الهندسة الاجتماعية

ماهى الهندسة الاجتماعية او Social Engineering

الهندسة الاجتماعية او Social Engineering عندما تستخدم فى سياق امن المعلومات فانها تعنى الوصول إلى المعلومات عن طريق استغلال علم النفس البشري ، بدلاً من استخدام تقنيات القرصنة التقنية. على سبيل المثال ، بدلاً من محاولة البحث عن ثغرة فى برنامج معين ، قد يتصل المخترق بالموظف ويمثل شخصية دعم تكنولوجيا المعلومات ، ويحاول خداع الموظف لإفشاء كلمة المرور الخاصة به.

يستخدم المخترقون عادًة هذا الاسلوب فى معرفة المعلومات لانه يعتبر الاسهل, مستغلين الطبيعة البشرية فى الثقة بالاخريين, فمحاولة كسب ثقتك لتفشي باسرار معينة تخدم هدف المخترق يكون اسهل من محاولة استخدام التقنيات فى عملية الاختراق.

ومن الامور المعروفة فى اوساط امن المعلومات أن الحلقة الأضعف في السلسلة الأمنية لاي نظام هى البشر, فلا يهم عدد الأقفال الموجودة على الأبواب والنوافذ الخاصة بك ، أو إذا كان لديك كلاب حراسة ، وأنظمة إنذار ، وأضواء كاشفة ، واسوار بأسلاك شائكة ، وأفراد أمن مسلحين ؛ فإذا كنت تثق بشخص عند البوابة يقول إنه رجل توصيل البيتزا وتسمح له بالدخول دون أن تتحقق أولاً لمعرفة ما إذا كان كذلك فعلًا فأنت عرضة تماماً لأي خطر يمثله هذا الشخص وهنا يأتى دور الهندسة الاجتماعية لاستغلال هذا الخلل فى اي نظام.

امثلة شائعة على الهندسة الاجتماعية

غالبًا ما يستغرق المجرمون أسابيعًا وأشهرًا للتعرف على مكان ما وذلك قبل القدوم إلى الباب أو إجراء مكالمة هاتفية. قد يتضمن إعدادهم هذا العثور على قائمة هواتف الشركة أو البحث عن موظفي المؤسسة على مواقع التواصل الاجتماعي مثل LinkedIn أو Facebook.

على الهاتف:
قد يقوم مهندس اجتماعي بالاتصال والتظاهر بأنه موظف زميل أو سلطة موثوق بها (مثل الشرطة أو مدقق حسابات).

ووفقًا لـ Sal Lifrieri ، وهو مخضرم لمدة 20 عامًا في قسم شرطة مدينة نيويورك والذي يقوم حاليًا بتثقيف الشركات حول تكتيكات الهندسة الاجتماعية من خلال منظمة تدعى “عمليات الحماية” ، يحاول المجرم أن يجعل الشخص يشعر بالراحة والثقة. قد يتعلم المخترقون طريقة الكلام الخاصة بموظفى الشركة حتى يعتقد الشخص على الطرف الآخر أنهم من داخل الشركة فعلًا. وهنالك تقنيات أخرى ناجحة مثل تسجيل نفس الموسيقى التى تستخدمها الشركة عند ترك المتصلين في وضع الانتظار على الهاتف. 

مثل هذه التقنيات تهدف جمعيها إلى جعل الضحية ينخدع حول هوية المخترق ويثق فيه حتى يعطية المعلومات المطلوبة.

عبر الانترنت:
مواقع الشبكات الاجتماعية جعلت من هجمات الهندسة الاجتماعية امر سهل عما كان الحال فى الماضى فلدينا جميعًا منصات التواص الاجتماعي المختلفة و التي تمكن المخترق من جمع المعلومات الخاصه بنا منها. ففى الماضى قبل شبكات مثل Facebook و Twitter ، إذا أردت العثور على معلومات حول الشركات ، فلن تجد الكثير على الإنترنت. فلقد كان الأمر يقتصر على مراقبة المكان لاسابيع ، ومشاهدة ما يحدث فى المؤسسة المراد اختراقها والتحقق من صناديق القمامة ، وجميع أساليب الاختراق الكلاسيكية هذه.

ولكن اليوم يوجد لدى المهندسين والمهاجمين الاجتماعيين ادوتهم الحديثة ، فيمكنهم ببساطة الذهاب إلى مواقع مثل LinkedIn والبحث عن جميع المستخدمين الذين يعملون في شركة ما و يقوموا بجمع الكثير من المعلومات التفصيلية التي يمكن استخدامها في الهجوم. “إنها الآن مسألة دقائق قبل ان يتمكنوا من وضع خطة جيدة للاختراق الاجتماعى للمؤسسة ، عوضًا عن أيام وأسابيع في الماضي. قإذا قمت بإرسال مائة رسالة إلكترونية خادعة ، استنادًا إلى معلومات تم جمعها ، فهذا يكاد يكون بمثابة ضمان بأنني سأحصل على معدل نجاح جيد.

مثال لحادثة اختراق باستخدام الهندسة الاجتماعية حدثت بالفعل

اختراق شبكات Ubiquiti فى عام 2015 

في عام 2015 ، فى شركة Ubiquiti ، وهي شركة متخصصة في تصنيع الأجهزة والبرامج اللاسلكية في سان خوسيه كاليفورنيا فى الولايات المتحدة الامريكية، حيث تم استهداف قسم الشؤون المالية في خطة احتيالية عن طريق انتحال هوية موظفين بالشركة.

ولم تكشف الشركة مطلقاً عن كيفية تنظيم الهجوم ، لكنها قالت إن إدارة المحاسبة تلقت بريدًا إلكترونيًا يزعم أنه من شركة هونج كونج التابعة لهم. في كثير من الأحيان ، تحتوي رسائل البريد الإلكتروني هذه على إرشادات تتعلق بالتغييرات في تفاصيل حسابات الدفع أو البائعين الجدد الذين يتم اعتمادهم. ودون التحقق اتبع قسم المحاسبة هذه التعليمات. 

أسفرت هذه الخطة عن عمليات تحويل بلغت في مجموعها ما يقرب من 47 مليون دولار إلى حسابات خارجية مختلفة يعتقد أنها مملوكة للبائعين الحاليين … ولكن ، في الواقع ، تم ارسال هذه الأموال ببساطة إلى الحسابات المملوكة لمنفذى الاختراق.

تمكنت Ubiquiti من استرداد حوالي 8 ملايين دولار من هذه الأموال ولكن بقية الاموال فُقدت بشكل دائم.

لا تكن الضحية

  • كن متريسًا. فدائمًا ما يريد مرسلي الرسائل غير المرغوب فيها أن تتصرف أولاً وأن تفكر لاحقًا. إذا كانت الرسالة تنقل لك إحساسًا بالإلحاح ، أو تستخدم تكتيكات مبيعات ذات ضغط مرتفع ، فتشكك. لا تدعهم يؤثروا على المراجعة الدقيقة.
    البحث عن الحقائق. كن حذرًا في أي رسائل غير مرغوب فيها. إذا كانت الرسالة الإلكترونية تبدو كما لو أنها من شركة تستخدمها ، فقم باستخدام محرك البحث للانتقال إلى الموقع الحقيقي للشركة ، أو إلى دليل الهاتف للعثور على رقم هاتفها.
  • قم بحذف أي شخص يطلب الحصول على معلومات مالية أو كلمات مرور. إذا طُلب منك الرد برسالة تحتوي على معلومات شخصية ، فهذا يعني أنها عملية احتيال واضحة.
  • رفض طلبات المساعدة أو عروض المساعدة. عادتًا لا تتصل الشركات اوالمؤسسات الشرعية بك لتقديم المساعدة. إذا لم تقم انت بطلب المساعدة منهم، فتحقق من أي عرض “للمساعدة” مثلًا استعادة نقاط الائتمان وما إلى ذلك. وبالمثل ، إذا تلقيت طلبًا للمساعدة من مؤسسة خيرية أو منظمة لا تربطك بها علاقة ، فاحذفها بشكل فوري.  ويمكنك البحث عن المنظمات الخيرية جيدة السمعة بنفسك لتجنب الوقوع في مصيدة الخداع.
  • لا تدع الروابط او Links تتحكم فيك. بمعنى ان تعثر على موقع الويب التى تريدها بنفسك باستخدام محركات البحث للتأكد من وصولك إلى الموقع الذي تنوي الوصول إليه. لان الاعتماد على الراوبط فى الاميلات القادمة إليك قد توجهك إلى مواقع مزورة للوصول إلى بياناتك من خلالها.
  • يؤدي الفضول إلى النقر بلا مبالاة. إذا كنت لا تعرف موضوع الرسالة الإلكترونية ، فإن النقر على الروابط يعد اختيارًا سيئًا. وبالمثل ، لا تستخدم أرقام الهواتف مطلقًا من البريد الإلكتروني ؛ فمن السهل على أحد المخادعين التظاهر بأنك تتحدث إلى أحد صرافي البنك.
  •  بمجرد أن يتحكم المخترق في حساب البريد الإلكتروني لشخص ما ، فإنه يستغلون ثقة جميع جهات الاتصال لهذا الشخص. فحتى عندما يبدو المُرسل شخصًا تعرفه ، قإذا كنت لا تتوقع رسالة بريد إلكتروني تحتوي على رابط من صديقك فعليك الحذر قبل فتح الروابط أو تحميل شئ ما.
  • حذار من أي تنزيل. إذا كنت لا تعرف المرسل شخصيا وتوقعت ارساله لملف معيين، فإن تنزيل أي شيء يعد خطأ.
  • العروض الخارجية مزيفة. إذا تلقيت بريدًا إلكترونيًا من يانصيب أو أموالًا من قريب غير معروف أو طلبات تحويل أموال من بلد أجنبي للحصول على نصيب من المال ، فاضمن لك انها عملية احتيال.
  • قم بتعيين فلاتر على الرسائل غير المرغوب فيها على درجة عالية. يحتوي كل برنامج بريد إلكتروني على فلاتر  للرسائل الغير مرغوب فيها. اجعل هذا الفلتر على درجة عالية ،ويمكنك التحقق من مجلد الرسائل غير المرغوب فيها بشكل دوري لمعرفة ما إذا كان بريد الإلكتروني سليم قد تم احتجازه بطريق الخطأ. يمكنك البحث عن دليل تفصيلي لإعداد فلاتر الرسائل غير المرغوب فيها عن طريق البحث عن الطريقة المستخدمة فى شركة  البريد الالكترونى التى تستخدمها على سبيل المثال Gmail.
  • تأمين أجهزة الكمبيوتر الخاصة بك. تثبيت برامج مكافحة الفيروسات وجدران الحماية وفلاتر البريد الإلكتروني والحصول على اخر التحديثات باستمرار. قم بتعيين نظام التشغيل لديك ليقوم بالتحديث تلقائيًا ، وإذا لم يتم تحديث هاتفك الذكي تلقائيًا ، فقم بتحديثه يدويًا عندما تتلقى إشعارًا بذلك. استخدم أداة مكافحة السبام التي يقدمها متصفح الويب الخاص بك أو عن طريق برنامج اخر لتنبيهك للمخاطر المحتملة.

المصادر

https://www.webroot.com/ie/en/home/resources/tips/online-shopping-banking/secure-what-is-social-engineering

https://www.csoonline.com/article/2124681/social-engineering/what-is-social-engineering.html

https://ar.wikipedia.org/wiki/%D9%87%D9%86%D8%AF%D8%B3%D8%A9_%D8%A7%D8%AC%D8%AA%D9%85%D8%A7%D8%B9%D9%8A%D8%A9_(%D8%A3%D9%85%D9%86)

https://en.wikipedia.org/wiki/Social_engineering_(security)#Information_security_culture

اشترك فى القائمة البريدية

عن الكاتب

شارك على وسائل التواصل

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

تسعة عشر − 18 =