أنواع الهندسة الاجتماعية .. وأمثلة عليها .. ومخاطرها

تعريف الهندسة الاجتماعية

الهندسة الاجتماعية تعتبر التقنية لطريقة أستغلال الخطأ  حتى يتم الحصول على معلومات لشخص أخر ،أو للوصول إلى امور ثمينة، وأثناء الجرائم الإلكترونية، تبدأ حيل ما يعرف بالقرصنة البشرية، هذه تعتبر كإغراء للمستعملين المطمئنين للكشف عن البيانات أو المعومات التي تنكشف ببرامج ضارة أو السماح للوصول إلى الأنظمة المحظورة، يمكن أن تحدث هذه الهجمات من خلال الإنترنت أو شخص أو من خلال تفاعلات أخرى.

تقوم عمليات الاصتياد على فكرة الهندسة الاجتماعية عن طريق التفكير بالناس وكريقتهم، على هذا الاتجاه، تعتبر هجمات الهندسة الاجتماعية مهمة بصورة خاصة للسلوك بشكل المستخدمين، وفي اللحظة التي يفهم المهاجم ما الذي يدفع به تصرفات المستخدم، يمكن أن يخدع المستخدم والتلاعب به بصورة فعالة.

بالإضافة إلى هذا، يسعى المتسللون لاستغلال جهل المستخدم إلى التعلم، نتيجة لسرعة

التكنولوجيا

، لا يفهم الكثير من المستخدمين والموظفين تهديدات خلال مثل التنزيلات لبرامج معينة، قد لا يفهم المستخدمون أيضًا القيمة الحقيقية للبيانات الشخصية على سبيل المثال رقم الهواتف، نتيجة لهذا، لا يدرك الكثير من المستخدمين طريقة حماية أنفسهم ومعلوماتهم بشكل أمثل.[1]

أنواع الهندسة الاجتماعية


  • التصيد الاحتيالي:

    التصيد الاحتيالي هو من أنواع الهندسة الاجتماعية حيث يقوم المهاجم أرسال رسائل بريد إلكتروني احتيالية فيها إدعاء أنها من مصدر حسن الثقة، فعلى سبيل المثال، قد يقوم المهندس الاجتماعي بريدًا إلكترونيًا يظهر أنه وارد مثلاً من مدير

    خدمة العملاء

    في البنك الذي يتم التعامل معه العميل، يمكن أن يزعم أنه يملك معلومات هامة عن الحساب الشخصي، كما أنهم يطلبون من الشخص الرد بالاسم الكامل مع تاريخ الميلاد ورقم

    الضمان الاجتماعي

    ورقم الحساب بالطبع حتى يتمكنوا من التحقق من هوية الشخص.

  • Vishing:

    ويتم هذا حين يحاول المتصيد أن يخدع الضحية للتصريح بمعلومات مهمة أو اعطائه الإمكانية للوصول إلى كمبيوتر الضحية من خلال الهاتف، وتشتمل إحدى مخططات التصيد المعروفة هي قيام المهاجم بالتواصل مع الضحايا والتظاهر بأنه مثلاً من مصلحة الضرائب، في الأغلب ما يتم تهديد المتصل بالضحية أو يحاول خفيها لمحنها المعلومات شخصية أو تعويض، في الأغلب ما تستهدف غش التصيد مثل هذا التي تستهدف كبار السن، ولكن يمكن لأي شخص أن ينخدع في هذا التصيد إذا لم يتم تعليمه بشكل زافٍ.

  • Pretexting:

    يعد نوع من تقنيات الهندسة الاجتماعية حيث يقوم المهاجم سيناريو يجعل الشخص يشعر بأنها مضطرة لتصديق مثل تلك الادعاءات الكاذبة، في العادة ما يخدع المهاجم الضحية متمثل في شخص ما في

    موقع

    معروف لإقناع الضحية ليقوم بأوامره.

  • Baiting:

    ويتمثل في الطُعم المغري أو

    الفضول

    أمام الضحية لإغراء الشخص في فخ الهندسة الاجتماعية، فيقوم بأن يضع له مخطط كطعم لتنزيلات مجانية لمقطوعات موسيقية أو

    بطاقة


    هدايا

    كمحاولة لخداع المستخدم لتوفير بيانات الاعتماد، يمكن ايضاً الخداع من خلال البرامج التي يتم تحميلها.

  • Tailgating and Piggybacking:

    أن هذا نوع من الهندسة الاجتماعية البسيطة المستخدمة للوصول المادي إلى موقع غير مسموح به، يتم حدوث هذا من خلال متابعة المستخدم المرخص له عن قرب بالمنطقة بغير أن يلاحظه المستخدم المصرح له، قد يحدث الوصول من المهاجم شخصًا لآخر.

  • Quid Pro Quo:

    هو نوع من أنواع الهندسة الاجتماعية حيث يسعى المهاجم لتجارة الخدمات للوصول إلى المعلومات، قد يشتمل سيناريو المقايضة للمهاجم بالتواصل بالخطوط الأساسية للشركات التي تبدو بأنها من قسم تكنولوجيا المعلومات، في محاولة للوصول إلى شخص كان لديه مشاكل فنية.[2]

أمثلة على الهندسة الاجتماعية

يتم تلقي بريدًا صوتيًا يشتمل بأن المستخدم بقيد التحقيق بسبب تهمة الاحتيال الضريبي وأنه علي التواصل فورًا لوقف الاعتقال والتحقيق الجنائي، ويتم الهجوم بالهندسة الاجتماعية في بداية موسم الضرائب حين يكون الناس بالفعل قلقين بشأن ضرائبهم، فيستغل مجرمو الإنترنت التوتر والقلق الذي يأتي مع فرض الضرائب ويلعبوا على مشاعر

الخوف

هذه لخداع الناس للوثوق بالبريد الصوتي.

يقوم مجرمو الإنترنت بأستغلال المشاعر الإنسانية التي أساسها الثقة باستعمال الجشع لإقناع الضحايا بأنهم يمكنهم التبرع لجهات إنسانية تحتاج للدعم المالي، وتكون

رسالة

بريد إلكتروني توضح بصياغتها أنها تخبر الضحايا بتقديم معلومات عن حساباتهم المصرفية وسيتم تحويل الأموال في ذات اليوم.

يقوم مجرمو الإنترنت باستغلال الأحداث التي تنتشر في العديد من القنوات الإخبارية ثم يستغلون الفضول الذي للعامة لخداع ضحايا من خلال الهندسة الاجتماعية عن طريق التمثيل، على سبيل المثال، بعد حادثة تحطم

طائرة

Boeing MAX8 الثانية، قاموا متصيدين الإنترنت بإرسال رسائل بريد إلكتروني تشتمل على مرفقات تقول أنها تتضمن بيانات غير معلنة عن التحطم، في الحقيقة، قام هذا الايميل بإنزال نسخة من Hworm RAT على كمبيوتر لتصيد الكمبيوتر.

يريد الاشخاص الثقة والدعم بعضهم البعض، وبعد عمل

بحث

في شركة، فقام المجرمون الإلكترونيون اثنين أو ثلاثة من موظفين في الشركة بإرسال رسالة بريد إلكتروني كأنها من مدير الأفراد، ويطلب منهم في

البريد الإلكتروني

إرسال كلمة

المرور

لقاعدة بيانات المحاسبة إلى المدير، ومشددًا على أن المدير يريدها للتأكد من حصول الكل على مستحقاتهم المالية في

الوقت

المعين، وكانت صيغة البريد الإلكتروني فيها إلحاح، حيث تخدع الضحايا للاعتقاد بأنهم يدعمون مديرهم عن طريق سرعة التصرف.

مخاطر الهندسة الاجتماعية والوقاية منها

إن الاصطياد الاجتماعية هو عبارة عن استغلال نقاط الضعف للاشخاص بدلاً من استغلال نقاط الضعف التقنية فقط، لذا فإن

التعليم

لا يكون على التكنولوجيا فقط، هو أمر أساسي، لذا يعتبر التدريب على الوعي الأمني ​​شيئاً حيويًا لكل الموظفين في أي هيئة، بصرف

النظر

عن نشاطها، يستلزم التدريب للكل والتعرف على الخطوط الحمراء في كل الرسائل الواردة والسير بحسب إجراءات الأمن المادي الملائمة في الاغلب ما يجمع المتسللون الاجتماعيون المعلومات التي تم الوصول إليها عن طريق الهندسة الاجتماعية مع البيانات التي من مصادر أخرى، لهذا فإن ضمان الأمن العام القوي سيجعل عملهم أكثر صعوبة، وطرق الوقاية هي:


  • عدم الوثوق بأحد:

    يستلزم تدريب كل شخص داخل أي منظمة على التشكك في كل رسالة والسعي للوصول، يشتمل ذلك على تدريب الموظفين من خلال تعريفهم على طرق التصيد، والتفكير أو التشاور قبل الوقوع في الأمر من خلال الرسائل التي تبدو عاجلة، والالتزام الصارم ببروتوكولات

    الأمان

    التي للشركة.

  • تحقق من وضع الأمان الالكتروني:

    يجب أن يتم عمل إجراء عمليات تدقيق داخلية وكذلك خارجية بشكل منتظم للحصول على شكل عام للوضع الأمني ​​العام للشركة أو المؤسسة، بما في هذا

    الأمن السيبراني

    والمرونة التي في الهندسة الاجتماعية والأمن المادي، يعتبر تكوين الفريق الأحمر أفضل أسلوب للدخول إلى عقل المهاجم، ويمكن أن تمنح تمارين الفريق الأحمر مقابل الفريق

    الأزرق

    فكرة جيدة عن نقاط الضعف وتنمية القدرات الدفاعية.

  • القضاء على الثغرات الأمنية:

    المحافظة على الأنطمة آمنة تجعل من الصعب على مجرمين الإنترنت الوصول إلى معلومات مفيدة والهجوم بالهندسة الاجتماعية، إذا كان عمل الشخص يستخدم فيه تطبيقات الويب، فيجب استخدام ماسحًا ضوئيًا للثغرات الأمنية لتطبيق الويب عالي الجودة للتخلص من أي ثغرات أمنية التي يمكن أن تتسبب في الكشف عن المعلومات.[3]