الهندسة الاجتماعية (التصيّد الاحتيالي والمواقع الإلكترونية المخادعة)

الهندسة الاجتماعية هي محتوى يخدع الزائرين لحثّهم على تنفيذ إجراءات خطيرة، مثل الكشف عن معلومات سرية أو تنزيل برامج ضارة. إذا اكتشف محرّك بحث Google أنّ موقعك الإلكتروني يتضمّن محتوى هندسة اجتماعية، قد يعرض متصفّح Chrome التحذير "أنت بصدد الانتقال إلى موقع إلكتروني مخادع" عندما يحاول الزائرون الدخول إلى موقعك الإلكتروني. يمكنك الانتقال إلى تقرير "مشاكل الأمان" في Search Console للتحقق مما إذا كانت هناك أي صفحات على موقعك الإلكتروني يُشتبه في احتوائها على هجمات هندسة اجتماعية.

فتح تقرير "مشاكل الأمان"

ما هي الهندسة الاجتماعية؟

تحدث هجمات الهندسة الاجتماعية عندما يتمّ خداع مستخدم الويب وحثّه على تنفيذ بعض الإجراءات الخطيرة على الإنترنت.

ثمة أنواع مختلفة من هجمات الهندسة الاجتماعية:

  • التصيّد الاحتيالي: يخدع الموقع الإلكتروني المستخدمين لحثّهم على الكشف عن معلوماتهم الشخصية (على سبيل المثال، كلمات المرور أو أرقام الهواتف أو أرقام التأمين الاجتماعي). وفي هذه الحالة، يدّعي المحتوى من خلال التصميم أو المظهر أو الوظيفة أنّه جهة موثوق بها، مثل متصفّح أو نظام تشغيل أو مصرف أو جهة حكومية.
  • المحتوى المخادع: يحاول المحتوى خداعك وحثّك على تنفيذ إجراءات لا تجريها عادةً إلا مع جهة موثوق بها، مثل مشاركة كلمة مرور أو الاتصال بالدعم الفني أو تنزيل برامج، أو أنّ المحتوى يشتمل على إعلان يدّعي كذبًا أنّ أحد البرامج المثبّتة على الجهاز قديم، ويحث المستخدمين على تثبيت برنامج غير مرغوب فيه.
  • خدمات خارجية غير مكتملة التصنيف: الخدمة الخارجية (وتُعرف أيضًا باسم "خدمة تابعة لطرف ثالث") هي جهة تدير موقعًا إلكترونيًا أو خدمةً بالنيابة عن جهة أخرى. إذا كنت (طرفًا ثالثًا) تدير موقعًا إلكترونيًا بالنيابة عن طرف آخر (أول) بدون أن توضّح هذه العلاقة، قد يتم الإبلاغ عن هذا السلوك باعتباره هندسة اجتماعية. على سبيل المثال، إذا كنت (الطرف الأول) تدير موقعًا إلكترونيًا خيريًا يستعين بموقع إلكتروني لإدارة التبرعات (الطرف الثالث) يتولّى جمع التبرعات نيابةً عن موقعك الإلكتروني، يجب أن يحدّد موقع إدارة التبرعات بوضوح أنّه منصة تابعة لطرف ثالث تتصرف بالنيابة عن الموقع الإلكتروني الخيري، وإلّا يمكن أن يتم اعتباره من مواقع الهندسة الاجتماعية.

تحمي ميزة التصفّح الآمن من Google مستخدمي الويب من خلال تحذيرهم قبل زيارة الصفحات التي تمارس باستمرار الهندسة الاجتماعية.

يتم اعتبار صفحات الويب بأنّها صفحات هندسة اجتماعية عندما:

  • تحاكي تصميم أو مظهر أو وظيفة إحدى المنصات الموثوق بها، مثل جهازك أو متصفّحك أو الموقع الإلكتروني نفسه
  • تحاول خداعك لتنفيذ إجراءات لا تجريها عادةً إلا مع جهة موثوق بها، مثل مشاركة كلمة مرور أو الاتصال بالدعم الفني أو تنزيل برامج

الهندسة الاجتماعية في المحتوى المضمّن

يمكن أن تظهر الهندسة الاجتماعية أيضًا في محتوى تم تضمينه في مواقع إلكترونية غير خطيرة، ويكون ذلك عادةً في الإعلانات. ويُعدّ محتوى الهندسة الاجتماعية المضمّن انتهاكًا لسياسة صفحة المضيف.

يكون محتوى الهندسة الاجتماعية المضمّن مرئيًا أحيانًا للمستخدمين على صفحة المضيف، على النحو الموضّح في الأمثلة أدناه. وفي حالات أخرى، لا يحتوي موقع المضيف الإلكتروني على أي إعلانات مرئية، ولكن يوجّه المستخدمين إلى صفحات تتضمّن هندسة اجتماعية عبر النوافذ المنبثقة أو النوافذ المنبثقة الخلفية أو الأنواع الأخرى من عمليات إعادة التوجيه. وفي كلتا الحالتين، سيؤدي هذا النوع من محتوى الهندسة الاجتماعية المضمّن إلى انتهاك السياسة الخاصة بصفحة المضيف.

لا أشارك في الهندسة الاجتماعية

قد تتم إضافة محتوى الهندسة الاجتماعية المخادع من خلال موارد تم تضمينها في الصفحة، مثل الصور أو المكونات الأخرى التابعة لجهات خارجية أو الإعلانات. وقد يخدع هذا المحتوى المضلِّل زائري الموقع الإلكتروني لحثّهم على تنزيل برامج غير مرغوب فيها.

بالإضافة إلى ذلك، يمكن للمخترقين التحكم في المواقع الإلكترونية غير الواعية واستخدامها لاستضافة محتوى الهندسة الاجتماعية أو توزيعه. ويمكن أن يغيّر المخترقون محتوى الموقع الإلكتروني أو أن يضيفوا صفحات جديدة إليه غالبًا بغرض خداع الزائرين لحثّهم على مشاركة معلومات شخصية، مثل أرقام بطاقات الائتمان. بإمكانك مراجعة تقرير "مشاكل الأمان" في Search Console لمعرفة ما إذا كان قد تم تصنيف موقعك الإلكتروني على أنّه موقع يستضيف أو يوزّع محتوى الهندسة الاجتماعية.

راجِع القسم مساعدة المواقع الإلكترونية المخترَقة إذا كنت تعتقد أنّ موقعك الإلكتروني تعرّض للاختراق.

أمثلة على الانتهاكات الناتجة عن الهندسة الاجتماعية

أمثلة المحتوى المُخادِع

في ما يلي بعض الأمثلة على الصفحات التي تنخرط في ممارسات الهندسة الاجتماعية:

نافذة منبثقة بمحتوى هندسة اجتماعية تحاول حث المستخدم على تثبيت تطبيق غير مرغوب فيه
نافذة منبثقة مخادعة تهدف إلى خداع المستخدم لحثّه على تثبيت برامج ضارة

مثال على محاولة الهندسة الاجتماعية إقناع المستخدم بضرورة تحديث المتصفّح
نافذة منبثقة مخادعة تدّعي مساعدة المستخدم في تحديث المتصفّح

 صفحة مزيفة لتسجيل الدخول إلى Google
صفحة مزيفة لتسجيل الدخول إلى Google

أمثلة على الإعلانات المخادعة

في ما يلي بعض الأمثلة على المحتوى المخادع في الإعلانات المضمَّنة. تظهر هذه الإعلانات كجزء من واجهة الصفحة وليس باعتبارها إعلانات.

إعلان مخادع يدّعي أنّه تحديث لمشغِّل الوسائط على الصفحة
نافذة منبثقة مخادعة تدّعي أنّ أحد البرامج المثبّتة على جهاز المستخدم قديم

إعلان مخادع يدّعي أنه أداة تثبيت لأحد المكونات المطلوبة
نافذة منبثقة مخادعة تدعي أنّ مصدرها مطوّر FLV

إعلانات مخادعة تدّعي أنّها أزرار وحدة التحكم في التشغيل على صفحة المضيف
إعلانات تتنكّر في شكل أزرار الإجراءات على الصفحة

حلّ المشكلة

إذا تمّ الإبلاغ عن موقعك الإلكتروني لأنّه يشتمل على هندسة اجتماعية (محتوى مخادع)، تأكَّد من أنّ صفحتك غير مشاركة في أيّ من الممارسات، وبعد ذلك اتّبِع الخطوات التالية:

  1. انتقِل إلى Search Console.
    • تأكَّد من أنّك مالك موقعك الإلكتروني في Search Console وأنّه لم تتم إضافة مالكين جدد مشكوك بهم.
    • راجِع تقرير "مشاكل الأمان" لمعرفة ما إذا كان قد تم تصنيف موقعك الإلكتروني بأنّه يشتمل على محتوى مخادع (وهو المصطلح المستخدَم في الإبلاغ عن الهندسة الاجتماعية). إذا كان التقرير يتضمّن نماذج من عناوين URL التي تم الإبلاغ عنها، يمكنك الانتقال إلى بعض تلك العناوين المدرَجة في التقرير، ولكن يجب استخدام جهاز كمبيوتر لا يقع ضمن نطاق الشبكة التي توفّر الخدمة لموقعك الإلكتروني (لأنّ المخترقين الماهرين سيوقفون هجماتهم إذا اعتقدوا أنّ الزائر هو مالك الموقع الإلكتروني).

      إذا كان التقرير لا يتضمّن نماذج عناوين URL وكنت متأكّدًا من أنّ موقعك الإلكتروني لا يحتوي على هندسة اجتماعية (أي محتوى مخادع)، اطلب إجراء مراجعة لأمان موقعك الإلكتروني في تقرير "مشاكل الأمان".

  2. أزِل المحتوى المخادع. تأكَّد من عدم اشتمال أي صفحة من صفحات موقعك الإلكتروني على محتوى مخادع. إذا رأيت أنّ ميزة "التصفّح الآمن" قد صنّفت صفحة ويب عن طريق الخطأ، يمكنك الإبلاغ عنها.
  3. تحقَّق من الموارد الخارجية المضمّنة في موقعك الإلكتروني. تأكَّد من عدم وجود أي محتوى مخادع على صفحات موقعك الإلكتروني، مثل الإعلانات أو الصور أو غيرها من الموارد الخارجية المضمَّنة في موقعك.
    • يُرجى العلم بأنّ شبكات الإعلانات قد تعرض بالتناوب الإعلانات الظاهرة على صفحات موقعك الإلكتروني. لذلك، قد تحتاج إلى إعادة تحميل الصفحة عدة مرات لتتمكن من رؤية أي إعلانات تتضمّن هندسة اجتماعية.
    • قد تظهر بعض الإعلانات بشكل مختلف على الأجهزة الجوّالة وأجهزة الكمبيوتر المكتبي. ويمكنك استخدام أداة فحص عنوان URL للاطّلاع على موقعك الإلكتروني بالعرض المخصّص للأجهزة الجوّالة والعرض المخصّص للكمبيوتر المكتبي.
    • اتّبِع الإرشادات الخاصة بالخدمات الخارجية لأي خدمات خارجية تستخدمها في موقعك الإلكتروني، مثل خدمات الدفع.
  4. اطلب إجراء مراجعة. بعد إزالة محتوى الهندسة الاجتماعية بالكامل من موقعك الإلكتروني، يمكنك طلب إجراء مراجعة لأمان موقعك الإلكتروني في تقرير "مشاكل الأمان"، مع العِلم بأنّ اكتمال المراجعة قد يستغرق عدة أيام.

إرشادات الخدمات الخارجية

في حال تضمين خدمة خارجية (تابعة لجهة خارجية) في موقعك الإلكتروني، ننصحك باستيفاء الشروط التالية لتجنُّب تصنيف موقعك على أنّه يتضمن محتوى هندسة اجتماعية:

  • في كل صفحة، يجب أن يشتمل الموقع الإلكتروني التابع لطرف ثالث بوضوح على العلامة التجارية الخاصة بالطرف الثالث بطريقة تضمن للمستخدمين معرفة المسؤول عن إدارة الموقع الإلكتروني، مثلاً من خلال إدراج العلامة التجارية الخاصة بالطرف الثالث في أعلى الصفحة.
  • في كل صفحة تضم العلامة التجارية الخاصة بالطرف الأول، يجب تحديد العلاقة بين الطرف الأول والطرف الثالث بشكل صريح وتقديم رابط يؤدي إلى المزيد من المعلومات. في ما يلي مثال عن البيان الذي يمكنك عرضه:

    يستضيف Example.com هذه الخدمة بالنيابة عن Example.charities.com. مزيد من المعلومات

من إرشادات سهولة الاستخدام معرفة ما إذا كان المستخدم الذي يطّلع على الصفحة بشكلٍ منفصلٍ على علمٍ بالموقع الذي يتصفّحه حاليًا ويعرف كذلك العلاقة بين الطرف الأول والطرف الثالث في جميع الأوقات.

إذا كنت من مستخدمي Search Console وتواجه مشاكل أمان مستمرة أو غير قابلة للحلّ على موقعك الإلكتروني، يمكنك إخبارنا بذلك.

الإبلاغ عن مشكلة تتعلّق بالأمان