قد ينتحل المحتالون شخصية شخص موثوق عبر الهاتف مثلا للحصول على بيانات حساسة وإقناع الضحية بتسليم المال، حيث أنه إذا تم الاستعداد مسبقًا لكسب ثقة الضحية، يمكن استخدام هذه الحيلة، التي تسمى الذريعة، ومع تقدم الجريمة الإلكترونية مع الزمن، هناك تقارير عن مجرمين يستخدمون حيل اخرى كالتوليف الصوتي المستند إلى الذكاء الاصطناعي لتقليد أصوات المديرين التنفيذيين بالشركة للإذن بالمدفوعات الاحتيالية.
ما هي القرصنة الاجتماعية
هي الهندسة الاجتماعية المطبقة في مجال الأمن السيبراني، باستخدام عمليات الاحتيال والمعلومات الشخصية التي يتم الحصول عليها من مصادر أخرى، يمكن للمهاجمين الحصول على معلومات حساسة أو التلاعب بسلوك الأشخاص بما يتناسب مع غرضهم، والحقيقة هي أنه من الأسهل اختراق الأشخاص مقارنة بالآلات، على سبيل المثال، حيث يتسائل المحتالون لماذا يتم تضييع الوقت والجهد لسرقة كلمات المرور أو اعتراضها أو كسرها بينما من الممكن فقط الاتصال بشخص ما وطلب بيانات اعتماد تسجيل الدخول الخاصة به، حيث أنه من خلال التلاعب بالأشخاص بمهارة معينة، يمكن للمهاجمين تجاوز الإجراءات الأمنية المنطقية والمادية.
هجمات التصيد الاحتيالي
هجمات التصيد الاحتيالي هي افضل وسيلة لمجرمي الإنترنت، حيث يعتمد التصيد الاحتيالي على إرسال معلومات مزيفة إلى الضحايا على أمل أن يتم خداعهم، كما تعد رسائل البريد الإلكتروني التصيدية المجمعة أكثر طرق الاحتيال شيوعًا، ولكن يتم أيضًا استخدام الرسائل الفورية ومنشورات الوسائط الاجتماعية والقنوات الأخرى، الهدف الأكثر شيوعًا لهجمات التصيد الاحتيالي هو الحصول على بيانات حساسة، على سبيل المثال بيانات تسجيل الدخول أو معلومات بطاقة الائتمان، ولكن توجد أيضًا العديد من اساليب الهجوم الأخرى، مثل تثبيت أنواع من البرامج الضارة على جهاز المستخدم أو خداع الضحايا لإرسال الأموال.
يمكن أن تحاكي رسائل البريد الإلكتروني الخادعة الرسائل الشائعة مثل إشعارات التسليم أو إرسال الفواتير أو المحتوى الذي تتم مشاركته مع الأصدقاء، حيث تشكل عمليات الاحتيال ذات الرسوم المسبقة فئة منفصلة، ويسارع مجرمو الإنترنت أيضًا إلى متابعة الموضوعات الشائعة في حملاتهم، واستغلال إطلاق المنتجات، الأحداث السياسية ،الرياضية، الكوارث الطبيعية أو حتى جائحة (COVID-19) لجذب المستخدمين إلى النقر فوق ارتباط ضار.
بينما يتم إرسال غالبية رسائل التصيد الاحتيالي كرسائل بريدية لعناوين تم سرقتها أو إنشاؤها تلقائيًا، إلا أن هجمات التصيد الشخصية موجودة أيضًا، حيث يعتمد التصيد على التواصل الشخصي لزيادة فرص النجاح، باستخدام عناوين البريد الإلكتروني والمعلومات الشخصية التي يتم الحصول عليها من مواقع الشركة أو مواقع الشبكات الاجتماعية مثل (Facebook) أو (LinkedIn)، ويمكن للمهاجمين صياغة رسائل ذات مظهر مقنع موجهة إلى شخص معين.
يُستخدم التصيد الاحتيالي أيضًا للحصول على مدفوعات احتيالية، يمكن أن تبدو رسائل التصيد المعدة جيدًا مقنعة للغاية ليس فقط لمرشحات البريد العشوائي ولكن أيضًا للمستلمين، ويمكن أن تكون هذه الهجمات أكثر فعالية من التصيد الجماعي.
على سبيل المثال ادعى المخترق الشهير كيفن ميتنيك أنه حصل على جميع أوراق اعتماد هجماته من خلال الهندسة الاجتماعية فقط، دون اختراق أي أنظمة كمبيوتر، حيث انه في شركة كبيرة، لا يعرف الموظفون الجميع، لذا قد يكون إجراء مكالمة هاتفية من (Frank) في الدعم الفني لإجراء بعض الصيانة الروتينية أمرًا معقولاً ومقنعا للغاية، يمكن للمحتالين جمع أسماء الموظفين ورسائل البريد الإلكتروني وأرقام الهواتف استنادًا إلى المعلومات المتاحة للجمهور والبيانات المستخرجة في الهجمات التمهيدية.
تجاوز الأمان المادي
عند التفكير في الأمن السيبراني، يتم الميل إلى التركيز على الجانب التقني، مثل البرامج والأجهزة والشبكات وتقنيات الويب وما إلى ذلك، ولكن إذا تمكن المهاجم من استخدام حيل الهندسة الاجتماعية لتجاوز الأمن المادي والذهاب ببساطة إلى المكتب والوصول الفعلي إلى الجهاز، فإن أمن المعلومات يتم اختراقة ببساطة الخطوة الكلاسيكية هنا هي التراجع، والبديل الآخر هو عن طريق ادعاء احدهم ان البطاقة الذكية لا تعمل مرة أخرى، وطلب المساعدة باستخدام بطاقة الضحية.
بمجرد دخول المحتالين إلى المبنى، يمكنهم محاولة الوصول إلى الأجهزة المحلية لتنفيذ هجومهم، ومع ذلك، يمكنهم أيضًا أن يكونوا أكثر دقة ويستخدمون الحيل الجسدية من خلال ترك محركات أقراص (USB) محملة ببرامج ضارة، من المحتمل أن يقوم شخص ما بتوصيل أحد أقراص (USB) بجهاز الشركة أو جهاز كمبيوتر خاص فقط لمعرفة من فقده، وهذا يكفي لإصابة الكمبيوتر أو حتى شبكة المكتب بأكملها ببرامج احتيالية وضارة وفيروسات.