ما هي الهندسة الاجتماعية وما أنواعها وطرقها عندما يُطلب من المستخدمين التفكير في سلامتهم وأمنهم على الإنترنت، تتحول أفكارهم إلى الهواتف وأجهزة الكمبيوتر، وكيفية إبعادهم عن المتسللين والبرامج الضارة، وبالطبع يجب توخي الحذر للحفاظ على هذا التفكير وتقويته، ولكن إنها نصف القصة فقط، جانب العنصر البشري هو الأهم والأكثر فاعلية، ومن خلالها سنتعرف على ماهية الهندسة الاجتماعية.
محتويات
ما هي الهندسة الاجتماعية
حوالي ثلث المشاكل والتحديات في السنوات الأخيرة كانت تتعلق بمشاكل الهندسة الاجتماعية، وخاصة التصيد الاحتيالي والاحتيال، مثل الخداع والمقايضة ورسائل البريد الإلكتروني. الحصول على معلومات سرية تتعلق بهم، لأنها تستند إلى التلاعب النفسي للضحية، لإجبارها على إفشاء معلومات سرية، أو القيام بأعمال غير قانونية، ويمكن أن تحدث عن طريق إرسال طلبات صداقة من أشخاص مجهولين، أو إرسال رسائل أو بريد إلكتروني بحيث يستخدم الطرف المهاجم معلومات عن المستخدم المستهدف تم الحصول عليها من شبكاته الاجتماعية، وهي إحدى الطرق التي يستخدمها مجرمو الإنترنت في تنفيذ عمليات الاحتيال والاحتيال، وأشهر هذه الحوادث حدثت في عام 2022 م، من خلال سرقة ما يقرب من دولار. 2.3 مليون من قبل مجرمي الإنترنت من مدرسة في تكساس.
أنواع الهندسة الاجتماعية
يمكن تقسيم الهندسة الاجتماعية إلى أربعة أنواع بناءً على الأساليب والأساليب التي يستخدمها المهاجمون في هجومهم وخداعهم، بما في ذلك
مباشرة
في هذا النوع من الهندسة الاجتماعية، يذهب المهاجم بنفسه إلى الضحية، محاولًا الدخول إلى أماكن غير مصرح بها، مثل الادعاء بأنه يعمل لصالح شركة، ويريد إصلاح الخلل الموجود لديهم في نقطة حساسة، وبالتالي الحصول على المعلومات. يريد بشرح طريقة خادعة ومباشرة.
للغش
يهدف هذا النوع من الهندسة الاجتماعية إلى الحصول على معلومات شخصية عن الضحية، ووضعها في سيناريو محدد يبدو واقعيًا وذو مصداقية، على سبيل المثال، انتحال شخصية فني كمبيوتر يحاول مساعدة الموظف على تحديث حسابه، من أجل الحصول على معلومات مختلفة. من اسم مستخدم أو كلمة مرور حركة المرور، أو تعديلها، أو انتحال صفة فني كمبيوتر يحاول إصلاح الخلل، وتثبيت برنامج ضار على الكمبيوتر لغرضه للتجسس وسرقة المعلومات والبيانات وتشفيرها، ومن خلال ذلك برنامج ضار، يمكن للمهاجم أن يثبت نفسه على كمبيوتر الضحية وعلى الشبكة داخل المنظمة ككل.
تزوير الهوية
هذا النوع من الهندسة الاجتماعية له طريقتان، وهما التصيد الاحتيالي العام، وفي هذا النوع من التصيد الاحتيالي، يقوم المهاجم بإرسال عدد كبير من رسائل البريد الإلكتروني المزعجة والمخادعة، لجعل الضحية تقوم بتثبيت برنامج ضار مرفق بالبريد الإلكتروني، والنوع الثاني . التصيد هو تصيد احتيالي. في هذا النوع، يرسل المهاجم رسائل بريد إلكتروني إلى الأشخاص الذين يعملون في شركة معينة، مثل الهجوم على Google، بدعوى أنه كان تصيدًا مستهدفًا منذ البداية.
المذاق
يثير هذا النوع من الهندسة الاجتماعية فضول البشر، حيث يترك المهاجم الطُعم في مكان قريب من مكان الضحية الذي يريد الحصول على معلوماته، مثل ترك قرص مضغوط، أو ذاكرة فلاش، بحيث يكون المحتوى من هذا الطُعم برنامج خبيث أو فيروس أو غيره، في مكان بارز بالقرب من الشخص أو المؤسسة أو الشركة المستهدفة.
طرق الهندسة الاجتماعية
هناك العديد من الطرق المختلفة للهندسة الاجتماعية، ومنها
- التصيد الإلكتروني شرح طريقة من أساليب الهندسة الاجتماعية التي تعتمد على الحصول على المعلومات الشخصية للضحية عن طريق إرسال رسائل بريد إلكتروني أو مواقع إنترنت تتظاهر بأنها طرف مهم أو شخص معروف للضحية أو غيره.
- الإغراء شرح طريقة هندسية اجتماعية تعتمد على ترك الطُعم للضحية، مثل ترك محرك أقراص محمول أو قرص مضغوط به ملف بعنوان الملفات المهمة، ويحتوي على برامج تجسس، ومحاصرة الضحية.
- المقايضة شرح طريقة هندسية اجتماعية تعتمد على انتحال المهاجم كشخص لطلب معلومات من الضحية مقابل خدمة تم أداؤها له، مثل انتحال المهاجم صفة فني دعم أو شخص آخر، للدخول إلى النظام. بسهولة ودون الحاجة لاختراق الكتروني.
- اتباع خطى تعتمد إحدى أساليب الهندسة الاجتماعية على التهرب والدخول إلى الأماكن غير المصرح بها، إما باتباع خطى الموظفين، أو التظاهر بفني لإصلاح عطل في نقاط مهمة.
- الادعاء تعتمد إحدى طرق الهندسة الاجتماعية على بناء الثقة بين المهاجم والضحية، وتوجيه اتهامات كاذبة أو التظاهر كشخص مهم، والحصول بسهولة على المعلومات الشخصية.
أهداف الهندسة الاجتماعية
الهدف الرئيسي للهندسة الاجتماعية هو الاحتيال، عن طريق اختراق الأجهزة، أو الدخول إلى نظام غير مصرح به، أو التسلل إلى الشبكة أو التجسس على خط اتصال لتعطيل نظام أو شبكة، أو عن طريق التأثير والتلاعب بالآخرين بغرض الضغط عليهم الكشف عن معلومات شخصية أو بيانات مهمة للخداع، أو لغرض اختراق أجهزة الكمبيوتر الشخصية أو المهنية المستخدمة في أماكن العمل، باتباع أساليب الهندسة الاجتماعية والعاملين والمستهلكين يمكن خداعهم للكشف عن بيانات اعتمادهم ومن ثم الوصول إلى الشبكات والحسابات.
كيف تعمل الهندسة الاجتماعية
تعتمد معظم هجمات الهندسة الاجتماعية على التواصل المباشر بين المهاجم والضحية، ويتم ذلك من خلال الآلية
- جمع المعلومات هذه هي المرحلة الأولى من عمليات الاحتيال في الهندسة الاجتماعية، حيث يتم جمع معلومات عن الضحية من موقع الشركة الإلكتروني، أو من خلال التواصل معهم لبناء الثقة وجذب الضحية.
- خطة الهجوم في هذه المرحلة من الهندسة الاجتماعية، يحدد المهاجم شرح طريقة الهجوم، وكيف والأدوات والوسائل التي يجب اتباعها، بحيث تكون وصفًا دقيقًا لعملية الاحتيال.
- أدوات الاكتساب هذه هي البرامج التي يستخدمها المهاجم للاحتيال على الضحية.
- الهجوم الهجوم هو معرفة نقاط ضعف الأشخاص أو الشركات واستغلالها والتلاعب بها.
- استخدام المعرفة المكتسبة من خلال استغلال المعلومات التي تم جمعها عن الضحية.
الحماية من الوقوع في فخ الهندسة الاجتماعية
يمكن حماية أجهزة الكمبيوتر أو الموظفين من الوقوع في فخ الهندسة الاجتماعية والاحتيال والتلاعب من قبل مجرمي الإنترنت في عدة خطوات، على النحو التالي
- لا تشارك أي بيانات أو معلومات خاصة مع أي شخص.
- وضع قوانين لحماية أمن المنظمة بحيث تشرح المنظمة لموظفيها قوانين الحماية وكيفية الالتزام بها.
- إقامة حماية أمنية لمبنى المنظمة، بحيث يمنع دخول غير العمال.
- إنشاء نظام أمني للمكالمات الهاتفية، ومنع المكالمات الخاصة، وحظر المكالمات الدولية وعدم إظهار مدخل لخط هاتف المنظمة، لتجنب استخدامه من قبل أي شخص خارج المنظمة.
- توعية العاملين بالمنظمة في مجال أمن المعلومات والانتهاكات التي قد تحدث.
- تحديث البرامج وأنظمة التشغيل باستمرار واستخدام برامج مكافحة الفيروسات وتحديثها باستمرار.
- لا تنقر على الروابط أو المرفقات التي تأتي مع رسائل البريد الإلكتروني العشوائية.
- احرص على عدم إعطاء أي معلومات شخصية ما لم تكن آمنة للاستخدام.
- المراقبة المستمرة لحركة الحساب المصرفي.
- التواصل مع الشركات بشكل مباشر في حالة وجود طلبات مشبوهة.
هنا وصلنا إلى نهاية مقالنا ما هي الهندسة الاجتماعية وماهي أنواعها وطرقها، حيث نبرز الهندسة الاجتماعية كإحدى طرق الخداع والجرائم الإلكترونية المتعلقة بالتصيد والاحتيال للحصول على المعلومات من الضحايا.