الهندسة الإجتماعية، حيلٌ ناجحة نفّذت على أرض الواقع

تصدَّرت "الهندسة الإجتماعية" عناوين الأخبار في الفترة الماضية. وهو مصطلح يكتظ عالمنا بأمثلة عديدة عن هجماته وأساليبه المتنوعة. وبعد تعريف معنى مصطلح "الهندسة الإجتماعية" سنقوم بجولة على بعض هذه الهجمات.

تعريف الهندسة الإجتماعية

تُعد هجمات الهندسة الإجتماعية نوعاً من أنواع الجرائم الإلكترونية. وهي مجموعة واسعة من الأنشطة الخبيثة التي يتم تحقيق اهدافها من خلال التفاعلات البشرية. إذ يُستخدم أسلوب التلاعب النفسي، لخداع المستخدمين لإرتكاب أخطاء أمنية أو الكشف عن معلومات حساسة. فقد يتظاهر المهاجم بأنه رئيس أو مورد أو شخص من فريق تكنولوجيا المعلومات في الشركة التي تعمل لديها الضحية أو شركة التوصيل الخاصة بها. 

ووفقاً لتقرير خرق البيانات لعام 2020 الصادر عن Verizon، فإن هدف ودوافع الهندسة الإجتماعية، هي الحصول على الأموال أو البيانات.

وقد تضاعفت معدلات هجمات الهندسة الاجتماعية ذات الدوافع المالية بين عامي 2018 و 2019 وإستمرت في الزيادة بعد تفشى COVID-19. 

وسنعرض ضمن هذا الموضوع، ستة أمثلة عن هجمات الهندسة الإجتماعية والتي تستخدم جميعها  تقنيات مختلفة. 

وأولها هجوم التصيد الإحتيالي الذي كبّد شركة جوجل خسائر بقيمة 100 مليون دولار. إذ قام المواطن الليتوانى إيفالداس ريماسوسكاس Evaldas Rimasauskas  بتنفيذ أكبر هجوم للهندسة الإجتماعية، ضد شركتي Google و Facebook. إذ أسس ريماسوسكاس وفريقه شركة وهمية، متظاهرين بأنهم شركة تصنيع أجهزة كمبيوتر تعمل معهما.وقام بإنشاء حسابات مصرفية بإسم الشركة. وأرسل المحتالون بعد ذلك، رسائل بريد إلكتروني تصيدية إلى موظفين محددين في الشركتين. وأصدروا فواتير لهم مقابل السلع والخدمات التي قدمتها الشركة المُصَّنِعة بالفعل. لكن حيلة المهاجمون قضت بتوجيه الموظفين لإيداع الأموال في حساباتهم الإحتيالية.

,كما طالت هجمات الهندسة الإجتماعية شركة الطاقة في المملكة المتحدة في آذار (مارس) 2019، إذ تلقّى الرئيس التنفيذي للشركة، مكالمة هاتفية من شخص بدا تماماً مثل رئيسه وكانت المكالمة مقنعة للغاية لدرجة أن الرئيس التنفيذي قام بتحويل 243,000 دولار أمريكي إلى "مورد مجري" - وهو حساب مصرفي ينتمي في الواقع إلى محتال يُلقب بالمهندس الإجتماعي.

والأمر نفسه حلَ بشركة تصنيع قطع غيار الطائرات الصينية FACC، الذي خسرت ما يقارب ال 60 مليون دولار في ما يسمى "عملية إحتيال الرؤساء التنفيذيين"، حيث إنتحل المحتالون صفة المديرين التنفيذيين رفيعي المستوى وخدعوا الموظفين لتحويل الأموال. وبعد الحادثة، أنفقت FACC المزيد من الأموال في محاولة لمقاضاة رئيسها التنفيذي والمدير المالي، زاعمين أنهم فشلوا في تنفيذ ضوابط أمنية داخلية كافية. وعلى الرغم من فشل القضية، إلا أنه لا بد من التذكر دائماً بأن، الأمن السيبراني أمر بالغ الأهمية للأعمال ومسؤولية الجميع. 

كما تتوقع جارتنر أنه بحلول عام 2024، قد يصبح الرؤساء التنفيذيون مسؤولين شخصياً عن الإنتهاكات السيبرانية.

أما المثال الرابع عن هجوم الهندسة الإجتماعية فقد كان ضد بنك Crelan البلجيكي والذي قد يكون الأنجح على الإطلاق. وبعد إجراء تدقيق داخلي روتيني، اكتشفت Crelan أن رئيسها التنفيذي تعرض لهجوم "صيد الحيتان"، في حين أفلت الجناة بمبلغ 75 مليون دولار ولم يتم تقديمهم إلى العدالة.

وفى يوليو 2020، فقدت Twitter السيطرة على 130 حساباً على منصتها، بما في ذلك حسابات بعض أشهر الشخصيات في العالم، كباراك أوباما وجو بايدن وكاني ويست. وقام المتسللون بتنزيل بيانات Twitter الخاصة ببعض المستخدمين والوصول إلى الرسائل المباشرة وتغريدات تطلب تبرعات لمحفظة Bitcoin في غضون دقائق. وقبل أن يتمكن Twitter من إزالة التغريدات، كسب الجنات حوالي 110,000 دولار من Bitcoin عبر أكثر من 320 معاملة.

ووصف موقع Twitter الحادثة بأنها عملية هجوم تصيد إحتيالي عبر الهاتف (يُعرف أيضاً بإسم هجوم "التصيُّد الصوتي). ولا تزال تفاصيل المكالمات غير واضحة لكن بطريقة ما تم خداع موظفي Twitter للكشف عن بيانات إعتماد الحساب التي سمحت بالوصول إلى الحسابات المخترقة. وأجرى مكتب التحقيقات الفيدرالي تحقيقاً في إجراءات أمان تويتر. وقد أدَّت الفضيحة إلى إنخفاض سعر سهم Twitterبنسبة 7٪ فى تداول ما قبل السوق فى اليوم التالي.

ومن فنون خداع الهندسة الإجتماعية، هجوم الرسائل النصية (SMS) في سبتمبر 2020 التي إنتشرت على نطاق واسع، لدرجة أن المدعي العام فى تكساس أصدر بياناً صحفياً يحذر السكان من هذا الهجوم.

وتلقى ضحايا عملية الإحتيال هذه، رسالة نصية إحتيالية تزعم أنها من شركة توصيل مثل DHL أو UPS أو Fedex، دعت الهدف إلى النقر فوق الرابط و"المطالبة بملكية" حزمة لم يتم تسليمها. وبعد إتباع الرابط، طُلِب من الشخص المستهدف تقديم معلومات شخصية وتفاصيل بطاقة الإئتمان. وحذر المدعي العام فى تكساس جميع السكان من إتباع الرابط. وذكر أن شركات التوصيل لا تتواصل مع العملاء بهذه الطريقة. ويجب على أي شخص يتلقى الرسالة النصية، إبلاغ مكتب المدعي العام أو لجنة التجارة الفيدرالية.

تتعدى تهديدات الهندسات الإجتماعية حدود المنطق، لتصل إلى درجة من الإقناع تُصّعب على الضحية إمكانية كشفها. وللتصدي ومنع هذه الهجمات يجب التمتع بقدر كاف من الوعي والحرص والإطلاع. وللتعرف على كيفية منع هذه الهجمات إقرأ المقال التالي (/post/5)