ما الذي تعرفه عن الهندسة الاجتماعية؟

الهندسة الاجتماعية

ما هي الهندسة الاجتماعية

الهندسة الاجتماعية هي تقنية تلاعب تستغلّ الخطأ البشري للحصول على معلومات خاصة، أو الوصول، أو الأشياء الثمينة. في الجرائم الالكترونية؛ تميل حيل “القرصنة البشرية” إلى إغراء المستخدمين المطمئنين بكشف البيانات، ونشر إصابات بالبرامج الضارة، أو إتاحة الوصول إلى الأنظمة المحظورة. يمكن أن تحدث مثل هذه الهجمات عبر شبكات الإنترنت، أو شخصيًّا، أو عبر تفاعلات أخرى.

تتمحور عمليات الاحتيال القائمة على الهندسة الاجتماعية حول كيفيَّة تفكير الناس وتصرُّفهم. وعلى هذا النحو، تُعدُّ هجمات الهندسة الاجتماعية مفيدة بشكل خاص في التلاعب بسلوك المستخدم؛ فبمجرَّد أن يفهم المهاجِم ما الذي يحفِّز تصرُّفات المستخدم، يمكنه خداع المستخدم والتَّلاعب به بشكل فعَّال.

قد لا يدرك المستخدمون أيضًا القيمة الكاملة للبيانات الشخصية -مثل أرقام هواتفهم- ونتيجة لذلك؛ لا يعرف العديد من المستخدمين كيفيَّة حماية أنفسهم ومعلوماتهم بشكل أفضل.

يسعى مهاجمو الهندسة الاجتماعية بشكلٍ عام لتحقيق واحد من هدفين، هما:

  • التَّخريب: تعطيل أو إتلاف البيانات لإحداث ضرر أو إزعاج.
  • السَّرقة: الحصول على الأشياء الثمينة، مثل: المعلومات، أو إمكانيَّة الوصول للبيانات، أو المال.[1]

 

أنماط هجمات الهندسة الاجتماعية

لمنع هجوم الهندسة الاجتماعية، عليك أن تفهم كيف تبدو وكيف يمكن استهدافك. هذه هي الأنواع العشرة الأكثر شيوعًا لهجمات الهندسة الاجتماعية التي يجب أن تكون على دراية بها:

  • التَّصيُّد الاحتيالي

يُعدّ التصيد الاحتيالي النوع الأكثر شيوعًا لهجمات الهندسة الاجتماعية، وعادةً ما يستخدم عناوين البريد الالكتروني المخادعة والروابط الزائفة لخداع الأشخاص لتقديم بيانات اعتماد تسجيل الدخول، أو أرقام بطاقات الائتمان، أو معلومات شخصيَّة أخرى. تشمل أشكال هجمات التصيد الاحتيالي ما يلي:

  1. الصيَّاد الاحتيالي: استخدام حسابات خدمة العملاء المخادعة على وسائل التواصل الاجتماعي.
  2. التصيُّد بالرمح: هجمات التصيد التي تستهدف منظَّمات أو أفراد معيَّنين.

  • صيد الحيتان

يُعدّ نوعًا شائعًا آخر من عمليَّات التصيد الاحتيالي التي تستهدف على وجه التحديد مديري الأعمال رفيعي المستوى ورؤساء الوكالات الحكومية. عادةً ما تنتحل هجمات صيد الحيتان عناوين البريد الالكتروني لأشخاص آخرين رفيعي المستوى في الشركة أو الوكالة، وتحتوي على رسائل عاجلة حول حالة طوارئ مزيَّفة أو فرصة حسَّاسة للوقت. يمكن أن تكشف هجمات صيد الحيتان الناجحة الكثير من المعلومات السّرِّية والحسَّاسة بسبب الوصول عالي المستوى إلى الشبكة الذي يتمتَّع به هؤلاء الموظَّفون والمديرون التَّنفيذيُّون.

  • سرقة التَّحويل

يقنع اللِّص سائق التّوصيل أو السَّاعي بالسَّفر إلى الموقع الخطأ، أو تسليم طرد إلى شخص آخر غير المستلِم المقصود. في مخطَّط سرقة التحويل عبر الإنترنت، يسرق اللّصّ البيانات الحسَّاسة عن طريق خداع الضَّحيَّة لإرسالها إلى الشخص الخطأ أو مشاركتها معه. غالبًا ما يحقِّق اللص ذلك عن طريق انتحال عنوان البريد الالكتروني لشخص ما في شركة الضحيَّة، كشركة تدقيق أو مؤسَّسة ماليَّة.

  • الاستدراج

الاستدراج هو نوع من هجمات الهندسة الاجتماعية الذي يجذب الضحايا لتقديم معلومات أو أوراق اعتماد حسَّاسة من خلال الوعد بالحصول على شيء ذي قيمة مجانًا. على سبيل المثال، يتلقَّى الضحية بريدًا الكترونيًّا يعد ببطاقة هدايا مجانية إذا نقروا على رابط لإجراء استطلاع. قد يعيد الارتباط توجيههم إلى صفحة تسجيل دخول مخادعة إلى Office 365 تلتقط عنوان بريدهم الالكتروني وكلمة المرور، وترسلهم إلى برنامج ضارّ.

 

أنماط هجمات الهندسة الاجتماعية
أنماط هجمات الهندسة الاجتماعية

  • المصيدة

يتظاهر الجاني بأنَّه مهتم عاطفيًّا أو جنسيًّا بالضحية، ويجذبهم إلى علاقة عبر الإنترنت، ثم يقنع المهاجِم الضحية بالكشف عن معلومات سرية أو دفع مبالغ كبيرة من المال.

  • التَّحريف

يُعتبَر نوعًا معقَّدًا إلى حدٍّ ما من هجوم الهندسة الاجتماعية، حيث يخلق المحتال ذريعة أو سيناريو ملفَّقًا -على سبيل المثال،يتظاهر بأنَّه أحد مسؤولي مكتب خادمات الأموال الداخلية- لخداع شخص ما لتقديم معلومات شخصيَّة أو مالية حسَّاسة، مثل رقم الضمان الاجتماعي الخاص به. في هذا النوع من الهجوم، يمكن لأي شخص أيضًا الوصول فعليًّا إلى بياناتك من خلال التظاهر بأنه بائع، أو سائق توصيل، أو مقاول لكسب ثقة موظَّفيك.

  • التَّصيُّد الاحتيالي باستخدام الرسائل القصيرة

أصبح التصيد الاحتيالي عبر الرسائل القصيرة مشكلة أكبر بكثير؛ حيث تتبنَّى الكثير من المنظَّمات الرسائل النصية كطريقة أساسية للاتصال. في إحدى طرق التصيد الاحتيالي عبر الرسائل النصية القصيرة، يرسل المحتالون رسائل نصية تنتحل طلبات المصادقة متعدِّدة العوامل، وتعيد توجيه الضحايا إلى صفحات الويب الضارَّة التي تجمع بيانات اعتمادهم، أو تثبِّت برامج ضارَّة على هواتفهم.

  • برمجيات التَّخويف

برمجيات التخويف هي شكل من أشكال الهندسة الاجتماعية؛ إذ يقوم فيها المحتال بإدخال تعليمات برمجية ضارة في صفحة ويب، تؤدِّي إلى ظهور نوافذ منبثقة بألوان وامضة وأصوات تنذر بالخطر. تنبِّهك هذه النوافذ المنبثقة بشكل خاطئ إلى وجود فيروسات تمَّ تثبيتها على نظامك. سيُطلَب منك شراء وتنزيل برامج الأمان الخاصة بهم، ويسرق المحتالون معلومات بطاقتك الائتمانية، أو يثبِّتون فيروسات حقيقيَّة على نظامك.

  • التتبُّع والانتحال

يُعرَف هذا النوع أيضًا باسم “اصبع الدعم”، وهو أحد أساليب الهندسة الاجتماعية حيث يتبع المهاجم جسديًّا شخصًا ما في منطقة آمنة أو محظورة. في بعض الأحيان، يتظاهر المخادع بأنه نسي بطاقة الدخول الخاصة به، أو يشارك شخصًا ما في محادثة متحرِّكة في طريقه إلى المنطقة، لذلك لا يتم ملاحظة افتقاره إلى بطاقة التعريف المُصرَّح بها.

  • حفرة الرَّيّ

في هجوم حفرة الري يصيب أحد المتطفِّلين موقعًا شرعيًّا من المعروف أن أهدافه تزوره، بعد ذلك عندما يقوم الضحايا المختارون بتسجيل الدخول إلى الموقع، يقوم المخترق إمَّا بالتقاط بيانات اعتمادهم واستخدامها لاختراق شبكة الهدف، أو يقوم بتثبيت فيروس حصان طروادة خلفي للوصول إلى الشَّبكة.[2]

 

كيفيَّة منع هجوم الهندسة الاجتماعية

تمثِّل الهندسة الاجتماعية تهديدًا خطيرًا لأمن المؤسَّسات؛ لذلك يجب إعطاء الأولويَّة لمنع هذه الهجمات والتخفيف من حدَّتها كجزء أساسي من استراتيجيَّة الأمن السِّيبراني الخاصة بك. يتطلَّب منع هجوم الهندسة الاجتماعية اتِّباع نهج شامل للأمن يجمع بين أدوات الأمن التّكنولوجي، والتَّدريب الشامل للموظَّفين والمديرين التنفيذيين.

  • التَّدريب

يُعتبر التدريب هو خط الدِّفاع الأوَّل ضد هجوم الهندسة الاجتماعية. يجب أن يعرف كل فرد في المؤسَّسة كيفيَّة اكتشاف تكتيكات الهندسة الاجتماعية الأكثر شيوعًا، ويجب أن يفهموا المحفِّزات النَّفسية التي يستخدمها المحتالون للاستفادة من الناس. ويجب أن تُقام الدورة التدريبيَّة الشاملة في مجال الهندسة الاجتماعية، والتَّوعية الأمنيَّة بتعليم الموظفين ما يلي:

  • تحديد ما إذا كان قد تمَّ انتحال بريد الكتروني عن طريق تمرير مؤشِّر الماوس فوق اسم المرسل للتَّأكُّد من أنه يطابق عنوان البريد الالكتروني، والتحقُّق من عنوان البريد الالكتروني بحثًا عن الأخطاء الإملائيَّة وغيرها من الهدايا الشائعة.
  • الحذر من أي اتصال غير مرغوب فيه، خاصَّةً من شخص لا تعرفه.
  • تجنُّب تنزيل مرفقات البريد الالكتروني المشبوهة.
  • التمرير فوق الروابط الموجودة في رسائل البريد الالكتروني للتأكُّد من صحة عنوان محدِّد موقع الموارد الموحَّد (URL) الخاص بالموقع.
  • التحقُّق من هويَّة أي شخص من خلال طريقة اتصال بديلة -على سبيل المثال شخصيًّا أو عن طريق الاتصال به مباشرة- قبل تقديم أيّ معلومات حسَّاسة.
  • متابعة تدريب الوعي الأمني ​​باختبارات دوريَّة؛ إذ تسمح العديد من البرامج التدريبية بإدارة اختبارات التصيُّد المحاكاة التي يتم فيها إرسال رسائل التصيد الاحتيالي المزيَّفة إلى الموظَّفين لقياس عدد الأشخاص الذين يقعون في حبائل أساليب الهندسة الاجتماعية، ويمكن بعد ذلك إعادة تدريب هؤلاء الموظفين حسب الحاجة.
  • يُعدّ إنشاء ثقافة أمان إيجابية داخل المؤسَّسة أمرًا بالغ الأهمية لاحتواء هجوم الهندسة الاجتماعية الذي حدث بالفعل. يحتاج الموظَّفون إلى الشعور بالراحة عند الإبلاغ عن أنفسهم إذا اعتقدوا أنهم وقعوا ضحَّية لهجوم الهندسة الاجتماعية، وهو ما لن يفعلوه إذا كانوا قلقين بشأن مواجهة العقوبة أو الإذلال العلني. إذا تمَّ الإبلاغ عن هذه المشكلات بمجرَّد حدوثها، فيمكن تخفيف التهديد بسرعة قبل حدوث الكثير من الضرر.[3]

 

 

 

شارك المقال:
نورا الشويمي
نورا الشويمي
PhD at Healthy information technology ‎ Writer at Wikipedia Works at ‎ HerStory - قصتها ‎ member at UN Women Egypt Mini Mba Program at Human Resources Management Researcher at ehyaa oraganisation Mini Mba Program at Entrepreneurship diploma at Train Of Trainer Mini Mba Program at Social media in job hunting Speaker at Google Member of technical staff at IEEE Set up database programs hospitals, clinical, medical centers at Mansoura Former Lecturer in IT Dept. at Delta academy Former Master's degree, ( healthy information technology) at Sadat Academy for Management Sciences *Qualifications 2007 Bsc: computers science &information systems '' In Delta Acadmey '' Accumulative grade :good Name of project (use application database sherbien hospitals ) project grade :excellent 2008 B.M Computers&information systems 2015 M.s.c information technology Point of Research : Evaluating The Impact Of Adopting Information Technology In Enhancing Models Services at Medical Centers: Application In Gastrointestinal Center Mansoura University ''In Sadat Acadmey'' Courses and Technical *ICDL *MEMBER OF IEEE *Educational courses and technical • Certificate from UN woman Beijing+25 10/12/2019 • Certificate ethics responsibilities peer reviewers from researcher academy Elsevier 3/3/2019 • Certificate use Or CID from research academy Elsevier 11/2/2019 • Certificate from UN woman ,Canada, organization food program 10/12/2018 • Certificate from league Arab state ,UN woman 25/11/2018 • Certificate how to get your book publish from research academy 10/11/2018 • Certificate how to prepare manuscript from research academy 7/11/2018 • Certificate why write book from research academy 10/11/2018 • Certificate from UN woman ,Canada, organization food program 3/10/2018 • Certificate from UN woman 8/3/2018 • Certificate The Design Thinking from HP 23/8/2017 • Certificate from UN woman 22/3/2017 • certificate motivation and communication skills from Canadian International Academy 11/2015 • Certificate Effective leadership from hp 9/4/2016 • Certificate Contact management from hp 10/4/2016 • .Certificate data view from hp 11/5/2016 • certificate information technology to success Business from hp 2/11/2015 • Certificate Diploma Training of the train 2015 • Conference ''Research Skills '' in dakahlia Engineers Syndicate 1:4/2/2015 • Certificate mini MBA program in Entrepreneurship :small businesses vs. entrepreneurial businesses 28_4_2014 • Certificate leadership Cambridge university 2013 • certificate speaker from Google 15-11-2012 • certificate simulate yown thought 15-12-2012 • Certificate has participated social entrepreneur ship workshop by gol team from IEEE 2012 • Spss:31-7-2011 in mansoura university • CCNA 20-9-2010-2-10-2010 inscc mansoura university • Report Builder 22-10-2009to3-11-2009 inscc mansoura university • Forms Builder 15-9-2009 to8-10-2009in scc mansoura university • Pl/sql 13-8-2009 to 5-9-2009 in scc mansoura university • Sql 14-7-2009 to 5-8-2009 in scc mansoura university • General English course ,level 11 20-8-2007in amideast • Worldwide conference 20-12-2005 in delta academy • Basic internet services 30-3-2005 in America university in Cairo • Conversation English 24-3-2005 in America university in Cairo • Pc service 4-9-2004 to 19-10-2004 in scc mansoura university persenal skills: • Exllent knowloded of computer work • working with team work • work under sterss • Excllent internet service • teaching all computerSciences subjects Inerests and Hobbies: • reading poetry • running • volunteer sonaa amal sherbien (teach English,computer ) • volnteer lifemakers sherbien (Admin page,mange of media,manger) 12-11-2012:12-1-2014 Language Skills: Arabic: Mother touge English: verygood French :verygood
المزيد من مقالاتي ..

«الباحثون المصريون» هي مبادرة علمية تطوعية تم تدشينها في 4/8/2014، بهدف إثراء المحتوى العلمي العربي، وتسهيل نقل المواد والأخبار العلمية للمهتمين بها من المصريين والعرب، 

تواصل معنا

Facebook Twitter Instagram
جميع الحقوق محفوظة للباحثون المصريون 2021

تواصل معنا

«الباحثون المصريون» هي مبادرة علمية تطوعية تم تدشينها في 4/8/2014، بهدف إثراء المحتوى العلمي العربي، وتسهيل نقل المواد والأخبار العلمية للمهتمين بها من المصريين والعرب،

تابعنا على منصات التواصل الإجتماعي
Facebook Instagram