نعيش في عصرٍ تسيطر فيه التكنولوجيا على كل شيء. من هواتفنا إلى حواسيبنا، ومن منازلنا الذكية إلى أماكن عملنا، نبقى على اتصال دائم. ومع هذا الاتصال، تأتي إمكانية استغلال الجهات الخبيثة لثغرات أمنية، ليس فقط في أنظمتنا، بل في طبيعتنا البشرية أيضًا. أهلاً بكم في عالم الهندسة الاجتماعية في مجال الأمن السيبراني. على الرغم من التقدم التكنولوجي وتدابيره الأمنية، لا يزال البشر الحلقة الأضعف. فيما يلي، نستكشف أمثلةً فعّالة على الهندسة الاجتماعية . تُسلّط كل قصة الضوء على كيفية استخدام الجهات الخبيثة للأساليب، والتلاعب بالثقة، واستغلالها للنفسية البشرية لاختراق أنظمة تبدو منيعة.
عندما تُكسر الثقة: خرق النشيد الوطني
في عام ٢٠١٥، شهدت شركة أنثيم، ثاني أكبر شركة تأمين صحي في أمريكا، واحدة من أكبر عمليات اختراق البيانات في التاريخ. وكشف تحقيق شامل أن الاختراق لم يكن نتيجة هجوم برمجيات خبيثة متقدم أو استغلال برمجي، بل كان حالة نموذجية من التصيد الاحتيالي، وهو أحد أنجح أمثلة تقنيات الهندسة الاجتماعية . سمح الهجوم للمهاجمين بالسطو على ما يقرب من ٧٩ مليون سجل هوية وطبية لأفراد.
بدأ الخصوم الهجوم بحملة تصيد إلكتروني موجهة استهدفت موظفي شركة أنثيم، متخفيةً في رسالة بريد إلكتروني من مسؤول تنفيذي كبير. نقر الموظفون، دون علمهم بالنية الخبيثة، على الرسالة المزورة، مما دفع الخصوم إلى سرقة بيانات تسجيل الدخول الخاصة بهم والتسلل إلى شبكة الشركة. يُذكرنا هذا الاختراق الهائل بالكوارث التي قد تحدث عند استغلال ثقة الفرد بنفسه.
تصميم الهجوم: مواجهة شركة RSA مع الهندسة الاجتماعية
يعود مثالٌ شهيرٌ آخر على الهندسة الاجتماعية إلى عام ٢٠١١. في ربيع ذلك العام، أصبحت شركة RSA، وهي شركةٌ مرموقةٌ في مجال أمن تكنولوجيا المعلومات ومصنّعةٌ لرموز مصادقة SecurID، هدفًا للهجوم. صمّم الخصوم حملةً بريديةً إلكترونيةً، مستغلّين مرةً أخرى سمةً بسيطةً وواضحةً في النفس البشرية، ألا وهي الفضول.
تضمن الهجوم إرسال رسائل بريد إلكتروني إلى موظفي شركة RSA مرفقة بجدول بيانات Excel بعنوان "خطة التوظيف لعام ٢٠١١". دفع فضول الموظفين إلى فتح جدول البيانات، الذي كان يحمل ثغرة أمنية خفية، ما أدى إلى إصابة أجهزة الكمبيوتر. كانت الهندسة الاجتماعية المستخدمة في هذا الهجوم مبتكرة، وكأنها مصممة خصيصًا لكل متلقي، مستغلةً اهتماماتهم وأدوارهم ورغبتهم في الأداء الجيد في العمل.
مسألة راحة: عملية احتيال البيتكوين على تويتر
في يوليو 2020، اجتاحت فضيحة ضخمة موقع تويتر، حيث غرّدت شخصيات عامة مرموقة مثل إيلون ماسك وبيل غيتس، وحتى حسابات شركات مثل آبل وأوبر، برسائل احتيال تتعلق بعملة بيتكوين. وبالتدقيق، اتضح أن الهجوم بدأ بالوصول إلى أنظمة تويتر الداخلية، وهنا تبرز الهندسة الاجتماعية .
استهدف المهاجمون، في هذه الحالة، موظفي تويتر محددين قادرين على الوصول إلى الأنظمة اللازمة. وتلاعبوا بهم عبر هجمات التصيد الاحتيالي عبر الهاتف، مستغلين شعورهم بالراحة والسهولة، للوصول إلى أدوات داخلية رئيسية. تُظهر هذه الهجمات كيف يُمكن استغلال الهندسة الاجتماعية لاستغلال حتى أكثر المنصات تقدمًا من الناحية التكنولوجية، من خلال استهداف العنصر البشري.
ختاماً
في الختام، تُبرز هذه الأمثلة الواقعية للهندسة الاجتماعية أهمية العامل البشري في الأمن السيبراني. فكل خرق يُبرز أسلوبًا فريدًا للهندسة الاجتماعية ، سواءً كان ذلك استغلالًا للثقة أو الفضول أو الراحة. ومع ذلك، تشترك جميعها في قاسم مشترك، وهو التركيز على العنصر البشري، الحلقة الأضعف في الأمن السيبراني. مع تطور التكنولوجيا وتشديد التدابير الأمنية، من الضروري معالجة هذا الضعف البشري، لأنه طالما كان هناك بشر مشاركون في العملية، فسيكون هناك دائمًا مجال للهندسة الاجتماعية . ولا يُمكن المبالغة في أهمية التدريب والتثقيف والتعزيز المستمر لأفضل ممارسات الأمن لجميع الموظفين، بغض النظر عن أدوارهم أو أقدميتهم.