ما هي هجمات الهندسة الاجتماعية؟
الهندسة الاجتماعية هي أسلوب من أساليب الاحتيال السيبراني، يهدف إلى خداع الأشخاص وجعلهم يقدمون معلومات حساسة عن غير قصد، مثل كلمات المرور، أو بيانات البطاقات البنكية، أو حتى فتح أبواب وصول للأنظمة الداخلية.
ويتم ذلك غالباً من خلال التلاعب النفسي وادعاء الثقة، أو عبر وسائط مثل البريد الإلكتروني، الرسائل النصية، المكالمات الهاتفية، أو حتى لقاءات مباشرة.
طرق الهندسة الاجتماعية وأشكالها

بالرغم من أن الهندسة الاجتماعية هي مجموعة من الممارسات التي تهدف للتضليل بالأشخاص وسرقة بياناتهم. إلا أن الهجمات العديدة على مر التاريخ أثبتت أن الهجمات الاجتماعية عموماً يمكن أن تُصنف وفق مسارات محددة، تبعاً للأسلوب الذي يعتمده المهاجمون في تضليل الضحايا وخداعهم. وهي كالآتي:
1. التصيد الاحتيالي (phishing)
يتضمن التصيد الاحتيالي التواصل مع المستخدمين الضحايا سواء من خلال رسائل البريد الالكتروني، الاتصال الهاتفي، أو الرسائل النصية. بهدف خداع الضحية وإكسابها الثقة الكافية في المهاجم للإدلاء ببياناتها الشخصية.
2. الذريعة (Pretexting)
وتتم الذريعة من خلال انتحال المهاجم شخصية موثوقة بالنسبة للضحية، كالبنك الخاص به، أو رئيسه الأعلى في العمل. ودعم موقفه بجمع معلومات عن الشخص أو المؤسسة التي تم انتحال شخصيتها، بهدف جعل الموقف أكثر إقناعاً. ومن ثم يتبع المهاجم نظام المهارة الاجتماعية والأساليب المقنعة، لجعل الضحية يدلي بالمعلومات المطلوبة منه.
3. الاحتيال (rogue)
في هذا النوع من الهندسة الاجتماعية يخدع المهاجم الضحايا ويدفعهم لشراء برامج مزيفة تحمل برمجيات خبيثة منها برامج الفدية. والتي تمنع المستخدم من الوصول إلى بياناته ما لم يدفع فدية للمهاجم، وقد تكون المبالغ المطلوبة كبيرة جداً.
4. التصيد بالرمح (Spear Phishing)
التصيد بالرمح هو استراتيجية يتظاهر فيها المهاجم بأنه صديق، أو زميل للشخص الذي تم استهدافه. وذلك بهدف الحصول على معلومات شخصية حساسة. وتُعد هذه الطريقة من آليات الهندسة الاجتماعية المتقدمة. حيث يقوم المحتال بعملية بحث دقيقة عن الضحايا المحتملين والتفاصيل المرتبطة بهم.
ويقوم من بعدها بتقديم معلومات وأسماء موثوقة للضحية، والذي بمجرد أن يعتقد بأنه يعرف هذا الشخص سيرسل رسائل البريد الالكتروني إليه، أو سينقر على الرابط المضمن في الرسالة، أو غير ذلك. وسرعان ما سيتم اختراق بيانته من خلال البرمجيات الخبيثة أو الوصول المباشر.
5. التزييف العميق (Deepfakes)
هو عبارة عن فيديو أو صوت يتم إنشاؤه باستخدام الذكاء الاصطناعي من خلال تقنيات التعبير الشخصية الذكية مثل التعلم العميق. حيث يخلق المهاجم مقاطع فيديو أو صور مزيفة تظهر شخصيات واقعية بشكل مقنع، ويهدد الضحايا باحتجاز ذويهم على سبيل المثال.
هذه الأساليب تستخدم لتضليل الأفراد وإقناعهم بأن الوسائط المزيفة هي حقيقية، مما يزيد من فرص نجاح الهجمات الإلكترونية واختراق الأنظمة الأمنية.
لماذا تعد هجمات الهندسة الاجتماعية خطرة إلى هذا الحد؟
ونظراً لأن هذا النوع من الهجوم ليس ثغرة أمنية يمكن تغطيتها، فهو يعتبر من أخطر أنواع الهجمات السيبرانية عندما يقوم به المهاجمون، ومن أصعب التحديات التي تواجهها منظمات الأمن السيبراني.
حيث يعتمد هذا النوع من الهجوم على الضحايا الأقل إدراكاً، وبالتالي تعتمد عملية التصدي لهذا الهجوم على نشر الحملات التوعوية، والتي قد لا تصل للجميع في عالم الإنترنت الواسع.
كما أن المهاجمون في هذا النوع لا يسيرون على نهج واضح، ولا يمكن التنبؤ بأساليبهم الأخرى المتبعة لتضليل الضحية. خصوصاً وأن الذكاء الاصطناعي في عالمنا الحالي بات بالنسبة لهم وسيلة لصياغة نصوص أكثر إقناعاً من ذي قبل.
ذلك بالإضافة إلى كمية الخسائر المادية التي تسببها للشركات والمؤسسات، نتيجة لتسريب بيانات الشركة ومعلومات العملاء، وسرقة أموال الطرفين. وبحسب تقرير ل IBM في عام 2023 ، تبلغ خسائر هجوم الهندسة الاجتماعية ما يقارب 4.76 مليون دولار.
ما الدليل على أن الرسالة التي وصلتني هي عبارة عن هجوم هندسة اجتماعية؟
بدايةً، بالرغم من كون الهندسة الاجتماعية من أصعب التحديات التي تواجه الأفراد والشركات. إلا أن الوعي بخطورة هذا النوع من الهجمات، والترصد لها يعد أول خطوة في سبيل الحماية منها.
أما الخطوة التالية فهي معرفة الأخطاء التي يقع فيها المهاجمون، والتي تشير إلى وجود هجمة هندسة اجتماعية. إليك بعضاً منها:
1. الأخطاء الإملائية والنحوية في الرسائل
تحتوي أغلب رسائل التصيد الاحتيالي سواء الرسائل العادية، أو رسائل البريد الإلكتروني، على أخطاء املائية ونحوية ملحوظة.
2. الطلبات شديدة الإلحاح
غالباً ما تكون رسائل الهجمات الإلكترونية فيها نوع كبير من الإلحاح لكيلا يحصل الضحية على فرصة للتفكير في إعطاء المعلومات أو عدم إعطائها. ولذلك احذر أي رسالة شديدة الإلحاح، خصوصاً إذا كانت تحمل اسم شخص تعرفه.
3. الروابط المشبوهة
دائماً تحوي رسائل هجمات الهندسة الاجتماعية روابط تساعد المهاجم عند الضغط عليها من قبل الضحية، في الوصول إلى جهاز الضحية وانتزاع البيانات الشخصية عبر غرس البرامج الخبيثة في الروابط، والتي تساعد في إجراء هذه العملية.
4. المرفقات غير المتوقعة
غالباً ما تحوي رسائل التصيد والهجمات الإلكترونية رسائل غريبة المحتوى، كوجود ملف PDF في رسالة من صديق. احذر تنزيل أي ملف أو مرفق مشبوه.
إذاً، يمكن تلخيص العلامات التحذيرية لهجمات الهندسة الاجتماعية في النقاط التالية:
- وجود أخطاء إملائية أو لغوية في الرسائل.
- استخدام نبرة إلحاح شديدة تطلب منك اتخاذ إجراء فوري.
- وجود روابط أو مرفقات مشبوهة وغير متوقعة.
- استخدام أسماء جهات أو شخصيات مألوفة بطريقة غير معتادة.
تصاعد وتطور هجمات الهندسة الاجتماعية
تشير بيانات من تقارير مثل Vade وProofpoint إلى ارتفاع كبير في هجمات التصيد وهجمات البريد الإلكتروني. على سبيل المثال:
- ارتفعت هجمات التصيد الاحتيالي بنسبة 173% في الربع الثالث من عام 2023.
- استهدفت 45% من هذه الهجمات الولايات المتحدة، بينما كانت شركات التكنولوجيا هدفًا رئيسيًا بنسبة 22%.
- تعرضت Google وAmazon وMicrosoft لزيادات كبيرة في عدد الهجمات بلغت حتى 600% في بعض الحالات.
كيفية الوقاية من هجمات الهندسة الاجتماعية
إن أبرز الطرق التي تتبعها الشركات والمؤسسات للحماية من هذه الهجمات هي:
- رفع الوعي الأمني: تدريب الموظفين على التعرف على الهجمات وتجنبها.
- التحقق المزدوج: التأكد من صحة المرسل قبل الرد أو فتح أي مرفق.
- تحديث البرمجيات والحماية: استخدام برامج حديثة لمكافحة الفيروسات وبرمجيات الفدية.
- تشفير البيانات: تأمين البيانات الحساسة سواء المخزنة أو المرسلة.
- تطبيق سياسة الوصول الأقل Privileged Access: تقليل صلاحيات الوصول للمستخدمين حسب الحاجة فقط.
- التحقق من الروابط والمرفقات: استخدم أدوات فحص الروابط قبل النقر عليها.
- تبني تقنيات الكشف عن التزييف العميق: خاصة في المؤسسات الكبرى.
تشكل هجمات الهندسة الاجتماعية تهديداً متصاعداً للأمن السيبراني، ليس فقط بسبب تطورها التقني بل أيضاً لاعتمادها على عامل لا يمكن تحديثه ببرمجيات البشر. ولأن هذه الهجمات لا تُخترق بجدار ناري، بل بكلمة مدسوسة، فإن أقوى دفاع ضدها يبدأ من الوعي. التدريب، اليقظة، والثقافة الأمنية ليست رفاهية، بل ضرورة في عالم لا يرحم الأخطاء.
أمثلة مشهورة لمهندسين اجتماعيين
خلال عقد كامل من الهندسة الاجتماعية ومخاطرها، قمنا بجمع أشهر المهندسين الاجتماعيين الذين قامو بالاحتيال على أفراد أو شركات مستخدمين هذه التقنية:
- فرانك أباغنيل (Frank Abagnale): محتال سابق ألهم فيلم Catch Me If You Can، أبدع في انتحال الشخصيات.
- كيفن ميتنيك (Kevin Mitnick): أحد أبرز القراصنة الذين استخدموا الهندسة الاجتماعية لاختراق شركات كبرى مثل نوكيا وموتورولا.
- سوزان هيدلي (Susan Headley): خبيرة اختراق باستخدام انتحال الهوية والمكالمات الهاتفية.
- جيمس لينتون (James Linton): اشتهر باختراق حسابات كبار السياسيين ورجال الأعمال عن طريق تقنيات التلاعب الاجتماعي.
- كريستوفر ج. هادناجي (Christopher J. Hadnagy): خبير معتمد ومؤلف في مجال الهندسة الاجتماعية، أسس شركة تدريب وحماية.
- الأخوان بادر (Badir Brothers): نفذوا عمليات احتيال إلكترونية باستخدام تقنيات متقدمة في التضليل والهندسة النفسية.
أبرز الشركات التي تعرضت لهجمات هندسة اجتماعية
فيما يلي، وللتأكيد على مستوى الخطر الذي يسببه هذا النوع من الاحتيال الإلكتروني، جمعنا لك قائمة تشمل أبرز الشركات والأفراد المعروفين الذين تعرضوا لـ هجمات الهندسة الاجتماعية..
1. Twitter (2020) – أكبر اختراق اجتماعي لشركة تكنولوجية
تمكن مهاجمون من تنفيذ هجوم هندسة اجتماعية ضد موظفي Twitter، مما منحهم وصولًا داخليًا واسع النطاق. استُخدمت هذه الثغرة لنشر تغريدات احتيالية من حسابات شخصيات شهيرة مثل إيلون ماسك، باراك أوباما، وجيف بيزوس، تطلب تحويلات بيتكوين. وقد اعتمد الهجوم على خداع موظفي الدعم الفني للحصول على بيانات الدخول.
2. Target (2013) – سلسلة اختراق بدأت بالهندسة الاجتماعية
تعرضت شركة Target الأمريكية لهجوم ضخم أدى إلى تسريب بيانات أكثر من 40 مليون بطاقة ائتمان. بدأ الهجوم من خلال شركة مقاولات صغيرة مرتبطة بـ Target، حيث خُدع أحد موظفيها برسالة تصيّد، ما أدى إلى تسلل المهاجمين إلى شبكة Target. كما أن تكلفة الهجوم تجاوزت 300 مليون دولار.
3. Snapchat (2016) – خداع موظف لإرسال بيانات مالية
تلقى موظف في Snapchat رسالة بريد إلكتروني تُظهر أن مصدرها المدير التنفيذي، وطلب فيها “معلومات مالية حساسة”. الموظف لم يشك في الأمر وأرسل فعليًا بيانات الرواتب والمعلومات الشخصية لموظفي الشركة. هذا الهجوم يُعرف بأسلوب Business Email Compromise (BEC).
4. Sony Pictures (2014) – الهندسة الاجتماعية كمدخل لاختراق واسع
قبل الهجوم الكاسح الذي دمّر البنية التحتية لـ Sony وسرّب أفلام وبيانات حساسة، استُخدمت هجمات تصيد مستهدفة للحصول على بيانات دخول داخلية. كما أن الهجوم نُسب لاحقاً إلى مجموعة Lazarus المرتبطة بكوريا الشمالية.
5. Matt Honan (2012) – صحفي تقني في Wired
تعرض Matt لاختراق شامل لحساباته على Google وApple وTwitter بسبب هجوم هندسة اجتماعية عبر الهاتف على الدعم الفني لشركة Apple. تم خداع الموظف للحصول على معلومات استرداد الحسابات. وكانت النتيجة فقدان بيانات شخصية وصور عائلية.
6. RSA Security (2011) – التصيد المستهدف على شركة أمنية!
تعرضت شركة RSA، وهي من أبرز شركات الأمن السيبراني، لهجوم تصيّد عبر ملف Excel خبيث مرسَل إلى موظفين. فتح أحدهم الملف، ما سمح للمهاجمين بالتسلل إلى شبكة الشركة وسرقة بيانات حساسة حول منتجاتها الأمنية. والمريب هنا أن شركة متخصصة بالأمن ضُربت عبر “أضعف حلقة” وهي الموظف.
الهندسة الاجتماعية تعود إلى أعلى قائمة التهديدات
وتشير الإحصائيات حسب تقرير أجرته CS Hub إلى أن 75٪ من خبراء الأمان يعتبرون هجمات الهندسة الاجتماعية والتصيد الاحتيالي أحد أخطر التهديدات التي تواجهها المؤسسات في مجال الأمن السيبراني، حيث تعتمد الهندسة الاجتماعية بشكل كبير على استغلال الخطأ البشري بدلاً من الثغرات البرمجية، مما يجعل من المهم جداً توعية الموظفين وتدريبهم على كيفية التعامل مع هذه التهديدات.
من الضروري أيضاً أن تكون هناك آليات داخل المؤسسات للكشف عن هذه الهجمات والتصدي لخطر هجمات الهندسة الاجتماعية والتعامل معها بفعالية عند حدوثها.
وبالنظر إلى تطور هذه الهجمات الخاصة بالهندسة الاجتماعية ، ينبغي على المؤسسات أن تتخذ إجراءات وقائية قوية للحماية ضد التزوير العميق لحظر هجمات الهندسة الاجتماعية من خلال إجراءات تعزيز التوعية الأمنية بين الموظفين. بالإضافة إلى تبني سياسات صارمة لحماية البيانات، واستخدام تقنيات متقدمة مثل تقنيات الكشف عن التزوير العميق.
كما يجب اتباع آليات خاصة لتشفير البيانات الحساسة. حيث يمكن لهذه الإجرائيات أن تحافظ على سلامة المؤسسة وتقلل من تعرضها للتهديدات السيبرانية.
في نهاية المطاف، من خلال الاستمرار في تحسين الاستعداد وتطوير السياسات والتدابير الأمنية، بحيث يمكننا مواجهة التحديات المتزايدة لهجمات الهندسة الاجتماعية بفعالية وحماية بياناتنا ومعلوماتنا من التهديدات السيبرانية المستمرة، وذلك بهدف مكافحة هجمات الهندسة الاجتماعية .
الأسئلة الشائعة:
ما هي أنواع هجمات الهندسة الاجتماعية؟
تشمل: التصيد الاحتيالي (Phishing)، التصيد بالرمح (Spear Phishing)، الهندسة الصوتية (Vishing)، والتصيد عبر الرسائل النصية (Smishing)، وهجمات انتحال الهوية.
ما هي مخاطر الهندسة الاجتماعية؟
مخاطر الهندسة الاجتماعية تشمل سرقة البيانات، اختراق الأنظمة، الابتزاز الإلكتروني، وخسائر مالية وتنظيمية فادحة.
كم عدد الهجمات الإلكترونية التي تنطوي على الهندسة الاجتماعية؟
نسبة الهجمات الإلكترونية التي تتضمن الهندسة الاجتماعية تتجاوز 90% من الهجمات الناجحة حسب تقارير الأمن السيبراني.
ما هي أنواع الهندسة الاجتماعية؟
أنواع الهندسة الاجتماعية تُصنف إلى هجمات رقمية (مثل التصيد) وهجمات مادية (مثل التسلل الفعلي للمرافق أو التنكر الميداني).