هجمات الهندسة الاجتماعية

ما هي هجمات الهندسة الاجتماعية وطرقها؟ شرح كامل عن هجمات الهندسة الاجتماعية في مجال أمن المعلومات وكيفية عملها مع أمثلة توضيحية.

0 22

ما هي الهندسة الاجتماعية في مجال أمن المعلومات؟ سنتعرف على شرح الطرق الممكنة لهجوم الهندسة الاجتماعية، على الإنترنت أو حتى على أرض الواقع وكيفيه الحماية منها.


ما هو هجوم الهندسة الاجتماعية؟

الهندسة الاجتماعية هي فن من فنون خداع الناس، يستخدم هذا الفن من المخترقين الغير أخلاقيين وحتى اللصوص والجواسيس، أما الهندسة الاجتماعية في مجال أمن المعلومات هي طرق خداع الشخص لكي يدلي بمعلوماته الخاصة التي تمكّن المخترق من الحصول على كلمة مروره، أو معلومات عن بطاقته الائتمانية أو أشياء حساسة جدًا، أو كسب ثقته حتى يقوم بتثبيت برنامج معيّن على حاسوبه يمكّن المخترق من الحصول على معلوماته وكلمات مروره.

يحب المخترقون هذا النوع من الهجمات، وذلك لأنه سهل التنفيذ، فبدلًا من أن تبحث لأيام عن طريقة للاختراق، يمكنك استغلال الطبيعة البشرية للضحية وهي الميول للثقة.


اقرأ أيضًا: ما هو تخصص أمن المعلومات؟


كذلك الهندسة الاجتماعية لا تقتصر على أمر الواقع فقط، بل حتى في مواقع التواصل الاجتماعي فيجب على الشخص أن يعرف ما هي المعلومات التي عليه أن يخبر بها وتلك التي لا يجب عليه بأي حال من الأحوال الإخبار بها أبدًا، ومتى يتوجب عليه؟

بالإضافة إلى أن مدى الثقة التي تكوّنها في الشخص يجب أن تكون من مدى معرفتك به، مثلًا لا يجب عليك أن تثق بشخص تعرفت عليه منذ شهر ولو كان طيّبًا معك.

يصف الباحثون الأمنيون بأن أكبر ثغرة (نقطة ضعف أمنية)، في أي نظام هي الهندسة الاجتماعية وامكانية الاستغلال بواسطتها، لأنك مهما عملت من جدران حماية وأنظمة إنذار للتسلل وحراسة على المبنى، فقد يخطأ موظف واحد فقط لا يعي خطورة الهندسة الاجتماعية فيبالغ في ثقته بشخص خارج الشركة ثم يتجاوز بعض الإجراءات الأمنية وتحصل الكارثة.


اقرأ أيضًا: أفضل 10 وظائف أمن المعلومات


طرق هجمة الهندسة الاجتماعية

هناك العديد من الطرق للهندسة الاجتماعية وهي:

الطريقة التقليدية

وهي الطريقة ذكرناها من خلال الالتقاء بالضحية وكسب ثقته ثم محاولة التلاعب به لأخذ كلمات المرور.

رسائل التصيّد

أو الرسائل الاحتيالية، وتكمن بإرسال رسالة الى الضحية في البريد الإلكتروني أو التواصل الاجتماعي يدعوه فيها إلى الدخول إلى رابط لصفحة مزوّرة مشابهة للصفحة الأصلية لكي يدخل حسابه الذي يرسل إلى المهاجم، وتتبين الهندسة الاجتماعية هنا في مدى إقناع الضحية إلى الدخول في الرابط.

شرح طرق هجوم الهندسة الاجتماعية في أمن المعلومات
صفحة تسجيل دخول مزيّفة

أيضا هناك طرق أخرى تتبع التصيد وهي:

انتحال الشخصية:

أي أن يتظاهر الشخص بأنه موظف في الشركة لكي يتمكّن من جمع معلومات يستفيد منها في عملية الاختراق، هذا الأمر لا يقتصر على تغيير الهوية الشخصية فحسب، بل على التنصت على رسائل ومكالمات الضحية لبطاقة SIM من خلال ثغرة SS7 للإتمام عمليات التحقق من الهوية.

التصيّد بالرمح

لا يختلف كثيرًا عن التصيّد العادي، حيث أن المهاجم هنا يركز على عدد محدد من المستخدمين بعكس التصيّد التقليدي والذي يجمع أكبر قدر عدد ممكن من المستخدمين لتزيد نسبة الضحايا الواقعين في الفخ، لكن التصيّد بالرمح في الهندسة الاجتماعية يوجب عليك البحث والتدقيق في الأشخاص القليلين الذين اخترتهم، ثم جمع معلومات عنهم، وضبط الرسالة التي ترسل إليهم بما يناسبهم، على سبيل المثال: أنني أريد استهداف أحد هؤلاء الموظفين باستخدام هذه الاستراتيجية، فسأبحث عن حسابه على وسائل التواصل الاجتماعي مثلًا فيس بوك، ومنها سأستخلص ما هو شغوف فيه، وما مدى وعيه، وبناء على هذه المعلومات سأقوم بعمل رسالة التصيّد.

إن احتمالية دخول الهدف ونقره على الرابط تكون بنسبة 50% في التصيّد بالرمح، وهي أكثر بكثير مقارنة بالتوقعات لرسالة التصيّد الاحتيالي التقليدي والتي لا تزيد النسبة فيها عن 5%.


اقرأ أيضًا: كيفية اختراق فيس بوك


الاصطياد الواقعي

مع أنها طريقة تقليدية ولكنها قد تكون خطيرة وفعّالة جدًا، حيث يقوم المهاجم باصطياد الضحية عن طريق وضع قرص DVD أو USB داخل مكان العمل حيث يتواجد فيه الموظفون، يكون هذا القرص مثيرًا للفضول كأن يكتب عليه مثلًا “أسرار” أو يكتب “رواتب الموظفين للنصف الأول من العام 2021″، وبمجرد أن يلتقطه الموظف حتى يتم تنصيب برنامج خبيث على حاسوبه، الأمر الذي قد يؤدي بإرسال كامل المعلومات في الحاسوب إلى جهاز المهاجم.

كذلك اجريت دراسة في عام 2016 حول هذا الموضوع، حيث قام الباحثون برمي 297 فلاشة USB حول حرم جامعة، وكانت النتيجة بأن 290 – 98% – فلاش تم انتشالها من الأرض، بينما تم إدخال 135، أي 45% منها في جهاز حاسوب.

الروابط الخبيثة

وهي الطريقة السابقة نفسها، لكن هذه الطريقة متقدّمة أكثر، لأن الضحية بعدما يدخل على الرابط الخبيث ستثبت برمجية خبيثة في جهازه تسمح للمخترق بالحصول على حساباته وملفاته وكلمات مروره.

الحماية من الهندسة الاجتماعية

لقد عرفنا مخاطر هذه الهجمة على المعلومات الشخصية ومعلومات الشركات والمؤسسات، لكن لا بد وأن نعرف كيف نقي أنفسنا من هجوم الهندسة الاجتماعية.

الوعي من مخاطر الهندسة الاجتماعية

إن المفتاح الرئيسي للتغلّب على هذه الهجمة هو عن طريق الوعي الأمني ومعرفة طرقها، حيث يجب على مسؤول الأمن في الشركة وضع خطة توعوية للموظفين بالشركة.

ضع خطوط حمراء

على الشخص أن يضع حدودًا في الكلام والثقة، أي بمعنى أن لا يشير إلى كلمات المرور ومعلومات الشركة حتى عن طريق المزح، وأيضًا ألا يعطيها أو يخبر بها أحد حتى أقرب الناس إليها.


اقرأ أيضًا: قرض الزواج بنك التنمية


التأكد من الروابط والرسائل

يجب على المستخدم أن يتحقق عن مصداقية الرسائل عن طريق الخطوات التالية:

التأكد من العنوان

أي أن يتأكد من عنوان الرابط المرسل إليه، فقد يعمل المهاجم على ارسال نطاق مشابه بالنطاق الاصلي، كأن يكون النطاق الأصلي مثلًا: sumat.com بينما الذي أرسله لك هو surnat.com.

أيضًا قد يقوم المهاجم بعمل نفس الشيء على عنوان البريد الإلكتروني، لذا عليك التأكد منه.

خلو الرابط من البرامج الخبيثة

حيث يفضل أن تقوم بفحص الرابط على منصة virustotal للتأكد من خلوها من المخاطر كالفيروسات وغيرها، أضف إلى ذلك أن هذه الخطوة تظهر لك فيما إذا كانت تلك الصفحة مزورة أم لا، يمكنك زيارة ذلك الموقع من هنا.

التأكد الشخصي من الجهة

فلما لا تتأكد باتصال هاتفي من الرسالة التي ارسلها إليك المدير يطلب منك فيها التأكيد على حسابك، لأنها قد تكون خدعة ما من شخص خارج الشركة، ولكن عندما تتأكد بنفسك منها ستقطع الشك باليقين.


اقرأ أيضًا: قرض الأسرة بنك التنمية


خطوات حماية الشركة من الهندسة الاجتماعية

تتم حماية الشركة من مخاطر هجوم الهندسة الاجتماعية بعدد من الخطوات وهي:

التقييم المسبق

أي تقييم الموظفين ومدى وعيهم بمخاطر الهندسة الاجتماعية، وذلك بعمل اختبارات لهم كالطريقة السابقة مثلًا – وضع قرص USB -أو حتى الاتصال بخدمة العملاء برقم غير معروف لهم وطلب معلومات حساسة.

التخطيط الاستراتيجي

أي عمل خطة للبرامج التوعوية، وضع أهداف محدد، وعمل نموذج للاحتياج التدريبي للموظفين أمنيًا، ثم تنفيذ البرامج والدورات التوعوية الأمنية في الشركة.

التقييم اللاحق

أي التقييم بعد خوض الموظفين في البرامج التدريبية وتقييم مدى استفادتهم من البرنامج ومدى تحقق الأهداف المرجوه منه.


اقرأ أيضًا: قرض أهل بنك التنمية


التخلص من النفايات

قد تتضمن المهملات والنفايات للشركة معلومات حساسة عنها، لذا يجب التأكد من إتلاف جميع الحواسيب العاطلة التي قد تحتوي على معلومات مثل كلمات المرور وغيرها وكذلك التخلص من الأوراق.

أجزاء من حواسيب تالفة في فرنسا
أجزاء لحواسيب تالفة في مكب النفايات بفرنسا

تذكّر أن ازدياد نسبة الوعي لديك من هذه الهجمة ستحميك منها بشكل فعّال أكثر من أي شيء أخر.

احصل على تحديثات في الوقت الفعلي مباشرة على جهازك ، اشترك الآن.

اترك رد