الهندسة الاجتماعية (التصيد الاحتيالي والمواقع المخادعة)

الهندسة الاجتماعية هي محتوى يخدع الزائرين لحثهم على تنفيذ بعض الإجراءات الخطيرة، مثل الكشف عن معلومات سرية أو تنزيل البرامج. إذا اكتشف محرك البحث Google أنّ موقعك الإلكتروني يتضمّن محتوى هندسة اجتماعية، قد يعرض متصفّح Chrome التحذير "الموقع الذي يتم الانتقال إليه مخادع" عندما يعرض الزائرون موقعك الإلكتروني. يمكنك التحقق مما إذا كانت هناك أي صفحات على موقعك الإلكتروني يُشتبه في احتوائها على هجمات الهندسة الاجتماعية عن طريق الانتقال إلى تقرير "مشاكل الأمان".

نظرة عامة

ما هي الهندسة الاجتماعية؟

تحدث هجمات الهندسة الاجتماعية عندما يتمّ خداع مستخدم الويب لتنفيذ بعض الإجراءات الخطيرة على الإنترنت.

ثمة أنواع مختلفة من هجمات الهندسة الاجتماعية:

  • التصيّد الاحتيالي: يخدع الموقع الإلكتروني المستخدمين لحثهم على الكشف عن معلوماتهم الشخصية (على سبيل المثال، كلمات المرور أو أرقام الهواتف أو بطاقات الائتمان). وفي هذه الحالة، يدّعي المحتوى أنه جهة موثوق بها، مثل متصفح أو نظام تشغيل أو مصرف أو حكومة.
  • المحتوى المخادع: يحاول المحتوى خداعك لحثّك على تنفيذ بعض الإجراءات التي لا تجريها إلا مع جهة موثوق بها، مثل مشاركة كلمة مرور أو الاتصال بالدعم الفني أو تنزيل برامج، أو أنّ المحتوى يشتمل على إعلان يدّعي كذبًا أنّ برنامج الجهاز قديم، ويحث المستخدمين على تثبيت برنامج غير مرغوب فيه.
  • خدمات خارجية غير مكتملة التصنيف: الخدمة الخارجية هي شخص يدير موقعًا إلكترونيًّا أو خدمةً بالنيابة عن جهة أخرى. إذا كنت (طرفًا ثالثًا) تُدير موقعًا إلكترونيًّا بالنيابة عن طرف أخر (أول) بدون أن توضّح هذه العلاقة، قد يتم الإبلاغ عن هذا الإجراء باعتباره هندسة اجتماعية. على سبيل المثال، إذا كنت (الطرف الأول) تدير موقعًا إلكترونيًّا خيريًّا يستخدم موقعًا إلكترونيًّا لإدارة التبرعات (الطرف الثالث) يتولّى جمع التبرعات لموقعك الإلكتروني، يجب أن يحدد موقع التبرع الإلكتروني بوضوح أنه منصة خارجية تتصرف بالنيابة عن الموقع الإلكتروني الخيري، وإلّا يمكن اعتباره من مواقع الهندسة الاجتماعية.

تحمي ميزة التصفّح الآمن من Google مستخدمي الويب من خلال تحذيرهم قبل زيارة الصفحات التي تشارك باستمرار في الهندسة الاجتماعية.

يتم اعتبار صفحات الويب على أنها صفحات هندسة اجتماعية عندما:

  • تحاكي تصميم إحدى المنصات الموثوق بها أو مظهرها أو وظيفتها، مثل جهازك أو متصفّحك أو الموقع الإلكتروني ذاته، أو
  • تحاول خداعك لتنفيذ بعض الإجراءات التي لا تجريها إلا مع جهة موثوق بها، مثل مشاركة كلمة مرور أو الاتصال بالدعم الفني أو تنزيل برامج.

الهندسة الاجتماعية في المحتوى المضمّن

يمكن أن تظهر الهندسة الاجتماعية أيضًا في محتوى تم تضمينه في مواقع إلكترونية غير خطيرة بطريقة أخرى، ويكون ذلك في الإعلانات عادة. ويُعد محتوى الهندسة الاجتماعية المضمّن انتهاكًا لسياسة صفحة المضيف.

يكون محتوى الهندسة الاجتماعية المضمّن مرئيًا أحيانًا للمستخدمين على صفحة المضيف، على النحو الموضح في الأمثلة أدناه. وفي حالات أخرى، لا يحتوي موقع المضيف على أي إعلانات مرئية، ولكن يوجه المستخدمين إلى صفحات هندسة اجتماعية عبر النوافذ المنبثقة أو النوافذ المنبثقة الخلفية أو الأنواع الأخرى من إعادة التوجيه. وفي كلتا الحالتين، سيؤدي هذا النوع من محتوى الهندسة الاجتماعية المضمّن إلى انتهاك سياسة صفحة المضيف.

لا أشارك في الهندسة الاجتماعية

قد يتم تضمين محتوى الهندسة الاجتماعية المضلل عبر موارد تم تضمينها في الصفحة، مثل الصور أو المكونات الخارجية الأخرى أو الإعلانات. وقد يخدع هذا المحتوى المُخادِع زائري الموقع لتنزيل برامج غير مرغوب بها.

بالإضافة إلى ذلك، يمكن للمخترقين التحكم في المواقع الإلكترونية البسيطة واستخدامها لاستضافة أو توزيع محتوى الهندسة الاجتماعية. ويمكن أن يغيّر المخترقون محتوى الموقع الإلكتروني أو أن يضيفوا صفحات إضافية إلى الموقع الإلكتروني غالبًا بغرض خداع الزائرين لحثّهم على مشاركة معلومات شخصية، مثل أرقام بطاقات الائتمان. ويمكنك معرفة ما إذا كان قد تم تحديد موقعك الإلكتروني على أنه موقع يستضيف أو يوزّع محتوى الهندسة الاجتماعية، وذلك من خلال مراجعة تقرير "مشاكل الأمان" في Search Console.

راجع مساعدة المواقع الإلكترونية التي تم الاستيلاء عليها إذا كنت تعتقد أنه تم الاستيلاء على موقعك.

أمثلة انتهاكات الهندسة الاجتماعية

أمثلة المحتوى المُخادِع

في ما يلي بعض الأمثلة على الصفحات التي تشترك في ممارسات الهندسة الاجتماعية:

نافذة منبثقة للهندسة الاجتماعية تحاول حث المستخدم على تثبيت تطبيق غير مرغوب فيه
نافذة منبثقة مخادعة تهدف إلى خداع المستخدم لحثّه على تثبيت برامج ضارة
مثال على محاولة الهندسة الاجتماعية إقناع المستخدم بضرورة تحديث المتصفّح
نافذة منبثقة مخادعة تدّعي مساعدة المستخدم في تحديث المتصفّح
صفحة مزيفة لتسجيل الدخول إلى Google تذكّر عنوان URL المخادع. قد تخدعك مواقع التصيّد الاحتيالي المشابهة الأخرى في الإفصاح عن معلومات شخصية أخرى، مثل بيانات بطاقة الائتمان. قد تبدو مواقع التصيّد الاحتيالي بمظهر مطابق للموقع الإلكتروني الأساسي، لذا تأكّد من الاطّلاع على شريط العنوان للتحقق من صحة عنوان URL، وتحقَّق أيضًا من أنّ عنوان الموقع الإلكتروني يبدأ بالبروتوكول //:https

أمثلة على الإعلانات المخادعة

في ما يلي بعض الأمثلة على المحتوى المخادع في الإعلانات المضمَّنة. تظهر هذه الإعلانات كجزء من واجهة الصفحة وليس باعتبارها إعلانات.

إعلان مخادع يدّعي تحديث مشغِّل الوسائط على الصفحة
نافذة منبثقة مخادعة تدعي أن برنامج جهاز المستخدم قديم.
إعلان مخادع يدّعي أنه أداة تثبيت لأحد المكونات المطلوبة
نافذة منبثقة مخادعة تدّعي أن مصدرها مطوّر برنامج FLV
إعلانات مخادعة تدعي أنها أزرار وحدة التحكم في التشغيل على صفحة المضيف
إعلانات تتنكّر كأزرار إجراءات للصفحة

حلّ المشكلة

إذا تمّ وضع علامة على موقعك الإلكتروني باعتباره يشتمل على (محتوى مُخادِع مشارِك في) الهندسة الاجتماعية، تأكَّد من عدم مشاركة صفحتك في أيّ من الممارسات الموضحة أعلاه، وبعد ذلك اتّبِع الخطوات التالية:

  1. انتقِل إلى Search Console.
    • تحقَّق من أنك مالك موقعك الإلكتروني في Search Console وأنه لم تتمّ إضافة مالكين جدد مشكوك بهم.
    • راجِع تقرير "مشاكل الأمان" لمعرفة ما إذا كان قد تمّ تصنيف موقعك الإلكتروني على أنه يشتمل على محتوى مخادع (وهذا هو المصطلح المستخدَم في الإبلاغ عن الهندسة الاجتماعية). انتقِل إلى عيّنة من بعض عناوين URL التي تم الإبلاغ عنها والمدرَجة في التقرير، ولكن يجب استخدام جهاز كمبيوتر لا يقع في نطاق الشبكة التي توفّر الخدمة لموقعك الإلكتروني (لأنّ المخترقين الماهرين يوقفون هجماتهم إذا اعتقدوا أنّ الزائر هو مالك الموقع الإلكتروني).
  2. أزِل المحتوى المخادع. وتأكَّد من عدم اشتمال أي صفحة من صفحات موقعك الإلكتروني على محتوى مُخادِع. وإذا وجدت أنّ ميزة "التصفح الآمن" صنّفت صفحة ويب عن طريق الخطأ، يُرجى الإبلاغ عنها هنا.
  3. تحقَّق من الموارِد التابعة لجهات خارجية المضمّنة في موقعك الإلكتروني. وتأكَّد من عدم وجود أي محتوى مخادع على صفحات موقعك الإلكتروني، مثل الإعلانات أو الصور أو غيرها من الموارد المضمَّنة التابعة لأطراف ثالثة.
    • يُرجى العلم بأنّ شبكات الإعلانات قد تعرض بالتناوب الإعلانات الظاهرة على صفحات موقعك الإلكتروني. وبالتالي، تحتاج إلى إعادة تحميل الصفحة عدة مرات قبل أن تتمكّن من رؤية أي إعلانات تتعلّق بالهندسة الاجتماعية.
    • قد تظهر بعض الإعلانات بشكل مختلف على الأجهزة الجوّالة وأجهزة كمبيوتر سطح المكتب. يمكنك استخدام أداة فحص عنوان URL للاطّلاع على موقعك الإلكتروني بطريقة عرض الأجهزة الجوّالة وطريقة عرض كمبيوتر سطح المكتب.
    • اتّبِع إرشادات الخدمات الخارجية الموضّحة أدناه لأي خدمات خارجية، مثل خدمات الدفع، التي تستخدمها في موقعك الإلكتروني.
  4. طلب إجراء مراجعة: بعد إزالة محتوى الهندسة الاجتماعية بالكامل من موقعك الإلكتروني، يمكنك طلب إجراء مراجعة لأمان موقعك الإلكتروني في تقرير "مشاكل الأمان"، مع العلم بأنّ اكتمال المراجعة قد يستغرق عدة أيام.

إرشادات الخدمات الخارجية

إذا ضمّنت خدمة تابعة لطرف ثالث في موقعك الإلكتروني، يجب أن تستوفي الشروط التالية لتجنب تصنيفها على أنها هندسة اجتماعية:

  • في كل صفحة، يجب أن يشتمل موقع الطرف الثالث بوضوح على العلامة التجارية للطرف الثالث بالطريقة التي تضمن للمستخدمين معرفة المسؤول عن إدارة الموقع. وذلك من خلال إدراج العلامة التجارية للطرف الثالث في أعلى الصفحة مثلاً.
  • في كل صفحة تضم العلامة التجارية الخاصة بالطرف الأول، حدِّد العلاقة بين الطرف الأول والطرف الثالث بشكل صريح وقدِّم رابطًا إلكترونيًّا يؤدي إلى المزيد من المعلومات. إليك مثال عن البيان الذي يمكنك تقديمه:

يستضيف Example.com هذه الخدمة بالنيابة عن Example.charities.com. مزيد من المعلومات

من إرشادات سهولة الاستخدام معرفة ما إذا كان المستخدم الذي يعرض الصفحة بشكلٍ منفصلٍ على علمٍ بالموقع الذي يتصفّحه حاليًّا ويعرف كذلك العلاقة بين الطرف الأول والطرف الثالث في جميع الأوقات.

أفضل الممارسات: إذا احتجت إلى طرف ثالث لتأدية خدمة الدعم الأساسية لموقعك الإلكتروني، إنّ أفضل ممارسة هي الاستعانة بطرف ثالث يخضع للمعايير المتّبعة في المجال ليوفّر لك تلك الخدمة. على سبيل المثال، لإدارة مصادقة المستخدم على موقعك الإلكتروني، يجب استخدام OAuth بدلًا من إدارة المصادقة بنفسك.