الهندسة الاجتماعية (التصيد الاحتيالي والمواقع الخادعة)

الهندسة الاجتماعية عبارة عن محتوى يخدع الزائرين للقيام ببعض الأشياء الخطيرة، مثل الكشف عن معلومات سرية أو تنزيل برنامج ما. إذا اكتشف Google أن موقعك الإلكتروني يحتوي على محتوى هندسة اجتماعية، فقد يعرض متصفح Chrome تحذيرًا مفاده "الموقع الذي يتم الانتقال إليه مخادع" عند مشاهدة الزائرين لموقعك. ويمكنك التحقق مما إذا كانت هناك أي صفحات على موقعك يشتبه في احتوائها على هجمات الهندسة الإلكترونية عن طريق الانتقال إلى تقرير المشكلات الأمنية.

افتح تقرير المشكلات الأمنية

نظرة عامة

ما الهندسة الاجتماعية؟

تحدث هجمات الهندسة الاجتماعية عندما يتمّ خداع مستخدم الويب لتنفيذ بعض الإجراءات الخطيرة على الإنترنت.

هناك أنواع مختلفة لهجمات الهندسة الاجتماعية:

  • التصيّد الاحتيالي: يخدع الموقع الإلكتروني المستخدمين للكشف عن معلوماتهم الشخصية (على سبيل المثال، كلمات المرور أو أرقام الهواتف أو بطاقات الائتمان). وفي هذه الحالة، يدّعي المحتوى القيام بعمل مثل كيان موثوق به، مثل متصفح أو نظام تشغيل أو مصرف أو حكومة، أو يمثل مظهره وجوهره.
  • المحتوى المُخادِع: يحاول المحتوى خداعك لتنفيذ بعض الإجراءات التي لا تجريها إلا مع كيان موثوق به، مثل مشاركة كلمة مرور أو الاتصال بالدعم الفني أو تنزيل البرامج، أو أنّ المحتوى يشتمِل على إعلان يدّعي كذبًا أن برامج الجهاز قديمة، مما يدفع المستخدمين إلى تثبيت البرامج غير المرغوب فيها.
  • الخدمات غير مكتملة التصنيف من أطراف ثالثة: تتمثَّل خدمة الطرف الثالث في الشخص الذي يُدير موقعًا أو خدمة نيابة عن كيان آخر. فإذا كنت (طرفًا ثالثًا) تُدير موقعًا بالنيابة عن طرف آخر (طرف أول) بدون أن توضح العلاقة، قد يتمّ الإبلاغ عن ذلك باعتباره مشاركًا في الهندسة الاجتماعية. على سبيل المثال، إذا كنت (كطرف أول) تدير موقعًا إلكترونيًا خيريًا يستخدم موقعًا إلكترونيًا لإدارة التبرعات (كطرف ثالث) للتعامل مع مجموعات لموقعك الإلكتروني، يجب أن يحدد موقع التبرع بوضوح أنه منصة تابعة لطرف ثالث تتصرف نيابةً عن ذلك الموقع للمؤسسة الخيرية، وإلّا يمكن اعتباره من مواقع الهندسة الاجتماعية.

تحمي ميزة التصفُّح الآمن من Google مستخدمي الويب عن طريق تحذيرهم قبل زيارة الصفحات التي تشارِك باستمرار في الهندسة الاجتماعية.

يتمّ اعتبار صفحات الويب صفحات هندسة اجتماعية عندما:

  • تدعي القيام بعمل كيان موثوق به - مثل جهازك أو متصفحك أو الموقع الإلكتروني نفسه - أو تمثل مظهره وجوهره، أو
  • تحاول خداعك لتنفيذ بعض الإجراءات التي لا تجريها إلا مع كيان موثوق به، مثل مشاركة كلمة مرور أو الاتصال برقم دعم فني أو تنزيل برامج ما.

الهندسة الاجتماعية في المحتوى المضمّن

يمكن أن تظهر الهندسة الاجتماعية أيضًا في محتوى تم تضمينه في مواقع إلكترونية غير خطيرة بطريقة أخرى، في الإعلانات عادة. ويُعد محتوى الهندسة الاجتماعية المضمّن انتهاكًا لسياسة صفحة المضيف.

يكون محتوى الهندسة الاجتماعية المضمّن مرئيًا أحيانًا للمستخدمين على صفحة المضيف، على النحو الموضح في الأمثلة أدناه. وفي حالات أخرى، لا يحتوي موقع المضيف على أي إعلانات مرئية، ولكن يوجه المستخدمين إلى صفحات هندسة اجتماعية عبر النوافذ المنبثقة أو النوافذ المنبثقة الخلفية أو الأنواع الأخرى من إعادة التوجيه. وفي كلتا الحالتين، سيؤدي هذا النوع من محتوى الهندسة الاجتماعية المضمّن إلى انتهاك سياسة صفحة المضيف.

لكنني لا أشارك في الهندسة الاجتماعية!

قد يتم تضمين محتوى الهندسة الاجتماعية المضلل عبر موارد تم تضمينها في الصفحة، مثل الصور أو المكونات الخارجية الأخرى أو الإعلانات. وقد يخدع هذا المحتوى المُخادِع زائري الموقع لتنزيل برامج غير مرغوب بها

بالإضافة إلى ذلك، يمكن للمخترقين التحكم في المواقع البسيطة واستخدامها لاستضافة محتوى الهندسة الاجتماعية أو توزيعه. ويمكن أن يغيِّر المخترقون محتوى الموقع أو يضيفون صفحات إضافية إلى الموقع غالبًا بغرض خداع الزائرين لمشاركة معلومات شخصية مثل أرقام بطاقات الائتمان. ويمكنك معرفة ما إذا كان قد تم تعريف موقعك باعتباره موقعًا يستضيف محتوى الهندسة الاجتماعية أو يوزعه عن طريق مراجعة تقرير المشكلات الأمنية في Search Console.

راجع مساعدة المواقع التي تم الاستيلاء عليها إذا كنت تعتقد أنه تم الاستيلاء على موقعك.

أمثلة انتهاكات الهندسة الاجتماعية

أمثلة المحتوى المُخادِع

في ما يلي بعض الأمثلة للصفحات التي تشترك في ممارسات الهندسة الاجتماعية:

Social engineering popup that tries to make the user install an unwanted application.
نافذة منبثقة مخادعة تهدف إلى خداع المستخدم لتثبيت برامج ضارة.
Example of social engineering attempt claiming a browser update is required
نافذة منبثقة مخادعة تدّعي مساعدة المستخدم في تحديث المتصفح
هذه صفحة مزيفة لتسجيل الدخول إلى Google. لاحظ عنوان URL المخادع، حيث قد تخدعك مواقع التصيّد الاحتيالي الأخرى مثل هذه في التخلي عن معلومات شخصية أخرى مثل معلومات بطاقة الائتمان. قد تبدو مواقع التصيّد الاحتيالي بمظهر مطابِق للموقع الحقيقي، لذا تأكَّد من إلقاء نظرة على شريط العنوان للتحقق من صحة عنوان URL، وتحقَّق أيضًا من أن موقع الويب يبدأ بالبروتوكول https://.

أمثلة الإعلانات المُخادِعة

في ما يلي بعض الأمثلة على المحتوى المُخادِع داخل الإعلانات المُضمَّنة. وتظهر هذه الإعلانات كجزء من واجهة الصفحة وليس باعتبارها إعلانات.

Deceptive ad claiming to be a media player update on the page.
نافذة منبثقة مخادعة تدعي أن برنامج المستخدم قديم.
Deceptive ad claiming to be an installer for a required component.
نافذة منبثقة مخادعة تدعي أن مصدرها مطوّر برنامج FLV
Deceptive ads claiming to be playback controller buttons on the host page.
إعلانات تتنكر في شكل أزرار إجراءات الصفحة.

حلّ المشكلة

إذا تمّ وضع علامة على موقعك الإلكتروني باعتباره يشتمل على (محتوى مُخادِع مشارِك في) الهندسة الاجتماعية، تأكَّد من عدم مشاركة صفحتك في أيّ من الممارسات الموضحة أعلاه، وبعد ذلك اتبِع الخطوات التالية:

  1. تحقَّق من ذلك باستخدام Search Console
    • تحقَّق من أنك تمتلك موقعك في Search Console وأنه لم تتمّ إضافة مالكين جُدُد مشكوك فيهم.
    • راجع تقرير "مشاكل الأمان" لمعرفة ما إذا كان قد تمّ إدراج موقعك الإلكتروني باعتباره يشتمل على محتوى مُخادِع (وهذا هو المصطلح المستخدَم في الإبلاغ عن الهندسة الاجتماعية). انتقل إلى عناوين URL النموذجية التي تمّ وضع علامة عليها في التقرير، ولكن يجب استخدام جهاز كمبيوتر لا يقع في نطاق الشبكة التي توفِّر الخدمة لموقعك الإلكتروني (يمكن أن يعطِّل المخترقون الماهرون هجماتهم إذا اعتقدوا أنّ الزائر مشرف على موقع ويب).
  2. أزل المحتوى المخادع. وتأكَّد من عدم اشتمال أي صفحة من صفحات موقعك الإلكتروني على محتوى مُخادِع. وإذا رأيت أن ميزة "التصفح الآمن" صنفت صفحة ويب عن طريق الخطأ، يُرجى الإبلاغ عنها من هنا.
  3. تحقَّق من الموارِد التابعة لأطراف ثالثة المضمّنة في موقعك الإلكتروني. وتأكَّد من عدم وجود أي إعلانات أو صور أو غيرها من الموارِد المُضمَّنة التابعة لأطراف ثالثة على صفحات موقعك الإلكتروني تتسم بالخداع.
    • لاحظ أن شبكات الإعلانات قد تعرض الإعلانات بالتناوب والتي يتم عرضها على صفحات موقعك. لذلك، تحتاج إلى تحديث إحدى الصفحات عدة مرات قبل أن تتمكن من رؤية أي من إعلانات الهندسة الاجتماعية التي تظهر.
    • قد تظهر بعض الإعلانات بشكل مختلف على أجهزة الجوّال وأجهزة سطح المكتب. ويمكنك استخدام أداة فحص عنوان URL لمشاهدة موقعك الإلكتروني بكلٍ من عرض الجوّال وعرض سطح المكتب.
    • اتبِع إرشادات خدمات الأطراف الثالثة الموضحة أدناه لأيّ خدمات تابعة لأطراف ثالثة، مثل خدمات الدفع، التي تستخدمها في موقعك الإلكتروني.
  4. اطلُب إجراء مراجعة. وبعد إزالة محتوى الهندسة الاجتماعية بالكامل من موقعك الإلكتروني، يمكنك طلب إجراء مراجعة أمنية في تقرير "مشاكل الأمان"، مع العلم بأنّ اكتمال المعالجة يستغرق عدة أيام.

إرشادات الخدمات التابعة لأطراف ثالثة

إذا ضمّنت خدمة تابعة لطرف ثالث في موقعك الإلكتروني، يجب أن تستوفي الشروط التالية لتجنب تصنيفها على أنها هندسة اجتماعية:

  • في كل صفحة، يجب أن يشتمل موقع الطرف الثالث بوضوح على العلامة التجارية للطرف الثالث بالطريقة التي تضمن للمستخدمين معرفة المسؤول عن إدارة الموقع. وذلك من خلال إدراج العلامة التجارية للطرف الثالث في أعلى الصفحة مثلاً.
  • في كل صفحة تضم العلامة التجارية للطرف الأول، حدِّد العلاقة بين الطرف الأول والطرف الثالث بشكل صريح وقدِّم رابطًا إلكترونيًا للمزيد من المعلومات.  وليكُن ذلك، على سبيل المثال، في بيان مثل هذا:

      يستضيف Example.com هذه الخدمة بالنيابة عن Example.charities.com. مزيد من المعلومات

من الجوانب التي يمكنك الاسترشاد بها لسهولة الاستخدام معرفة ما إذا كان المستخدم الذي يعرض الصفحة بشكلٍ منفصلٍ على علمٍ بالموقع الذي يتصفحّه حاليًا وأنه يعرف كذلك العلاقة بين الطرف الأول والطرف الثالث في جميع الأوقات.

أفضل الممارسات: إذا احتجت إلى طرف ثالث كي يؤدي خدمة الدعم الأساسية لموقعك، فإن أفضل ممارسة هي استخدام طرف ثالث معياري قياسي في المجال لتقديم تلك الخدمة. فعلى سبيل المثال، لإدارة مصادقة المستخدم على موقعك، يجب استخدام OAuth بدلًا من إدارة المصادقة بنفسك.
هل كان ذلك مفيدًا؟
كيف يمكننا تحسينها؟