تخيل عالمًا قد يكون فيه زميلك في العمل الذي يطلب منك النقر على مقطع فيديو بمثابة فخ، وحيث يمكن أن يكون الصوت المألوف على الهاتف وهمًا رقميًا، وحيث قد تكون رسالة نصية من صديق تثق به شخصية ملفقة.
مرحبًا بكم في الهندسة الاجتماعية، في عام 2024، واحدة من أخطر التهديدات التي تستغل نقاط الضعف الاجتماعية البشرية، مثل ميلنا إلى التصرف بشكل متهور عندما نكون تحت الضغط. يعد التصيد الاحتيالي عبر البريد الإلكتروني والتصيد الصوتي والتصيد الاحتيالي عبر الرسائل النصية من الأمور المعروفة جيدًا هندسة اجتماعية الحيل. ومع ذلك، فقد تطور الاحتيال، وعزز المحتالون من لعبتهم، ونشروا ممارسات خادعة تمزج بين التكتيكات التي يغذيها الذكاء الاصطناعي والتلاعب الاجتماعي.
إن فهم عوامل خطر الهندسة الاجتماعية وكيفية التعامل مع السلوك البشري هو الخطوة الأولى للحماية من التهديدات التي غالبًا ما تقع تحت الرادار.
1. تسوية البريد الإلكتروني الخاص بالعمل
مثال على احتيال الرئيس التنفيذي يسمى اختراق البريد الإلكتروني للأعمال (BEC)، والذي تسبب في خسائر بقيمة 2.7 مليار دولار عبر 21832 شكوى تم تقديمها في عام واحد، وفقًا لتقرير. IC3.
BEC عبارة عن عملية احتيال معقدة تخدع الفرد (عادةً من المحاسبة) لتحويل الأموال إلى حساب المهاجم. يتم تحقيق ذلك عادةً عن طريق انتحال شخصية مسؤول رفيع المستوى في الشركة، مثل الرئيس التنفيذي، وتقديم طلب احتيالي لإجراء تحويل إلكتروني. تكمن قوة BEC في استغلالها للثقة والسلطة. يبحث المهاجمون بدقة عن أهدافهم، وغالباً ما يستخدمون وسائل التواصل الاجتماعي ومواقع الشركات لجمع الخلفية. غالبًا ما يحاكي البريد الإلكتروني المستخدم في عملية الاحتيال بريدًا شرعيًا، وغالبًا ما يقوم باختطاف حسابات البريد الإلكتروني الفعلية من خلال التصيد الاحتيالي أو حشو أوراق الاعتماد.
في حادثة ملفتة للنظر وقعت عام 2022، وقعت شركة متعددة الجنسيات ضحية لعملية احتيال من BEC. استهدف المحتال، الذي كان يتنكر في هيئة الرئيس التنفيذي للشركة، موظفًا ماليًا مبتدئًا عبر البريد الإلكتروني. وطالبت الرسالة بتحويل إلكتروني عاجل لما زُعم أنه صفقة استحواذ حساسة. دفعت رسالة البريد الإلكتروني المصممة بشكل مقنع الضابط إلى تجاوز عمليات التحقق القياسية، مما أدى إلى النقل غير المصرح به 1.2 مليون دولار إلى حساب خارجي.
2. الذريعة/انتحال الشخصية
الذريعة هي شكل من أشكال الهندسة الاجتماعية حيث يقوم المهاجمون بتلفيق سيناريوهات للحصول على معلومات حساسة تحت ذرائع. غالبًا ما يتضمن هذا التكتيك انتحال شخصية شخصيات ذات سلطة، مثل مسؤولي إنفاذ القانون أو المديرين التنفيذيين للشركة، أو التظاهر بأنهم موظفو الدعم الفني. يعتمد نجاح الذريعة بشكل كبير على قدرة المهاجم على الظهور بمظهر مقنع وموثوق، ثم التلاعب بالضحية لإفشاء معلومات سرية.
تتنوع التقنيات المستخدمة في الذريعة ويمكن أن تتراوح من المكالمات الهاتفية البسيطة إلى المخططات المعقدة التي تتضمن عدة جهات فاعلة ودعائم. على سبيل المثال، قد يتصل أحد المهاجمين بموظف يتظاهر بأنه أحد موظفي تكنولوجيا المعلومات، مدعيًا أن هناك مشكلة في شبكة الشركة تتطلب التحقق الفوري من كلمة المرور. تم تنفيذ هذا السيناريو في منتجعات إم جي إم في العام الماضي، تم إغلاق عمليات كازينو لاس فيغاس ونشر الأخبار الوطنية.
3. التصيد الاحتيالي العميق
في هجمات التصيد الاحتيالي العميق، يستخدم المحتالون الصوت أو الفيديو أو النص الذي تم التلاعب به لانتحال شخصية الأفراد أو الكيانات. على سبيل المثال، قد يقومون بإنشاء مقطع فيديو لرئيس تنفيذي يصدر تعليمات عاجلة لتحويل الأموال أو مشاركة البيانات السرية. يمكن تسليم التزييف العميق عبر البريد الإلكتروني أو وسائل التواصل الاجتماعي أو منصات المراسلة المباشرة، مما يؤدي إلى الاستفادة من الأصالة المتصورة لخداع الضحايا للامتثال.
واحد ملحوظ حادثة التصيد الاحتيالي العميق تم الإبلاغ عنه في عام 2023، والذي يتضمن مقطع فيديو مزيفًا عميقًا بدا فيه الرئيس التنفيذي يوجه التمويل لبدء تحويل أموال إلى أحد البائعين. وبدا الفيديو الذي تم إرساله عبر حساب بريد إلكتروني مخترق مقنعا بما يكفي لتجاوز التدقيق الأولي. اعتقادًا بأن الطلب مشروع، قام الفريق المالي بتحويل مبلغ 243000 دولار إلى حساب المحتال.
4. اللعبة الطويلة
يعد الاحتيال “طويل الأمد” في الهندسة الاجتماعية بمثابة استراتيجية منهجية يقوم من خلالها المهاجمون ببناء الثقة تدريجياً مع ضحيتهم المستهدفة على مدى فترة ممتدة. تتضمن هذه التكتيكات طويلة الأمد الصبر والتواصل المستمر، والذي غالبًا ما يمتد لأشهر أو حتى سنوات. لبدء علاقة والحفاظ على التفاعلات، يستخدم المهاجمون عادةً الملفات الشخصية التي أنشأها الذكاء الاصطناعي (حسابات الدمى) التي تبدو ذات مصداقية، ومكتملة بالخلفيات الدرامية، وآثار وسائل التواصل الاجتماعي. تتفاعل هذه الملفات الشخصية مع الهدف بشأن الاهتمامات المشتركة أو الأمور المهنية، وتتملّق ببطء. تم الاستشهاد بمثال على حيلة اللعبة الطويلة، والتي بدأت بالتصيد الاحتيالي، في ملف CISA الاستشارية تنطوي على ممثل التهديد الروسي ستار بليزارد.
5. التلاعب بالشخصيات بواسطة الذكاء الاصطناعي
يستغل الاتجاه الحديث في الهندسة الاجتماعية الاعتماد المتزايد على الأتمتة والذكاء الاصطناعي في المهام اليومية. يتضمن التلاعب بالشخصية بواسطة الذكاء الاصطناعي إنشاء كائنات تم إنشاؤها بواسطة الذكاء الاصطناعي شخصيات التي تتفاعل مع الأهداف من خلال الأنظمة الآلية مثل برامج الدردشة الآلية أو المساعدين الافتراضيين. تكثر الأدوات اللازمة لإنشاء شخصيات الذكاء الاصطناعي هذه، والتي يستخدمها المسوقون لفهم الجمهور المستهدف بشكل أفضل. تمت برمجتها لتقليد أنماط وسلوكيات المحادثة البشرية، يمكن أن تبدو شخصيات الذكاء الاصطناعي هذه حقيقية وجديرة بالثقة. في أيدي الجهات الفاعلة في مجال التهديد، يتضمن الجانب الخبيث الدمج السلس لهؤلاء الأشخاص في منصات حيث يخفض الضحايا المحتملون حذرهم، مما يجعلها حيلة هندسة اجتماعية متطورة.
استراتيجيات التخفيف وأفضل الممارسات
يجب على المؤسسات اعتماد نهج متعدد الأوجه للأمن السيبراني لمكافحة تقنيات الهندسة الاجتماعية المتقدمة. يتضمن ذلك تنفيذ الكشف عن تهديدات نقطة النهاية، واتباع بروتوكولات الأمان الأساسية مثل المصادقة متعددة العوامل، واستخدام كلمات مرور طويلة وفريدة ونشر الدفاعات الأساسية خلق الحواجز ضد الهجمات السيبرانية.
لكن التكنولوجيا وحدها ليست كافية. يشكل وعي الموظفين وتدريبهم العمود الفقري لاستراتيجية دفاعية فعالة. تتيح برامج التدريب المنتظمة التي تحاكي تهديدات الهندسة الاجتماعية للموظفين ممارسة تعلم كيفية التعرف على شكل محاولة التصيد الاحتيالي الزائفة، وأي الموظفين الأكثر عرضة للخطر. يمكن للشركات التي تجري تدريبًا مستمرًا للتوعية بالأمن السيبراني أن تفعل ذلك بشكل كبير يقلل خطر الوقوع فريسة لعمليات الاحتيال المتعلقة بالهندسة الاجتماعية.
تتطور التهديدات السيبرانية باستمرار، لذا يجب أن تتطور الدفاعات وفقًا لذلك. يتضمن ذلك اختبار خطط الاستجابة للكوارث وإجراء عمليات تدقيق أمنية منتظمة للتأكد من أن التصحيحات محدثة وفعالة ضد التهديدات المعروفة، مثل تلك التي أبلغت عنها CISA.
إن الاستعداد لتكتيكات الهندسة الاجتماعية المتقدمة مثل BEC، والذريعة، والتصيد الاحتيالي العميق، والتلاعب بالشخصيات بواسطة الذكاء الاصطناعي، يمكن أن يمثل تحديات فريدة لأن كل منها يستغل نقاط الضعف البشرية الأساسية. يكمن مفتاح الدفاع في أفضل ممارسات الأمن السيبراني والتعليم المستمر للموظفين وثقافة اليقظة. من خلال البقاء على اطلاع، يمكن للمؤسسات تقليل مخاطر الوقوع فريسة لهجمات الهندسة الاجتماعية المعقدة بشكل كبير، وحماية بياناتها وأموالها وسمعتها.
