هل القناه بتاعتك ممكن تتسرق | Social Engineering ?



هل القناه بتاعتك ممكن تتسرق | Social Engineering ?

 Social Engineering 



في سياق أمن المعلومات والأمن الرقمي، الهندسة الاجتماعية هي فن استخدام الحنكة والحذاقة من قبل المهاجم، لخداع الضحية بحيث تقوم بشكل إرادي وطوعي بكشف معلومات سريّة أو بإعطاء المهاجم الفرصة للوصول للمعلومات السرية. أو بحيث تقوم الضحية بالقيام بأمر لم تكن لتقوم به لولا الوقوع ضحية لخدعة المهاجم.
لا تعتمد أساليب الهندسة الاجتماعية على معرفة تقنية عميقة بالتالي يتسطيع أي شخص يتوافر لديه قدر معين من الحنكة والدهاء القيام بهجمات الهندسة الاجتماعية.
أغلب من يقوم بهجمات الهندسة الاجتماعية هواة وغير خبراء، لكن إن ترافقت المعرفة التقنية بأساليب الهندسة الاجتماعية فإن ذلك يشكل تهديد أكبر بكثير من مجرد المعرفة التقنية أو الحنكة بشكل فردي.
يعتمد مثلا الجيش السوري الالكتروني Syrian Electronic Army أساليب الهندسة الاجتماعية لتنصيب برمجية روتكيتس Rootkits خبيثة أو حصان طروادة للتحكم عن بعد Remote Access Trojan على أجهزة ضحاياهم.
إذا للحد من فعالية المخترقين، أفرادا ومجموعات، يكفي استيعاب موضوع الهندسة الاجتماعية والعمل على تقليل مخاطر الوقوع ضحية للهندسة الاجتماعية، واستيعاب موضوع البرمجيات الخبيثة وطرق الوقاية من الإصابة به
.....

مراحل هجوم الهندسة الاجتماعية

يمكن تلخيص مراحل هجوم الهندسة الاجتماعية بالمراحل التالية:
  • مرحلة اختيار الجهة المستهدفة
  • مرحلة جمع معلومات عن الجهة المستهدفة
يمكن لهتين المرحلتي، أن تحدثان في الوقت ذاته أو بترتيب مختلف. ثم:
  • تحديد أهداف الهجوم والخطوات التي تتبع النجاح في خداع الجهة المستهدفة
  • مرحلة إعداد الهجوم بشكل مناسب للهجة المستهدفة ولتحقيق أهداف الهجوم
  • مرحلة تنفيذ عملية خداع الجهة المستهدفة وإيقاعها في الفخ
  • حصد نتائج نجاح عملية الخداع، أي المتابعة حسب أهداف الهجوم

  • أساليب الخداع في الهندسة الاجتماعية

    نحاول فيما يلي سرد أهم أساليب الخداع التي يعتمد عليها المهاجمون للإيقاع بضحاياهم. نتمنى من القراء بعد معاينة هذه اللائحة محاولة التفكير بأساليب أخرى قد يعتمدها المهاجمون. فالمهاجمون يبتكرون بشكل مستمر أساليب جديدة لخداع الضحايا.

    استغلال الشائعات

    تعتمد أغلب عمليات الاحتيال للحصول على كلمات السر أو للسيطرة على الحواسيب على تغليف البرنامج الخبيثة أو الرابط الخبيث في غلاف جذاب يغوي الضحية إلى تشغيله أو فتحه.
    يكون الغلاف الجذاب عادة مصمما للضحية أو مجموعة الضحايا. في كثير من الأحيان يستغل المهاجمون الشائعات, بغض النظر عمن وراء الشائعات, كغلاف جذاب لتمرير المحتوى الخبيث,
    تنتشر الشائعات بشكل سريع جدا ضمن شبكات التواصل الاجتماعي ومنها فيسبوك. بالتالي تكون المساهمة في نشر الشائعات بشكل أو بآخر مساهمة في تسهيل عمل من ينوي استغلال الشائعات لتغليف روابطهم الخبيثة.
    تؤثر أيضا الشائعات على العالم الحقيقي, فقد تؤدي لاصحاب القرار لاتخاذ قرارات مبنية على معلومات خاطئة ما يؤدي لانكشاف مزيد من المعلومات التي يمكن استغلالها لمزيد من هجمات الهندسة الاجتماعية أو غيرها من الهجمات الخبيثة.

    استغلال عواطف الضحية وطباعه الشخصية

    يقصد باستغلال العواطف استخدام نصوص أو صور تخاطب عاطفة الضحية وتؤدي إلى سقوطه في فخ فتح وتشغيل الملف الخبيث أو فتح رابط خبيث.
    من العواطف التي قد يستغلها المهاجم، في سبيل المثال وليس الحصر عواطف: الحقد، الانتقام، الحزن، الكره والنقمة. أو عواطف كالحب، الشوق، الحنين، الاعجاب، يضاف إلى ذلك المشاعر الدينية أو الطائفية والاثنية والعشائرية والقومية وغيرها...
    يمكن أيضا للمهاجم استغلال فضول المستهدف أو غروره أو بحثه الذي لم ينته عن الحبيب أو عن علاقة عاطفية مشروعة أو غير مشروعة وهكذا.

    استغلال الطمع

    قد يقوم المهاجمون بمحاولة استغلال طمع الضحية بهدف خداعهم، فيقومون بإعطاء الضحية عرضا ما في نهايته وعد بربح وادي كبير، ففي حين يعتقد الضحية أنه سيحصل قريبا جدا على مبلغ مالي ضخم أو على لوحة فنية ذات قيمة مادية كبيرة، يكون المهاجمون قد حصلوا على المعلومات التي يرغبون الحصول عليها أو يكونون قد استطاعوا خداع الضحية وإقناعه بإرسال مبلغ مالي صغير نسبيا إلى المهاجمين. وهي من الأساليب المستخدمة بكثرة في حملات الاحتيال عبر البريد الالكتروني، للحصول على مردود مادي.

    استغلال العازة

    قد تكون الضحية ماسة للمال، فإن استغل المهاجم هذه الحاجة قد يتمكن من خداع الضحية.
    مثلا يحاول المهاجم عبر المنشور على موقع فيسبوك حث الضحايا على دخول الموقع الخبيث الذي أعده المهاجم، مدعيا أن الموقع تابع لمؤسسة UNESCO الأممية ذات الصيت الحسن، كما يستغل في الوقت نفسه بؤس الناس وحاجتهم للمساعدة المالية

  • ستغلال المواضيع الساخنة

    بشكل مشابه لاستغلال الشائعات, يستغل المهاجمون المواضيع الساخنة لتمرير عمليات احتيالهم.
    بعكس الشائعات, المواضيع الساخنة أخبار حقيقية ولا تحتوي على تضخيم أو افتراء. تنتشر عادة بسرعة على وسائل الإعلام ذات المصداقية العالية بشكل أخبار عاجلة.
    كل هذا يجعلها طعما مناسبا لإيهام الضحية بأن الرابط المرفق مع الرسالة مثلا هو أيضا "وديع" وأن صاحب الرابط المرفق "صادق" في ادعائه حول محتوى الرابط كما الرسالة صادقة في نقل الأخبار الساخنة.

    استغلال موضوع الأمن الرقمي وضعف الخبرة التقنية للضحية

    في هذا النوع من الهندسة الاجتماعية يدعي المهاجم أن رابطا ما أو ملفا ما سيسهم بحماية جهاز الضحية. في حين أنه في الحقيقة الملف ملف خبيث أو الرابط خبيث.
    توضح الصورة التالية، رسالة هندسة اجتماعية ضمن مجموعة واتس أب استطاع المهاجم الحيازة على عضويتها، ويحاول عبر الرسالة التالية اقناع ضحاياه ضمن المجموعة تحميل تطبيق من المؤكد أنه خبيث على هواتفهم الذكية ليصيبها ببرنامج التحكم عن بعد RAT.

  • انتحال الشخصية Identity Theft

    يمكن للمهاجم أن ينشئ مثلا حساب على فيسبوك، أو حساب إيميل، أو حساب سكايب, باسم مستعار أو باسم مطابق لاسم صديق لك أو لاسم شخص تعرفه بنية انتحال الشخصية.
    يمكن لمنتحل الشخصية استغلال الثقة للحصول على معلومات ما أو لاستجرارك لإضافته إلى مجموعة سرية معينة وما إلى ذلك.
    في كثير من الأحيان يستطيع منتحلوا الشخصية خداع ضحاياهم باستخدام مهارات التحايل دون الحاجة لمقدرات تقنية لذلك يعتبر انتحال الشخصية من أساليب الهندسة الاجتماعية Social Engineering.
    بالطبع الحصول على كلمة سر لحساب شخص ما في فيسبوك واستغلال حسابه لانتحال شخصيته يسهل مهمة الحصول على المعلومات بشكل كبير جدا, كما يسهل أيضا استغلال الحساب المخترق لاختراق حسابات جديدة عبر استخدام الحساب المخترق لسرقة كلمات السر بالاحتيال مثلا.

    استغلال السمعة الجيدة لتطبيقات معينة

    هنا يدعي المهاجم أن رابطا أو ملفا هو نفسه النسخة المحدثة مثلا من تطبيق معين، لكنه في الحقيقة يتضمن ملفا خبيثا. وهناك أيضا حالات أخرى يقوم فيها الرابط بتحميل الملف الخبيث وتنصيبه ثم تحميل التطبيق الحميد الحقيقي وتنصيبه بحيث يعتقد الضحية أنه قام بتنصيب التطبيق الحميد ولا يعلم أنه قام بتنصيب الملف الخبيث. أما الحالات الأكثر دهاءا نسخة معدلة عن التطبيق ذو السمعة الجيدة يبدو ويعمل كالتطبيق الحقيقي لكنه يتضمن في الوقت نفسه جانب خبيث.

    استغلال السمعة الجيدة لجهات معينة

    قد يقوم المهاجمون باستغلال السمعة الجيدة لجهة ما لكسب ثقة الضحية والإيهام بأن كل شئ على ما يرام.
    مثلا يحاول المهاجم عبر المنشور على موقع فيسبوك حث الضحايا على دخول الموقع الخبيث الذي أعده المهاجم، مدعيا أن الموقع تابع لمؤسسة UNESCO الأممية ذات الصيت الحسن، كما يستغل في الوقت نفسه بؤس الناس وحاجتهم للمساعدة المالية.

  • أمثلة على هجمات الهندسة الاجتماعية ونصائح لتفاديها

    مثال 1: انتحال شخصية صديق لإرسال رسالة لإصابة جهاز الضحية ببرنامج خبيث

    يريد المهاجم الحصول على معلومة معينة من السيد م. س.
    • يقوم المهاجم بجمع بعض المعلومات عن السيد م. س. مثل من هم أصدقاؤه المقربين. ما هي اهتماماته وهكذا. ويجمع معلومات كافية عن أحد أصدقاء م. س. وليكن السيد ط. ع. الذي لا ينشر كل شئ عن نفسه ببساطة على الانترنت على حسابه على فيسبوك بدون أي اهتمام بخصوصية المعلومات.
    • يقوم المهاجم بانشاء حساب بريد الكتروني مزيف ينتحل شخصية ط. ع. صديق من أصدقاء م. س. (يستخدم المهاجم لانشاء الحساب المزور معلومات حقيقية عن ط. ع. تشبه معلومات حساب بريده الالكتروني أو معلومات فيسبوك.
    • يستخدم المهاجم حساب البريد الالكتروني الذي ينتحل شخصية م. ط. لارسال رسالة بريد الكتروني تحتوي ملف خبيث.
    • م. س. بما أنه يثق بصديقه ع. ط. وبما أنه لم يلاحظ أن الحساب هو ليس حساب صديقه الحقيقي، يقوم بفتح الملف الخبيث مصيبا جهازه.
    لتجنب الوقوع ضحية هذا النوع من الهجمات
    • احرص على خصوصيتك وعدم نشر معلومات شخصية عن نفسك لأن المهاجم قد يستخدمها لانتحال شخصيتك
    • لا تثق بأحد
    • انظر بعين الحذر إلى كل بريد الكتروني أو رسالة ما تصلك تحتوي على ملفات وروابط مرفقة. راجع الفقرة التالية: حذر الروابط والملفات المشبوهة.
    • عند شعورك أنك أصبت قم بإعلام شخص مختص لفحص جهازك ونصحك فيما يتعلق بمعالجة هذه الأزمة
    • أبلغ أصدقاءك بكل صراحة أنك وقعت ضحية لاختراق حسابك كي يكونوا حذرين بدورهم في حال حاول المهاجم انتحال شخصية السيد م. س. لخداع المزيد من الأشخاص

    مثال 2: انتحال شخصية موظف في قسم آخر في مؤسسة أو في شركة

    يريد المهاجم الحصول على كلمة سر السيدة ر. ح. على حسابها في مكان عملها في المؤسسة.
    • لدى المهاجم رقم هاتف عمل ر. ح.
    • يتصل المهاجم بالسيدة ر. ح. قائلا أنه مختص IT وأن مديرها في المؤسسة طلب منه التحقق من وجود اختراق في حساب ر. ح. ويطلب منها ذكر اسم حسابها وكلمة سرها على الهاتف.
    • السيدة ر. ح. تصدق القصة وببساطة تعطي المعلومات إلى المهاجم معتقدة أن كل شئ بخير.
    • يقوم المهاجم باستخدام اسم الحساب وكلمة السر لوضع باب خلفي إلى حساب السيدة ر. ح. يستخدمه حتى لو غيرت السيدة ر. ح. كلمة السر.
    • يتصل المهاجم مجددا بالسيدة ر. ح. (وهنا العبقرية) قائلا لها أنه تحقق من الحساب وأن كل شئ على ما يرام وأنه سيعلم المدير بذلك ويشكرها ويتمنى لها يوما طيبا.
    لتجنب الوقوع ضحية هذا النوع من الهجمات
    • تحقق من شخصية كل شخص يدعي أنه يعمل في المؤسسة في قسم آخر
    • لا تعطي كلمة السر خاصتك ولا اسم حسابك لأي شخص
    • استفسر من مديرك عن الموضوع
    • قم أنت بالاتصال بالقسم الذي يدعي الشخص تمثيله واسأل مدير القسم عن الموضوع
    • قم بإعلام مديرك بأي شئ من هذا النوع حتى لو لم يكن عندك أي شك بموضوع الاختراق
    • إذا شعرت أن حسابك قد تم اختراقه عليك اعلام مديرك والتأكد من وصول الموضوع لمدير قسم الـ IT بأسرع وقت ممكن لتفادي المزيد من المشاكل

    الوقاية من الوقوع ضحية للهندسة الاجتماعية

    بناء على أساليب الاحتيال المفصلة أعلاه وبناء على الأمثلة المذكورة في الفقرة السابقة يمكن إدراج النقاط التالية كأسلوب للوقاية من الوقوع ضحية لهجوم باستخدام الهندسة الاجتماعية.
    كي لا تكون ضحية سهلة راعي النقاط التالية:
    • احرص على خصوصيتك وعدم نشر معلومات شخصية عن نفسك لأن المهاجم قد يستخدمها لانتحال شخصيتك ومهاجمة صديق لك أو قد يستخدم المعلومات ليصيغ الهجوم عليك بشكل مقنع أكثر.
    • لا تشارك كلمة/كلمات السرّ خاصتك مع الآخرين
    • لا تشارك أسماع أو عناوين حساباتك مع غير المعنيين
    كي لا تقع ضحية للخداع أو الاحتيال:
    • لا تثق بأحد
    • أبق سوية الحذر عالية طول الوقت
    • تحقق من شخصية من يراسلك سواء عبر البريد الالكتروني Email، أو برامج المراسلة مثل Skype، أو عبر وسائل التواصل الاجتماعي مثل فيسبوك Facebook أو تويتر Twitter.
    • انظر بعين الشك إلى كل بريد الكتروني أو رسالة أو تعليق يصلك يحتوي على ملفات وروابط مرفقة. راجع الفقرة التالية: حذر الروابط والملفات المشبوهة.
    • عند الشك برسالة ما أو بجهة اتصال مشبوهة، لا تقم بفتح الملفات أو الروابط المرفقة في الرسالة. ثم قم بالاتصال بالقسم المسؤول في المؤسسة أو بخبير في أمن المعلومات من معارف أو قم بالاتصال بنا في مشروع سلامتك.عند شعورك أن جهازك أصيب أو أن حسابك تم اختراقه قم بإعلام الشخص المسؤول في المؤسسة، أو قم بإعلام أحد معارفك المختصين في أمن المعلومات أو قم بالاتصال بنا في مشروع سلامتك.
    • إذا شعرت أن حسابك قد تم اختراقه عليك اعلام مديرك والتأكد من وصول الموضوع لمدير قسم الـ IT في المؤسسة بأسرع وقت ممكن لتفادي المزيد من المشاكل أو الاتصال بخبير من معارف أو بنا في مشروع سلامتك.

    • ماذا أفعل عند الوقوع ضحية للهندسة الاجتماعية

      عادة يترافق الهجوم بأساليب الهندسة الاجتماعية بهجوم آخر ببرمجيات خبيثة مثلا. لذلك عندما يقع المستخدم ضحية للهندسة الاجتماعية عليه أن يقوم بخطوات تختلف تبعا لنوع الهجوم.
      لكن بشكل عام يمكن القيام بالخطوات التالية:
      • إعلام الشخص المسؤول عن الأمن الرقمي في المؤسسة أو الزميل المختص بموضوع الأمن الرقمي
      • تقييم الضرر والأشخاص المتأثرين
      • إزالة آثار الهجوم
      • إعلام الجهات (مؤسسات، زملاء، أصدقاء، معارف، أفراد عائلة) والتي من الممكن أن تكون قد تضررت أو تأثرت بسبب وضوع المستخدم ضحية للهجوم.
      • الكاتب /محمد شريف 
  1. التدوينة التالية
  2. التدوينة السابقة
    تعليقات الموقع
    تعليقات فيسبوك
جارى التحميل ...

تابعنا على فيسبوك