الهندسة الاجتماعية| Social engineering

الهندسة الاجتماعية (Social engineering): يتم استخدام الهندسة الاجتماعية لعدد كبير من الأعمال الخبيثة، حيث أنها تُنجز من خلال التفاعلات البشرية، فيتم استعمال هذا الأسلوب لخداع مستعمليه ليقعوا في أخطاء أمنية أو الكشف عن معلومات سرية، كما أن هجمات الهندسة الاجتماعية تحدث بحركة واحدة أو أكثر، حيث يقوم الفاعل في البداية بمعرفة الشخص حتى يعمل على تجميع المعلومات الأساسية الضرورية، كمعرفة أي ضعف لديه وأي بروتوكول أمان ضعيف، التي تلزم للشروع في الهجوم بعد ذلك، يتحرك الفاعل لكسب ثقة الضحية وتوفير أي محفز للتحركات اللاحقة التي تكسر أي خطوة أمان يتخذها الشخص الضحية، مثل الكشف عن معلومات حساسة أو منح الوصول إلى الموارد الهامة.

ان أكثر خمسة أسباب جعلت من الهندسة الاجتماعية قوية جداً وأحد أهم خطوات الهجوم السيبراني هي:

1. يحب الناس أن يكونوا متعاونين.

2. الناس لا يحبون المواجهة.

3. الناس لا يحبون الإزعاج.

4. يشعر الناس بالملل/ يتشتت انتباههم بسهولة.

5. يحب الناس شيئًا مقابل لا شيء.

يمكن لعدد كبير أن يستخدموا الهندسة الاجتماعية ومنهم ما يلي:

1. القراصنة.

2. أجهزة اختبار الاختراق.

3. الجواسيس.

4. لصوص الهوية.

5. الموظفين الساخطين.

6. وسطاء المعلومات.

7. المجندون التنفيذيون.

8. أفراد المبيعات.

9. الحكومات.

10. الجميع.

تتكون مراحل هجوم الهندسة الاجتماعية من أربعة مراحل هي:

1) الاكتشاف والتحقيق: يبدأ المحتالون بتحديد الأهداف التي يبحثون عنها، ويتضمن هذا عادةً بيانات الاعتماد والبيانات العامة والوصول غير المصرح به والمال والمعلومات السرية وما إلى ذلك، وثم يقومون بتحديد نطاق الضحايا المحتملين عبر الإنترنت، وعلى سبيل المثال سوف ينظرون إلى بصمتك على الإنترنت، يرون مكان عملك، يلاحظون ما تشاركه على وسائل التواصل الاجتماعي، وما إلى ذلك، وبمجرد أن يعرفوا من أنت، يستخدم المتسللون هذه المعلومات لصياغة هجوم شخصي مثالي، ولأن المهاجم يعرف الكثير عنك، فمن المرجح أن تخفض من حذرك.

2) الخداع: عندما يتعلم المحتالون المزيد عن ضحاياهم، سيبحثون عن نقاط الدخول المحتملة والأكثر فعالية، ويمكن أن يشمل ذلك عنوان بريدك الإلكتروني ورقم هاتفك وحسابك على وسائل التواصل الاجتماعي - أي وسيلة يمكنهم من خلالها الاتصال وفتح الباب للهجوم، بعد ذلك يتواصلون معك لإثارة اهتمامك، على سبيل المثال لنفترض أنك حصلت للتو على مسمى وظيفي جديد ونشرته على (LinkedIn)، ويمكن للمخادع أن ينتحل بسهولة رسالة بريد إلكتروني من موقع إلكتروني معروف جيدًا ويطلب منك مقابلة، ويبدو غير ضار وطبيعي، فلماذا لا ترد؟

3) الهجوم: عندما يستدرجك المُخادع، ينفذ المحتال واحدًا من عدة أنواع من هجمات الهندسة الاجتماعية، وعلى سبيل المثال، بعد النقر فوق الرابط لإعداد مقابلة عبر الإنترنت، يقوم المخادع سراً بتثبيت برامج ضارة على جهازك، الشيء التالي الذي تعرفه، هو أن شبكتك بأكملها مصابة، وقد قام المحتال بسرقة غيغابايت من البيانات الحساسة، ويمكن لأخطاء الأمن السيبراني الصغيرة مثل هذه أن تكلف الشركات مبالغ ضخمة من المال، ويبلغ متوسط تكلفة اختراق بيانات الشركات 3.86 مليون دولار.

4) التراجع: بمجرد أن يكمل المجرمون مهمتهم، سوف يختفون بأقل قدر ممكن من الأدلة، متوسط الوقت التقريبي اللازم لاكتشاف هجوم إلكتروني أو خرق للبيانات يصل الى 200 يوم، لذلك لن تعرف حتى ما حدث إلا بعد اختفائهم لفترة طويلة.

1) هجمات التصيد (Phishing attacks): يعتبر التصيد الاحتيالي هو النوع الأكثر انتشاراً من أساليب الهندسة الاجتماعية وقد زاد بأكثر من عشرة أضعاف في السنوات الثلاث الماضية، وتحدث هجمات التصيد الاحتيالي عندما يستخدم المحتالون أي شكل من أشكال الاتصال (عادةً رسائل البريد الإلكتروني) "للبحث عن المعلومات"، حيث تبدو هذه الرسائل متطابقة مع تلك الواردة من مصادر موثوقة مثل المؤسسات والأشخاص الذين تعرفهم.

1) احصل على النقر فوق الرابط،  على الأغلب تتضمن رسائل التصيد الاحتيالي من خلال البريد الإلكتروني روابط تقوم بتثبيت برامج ضارة على أجهزتك.

2) احصل على تنزيل مرفق، سيخفي المحتالون أيضًا البرامج الضارة والفيروسات كمرفقات شرعية. على سبيل المثال، سيرسل المتسللون بريدًا إلكترونيًا يزعمون أنه من شركة محاماة مع مرفق "إشعار من المحكمة بالمثول"، ولكن عند تنزيله يصبح جهازك مصابًا.

3) احصل على إدخال بيانات الاعتماد الخاصة بك على موقع ويب، وفي كثير من الأحيان سيحاول المتسللون إقناعك بالذهاب إلى موقع ويب ذي مظهر شرعي وإدخال بيانات الاعتماد، وعلى سبيل المثال سيرسلون إليك بريدًا إلكترونيًا يفيد بأن حسابًا على الإنترنت قد تم اختراقه وأن يغيروا كلمة مرورك. لكن أي شيء تقوم بإدخاله - اسم المستخدم وكلمة المرور وما إلى ذلك - يذهب إليهم مباشرة.

2) التصيد بالرمح (Spear phishing): هجمات التصيد العادية ليس لها هدف محدد، لكن هجمات التصيد بالرمح تحدث عندما يستهدف المتسللون فردًا أو مؤسسة معينة، ويعتقد ما يقرب من 60٪ من صانعي القرار في مجال تكنولوجيا المعلومات أن هجمات التصيد المستهدفة هي أكبر تهديد أمني لهم، وخلال عام 2015، أكمل المتسللون عملية سرقة بقيمة مليار دولار شملت 40 دولة باستخدام التصيد الاحتيالي.

أرسل المحتالون رسائل بريد إلكتروني تصدية لموظفي البنك تحتوي على مرفق لنشر برنامج (Carbanak) الضار، بمجرد النقر يمكن للقراصنة التحكم في محطات عمل الموظفين وتمكنوا من إصابة خوادم أجهزة الصراف الآلي عن بُعد، ويُطلق على طريقة جديدة للتصيد بالرمح اسم التصيد باستخدام الصياد، ويحدث هذا عندما ينتحل المحتالون صفة حسابات خدمة العملاء على وسائل التواصل الاجتماعي بهدف جعلك ترسل لهم معلومات تسجيل الدخول الخاصة بك.

3) صيد الحيتان  (Whaling): يستخدم هذا المعنى لصيد الحيتان لوصف هجمات التصيد الاحتيالي التي تحدد شخصًا معينًا رفيع المستوى.