اتبع هذه النصائح وامنع هجمات الهندسة الإجتماعية

 تُعد قضية ريماسوسكاس مثالاً كلاسيكياً على عملية  التصيد الإحتيالي. إذ يقوم المهاجم بإختراق أو إنتحال شخصية شخص موثوق به ثم "تصيُّد" أفراد معينين. ويعتبر التصيد الاحتيالي الذي يستخدم أسلوب "spray and pray" أي "الإنتشار وإنتظار النتائج" مقنع جداً. وقد ينتحل المهاجم أيضاً شخصية يتواصل معها الهدف بإنتظام. وقد يكون لديهم عنوان بريد إلكتروني شبه متطابق، مع تغيير دقيق للغاية في إسم المجال. على سبيل المثال،   Trust.person@companyname.com يصبح. trust.person@company–name.com 

لسوء الحظ، لا يلاحظ بعض الأفراد حتى أولئك الذين يعملون في أقوى شركات التكنولوجيا في العالم، التغييرات الصغيرة في الكلمات والعناوين. وقد يكون ذلك بسبب تشتيت انتباههم أو إجهادهم، أو ربما لأن البريد الإلكتروني المزيف يتمتع بمستوى عال من الإقناع. 

ولأنه من الممكن أن يصبح التهديد الناشء Deepfakes مشكلة واسعة الإنتشار قريباً، يعتقد 74٪ من قادة تكنولوجيا المعلومات أن التزييف العميق يهدِّد أمن مؤسساتهم وموظفيهم. لذا قد يساهم إعتماد بعض الخطوات بحماية عملك من هذا الإحتيال الجديد.

• إعتمد على التحقق من الطلبات الهاتفية عبر وسيط آخر، مثل البريد الإلكتروني أو الرسائل القصيرة. وهذا النوع من المصادقة الثنائية (2FA) - خطوة أمنية يجب تطبيقها عبر جميع القنوات.
• إذا أصرّ المتصل على أن الطلب عاجل، فحاول التحقق من هويته بطريقة أخرى - مثل سؤاله عن بعض التفاصيل المحددة حول المكتب أو حدث حضره كلاكما.
• إعمل عن كثب مع قسم تكنولوجيا المعلومات لديك، لتسجيل جميع الأنشطة المشبوهة والحوادث الأمنية.

كيفية منع الاحتيال على المدير التنفيذى

إن الإحتيال الذي يعتمد على انتحال صفة المدير التنفيذي من أنجح هجمات الهندسة الإجتماعية. فتخيل بأنك تعمل في المكتب لوقت متأخر يوماً ما. ثم تتلقى بريداً إلكترونياً من الرئيس التنفيذي نفسه، يطلب منك إجراء بعض التعديلات فى اللحظة الأخيرة على فاتورة معينة. وبما أن الأسلوب ملح والبريد الإلكتروني يبدو حقيقياً ولديك فرصة لإرضاء الرئيس الأعلى، فلماذا لا تمضي قدماً وتنفذ المطلوب؟

وهذا الإحتيال هو شكلاً شائعاً من أشكال تسوية البريد الإلكتروني للأعمال (BEC) بإستخدام تقنيات إنتحال الهوية، حيث يمكن للمحتالين إرسال رسائل بريد إلكتروني بإستخدام إسم رئيسك التنفيذي، أو عناوين بريد إلكتروني لا يمكن تمييزها تقريباً، كما يمكن للقراصنة إختراق حساب البريد الإلكتروني لمديرك التنفيذي.

وتشكل الحلول التقنية مع الوعي الأمني، أهم وسائل تجنب إحتيال المديرين التنفيذيين.

كيفية منع تصيد الحيتان

عند الدفاع ضد هجمات صيد الحيتان، تُطَبَّقْ نفس المباديء التي تُطَبَّقْ عند الدفاع ضد التصيد الإحتيالي الموجَّه والإحتيال على الرئيس التنفيذي. بالإضافة إلى التأكد من أن الموظفين - بما فى ذلك كبار المسؤولين التنفيذيين - مُدرَّبون على كيفِيِّة إكتشاف هجمات إنتحال الهوية، فإنك تحتاج إلى تنفيذ حلول أمان البريد الإلكتروني لإكتشاف ومنع الهجمات الواردة الناجحة.

كيفية منع التصيد عبر الهاتف 

عادةً ما تستخدم هجمات التصيد الإحتيالي تقنية "نقل الصوت عبر بروتوكول الإنترنت" (VoIP) من أجل تزوير هوية المتصل. ويمكن للمهاجمين أيضاً إستخدام "برامج الإتصال بالحرب “war dialers للإتصال بالعديد من الأشخاص في فترة قصيرة. 

لذلك، يُعد تدريب الموظفين مفتاح حماية عملك من هجمات التصيد. ويجب التأكد من أن موظفيك يفهمون ما قد يبدو عليه هجوم التصيد (يعتمد المتصل أسلوب الإلحاح والعجلة أو يقدم مزايا غير متوقعة)، كما لا ينبغى لهم أبدًا الإستجابة لمثل هذه المكالمة.

كيفية منع التصيد عبر الرسائل النصية القصيرة

وفقاً لما ورد في تقارير المستهلك "تلقت  لجنة التجارة الفيدرالية 93,331  شكوى بشأن  زيادة الرسائل النصية الاحتيالية في عام 2018 بنسبة 30٪ أكثر من عام 2017".

إذ تتبع الرسائل الخادعة (الرسائل النصيّة القصيرة) نفس أنماط هجمات الهندسة الاجتماعية الأخرى. عادةً ما تكون الرسائل النصية المبتذلة عاجلة في نبرة تدعي أن الهدف في خطر أو أنه وقع ضحية الإحتيال على بطاقة الإئتمان. وقد يزعمون أن الهدف قد فاز بجائزة، أو أنه مدين بإسترداد الضريبة، لذا عليك تجنب الوقوع ضحية هذا الإحتيال، من خلال تأكد  فرق الأمن في مكان العمل من أن الموظفين يتصرفون بحذر عند الرد على الرسائل النصية، تماماً كما يفعلون مع رسائل البريد الإلكتروني. 

وتبقى أهم نصيحة بألا ترد أبدًا على أي رسالة مشبوهة، أو تنقر فوق الروابط الموجودة فى رسائل SMS، أو تكشف عن معلومات شخصية أو عن الشركة عبر الرسائل القصيرة.

لقد تم خداع أكبر الشركات عبر تقنيات الهندسة الإجتماعية. لذلك يجب على الشركات أن تعطي الأمن السيبراني دوراً هاماً ورفع مستوى المعرفة والدراية  لدى موظفيها كونهم خط الدفاع الأول. كذلك، اعتماد حملات توعية أمنية كجزء لا يتجزأ من برامجها الأمنية.