الهندسة الاجتماعية (التصيد الاحتيالي والمواقع الخادعة)

الهندسة الاجتماعية عبارة عن محتوى يخدع الزائرين للقيام ببعض الأشياء الخطيرة، مثل الكشف عن معلومات سرية أو تنزيل برنامج ما. إذا اكتشف Google أن موقعك الإلكتروني يحتوي على محتوى هندسة اجتماعية، فقد يعرض متصفح Chrome تحذيرًا مفاده "الموقع الذي يتم الانتقال إليه مخادع" عند مشاهدة الزائرين لموقعك. ويمكنك التحقق مما إذا كانت هناك أي صفحات على موقعك يشتبه في احتوائها على هجمات الهندسة الإلكترونية عن طريق الانتقال إلى تقرير المشكلات الأمنية.

افتح تقرير المشكلات الأمنية

نظرة عامة

ما الهندسة الاجتماعية؟

تحدث هجمات الهندسة الاجتماعية عندما يتم خداع مستخدم الويب للقيام ببعض الأشياء الخطيرة على الإنترنت.

هناك أنواع مختلفة لهجمات الهندسة الاجتماعية. قد يخدع موقع تصيُّد احتيالي المستخدمين للكشف عن معلوماتهم الشخصية (على سبيل المثال، كلمات المرور أو أرقام الهواتف أو بطاقات الائتمان). ويمكن أن يخدع المحتوى المضلل، مثل أحد الإعلانات التي تدعي كذبًا أن برامج الجهاز قديمة، المستخدمين لتثبيت برامج غير مرغوب فيها.

تحدث هجمات الهندسة الاجتماعية عندما:

  • يدعي المحتوى القيام بعمل مثل كيان موثوق به - مثل متصفح أو نظام تشغيل أو مصرف أو حكومة - أو يمثل مظهره وجوهره.
  • يحاول المحتوى خداعك للقيام ببعض الأمور التي لا تجريها إلا مع كيان موثوق به - مثل مشاركة كلمة مرور أو الاتصال بالدعم الفني أو تنزيل البرامج.

يحمي التصفح الآمن من Google مستخدمي الويب من الهندسة الاجتماعية عن طريق تحذير المستخدمين قبل رؤية محتوى مخادع. يمكنك معرفة المزيد من المعلومات حول الهندسة الاجتماعية والاطلاع على أمثلة هنا.

كيف تختلف الهندسة الاجتماعية عن التصيد الاحتيالي؟ التصيُّد الاحتيالي مجرد نوع واحد من هجمات الهندسة الاجتماعية.

أفضل الممارسات: إذا احتجت إلى طرف ثالث كي يؤدي خدمة الدعم الأساسية لموقعك، فإن أفضل ممارسة هي استخدام طرف ثالث معياري قياسي في المجال لتقديم تلك الخدمة. فعلى سبيل المثال، لإدارة مصادقة المستخدم على موقعك، يجب استخدام OAuth بدلًا من إدارة المصادقة بنفسك.

الهندسة الاجتماعية في المحتوى المضمّن

يمكن أن تظهر الهندسة الاجتماعية أيضًا في محتوى تم تضمينه في مواقع إلكترونية غير خطيرة بطريقة أخرى، في الإعلانات عادة. ويُعد محتوى الهندسة الاجتماعية المضمّن انتهاكًا لسياسة صفحة المضيف.

يكون محتوى الهندسة الاجتماعية المضمّن مرئيًا أحيانًا للمستخدمين على صفحة المضيف، على النحو الموضح في الأمثلة أدناه. وفي حالات أخرى، لا يحتوي موقع المضيف على أي إعلانات مرئية، ولكن يوجه المستخدمين إلى صفحات هندسة اجتماعية عبر النوافذ المنبثقة أو النوافذ المنبثقة الخلفية أو الأنواع الأخرى من إعادة التوجيه. وفي كلتا الحالتين، سيؤدي هذا النوع من محتوى الهندسة الاجتماعية المضمّن إلى انتهاك سياسة صفحة المضيف.

لكنني لا أشارك في الهندسة الاجتماعية!

قد يتم تضمين محتوى الهندسة الاجتماعية المضلل عبر موارد تم تضمينها في الصفحة، مثل الصور أو المكونات الخارجية الأخرى أو الإعلانات. وقد يخدع هذا المحتوى المضلل زائري الموقع لتنزيل برامج غير مرغوب بها

يحمي التصفح الآمن من Google مستخدمي الويب من المحتوى المضلل عن طريق تحذير المستخدمين حول صفحات الناشر التي تعرض إعلانات الهندسة الاجتماعية باستمرار. يمكنك معرفة المزيد من المعلومات والاطلاع على أمثلة هنا.

بالإضافة إلى ذلك، يمكن للمخترقين التحكم في المواقع البسيطة واستخدامها لاستضافة محتوى الهندسة الاجتماعية أو توزيعه. ويمكن أن يغيِّر المخترقون محتوى الموقع أو يضيفون صفحات إضافية إلى الموقع غالبًا بغرض خداع الزائرين لمشاركة معلومات شخصية مثل أرقام بطاقات الائتمان. ويمكنك معرفة ما إذا كان قد تم تعريف موقعك باعتباره موقعًا يستضيف محتوى الهندسة الاجتماعية أو يوزعه عن طريق مراجعة تقرير المشكلات الأمنية في Search Console.

راجع مساعدة المواقع التي تم الاستيلاء عليها إذا كنت تعتقد أنه تم الاستيلاء على موقعك.

أمثلة انتهاكات الهندسة الاجتماعية

خدمات الطرف الثالث

تتمثَّل خدمة الطرف الثالث في الشخص الذي يُدير موقعًا أو خدمة نيابة عن كيان آخر. فإذا كنت (طرفًا ثالثًا) تُدير موقعًا بالنيابة عن طرف أخر (أول) بدون أن توضح العلاقة، قد يتم الإبلاغ عن هذا باعتباره هندسة أجتماعية.

على سبيل المثال، لنفرض أن موقعًا إلكترونيًا لإدارة التبرعات (طرف ثالث) يباشر حصيلة ما يتم جمعه لصالح مؤسسة خيرية (طرف أول). إذا لم يُعلن موقع التبرعات بوضوح أنه منصة أساسية تعمل بالنيابة عن مؤسسة خيرية خاصة، قد يتم اعتبار ذلك هندسة إجتماعية.

من أجل تجنُّب التصنيف كهندسة اجتماعية، يجب أن تستوفي الشروط التالية:

  • في كل صفحة، يجب أن يشتمل موقع الطرف الثالث بوضوح على العلامة التجارية للطرف الثالث بالطريقة التي تضمن للمستخدمين معرفة المسؤول عن إدارة الموقع، وذلك من خلال إدراج العلامة التجارية للطرف الثالث في أعلى الصفحة مثلاً.
  • في كل صفحة تضم العلامة التجارية للطرف الأول، حدِّد العلاقة بين الطرف الأول والطرف الثالث بشكل صريح وقدِّم رابطًا إلكترونيًا للمزيد من المعلومات.  وليكُن ذلك، على سبيل المثال، في بيان مثل هذا:
          يستضيف Example.com هذه الخدمة بالنيابة عن Example.charities.com.  مزيد من المعلومات

من الجوانب التي يمكنك الاسترشاد بها لسهولة الاستخدام معرفة ما إذا كان المستخدم الذي يعرض الصفحة بشكلٍ منفصلٍ على علمٍ بالموقع الذي يتصفحّه حاليًا وأنه يعرف كذلك العلاقة بين الطرف الأول والطرف الثالث في جميع الأوقات.

أمثلة صفحات الويب

يتم اعتبار صفحات الويب صفحات هندسة اجتماعية عندما:

  • تدعي القيام بعمل كيان موثوق به - مثل جهازك أو متصفحك أو الموقع الإلكتروني نفسه - أو تمثل مظهره وجوهره، أو
  • تحاول خداعك للقيام ببعض الأمور التي لا تجريها إلا مع كيان موثوق به - مثل مشاركة كلمة مرور أو الاتصال برقم دعم فني أو تنزيل برامج ما.

في ما يلي بعض الأمثلة للصفحات التي تشترك في ممارسات الهندسة الاجتماعية:

Social engineering popup that tries to make the user install an unwanted application.
نافذة منبثقة مخادعة تهدف إلى خداع المستخدم لتثبيت برامج ضارة.
Example of social engineering attempt claiming a browser update is required
نافذة منبثقة مخادعة تدعي مساعدة المستخدم في تحديث المتصفح

أمثلة المحتوى المضمّن

في ما يلي بعض الأمثلة للمحتوى المخادع التي تم تضمينه داخل الإعلانات. وتظهر هذه الإعلانات كجزء من واجهة الصفحة وليس باعتبارها إعلانات.

Deceptive ad claiming to be a media player update on the page.
نافذة منبثقة مخادعة تدعي أن برنامج المستخدم قديم.
Deceptive ad claiming to be an installer for a required component.
نافذة منبثقة مخادعة تدعي أن مصدرها مطوّر برنامج FLV
Deceptive ads claiming to be playback controller buttons on the host page.
إعلانات تتنكر في شكل أزرار إجراءات الصفحة.

حل المشكلة

إذا تم وضع علامة على موقعك باعتباره يشتمل على محتوى هندسة اجتماعية، فتأكد من عدم مشاركة صفحتك في أي من الممارسات الموضحة في الأمثلة أعلاه، وبعد ذلك اتبع الخطوات التالية:

  1. تحقق من ذلك باستخدام Search Console
    • تحقق من أنك تمتلك موقعك في Search Console وأنه لم تتم إضافة مالكين جدد مشكوك فيهم.
    • راجع تقرير المشكلات الأمنية لمعرفة ما إذا كان قد تم إدراج موقعك باعتباره يشارك في الهندسة الاجتماعية. انتقل إلى عناوين URL النموذجية التي تم وضع علامة عليها في التقرير، ولكن يجب استخدام جهاز كمبيوتر لا يقع في نطاق الشبكة التي توفر الخدمة لموقعك الإلكتروني (يمكن أن يعطِّل المخترقون الماهرون هجماتهم إذا اعتقدوا أن الزائر مشرف موقع الويب).
  2. أزل المحتوى المخادع. تأكد من عدم اشتمال أي صفحة من صفحات موقعك على محتوى مخادع.
  3. إذا وجدت سلوك هندسة اجتماعية في المحتوى المضمّن (مثل الإعلانات)، فتحقق من أن الإعلانات أو الصور أو غيرها من الموارد الخارجية المضمّنة على موقعك ليست مخادعة. لاحظ أن شبكات الإعلانات قد تعرض الإعلانات بالتناوب والتي يتم عرضها على صفحات موقعك. لذلك، تحتاج إلى تحديث إحدى الصفحات عدة مرات قبل أن تتمكن من رؤية أي من إعلانات الهندسة الاجتماعية التي تظهر. قد تظهر بعض الإعلانات بشكل مختلف على أجهزة الجوّال وأجهزة سطح المكتب. ويمكنك استخدام أداة الجلب مثل Google لمشاهدة موقعك بكل من طرق عرض الجوال وسطح المكتب.
  4. تحقق من الموارد الخارجية المضمّنة في موقعك. تأكد من عدم وجود أي إعلانات أو صور أو موارد خارجية مضمنة أخرى مضللة على صفحات موقعك.
    • لاحظ أن شبكات الإعلانات قد تعرض الإعلانات بالتناوب والتي يتم عرضها على صفحات موقعك. لذلك، تحتاج إلى تحديث إحدى الصفحات عدة مرات قبل أن تتمكن من رؤية أي من إعلانات الهندسة الاجتماعية التي تظهر.
    • قد تظهر بعض الإعلانات بشكل مختلف على أجهزة الجوّال وأجهزة سطح المكتب. ويمكنك استخدام أداة الجلب مثل Google لمشاهدة موقعك بكل من طرق عرض الجوال وسطح المكتب.
  5. فاطلب إجراء مراجعة. بعد إزالة محتوى الهندسة الاجتماعية بالكامل من موقعك، يمكنك طلب إجراء مراجعة أمنية في تقرير المشكلات الأمنية. وقد يستغرق اكتمال المراجعة فترة زمنية تتراوح من يومين إلى ثلاثة أيام.
هل كانت هذه المقالة مفيدة؟
كيف يمكننا تحسينها؟