تمت عملية الاشتراك بنجاح

إغلاق

عذراً، أنت مشترك مسبقاً بالنشرة البريدية

إغلاق
اشترك

الاستمرار بالحساب الحالي

الهندسة الاجتماعية

ما هي الهندسة الاجتماعية؟

الهندسة الاجتماعية (Social Engineering): عملية تلاعب تقوم على استغلال أخطاء ونقاط الضعف البشرية للوصول إلى المعلومات الشخصية والأنظمة المحمية. بالاعتماد على التلاعب بالأفراد، بدلاً من اختراق أنظمة الكمبيوتر لاختراق الحساب المستهدف، وتحدث هذه الهجمات بشكل شخصي أو عبر الإنترنت.

أهداف الهندسة الاجتماعية

تقوم الهندسة الاجتماعية بدراسة آلية تفكير الأفراد وتصرفاتهم وذلك إما بهدف تخريب البيانات لإحداث ضرر أو إزعاج، أو بهدف سرقة المعلومات، والأموال، وصلاحية الوصول إلى أنظمة حساسة.

أدوات الهندسة الاجتماعية

ثمة العديد من الأدوات التي يمكن استخدامها في الهندسة الاجتماعية وفقاً للجهاز الذي تُستخدم منه ومن أبرزها نذكر:

  • الأدوات التي تعتمد على الحاسوب: من أبرزها تطبيق مالتيجو (Maltego) وهو تطبيق مفتوح المصدر، يوفر واجهة مريحة التصميم لجمع المعلومات، ويتيح تحديد العلاقات الرئيسية بين المعلومات وتحديد العلاقات غير المعروفة سابقاً بينها. ومجموعة أدوات المهندس الاجتماعي (The Social-Engineer Toolkit) المصممة خصيصاً لتنفيذ هجمات متقدمة ضد العنصر البشري، وصُممت بحيث تستهدف الهجمات الموجهة والمركزة ضد شخص أو منظمة وتُستخدم أثناء اختبار الاختراق.
  • الأدوات التي تعتمد على الأجهزة المحمولة: من أبرزها موظفو مكتب المساعدة الذين يعتبرون الأكثر ضعفاً نتيجة أن عملهم ينطوي على تقديم المساعدة وهو أمر يمكن للمهاجم استغلاله لتلقي معلومات حساسة. ويوجد أيضاً الهواتف القابلة للحرق (Burner Phones) وهي هواتف يمكن التخلص منها بعد الاستخدام دون ترك أثر لمستخدمها، وكذلك انتحال هوية المتصل الذي يعمل وفق مبدأ تغيير المعلومات التي تٌعرض على شاشة معرف المتصل.
  • الأدوات المادية: يمكن أن تكون الكاميرات أداة مفيدة للمهندسين الاجتماعيين عندما يكون من الضروري جمع المعلومات بسرعة، وكذلك أجهزة التعقب، وأجهزة التسجيل.

آلية الهندسة الاجتماعية

تعتمد معظم هجمات الهندسة الاجتماعية على التواصل الفعلي بين المهاجمين والضحايا، وكسب ثقتهم، ليتم الاختراق بواسطة المستخدم نفسه دون اللجوء لأسلوب القوة في اختراق البيانات، ولها خطوات عامة بالشكل الآتي:

  • التحضير للعملية من خلال جمع معلومات أساسية عن الفرد أو المؤسسة المستهدفة من خلال الفرد.
  • التسلل من خلال إنشاء علاقة اجتماعية وتوطيدها وبناء ثقة بين المخترق والفرد.
  • استغلال الفرد عند توطيد العلاقة وكشف نقاط الضعف لتعزيز الهجوم.
  • فك الارتباط والعلاقة مع الفرد بمجرد أن يؤدي الإجراء المطلوب للاختراق.

أمثلة على الهندسة الاجتماعية

استغلال الخوف: أثناء فترة استحقاق الضرائب، يتم إرسال بريد صوتي يفيد بأن الفرد أصبح قيد التحقيق بتهمة الاحتيال الضريبي، وأن عليه الاتصال على الفور لمعالجة الأمر. فيمتثل الأفراد نتيجة لشعورهم بالخوف وتوترهم المسبق بما يتعلق بالأمور الضريبية.

الحماية من الهندسة الاجتماعية

ثمة طرق عديدة يمكن من خلالها منع هجمات الهندسة الاجتماعية، ونذكر من أبرزها:

  • المصادقة متعددة العوامل: وتشمل القياسات الحيوية وأسئلة الأمان.
  • مراقبة النظام الحرج باستمرار: فحص الأنظمة الخارجية والداخلية لملاحظة أي نقاط ضعف.
  • التحقق من هوية مرسل البريد الإلكتروني: أي الاتصال بالمرسل المزعوم لرسالة البريد الإلكتروني والتأكد مما إذا كان قد أرسل البريد الإلكتروني أم لا.
  • تحديد الأصول الهامة: أي التقييم من منظور المهاجم وتحديد ما يجب حمايته، مع الأخذ في الاعتبار الأصول التي تتجاوز المنتج أو الخدمة أو الملكية الفكرية.
  • الانتباه إلى البصمة الرقمية: إذ يمنح الإفراط في مشاركة التفاصيل الشخصية عبر الإنترنت من خلال وسائل التواصل الاجتماعي المهاجمين مزيداً من المعلومات، لذلك ينبغي الانتباه إلى ما يُنشر عبر الإنترنت.
  • تنفيذ اختبار الاختراق: من خلال إجراء اختبار القلم لاكتشاف ومحاولة استغلال الثغرات الأمنية في النظام.
  • مواكبة تحديثات وتصحيحات الأمان: إذ ترسل الشركات تصحيحات الأمان كرد فعل كلما اكتشفت ثغرات أمنية في برامجها.
  • تمكين عامل تصفية البريد العشوائي.
  • استخدام برامج أمان موثوقة.
  • التحقق من شهادات المواقع التي تطلب معلومات حساسة.

اقرأ أيضاً:

اقرأ أيضاً في هارفارد بزنس ريفيو

error: المحتوى محمي !!