الهندسة الاجتماعية
كثير ما تتردد في أسماعنا جملة الهندسة الاجتماعية ، وغالبا ما تعرف بمواضيع الاحتيال، والخداع عبر الإنترنت ، وفي الكثير من الأحيان يفشل هذا الهاكر في إيجاد أي ثغرة في النظام ، ولذلك يضطر إلي استهداف الحلقة الأضعف في هذا النظام وهي الإنسان ، وقد عرفت الهندسة الاجتماعية بفن اختراق عقول البشر، لكي يتم اختراق جهاز أو نظام معين ، ولا تعتمد الهندسة الاجتماعية على أشياء تقنية مثل الفيروسات، بل أنها تعتمد على الجانب النفسي للبشر ، كما أنها تقوم باستغلال الجهل الإلكتروني وهذه الغريزة البشرية مثل غريزة الفضول ، والطمع .
تعريف الهندسة الاجتماعية
هي نوع من أنواع التقنيات التي تم استخدامها بواسطة المجرمون الإلكترونيون ، وكان الهدف من ذلك استدراج المستخدمين غير المرتبين لحثهم على إرسال بياناتهم السرية ، وفتح روابط إلي مواقع مصابة ، وقد قامت البرامج الضارة بإصابة حواسبهم ، فقد حاول كثير من المتطفلين أن يستغلوا نقص معرفة المستخدم ، ومن خلال سرعة تقدم التكنولوجيا أصبح لا يدرك الكثير من المستهلكين القيمة الحقيقة لهذه البيانات الشخصية، وقد قاموا بتجاهل طريقة حماية هذه المعلومات ، وقد عرفت الهندسة الاجتماعية بأنها استخدام هذا المهاجم لحيل نفسية حتي يقوم بخداع مستخدم الحاسوب ، لكي يتمكن من الوصول لأجهزة الحاسوب والمعلومات التي تم تخزينها فيها ، ويجب أن تكون الهندسة الاجتماعية على رأس قوائم وسائل الهجوم التي نحاول حماية المعلومات منها ؛ لأن الهندسة الاجتماعية هي من أنجح الوسائل التي يقوم بها المهاجم ؛ لأنها سهلة مقارنة بوسائل التقنيات الأخرى ، وأن مستخدمي الحاسوب وهؤلاء المتخصصين في مجال أمن المعلومات أصبحوا لا يعيرون خطر الهندسة الاجتماعية من اهتمامهم ، وأصبحت الهندسة الاجتماعية هجوم يقوم على استغلال هذا الخطاء البشري لكي يحصل على معلومات سرية ، وقد تم الوصول للضحية عن طريق تطبيقات الإنترنت مثل مواقع التواصل الاجتماعي.
أنواع الهندسة الاجتماعية
التصيد الاحتيالي:
هذا نوع من أنواع الهندسة الاجتماعية يقوم فيها المهاجم بإرسال رسائل بريد إلكتروني احتيالية ، ويكون بها إدعاء أنها من محل ثقة ، فمثلا قد يقوم هذا المهندس الاجتماعي بريدا إلكترونيا ويظهر أنه وارد مثلا من مدير في البنك الذي يتم التعامل معه العميل ، كما يمكن أن يملك معلومات عن الحساب الشخصي .
الخداع عبر الرسائل القصيرة:
حيث يقوم الأشخاص المحتالون بإرسال رسائل نصية عبر الهاتف او البريد الإلكتروني وتكون محتوية على رابط معين ، وعندما يقوم متلقي الرسالة بفتح الرابط يتم اختراق جهازه والوصول إلي المعلومات الخاصة بيه .
الخداع الإلكتروني:
وهي تكون محاولة الحصول علي معلومات خاصة بالأشخاص مثل تفاصيل بطاقات الائتمان ، وكلمات المرور وهذا عن طريق التنقير وانتحال شخصية مقنعة وطلب هذه المعلومات أو إرسال برامج ضارة .
الخداع والتزييف:
ويتم فيها توجيه الأشخاص إلي مواقع ويب مزيفة ومحاولة خداعهم ، لكي يحصلوا على معلومات خاصة وذلك عن طريق نشر برامج ضارة تؤدي إلي تغيير الملفات المضيفة للكمبيوتر الهدف ، واستخدام تقنية تعرف باسم إفساد ذاكرة التخزين المؤقت لنظام أسماء النطاقات .
التذييل:
وهنا يقوم الشخص المحتال بالدخول إلى المؤسسات ، والمباني الآمنة ، وذلك من خلال الدخول برفقة الأشخاص المصرح لهم بالدخول ، أو أن يتظاهر بالبحث عن التصريح والإدعاء بنسيانه والقيام بجمع هذه المعلومات .
التصيد بالهاتف:
وهو التصيد الصوتي وهو عبارة عن جمع معلومات خاصة من الشخص المستهدف عن طريق الهاتف .
التخويف:
وهنا يقوم الشخص المحتال بتوهم الأشخاص بأن أجهزة الحاسوب الخاصة بهم تتعرض للاختراق ، ثم يقوم بتوجيههم إلي مواقع ويب مزيفة لكي يحصل على المعلومات الخاصة بهم .
كيف تعمل الهندسة الاجتماعية ؟
من خلال هجوم الهندسة الاجتماعية سوف يعمل المجرم على الاتصال الإلكتروني مع الضحية المنشودة، رغم أنه من مؤسسة موثقة وهناك بعض الحالات التي ينتحل فيها شخصية بعض الأفراد التي تكون الضحية تعرفه ، وإذا حدث وانطلت الحيلة ، فسيعمل المعتدي على تشجيع الضحية علي اتخاذ إجراء إضافي ، وقد يعمل هذا الإجراء على إفشاء معلومات حساسة ، مثل كلمة المرور ، أو تفاصيل حساب بنكي ، أو تاريخ ميلاد ، و أيضا يعمل المعتدى على تشجيع الضحية إلى زيارة موقع إلكتروني يحتوى على برمجيات ضارة مثبتة ، وتعمل هذه البرمجيات على التسبب في خلل للحاسوب ، وقد يحتوى الموقع الإلكتروني الضار على معلومات حساسة ، أو يعمل على التحكم في الجهاز بشكل كامل ومنها الأتي.
جمع المعلومات :
وهي المرحلة الأولي من حتي نحصل على معلومات أكثر عن الضحية ، ثم يتم جمع معلومات عن مواقع الشركة ، ومنشورات أخري ، وأحيانا عن طريق التحدث لمستخدمي النظام المستهدف .
خطة الهجوم :
ويقوم فيها المهاجمون بتحديد كيفية تنفيذ الهجوم ،والتعرف على الأدوات والوسائل ، والتي يمكن استخدامها في الهجوم .
أدوات الاستحواذ:
تشمل برامج الكمبيوتر التي يستخدمها المهاجم عند بدء الهجوم .
الهجوم:
يقوم على استغلال نقط الضعف في النظام المستهدف أو الأفراد .
استخدام المعرفة المكتسبة عن طريق المعلومات التي تم تحصلها من الأفراد ، أو التي يتم تحصلها من المؤسسات.
لماذا يقوم الهاكر باستخدام الهندسة الاجتماعية؟
سهولة الإعداد والتنفيذ : أصبح من الصعب اختراق النظام واكتشاف ثغراته ، خاصة إذا كان النظام محمي من أصحابة ، ولكن كل تلك المصائب تزول إذا وجدت شخص يوصلك لها ، لذلك فإن الهندسة الاجتماعية لا تتطلب الكثير من الهاكر سواء أن يتصف بالود أو الثقة وحسن السلوك وتحليل الضحية الجيد ، حتى يسهل إقناعها وهذا الأمر لا يحتاج إلي تدريب ن أو تعليم .
صعوبة الكشف والتعقب :
حيث تعتبر جرائم الهندسة الاجتماعية من الجرائم النظيفة التي لا يكون لها أدلة ، فأنها تعتمد على البشر كليا ؛ بسبب أنه من الصعب جدا كشفها .
قلة الحماية والوعي:
الكثير من الشريكات تهتم بالحرص على الحماية المادية للشركة سواء كانت تتعلق بالأقفال ، والأمن البشري ، وتدريب الموظفين ، كما يجهل الكثير عن الحماية من الهندسة الاجتماعية فمعظم الشريكات معتقدين عن الأمن مسؤولية القسم الخاص بها وفي الحقيقة يبدو كل موظف مسئول عن حماية نفسه وحماية المؤسسة .
أقسام الهندسة الاجتماعية
- هندسة تقوم على أساس بشري أو إنساني .
- هندسة تقوم على أساس تقني .
الأساليب التي يمكن استخدمها في الهندسة الاجتماعية
البحث في المهملات :
يوجد الكثير من المعلومات المهمة التي يجب الحصول عليها من سلة مهملات الشخص ، أو الضحية .
الهاتف :
وتكون أكثر الهجمات للهندسة الاجتماعية التي تقع عن طريق الهاتف ، حيث يقوم المتصل المهاجم الذي يدعي أنه شخص ذات منصب وذات صلاحيات ، ثم يقوم بسحب معلومات من الضحية .
الهندسة الاجتماعية :
تكون في أي مكان علي شبكة الإنترنت هجوم الهندسة الاجتماعية يعرف علي أنه إعادة نظام الرد الآلي عن طريق الرقم المجاني ، ويخدع الناس بالاتصال من رقم الهاتف ، كما يعمل على إدخال تفاصيل خاصة بهم .
استغلال الشائعات :
أصبح من مصادر انتقال الشائعات شبكات التواصل الاجتماعي ، والفيس بوك ، فأصبحت هي المساهم الأكبر في نشر الشائعات ، وأصبحت مصدر لتسهيل العمل لمن ينوي استغلال الشائعات ، حتى يغلف الروابط الخبيثة بها.
لماذا تعتبر الهندسة الاجتماعية خطرة للغاية ؟
يعد أحد أكبر المخاطر للهندسة الاجتماعية أنه ليس من الضروري أن تنجح هذه الهجمات ضد الجميع ، فالضحية الواحدة بإمكانها أن تعمل على توفير معلومات كافية ، لشن هجوم يمكنه أن يؤثر على مؤسسة بأكملها ، كما تعد المواقع الإلكترونية ، ورسائل البريد الإلكتروني المزيفة وحدها تبدو واقعية ، تكفى لخداع الضحايا ؛ لتكشف عن بيانات يمكن سرقها ؛ حتى يستخدمها لسرقة الهوية ، بل أصبحت الهندسة الاجتماعية واحدة من أكثر الطرق للمهاجمين ؛ لتخرج الدفاعات الأولية للمؤسسات ، وذلك من أكثر التسبب في مزيد من الضرر ، والخلل.
مخاطر الهندسة الاجتماعية
تعتبر الهندسة الاجتماعية شديدة الخطورة ؛ بسبب هذا العنصر الخطأ البشرى الذي يكون من قبل المستخدمين وليس من الضروري وجود خلل في هذه البرامج ، أو أنظمة تشغيله ، لهذا السبب أصبح من المهم معرفة طرق يتم بها التلاعب بالبشر من قبل هؤلاء المهندسين الاجتماعيين ؛ حتى يحققوا أهدافهم للحماية من هذه الإحتيالات ، وتكمن فكرة تقنيات الهندسة الاجتماعية في أن هؤلاء الأشخاص هم الحلقة الأضعف في أي نظام أمن ، فأظهرت هذه الدراسات أن ثلث حوادث البنية التحتية لتكنولوجيا المعلومات في هؤلاء الشريكات ، ناتجة عن هجمات قامت بواسطة التصيد الاحتيالي والهجمات للهندسة الاجتماعية الأخرى فمثلا الحصول عل رقم هاتفك ، أو تاريخ ميلادك قد يقوم الهاكر باستعمالها من أجل تخمين كلمة السر الخاصة بك وبحساباتك ، أو مثلا الضغط على رابط معين وتحميل برامج معينة قد تكون أفسحت المجال لهذا الهاكر لكي ينال منك ، وأيضا إذا كنت في حالة موظف في شركة ما أو مؤسسة ووقعت في فخ الهندسة الاجتماعية قد يكون هذا مؤذي ويؤدي إلي فصلك عن منصبك ، وقد يتسبب في إفلاس الشركة أو المؤسسة .
ما هي مراحل هجوم الهندسة الاجتماعية؟
- مرحلة اختيار الجهة المستهدفة .
- مرحلة جمع المعلومات عن الجهة المستهدفة .
- مرحلة تحديد الأهداف للهجوم ، والخطوات ، لتتبع النجاح في خداع الجهة المستهدفة .
- مرحلة إعداد الهجوم بصورة مناسبة للجهة المستهدفة ، لتحقيق هدف الهجوم .
- مرحلة التنفيذ ، وفيها يتم خداع الجهة المستهدفة ، ويوقعها في الفخ .
- مرحلة حصد نتائج ، لنجاح عملية الخداع ، والمتابعة على حسب هدف الهجوم .
كيفية تجنب هجمات الهندسة الاجتماعية
- تحقق من المصدر ، يجب أن تتوقف للحظة لكي تفكر في مصدر الاتصالات ، ولا يجب أن تثق بها بشكل أعمي فمثلا تلقيت مكالمة هاتفية مفاجأة تقول أنك ورثت 10 ملايين دولار ؟ أو تلقيت رسالة بريد إلكتروني من رئيسك التنفيذي ويطلب فيها الكثير من المعلومات عن الموظفين ؟
- فيبدو كل هذا مشبوها ويجب عليك التعامل معه على هذا النحو والتحقق من المصدر ليس أمرا صعابا
- يحتوي هذا المصدر على معلومات وتتوقعها منهم مثل أسمك بالكامل ، وتعتمد الهندسة الاجتماعية على الشعور بالعجلة ، كما يأمل المهاجمون الأ تفكر أهدافهم فيما يحدث وطلب الهوية .
- ضع سياسة أمنية واضحة للشركة من خلال جعل الشركة تشرح للموظفين ما هي قوانين الأمن التي تتبعها الشركة وما يجب عليهم تطبيقه. وحيث يمكن البرمجة إلكترونيًا لضمان تطبيقها (مثل فرض تسجيل الدخول والخروج إلكترونيًا على جميع الأشخاص الذين يدخلون الشركة). توضيح العقوبات المفروضة على الموظفين في حال انطباقهم ، ولا تنطبق تلك المفروضة عليهم.
- تأمين مباني المنظمة بحيث لا يستطيع أحد دخول الشركة أو مغادرتها إلا تحت إشراف حراس الأمن. يجوز لغير العمال دخول المبنى ما لم تكن هناك معرفة مسبقة وتحت إشراف أفراد الأمن داخل المنظمة ، ويجوز للأمن تحديد وتنشيط الأشخاص المصرح لهم بدخول المبنى. ويحظر إعطاء بطاقات دخول أو كلمات مرور.
- إنشاء أنظمة أمان قوية للتحكم في المكالمات ، والتحكم في من يمكنه الاتصال بمن ، ومنع المكالمات الخاصة. لا ينبغي عرضه لأنه قد يتم استخدامه للتفاعل مع عملاء المؤسسة كعضو في المؤسسة وكسب ثقة العملاء عن طريق الخط الهاتفي المقابل لخط المنظمة.
- توعية الموظفين على جميع المستويات داخل المنظمة بشأن أمن المعلومات والانتهاكات المحتملة ، وبعد التحقق من هوية الفرد ، لا تقدم معلومات حساسة إلا وفقًا للحدود المقبولة. سنقوم أيضًا بتدريبك على كيفية رفض تقديم المعلومات إذا لم تتمكن من تقديمها بطريقة خفية.
- إن تعليم صغار وكبار الموظفين له نفس الأهمية للتأكد من صحة عذر شخص ما. يخبره أحدهم أنني ممثل مثل هذه الشركة ولدي موعد مع المدير ، أو أنني مسئول الصيانة. وبالمثل ، يجب أن يدرك المسئولون أنه حتى المسئولين يجب أن يلتزموا بقوانين الأمان.
- قم بتدمير المستندات والأجهزة التي لا يتم استخدامها داخل مؤسستك لمنع استخدام المعلومات الحساسة التي تحتوي عليها. كما يقوم بتدمير أجهزة الكمبيوتر القديمة واستخراج المعلومات الحساسة لمنع استخدامها. قد يحصل المهاجمون على معلومات عن أنفسهم من بقايا المنظمة ، مثل معرفة نظام التشغيل أو برامج الحماية التي تستخدمها المنظمة. أيضًا ، ربما قام موظفو الشركة بإزالة هذه البرامج من بقايا مربع القرص الذي يحتوي عليها. دون تدميرهم. قد تحتوي سلة المهملات أيضًا على قائمة بأسماء الموظفين والمعلومات الحساسة مثل الرواتب وكلمات المرور. تعد هذه التقنية من أكثر الأساليب شيوعًا بين مهاجمي الهندسة الاجتماعية ، ويكمن سر شعبيتها في أنها تتيح للمهاجمين جمع الكثير من المعلومات المهمة دون جذب انتباه أي شخص.
- توفير معدات ومعدات عالية الجودة لضمان الأمان ، مثل أجهزة تسجيل الدخول والخروج ، وأجهزة التخلص من الورق ، وأجهزة معرف المتصل ، وغيرها من الأجهزة والأدوات المساعدة في العمل. مستوى الأمان مع الحفاظ على جودة سير العمل.