في عالم يتزايد فيه الاعتماد على التكنولوجيا والاتصالات الرقمية، أصبحت مسألة أمن المعلومات أكثر أهمية من أي وقت مضى. تواجه المؤسسات والأفراد تهديدات متزايدة من مختلف الجهات، ومن بين هذه التهديدات، تبرز الهندسة الاجتماعية كأحد أكثر الأساليب فاعلية في اختراق الأنظمة والحصول على المعلومات الحساسة. يهدف هذا المقال إلى تقديم نظرة شاملة ومفصلة عن مفهوم الهندسة الاجتماعية، أساليبها، تأثيرها على أمن المعلومات، وكيفية الوقاية منها.

ما هي الهندسة الاجتماعية؟

الهندسة الاجتماعية هي فن استخدام التلاعب النفسي والتواصل الإنساني للحصول على معلومات حساسة أو الوصول إلى أنظمة محمية. بدلاً من استغلال الثغرات التقنية في الأنظمة الأمنية، تعتمد الهندسة الاجتماعية على استغلال نقاط الضعف البشرية، مثل الثقة، الجهل، والغرور، لتحقيق الأهداف المرجوة.

تعريف الهندسة الاجتماعية

الهندسة الاجتماعية تُعرَّف بأنها استخدام التلاعب النفسي لخداع الأشخاص للكشف عن معلومات سرية أو تنفيذ إجراءات قد تكون ضارة. يمكن أن تتخذ هذه الهجمات أشكالًا مختلفة، بدءًا من المكالمات الهاتفية الخادعة إلى رسائل البريد الإلكتروني الاحتيالية والتفاعلات الشخصية المباشرة.

أنواع الهندسة الاجتماعية

تتنوع أساليب الهندسة الاجتماعية بشكل كبير، ويمكن تصنيفها إلى عدة أنواع رئيسية:

1. الصيد الاحتيالي (Phishing)

الصيد الاحتيالي هو أحد أشهر أساليب الهندسة الاجتماعية، حيث يتم إرسال رسائل بريد إلكتروني تبدو وكأنها من مصادر موثوقة مثل البنوك أو الشركات الكبرى، بهدف خداع المستلم للكشف عن معلومات حساسة مثل كلمات المرور أو بيانات بطاقة الائتمان.

2. الصيد الاحتيالي الصوتي (Vishing)

يشبه الصيد الاحتيالي الصوتي الصيد الاحتيالي التقليدي، لكنه يتم عبر الهاتف. يقوم المهاجم بإجراء مكالمة هاتفية متخيلة، متظاهرًا بأنه من جهة موثوقة مثل قسم الدعم الفني أو السلطات، بهدف الحصول على معلومات شخصية أو مالية من الضحية.

3. الصيد الاحتيالي النصي (Smishing)

يتضمن الصيد الاحتيالي النصي إرسال رسائل قصيرة عبر الهواتف المحمولة تحتوي على روابط خبيثة أو طلبات للحصول على معلومات حساسة. يعتمد هذا النوع من الهجمات على الاندفاع الفوري للضحية لفتح الرابط أو الرد على الرسالة.

4. الهندسة الاجتماعية المباشرة

تشمل هذه الطريقة التفاعل الشخصي المباشر مع الضحية، سواءً عبر الهاتف، البريد الإلكتروني، أو حتى وجهًا لوجه. قد يتظاهر المهاجم بأنه موظف جديد في الشركة، أو مندوب مبيعات، أو حتى شخص يبحث عن المساعدة، بهدف الحصول على معلومات أو الوصول إلى مناطق محمية.

5. الهندسة الاجتماعية الخلفية (Baiting)

تعتمد هذه الطريقة على استغلال فضول الضحية من خلال تقديم “طُعم” يبدو مغريًا، مثل محرك أقراص USB يحتوي على برامج ضارة، في انتظار الضحية لاستعادته وربطه بجهازها، مما يسمح للمهاجم بالوصول إلى النظام.

تأثير الهندسة الاجتماعية على أمن المعلومات

تُعتبر الهندسة الاجتماعية واحدة من أخطر التهديدات التي تواجه أمن المعلومات، وذلك لعدة أسباب:

1. استغلال نقاط الضعف البشرية

على عكس الهجمات التقنية التي تستهدف الثغرات في الأنظمة، تستغل الهندسة الاجتماعية نقاط الضعف البشرية التي قد تكون أصعب في تأمينها. يمكن لتصرف بسيط مثل فتح رسالة بريد إلكتروني غير معروفة أن يؤدي إلى خرق أمني كبير.

2. سهولة التنفيذ

يمكن تنفيذ هجمات الهندسة الاجتماعية بسهولة نسبية مقارنة بالهجمات التقنية المتقدمة التي تتطلب معرفة عميقة بالبنية التحتية التقنية.

3. تأثير واسع النطاق

يمكن لهجوم هندسة اجتماعية ناجح أن يؤثر على أفراد أو مؤسسات كبيرة، مما يؤدي إلى خسائر مالية كبيرة، سرقة معلومات حساسة، وتدمير السمعة.

4. صعوبة الكشف

نظرًا لأن هذه الهجمات تستهدف الجوانب الإنسانية، فهي غالبًا ما تكون صعبة الكشف باستخدام الأدوات الأمنية التقليدية التي تركز على الجوانب التقنية فقط.

أمثلة واقعية على هجمات الهندسة الاجتماعية

1. هجوم بريد اليعسوب (Spear Phishing) على شركة توسان تكنولوجيز (Toshiba Tec)

في عام 2018، تعرضت شركة توسان تكنولوجيز لهجوم بريد يعسوب مستهدف. تم إرسال رسائل بريد إلكتروني تبدو شرعية للموظفين، مما أدى إلى تسريب معلومات حساسة وأضرار كبيرة للشركة.

2. هجوم فريبينغ على مصرف بنك أوف أمريكا

في عام 2020، أُجريت حملة فريبينغ واسعة النطاق تستهدف عملاء بنك أوف أمريكا عبر رسائل بريد إلكتروني احتيالية، مما أدى إلى سرقة ملايين الدولارات من حسابات المستخدمين.

3. هجوم وورش البريد الاحتيالي على وزارة الخارجية الأمريكية

في عام 2017، نجح مهاجمون في استهداف موظفي وزارة الخارجية الأمريكية من خلال حملات بريد إلكتروني احتيالية، مما أدى إلى تسريب معلومات سرية واستغلالها في أغراض ضارة.

أساليب الوقاية والحماية من الهندسة الاجتماعية

للحد من مخاطر الهجمات الهندسية الاجتماعية، يمكن اتباع عدة استراتيجيات فعالة تشمل:

1. التوعية والتدريب

يجب على المؤسسات تنفيذ برامج توعية وتدريب مستمرة للموظفين حول أساليب الهندسة الاجتماعية وكيفية التعرف عليها. المعرفة هي أول خط دفاع ضد هذه الهجمات.

2. التحقق من الهوية

يجب دائمًا التحقق من هوية الأشخاص الذين يطلبون معلومات حساسة أو الوصول إلى أنظمة محمية. يمكن استخدام أساليب مثل المصادقة الثنائية أو التحقق من الهوية من خلال قنوات مختلفة.

3. سياسات الأمان الصارمة

تطبيق سياسات أمان قوية تشمل قيودًا على الوصول إلى المعلومات الحساسة، واستخدام كلمات مرور قوية، وتحديثات منتظمة للبرمجيات الأمنية.

4. استخدام تقنيات الأمان المتقدمة

توظيف تقنيات مثل مكافحة الفيروسات، جدران الحماية، وأنظمة كشف التسلل يمكن أن يساعد في حماية الأنظمة من الهجمات التقنية التي قد تكون جزءًا من هجمات الهندسة الاجتماعية.

5. الحذر من الروابط والمرفقات غير المعروفة

ينبغي على المستخدمين توخي الحذر عند فتح الروابط أو المرفقات من مصادر غير معروفة أو غير موثوقة، والتأكد من مصداقية الرسائل قبل التفاعل معها.

6. التبليغ عن الهجمات

تشجيع الموظفين على التبليغ عن أي نشاط مشبوه أو هجمات محتمَلة يمكن أن يساعد في التصدي للهجمات قبل أن تتسبب في ضرر كبير.

دور المؤسسات في مكافحة الهندسة الاجتماعية

تلعب المؤسسات دورًا حيويًا في مكافحة الهندسة الاجتماعية من خلال:

1. تطوير سياسات أمان شاملة

يجب أن تحتوي سياسات الأمان على إجراءات واضحة للتعامل مع الهجمات الهندسية الاجتماعية وكيفية حماية المعلومات الحساسة.

2. إجراء اختبارات دورية

إجراء اختبارات دورية مثل اختبارات الصيد الاحتيالي يمكن أن يساعد في تقييم مستوى استعداد الموظفين واكتشاف نقاط الضعف.

3. تعزيز ثقافة الأمان

خلق بيئة عمل تشجع على الامتثال لأفضل ممارسات الأمان وتقدير أهمية حماية المعلومات يمكن أن يعزز من قدرة المؤسسة على التصدي للهجمات.

4. التعاون مع الجهات الأمنية

التعاون مع الجهات الأمنية المختصة يمكن أن يوفر الدعم اللازم للتعامل مع الهجمات والاستجابة لها بشكل فعال.

مستقبل الهندسة الاجتماعية وأمن المعلومات

مع تزايد التقدم التكنولوجي وتطور أساليب الهجمات، من المتوقع أن تستمر الهندسة الاجتماعية في التكيف والابتكار لتجاوز التدابير الأمنية الجديدة. ستصبح الهجمات أكثر تعقيدًا وذكاءً، مما يتطلب من المؤسسات والأفراد مواكبة أحدث التطورات في مجال الأمان وتحديث استراتيجياتهم باستمرار.

التحديات المستقبلية

• التطور التكنولوجي: مع ظهور تقنيات مثل الذكاء الاصطناعي والتعلم الآلي، يمكن للمهاجمين تطوير أساليب هندسة اجتماعية أكثر فعالية ودقة.
• التحول الرقمي: زيادة التحول الرقمي في المؤسسات يزيد من سطح الهجوم المتاح للهندسة الاجتماعية.
• التنظيمات والقوانين: الحاجة إلى تحديث القوانين والتنظيمات لتواكب تطور الهجمات وتوفير حماية أفضل للمعلومات.

الاستراتيجيات المستقبلية

• استخدام الذكاء الاصطناعي في الدفاع: توظيف تقنيات الذكاء الاصطناعي لتحليل السلوكيات واكتشاف الهجمات المحتملة بشكل أسرع وأكثر دقة.
• التدريب المستمر: توفير تدريب مستمر ومتجدد للموظفين حول أحدث أساليب الهجمات وكيفية التصدي لها.
• تعزيز التعاون الدولي: التعاون بين الدول والمؤسسات لمكافحة الهجمات العابرة للحدود وتبادل المعلومات والخبرات.

 

مناقشة موسعة

الهندسة الإجتماعية هي فن التلاعب بالناس حتى يتخلوا عن المعلومات السرية. يمكن أن تتنوع أنواع المعلومات التي يبحث عنها هؤلاء المجرمين ، ولكن عندما يتم استهداف الأفراد ، يحاول المجرمون عادة خداعك لمنحهم كلمات المرور الخاصة بك أو المعلومات المصرفية ، أو الوصول إلى جهاز الكمبيوتر الخاص بك لتثبيت برامج خبيثة سراً – مما يتيح لهم الوصول إلى كلمات المرور والمعلومات المصرفية وكذلك منحهم السيطرة على جهاز الكمبيوتر الخاص بك.

يستخدم المجرمون تكتيكات الهندسة الاجتماعية لأنه من الأسهل عادة استغلال ميولك الطبيعية إلى الثقة أكثر من اكتشاف طرق اختراق برامجك. على سبيل المثال ، من الأسهل بكثير خداع شخص ما لمنحك كلمة المرور الخاصة به أكثر من محاولة اختراق كلمة المرور الخاصة به (ما لم تكن كلمة المرور ضعيفة بالفعل).

الأمن هو كل شيء عن معرفة من وماذا بالنسبة للثقة.و  من المهم معرفة متى ومتى لا تأخذ شخصًا في كلمته وعندما يكون الشخص الذي تتواصل معه هو حقاً  من يقول. وينطبق الشيء نفسه على التفاعلات عبر الإنترنت واستخدام موقع الويب: متى تثق في أن موقع الويب الذي تستخدمه شرعي أو آمن لتوفير معلوماتك؟

اسأل أي محترف في مجال الأمن وسيخبرونك بأن الحلقة الأضعف في السلسلة الأمنية هي الإنسان أو السيناريو بالقيمة الاسمية. فلا يهم عدد الأقفال والأقبية الموجودة على الأبواب والنوافذ الخاصة بك ، أو إذا كان لديك كلاب حراسة ، وأنظمة إنذار ، وأضواء كاشفة ، وأسيجة بأسلاك شائكة ، وأفراد أمن مسلحين مثلا  إذا كنت تثق بشخص ما  عند البوابة يقول إنه رجل توصيل البيتزا وتسمح له بالدخول دون أن تتحقق أولاً لمعرفة ما إذا كان موثوقاً أم لا فأنت عرضة تماماً لأي خطر يحمله لك .

ماذا تبدو هجمة الهندسة الاجتماعية؟

بريد من صديق
إذا نجح المجرم في اختراق كلمة مرور البريد الإلكتروني لشخص واحد أو إدارتها اجتماعيًا ، فسيتمكّن من الوصول إلى قائمة جهات الاتصال الخاصة بهذا الشخص – ولأن معظم الأشخاص يستخدمون كلمة مرور واحدة في كل مكان ، فمن المحتمل أن يكون لديهم إمكانية الوصول إلى جهات اتصال الشبكات الاجتماعية الاخرى  لهذا الشخص أيضًا.

وبمجرد أن يكون المجرم يمتلك حساب البريد الإلكتروني تحت سيطرته ، فإنه يرسل رسائل بريد إلكتروني إلى جميع جهات الاتصال الخاصة بالشخص أو يترك الرسائل  المشبوهة على جميع صفحات أصدقائه الاجتماعية ، وربما على صفحات أصدقاء صديق الشخص.

كيف سيستفيد من ثقتك وفضولك في الرسالة :

1- ستحتوي على رابط عليك التحقق منه – ولأن الرابط يأتي من صديق وكنت فضوليًا ، فستثق في الرابط وتنقر – وتصاب بالبرامج الضارة ، حتى يتمكن المجرم من الاستيلاء على جهازك وجمع جهازك معلومات جهات الاتصال وخداعهم كما لو تم خداعك

2-يحتوي على تنزيل للصور ، والموسيقى ، والأفلام ، والمستندات ، وما إلى ذلك ، يحتوي على برامج ضارة مدمجة. إذا قمت بالتنزيل – والذي من المحتمل أن تقوم به لأنك تعتقد أنه من صديقك – فإنك ستصاب بالعدوى. والآن ، يستطيع المجرم الوصول إلى جهازك ، وحساب البريد الإلكتروني ، وحسابات الشبكة الاجتماعية وجهات الاتصال الخاصة بك ، وينتشر الهجوم إلى كل شخص تعرفه. وعلى وعلى .. الخ.

البريد الإلكتروني من مصدر موثوق آخر

تعتبر هجمات التصيد الاحتيالي مجموعة فرعية من إستراتيجية الهندسة الاجتماعية التي تقلد مصدرًا موثوقًا به وتنتج سيناريو منطقيًا لتسليم بيانات اعتماد تسجيل الدخول أو البيانات الشخصية الحساسة الأخرى. ووفقًا لبيانات Webroot ،تعتبر المؤسسات المالية من الغالبية العظمى من الشركات التي تم انتحالها ، ووفقًا لتقرير التحقيقات السنوي لسرطان البيانات الخاص بـ Verizon ، فإن هجمات الهندسة الاجتماعية بما في ذلك التصيد الاحتيالي و التحايل مسؤولة عن 93٪ من خروقات البيانات الناجحة.

باستخدام قصة مقنعة أو إسلوب جذاب، قد تكون هذه الرسائل:

1- طلب على وجه السرعة يطلب مساعدتكم. مثلا :”صديقك فلان”عالق في البلد X ، وتعرض للسرقة والضرب ، وكان في المستشفى. انهم بحاجة لك لإرسال الأموال حتى يتمكنوا من العودة إلى المنزل ويقولون لك كيفية إرسال الأموال إلى المجرم.

2-استخدم محاولات التصيد مع خلفية موثوقة ظاهرياً . عادة ، يرسل المخادع رسالة بريد إلكتروني ، أو رسالة فورية ، أو تعليق ، أو رسالة نصية يبدو أنها تأتي من شركة موثوقة ومعروفة ، أو بنك ، أو مدرسة ، أو مؤسسة موثوقة.

3- طلب التبرع لجمع التبرعات الخيرية ، أو بعض الأسباب الأخرى. مع تعليمات حول كيفية إرسال الأموال إلى المجرم. فباستخدام اللطف والكرم ، يطلب هؤلاء المخادعون المساعدة أو الدعم لأي كارثة أو حملة سياسية أو جمعية خيرية.

4- عرض مشكلة تتطلب منك “التحقق” من معلوماتك من خلال النقر على الرابط المعروض وتقديم المعلومات الخاصة بك  في النموذج الخاص بها. قد يبدو موقع الارتباط مشروطا للغاية مع كل الشعارات الصحيحة والمحتوى (في الواقع ، قد يكون المجرمون قد نسختوا الشكل والمحتوى الدقيق للموقع الشرعي). نظرًا لأن كل شيء يبدو مشروعًا ، فأنت تثق في البريد الإلكتروني والموقع الزائف وتقدم المعلومات التي يطلبها المحتال. غالبًا ما تتضمن هذه الأنواع من خدع التصيد الاحتيالي تحذيرًا عما سيحدث إذا فشلت في التصرف قريبًا لأن المجرمين يعلمون أنه إذا كان بإمكانهم تحريضك على التصرف قبل التفكير ، فمن المرجح أن تقع في محاولة التصيد الاحتيالي.

5- أبلغك بأنك “الفائز”. ربما تزعم الرسالة الإلكترونية أنها من اليانصيب ، أو قريبًا ميتًا لك وقد حصلت على ورثة كبيرة ، للنقر على موقعه ، وما إلى ذلك. ومن أجل منحك “المكاسب” ، يتعين عليك تقديم معلومات حول توجيهات مصرفك حتى يعرفوا كيفية إرسالها إليك أو إعطاء عنوانك ورقم هاتفك حتى يتمكنوا من إرسال الجائزة ، وقد يُطلب منك أيضًا إثبات أنك غالبًا ما تتضمن رقم الضمان الاجتماعي الخاص بك. هذه هي “جشعات الجشع” ، حيث حتى إذا كانت ذريعة القصة ضعيفة ، فإن الناس يريدون ما يتم تقديمه ويسقطون من أجله عن طريق التخلي عن معلوماتهم ، ومن ثم إفراغ حسابهم المصرفي ، وسرقة الهوية !!.

6- تشكل الرسالة كأنها زميل العمل. قد يطلب منك تحديثًا على مشروع مهم ، تملكه شركتك حاليًا ، أو معلومات الدفع المتعلقة ببطاقة ائتمان الشركة ، أو بعض الاستفسارات الأخرى التي تلاقيها في الأعمال اليومية.

سيناريوهات الاصطياد

تعلم مخططات الهندسة الاجتماعية أنه إذا أتاحت شيء يريده الناس ، فإن الكثير من الناس سوف يقعون في الطُعم. غالبًا ما يتم العثور على هذه المخططات على المواقع من نوع شخص لشخص التي تقدم تنزيلًا لشيء ما مثل فيلم جديد أو موسيقى جديدة . ولكن المخططات هذه موجودة أيضًا على مواقع الشبكات الاجتماعية ، ومواقع الويب الضارة التي تعثر عليها من خلال نتائج البحث ، وما إلى ذلك.

أو قد يظهر المخطط على أنه صفقة رائعة بشكل مذهل على المواقع المصنفة ، ومواقع المزادات ، وما إلى ذلك. لتهدئة شكوكك ، يمكنك أن ترى أن البائع لديه تقييم جيد ( مخطط له ومقدم في وقت مبكر).

قد يصاب الأشخاص الذين يتناولون الطُعم ببرامج خبيثة يمكن أن تولد أي عدد من عمليات الاستغلال الجديدة ضد أنفسهم وجهات اتصالهم ، وقد يفقدون أموالهم دون الحصول على العنصر الذي تم شراؤه ، وإذا كانوا أغبياء بما يكفي للدفع بشيك ، فقد يجدون حسابهم المصرفي فارغ.

الأجابة على سؤال لم تسأله أصلا !!

قد يتظاهر المجرمون بأنهم يردون على “طلب المساعدة” الذي تقدمه شركة ما ، و أنهم يقدمون أيضًا المزيد من المساعدة إذا أردت . وهم يختارون الشركات التي يستخدمها الملايين من الأشخاص مثل شركات البرمجيات أو البنوك . إذا كنت لا تستخدم المنتج أو الخدمة ، فسوف تتجاهل البريد الإلكتروني أو المكالمة الهاتفية أو الرسالة ، ولكن إذا كنت تستخدم الخدمة بالفعل ، فهناك فرصة جيدة لأن تستجيب لأنك ربما حقا  تحتاج إلى المساعدة بخصوص مشكلة ما .

على سبيل المثال ، على الرغم من أنك تعرف أنك لم تطرح سؤالًا في الأساس ، فمن المحتمل أنك تواجه مشكلة في نظام تشغيل جهاز الكمبيوتر الخاص بك ، وأنت تنتهز هذه الفرصة لإصلاحه. مجانا! في اللحظة التي تستجيب فيها ،اعطيت ثقتك وفتحت نفسك للاستغلال.

سيحتاج الممثل ، الذي هو في الواقع مجرم ، إلى “مصادقتك” ، أو تسجيل الدخول إلى “النظام الخاص به” ، أو تسجيل الدخول إلى جهاز الكمبيوتر الخاص بك وإما منحهم إمكانية الوصول عن بعد إلى جهاز الكمبيوتر الخاص بك حتى يتمكنوا من “إصلاحه” أو يخبروك بالأوامر حتى تتمكن من إصلاحها بنفسك بمساعدتهم – حيث بعض الأوامر التي تطلب منك إدخالها ستفتح الطريق أمام المجرم للعودة إلى جهاز الكمبيوتر الخاص بك في وقت لاحق.

خلق عدم الثقة

بعض الهندسة الاجتماعية ، تدور حول خلق عدم الثقة ، أو بدء النزاعات. غالباً ما يتم تنفيذها من قبل أشخاص تعرفهم والذين هم غالبا ما يكونون غاضبون منك ، ولكن يتم تنفيذها أيضًا من قبل أشخاص سيئين يحاولون فقط إحداث فوضى ،

أناس يريدون أولاً أن يخلقوا انعدام الثقة في عقلك باتجاه الآخرين حتى يتمكنوا من التدخل بصفة البطل واكتساب ثقتك ، أو عن طريق المبتزين الذين يريدون التلاعب بالمعلومات ثم يهددونك بالكشف.

غالبًا ما يبدأ هذا النوع من الهندسة الاجتماعية من خلال الوصول إلى حساب بريد إلكتروني أو حساب اتصال آخر على احد برامج المراسلات الفورية ، والشبكة الاجتماعية ، والدردشة ، والمنتدى ، وما إلى ذلك. ويتم تحقيق ذلك إما عن طريق القرصنة ، أو الهندسة الاجتماعية ، أو ببساطة تخمين كلمات المرور الضعيفة حقًا.

. قد يقوم الشخص الخبيث بعد ذلك بتغيير تفاصيل الاتصالات الحساسة أو الخاصة (بما في ذلك الصور والصوت) باستخدام تقنيات التحرير الأساسية ويعيد توجيهها إلى أشخاص آخرين لخلق أجواء الدراما ، وعدم الثقة ، والإحراج ، وما إلى ذلك. قد يجعل الأمر يبدو وكأنه تم إرساله عن طريق الخطأ ، أو يظهر مثلاً انهم يدعونك تعرف ما يحدث من حولك .

هناك حرفيا الآلاف من الاختلافات لأشكال هجمات الهندسة الاجتماعية. والحد الوحيد لعدد الطرق التي يمكنهم من خلالها دراسة هندسة المستخدمين اجتماعيًا من خلالفهم خيال المجرم. وقد تواجه أشكالًا متعددة من عمليات الاستغلال في هجوم واحد. بعد ذلك ، من المرجح أن يبيع المجرم معلوماتك للآخرين حتى يتمكنوا أيضًا من تشغيل مآثرهم ضدك ، وأصدقاؤك ، وأصدقاء أصدقائك ، وما إلى ذلك ، حيث يستغل المجرمون ثقة الناس في غير مكانها.

لا تصبح الضحية

في حين أن هجمات التصيد الاحتيالي المنتشرة قصيرة الأجل ، ولا تنطلي الخدعة سوى لعدد قليل من المستخدمين لأخذ الطعم، فهناك أساليب لحماية نفسك. ومعظم تلك الاساليب لا يتطلب أكثر من مجرد الانتباه إلى التفاصيل أمامك. ضع ما يلي في اعتبارك لتجنب الوقوع وجهك :

1- تمهل !!. يريد مرسلي الرسائل غير المرغوب فيها أن تتصرف أولاً وأن تفكر لاحقًا. إذا كانت الرسالة تنقل إحساسًا بالإلحاح أو تستخدم تكتيكات مبيعات ذات ضغط عالٍ ، فستكون متشككة. لا تدع طوارئهم تؤثر على المراجعة الدقيقة.

2- بحث الحقائق. كن متشككاً في أي رسائل غير مرغوب فيها. إذا كانت الرسالة الإلكترونية تبدو كما لو أنها من شركة تتعامل معها ، فقم بإجراء البحث الخاص بك. وباستخدم محرك البحث للانتقال إلى موقع الشركة الحقيقي ، أو إلى دليل هاتف للعثور على رقم هاتفها و التاكد منه .

3- لا تدع أي رابط يتحكم بأنتقالك للصفحات . ابقَ متحكمًا من خلال العثور على موقع الويب الذي بنفسك باستخدام محرك بحث مضمون  للتأكد من وصولك إلى المكان الذي تنوي الوصول إليه. سيؤدي تمرير مؤشر الماوس فوق الارتباطات في البريد الإلكتروني إلى إظهار عنوان URL الفعليه في الأسفل (TIP) ، لكن المزيف جيدا لا يزال قادراً على توجيهك بشكل خاطئ كما يريد .

4- التصنت على البريد الإلكتروني متفشٍ جدا . فقد أصبح المتسللون والمرسلين غير المرغوب فيهم والمهندسين الاجتماعيين الذين يسيطرون على حسابات البريد الإلكتروني للأشخاص (وحسابات الاتصالات الأخرى) منتشرًا. بمجرد أن يتحكموا في حساب بريد إلكتروني واحد  ، فإنهم يستغلون ثقة جهات اتصال الشخص هذا .

فحتى عندما يبدو المرسل شخصًا تعرفه ، إذا كنت لا تتوقع رسالة بريد إلكتروني تحتوي على رابط تحقق مع صديقك بشكل مباشر قبل فتح الروابط أو التنزيل.

5- حذار من أي تنزيل. إذا كنت لا تعرف المرسل شخصيا وتوقعت وجود ملف منه ، فإن تنزيل أي شيء لجهازك خطأ جسيم .

6- العروض الخارجية دائماً مزيفة. إذا تلقيت بريدًا إلكترونيًا من يانصيب محلي  أو يانصيب أجنبي ، أو إفادة بوجود نقود من قريب مجهول ، أو طلبات تحويل أموال من بلد أجنبي للحصول على نصيب من المال ، فلا مجال للشك أن لا تكون عملية احتيال.

طرق لحماية نفسك:

1- احذف أي طلب للحصول على معلومات مالية أو كلمات مرور. إذا تمت مطالبتك بالرد على رسالة تحتوي على معلومات شخصية ، فهذا يعني أنها عملية احتيال.

2- رفض طلبات المساعدة أو عروض المساعدة.حيث لا تتصل الشركات والمؤسسات الشرعية بك لتقديم المساعدة لها .

وإذا لم تطلب تحديدًا المساعدة من شركة ما او مؤسسة ما فلا تقم بالرد على هذه الاجابة .

3- قم بتعيين فلاتر الرسائل غير المرغوب فيها على درجة عالية. حيث يحتوي كل برنامج بريد إلكتروني على فلاتر الغير مرغوب فيها للرسائل .  ، انظر إلى خيارات الإعدادات الخاصة بك ، وقم بتعيينها على أعلى مستوى من الامان  .

تذكر فقط للتحقق من مجلد الرسائل غير المرغوب فيها بشكل دوري لمعرفة ما إذا كان البريد الإلكتروني الشرعي قد تم نقله بطريق الخطأ هناك. يمكنك أيضًا البحث عن دليل تفصيلي خطوة بخطوة لإعداد فلاتر الرسائل غير المرغوب فيها من خلال البحث في اسم موفر البريد الإلكتروني بالإضافة إلى عبارة “فلاتر الرسائل غير المرغوب فيها”.

4- تأمين أجهزة الكمبيوتر الخاصة بك.  من خلال تثبيت برامج مكافحة الفيروسات وجدران الحماية ومرشحات البريد الإلكتروني والاحتفاظ بها محدّثة دائما . و قم بإعداد نظام التشغيل لديك ليقوم بالتحديث تلقائيًا ، وإذا لم يتم تحديث هاتفك الذكي تلقائيًا ، فقم بتحديثه يدويًا عندما تتلقى إشعارًا بذلك. و استخدم أداة مكافحة الخداع التي يقدمها متصفح الويب الخاص بك أو طرف ثالث لتنبيهك للمخاطر المحتملة .

خاتمة

تعد الهندسة الاجتماعية أحد أخطر التهديدات التي تواجه أمن المعلومات في العصر الرقمي. من خلال استغلال نقاط الضعف البشرية والتلاعب النفسي، يمكن للهندسة الاجتماعية أن تتسبب في خسائر كبيرة سواء للأفراد أو المؤسسات. إلا أن الوعي والتدريب المستمر، إلى جانب تطبيق سياسات أمان قوية واستخدام التقنيات المتقدمة، يمكن أن يساهم في تقليل مخاطر هذه الهجمات وحماية المعلومات الحساسة. في ظل التطورات المستمرة في مجال التكنولوجيا، يبقى الأمن السيبراني مسؤولية مشتركة تتطلب التكاتف والتعاون لمواجهة التحديات المستقبلية بفعالية.

المراجع

1. “Social Engineering: The Art of Human Hacking” by Christopher Hadnagy.
2. “Hacking the Human: Social Engineering Techniques and Security Countermeasures” by Ian Mann.
3. موقع CERT: www.cert.org
4. تقارير شركة Kaspersky حول الهندسة الاجتماعية.
5. مقالات ودراسات حول أمن المعلومات من معهد SANS.

ملاحظات

• التحديث المستمر: نظرًا لتطور أساليب الهجمات الإلكترونية، من الضروري متابعة أحدث الأبحاث والدراسات في مجال أمن المعلومات والهندسة الاجتماعية.
• التفاعل: يشجع المقال على التفاعل والمشاركة في تعزيز الوعي حول أمن المعلومات للحفاظ على بيئة رقمية آمنة للجميع.

ختام

أمن المعلومات هو مسؤولية جماعية تتطلب الجهد والتعاون من الجميع، بدءًا من الأفراد وصولًا إلى المؤسسات الكبرى. من خلال فهم وفحص أساليب الهندسة الاجتماعية وتطبيق الإجراءات الوقائية المناسبة، يمكننا بناء بيئة رقمية أكثر أمانًا ومقاومة للتحديات المستقبلية.