ما هي الهندسة الاجتماعية في الأمن السيبراني ؟ الحماية من 17 أنواع من الهجمات

ما هي الهندسة الاجتماعية في الأمن السيبراني؟ إنها التقنية الخفية التي يستخدمها المهاجمون لاختراق العقول قبل أن تخترق أنظمة الكمبيوتر، حيث يعتمدون على الخداع والتلاعب النفسي لإقناع الأفراد بالكشف عن معلومات حساسة أو تنفيذ إجراءات تفتح الباب أمام هجمات سيبرانية قد تهدد الدول والمنظمات على حد سواء.

هل سبق أن تلقيت رسالة بريد إلكتروني تدّعي أن حسابك على وشك الانتهاء، وتحثك على النقر على رابط للتحقق من معلوماتك؟ قد تكون تلك محاولة للهندسة الاجتماعية، الهندسة الاجتماعية هي أسلوب شائع يستخدمه مجرمو الإنترنت لاستغلال الثغرات البشرية، وفهمها أمر بالغ الأهمية لحماية نفسك عبر الإنترنت.

ما هي الهندسة الاجتماعية؟

في جوهرها، ليست الهندسة الاجتماعية هجوماً إلكترونياً مباشراً، بل هي علم قائم على سيكولوجية الإقناع. فهي تستهدف العقل البشري تماماً كما يفعل المحتالون أو النصابون التقليديون. الهدف منها هو كسب ثقة الضحية ليُسقط دفاعاته، ثم دفعه إلى القيام بأفعال غير آمنة مثل الكشف عن معلومات شخصية أو النقر على روابط أو فتح مرفقات قد تكون خبيثة.

تعتمد الهندسة الاجتماعية على استغلال علم النفس البشري بدلاً من الثغرات التقنية. إنها فن التلاعب بالأفراد لدفعهم للكشف عن معلومات حساسة أو القيام بأفعال تهدد الأمن، من دون أن يدركوا أنهم وقعوا ضحية للخداع.

على عكس القرصنة التقليدية التي تستهدف الأنظمة، تركّز الهندسة الاجتماعية على الأشخاص. يستغل المهاجمون سمات مثل الثقة، الخوف، الفضول، أو غريزة المساعدة. على سبيل المثال: رسالة مقنعة من “دعم تقني” تطلب تفاصيل تسجيل دخولك؟ هذه هندسة اجتماعية بامتياز.

قد يتم داخل صفحة موقع إلكتروني تزوره تضمين صورة أو نص أو نموذج تسجيل دخول، يبدوا بأنه رسمي وحقيقي كما يدَّعي لكنه يكون مزيف وهدفه خداعك، وقد يكون على شكل إعلان يحثك على تنزيل برامج غير مرغوب فيها مثلاً.¹

لماذا هذا مهم؟ لأن الإنسان غالباً ما يكون الحلقة الأضعف في الأمن السيبراني. لذلك يجب على الشركات ألا تركّز فقط على حماية الأنظمة، بل أيضاً على تدريب الموظفين للتعرف على هذه الحيل النفسية. الوعي واليقظة هما خط الدفاع الأول.

كيف تعمل الهندسة الاجتماعية؟

تُعرف هجمات الهندسة الاجتماعية أيضاً باسم “الاختراق البشري”، حيث يستغل المهاجمون المعلومات التي يجدونها على الإنترنت ومنصات التواصل الاجتماعي لاستهداف الأفراد أو المؤسسات.

تُستخدم هذه المعلومات كطُعم لخداع المستخدمين والإيقاع بهم لتسريب معلومات حساباتهم أو كلمات المرور أو حتى الوصول إلى أنظمة المؤسسة.

ويعتمد المهاجمون على تقنيات نفسية لاستثارة استجابة عاطفية، مثل الضغط العاجل أو الترهيب، أو استخدام عناوين مثيرة للانتباه لدفع المستخدمين إلى النقر على روابط خبيثة.

في هجوم هندسة اجتماعية تقليدي، يتواصل المهاجم مع الضحية بادعاء أنه من مؤسسة موثوقة. وفي بعض الحالات، قد ينتحل شخصية شخص يعرفه الضحية.

إذا نجحت الخدعة واعتقد الضحية أن المهاجم هو ما يدّعيه، يقوم الأخير بدفع الضحية لاتخاذ خطوة إضافية، مثل الكشف عن معلومات حساسة (ككلمات المرور أو تاريخ الميلاد أو بيانات الحساب البنكي). أو قد يتم إغراؤه بزيارة موقع ويب مزيف يحتوي على برمجيات خبيثة تتسبب في تعطيل جهازه. وفي أسوأ الحالات، قد يقوم الموقع الضار بسرقة بيانات حساسة من الجهاز أو السيطرة عليه بالكامل.

تشتهر الهندسة الاجتماعية بحقيقة بسيطة وهي: اختراق البشر أسهل من اختراق الأنظمة.

يستخدم المهاجمون الحيل النفسية للتلاعب بالأشخاص ودفعهم للكشف عن معلومات حساسة أو منح وصول إلى أنظمة محمية. وغالباً ما تستغل هذه التقنيات مشاعر مثل الثقة أو الخوف أو الفضول، مما يجعلها فعّالة بشكل خطير.

• التصيّد الاحتيالي (Phishing): رسالة بريد إلكتروني مزيفة من “دعم تقني” تطلب منك إعادة تعيين كلمة المرور عبر رابط خبيث. إذا وقعت في الفخ، يحصل المهاجم على بيانات اعتمادك.
• الانتحال (Pretexting): يختلق المهاجم قصة مقنعة — مثل انتحال صفة بنكك للتحقق من بيانات الحساب — لإقناعك بمشاركة معلومات خاصة.
• الإغراء (Baiting): إغراء مثل فلاش USB مكتوب عليه “سري” تُرك في مكان عام. بمجرد توصيله بجهازك، قد يُثبَّت برنامج ضار.
• التسلل المادي (Tailgating): شخص غريب يتبعك عند دخولك مكتباً آمناً، معتمداً على مجاملتك في إبقاء الباب مفتوحاً.

باستغلال التفاعلات اليومية والسلوكيات البشرية، تتجاوز الهندسة الاجتماعية أنظمة الحماية والجدران النارية، مستهدفة العنصر البشري مباشرة.

تحدث هجمات الهندسة الاجتماعية عندما يستخدم المهاجمون الروابط الاجتماعية وأساليب الخداع للضغط على المستخدمين أو خداعهم للقيام بأفعال تضر بمصالح مؤسستهم، مثل تقديم معلومات حساسة أو كلمات مرور أو بيانات مالية. غالباً ما يتظاهر المهاجمون بأنهم شخص معروف، أو مؤسسة أو شركة ذات سمعة طيبة، أو حتى موظف حكومي. قد يحاولون التأثير على المستخدمين للقيام بشيء يمنحهم إمكانية الوصول إلى بيئة العمل، مثل تغيير كلمة مرور حساب.

دورة حياة هجوم الهندسة الاجتماعية

1. الطُعم (The Bait): جمع معلومات عن المؤسسة وموظفيها من الشبكات الاجتماعية وغيرها.
2. الخطّاف (The Hook): استغلال التعاطف أو الاستعجال أو الترهيب لإقناع الضحية.
3. الهجوم (The Attack): إجبار الضحية على تسريب بيانات أو النقر على رابط أو تغيير كلمة مرور.
4. الهروب (The Escape): يختفي المهاجم بعد الحصول على مبتغاه، وأحياناً يهدد الضحية بالصمت.

من خلال هذه المعلومات، يستطيع المهاجمون سرقة بيانات العمل والبيانات المالية للمؤسسة، والوصول إلى حسابات المستخدمين، وربما نشر برمجيات خبيثة. أي شخص يمكن أن يكون هدفاً للهندسة الاجتماعية، بدءاً من الموظفين العاديين وصولاً إلى المدير التنفيذي. لذلك، معرفة كيفية التعرف على هذه الهجمات وحماية الموظفين منها أمر بالغ الأهمية لحماية شبكات وأنظمة وبيانات المؤسسة.

لماذا تعد الهندسة الاجتماعية خطيرة للغاية؟

لأن الحلقة الأضعف ليست البرمجيات — بل البشر.
بينما تحمي الجدران النارية ومضادات الفيروسات من الثغرات التقنية، فإن الهندسة الاجتماعية تتجاوزها عبر التلاعب النفسي. وهذا يجعلها تهديداً شديد الخطورة حتى في وجود أقوى أنظمة الحماية.

تكمن خطورة الهندسة الاجتماعية في أن نجاحها لا يتطلب خداع الجميع؛ ضحية واحدة فقط قد توفر للمهاجم المعلومات الكافية لتنفيذ هجوم يستهدف مؤسسة بأكملها.

ومع مرور الوقت، أصبحت هذه الهجمات أكثر تعقيداً، حيث باتت المواقع أو رسائل البريد المزيفة واقعية لدرجة قادرة على خداع الضحايا للكشف عن بيانات حساسة تُستخدم في سرقة الهوية. كما أصبحت الهندسة الاجتماعية أحد أكثر الطرق شيوعاً لاختراق الدفاعات الأولية للمؤسسات بهدف التسبب في أضرار أوسع.

أنواع هجمات الهندسة الاجتماعية

لا يعتمد مجرمو الإنترنت فقط على التكنولوجيا — بل يستغلون السلوك البشري للحصول على ما يريدون.

تتخذ الهندسة الاجتماعية أشكالاً عديدة، صُممت جميعها للتلاعب بالأفراد أو المؤسسات للكشف عن معلومات حساسة أو منح وصول غير مشروع.

تعتمد هذه الأساليب على استغلال غرائز طبيعية مثل الثقة، الفضول، أو الخوف من السلطة. والتعرّف على العلامات التحذيرية، مثل الطلبات غير المتوقعة أو المواقف غير المعتادة، أمر ضروري للدفاع ضد هذه المخططات.

1. التصيّد (Phishing)

أكثر الأنواع شيوعاً، حيث تأتي على شكل رسالة بريد إلكتروني تبدو من مصدر شرعي، تطلب من الضحية تقديم بيانات حساسة (مثل معلومات بطاقة الائتمان أو بيانات تسجيل الدخول).

رسالة عاجلة من بنكك أو فريق تكنولوجيا المعلومات؟ قد تكون خدعة تصيّد.
التصيّد هو أكثر أشكال الهندسة الاجتماعية شيوعاً، حيث يرسل المهاجمون رسائل مزيّفة تبدو وكأنها من مؤسسات حقيقية مثل البنوك أو الشركات أو الجهات الحكومية. الهدف هو خداعك للكشف عن معلومات حساسة أو النقر على روابط تؤدي إلى مواقع مزيفة أو برامج ضارة.

2. هجمات “البرك المائية” (Watering Hole Attacks)

يستهدف المهاجمون مواقع ويب يرتادها موظفو قطاع معيّن (مثل الطاقة أو الخدمات العامة)، حيث يقومون باختراق تلك المواقع للإيقاع بالزوار المستهدفين.

3. اختراق البريد الإلكتروني للأعمال (BEC)

يتنكر المهاجم في صورة مسؤول تنفيذي (مثل مدير مالي أو رئيس شركة)، ليقنع الموظف بتنفيذ عملية مالية غير شرعية، وأحياناً قد يتصل هاتفياً لتأكيد الخدعة.

4. الهندسة الاجتماعية الميدانية (Physical Social Engineering)

لا تقتصر على الفضاء الإلكتروني، بل تشمل الهجمات الشخصية على موظفي الاستقبال، الدعم الفني أو المسافرين الدائمين.
ينبغي للمؤسسات تعزيز الأمن المادي مثل سجلات الزوار، متطلبات المرافقة، وفحوصات الخلفية.

5. خدعة أقراص USB (USB Baiting)

يقوم المهاجمون بزرع أقراص USB مصابة ببرمجيات خبيثة في أماكن عامة، على أمل أن يلتقطها شخص ما ويوصلها بجهازه، ما يؤدي إلى تسلل البرمجيات الضارة إلى شبكة المؤسسة.

6. الانتحال (Pretexting)

يقوم المهاجم بخلق قصة أو سيناريو كاذب لإقناعك بالكشف عن بياناتك، مثل ادعاء أنه موظف دعم تقني يحتاج لبيانات دخولك لحل مشكلة.

7. الإغراء (Baiting)

الاعتماد على فضول الضحية أو طمعها، مثل عروض تحميل مجاني أو جهاز USB جذاب. الهدف هو أن يقوم الضحية بالنقر أو استخدام جهاز يزرع برامج ضارة، أو خداع الضحية للنقر على رابط خبيث عبر إغراء بجائزة أو مكافأة.

8. المقايضة (Quid Pro Quo)

إغراء الضحية بمقابل “مكافأة” مثل دعم تقني مجاني أو عروض مغرية مقابل معلومات حساسة، أو إقناع الضحية بتقديم بيانات حساسة أو تنفيذ مهمة مقابل خدمة..

9. التسلل المادي (Tailgating)

شخص غير مخوّل يدخل منطقة آمنة عبر التطفل خلف شخص يحمل صلاحية الدخول.

10. البرمجيات التخويفية (Scareware)

تنبيهات وهمية مفاجئة تدّعي أن جهازك مصاب بفيروس وتدفعك لشراء برامج أمنية مزيفة أو تقديم بيانات شخصية، أو إقناع الضحية بأن جهازه مصاب أو مهدد لدفعه للنقر على روابط خبيثة أو تحميل برامج.

11. التصيّد الموجّه (Spear Phishing):

يستهدف أفراداً محددين حيث يستهدف فرداً أو مجموعة صغيرة برسالة مخصصة أكثر إقناعاً..

12. صيد الحيتان (Whaling):

يستهدف المدراء التنفيذيين وكبار المسؤولين حيث يستهدف كبار الموظفين مثل المدير التنفيذي (CEO) أو المدير المالي (CFO)..

13. التصيّد المرتبط بخدمات السحابة (SaaS):

مثل رسائل مزيفة تدّعي أنها من Microsoft تطلب إعادة تعيين كلمة المرور أو حل “مشكلة” في الحساب.

14. التصيّد عبر الرسائل النصية (Smishing):

يتم عبر رسائل SMS.

15. التصيّد عبر رموز QR (Quishing):

إدراج رمز QR يقود إلى موقع خبيث.

16. التصيّد الصوتي (Vishing):

عبر المكالمات الهاتفية أو البريد الصوتي باستخدام أرقام مزيّفة أو تقليد الصوت، وأحياناً عبر الذكاء الاصطناعي.

17. مصائد العسل (Honey Traps):

إقامة علاقة عاطفية مزيفة عبر الإنترنت للحصول على المال أو المعلومات.

المخاطر المترتبة على الوقوع ضحية للهندسة الاجتماعية

• تسريب بيانات حساسة شخصية أو مؤسسية.
• خسائر مالية نتيجة الاحتيال.
• أضرار بالسمعة للشركات.
• التعرض لهجمات مستقبلية متكررة.

قصص حقيقية لهجمات الهندسة الاجتماعية وقعت لأشخاص حول العالم

تستدعي البرمجيات الخبيثة انتباهًا خاصًا لأنها واسعة الانتشار وقد تُحدث أضرارًا طويلة الأمد. عندما يستعين مجرمو الإنترنت بتقنيات الهندسة الاجتماعية، فإن هدفهم إقناع الأشخاص بتنفيذ فعل يفتح الطريق أمام العدوى — مثل تشغيل ملف مصاب أو زيارة رابط خبيث.

فكثير من فيروسات البريد الإلكتروني والبرامج الضارة المحمولة تعتمد أساليب خداعية من هذا النوع، وغياب حلول أمان متكاملة على الهواتف والحواسيب يجعل المستخدمين أكثر عرضة للإصابة.

فيروسات البريد الإلكتروني والهواتف المحمولة

يسعى المهاجمون إلى جذب فضول الضحية أو إثارة انتباهه لكي ينقر على رابط أو يفتح مرفقًا مصابًا، أمثلة بارزة على ذلك:

• فيروس I LOVE YOU الذي انتشر سنة 2000 وأدى إلى ضغط هائل على خوادم البريد لدى شركات كثيرة؛ انتُشر عبر رسالة تبدو كرسالة حب تحتوي على مرفق، وبمجرد فتحه نسخ نفسه إلى جميع عناوين دفتر العناوين لدى الضحية، مسبّبًا خسائر مالية كبيرة.
• فيروس Mydoom الذي ظهر في يناير 2004 واستغل رسائل تبدو كتنبيهات فنية صادرة من خوادم البريد لخداع المستخدمين.
• فيروس Swen الذي انتشر عبر رسالة تُدّعي أنها من شركة Microsoft وتقدّم “تصحيحًا” لنظام Windows؛ كثيرون قاموا بمحاولة تثبيت هذا التصحيح الزائف فكانت النتيجة العدوى.

طرق نشر روابط البرامج الضارة

تُرسل الروابط الخبيثة عبر وسائط متعددة: البريد الإلكتروني، برامج المحادثة الفورية مثل ICQ، غرف الدردشة المباشرة (IRC)، وحتى الرسائل القصيرة في حالة برامج الهواتف المحمولة. لا يهم وسيلة الإرسال بقدر ما تهم صيغة الرسالة الخادعة — غالبًا ما تحتوي على عبارات جذابة أو مخادعة تحث المستخدم غير الحذر على الضغط، ما قد يساعد البرمجيات الضارة على التخفي من مرشحات مكافحة الفيروسات على خوادم البريد.

استغلال شبكات المشاركة (P2P)

تُستخدم شبكات مشاركة الملفات أيضًا لتوزيع برمجيات خبيثة؛ يُنشر الملف المصاب تحت اسمٍ جذاب يُغري المستخدم لتحميله وتشغيله، مثل أسماء تدّعي أنها أدوات أو ألعاب أو مفاتيح تفعيل، فتصبح وسيلة فعّالة للإصابة.

طرق لمنع البلاغ عن الإصابة

أحيانًا يصمم المهاجمون البرمجيات الخبيثة كي تُثني الضحية عن الإبلاغ؛ يقدمون عروضًا زائفة تبدو مفيدة — مثل وصول مجاني للخدمات، أدوات مزعومة لتوليد أرقام بطاقات ائتمان، أو وعود بزيادة رصيد حسابات إلكترونية — وعندما يتبين أنها برمجيات خبيثة، يخشى بعض الضحايا من الإفصاح لأنهم قد يكونون انخرطوا في أفعال غير قانونية أو مشبوهة (مثلاً عند قبول عروض مزيفة من مواقع توظيف استُخرجت منها عناوين بريدية للشركات).

الهندسة الاجتماعية الأسلوب الجديد للحروب السيبرانية بين الدول

الهندسة الاجتماعية تشكل أداة حيوية في الحروب السيبرانية فأول استخدام للهندسة الإجتماعية قبل ظهور الإنترنت ولا أجهزة الحاسوب والأنظمة الرقمية كان من طرف أجهزة الإستخبارات، وعملاء وكالات الإستخبارات الدولية، ولازال من أساليبهم لحدود الساعة بشكليه الرقمي والميداني.

حيث تعتمد على التلاعب النفسي لخداع الأفراد أو المجموعات للكشف عن معلومات حساسة أو القيام بإجراءات قد تهدد مصالحهم، في سياق الصراع بين الدول، تُستخدم هذه التقنية للوصول إلى أنظمة حكومية وشركات استراتيجية، بما يسمح بسرقة بيانات استخباراتية، تعطيل البنية التحتية، أو التلاعب بالعمليات الرقمية لدولة مستهدفة.²

تُسهل الهندسة الاجتماعية تحميل برمجيات خبيثة على الأجهزة المستهدفة أو الحصول على بيانات اعتماد تسجيل الدخول، ما يفتح المجال أمام مهاجمات أكبر وأكثر تأثيرًا. كما يمكن استغلالها لبث المعلومات المضللة عبر وسائل التواصل وإحداث انقسامات داخل المجتمعات المستهدفة، ما يزيد من ضعف الدولة أمام الهجمات السيبرانية ويؤثر على الثقة بين المواطنين والحكومة.

يعد استخدام الهندسة الاجتماعية خطيرًا بشكل خاص لأنها تعتمد على العنصر البشري، الذي غالبًا ما يكون الحلقة الأضعف في أي نظام أمني، ويمكن أن تحقق نتائج استراتيجية كبيرة بموارد محدودة. كما يمكن دمجها مع هجمات تقنية أخرى مثل سرقة البيانات، تعطيل الخدمات، أو عمليات تشويش لتغطية الهجوم الأساسي، ما يزيد من صعوبة الكشف والرد عليها.

مواجهة هذا التهديد تتطلب تعزيز وعي المستخدمين والتدريب المستمر لهم، بالإضافة إلى تطبيق تدابير تقنية قوية مثل التوثيق متعدد العوامل، سياسات أقل امتيازًا، تحديثات دورية، ومراقبة مستمرة للشبكات والبيانات الحساسة. هذه الإجراءات تساعد على تقليل تأثير الهجمات وحماية الأنظمة الحيوية من الاستغلال في النزاعات السيبرانية.

كيف تكتشف هجمات الهندسة الاجتماعية

الوقاية تبدأ باليقظة والنظر بعقلٍ راجح قبل أي رد فعل. يهدف المُهاجمون إلى دفعك لاتخاذ قرار سريع قبل أن تُقيّم المخاطر — لذا اتخذ نهجًا معاكسًا: تريَّث وفكّر. فيما يلي علامات تنبيهة وأسئلة تساعدك على التحقق من رسائل مشبوهة:³

• هل تحاول الرسالة إثارة مشاعرك (خوف، فضول، حماس) لدفعتك للتصرّف بسرعة؟ إذا كانت العاطفة مرتفعة، فاعتبر ذلك مؤشر خطر.
• هل عنوان المرسل أو ملفه الشخصي موثوق؟ دقّق في عناوين البريد وحروفها فقد تُستبدَل أو تُشابه عناوين حقيقية (مثال: استخدام حرف بديل للاحتيال).
• هل أرسل لك بالفعل هذا الشخص؟ اتصل بالمرسل مباشرة — هاتفًا أو وجهًا لوجه — للتأكد من أن الرسالة صادرة فعلاً عنه.
• هل صفحة الويب تبدو مشبوهة؟ أخطاء في العنوان، صور رديئة الجودة، شعارات قديمة أو أخطاء لغوية كلها إشارات على احتمال الاحتيال.
• هل العرض يبدو جيدًا لدرجة يصعب تصديقها؟ عروض القيمة الكبيرة مجانًا أو بسهولة غالبًا ما تكون طُعمًا.
• هل الروابط أو المرفقات تبدو غامضة أو غير متسقة مع سياق الرسالة؟ إن بدا اسم الملف أو الرابط غريبًا أو أُرسل في توقيت غير متوقع، فكن حذرًا.
• هل يستطيع المرسل إثبات انتماءه للمؤسسة التي يدّعيها؟ إذا لم تستطع تحقّق الهوية عبر قنوات رسمية، فلا تمنحه صلاحيات أو معلومات.

باتباع مبادئ الحيطة هذه — التأنّي، التحقق من الهوية، فحص الروابط والمرفقات، والتشكيك في العروض الخارجة عن المألوف — يمكنك تقليل فرصة الوقوع فريسة لهجمات الهندسة الاجتماعية.

كيف أحمي نفسي ومؤسستي من الهندسة الاجتماعية؟

رغم أن الهجمات النفسية تختبر قوة حتى أفضل أنظمة الأمان، إلا أنه يمكن للشركات تقليل المخاطر عبر التدريب على التوعية.⁴

• التدريب المستمر المخصص لطبيعة كل مؤسسة أمر بالغ الأهمية. ينبغي أن يتضمن التدريب محاكاة لسيناريوهات محتملة، مثل انتحال شخصية موظف بنك يطلب من الضحية “تأكيد” بيانات حسابه، أو رسالة تبدو من مدير تنفيذي (تم تزوير بريده الإلكتروني) يطلب فيها تحويل مبلغ مالي إلى حساب محدد.
• يساعد هذا التدريب الموظفين على فهم دورهم الحاسم في ثقافة الأمان المؤسسية.
• يجب كذلك وضع سياسات أمنية واضحة لمساعدة الموظفين على اتخاذ القرارات الصحيحة عند مواجهة محاولات للهندسة الاجتماعية.

أمثلة على السياسات والإجراءات المفيدة:

• إدارة كلمات المرور: وضع قواعد تتعلق بطول كلمة المرور وتعقيدها، ومدة صلاحيتها، والتأكيد على عدم مشاركتها مع أي شخص مهما كان منصبه.
• المصادقة متعددة العوامل: يجب استخدامها مع الخدمات الحساسة بدلاً من الاعتماد فقط على كلمات المرور.
• أمن البريد الإلكتروني: استخدام أدوات حماية متعددة الطبقات لمكافحة التصيد والرسائل الاحتيالية.

كيفية حماية نفسك من هجمات الهندسة الاجتماعية؟

1. التثقيف والتدريب المستمر.
2. تفعيل المصادقة متعددة العوامل (MFA) لجميع الحسابات والأنظمة.
3. الحفاظ على خصوصية المعلومات الشخصية.
4. استخدام كلمات مرور قوية ومديري كلمات مرور.
5. الحذر من الرسائل والروابط المريبة.
6. تثبيت وتحديث برامج الحماية.
7. تفعيل المصادقة الثنائية (2FA).⁵
8. الإبلاغ الفوري عن أي هجوم مشبوه إلى قسم تقنية المعلومات.
9. تقليل المعلومات المنشورة على وسائل التواصل الاجتماعي.
10. استخدام فلاتر البريد الإلكتروني وإزالة الماكروز الضارة.
11. حظر العناوين والملفات والمواقع المشبوهة عبر قوائم السماح/الحظر.
12. تثبيت أدوات الأمان مثل مضادات الفيروسات والجدران النارية.
13. تفعيل التحديثات التلقائية للأنظمة
14. تطبيق خطة استجابة للحوادث تشمل هجمات الهندسة الاجتماعية.
15. الاحتفاظ بنسخ احتياطية غير متصلة بالشبكات لضمان الأمان.
16. تدريب الموظفين على كيفية التعرف على محاولات الهندسة الاجتماعية.⁶

ماذا تفعل إذا وقعت ضحية لهجوم هندسة اجتماعية؟

• أبلغ فوراً فريق الأمن السيبراني أو الجهة المختصة.
• غيّر كلمات مرورك.
• فعّل المصادقة الثنائية.
• قيّم حجم الأضرار وقم بمراجعة بروتوكولات الأمان.
• تعلّم من التجربة لتجنّب تكرارها.

الأسئلة الشائعة

1. مجموعة خدمات بحث Google ↩︎
2. المركز الأوروبي لدراسات مكافحة الإرهاب والتجسس ↩︎
3. Kaspersky ↩︎
4. CISCO ↩︎
5. DataGuard ↩︎
6. Canadian Center For Cyber Security ↩︎