الهندسة الاجتماعية - فن القرصنة على البشر

الهندسة الاجتماعية هي عملية التلاعب بشخص ما لإفشاء معلومات أو القيام بشيء لا يصب في مصلحته عادةً. في هذه المقالة ، سنلقي نظرة على بعض الطرق الشائعة التي يحاول بها المهندسون الاجتماعيون التلاعب بك.

إخلاء المسؤولية: مقالاتي تعليمية بحتة. إذا قرأتها وتسببت في ضرر لشخص ما ، فهذا عليك. أنا لا أشجع أي نشاط ضار أو ممارسات القبعة السوداء. اقرأ مدونة الأخلاق هنا.

أحد أنواع الاحتيال الشائعة هو السجين الإسباني ، الذي يعود تاريخه إلى القرن الثامن عشر ولديه الكثير من التجسيدات الحديثة.

عادة ما تتضمن شخصًا في مشكلة ويحتاج إلى مساعدتك للوصول إلى ثروته. ما عليك سوى تحويل بضعة آلاف من الدولارات ، ثم يدفعون لك ما يزيد عن عشر مرات. لكن يمكنك تخمين كيف ينتهي ذلك.

هناك عمليات احتيال مماثلة تم تداولها عبر الإنترنت: عملية احتيال مصلحة الضرائب ، وعمليات احتيال اليانصيب ، وما إلى ذلك. يتم تصنيف هذه على نطاق واسع على أنها خدع العرض المتقدم. لديك شيء في انتظارك ولكن عليك دفع سلفة للحصول عليه.

بالنسبة للشخص العادي ، ستبدو هذه الهجمات احتيالية سيئة التنفيذ. لكن هذه الحيل تسببت في خسارة آلاف الأشخاص لأموالهم التي حصلوا عليها بشق الأنفس. في بعض الحالات ، مدخرات حياتهم.

هذه كلها أمثلة على الهندسة الاجتماعية في العمل.

الفكرة من وراء الهندسة الاجتماعية هي الاستفادة من الميول الطبيعية وردود الفعل العاطفية للضحية المحتملة. الخوف والجشع هما أكثر المشاعر ضعفًا والتي عادة ما يستغلها المهندسون الاجتماعيون.

فيما يلي مثال رائع لهجوم الهندسة الاجتماعية في العالم الحقيقي.

أنواع هجمات الهندسة الاجتماعية

يمكن تصنيف الهندسة الاجتماعية على نطاق واسع إلى خمسة أنواع من الهجمات بناءً على نوع النهج المستخدم للتلاعب بالهدف. دعنا نذهب من خلال كل واحد منهم.

البريد العشوائي (بريد إلكتروني ، نص ، Whatsapp)

يتضمن إرسال الرسائل غير المرغوب فيها إرسال رسائل إلى مجموعات كبيرة من الأشخاص الذين يتم الحصول على معلومات الاتصال الخاصة بهم عادةً من خلال طرق شائنة. البريد الإلكتروني العشوائي هو مصطلح عام يستخدم لتعريف كل من بث الرسائل الخبيثة وغير الضارة.

يستخدم المعلنون البريد العشوائي غير الضار الذين يحاولون الترويج لمنتجاتهم إلى غرباء عشوائيين عن طريق إرسال بريد إلكتروني إليهم بكميات كبيرة. ليس دافعهم التسبب في ضرر ، ولكن محاولة حث الناس على شراء منتجاتهم أو الترويج لخدماتهم.

يتضمن البريد العشوائي الضار الرسائل التي تحاول جذب المستخدمين إلى موقع الويب الخاص بالمهاجم لإفشاء المعلومات الشخصية. ثم تُستخدم هذه المعلومات لصياغة هجمات تصيد / تصيد تستهدف الضحية المحتملة.

التصيد (والتصيد)

عندما يستخدم المهاجم الرسائل النصية أو البريد الإلكتروني أو المكالمات الصوتية (التصيد الصوتي = التصيد الصوتي) ، يطلق عليه التصيد الاحتيالي.

يتم استخدام التصيد الاحتيالي لجعل الهدف يعتقد أنه يتم استدعاؤه من قبل مؤسسة أو كيان شرعي لاستخراج معلومات قيمة من الهدف.

إذا اتصل شخص ما بشركتك متظاهرًا بأنه مورد الطابعة الخاص بك ، فقد يتمكن من الحصول على معلومات محددة حول الطابعة - الطراز وعنوان IP (إذا كان متصلاً بالإنترنت) وما إلى ذلك.

وبمجرد تقديم هذه المعلومات ، قد تتعرض الطابعة للهجوم من أجل الوصول إلى شبكتك الداخلية.

هجمات التصيد عبر البريد الإلكتروني شائعة أيضًا. يمكن للمهاجم إرسال بريد إلكتروني إلى شخص ما في شركتك يتظاهر بأنه Facebook. بمجرد أن ينقر أحد أعضاء الفريق على ارتباط ، سينتهي بهم الأمر على صفحة تشبه Facebook ، ويطلبون منهم معلومات تسجيل الدخول الخاصة بهم. سيتم إرسال معلومات تسجيل الدخول هذه إلى خادم المهاجم وبعد ذلك يمكنهم الوصول الكامل إلى حساب الضحية على Facebook.

يتمثل الاختلاف الرئيسي بين التصيد الاحتيالي والاحتيال في أن هجمات التصيد يتم استهدافها بشكل كبير. يعرف المهاجم من يريدون مهاجمته ونوع المعلومات التي يبحثون عنها.

اصطياد

ينطوي الاصطياد على تصميم فخ وانتظار دخول الضحية المحتملة إليه. كمثال بسيط ، إذا أسقط المهاجم عددًا قليلاً من محركات أقراص USB في ساحة انتظار شركتك ، فمن المحتمل أن يحاول أحد موظفيك توصيلها بجهاز الكمبيوتر الخاص بهم للتحقق من محتويات محرك أقراص USB.

قد يبدو هذا سخيفًا ولكن كانت هناك العديد من الحالات التي أدت فيها الحيل البسيطة من قبل Social Engineers إلى حدوث انتهاكات ضخمة لبيانات الشركة. عادةً ما يكون من السهل إغراء الأشخاص بالخداع مثل عمليات الاحتيال التي لا تزال تنتشر عبر الإنترنت والتي تتغذى على الأشخاص الساذجين.

يوجد نوع شائع آخر من الاصطياد في البرامج المقرصنة. سيقوم المهاجم بتضمين برامج ضارة في نظام تشغيل شائع أو فيلم لتنزيله الضحية. بمجرد قيام الضحية بتنزيل البرنامج وتشغيله ، يتم تنفيذ الشفرة الخبيثة على نظام الضحية ، ويحصل المهاجم على وصول كامل إلى جهاز الضحية.

PiggyBacking

PiggyBacking يعني استخدام شخص آخر لمهاجمة ضحية محتملة. سيستخدم المهاجم طرفًا ثالثًا (عادةً ما يكون بريئًا) لديه حق الوصول إلى الضحية من أجل تنفيذ هجوم على الظهر.

هناك العديد من الاختلافات في Piggybacking. إذا قام أحد المهاجمين بتتبع موظفك إلى مكتبك باستخدام بطاقة الوصول الخاصة به ، فهذا شكل من أشكال التنصت على الظهر يسمى Tailgating.

كانت هناك العديد من حالات الهجمات على الظهر ، خاصة للمعلومات السرية عادة ما تكون الشركات الموردة التي تزود المؤسسات الحكومية بالأجهزة / البرامج هدفًا لهجمات التحميل.

بمجرد اختراق هؤلاء البائعين ، يصبح من السهل مهاجمة المؤسسة المستهدفة لأن البائع لديه بالفعل مستوى من الوصول إلى الهدف.

يرتبط Piggybacking أيضًا ببعض أشكال التنصت على المكالمات الهاتفية النشطة. سيستخدم المهاجم اتصالًا شرعيًا للضحية من أجل التنصت على الشبكة.

لقد كتبت مؤخرًا مقالًا على Wireshark قد تجده مثيرًا للاهتمام.

ثقب المياه

يأخذ Water Holing في الاعتبار الإجراءات الروتينية للهدف واستخدام أحد هذه الإجراءات للوصول غير المصرح به. على سبيل المثال ، سيجد المهاجم مواقع الويب التي يستخدمها الهدف بشكل يومي ويحاول تثبيت برامج ضارة على أحد تلك المواقع.

يشتق اسم "Water Holing" من حقيقة أن الحيوانات المفترسة في البرية غالبًا ما تنتظر فرائسها بالقرب من ثقوب الري المشتركة.

مثال على ذلك حملة المياه المقدسة لعام 2019 ، التي استهدفت المجموعات الدينية والخيرية الآسيوية. تم اختراق موقع الويب وبعد ذلك طُلب من الزوار تثبيت Adobe Flash على متصفحاتهم.

نظرًا لأن Adobe Flash به عدد من الثغرات الأمنية ، فقد كان من السهل على المهاجمين تنفيذ تعليمات برمجية ضارة على أجهزة الضحية. هجمات ثقب الري غير شائعة ولكنها تشكل تهديدًا كبيرًا نظرًا لصعوبة اكتشافها.

حماية نفسك من الهندسة الاجتماعية

الآن وقد رأينا الأنواع المختلفة من الأساليب التي يستخدمها المهندسون الاجتماعيون ، فلنلقِ نظرة على كيف يمكننا حماية أنفسنا ومنظمتنا من هجمات الهندسة الاجتماعية.

تثبيت عوامل تصفية البريد الإلكتروني والبريد العشوائي

على الرغم من أن عوامل تصفية البريد العشوائي لا يمكنها اكتشاف الهجمات المستهدفة بشكل كبير ، إلا أنها ستمنع معظم رسائل البريد الإلكتروني العشوائية والضارة من الوصول إلى حسابك.

حافظ على تحديث برنامج مكافحة الفيروسات وجدار الحماية

على غرار عوامل تصفية البريد العشوائي ، سيحمي برنامج مكافحة الفيروسات المحدث من معظم الفيروسات الشائعة وأحصنة طروادة والبرامج الضارة.

اطلب التحقق

اسأل دائمًا عن التحقق عندما يتصل بك شخص ما مدعيًا أنه يمثل مؤسسة ، على سبيل المثال البنك الذي تتعامل معه. لا تشارك أبدًا التفاصيل السرية مثل أرقام بطاقات الائتمان أو كلمات المرور عبر الهاتف أو البريد الإلكتروني.

خلق الوعي

أفضل طريقة لمنع استغلال مؤسستك هي إنشاء برامج توعية أمنية. يعد تثقيف موظفيك استثمارًا رائعًا طويل الأجل للحفاظ على أمان شركتك.

إذا كان يبدو جيدًا لدرجة يصعب تصديقها ، فهو كذلك

أخيرًا ، إذا كان هناك شيء يبدو جيدًا لدرجة يصعب تصديقه ، فعادة ما يكون كذلك. لا تثق أبدًا في الغرباء الذين يعدونك بالثراء السريع كما قال أحدهم ذات مرة ، "محاولة الثراء السريع هي أسرع طريقة لخسارة كل أموالك".

استنتاج

المهندسون الاجتماعيون هم سادة التلاعب. ما لم يتم تدريب موظفي الشركة على الوعي بالهندسة الاجتماعية ، فمن الصعب عليهم تجنب الوقوع في فخ المهندس الاجتماعي.

يعمل المهندسون الاجتماعيون مع مشاعر الناس ، وعادة ما تكون الخوف والجشع. لذلك عندما تقوم بعمل ما بناءً على هاتين المشاعرتين ، قد ترغب في التراجع خطوة إلى الوراء ومعرفة ما إذا كان يتم التلاعب بك.

هناك حديث TED شهير حيث بدأ شخص ما محادثة مع مرسلي البريد العشوائي. مشاهدة الفيديو الكامل هنا.

يمكنك الحصول على ملخص لمقالاتي ومقاطع الفيديو الخاصة بي يتم إرسالها إلى بريدك الإلكتروني كل صباح يوم اثنين. يمكنك أيضا معرفة المزيد عني هنا.