الهندسة الاجتماعية ما بين التعريف والتقنيات

أساليب استخدام الهندسة الاجتماعية

يستخدم المخترق التلاعب النفسي لخداع المستخدمين لارتكاب أخطاء أمنية أو الكشف عن معلومات حساسة, فإذا فرضنا أن منظمة عمل تتطبق أعلى معايير الحماية من وجود فريق أمن سيبراني وأنظمة حماية كـ IDS/IPS و Firewall فيعلم المهاجم أنه سيتم منعه ولن يتمكن من الوصول إلى النظام فيستخدم أضعف حلقة وصل في الشركة وهي "الموظف أو المستخدم" الذي لديهم access على النظام فيقوم باستغلال نقص معرفة المستخدم فبفضل سرعة تقدم التكنولوجيا، قد لا يدرك الكثير القيمة الحقيقية للبيانات الشخصية، وقد يجهلون الطريقة لحماية هذه المعلومات.

”يقوم المهاجم بتجميع معلومات عن الضحية من فريقه المفضل لأصدقائه وصفحاته على مواقع التواصل ميوله واتجاهاته من ماذا يحب ويكره عن ماذا فعل في يومه ثم يقوم باستخدام هذه البيانات في عملية تصيد احتيالي“

“As John Chambers famously said, ‘There are only two types of organizations: Those that have been hacked and those that don’t know it yet!’”

تقنيات وأنواع هجوم الهندسة الاجتماعية

تأتي هجمات الهندسة الاجتماعية في العديد من الأشكال المختلفة ويمكن إجراؤها في أي مكان يكون فيه التفاعل البشري ممكنا, يقوم المهاجم بتجميع معلومات عن الضحية من فريقه المفضل وأصدقائه وصفحاته على مواقع التواصل وميوله واتجاهاته من ماذا يحب ويكره عن ماذا فعل في يومه ثم يقوم باستخدام هذه البيانات في عملية تصيد احتيالي, فيما يلي الأشكال الخمسة الأكثر شيوعًا لاعتداءات الهندسة الاجتماعية الرقمية.

1- الاصطياد بالطُعم (Baiting)

كما يوحي اسمها ، تستخدم هذه الهجمات لإثارة جشع الضحية أو فضولها, يستدرجون المستخدمين في فخ يسرق معلوماتهم الشخصية أو يلحق أنظمتهم ببرامج ضارة فعلى سبيل المثال يترك المخترق CD/DVD أو USB فلاش ميموري في شارع أو مترو أنفاق أو أمام منزلك بجانب شركتك حتى يثير فضولك وما إلى أن تدخلها إلى جهاز الكمبيوتر إلى تثبيت البرامج الضارة تلقائيًا على النظام.

2- التخويف (Scareware)

تهدف برامج الـ Scareware بإرسال رسائل وإنذارات وتهديدات كاذبة إلى المستخدمين وخداعهم للاعتقاد بأن نظامهم مصاب ببرامج ضارة أو فيروسات معينة، ويعرض عليهم تثبيت البرامج التي ليس لها فائدة حقيقية لزيادة تحميلها أو البرامج الضارة نفسها, يتم إرسال برامج Scareware أيضًا عبر البريد الإلكتروني العشوائي الذي ينشر تحذيرات زائفة، أو يقدم عروضًا للمستخدمين لشراء خدمات لا قيمة لها/ضارة وما هي إلى أن تثبتها حتى تقع في مصيدتهم.

3- الخداع (Pretexting)

هنا يحصل المهاجم على معلومات عن الضحية من التسريبات التي تحدث لشركات الاتصالات أو البنوك من أرقام تليفونات وأسماء الأشخاص والهوية ثم يلاسلونك أو الاتصال عليك, يقوم خداعك باستخدام هذه البيانات وكأنهم من البنوك أو الضرائب أو الشرطة ممن لهم حق الوصول إلى هذه المعلومات ثم يبدأ بتأسيس الثقة بينكم وما إلى أن تثق به يطلب منك معلومات هامة عن حساباتك وبياناتك.

4- التصيد (Phishing)

وهو من أشهر أنواع هجمات الهندسة الاجتماعية تتمثل هذه العمليات في التصيد الاحتيالي عبر إرسال Emails ورسائل نصية تهدف إلى إثارة الفضول أو الخوف لدى الضحايا,ثم يدفعهم إلى الكشف عن معلومات حساسة ، أو فتح روابط لمواقع ويب ضارة ، أو فتح مرفقات تحتوي على برامج ضارة.

من الأمثلة المشهورة لهذا النوع أن يقوم المهاجم عبر استخدام أدوات الهندسة الاجتماعية بعمل صفحة موقع تواصل كـ Facebook تشبه بحد كبير الصفحة الأصلية ثم يرسل لك في الرسالة بأن حسابك قد اختُرق فقم بتغيير الباسورد حالا فتقوم بالنقر عن الرابط في الإيميل فتجد نفس صفحة Facebook لديك فتقوم بتسجيل الباسورد الخاص بك وتهاني لك قد قمت للتو باختراق حسابك :)

5- التصيد بالرمح (Spear Phishing)

هذه نسخة أكثر استهدافًا من عملية التصيد الاحتيالي الـ Phishing حيث يختار المهاجم أفرادًا أو مؤسسات معينة, ثم يصممون رسائلهم بناءً على الخصائص والوظائف وجهات الاتصال الخاصة بضحاياهم لجعل هجومهم أقل وضوحًا, يتطلب هذا النوع من الهجوم المعلومات والوقت لكي يتمكن من اخداع الضحية داخل المؤسسة فيكون اكتشافها أصعب بكثير وتتمتع بمعدلات نجاح أفضل إذا تم إجراؤها بمهارة.

مثلا يرسل لك المهاجم بأنه الـ IT administrator الخاص بالشركة أنك يجب أن تغير الباسورد الخاص بك لوجوده ضعيفا أو شائعا ثم قم بالنقر على هذا الرابط للتغيير فيستولى على حسابك .

كيف تحمي نفسك من هذه الهجمات؟

المحور الأول لمنفذي هذه الهجمات هو التلاعب النفسي والعقلي بالضحايا من الخوف والمكاسب, هناك عدد من الاستراتيجيات التي يمكن للشركات اتخاذها لمنع هجمات الهندسة الاجتماعية :

1- التعليم هو البداية الأولى في الحماية من الهندسة الاجتماعية، هناك قاعدة ذهبية يجب اتباعها وهي Zero-Trust أي لا تثق في أحد من أي مصدر حيث يجب تدريب المستخدمين على عدم النقر أبدًا فوق أي روابط مشبوهة وحماية بيانات اعتماد تسجيل دخولهم دائمًا، حتى في المكتب أو المنزل

2- تأكد من أن أقسام تقنية المعلومات في الشركة تجري بانتظام اختبارات الاختراق التي تستخدم تقنيات الهندسة الاجتماعية، سيساعد ذلك المسؤولين في معرفة أنواع المستخدمين التي تشكل أكبر مخاطر لأنواع معينة من الهجمات، مع تحديد الموظفين الذين يحتاجون إلى تدريب إضافي.

3-استخدام 2FA أو المصادقة الثنائية من أهم المعلومات التي يبحث عنها المهاجمون هي بيانات دخول المستخدم, يساعد استخدام المصادقة متعددة العوامل على ضمان حماية حسابك في حالة اختراق النظام.

4- ابق على اطلاع وتحديث دائم مع تصحيحات وتحديثات البرامج (Software update) والبرامج الثابتة (Firmware update) على نقاط النهاية.

5- حافظ على تحديث برامج مكافحة البرامج الضارة والفيروسات (Anti-Virus update) للمساعدة في منع البرامج الضارة (Malicious software) في رسائل البريد الإلكتروني المخادعة من تثبيت نفسها.

إلى هنا نكون قد أوجزنا في التعرف عن هذه التقنية ولنا لقاء في مقالة أخرى لاستخدام أشهر الأدوات في تنفيذ الهندسة الاجتماعية, حدثنا في التعليقات عن نوع الهندسة الاجتماعية الذي قابلك عند استخدامك للإنترنت.

References:
shorturl.at/wBM56
shorturl.at/jDTVY
shorturl.at/bgBER