للاسف الشديد ان اضعف النقاط في اي مؤسسة هى العنصر البشري لذلك يعتمد المخترق على استهدافه بما يعرف بالهندسة الاجتماعية.
الهندسة الاجتماعية
عبارة عن مجموعة من الحيل والتقنيات المستخدمة لخداع الناس وجعلهم يقومون بعمل ما أو يفصحون عن معلومات سرية وشخصية.قد تـُستخدم الهندسة الاجتماعية دون الاعتماد على أي تقنية والإعتماد فقط على أساليب الإحتيال للحصول على معلومات خاصة من الضحية. وتتم الهندسة الإجتماعية في الغالب عن طريق الهاتف أو البريد الإلكتروني مع انتحال شخصية ذي سلطة أو فتاة جميلة على مواقع التواصل الاجتماعي أو ذات عمل يسمح للمحتال أو المخترق بطرح أسئلة شخصية دون إثارة الشبهات لدى الضحية.
كيف يستخدم المهندس الهندسة الاجتماعية لخدمة أهدافه؟
إذا عرفنا مما سبق أهمية هذا المجال وخطورته في نفس الوقت، ولكن نريد أن نستوضح أكثر عن مهام المهندس الاجتماعي، وطبيعة عمله، وكيف يتعامل مع الضحية من أجل جمع المعلومات واستغلالها بعد ذلك، أو حتى حفظها آمنة بعيدًا عن هجمات الأمن السيبراني.- جمع المعلومات
لذلك فهو يرسخ كل تركيزه عن كيفية جمع تلك المعلومات وتنظيمها، ثم تحليلها لمعرفة ما يمكن استنتاجه من هذا الكم من البيانات الذي أصبح متوفر على شبكة الإنترنت ومواقع التواصل الاجتماعي.
- تقديم حقائق واستنتاجات
فأحيانًا يبدأ المهندس الاجتماعي في إجراء محادثات مع ضحاياه تبدو صادقة وودودة، ولكنه في الوقت ذاته يبدأ في استخلاص المعلومات منه دون أن يشعر الطرف الآخر بأي مصدر تهديد له، فغالبًا ما يكون محترفي الهندسة الاجتماعية أشخاص يتمتعون بسرعة البديهة والإنصات للآخرين.
وتتبع تلك السياسة أغلب أجهزة الاستخبارات العالمية وذلك من أجل كسب ثقة الطرف الأخر وإرضاء غروره، ومن ثم يبدأ في الحديث عن الكثير من المعلومات المهمة سواء عن حياته أو عن الأشخاص الذين يعرفهم.
- انتحال الهوية
أساليب الهندسة الاجتماعية Social Engineering
- الاصطياد الالكتروني Phishing
هو محاولة الحصول على المعلومات الخاصة «شخصية أو مالية» بمستخدمي الانترنت عن طريق الرسائل الإلكترونية أو مواقع الانترنت التي تبدو وكأنها من جهة رسمية.
- الإغراء Baiting
تقديم شيء لإغراء المستخدم النهائي للحصول على بياناته كأن يترك المهاجم فلاش يحمل عنوان «ملفات مهمة» ليأخذها الضحية و هو في الحقيقة يحمل ملفات تجسس
- المقايضة Quick Pro Quo
في هذا النوع ينتحل المهاجم شخصية ما لطلب معلومات من الضحية مقابل خدمة ينفذها له, كأن ينتحل صفة موظف في الدعم الفني و يطلب من الضحية بيانات الدخول.
- اتباع الخطى Tailgating
في هذا النوع يقوم المهاجم بالدخول لأماكن غير مصرح له بالدخول إليها و ذلك بتتبع الشخص المخول له بالدخول كما أنه قد يقتنص الفرصة بالدخول من الأبواب الخلفية للموظفين
- الادعاء Pretexting
في هذا النوع يقوم المهاجم بخلق نوع من الثقة بينه و بين الضحية , و ذلك بانتحال شخصية معروفة لدى الضحية للحصول على معلومات مهمة بطريقة مباشرة أو غير مباشرة
طرق تجنب هجمات الهندسة الاجتماعية
- نظرًا لما تحمله تلك الهجمات من خطورة بالغة سواء على مستوى الأفراد أو المؤسسات، وجب التحصين ضد هجمات الهندسة الاجتماعية، ومحاولة استخدام أي أدوات من أجل حفظ بياناتك أنت وأسرتك أو حتى شركتك من تلك القرصنة الخبيثة.
- عدم مشاركة بياناتك الشخصية مع أي شخص حتى وإن كان محل ثقة، وخاصة بياناتك البنكية.
- لا تضغط على أي روابط تصلك من أي شخص، حتى وإن كان صديقك المقرب -قد يكون حسابه اخترق بالفعل، وأنت الضحية القادمة.
- لا تضغط على أي ملفات تصلك عبر البريد الإلكتروني، فهي أشهر السبل المستخدمة عالميًا لنشر البرامج الخبيثة.
- استخدم تقنيات حديثة لترشيح رسائل البريد التي تصل إليك، حيث تؤدي تلك التقنيات وظيفة حارسك الشخصي، لترسل أي رسالة مرسلة من جهة مجهولة الهوية إلى ملف الرسائل المزعجة في البريد الإلكتروني.
- احرص على تثبيت برامج حماية من الفيروسات فعالة وذات سمعة طيبة، أو استعن بأحد الشركات المتخصصة في الأمن السيبراني لتساعدك على تلك المهمة.
أشهر المهندسين الاجتماعيين
- فرانك أباغنيل
- كيفين ميتنيك
- سوزان هيدلي (Susan Headley)
- جيمس لينتون (James Linton)
- الأخوان بادر (Badir Brothers)
- كريستوفر ج. هادناجي (Christopher J. Hadnagy)
الملخص
الهندسة الاجتماعية (Social Engineering) عبارة فن التلاعب و التحايل على الأشخاص، للحصول على معلومات مهمة أو الدخول لأماكن غير مصرح للشخص بالدخول إليها .
دمتم بخير