانات المسروقة لأغراض تجارية (3).
وعلى الرغم من اختلاف هجمات الهندسة الاجتماعية بعضها عن بعض؛ ولكنّ لها نمطًا مشتركًا مع مراحل متشابهة.
يتضمن النمط الشائع لهذه الهجمات أربع مراحل:
يوضح الشكل (1) المراحل المختلفة لهجوم الهندسة الاجتماعية (3).
Image: SYR_RES
إحدى أهم هذه الهجمات وأكثرها خطورة هي هجمات انتحال الشخصية (phishing)، وهي محاولة لسرقة البيانات الخاصة بالضحايا -مثل العنوان ورقم الهوية وتفاصيل بطاقة الائتمان وتفاصيل الحساب المصرفي وكلمات المرور لمواقع التسوق عبر الإنترنت وما إلى ذلك- عن طريق إقناع الضحية بأنّ المهاجم هو جهة موثوقة لمشاركة هذه المعلومات معه، وتستخدم هجمات انتحال الشخصية رسائل البريد الإلكتروني مثلًا أو مواقع ويب مزيفة، وهي تهدف إلى خداع المستخدمين للكشف عن معلومات شخصية أو مالية عن طريق التظاهر بأنهم موقع البنك/ التسوق الموثوق به (4).
مثال عن هجمات البريد الإلكتروني:
إذا افترضنا أنك حصلت على 1024 عنوان بريد إلكتروني لأشخاص مهتمين بتجارة أسهم شركة معينة ونريد إقناعهم بأننا نتوقع مستقبل هذه الأسهم بنسبة 100%؛ فسيكون الهجوم كالآتي:
في اليوم الأول نخبر 512 شخص أنّ قيمة أسهم الشركة ستزيد ونخبر النصف الآخر أنها ستنخفض؛ في هذه الحالة نحن على يقين أننا أخبرنا 512 شخص مستقبلَ السهم قبل حصوله وكسبنا بعض ثقتهم، وفي اليوم التالي نخبر نصفهم أنّ السهم سيرتفع والنصف الاخر أنه سينخفض، وعلى هذه الحال وبعد 10 أيام سيكون لدينا شخصًا قد وصله 10 توقعات صحيحة وأصبح يثق بتوقعاتنا.
الآن يمكننا أن نحصل على أيّة معلومة نحتاجها بنسبة نجاح عالية، على سبيل المثال؛ يمكن أن نطلب من المستخدم دفع مبلغ 10,000$ مقابل الاستمرار بإرسال هذه الإيميلات التي تعطي نسبة نجاح 100%.
تدابير وقائية ضد الهندسة الاجتماعية
من الواضح أنه بصرف النظر عن مدى تطور التكنولوجيا لتأمين الشبكات وحمايتها؛ يبدو أنّ العنصر البشري سوف يكون دائمًا نقطة ضعف.
إنّ معدل النجاح في الهجمات وعدد الجرائم الإلكترونية في ارتفاع مطّرد بسبب مستوى إخفاء الهوية الذي تقدّمه الهندسة الاجتماعية للجهات الخبيثة. يجب أن تدرك الشركات التهديداتِ المختلفة والعددَ الكبير من الهجمات حتى يتمكنوا من الرد وفقًا لذلك، هناك ضمانات تقنية وغير تقنية يمكن تنفيذها لتقليل المخاطر المرتبطة بالهندسة الاجتماعية إلى مستوى مقبول يمكن التغاضي عنه.
تضيف الشركات طبقات متعددة إلى أنظمة الأمان بحيث إذا فشلت الآلية في الطبقة الخارجية فإنّ آليةً أخرى في طبقة داخلية واحدة على الأقل يمكن أن تساعد على منع تحول التهديد إلى كارثة (تخفيف المخاطر)، ويُعرَف هذا المفهوم باسم "دفاع متعدد الطبقات" أو "دفاع في العمق" (5).
المصادر:
2- Patel N. Social Engineering as an Evolutionary Threat to Information Security in Healthcare Organization. Indonesian Journal of Health Administration [Internet]. 2020 [cited 30 May 2021];8(1):56-64. Available from: هنا
3- Salahdine F, Kaabouch N. Social Engineering Attacks: A Survey. Future Internet [Internet]. 2019 [cited 15 May 2021];11(4):89. Available from: هنا;
Kathrine G, Praise P, Rose A, Kalaivani E. Variants of phishing attacks and their detection techniques. 2019 3rd International Conference on Trends in Electronics and Informatics (ICOEI) [Internet]. 2019 [cited 30 May 2021];:255-259. Available from: هنا
Conteh NY, Schmick PJ. Cybersecurity: risks, vulnerabilities and countermeasures to prevent social engineering attacks. International Journal of Advanced Computer Research [Internet]. 2016 [cited 30 May 2021];6(23):31-38. Available from: هنا.