الاختراق باستخدام الهندسة الاجتماعية أكثر طرق الإختراق فاعلية
تعرف أكثر عن الإختراق باستخدام الهندسة الإجتماعية
هل تعرضت للإختراق من قبل؟ لديك حسابات هامة تخاف عليها من الإختراق؟ هل أنت مهتم بمجال الهندسة الاجتماعية وإختراق عقول البشر؟. حسنا أنت في المكان الصحيح، سنتحدث اليوم من خلال موقع 0ffensive sec عن الاختراق باستخدام الهندسة الاجتماعية بالتفصيل. بداية من تعريفها، مروراً بأقوى أساليب الهندسة الاجتماعية، حتى نصل إلى التصدي لهجمات اختراق الهندسة الاجتماعية. دعني لا أطيل عليك وندخل في صلب الموضوع.
اقرأ أيضاً: الاختراق الاخلاقي بإستخدام الهندسة الإجتماعية: دورة عربية حصرية فى الهكر الاخلاقي
مفهوم الهندسة الاجتماعية
تُعرف الهندسة الاجتماعية بفن اختراق عقول البشر. وهي مجموعة التقنيات التي تُستخدم لكي نجعل الناس يعملون عمل ما، أو يقولون لنا معلومات سرية. حيث تعتبر بمثابة القرصنة على عقول الأشخاص عن طريق استخدام المهارات الإجتماعية، التي تجعلهم يُصرحون بمعلومات مهمة بدون أن يشعرون.
عندما نتكلم عن أمن المعلومات، فإن أول شىء نفكر به هو الأنظمة الإلكترونية وبصفة خاصة برامج التصدي للإختراق. ولكن ننسي تماماً أهم عنصر وهو (البشر) حيث لا يمكن أن نضمن عدم ارتكاب البشر للأخطاء.
ففي الأصل الهندسة الإجتماعية هى وسيلة كسب المعلومات من خلال كسب ثقة الضحايا. نتيجة لذلك ستكون في خطر وقتها لأنه سيتمكن المخترق من معرفة كل معلومات النظام السرية. ألا تري أن الأمر يستحق دراسة أكبر ؟.
يمكننا أيضاً أن نقول أن الهندسة الإجتماعية تقنية خطيرة تستخدم للحصول على الثغرات الأمنية السرية. حيث يقوم أغلب المخترقين بإختراق الأنظمة بدون الحاجة إلى برامج وتقنيات عالية أو معرفة حاسوبية كما يفعلون. فقط يحتاج المهارات الاجتماعية التي تمكنه من خداع الضحايا وكسب ثقتهم بدون إثارة الشبهات وبمنتهى السهولة.
هل تعلم أن في بعض الدول تُقام مسابقات هدفها الأساسي هو زيادة الوعي الأمني وحماية منظومة أمن المعلومات؟ . علي سبيل المثال، في أمريكا وبالتحديد في مدينة ( لاس فيغاس ) كل سنة يتسابقون فيها على اختراق المؤسسات الحكومية. حيث تُقام المسابقة في وجود أصحاب الشركات ويقومون بمشاهدة الهاكرز وهم يخترقون نظام شركتهم أمام أعينهم . ولكن لاحظو أن المهندس الاجتماعي ينجح فى اختراق النظام وانجاز المهمة أسرع من الهاكرز والمبرمجين التقنين.
الاختراق باستخدام الهندسة الاجتماعية
يحتاج المُخترق إلى أيام، أو أسابيع، أو ربما تصل المدة معه إلى شهور بتخطيط متواصل. لكي يتمكن من كسب ثقة الضحايا. حيث يتوقف ذلك على درجة الوعي عند كل ضحية.
فهو يسلك عدة طرق للوصول لذلك منها الكلام وجهاً لوجه، أو من خلال الهاتف المحمول، أوعن طريق البريد الإلكتروني وغيرها .
ومن أشهر الأمثلة لتلك التقنية في الإختراق ( الهندسة الإجتماعية) هو ما تمكن من عمله كيفن متنك. إذ أنه تمكن في يوم من الأيام من اختراق وزارة الدفاع في أمريكا . يقول كيفن في كتابه ( فن الخداع ) إن اختراق عقول الأشخاص أسهل ألف مرة من اختراق الأنظمة الالكترونية والبرامج الأمنية. لأن كل شخص لديه نفطة ضعف يمكنك أن تلعب عليها . أو يمكنك أن تشتت انتباهه من خلالها.
اقرأ أيضاُ : منح الأمن السيبراني: تعرف على أفضل المنح المقدمة في دول العالم
آلية الاختراق باستخدام الهندسة الاجتماعية
المخترقون باستخدام تقنية الهندسة الإجتماعية هو ليس شخص يجيد التمثيل فقط، بل لدية مهارة عالية في معرفة الحيل المستخدمة لخداع الضحايا. على الرغم من اختلاف الضحايا واختلاف عقولهم وطريقة تفكيرهم ودرجة ثقافتهم . فتخيل معي إن كان المُخترق باستخدام الهندسة الاجتماعية ذو خبرة في المواضيع التقنية أيضاً. فإنه سيمتلك من المهارة ما يمكنه من اختراق أي شبكة أو نظام مهما كان درجة الأمان به.
الأمر أكبر مما تظن إذ يمكن للمخترق باستخدام الهندسة الاجتماعية أن ينتحل شخصية عامل صيانة، أو مسئول شركات معينة. للحصول على المعلومات التى يريدها. بل قد يوصل الأمر في بعض الأحيان إلى أن يعمل بدوام في الشركة. ليتمكن فقط من دخول الشركة بشكل قانوني وأن يختلط بالأشخاص العاملين معه بنفس الشركة. ونتيجة لذلك يكون من السهل عليه اختراق نظام الشركة بالكامل.
أساليب الاختراق باستخدام الهندسة الاجتماعية
إن منظومة أمن المعلومات والأمن السيبراني تحتوي بشكل عام على أنواع مختلفة من هجمات الهندسة الاجتماعية وسنتخدث عن بعضها بشئ من التفصيل:
التتبع Tailgating
ومن خلالها يتمكن المخترق من الولوج إلى المؤسسات والشركات من خلال الإحتيال على موظفي الشركة أو المؤسسة المصرح لهم بالدخول بهدف الحصول على مايمكنهم من الدخول إلى النظام من بطاقات الدخول أو user credentials.
فعلى سبيل المثال نتخيل سناريو يقوم فيه المخترق بتتبع أحد موظفين الشركة أو المنظمة المُراد احتراقها، وفور دخول أحد الموظفين إلى المنظمة من خلال الباب، يطلب منه المخترق أن لا يقوم بغلق الباب إذ أنه نسى مفتاح الدخول الخاص به (وهنا احتال المخترق على أحد الموظفين وتمكن من اقناعه أنه أحد الموظفين المُصرح لهم بالدخول إلى الشركة.
Baiting
في هذة الفقرة سنتحدث عن أحد الثغرات البشرية الهامة جداً عند معظم البشر وهو الفضول. فمن خلالها يستغل المخترق فضول البشر ويكون بمثابة من يرمي طعم وينتظر الضحية لتلتقط هذا الطعم. فيمكن أن يترك وسائط مادية هامة أو محرك أقراص USB في مكان ما وهو متعمد ! . وبعدها يجلس المخترق وينتظر فقط أن يقوم الضحية بإستخدام الجهاز أو إدخال USB الذي يحوى على كود برمجي يمكن المُخترق من الدخول إلى النظام بسهولة.
الهندسة الإجتماعية العكسية Reverse Social Engineering
هذا النوع من الهجمات يكون شخصاً لشخص. أي أن المخترق يكون على اتصال مباشر مع الضحية direct interaction. في بعض الأحيان يتم استخدام الهاتف أو رسائل البريد الألكتروني. حيث يقنع المهاجم الضحية أنه شخص منصبه أعلى منه بنفس الشركة ويطلب منه توفير معلومات حساسة تخص الشركة. ولكن الأخطر هنا أنه اذا نجح الأمر معه فيكون هناك فرصة للحصول على معلومات أخرى من الضحية.
و هنا يجب على المخترق التأكد أولاً من إمكانية ومدى المعلومات التي يمكنه الحصول عليها من خلال هذا الشخص وهذا يتم أولا في مرحلة تجميع المعلومات Reconnaissance التي سنتحدث عنها بالتفصيل في مقالات أخرى إن شاء الله
Voice Phishing
في هذة التقنية سنتكلم عن أحد تقنيات الإختراق وهو ما يسمى بالإصطياد الصوتي، ويمكن تخيل العديد من السيناريوهات مثل:
- يمكن أن يَدعي المخترق بأنه مندوب لشركة تقوم بعمل استبيان معين بهدف بحثي معين. أو جمع إحصائيات معينه، أو يمكن أن يحاول إقناعهم بشراء منتج معين من خلال أسئلة تبدو أسئلة بريئة، وهي في الحقيقة بعيدة تماماً عن البراءة والهدف منها هو تجميع أكبر قدر ممكن من المعلومات عن الضحية ما يمكنه من إتمام عملية الإختراق.
- يمكن أن يتم الإتصال المباشر بالضحايا ويقولون أنه علي سبيل المثال تمت سرقة معلومات حسابكم البنكي . أو نريد التحقق من ملكيتكم للحساب لإستعادته، وبعدها يبدئون بطلب إجراءات عاجلة للوصول الى حسابهم وهكذا. وهذا النوع انتشر بشدة في الآونة الآخيرة وتم اختراق العديد من الحسابات البنكية بواسطة هذه الطريقة.
- يمكن الإتصال بالضحايا من أجل إخبارهم بوجود تهديد أمني على حساباتهم. وطلب تنزيل تطبيقات وبرامج معينة من أجل إصلاح المشكلة الموجودة بحساباتهم. ونتيجة لذلك يتم الإحتيال عليهم وسرقة حساباتهم.
Phishing أحد أخطر وسائل الاختراق باستخدام الهندسة الاجتماعية
الخداع الالكتروني أو الإصطياد هو أحد الأساليب المعروفة في الهندسة الاجتماعية. حيث يحاول المخترق الحصول على معلومات سرية وحساسة. مثل باسورد حساب مهم أو معلومات حساب بنكي أو بطاقة ائتمان لكي يستخدمها استخدام ضار ولكن بطريقة قانونية.
ونتيجة لذلك يمكننا أن نصنف الخداع الالكتروني بأنه نوع من الاحتيال. حيث كما ذكرنا يتطلب من المخترق أن يقنع الضحايا بالتحدث عن معلومات حساسة. ولكن بشكل غير مباشر وقانوني.
لذلك يجب عليك أن تتأكد من الروابط وشرعيتها في رسائل بريدك الإلكتروني. وأعرف أنه لن تقوم مؤسسة شرعية بطلب معلومات مهمة منك بهذة الطريقة ! . لذلك يجب عليك أن لا تشارك معلوماتك الخاصة عبر البريد الإلكتروني أو الإنترنت بشكل عام.
اقرأ أيضاً: الاختراق الاخلاقي بإستخدام الهندسة الإجتماعية: دورة عربية حصرية فى الهكر الاخلاقي
التصدي لهجمات الهندسة الاجتماعية
تمثل الهندسة الاجتماعية خطر يواجه الشركات في الوقت الحالي. لأنه بكل بساطة لا يوجد طريقة تضمن عدم إرتكاب أفراد شركتك للأخطاء . ونتيجة لذلك يجب عليك اتباع بعض طرق الحماية من هجمات الهندسة الاجتماعية ومنها :
- التوعية : إن أهم أساليب التصدي لهجمات الهندسة الإجتماعية هى التوعية. حيث يجب عليك كمؤسس شركة أن تهتم بتوعية الموظفين وتدريبهم على هجمات الهندسة الاجتماعية. وتنبيهم على عدم إعطاء أي معلومات أو كلمة سر لأي شخص. وإذا ادعى أنه ذو منصب عالي بالشركة يجب التأكد من ذلك جيدا بطرق أمنية فعالة.
- التأكد من عنوان URL : اذا قمت بفتح صفحة ما قم بالتأكد من عنوان الصفحة قبل كتابة رقمك السري أو أي معلومات شخصية لأنه يمكن أن يكون عنوان مشبوه.
- التأكد من بريدك الإلكتروني : اذا تلقيت بريد إلكتروني من شركة مشهورة أو من إيميل شركة معتاد عليها. فيجب عليك التأكد من أنه العنوان الرسمي.
- انتبه لوسائل الإحتيال المباشرة التي تطلب منك بياناتك الحساسة: وبهذا الصدد دعنا نتحدث بعقل هل تعتقد أن فيسبوك سيرسل لك رسالة تغيير كلمة السر الخاصة بك على الماسنجر ؟!. حيث إنتشرت في الفترة الأخيرة أن فيسبوك يرسل لك رسالة عبر الماسنجر. ويطلب منك تغيير كلمة السر الخاصة بك لأن السيستم تعرض للإضطراب ويريد تأمين حسابك. من الان لن ننخدع بمثل هذة الأمور مرة ثانية .
اقرأ أيضا : لغة البايثون: تعرف على مجالات استخدام لغة البايثون
الخاتمة
وبذلك وضحنا في هذا المقال من خلال موقع 0ffensivesec تقنية الهندسة الاجتماعية بشئ من التقصيل. نتمنى أن تشاركنا في التعليقات بمعرفتك عن فن الإختراق والهندسة الاجتماعية . وإذا قمت بتأمين شركتك من هجمات الهندسة الاجتماعية شاركنا بالطرق التي إستخدمتها. وهل وجدت المقال مفيد أم لديك ملاحظة لتطويره ؟.
تعليق واحد