منوعات

هكذا يتم اختراق العقول عن طريق الهندسة الاجتماعية

ماهي الهندسة الإجتماعية ؟

تعتبر الهندسة الاجتماعية فن إختراق العقول وتستخدم لغرض الوصول إلى معلومات في غاية الأهمية بدون وعي من المستهدف، ويعتمد منفذ هجوم الهندسة الإجتماعية على مجموعة من التقنيات المستخدمة حسب الغرض المنشود من الضحية، لكن ليس الهاكرز فقط من يقومون بالنهدسة الاجتماعية بل حتى المسوقون وشركات الكبرى لغرض جلب زبناء جدد أو لبيع منتجات، وأصبحت هجمات الهندسة الاجتماعية منتشرة بشكل كبير على الإنترنت لغرض تسويق المنتجات أو لجلب زيارات المواقع الإكترونية أو حتى لأجل اختراق مواقع إلكترونية أو حسابات مواقع التواصل الاجتماعي كما سبق ذكر عدة تقنيات وأساليب تستخدم في الهندسة الاجتماعية ولكل منهم غرض، هناك بعض الأساليب التي تحتاج إلى خبرة في مجال الأمن المعلوماتي وهناك من تحتاج فقط إلى ذكاء و توفر على قدر من الدهاء والفطنة.

مثلا يعتمد الهاكر على أسلوب الهندسة الاجتماعية الصيد (phishing) لتنصيب برمجيات خبيثة أو حصان طروادة على أجهزة الكمبيوتر الضحايا لغرض اختراق الأجهزة وتحكم بها عن بعد، وتعتمد الشركات الكبرى على أسلوب الاستهداف والإقناع … لجلب زبناء جدد أو لبيع منتجاتهم أو لجلب زوار لمواقعهم.

وتستند جميع التقنيات الهندسية الاجتماعية على الخلل في الأجهزة البشرية أو ما يسمى “بالثغرات العقول البشرية” ولكل غرض منشود أسلوب خاص به!
ما هي الأساليب المتبعة في الهندسة الإجتماعية؟
من أكثر الأساليب المتبعة في اختراق العقول:
-انتحال الشخصية (Identity theft):

يعتمد هذا الأسلوب على التواصل مع الضحية مباشرة أو عن بعد بواسطة الهاتف ويدعي المهاجم أنه شخص ذو منصب له صلاحيات ويقوم بشكل تدريجي بسحب المعلومات من الضحية.
-البحث في المهملات:
حيث توجد العديد من المعلومات التافهة حسب الضحية في المهملات لكن في غاية الأهمية بالنسبة للمهاجم.
_الصيد (phishing) :

ويعتبر هذا الأسلوب من أكثر الأساليب استخداما لغرض الحصول على كلمات السر أو السيطرة على الحواسيب الشخصية، وتتم عبر إخفاء رابط خبيث في رابط عادي لايشكل خطرا في نظر الضحية أو صورة مدمجة بحصان الطروادة تمكن المهاجم من اختراق حاسوب الضحية.

-القوة الشائعة (brute force)

وهي عملية تعتمد على البحث عن أكبر عدد من المعلومات المهمة المتعلقة بالضحية ثم يتم استخدامها على شكل ملف لكلمات يكون عادة مكون من 20 ألف كلمة ثم يستخدمه المهاجم بشكل تلقائي استعانة بأدوات الخاصة ب brute force على حاسوبه للبحث عن كلمة السر الصحيحة

-استغلال العاطفي:

يقصد بالاستغلال العاطفي استخدام محتوى يخاطب عاطفة الضحية ويؤدي إلى سقوطه في الفخ عند الضغط على رابط أو تحميل ملف خبيث. يمكن أن تكون العواطف كالحقد والانتقام أو عواطف كالحب والإعجاب .. وغيرها.

وليس فقط الهاكرز من يعتمدون على هذا الأسلوب بل حتى الشركات والمواقع الإلكترونية التجارية لغرض جلب زبناء جدد.

-استغلال المواضيع الساخنة :

يستغل المهاجمون المواضيع الساخنة لتمرير عمليات احتيال على شبكة الإنترنت وهذا الأسلوب يعتمد بشكل عام على أخبار حقيقة وغير مزيفة تنشر عادة بسرعة على وسائل الإعلام ذات المصداقية العالية بشكل أخبار عاجلة.

-الإغواء :

في هذا الأسلوب يعتمد المهاجم على إغواء الضحية وقد يترك المهندس الاجتماعي نقطة الوصول “ويفي” (WIFI) مفتوحة عمدا حتى يتصل بها الضحية ويخترق حاسوبه، أو يترك بطاقه الذاكرة قصدا على الطاولة حتى يجدها الضحية ويقوم بتوصيلها مع جهازه لغرض استكشاف مما يفسح المجال أمام الملفات الخبيثة لانتشار في نظام حاسوبه وتدمير البينات، أما إذا كان الملف هو حصان طروادة وهو عبارة عن برنامج خبيث يبدو كأنه مفيد ولكنه في الحقيقة يسبب أضرار كثيرة، فقد يمكن المهندس الاجتماعي من الوصول إلى كافة المعلومات الشخصية.

-الإبتزاز :

في هذا الأسلوب يتظاهر المهندس الإجتماعي أنه معجب أو مغروم بفتاة ما ويكون معها علاقة جادة ووطيدة وقد تشاركه بعض المعلومات الشخصية التي قد لايكون يعلمها أحد أو يطلب منها إرسال له صور شخصية لها، وبعد أن يحصل المهندس الإجتماعي على الصور أو المعلومات السرية قد يبتز الفتاة للحصول على المزيد من المعلومات أو مال أو ممارسة الجنس معه، وهذا الأسلوب يستخدم بكثرة داخل مجتمعنا العربي.

كيفية الحماية من الهندسة الإجتماعية ؟

إذا كانت مؤسسة أو شركة فيجب على المؤسسة أن تقوم بإنشاء قوانين الحماية الأمنية المتبعة والتي على العاملين تطبيقها، كما يجب وضع حماية أمنية لمبنى المنظمة لمنع دخول الأشخاص غير العاملين فيها والتحكم بالمكالمات الهاتفية كما يجب وضع نظام تسجيل للمكلمات الواردة، كما يجب مراقبة رسائل الواردة على البريد الإكتروني ..

أما بالنسبة لحماية الخصوصية الشخصية يجب عدم نشر معلوماتك الشخصية على مواقع التواصل الإجتماعي، لا تشارك كلمات السر الخاصة بك مع الأخرين.

لا تتكلم مع من لا تعرفه شخصيا سواء على الانترنت أو الواقع، لاتضغط على روابط غير المعروفة المصدر أو مشكوك فيها.

في حالة رغبت بفتح ملف أو رابط يصلك قم قبل ذلك بالتأكد من أنه ليس خبيث عبر استخدام موقع “فايروس توتال”
www.virustotal.com/

تحذير :
أنا غير مسؤول عن تطبيقك لإحدى الأساليب لأي غرض ما وأخلو مسؤوليتي من استخدامك الهندسة الإجتماعية والهدف من هذه التدوينة هو الحماية الخصوصية الشخصية والوعي أكثر بمخاطر الانترنت

عبد السلام كوينة