الهندسة الاجتماعية .. ما هي وما هي أهم تقنياتها وطرق مواجهتها؟

0 15

الهندسة الاجتماعية من المصطلحات الحديثة التي أصبحت متداولة في الفترة الأخيرة.

وفي هذا المقال سوف نتعرف على هذا المصطلح وأهم ما يدور حوله.

ما هي الهندسة الاجتماعية ؟

الهندسة الاجتماعية هو المصطلح المستخدم لمجموعة واسعة من الأنشطة الخبيثة التي تتم من خلال التفاعلات البشرية.

ويستخدم التلاعب النفسي لخداع المستخدمين لارتكاب أخطاء أمنية أو الكشف عن معلومات حساسة.

وتحدث هجمات الهندسة الاجتماعية بخطوة واحدة أو أكثر.

ويقوم الجاني أولاً بالتحقيق في الضحية المقصودة لجمع المعلومات الأساسية الضرورية ، مثل نقاط الدخول المحتملة وبروتوكولات الأمان الضعيفة اللازمة لمواصلة الهجوم.

وبعد ذلك ، يتحرك المهاجم لكسب ثقة الضحية وتوفير محفزات للإجراءات اللاحقة التي تكسر ممارسات الأمان ، مثل الكشف عن معلومات حساسة أو منح الوصول إلى الموارد الهامة.

دورة حياة هجوم الهندسة الاجتماعية

ما يجعل الهندسة الاجتماعية خطيرة بشكل خاص هو أنها تعتمد على الخطأ البشري ، بدلاً من نقاط الضعف في البرامج وأنظمة التشغيل.

والأخطاء التي يرتكبها المستخدمون الشرعيون أقل قابلية للتنبؤ بها ، مما يجعل التعرف عليها وإحباطها أكثر صعوبة من التسلل المستند إلى البرامج الضارة.

تقنيات هجوم الهندسة الاجتماعية

تأتي الهجمات في العديد من الأشكال المختلفة ويمكن إجراؤها في أي مكان يتدخل فيه التفاعل البشري.

وفيما يلي الأشكال الخمسة الأكثر شيوعًا لاعتداءات الهندسة الاجتماعية الرقمية.

الاصطياد

كما يوحي اسمها ، تستخدم هجمات الطعم أو الاصطياد وعدًا كاذبًا لإثارة جشع الضحية أو فضولها.

وهم يستدرجون المستخدمين في فخ يسرق معلوماتهم الشخصية أو يلحق أنظمتهم ببرامج ضارة.

ويستخدم أكثر أشكال الاصطياد صعوبة وسائط مادية لتفريق البرامج الضارة.

على سبيل المثال ، يترك المهاجمون الطُعم – محركات الأقراص المحمولة المصابة بالبرامج الضارة عادةً – في مناطق بارزة حيث من المؤكد أن يراها الضحايا المحتملون (على سبيل المثال ، الحمامات والمصاعد وموقف سيارات الشركة المستهدفة).

ويلتقط الضحايا الطُعم بدافع الفضول ويدخلونه في كمبيوتر العمل أو المنزل ، مما يؤدي إلى تثبيت البرامج الضارة تلقائيًا على النظام.

وليس بالضرورة أن يتم تنفيذ عمليات الخداع في العالم المادي.

فقد تتكون أشكال الاصطياد عبر الإنترنت من إعلانات جذابة تؤدي إلى مواقع ضارة أو تشجع المستخدمين على تنزيل تطبيق مصاب ببرامج ضارة.

الهندسة الاجتماعية
الهندسة الاجتماعية

Scareware

يتضمن برنامج Scareware تعرض الضحايا للقصف بإنذارات كاذبة وتهديدات وهمية.

ويتم خداع المستخدمين للاعتقاد بأن نظامهم مصاب ببرامج ضارة ، مما يدفعهم إلى تثبيت البرامج التي ليس لها فائدة حقيقية أو البرامج الضارة نفسها.

ويشار إلى Scareware أيضا باسم برامج الخداع وبرامج المسح المحتالة وبرامج الاحتيال.

ومن الأمثلة الشائعة على البرامج المخيفة ظهور اللافتات المنبثقة ذات المظهر الشرعي في متصفحك أثناء تصفح الويب ، وتعرض نصًا مثل ، “قد يكون جهاز الكمبيوتر الخاص بك مصابًا ببرامج تجسس ضارة.”

وإما أنها تعرض تثبيت الأداة (غالبًا ما تكون مصابة ببرامج ضارة) لك ، أو ستوجهك إلى موقع ضار حيث يصاب جهاز الكمبيوتر الخاص بك.

ويتم أيضا توزيع Scareware عبر البريد الإلكتروني العشوائي الذي ينشر تحذيرات زائفة ، أو يقدم عروضًا للمستخدمين لشراء خدمات لا قيمة لها وضارة.

الذريعة

في هذه التقنية من تقنيات الهندسة الاجتماعية يحصل المهاجم على المعلومات من خلال سلسلة من الأكاذيب المصممة بذكاء.

وغالبًا ما يبدأ الاحتيال من قبل الجاني الذي يتظاهر بالحاجة إلى معلومات حساسة من الضحية لأداء مهمة حرجة.

ويبدأ المهاجم عادةً بتأسيس الثقة مع ضحيته من خلال انتحال صفة زملائه في العمل أو الشرطة أو البنوك ومسئولي الضرائب أو غيرهم من الأشخاص الذين يتمتعون بحق المعرفة.

ويطرح الشخص أسئلة مطلوبة ظاهريًا لتأكيد هوية الضحية ، والتي من خلالها يجمعون البيانات الشخصية المهمة.

ويتم جمع جميع أنواع المعلومات والسجلات ذات الصلة باستخدام عملية الاحتيال هذه ، مثل:

  • أرقام الهوية
  • العناوين الشخصية
  • أرقام الهواتف
  • تواريخ إجازات الموظفين
  • السجلات المصرفية وغيرها من المعلومات الحساسة.

التصيد الاحتيالي

باعتبارها واحدة من أكثر أنواع هجمات الهندسة الاجتماعية شيوعًا ، فإن عمليات التصيد الاحتيالي هي حملات عبر البريد الإلكتروني والرسائل النصية تهدف إلى خلق إحساس بالإلحاح أو الفضول أو الخوف لدى الضحايا.

ثم يدفعهم إلى الكشف عن معلومات حساسة ، أو النقر فوق روابط لمواقع ويب ضارة ، أو فتح مرفقات تحتوي على برامج ضارة.

التصيد الموجه

هذه نسخة أكثر استهدافًا من عملية التصيد الاحتيالي حيث يختار المهاجم أفرادًا أو مؤسسات معينة.

ثم يصمم رسائله بناءً على الخصائص والوظائف وجهات الاتصال الخاصة بضحاياه لجعل الهجوم أقل وضوحًا.

ويتطلب هذا النوع من التصيد مزيدًا من الجهد نيابةً عن الجاني وقد يستغرق أسابيع وشهورًا للانسحاب.

ومن الصعب اكتشافه ويحقق معدلات نجاح أفضل إذا تم إجراؤه بمهارة.

وقد يتضمن سيناريو التصيد هذا انتحال شخصية مستشار تكنولوجيا المعلومات في مؤسسة ، بإرسال بريد إلكتروني إلى موظف واحد أو أكثر.

وتتم صياغته وتوقيعه تمامًا كما يفعل الاستشاري عادةً ، وبالتالي يخدع المستلمين ليعتقدوا أنها رسالة حقيقية.

وتطالب الرسالة المستلمين بتغيير كلمة المرور الخاصة بهم وتوفر لهم ارتباطًا يعيد توجيههم إلى صفحة ضارة حيث يلتقط المهاجم بيانات اعتمادهم.

كيف نمنع الهندسة الاجتماعية ؟

يتلاعب المهندسون الاجتماعيون بالمشاعر الإنسانية ، مثل الفضول أو الخوف ، لتنفيذ مخططات وجذب الضحايا إلى أفخاخهم.

لذلك ، كن حذرًا كلما شعرت بالقلق من رسالة بريد إلكتروني ، أو انجذبت إلى عرض معروض على موقع ويب ، أو عندما تصادف وسائط رقمية ضالة كاذبة.
ويمكن أن يساعدك التنبيه على حماية نفسك من معظم هجمات الهندسة الاجتماعية التي تحدث في العالم الرقمي.

وعلاوة على ذلك ، يمكن أن تساعد النصائح التالية في تحسين يقظتك فيما يتعلق بالاختراق القائم على هذا الأمر.

  • لا تفتح رسائل البريد الإلكتروني والمرفقات من مصادر مشبوهة ، وإذا كنت لا تعرف المرسل المعني ، فلن تحتاج إلى الرد على بريد إلكتروني. وحتى إذا كنت تعرفه وتشك في رسالته ، فقم بالتأكيد من مصادر أخرى ، مثل الهاتف.
  • تذكر أن عناوين البريد الإلكتروني يتم انتحالها طوال الوقت ؛ حتى البريد الإلكتروني الذي يُزعم أنه قادم من مصدر موثوق قد يكون قد بدأه مهاجم بالفعل.
  • استخدام المصادقة متعددة العوامل: واحدة من أكثر المعلومات قيمة التي يبحث عنها مهاجمو المعلومات هي بيانات اعتماد المستخدم. ويساعد استخدام المصادقة متعددة العوامل على ضمان حماية حسابك في حالة اختراق النظام.
  • كن حذرًا من العروض المغرية ، إذا كان العرض يبدو مغريًا للغاية ، ففكر مليًا قبل قبوله. حيث يمكن أن يساعدك البحث عن الموضوع على Google في تحديد ما إذا كنت تتعامل مع عرض مشروع أم فخ.
  • حافظ على تحديث برنامج مكافحة الفيروسات / مكافحة البرامج الضارة: تأكد من تشغيل التحديثات التلقائية ، أو اجعل تنزيل أحدث التحديثات أول شيء كل يوم عادة.

اقرأ أيضا من مقالات موقعنا:

اترك رد

لن يتم نشر عنوان بريدك الإلكتروني.