يظن الكثيرون أن مصطلح الاختراق يقتصر فقط على استغلال الثغرات البرمجية والتقنية أو استخدام أدوات متقدمة للتسلل إلى الأجهزة والشبكات، لكن في الحقيقة، الأمر أخطر وأوسع من ذلك بكثير؛ إذ توجد طرق اختراق تعتمد على استهداف العقل البشري نفسه بدلاً من استهداف الأجهزة، ومن أخطر هذه الطرق ما يُعرف بـ الهندسة الاجتماعية، وهي أسلوب يقوم على استغلال الثقة والعواطف البشرية لخداع الضحية ودفعها للإفصاح عن معلومات حساسة أو اتخاذ إجراءات غير آمنة، دون الحاجة لاختراق تقني معقد. بعبارة أخرى، الهندسة الاجتماعية تستغل العنصر البشري الذي يعتبر نقطة الضعف الأزلية في أي نظام حماية والذي يبقى الحلقة الأضعف مهما بلغت قوة البرمجيات والأجهزة

ما هي الهندسة الاجتماعية (Social Engineering):

هي مجموعة من الأساليب والتقنيات التي يستخدمها المهاجم لخداع الأشخاص من أجل الحصول على معلومات سرية، أو دفعهم لاتخاذ إجراءات قد تُسهل عليه عملية الاختراق. بعبارة أوضح، هي فن التلاعب بالبشر بدلاً من الأجهزة أو البرمجيات.

قد يستخدم المهاجم فيها مهارات الإقناع، أو انتحال الهوية، أو استغلال العواطف والمخاوف، بهدف خداع الضحية وجعلها تكشف كلمات مرورها أو ترسل له ملفات مهمة، أو حتى تفتح رابطًا خبيثًا دون أن تشعر بالخطر.

لماذا تعتبر الهندسة الاجتماعية خطيرة؟

تكمن خطورة الهندسة الاجتماعية في عدة أسباب رئيسية:

1_ لا تحتاج أدوات معقدة:
المهاجم لا يشترط أن يمتلك أجهزة متطورة أو مهارات تقنية عالية، يكفيه أحيانًا هاتف محمول أو بريد إلكتروني وبعض مهارات الإقناع فقط ليبدأ في استهداف الضحية.

2_تستهدف العامل البشري:
مهما كان النظام الإلكتروني قويًا ومؤمنًا، يظل الإنسان هو الحلقة الأضعف في أي منظومة أمان، ويمكن استغلاله بخداع ذكي أو تلاعب بالعواطف.

3_من الصعب اكتشافها:
الهندسة الاجتماعية تعتمد على إقناع الضحية طوعًا، فيتصرف بشكل طبيعي بناءً على معلومات زرعها المهاجم في ذهنه، فلا يشعر إطلاقًا أنه تعرض لهجوم.

4_ قليلة التكلفة:
الهجمات التقنية غالبًا تحتاج تجهيزات وأدوات مكلفة، أما الهندسة الاجتماعية فهي رخيصة جدًا أو شبه مجانية، مما يجعلها جذابة للمهاجمين.

5_سهلة التكرار:
يمكن للمهاجم إعادة نفس الأسلوب على عشرات أو مئات الضحايا بسهولة، خصوصًا عبر مكالمات الهاتف أو رسائل البريد الإلكتروني أو وسائل التواصل، دون أن ينكشف بسرعة.

مثال 1: التصيد (Phishing):

يتم إرسال رسالة بريد إلكتروني مصممة بعناية لتبدو وكأنها قادمة من جهة موثوقة، مثل بنك أو شركة خدمات معروفة. تتضمن الرسالة لغة مُقنعة وعبارات طارئة (مثل تهديد بإيقاف حسابك أو كشف نشاط مريب)، وتحثك بسرعة على النقر فوق رابط مرفق لتأكيد بياناتك أو تحديث كلمة المرور. الرابط يقودك إلى صفحة مزيفة تحاكي الموقع الأصلي بشكل احترافي، ليتمكن المهاجم من سرقة بيانات تسجيل الدخول أو معلوماتك الشخصية بمجرد إدخالها هناك. هذا الأسلوب يُعرف باسم التصيد الاحتيالي (Phishing)، ويعتمد على استغلال ثقة الضحية وقلة الانتباه.

كيفية تجنب المشكلة

• لا تضغط على أي رابط مشبوه يصلك عبر البريد الإلكتروني أو الرسائل النصية، حتى لو بدا أنه من جهة موثوقة.
• تحقق جيدًا من عنوان البريد الإلكتروني للمرسل، وابحث عن أي أخطاء إملائية أو عناوين غريبة قد تكشف التزوير.
• لا تتفاعل مع الرسائل التي تطلب منك معلومات سرية بشكل عاجل، حتى لو تضمنت تهديدًا أو تحذيرًا.
• اتصل بالبنك أو الجهة المرسلة للرسالة مباشرة باستخدام رقم الهاتف الرسمي الموجود على موقعهم للتأكد من صحة الطلب.
• تأكد أن الموقع الذي تدخله يبدأ بـ https ويعرض علامة القفل بجانب الرابط، خاصة قبل إدخال بياناتك.
• فعّل خاصية المصادقة الثنائية في حساباتك لتقليل مخاطر سرقة البيانات.

 مثال 2: انتحال الهوية عبر الهاتف

يتلقى الضحية اتصالًا هاتفيًا من شخص يدّعي أنه موظف خدمة العملاء أو الدعم الفني في جهة موثوقة، مثل البنك أو شركة الإنترنت أو حتى قسم تكنولوجيا المعلومات في مكان العمل. يتحدث المتصل بنبرة رسمية ولغة مقنعة، ويذكر للضحية بيانات عامة عنه حصل عليها مسبقًا (مثل الاسم أو مكان العمل) لإضفاء المصداقية. ثم يخبره بوجود مشكلة عاجلة في حسابه أو جهازه تتطلب منه التأكد من بياناته فورًا لحمايته من الإيقاف أو التعرض لاختراق.

عندها يطلب المتصل من الضحية تزويده بمعلومات حساسة مثل كلمة المرور، كود التحقق، أو بيانات البطاقة البنكية. في كثير من الحالات يستخدم المهاجم أساليب الترهيب (مثل التهديد بإغلاق الحساب) أو الترغيب (مثل تقديم عرض أو هدية) لدفع الضحية إلى الاستسلام والإفصاح عن بياناته.

هذا النوع من الهجوم يعتمد على استغلال ثقة الضحية في المؤسسات الرسمية، والضغط النفسي، لإجباره على التصرف بسرعة دون أن يفكر.

كيفية تجنب المشكلة

• لا تعطي كلمات المرور أو رموز التحقق لأي شخص عبر الهاتف مهما كانت صفته أو وظيفته.
• اطلب دائمًا من المتصل أن يثبت هويته بطريقة رسمية، مثل ذكر رمز موظف رسمي أو إرسال بريد من جهة الشركة للتحقق.
• تواصل مع الجهة الرسمية بنفسك عبر أرقام الاتصال الموثوقة للتأكد من صحة المكالمة قبل اتخاذ أي إجراء.
• لا تتسرع تحت ضغط التهديد أو الخوف، وخذ وقتك للتأكد من صحة المعلومات.
• درّب نفسك على التعرف على أساليب الهندسة الاجتماعية، مثل التهويل أو استعجالك في القرار.
• أبلغ قسم أمن المعلومات فورًا إذا تعرضت لاتصال مشبوه.

 مثال 3: الطُعم (Baiting)

يقوم المهاجم بتحضير وحدة تخزين USB تحتوي على برامج ضارة أو ملفات خبيثة مصممة للتجسس أو سرقة البيانات، ثم يترك هذه الوحدة عمدًا في مكان يسهل أن يعثر عليه الآخرون، مثل كافتيريا الشركة، قاعة الاجتماعات، أو حتى موقف السيارات. غالبًا ما يكتب عليها عبارات جذابة مثل “رواتب الموظفين” أو “صور شخصية” لزيادة فضول من يجدها.

حين يعثر الموظف عليها، قد يندفع بدافع الفضول أو الرغبة في إعادة الأمانة لصاحبها، فيقوم بتوصيل الـ USB إلى حاسوبه لفتح محتواها. عندها تنفذ البرمجيات الضارة مباشرة وتبدأ بسرقة كلمات المرور أو الملفات المهمة أو حتى تمنح المهاجم إمكانية التحكم بالجهاز عن بُعد.

هذه التقنية تسمى Baiting (الطُعم) لأنها تعتمد على استغلال الفضول البشري والرغبة في المساعدة، وتعد من أخطر أساليب الهندسة الاجتماعية لأنها لا تتطلب أي تواصل مباشر مع الضحية، بل فقط استغلال ضعف الفضول الطبيعي عند الناس.

كيفية تجنب المشكلة

• لا تستخدم أبدًا أي أجهزة تخزين (مثل USB أو أقراص صلبة) مجهولة المصدر أو عثرت عليها بالصدفة.
• احرص على تفعيل برنامج مضاد الفيروسات (Anti-Virus) مع تحديثه بشكل دوري لرصد أي تهديد محتمل.
• بلّغ فورًا قسم تقنية المعلومات أو الأمن السيبراني في مؤسستك عن أي جهاز تخزين مشبوه أو مريب.
• فعّل خاصية التشغيل التلقائي (AutoRun) الآمن بحيث لا يسمح بتنفيذ أي ملفات على USB إلا بموافقتك.
• درّب الموظفين على عدم إدخال أي وحدة تخزين غير مصرح بها في أجهزة العمل.
• التزم بسياسات أمن المعلومات الداخلية التي تحدد كيف يمكن توصيل الأجهزة الخارجية بالشبكة.

 مثال 4: الهندسة الاجتماعية وجهاً لوجه

يقوم المهاجم بالتخطيط للدخول إلى مقر الشركة أو المؤسسة بشكل مباشر، مستغلًا مظهره ولباقته لإقناع موظفي الأمن أو الاستقبال بأنه موظف جديد، أو أنه فني صيانة تابع لمقاول متعاقد مع الشركة. غالبًا ما يرتدي زيًا رسميًا أو يحمل بطاقة تعريف مزورة، كي يبدو جديرًا بالثقة ولا يثير الشكوك.

بعد دخوله، يبدأ بالتحرك داخل مكاتب الموظفين أو غرف الخوادم أو حتى مناطق الطباعة والأرشفة، بهدف الوصول إلى مستندات مهمة، كلمات مرور مكتوبة على المكاتب، أو أجهزة متصلة بالشبكة الداخلية للشركة. قد يتظاهر بإصلاح جهاز ما، بينما هو في الحقيقة يقوم بزرع برمجيات خبيثة أو ينسخ بيانات حساسة على ذاكرة محمولة.

يستفيد المهاجم هنا من ضعف الإجراءات الأمنية الداخلية أو من تهاون الموظفين في التحقق من هوية الغرباء، ليجمع ما يحتاجه دون الحاجة لاختراق تقني عن بعد. وأيضا يعد هذا الأسلوب من أخطر أشكال الهندسة الاجتماعية لأنه يستغل الثقة والظهور المألوف للدخول إلى قلب المكان المستهدف دون أي مقاومة تُذكر.

كيفية تجنب المشكلة

• تأكد من هوية أي شخص غريب يدعي أنه موظف جديد أو فني صيانة قبل السماح له بالدخول.
• لا تسمح بدخول أي شخص إلى المناطق الحساسة بدون تصريح رسمي موثق أو بطاقة تعريف حقيقية.
• التزم بسياسة مرافقة الزوار داخل المنشأة، بحيث لا يُترك الزائر يتجول بحرية وحده.
• درّب موظفي الاستقبال والحراس على التحقق من بيانات جميع الزوار والتأكد من مواعيد عملهم المصرح بها.
• فعّل أنظمة تسجيل الدخول والخروج لكل شخص غريب مع تدوين سبب الزيارة ووقتها.
• نبّه الموظفين إلى عدم مشاركة كلمات المرور أو الوصول للأجهزة مع أي شخص مجهول بحجة الصيانة.

 مثال 5: الهندسة الاجتماعية عبر وسائل التواصل

يقوم المهاجم بإنشاء حساب وهمي على وسائل التواصل الاجتماعي، مستخدمًا صورة ملف شخصي جذابة واسم يبدو مألوفًا أو موثوقًا — أحيانًا ينتحل صفة زميل في العمل أو شخص له اهتمامات مشتركة معك. يرسل لك طلب صداقة مدروس جيدًا، ويبدأ الحديث بأسلوب ودي، مثل مناقشة اهتماماتك أو تهنئتك على إنجاز معين نشرته.

بعد كسب ثقتك وبناء علاقة سطحية، يبدأ في استدراجك بشكل غير مباشر لجمع معلومات عنك، مثل تفاصيل عملك، بريدك الإلكتروني، أو حتى بيانات شخصية (تاريخ ميلادك، مكان إقامتك، أسماء أفراد عائلتك). قد يحاول لاحقًا استغلال هذه المعلومات لاختراق حساباتك، أو انتحال هويتك، أو تنفيذ هجوم تصيد أكثر تعقيدًا عبر رسائل خاصة، مثل إرسال رابط خبيث بحجة مشاركة خبر أو صورة.

هذا الأسلوب يعرف بـ الهندسة الاجتماعية عبر وسائل التواصل، ويعتمد على إقناعك بأن المهاجم صديق أو شخص جدير بالثقة، ليحولك لاحقًا إلى هدف سهل من الداخل.

كيفية تجنب المشكلة

• لا تقبل طلبات الصداقة من أشخاص مجهولين أو غرباء لا تعرفهم بشكل موثوق.
• لا تشارك بياناتك الشخصية أو صورك العائلية أو تفاصيل مكان سكنك علنًا على وسائل التواصل.
• راجع إعدادات الخصوصية في حساباتك باستمرار، وقيّد من يمكنه رؤية منشوراتك ومعلوماتك الشخصية.
• تأكد من هوية أي شخص يتواصل معك ويدّعي معرفتك، خاصة لو طلب منك أي بيانات حساسة.
• لا تضغط على روابط مرسلة عبر الرسائل الخاصة إلا بعد التحقق منها جيدًا.
• استخدم المصادقة الثنائية (Two-Factor Authentication) لتعزيز حماية حساباتك.
• أبلغ إدارة المنصة فورًا إذا شككت في أي حساب مشبوه أو تعرضت لمحاولة احتيال.

حماية نفسك من الهندسة الاجتماعية

من المهم جدًا أن تدرك أن كلمة المرور، حتى لو كانت قوية جدًا، لن تحميك وحدها إذا قمت بالإفصاح عنها بلسانك لمهاجم ذكي!
إذن تبدأ الحماية الحقيقية من وعيك، وهذه أهم الخطوات التي يجب اتباعها:

1_ تحقق دائمًا من مصدر الطلب
لا تثق بأي اتصال هاتفي أو بريد إلكتروني يطلب منك بيانات حساسة قبل التحقق الدقيق من هوية المرسل.

2_لا تشارك معلوماتك الشخصية بسهولة
مهما بدت الجهة رسمية، لا تعطي معلوماتك الخاصة أو كلمات المرور لأي شخص بدون تأكد تام.

3_فكر وانتقد قبل أن تستجيب
درّب نفسك على التفكير النقدي واطرح الأسئلة المنطقية قبل اتخاذ أي إجراء.

4_طبّق سياسات الأمان بوعي
راجع باستمرار سياسات الأمان في عملك، وتعلم كيف تكشف أساليب الهندسة الاجتماعية المنتشرة.

5_ تجنّب الروابط المشبوهة
لا تنقر على روابط غير معروفة، واحرص على منع أي شخص غريب من الوصول إلى أجهزتك أو بياناتك.

الخلاصة:

الهندسة الاجتماعية هي اختراق للعقل البشري قبل أن تكون اختراقًا للأجهزة. إنها سلاح نفسي يعتمد على استغلال الثقة، العجلة، الخوف، والطمع، ليجعلك تشارك بياناتك بإرادتك.

لذلك يقال: الأمن يبدأ من وعيك.
ومهما كانت حمايتك التقنية قوية، لن تنجو من الهندسة الاجتماعية ما لم تكن يقظًا، حذرًا، وتستخدم الشك المعقول كدرع أساسي لكل معلومة تُطلب منك.

تذكّر في النهاية:
كلمة المرور مهما كانت قوية لا قيمة لها إن أفصحت عنها بكامل إرادتك، والمهاجم الاجتماعي لا يحتاج إلى برامج معقدة، بل فقط إلى ثقتك. فكن حريصًا دائمًا، ولا تمنح مفاتيحك على طبق من ذهب!

 المصادر

Cisco Cybersecurity

Norton (by Symantec)

(National Cyber Security Centre (UK