الإختراق الأخلاقي

الهندسة الاجتماعية – تقنيات واداوت المهندس الاجتماعي

Reading Time: 4 minutes

بعد ماتكلمنا في المقالة السابقة عن مفهوم الهندسة الاجتماعية في هذا الرابط, اليوم سوف نتكلم عن التقنيات والادوات التى يستخدمها المهندس الاجتماعي, طبعاً هذه ليست كل التقنيات او الادوات التى يستخدمها ولكن فضلت ذكر الاشياء الاكثر شيوعاً حتى يتضح لك الامر بشكل افضل.

التقنيات والادوات

  • الطعم Baiting: وهي واحدة من اكثر الحيل استخداماً في الهندسة الاجتماعية, طبعاً يستغل المهندسين الاجتماعيين الفضول الذي عند الناس لذلك يرجعون لاستخدام الطعم, واهم طعم هو الفلاشات حيث يقوم المهندس الاجتماعي برمي فلاشات في الأماكن التى يتواجد بها الضحية ويكون داخل هذه الفلاشات برامج خبيثة تختلف من حين الى آخر, فمنها ما هو بوابة خلفية تقوم بالاتصال العكسي بالمخترق, ومنها ما هو فيروسات فدية, ومنها ما هو فيروسات تنتشر على مستوى الشبكة وتقوم بعمل تخريب كبير في الشبكة.
    وهناك مثال على ذلك حيث تم رمي فلاشات في احد الجامعات الامريكية بهدف الدراسة وقد تم الكتابة على الفلاشات كلمات مثل الاختبار النهائي او سري للغاية, وقد قام تقريباً نسبة ٦٨٪ من الناس بفتح الفلاشات لمعرفة من صاحب الفلاش٢٠٪ منهم قاموا بتركيب الفلاش بشكل مباشر, والبقية فتحوا محتويات الفلاش خلال ٣٥ ساعة, للاطلاع على الدراسة يمكنك زيارة الرابط.
  • رسائل الاحتيال Scamming: وهي رسائل عبر البريد الالكتروني وكلنا تقريباً نجد من هذه الرسائل في بريدنا الالكتروني وتكون هذه الرسائل عشوائية فلا يتم اختيار شخص بحد ذاتة من الهجوم, وترسل لعدد كبير من الناس, فمن وقع فيها يتم اما ابتزازه بالمعلومات أو استخراج معلومات عنة.
    ومثال على ذلك بما يسمى برسائل الاحتيال ٤١٩ او 419 scam وهذه الرسائل من المؤكد حتماً انها قد وصلتك من قبل, فأول من بدء بها هم النيجيرون وتسمى بأسمهم ايضاً Nigerian scams والرسالة يرسلها المهندس الاجتماعي بعدما يتقمص دور اسرة او محامي من النيجر وان احد اقربائه قد توفى, وان هذا الشخص لديه اموال كثيرة جداً ولكن مع الحرب والازمات الموجودة لا يمكن اخراجها من هناك فيطلب منك المساعدة.
    ويبدأ بطلب ارسال معلوماتك الاساسية وبعد ذلك يطلب الاموال منك يمكنه استخراج بعض الاوراق من البنك ولكي يخرج الاموال كاملة ويرسلها لحسابك, ومن هنا يبدا مشوار الاستنزاف, حتى يصل الضحية الى الاستسلام التام ويعرف انه قد تم النصب علية, وهذه الهجمة هي جزء من الهندسة الاجتماعية
  • التطبيقات الوهمية fake apps: وهي تطبيقات تشبه تماماً التطبيقات الاصلية ولكن لن تجدها في المتاجر المعتمدة مثل جوجل بلاي واب ستور, لكن يتم نشرها في المواقع الاخرى وفي كثير من الاحيان يتم اقناع الضحايا بتنزيل هذه التطبيقات لانها تقوم بعمل اشياء لايعملها التطبيق الاصلي ومثال على ذلك تطبيقات الواتس اب التى تخفي الحالة, فعند انزالك للتطبيق ستجد انه يقوم بعمله على اكمل وجه ولكن هنالك فعلياً هنالك بوابات خلفية backdoors يتم فيها الاتصال بالمخترق مما يجعل المخترق قادر على السيطرة على جهازك وسحب الملفات والصور الذي فيه.
  • الاصطياد phishing: وهو هجوم مؤثر يتم فيها ارسال رسائل الكترونية للضحايا اما عبر البريد الالكتروني او عبر تطبيقات الماسنجر, فيها روابط وعند الضغط على الروابط يتم التحويل الى صفحات مشابهة بالصفحات الأصلية يتم بعد ذلك استخراج كلمات المرور منها, وقد تكلمت في موضوع سابق عن هذا الهجوم بالتفصيل في هذا الرابط.
  • التنصت tapping: وهي وسيلة بدائية لكنها فعالة جداً فمن أجل الحصول على المعلومات يكفي أن تسمع  الموظفين في المؤسسة يتكلمون عن موضوع ما يخص المؤسسة في محادثة عابرة, وهنالك طرق اخرى للتنصت مثل الدخول على التحويلات الداخلية للمؤسسة او مايسمى بال phone tapping, أو التنصت الالكتروني عن طريق تعقب البيانات في الشبكة وتسمى ال MITM او Man In the Middle Attack ويقوم المخترق بجعل نفسه مكان الرواتر ويستقبل ويرسل البيانات عبر الشبكة, وبذلك يتعقب البيانات.
  • shoulder surfing: وهو طريقة ايضاً بدائية ويكفي المهندس الاجتماعي أن يقف خلف الضحية وقت كتابة الباسوردات والاشياء المهمة على حاسوبه, وبعد ذلك محاولة التجريب وفي كثير من الأحيان تنجح هذه الطريقة في استخلاص اسماء الحسابات وكلمات المرور بشكل كبير.
  • الدخول بعد الموظفين او الاشخاص: و هذه الوسيلة تعتبر من أنجح الطرق للدخول للمؤسسات حيث فقط ينتظر المهندس الاجتماعي أحد الموظفين العاملين في المؤسسة والدخول معه إلى المؤسسة, فسوف يظن الموظفين الآخرين بأنه أتى مع ذلك الموظف, وذلك الموظف يظن ان الزائر جاء من أجل موظف آخر, وبالاخير يتمكن المخترق من الدخول إلى المكان الذي يريده وعمل اي شيء وعلى سبيل المثال يمكن استخدام اشياء كثيرة مما تم ذكرها اعلاه مثل ادخال الفلاشات في الاجهزة او التصنت على الموظفين او اي شيء اخر.
  • النشر على الشبكات الاجتماعية: كلنا ننشر الكثير من المعلومات على الشبكات الاجتماعية في كثير من الأحيان تكون نتيجة هذه المنشورات كارثية ومن هنا يستغل المهندس الاجتماعي نشرك للبيانات, وعلى سبيل المثال في مرة من المرات قامت كيم كارداشيان بنشر انها في باريس وانها في الفندق, وقد تم التعرف على مكان الفندق وتنفيذ سرقه للفنانه كيم بقيمة ٦ مليون دولار من المجوهرات.

كيف يمكن الوقاية من هجمات الهندسة الاجتماعية

هنالك الكثير من التدابير التي يمكن لك حماية نفسك او للمؤسسة التى تعمل بها من أجل حماية نفسها وموظفيها من هذه الهجمات ومن هذه التدابير.

  • تغيير كلمات المرور بشكل دوري وجعلها صعبة التخمين واستخدام الحروف والارقام والاشكال من أجل تكوين هذه الكلمات.
  • استخدام طريقة ال two factor authentication فعند ادخال كلمة المرور للجهاز يكون هناك رمز آخر في الهاتف او جهاز مخصص يقوم باعطائنا كلمة سر تتغير كل ٣٠ ثانية.
  • إلزام الموظفين باقفال أجهزتهم عند الخروج من مكاتبهم أو استخدام الأجهزة التى تعمل ببطاقة فإذا ذهب الموظف من مكتبة يقوم بسحب البطاقة من جهازة ليتم اقفال المستخدم.
  • استخدام مكافح الفيروسات وتحديثه على الدوام وايضا استخدام النسخ الاصلية من البرامج وانظمة التشغيل.
  • عدم تنزيل التطبيقات من خارج المتاجر الرسمية.
  • ليس كل شيء قابل للمشاركة في وسائل التواصل الاجتماعي, فكر قبل ان ترسل فيمكن ان تقع ضحية ويحصل مالا يحمد عقباه.

وفي الاخير هذه كانت بعض التقنيات والادوات التى يستخدمها المهندس الاجتماعي في عمليات الهندسة الاجتماعية, وبمعرفتنا لها يمكننا الان نتخذ الاجراءات المضادة وان يكون لدينا مناعة ضد هجماتهم.
وتذكر في الاخير ان امنك الالكتروني هو مسؤوليتك

5
السابق
من يسيطر على المال يمكنه السيطرة على العالم – عملة ليبرا
التالي
قراءة في كتاب التأثير: وسيكولوجية الإقناع Influence: The Psychology of Persuasion

تعليق واحد

أضف تعليقا ←

  1. Shakeeb قال:

    شكرا لمشاركة مثل هكذا مواضيع تثرينا وأكيد تثري المحتوى العربي

    كل التقدير

اترك تعليقاً

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.