coinpayu

الهندسة الاجتماعية Social Engineering

صورة
HUNTER TECH
اخر تحديث :

مقدمة

الهندسة الاجتماعية Social Engineering

هي فن استخدام الحنكة والخداع من قبل المهاجم، ليخدع الضحية بحيث تقوم بشكل إرادي وطوعي بكشف معلومات سريّة أو بإعطاء المهاجم الفرصة للوصول للمعلومات السرية. أو بحيث تقوم الضحية بالقيام بأمر لم تكن لتقوم به لولا الوقوع ضحية لخدعة المهاجم.

لا تعتمد أساليب الهندسة الاجتماعية على معرفة تقنية عميقة بالتالي يتسطيع أي شخص يتوافر لديه قدر معين من الحنكة والدهاء القيام بهجمات الهندسة الاجتماعية.

أغلب من يقوم بهجمات الهندسة الاجتماعية هواة وغير خبراء، لكن إن ترافقت المعرفة التقنية بأساليب الهندسة الاجتماعية فإن ذلك يشكل تهديد أكبر بكثير من مجرد المعرفة التقنية أو الحنكة بشكل فردي.

يعتمد أغلب قراصنة الشبكات على أساليب الهندسة الاجتماعية لتنصيب برمجية روتكيتس Rootkits خبيثة أو حصان طروادة Trojan للتحكم عن بعد على أجهزة ضحاياهم.

لكي لاتقع ضحية فعاليات المخترقين، أفرادا ومجموعات، يكفيك استيعاب موضوع الهندسة الاجتماعية والعمل على تقليل مخاطر الوقوع كضحية ، واستيعاب موضوع البرمجيات الخبيثة وطرق الوقاية من الإصابة بها.

مراحل هجوم الهندسة الاجتماعية

يمكن تلخيص مراحل هجوم الهندسة الاجتماعية بالمراحل التالية:

●مرحلة اختيار الجهة المستهدفة
●مرحلة جمع معلومات عن الجهة المستهدفة
يمكن لهاتين المرحلتي، أن تحدثان في وقت واحد أو بترتيب مختلف.
ثم:
●تحديد أهداف الهجوم والخطوات التي تتبع النجاح في خداع الجهة المستهدفة
●مرحلة إعداد الهجوم بشكل مناسب للجهة المستهدفة ولتحقيق أهداف الهجوم
●مرحلة تنفيذ عملية خداع الجهة المستهدفة وإيقاعها في الفخ
حصد نتائج نجاح عملية الخداع، أي المتابعة حسب أهداف الهجوم

أساليب الخداع في الهندسة الاجتماعية

ولنحيطكم علماً أن المهاجمون يبتكرون بشكل مستمر أساليب جديدة لخداع الضحايا.
نحاول فيما يلي سرد أهم أساليب الخداع التي يعتمد عليها المهاجمون للإيقاع بضحاياهم:

𝟙●استغلال الشائعات
تنتشر الشائعات بشكل سريع جدا ضمن شبكات التواصل الاجتماعي ومنها فيسبوك. بالتالي تكون المساهمة في نشر الشائعات بشكل أو بآخر مساهمة في تسهيل عمل من ينوي استغلال الشائعات لتغليف روابطهم الخبيثة.

𝟚●استغلال عواطف الضحية وطباعه الشخصية
من العواطف التي قد يستغلها المهاجم، في سبيل المثال وليس الحصر عواطف: الحقد، الانتقام، الحزن، الكره والنقمة. أو عواطف كالحب، الشوق، الحنين، الاعجاب، يضاف إلى ذلك المشاعر الدينية أو الطائفية والعشائرية والقومية وغيرها...

يمكن أيضا للمهاجم استغلال فضول المستهدف أو غروره أو بحثه عن الحب أو عن علاقة عاطفية مشروعة أو غير مشروعة وهكذا.

𝟛●استغلال الطمع
وهي من الأساليب المستخدمة بكثرة في حملات الاحتيال عبر البريد الالكتروني، للحصول على مردود مادي.

𝟜●استغلال العازة
قد تكون الضحية بحاجة ماسة للمال، فإن استغل المهاجم هذه الحاجة قد يتمكن من خداع الضحية.
مثلا يحاول المهاجم عبر المنشور على موقع فيسبوك حث الضحايا على دخول الموقع الخبيث الذي أعده المهاجم، مدعيا أن الموقع تابع لمؤسسة UNESCO الأممية ذات الصيت الحسن، كما يستغل في الوقت نفسه بؤس الناس وحاجتهم للمساعدة المالية.

𝟝●استغلال المناسبات والأعياد الدينية

تكثر خلال المناسبات الدينية حملات جمع الأموال للمحتاجين، ما يعطي المهاجمين فرصة لإستغلال عواطف الضحايا ورغبتهم بالعطاء والاحتيال عليهم عبر اقناعهم بارسال الأموال بشكل أو بآخر لتنتهي إلى حسابات المهاجمين الشخصية. تعتبر هذه الهجمات من الهجمات المعتادة خلال فترة الأعياد والمناسبات الدينية وتطال معتنقي جميع الديانات.

𝟞●استغلال المواضيع الساخنة
بعكس الشائعات، المواضيع الساخنة أخبار حقيقية ولا تحتوي على تضخيم أو افتراء. تنتشر عادة بسرعة على وسائل الإعلام ذات المصداقية العالية بشكل أخبار عاجلة.
مثال على ذلك حملة هجمات الهندسة الاجتماعية التي استغلت خبر تفشي فيروس كورونا المستجد COVID-19 واهتمام الجميع بأي معلومات عنه، وحيث قام المهاجمون بإرسال رسائل بريد الكترونية مدعين أنهم من منظمة الصحة العالمية World Health Organisation.

𝟟●استغلال موضوع الأمن الرقمي وضعف الخبرة التقنية للضحية
في هذا النوع من الهندسة الاجتماعية يدعي المهاجم أن رابطا ما أو ملفا ما سيسهم بحماية جهاز الضحية. في حين أنه في الحقيقة الملف ملف خبيث أو الرابط خبيث.

يمكن للمهاجم أن ينشئ مثلا حساب على فيسبوك، أو حساب إيميل، بإسم مستعار أو باسم مطابق لاسم صديق لك أو لاسم شخص تعرفه بنية انتحال الشخصية.
حيث يقوم منتحل الشخصية باستغلال الثقة للحصول على معلومات خاصة او غاية أخرى. 

𝟠●استغلال السمعة الجيدة لتطبيقات معينة
هنا يدعي المهاجم أن رابطا أو ملفا هو نفسه النسخة المحدثة مثلا من تطبيق معين، لكنه في الحقيقة يتضمن ملفا خبيثا.

𝟡●استغلال السمعة الجيدة لجهات معينة
قد يقوم المهاجمون باستغلال السمعة الجيدة لجهة ما لكسب ثقة الضحية والإيهام بأن كل شئ على ما يرام.

𝟙𝟘●استغلال الثقة
في كثير من الأحيان يكون المهاجم صديقا أو زميلا للضحية. يستغل المهاجم ثقة الضحية به بسبب طبيعة علاقة الصداقة بينهما أو بسبب الزمالة في المهنة.

أهداف هجمات الهندسة الاجتماعية

𝟙●الحصول على المعلومات
يقوم المهاجمون في هذه الحالة بخداع المستهدفين بوسائل مختلفة منها انتحال الشخصية أو طلب ملء استمارات كاذبة وغيرها من أساليب الاحتيال.
مثال على هذه الهجمات
استخدام المهاجمين لموقع مزور يدعي تسجيل المستهدفين على قائمة قرعة الهجرة إلى كندا.

𝟚●الحصول على المال
اي ببساطة النصب والاحتيال. الاختلاف الأساسي بين هذه الهجمات وعمليات النصب والاحتيال الإعتيادية هي أنها تدور في الفضاء الرقمي، وأدواتها مرتبطة بالفضاء الرقمي.

𝟛●الحصول على كلمات السرّ
تهدف الكثير من هجمات الهندسة الاجتماعية إلى الحصول على كلمة سر الضحية على منصة تواصل اجتماعي أخرى أو على مزود خدمة البريد الالكتروني الخاص بالضحية.

تعتمد هذه الهجمات عادة على طريقتين:
● الطريق الأولى هي الحصول على كلمة السر بالخداع، كأن ينتحل المهاجم شخصية خبير تقني على منصة التواصل الاجتماعي يدعي بقيامه بصيانة مشكلة تقنية في حساب المستخدم الضحية، ويدعي حاجته لكلمة سرّ المستخدم كي ينجز مهمة الصيانة.
●الطريقة الثانية فتسمى اصطياد كلمات السرّ Passwords Phishing

𝟜●إصابة جهاز الضحية ببرنامج خبيث
إصابة الجهاز ببرنامج خبيث هو هدف رئيسي من أهداف الهجمات الخبيثة، إذ أنه بمجرد إصابة جهاز الضحية ببرنامج خبيث مثل الرات RAT وبذلك يتمكن المهاجم من الانتقال إلى مرحلة جديدة في الهجوم وهي التحكم بالجهاز أو معاينة ملفات الضحية ونقلها أو جزء منها إلى المهاجم. كما قد يتمكن المهاجم في المرحلة الثانية من التقاط صور بالكاميرا وتسجيل الصوت من المايكروفون.

𝟝●دفع المستخدم لزيارة مواقع معينة غير خبيثة
الجزء الأعظم من رسائل الهندسة الاجتماعية التي لا تستهدف شخصا بعينه، تحاول إقناع الضحايا بالضغط على رابط إلى موقع ما، قد لا يكون خبيثا، بهدف تحقيق أرباح من زيارة الضحية(مشاهدات اعلانات) 

𝟞●دفع المستخدم لزيارة مواقع خبيثة
مثلا يحاول المهاجم عبر المنشور على موقع فيسبوك حث الضحايا على دخول الموقع الخبيث الذي أعده المهاجم، مدعيا أن الموقع تابع لمؤسسة UNESCO الأممية ذات الصيت الحسن، كما يستغل في الوقت نفسه بؤس الناس وحاجتهم للمساعدة المالية.

الوقاية من الوقوع ضحية للهندسة الاجتماعية:

بناء على أساليب الإحتيال التي تم ذكرها في المقال يمكن إدراج النقاط التالية كأسلوب للوقاية من الوقوع ضحية لهجوم باستخدام الهندسة الاجتماعية.

كي لا تكونوا ضحية سهلة راعوا النقاط التالية:

●احرصوا على خصوصيتكم وعدم نشر معلومات شخصية عن أنفسكم لأن المهاجم قد يستخدمها لانتحال شخصيتكم ومهاجمة صديق لكم أو قد يستخدم المعلومات ليصيغ الهجوم عليكم بشكل مقنع أكثر.
●لا تشاركوا كلمات السرّ خاصتكم مع الآخرين مهما كانت الثقة عميقة بينكم. 
●لا تشاركوا أسماء أو عناوين حساباتكم مع غير المقربين منكم
●استخدموا ميزة التحقق بخطوتين في جميع حساباتكم.

كي لا تقعوا ضحية للخداع أو الاحتيال:

●لا تثقوا بأحد.
●كونوا على مستوى حذر عالي طوال الوقت.
●تحققوا من شخصية من يراسلكم سواء كان التراسل عبر البريد الالكتروني Email، أو عبر وسائل التواصل الاجتماعي مثل فيسبوك Facebook أو تويتر Twitter.
●انظروا بعين الشك إلى كل بريد الكتروني أو رسالة أو تعليق يصلك يحتوي على ملفات وروابط مرفقة.

●عند الشك بأي رابط أو ملف قوموا بفحصه على موقع VirusTotal قبل استخدامه على أجهزتكم. 


شكراً لكم على زيارة موقعنا، اذا استفدتم من هذه المعلومات نرجوا مشاركة رابط المقال مع أصدقائكم ليستفيدوا منها.

لاتنسوا متابعتنا على مواقع التواصل

تعديل المقال