في خضم التطور التكنولوجي في حماية الحواسيب و البرامج من الإختراق تمكن خبراء الحماية من التقليص من حوادث إختراق الشركات الكبرى وسرقة المعلومات الحساسة منها لكن هذا يمثل فقط جانب من القصة أم الجانب الأخر فهو العنصر البشري الذي أصبح حتا هو قابل للتلاعب من طرف المخترقين بواسطة الهندسة الإجتماعية والتي سنقوم بالتطرق لها في هذ المقال .
ماهو تعريف الهندسة الإجتماعية :
يتم تعريفيها على أنها فعل التلاعب بالناس للقيام بأعمال أو إفشاء معلومات سرية. بينما يشبه خدعة الثقة أو الاحتيال البسيط ، ينطبق المصطلح عادة على الخداع لغرض جمع المعلومات أو الاحتيال أو الوصول إلى نظام الكمبيوتر في معظم الحالات ، لا يأتي المهاجم وجها لوجه مع الضحية [1]موقع ويكيبديا .
و تستخدم الهندسة الاجتماعية في الحياة اليومية في الطريقة التي يستخدمها الأطفال على الآباء للاستسلام لمطالبهم . يتم استخدامه في الطريقة التي يتفاعل بها المعلمون مع طلابهم ، في الطريقة التي يحصل بها الأطباء أو المحامون أو علماء النفس على المعلومات من مرضاهم أو عملائهم. يتم استخدامه بالتأكيد في تطبيق القانون ، وفي المواعدة – يتم استخدامه حقًا في كل تفاعل بشري من الأطفال إلى السياسيين وكل شخص بينهما [2] كتاب Social Engineering The Art of Human Hacking .
الأساليب المستخدمة في الهندسة الإجتماعية :
توجد العديد من الأساليب التي يستخدمها المحتالون والمخترقون للوصول لهدفهم من بينها :
الـ Phisihing و تعني التصيد وهي واحدة من الهجمات المشهورة المنتشرة في الأنترنيت حيث يتم إستعمال الإيمايل أو الإتصال الهاتفي أو الرسائل القصيرة لإرسال رسائل تهدف إلى خلق شعور بالإلحاح أو الفضول أو الخوف لدى الضحايا ثم يحثهم على الكشف عن معلومات حساسة ، أو النقر على الروابط إلى مواقع الويب الضارة ، أو فتح المرفقات التي تحتوي على برامج ضارة.
الـ Pretexting يتم تعريفه على أنه فعل إنشاء سيناريو مخترع لإقناع الضحية المستهدفة بنشر المعلومات أو القيام ببعض الإجراءات . كما أنه أكثر من مجرد خلق كذبة. في بعض الحالات ، يمكن إنشاء هوية جديدة كاملة ثم استخدام تلك الهوية للتلاعب في استلام المعلومات . [3]كتاب Social Engineering The Art of Human Hacking
الـ Baiting وترجمته تعني الطعم حيث يتميز بقيام المخترق أو المحتال بوعد الضحية وإغرائه للحصور على هدية أو شيء مغري أو شيء يحبونه مقابل الحصول على معلومات خاصة بهم أو يعرفونها مثلا قد يقوم بوعد المستخدم بتنزيل أفلام مجانا مقابل التسجيل في الموقع بمعلوماته الشخصية . [4] موقع Tripwire
الـ Scareware وتعني التخويف وهو أسلوب يتم استخدامه عن طريق إرسال لحاسوب الضحايا إنذارات كاذبة وتهديدات وهمية ليتم خداعهم للاعتقاد بأن نظامهم مصاب ببرامج ضارة ، مما يدفعهم إلى تثبيت برامج ضارة بجهازهم أو برامج تجسسية وتشار أيضا إلى برنامج الماسح الضوئي الخادع والبرمجيات الاحتيالية [5] موقع Imperva.com .
أمثلة عن الهندسة الإجتماعية :
– فيديو لخبيرة الهندسة الاجتماعية Jessica Clark تقوم بعملية التصيد عبر الهاتف عبر الإتصال بمزود الخاص بخدمة الإتصالات لمستخدم وتقنعهم بإعطائها معلومات شخصية عنه كالـEmail .
– من الأمثلة الشائعة لـScareware هي أثناء تصفحك الويب تظهر لك نافدة منبثقة وتعرض نصا مثل “قد يكون جهاز الكمبيوتر لديك مصابا ببرامج تجسس ضارة “. يعرض إما تثبيت الأداة (غالبًا ما تكون مصابة بالبرامج الضارة) ، أو سيوجهك إلى موقع ضار حيث يصاب جهاز الكمبيوتر الخاص بك [6] موقع Imperva.com .
– مثال لـBaiting أو الطعم في سنة 2018 قامت شركة الحماية KrebsOnSecurity بحملة هجوم استهدفت بها وكالات حكومية ومحلية في أمريكا قامت فيها بإرسال ظرف يحتوي على ختم صيني ورسالة مربكة ومعها قرص CD والهدف كان إثارة فضول المستلمين للظرف ليقومو بتشغيل القرص في حاسوبهم ويتم بذلك اصابة أجهزتهم ببرامج ضارة . [7] مقال شركة krebsonsecurity
الحماية من الهندسة الإجتماعية :
– لا تقم بإفشاء الحقائق عن حياتك للغرباء الذين لا تعرفهم لأن ذلك يمثل خطرا عليك وكذلك مشاركة معلوماتك الشخصية في التطبيقات التعارف لأن ذلك قد يساعد في إنتحال شخصيتك أو عبر إستعمال معلوماتك لتخمين كلمات السر الخاصة بك لأن أغلب الأشخاص يبنون باسورداتهم من هوياتهم كإسم حيوانهم الأليف وعير ذلك [8] موقع inverse .
– التأكد من أن الشخص الذي يقوم بإجراء الطلب له صلاحية لعمل ذلك لكي لا يتم خداعك [9] موقع infosecinstitute .
– جامعة نيويرك في موقعها نصائح لتجنب الهجمات حيث ذكرت ” إذا كنت تشك في أن شخصا ما يحاول أن يجعلك ضحية لهجوم هندسة اجتماعية فتوقف عن التواصل معه وإذا كان المتصل عبر الهاتف هو مخترق فأغلق المكالمة و إذا رأيت علامات تدل على أن رسالة دردشة عبر الإنترنت تبدو وكأنها من انتحال الهوية فقم بإنهاء الاتصال. و أخيرا إذا تلقيت بريدًا إلكترونيًا من مرسل لا تعرفه وتثق به فقم بحذفه” [10] مقال في جامعة نيويرك .
المراجع :
| ↑1 | موقع ويكيبديا |
|---|---|
| ↑2 | كتاب Social Engineering The Art of Human Hacking |
| ↑3 | كتاب Social Engineering The Art of Human Hacking |
| ↑4 | موقع Tripwire |
| ↑5 | موقع Imperva.com |
| ↑6 | موقع Imperva.com |
| ↑7 | مقال شركة krebsonsecurity |
| ↑8 | موقع inverse |
| ↑9 | موقع infosecinstitute |
| ↑10 | مقال في جامعة نيويرك |
اضف تعليق