ما هي الهندسة الاجتماعية Social engineering في الاختراق ومخاطرها؟


الهندسة الاجتماعية او بمعنى اخر فن اختراق العقول والبشر، وهي الظاهرة التي يتم استخدام أساليب وفنون فيها بهدف اختراق أجهزة ذكية وتسريب المعلومات او حتي اختراق حسابات الاشخاص علي مواقع التواصل الاجتماعي مثل فيسبوك.

تمم هذه العملية بطرق مختلفة عن طرق الاختراق المتعارف عليها، أي ان هذا النوع لا يعتمد بشكل أساسي على الفايروسات والامراض الالكترونية، بل يعتمد على فنون كسب معلومات من المصدر المركزي للمعلومة عن طريق انتحال شخصية بارزة او صفحات تابعة لشخصيات ذات صلة بالموضوع او من خلال حساب فتيات فاتنات لإيقاع الأشخاص الذين يملكون نسبة جيدة من الجهل الالكتروني او الذين يترددون الى المواقع الإباحية عبر شبكة الانترنت.

تعمل هذه الطريقة من الاحتيال والاختراق على طرح أسئلة بسيطة غير مهمة عبر البريد الالكتروني او الهاتف او منصات التواصل الاجتماعي لتجعل الأشخاص يتفاعلون مع هذه الحسابات الوهمية وبعد ذلك اما يتم اختراق اجهزتهم من خلال الروابط المرفقة للإجابة على السؤال او يتم جذبهم للتعامل مع هذه الحسابات لكسب ثقتهم تدريجيا، وفي كلتي الحالتين ينفذ المخترق هدفه في جمع المعلومات والبيانات عن الأشخاص لابتزازهم بها الكترونيا فيما بعد.

ما هي الطرق المتبعة في إتمام عملية الهندسة الاجتماعية؟

  • الهاتف: يعتبر الهاتف اهم أسلوب للقيام بالعملية وأكثرها مباشرة، حيث يتصل المجرم الالكتروني على رقم الهاتف مدعيا انه شخصية ذات منصب مرموق ويقوم باستدراج الضحية وسحب المعلومات المهمة التي يريد معرفتها منها او عنها.
  • البحث في المهملات: يرتكز هذا النوع على البحث في مهملات المؤسسة او الشخص لأنه من المعروف ان المهملات تحتوي على الكثير من المعلومات المهمة التي من شأنها ان تفيد المبتز حول إسقاط الضحية.
  • الاقناع: هذا الأسلوب هو الأبطأ والأكثر حاجة الى التركيز والالمام بنفسية الضحية، حيث يقوم المجرم من خلاله بجر الضحية الى مساحة الأمان وتصديق حقيقة المجرم الطيبة وبعد ذلك يتم اقناع الضحية بإدلاء المعلومات التي تملكها خاصة المعلومات الحساسة والمهمة في القضية المبحوث فيها.

تتنوع الأساليب والهدف مشترك، وفي غالبية الأحيان يسقط العديد من الشبان في فخ الحسابات المزورة ويعود ذلك الى القدرة الرهيبة لدى المجرمين في هذا النوع من الجرائم على الاقناع وخلق بيئة مناسبة تجعل الضحية تصدقهم، يحدث ذلك من خلال ابراز اهتمام المجرم بالقضايا التي تهتم بها الضحية وتريها انها تملك خزينة معلومات رهيبة حول الموضوع مما يجعل الضحية تؤمن بقدرة المجرم بمساعدتها ودعم افكارها، ومن هنا يبدأ الخطر بالإحاطة بالضحية وتبدأ عملية اكتساب المعلومات منها.

كيف نحمي أنفسنا من الوقوع في فخ الهندسة الاجتماعية؟

  • الخطوة الأولى المركزية هي أن لا تشارك أي بيانات او معلومات مع أي احد، حافظ على سريتك وخصوصيتك ولا تدعها تخرج من دائرتك مع نفسك، ربما ستظن ان هذا يعني ان لا تشارك المعلومات ولا تتبادلها مع الغرباء، ولكن في الواقع حتى الأشخاص المعروفين والذين تتعامل معهم على ارض الواقع يجب ألا تبادلهم بياناتك ومعلوماتك المهمة عبر مواقع التواصل الاجتماعي والشبكة العنكبوتية، مهما كانوا مقربين منك ومضمون بالنسبة لك سريتهم، الا ان المخترق ان وجد المعلومة في صندوق المحادثات لديك تكون قد سهلت عليه موضوع الاختراق والخطط الالكترونية.
  • ثانيا: لا تتحدث ولا تتفاعل مع أي شخص كان دون التأكد من هويته الحقيقية، أي ان الحسابات المزيفة ليس بالضرورة ان تكون باسم غريب ودون صورة واضحة، بل هنالك حسابات تفعّل منذ زمن طويل وتنشر الصور والمنشورات باستمرار لإضفاء طابع حقيقي على هويتهم مما يجعل مستخدمي التطبيقات يظنون انهم ناس عاديين ومن الممكن ان يخدعوك بأنهم من نفس المكان الجغرافي الذي تسكن فيه.
  • ثالثا: لا تفتح أي مرفقات او روابط تصلك من خلال الرابط الالكتروني دون التأكد بنسبة 100 من هوية مرسلها، البريد الالكتروني وعناوين البريد هي اكثر الأماكن تبادلا للملفات الخطيرة والتي تحمل فايروسات الكترونية، ولكي تضمن سلامة جهازك وبياناتك يجب ان تقوم بالتأكد بشكل متواصل من عناوين البريد التي تراسلك ومن نوعية الرسائل التي تصل جهازك.
  • رابعا: واظب على كافة الخطوات التي تشكل حماية لجهازك، مثل استخدام كلمات سر صعبة وتفريغ الهاتف كل فترة من كل ما يملك مع التأكيد على الا تتوفر إمكانية استعادة المواد التي قمت بحذفها، وذلك يفيد سرية المعلومات والبيانات المهمة المتعلقة في العمل.
  • خامسا: لا تصدق الأشخاص على المنصات الذكية ولا تتبادل معهم أي علاقة الكترونية بدءًا من التفاعل بالوجوه التعبيرية انتهاء بالتعليقات والرسائل، هذا النوع من الجرائم الالكترونية يعتمد على الحرفية والدقة العالية من التركيز لذلك لا يمكن ملاحظة شيء غريب في العلاقة مع الجساب بشكل مفاجئ لأنه يعتمد على اكتساب الثقة بشكل  تدريجي وهذا ما يشكل الخطر الحقيقي على الضحية التي تعتاد على أساليب محددة ومتعارفة في عالم التكنولوجيا والمنصات الالكترونية ولا تكن على دراية بخطورة الطرق الحديثة والذكية لاختراق الأجهزة والعقول والحصول على المعلومات المهمة والخطيرة.

في بعض الأحيان يؤدي الوقوع في شباك الهندسة الاجتماعية الى فصل الموظف من عمله، وخسرانه لمصداقيته في ممارسة المهنة لدرجة انه يفقد احتمالية إعادة توظيفه في نفس المجال او في مجال اخر، وذلك لخطورة الموضوع ومدى نجاحه، حيث انه اُثبت سابقا ان موظفين في السلك المالي في شركتي جوجل وفيسبوك وقعوا في شباك الهندسة الاجتماعية وخسروا 100 مليون دولار، ذلك ما يجعل الموضوع اكثر خطورة ويجب الحذر منها بشكل اكبر بكثير مما كنا نظن.

لأنه في بداية الامر سيخطر لك ان الموضوع بسيط وان أي شخص بإمكانه كشف موضوع الاحتيال وانتحال الشخصية ولكن عندما يصل الامر بأن اثنتين من اكبر الشركات الالكترونية تقع في فخ الهندسة الاجتماعية ذلك بلا شك يعني ان الموضوع ليس بالبساطة التي نتخيلها، وبالطبع من المفروض القراءة والتثقف اكثر حول موضوع الجرائم الالكترونية بكل شعبه لنحمي انفسنا.

أساليب وانواع الهندسة الاجتماعية في الاختراق

1. الاصطياد الالكتروني Phishing

هو محاولة الحصول على المعلومات الخاصة «شخصية أو مالية» بمستخدمي الانترنت عن طريق الرسائل الإلكترونية أو مواقع الانترنت التي تبدو وكأنها من جهة رسمية والتي تعتمد على انتحال شخصية شخص ما من نفس بيئة اهتماماتك او عن طريق انتحال شخصية مسمى وظيفي في دائرة رسمية ما.

2. الإغراء Baiting

تقديم أمور لإغراء المستخدم النهائي والحصول على بياناته كأن يترك المهاجم فلاش يحمل عنوان «ملفات مهمة» ليأخذها الضحية وهو في الحقيقة يحمل ملفات تجسس ويقوم من خلالها بإسقاط الضحية وسحب المعلومات منها وهي تظن أنها هي من تكتسب المعلومات.

3. المقايضة Quick Pro Quo

في هذا النوع ينتحل المهاجم شخصية ما لطلب معلومات من الضحية مقابل خدمة ينفذها له, كأن ينتحل صفة موظف في الدعم الفني و يطلب من الضحية  بيانات الدخول وبالطبع بمجرد دخوله الى الحسابات الشخصية يصبح بغنى عن أي أسلوب اختراق الكتروني اخر.

4. اتباع الخطى Tailgating

في هذا النوع يقوم المهاجم بالدخول لأماكن غير مصرح له بالدخول إليها و ذلك بتتبع الشخص المخول له بالدخول كما أنه قد يقتنص الفرصة بالدخول من الأبواب الخلفية للموظفين ليستطيع جمع المعلومات وهو على مقربة من الضحية.

5. الادعاء Pretexting

في هذا النوع يقوم المهاجم بخلق نوع من الثقة بينه وبين الضحية، وذلك من خلال انتحال شخصية معروفة لدى الضحية للحصول على معلومات مهمة بطريقة مباشرة أو غير مباشرة.

اذا كنت تشك انك تعرضت او تتعرض لأي شكل من اشكال الاختراق او الهندسة الاجتماعية تواصل عبر الواتساب مع مركز سايبر وان الدولي عبر الأرقام الاتية:

0097253339258

00972505555511

الهندسة الإجتماعية Social engineering

المراجع:

  1. What is Social Engineering?
  2. Social engineering (security)

الحماية الالكترونية

CyberoneAuthor posts

المهندس احمد بطو مختص أمن المعلومات والجرائم الإلكترونية وسفيراً لنوايا الحسنة لمنظمة يونتيك الدولية للأمان على الإنترنت.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *