تعريف الهندسة الاجتماعية
الهندسة الاجتماعية هي تقنية استغلال الخطأ من أجل الحصول على معلومات لشخص آخر، أو للوصول إلى أشياء ثمينة، وخلال الجرائم الإلكترونية تبدأ حيل ما يعرف بالقرصنة البشرية. الأنظمة المقيدة يمكن أن تحدث هذه الهجمات عبر الإنترنت أو من خلال شخص أو من خلال تفاعلات أخرى.
يعتمد الصيد الجائر على فكرة الهندسة الاجتماعية من خلال التفكير في الناس وسلوكهم. بهذه الطريقة، تعتبر هجمات الهندسة الاجتماعية مهمة بشكل خاص لسلوك نمط المستخدم، وبمجرد أن يفهم المهاجم ما الذي يقود أفعال المستخدم، يمكنه خداع المستخدم والتلاعب به بشكل فعال.
بالإضافة إلى ذلك، يسعى المتسللون إلى استغلال جهل المستخدم للتعلم، ونتيجة للسرعة، لا يفهم العديد من المستخدمين والموظفين التهديدات أثناء تنزيل برامج معينة، وقد لا يفهم المستخدمون أيضًا القيمة الحقيقية للبيانات الشخصية على سبيل المثال رقم الهاتف، ونتيجة لذلك، لا يدرك الكثيرون أن المستخدمين هم أفضل طريقة لحماية أنفسهم ومعلوماتهم.
أنواع الهندسة الاجتماعية
- التصيد الاحتيالي التصيد هو شكل من أشكال الهندسة الاجتماعية حيث يرسل المهاجم رسائل بريد إلكتروني احتيالية يدعي أنه من مصدر ثقة. يمكنهم الادعاء بأن لديهم معلومات حساب شخصية مهمة، ويطلبون أيضًا من الشخص الرد باسمه الكامل مع ذكر تاريخ الميلاد وبالطبع رقم الحساب حتى يتمكنوا من التحقق من هوية الشخص.
- التصيد يحدث هذا عندما يحاول المخادع خداع الضحية لإعطاء معلومات مهمة أو منحه إمكانية الوصول إلى كمبيوتر الضحية عبر الهاتف. يحاول إخفاءها لمنحها معلومات شخصية أو تعويض، معظمها خدع تصيد احتيالي مثل هذه التي تستهدف كبار السن، ولكن يمكن أن ينخدع أي شخص بهذا التصيد الاحتيالي إذا لم يتم تعليمه بشكل خاطئ.
- Pretexting هو نوع من تقنيات الهندسة الاجتماعية حيث يخلق المهاجم سيناريو يجعل الشخص يشعر بأنه مجبر على تصديق مثل هذه الادعاءات الكاذبة. عادة، يخدع المهاجم الضحية الذي يمثله شخص لصالحه لإقناع الضحية باتباع أوامره.
- الاصطياد يتم تمثيله في الطُعم أو أمام الضحية لإغراء الشخص في فخ الهندسة الاجتماعية، عن طريق وضع مخطط له كطعم للتنزيل المجاني للمقطوعات الموسيقية أو كمحاولة لخداع المستخدم لتقديمه بيانات الاعتماد، يمكن أيضًا خداعها من خلال البرامج التي تم تنزيلها.
- Tailgating and Piggybacking هذا نوع من الهندسة الاجتماعية البسيطة المستخدمة للوصول فعليًا إلى موقع غير مصرح به. يحدث هذا من خلال متابعة المستخدم المرخص له في المنطقة عن كثب دون أن يلاحظ المستخدم المصرح له. قد يحدث وصول المهاجم من شخص إلى آخر.
- Quid Pro Quo نوع من الهندسة الاجتماعية حيث يسعى المهاجم إلى تداول الخدمات للوصول إلى المعلومات، وقد يتضمن سيناريو المقايضة مهاجمًا يتواصل مع خطوط أساس شركة تكنولوجيا المعلومات على ما يبدو، في محاولة للوصول إلى شخص لديه مشاكل تقنية.
أمثلة على الهندسة الاجتماعية
تم استلام بريد صوتي يفيد بأن المستخدم قيد التحقيق بتهمة الاحتيال الضريبي وأنني بحاجة إلى الاتصال فورًا لإيقاف التوقيف والتحقيق الجنائي، ويحدث هجوم هندسة اجتماعية في بداية موسم الضرائب عندما يكون الناس قلقين بالفعل بشأن ضرائبهم، يستفيد مجرمو الإنترنت من التوتر والقلق الذي يصاحب الضرائب ويلعبون على هذه المشاعر لخداع الناس ليثقوا في البريد الصوتي.
يستغل مجرمو الإنترنت المشاعر الإنسانية القائمة على الثقة من خلال استخدام الجشع لإقناع الضحايا بأنهم يستطيعون التبرع للمنظمات الإنسانية التي تحتاج إلى دعم مالي، ومن الواضح أن رسالة بريد إلكتروني تخبر الضحايا بتقديم معلومات عن حساباتهم المصرفية وسيتم تحويل الأموال في نفس اليوم.
يستغل المجرمون الإلكترونيون الأحداث التي انتشرت في العديد من القنوات الإخبارية ثم يستغلون فضول الجمهور لخداع الضحايا من خلال الهندسة الاجتماعية من خلال التمثيل، على سبيل المثال، بعد تحطم طائرة بوينج MAX8 الثانية، أرسلوا رسائل بريد إلكتروني بها مرفقات تفيد بأنها تتضمن بيانات غير مفصح عنها حول الحادث. في الواقع، قام هذا البريد الإلكتروني بتنزيل نسخة من Hworm RAT على جهاز كمبيوتر للتصيد الاحتيالي على الكمبيوتر.
يريد الناس أن يثقوا ويدعموا بعضهم البعض، وبعد العمل في شركة، أرسل المجرمون الإلكترونيون اثنان أو ثلاثة من موظفي الشركة بريدًا إلكترونيًا كما لو كان من مدير شؤون الموظفين، وطلبوا منهم إرسال كلمة إلى قاعدة بيانات المحاسبة إلى المدير، مؤكداً أن المدير أراد أن يتأكد من أن الجميع يتحمل مستحقاتهم، وأن تنسيق البريد الإلكتروني كان مقنعًا، ويخدع الضحايا للاعتقاد بأنهم يدعمون مديرهم من خلال التصرف بسرعة.
مخاطر الهندسة الاجتماعية والوقاية منها
يتعلق الإغراء الاجتماعي باستغلال نقاط الضعف لدى الأشخاص بدلاً من مجرد نقاط الضعف الفنية، لذلك لا يتعلق الأمر بالتكنولوجيا فحسب، بل هو المفتاح، لذا فإن التدريب على الوعي الأمني يعد أمرًا حيويًا لجميع الموظفين في أي مؤسسة، بغض النظر عن نشاطهم. غالبًا ما يستلزم التدريب للجميع، والتعرف على الخطوط الحمراء في جميع الرسائل الواردة، واتباع تدابير الأمان المادي المناسبة، المتسللين الاجتماعيين الذين يجمعون المعلومات التي يتم الوصول إليها من خلال الهندسة الاجتماعية مع البيانات من مصادر أخرى، لذلك فإن ضمان الأمن العام القوي سيجعل عملهم أكثر صعوبة. من الوقاية هي
- لا تثق بأحد يستلزم تدريب كل فرد داخل المؤسسة على التشكيك في كل رسالة والسعي للوصول إليها، وهذا يشمل تدريب الموظفين من خلال تعريفهم بأساليب التصيد والتفكير والاستشارة قبل الوقوع في رسائل تبدو عاجلة والالتزام الصارم ببروتوكولات الشركة.
- تحقق من حالة الأمن السيبراني يجب إجراء عمليات تدقيق داخلية وخارجية منتظمة للحصول على نظرة عامة على الوضع الأمني العام للشركة أو المنظمة، بما في ذلك مرونة الهندسة الاجتماعية والأمن المادي. تشكيل الفريق الأحمر هو أفضل نهج للدخول يمكن أن يعطي عقل المهاجم والفريق الأحمر مقابل تمارين الفريق فكرة جيدة عن نقاط الضعف والتطوير الدفاعي.
- القضاء على الثغرات الأمنية يجعل الحفاظ على أمان الأنظمة من الصعب على مجرمي الإنترنت الوصول إلى المعلومات المفيدة والهجوم باستخدام الهندسة الاجتماعية، إذا كانت أعمال الشخص تستخدم تطبيقات الويب، فيجب استخدام ماسح ضوئي للثغرات الأمنية في تطبيق الويب عالي الجودة للتخلص من أي ثغرات يمكن أن يحتمل تكون عرضة للخطر. تسبب في الكشف عن المعلومات.
ال