بقلم:

Rana AlHajri

LinkedIn: Rana AlHajri

الهندسة الاجتماعية

لا توجد تكنولوجيا اليوم، لا يمكن هزيمتها من خلال الهندسة الاجتماعية.


فرانك أبانيال -

ماهي الهندسة الاجتماعية؟

الهندسة الاجتماعية هي جزء مهم من أغلب الاختراقات وهي تهدف إلى استدراج الضحية عن طريق المشاعر، والثقة، والجوائز والعروض القيمة إلى ان تفصح الضحية عن معلومات مهمة وفي غاية السرية قد تضر بها أو بجهة عمل أو بمجتمع كامل. يعتبر نقص الوعي الأمني لدى الفرد أحد أهم أسباب انتشار الهندسة الاجتماعية.

قبل أن نبدأ بشرح الهندسة الاجتماعية، يجب أن نتطرق إلى أساس الهندسة الاجتماعية وهو أمن المعلومات.

أمن المعلومات وأهميته

مع انتشار استخدام الانترنت والاعتماد عليه في الكثير من النواحي يجب علينا كمستخدمين فهم مبادئ أمن المعلومات وأهميتها بالنسبة لنا.


أمن المعلومات هو حماية البيانات من الضياع، والسرقة، والعبث، أو من أي خطر يهددها سواء كان خطر خارجي أم داخلي. ويتم ذلك بناء على مجموعة من الاستراتيجيات والسياسات والتي تختلف من جهة إلى أخرى. أحد أساسيات أمن المعلومات هو مثلث الحماية الأمنية (CIA).

مثلث الحماية الأمنية (CIA):

  1. السرية (Confidentiality):

    خصوصية البيانات من خلال تقييد الوصول إليها إلا من الأشخاص المصرح لهم فقط وذلك من خلال التشفير والمصادقة الثنائية.

  2. النزاهة (Integrity):

    صحة وتطابق موثوقية البيانات ويتم ذلك عن طريق التجزئة والنسخ الاحتياطي.

  3. الوفرة (Availability):

    توفر المعلومات عند احتياجنا لها. لابد من الحفاظ على صيانة الأجهزة وتحديث البرامج (ومنها برامج الحماية) وأنظمة التشغيل وعمل نسخ احتياطية للتأكد من وفرة المعلومات.

أهمية أمن المعلومات: مع توسع مجال إنترنت الأشياء وتعدد الأجهزة والأدوات الذكية و اعتمادنا عليها، أصبح بإمكان المخترقين اقتناص الفرصة و تطوير مهاراتهم لاستغلال الثغرات و استعمالها ضد الضحايا بطرق كثيرة. مما يشكل ضغط كبير على المستخدمين والمطورين من ناحية الحفاظ على أمن المعلومات وكل ما يندرج تحته.

 

أنواع الهندسة الاجتماعية

تعتبر الهجمات التي تُستخدم فيها وسائل الهندسة الاجتماعية من أخطر الهجمات والتي تكلف الدول والأفراد خسائر طائلة جدا. ففي تقرير نشرته مجلة فوربز الأمريكية (4Ps) في تاريخ ٥ مايو ٢٠١٧ ، اتضح بعد مراجعة الهجمات أن الهجمات التي استٌخدمت فيها وسائل الهندسة الاجتماعية ضد مكتب التحقيقات الفدرالي تسببت بخسائر سنوية بنحو نصف مليار دولار.


إن الوسائل كثيرة وأغلب الهجمات تحتوي على أكثر من نوع، ولكننا سنتطرق لأهمها وأوسعها انتشارا.


١- الادعاء (Pretexting)

أن يدعي المخترق على الضحية أنه شخص مهم أو الشخص المطلوب لأداء عمل معين (مثلا مدير أمن المعلومات أو موظف في قسم المشاكل التقنية) فيستغل ثقة الضحية به ليقوم بالاختراق.


٢- التصيد الإلكتروني (Phishing)

يستخدم المخترق في هذه الطريقة بريد الكتروني مزيف ليخدع المتلقي ويقنعه بأن هذه الرسالة من جهة موثوقة. يطلب المخترق في هذه الرسالة بعض المعلومات الحساسة مثل كلمات المرور أو البطاقات الائتمانية عن طريق رابط أو ملف مرفق وغالبا يكون بصيغة (exe.) والتي تعني التشغيل التلقائي (Executable) بدون أخذ موافقة المستخدم. غالبا ما تحتوي على ملفات تجسسية تقوم بجمع المعلومات فور تحميلها على جهاز الضحية.

وهنالك أنواع اختراقات أخرى شبيهة بالتصيد الإلكتروني مثل:

  • التصيد الإلكتروني عن طريق المكالمات الصوتية (Vishing) 

  • التصيد الإلكتروني عن طريق الرسائل النصية (Smishing) 

  • التصيد الإلكتروني المحدد (Spear Phishing) ويكون موجه ومصمم لضحية واحدة وهذا ما يقصد ب(Spear) وهي تعني الرمح.

٣- اتباع الخطى بقصد الاستغلال (Tailgating) 

في هذه الحالة، يقوم المخترق بتتبع شخص مصرح له بدخول الأماكن الحساسة فيسير بشكل شبه ملاصق للمصرح له دون علمه ويدخل معه منتحلا شخصيته.


٤- الإغراء (Baiting):

يستخدم المخترق في هذه الحالة غريزة الفضول عند الإنسان. على سبيل المثال  قد يترك المخترق ذاكرة فلاش في أحد الممرات، ويكتب عليها عنوانا جذابا كـ (ملف في غاية السرية)، وتكون محملة بملفات تجسسية يتم تحميلها على جهاز الضحية فور تشغيلها.


٥- المقايضة (quid pro quo):

ينتحل المخترق شخصية شخص آخر فيطلب معلومات من الضحية مقابل خدمة ينفذها له. ومن الأمثلة على ذلك انتحال المخترق شخصية موظف في قسم الدعم الفني وطلب اسم المستخدم وكلمة المرور  من الضحية. 

التصيد الإلكتروني 

في الآونة الاخيرة، كثرت هجمات التصيد الإلكتروني والتي قد تستهدف الأفراد والمنظمات العالمية والدول العظمى. وكما هو موضح في الإحصائية المرفقة، تغلبت اختراقات الهندسة الاجتماعية على الاختراقات التقنية لسرعتها وقوة أثرها.

هجمات التصيد الإلكتروني تعتبر من أخطر أنواع الهجمات ولها أمثلة كثيرة ولكن سنستعرض أكثر الأنواع انتشارا وكيفية الحماية منها.

ولحماية المعلومات الشخصية والحفاظ على سريتها يمكن استخدام  بعض الأدوات المتوفرة مجانا عبر الإنترنت مثل:

  • (ANY-RUN SandBox) بيئة افتراضية لتجربة الملفات والتأكد من سلامتها قبل فتحها.

  • (Virus Total) أو (SafeWeb Norton) للتحقق من سلامة الموقع، أو اسم النطاق (Domain Name)، أو عنوان بروتوكول الإنترنت (IP). 

وفي الختام، أتمنى ان المقال نال على اعجابكم ولمزيد من المعلومات يمكنكم مشاهدة حوارنا عن فن اختراق البشر وخطورته.

Join