الهندسة الاجتماعية: إلى أي حد هي خطرة؟ وكيف يمكنك حماية نفسك منها؟ - صفحات

الهندسة الاجتماعية: إلى أي حد هي خطرة؟ وكيف يمكنك حماية نفسك منها؟

يمكننا القول أن الهندسة الاجتماعية (Social Engineering) تعيش أيامها الذهبية! فقد سهّل الذعر من الوباء واليأس مع تنامي المخاوف بشأن الدخل والقلق بشأن الصحة على المجرمين مهمة استهداف ضحايا جُدد.

تعني الهندسة الاجتماعية، ببساطة، "اختراق" المستخدم بدلاً من نظام الحوسبة نفسه، ومحاولة استخلاص المعلومات أو حثّ المستخدم على إجراء من شأنه أن يؤدي إلى كشفها. وهي طريقة قديمة قدم الكذب ذاته، غير أنها حملت اسمًا جديدًا يناسب عصر الحوسبة الذي نعيشه اليوم.

يعلم محترفو أمن المعلومات، أن أساليب المخترقين لا نهائية. وفيما يلي بعض الأساليب التي يراها خبراء الهندسة الاجتماعية آخذة في الارتفاع في عام 2021.

 

1. رموز الاستجابة السريعة (QR:Quick Response) الخبيثة

ظهر الاحتيال عبر هذه الطريقة على السطح خلال العام الماضي.

أصبحت رموز QR طريقة شائعة -بشكل متزايد- للشركات للتفاعل مع المستهلكين وتقديم الخدمات في خضم الجائحة. على سبيل المثال: تخلت العديد من المطاعم عن قوائم الطعام المطبوعة، فاسحةً المجال أمام عملائها لمسح رمز الاستجابة السريعة باستخدام هواتفهم الذكية.

لكن العديد من مواقع الويب التي ترسل رموز QR تتيح لباعة "خارجيين" الاستفادة من خدماتها. هذا يعني أنه يمكن للمحتالين استخدام رمز QR مشبوه لتحويل الهواتف إلى وجهة ضارة (تمامًا مثل النقر على رابط مشبوه، نفس المفهوم .. إنما بأسلوب معاصر!)

يقول أوز ألاشي (Oz Alashe)، الرئيس التنفيذي لشركة CybSafe الأمنية التي تتخذ من المملكة المتحدة مقراً لها، أنه سمع عن إغراق بعض الأحياء بمطويات تتضمن رموزًا احتيالية تتضمن العبارة التالية "امسح رمز QR هذا لتحصل على فرصة الفوز بجهاز Xbox".

ويعقّب:

"غالبًا ما يؤدي مسح الرمز إلى موقع مخادع يقوم بتنزيل البرامج الضارة على هواتف الضحايا".

 

2. اختطاف (إخطارات المتصفح -  Browser notifications)

على مدار السنين الماضية، طلبت مواقع الويب من زوارها الموافقة على "الإخطارات" من الموقع. وما كان طريقة مفيدة للتفاعل مع القراء وإبقائهم على اطلاع دائم هو الآن، بالطبع، أداة هندسة اجتماعية.

المشكلة أن العديد من المستخدمين ينقرون تلقائيًا على"نعم" للسماح بهذه الإشعارات. ورغم أن امتلاك العديد من المستخدمين مستوى معينًا من الحذر حيال متصفحات الويب، فإن الإشعارات المذكورة تبدو أشبه برسائل النظام من الجهاز نفسه، لا المتصفح.

حتى بالنسبة للمستخدمين الذين لا يقعون في هذا الفخ بسهولة، يجد المخترقون طرقًا لتثبيت برمجياتهم الخبيثة ضمن الإشعارات. تتضمن تلك الطرق: تمويه الموافقة بشكل يبدو شرعيًا، مثل طلب إجراء اختبار كاباتشا CAPTCHA قبل الموافقة على الاشتراك، أو تبديل مواضع زري "القبول" و "الرفض" في التنبيهات.

بمجرد حصول المحتال على موافقة (غير مشروعة) من المستخدم، يبدأ في إغراقه بالرسائل (وعادة ما تكون الرسائل عبارة عن نُظم تصيد احتيالي، أو إشعارات احتيال تحتوي على برامج ضارة).

 

3. الاحتيال عبر (طلبات التعاون)

يقول ألاشي، من خلال أسلوب الهندسة الاجتماعية هذا، يستهدف مجرمو الإنترنت المتخصصين في المجالات التشاركية، بما في ذلك المصممين والمطورين وحتى الباحثين في مجال الأمن. الطُعم: دعوة للتعاون ضمن مشروع جديد.

أدت عمليات الحظر الأخيرة وتوسع نطاقات العمل من المنزل إلى زيادة الارتياح لمفهوم التعاون عن بُعد، لذا فآثر هذه الخدعة يتعاظم حاليًا.

مثال: يرسل ممثلو التهديد مشروع Visual Studio يحتوي على تعليمات برمجية ضارة. يقوم المستخدم بتشغيل البرنامج بنفسه، فتُصاب أجهزته بسرعة كبيرة.
يستغل هذا الهجوم بشكل أساسي الرغبة/الحاجة لمساعدة الآخرين.

 

يقول تسوري بار يوشاي (Tzury Bar Yochay)، الشريك المؤسس والمدير التنفيذي للتكنولوجيا في شركة Reblaze للحلول الأمنية، إن الأمثلة على هذا الهجوم تُظهر اهتمامًا كبيرًا بالتفاصيل.

"يتظاهر المخترقون بأنهم باحثون نشيطون وينشؤون دليلًا اجتماعيًا، أخذين بعين الاعاتبار تحقق الطرف الآخر من خلفيتهم، فيستخدمون مدونة تتضمن مقالات من مصادر موثوقة مثل "تدوينات استضافية - Guest posts"، وحسابات تويتر، ومقاطع فيديو على اليوتيوب، ولينكدإن، وغيرها. الأمر الذي يُخفف من ارتياب (الهدف) من خلال هذه البصمة الاجتماعية الواسعة على ما يبدو."

4. انتحال صفة (شريك لسلسلة توريد)

يقول جورج غيرشو (George Gerchow)، مسؤول منظمات المجتمع المدني في Sumo Logic، إن الهجمات التي تستغل أجزاء من سلسلة التوريد الخاصة بالمؤسسات باتت الآن مشكلة كبيرة.

"على سبيل المثال، كان هناك عدد كبير من رسائل البريد الإلكتروني المستهدفة التي قد تبدو وكأنها من شركائك الموثوق بهم، ولكنها في الواقع جهات اختراق تنتحل صفة موظفين قد تعرفهم داخل شبكتك."

ويذكر أن ذلك حدث معه شخصيًا:

انتبهت إلى هذه الحيلة عندما لاحظت عروض بطاقات هدايا احتيالية تم تقديمها لموظفي Sumo Logic، مقنَّعة كحوافز أو شكر من شركاء الأعمال الحقيقيين للشركة.

يعد الهجوم الذي تصدر العناوين الرئيسية (على SolarWinds) مثالاً مخيفًا على هذا الأسلوب:
حيث أُطلق إصدار محدد من هجوم اختراق البريد الإلكتروني للبائع (VEC). فتسبب في اختراق حساب بريد إلكتروني واستخدامه للوصول إلى حسابات موظفي SolarWinds المستهدفين في الأدوار الفنية والتقنية.

 

5. التزييف العميق (Deepfake) 

يستخدم المهندسون الاجتماعيون الآن تقنية التزييف العميق -تسجيلات واقعية بشكل مذهل تستخدم الذكاء الاصطناعي لمحاكاة مظهر/صوت شخص معين- لخداع الضحايا.

ظهر أحد أقدم الأمثلة الناجحة عام 2019، عندما اُستخدم تسجيل مزيف لصوت رئيس تنفيذي لتوجيه الموظف لتحويل المال إلى حساب مصرفي دولي. إذ تُرك التسجيل كبريد صوتي للمرؤوس، الذي أطاع تعليمات المحتال وقدّم له 243,000$ على طبقٍ من فضّة.

 

6. الاحتيال عبر الرسائل النصية

يفضل جزء كبير منّا التواصل عبر الرسائل النصية (من خلال الواتسآب وغيره) بدلاً من الاتصال الهاتفي. المشكلة أننا اعتدنا الآن على توصيل أنواع سرية للغاية من المعلومات عبر تلك الرسائل.
ونظرًا لأن قطاع البقالة وتوصيل الطعام قد نما في العام الماضي، فقد ارتفعت الرسائل الاحتيالية المتعلقة بالتسليم. تشمل الأنواع الشائعة الأخرى: النصوص التي تعد بمعلومات حول فحوصات كوفيد-19 التي تربط الضحايا بموقع ويب يشبه المواقع الحكومية ويطلب معلومات شخصية حساسة (مثل تاريخ الميلاد ورقم الضمان الاجتماعي).

لاحظ خبراء رسائل نصية خادعة ينتحل فيها المحتالون صفة وزارة الصحة ويخبرون الضحايا أنه يجب عليهم إجراء "اختبار كوفيد-19 إلزامي عبر الإنترنت" عبر رابط مشبوه. بعد ذلك، وعلى غرار عمليات الاحتيال الأخرى، يُطلب من الضحايا معلوماتهم الشخصية وغالبًا ما يتم تحميل البرامج الضارة على أجهزتهم.

كما هو الحال مع رموز QR [الأسلوب الأول]، لم يطور الضحايا ببساطة مستوى الوعي والحذر اللازمين.

7. أسماء النطاقات (الشبيهة)

ينتحل المحتالون هنا أسماء النطاقات المشروعة لخداع الضحايا ليعتقدوا أنهم في مكان آمن.

ويفعلون ذلك بعدّة طرق، بما في ذلك الاعتماد على كتابة اسم النطاق مع خطأ إملائي (مثل: Gooogle بدلاً من Google) أو إضافة نطاق مستوى أعلى مختلف (.uk بدلاً من .co.uk).
على عكس (مواقع الاحتيال) التي غالبًا ما كانت مكشوفة -إلى حدٍ كبير- من الماضي، قد تتميز هذه المواقع اليوم بتصميمات متطورة وتقليد مُتقن للمواقع الأصلية الحقيقية.

لا يستخدم المخترقون هذه المواقع لنشر برامج ضارة فحسب، ولكن أيضًا لجمع معلومات بطاقة الائتمان أو غيرها من البيانات الحساسة من خلال حقول تسجيل الدخول المزيفة أو النماذج المزيفة الأخرى.

ترجمة -بتصرف- لمقالة: 7 new social engineering tactics threat actors are using now

التعليقات

يجب تسجيل الدخول أو التسجيل لتتمكّن من التعليق