ما هي الهندسة الاجتماعية وما أنواعها وأساليبها واهدافها، فعندما يُطلب من المستخدمين التفكير في أمنهم وسلامتهم على الإنترنت، تتجه أفكارهم نحو الهواتف وأجهزة الكمبيوتر، وكيفية الحفاظ عليها بعيدًا عن المتسللين والبرمجيات الخبيثة، وطبعًا، يجب الحرص على الحفاظ على هذا التفكير وتقويته، لكنه لا يشكل سوى نصف القصة، جانب العنصر البشري هو الأهم والأكثر فاعلية، ومن خلاله سنتعرف على ماهية الهندسة الاجتماعية.

ما هي الهندسة الاجتماعية

ما يقرب من ثلث المشكلات والتحديات في السنوات الأخيرة كانت مرتبطة بمشكلات الهندسة الاجتماعية، وأبرزها التصيد الاحتيالي والاحتيال، مثل الخداع والمقايضة ورسائل البريد الإلكتروني. للحصول على معلومات حساسة تتعلق بهم، حيث تعتمد على التلاعب النفسي بالضحية، لإجبارها على إفشاء معلومات سرية، أو القيام بأعمال غير قانونية، وقد تحدث عن طريق إرسال طلبات صداقة من أشخاص مجهولين أو إرسال رسائل أو بريد إلكتروني، بحيث يستخدم الطرف المهاجم معلومات عن المستخدم المستهدف حصل عليها من وسائل التواصل الاجتماعي الخاصة به، وهي إحدى الطرق التي يستخدمها مجرمو الإنترنت في تنفيذ عمليات الاحتيال والاحتيال، وأشهر هذه الحوادث حدثت في عام 2023 م، من خلال السرقة. حوالي 2.3 مليون دولار من قبل مجرمي الإنترنت من مدرسة في تكساس.

ما هي الهندسة الاجتماعية وما أنواعها وأساليبها واهدافها

يمكن تقسيم الهندسة الاجتماعية إلى أربعة أنواع وفقًا للأساليب والتقنيات التي يستخدمها المهاجمون في هجومهم وخداعهم، ومنها/

مباشرة

في هذا النوع من الهندسة الاجتماعية، يذهب المهاجم إلى الضحية بنفسه، محاولًا الدخول إلى أماكن غير مصرح بها، مثل الادعاء بأنه يعمل لصالح شركة، ويريد إصلاح الخلل الموجود لديهم في نقطة حساسة، وبالتالي الحصول على المعلومات يريد بشرح طريقة خادعة ومباشرة.

يغش

يهدف هذا النوع من الهندسة الاجتماعية إلى الحصول على معلومات شخصية عن الضحية، من خلال وضعها في سيناريو محدد يبدو واقعيًا وقابل للتصديق، على سبيل المثال، انتحال شخصية فني كمبيوتر يحاول مساعدة الموظف على تحديث حسابه، من أجل الحصول على معلومات مختلفة من اسم مستخدم أو كلمة مرور حركة المرور أو تعديلها أو انتحال صفة فني كمبيوتر يحاول إصلاح الخلل وتثبيت برنامج ضار على الكمبيوتر بحيث يكون الغرض منه التجسس وسرقة المعلومات والبيانات وتشفيرها، ومن خلال هذا البرنامج الخبيث يمكن للمهاجم الحصول على موطئ قدم في كمبيوتر الضحية، والشبكة داخل المنظمة ككل.

التصيد

هذا النوع من الهندسة الاجتماعية له طريقتان، وهما التصيد الاحتيالي العام، وفي هذا النوع من التصيد الاحتيالي، يقوم المهاجم بإرسال عدد كبير من رسائل البريد الإلكتروني المزعجة والمخادعة، لجعل الضحية تقوم بتثبيت برنامج ضار مرفق بالبريد الإلكتروني، والنوع الثاني من التصيد الاحتيالي هو تصيد احتيالي، في هذا النوع يقوم المهاجم بإرسال رسائل بريد إلكتروني إلى أفراد يعملون في شركة معينة، مثل الهجوم على شركة جوجل التي قالت إنها تصيد مستهدف منذ البداية.

المذاق

يثير هذا النوع من الهندسة الاجتماعية الفضول لدى البشر، حيث يترك المهاجم الطُعم في مكان قريب من مكان الضحية الذي يريد الاستيلاء على معلوماته، مثل ترك قرص مضغوط، أو ذاكرة فلاش، بحيث يكون محتوى هذا الطُعم هو برنامج خبيث أو فيروس أو غيره، في مكان بارز قريب من الشخص أو المؤسسة أو الشركة المستهدفة.

طرق الهندسة الاجتماعية

هناك العديد من الطرق المختلفة للهندسة الاجتماعية، ومنها

  • التصيد الإلكتروني أسلوب من أساليب الهندسة الاجتماعية يعتمد على الحصول على المعلومات الشخصية للضحية عن طريق إرسال رسائل بريد إلكتروني أو مواقع إنترنت عبر انتحال شخصية طرف مهم أو شخص معروف للضحية أو غيره.
  • الإغراء شرح طريقة هندسية اجتماعية تعتمد على ترك الطُعم للضحية، مثل ترك محرك أقراص محمول أو قرص مضغوط به ملف يحتوي على عنوان الملفات المهمة فيه، ويحتوي على برامج تجسس، ومحاصرة الضحية.
  • المقايضة شرح طريقة هندسية اجتماعية تعتمد على انتحال المهاجم لصفة شخص لطلب معلومات من الضحية مقابل خدمة يؤديها له، مثل انتحال المهاجم صفة فني دعم أو شخص آخر، بحيث يدخل إلى النظام. بسهولة ودون الحاجة لاختراق الكتروني.
  • على خطى تعتمد إحدى طرق الهندسة الاجتماعية على التملص ودخول الأماكن غير المصرح بها، إما باتباع خطى الموظفين، أو انتحال صفة فني لإصلاح خلل في نقاط مهمة.
  • الادعاء تعتمد إحدى طرق الهندسة الاجتماعية على خلق الثقة بين المهاجم والضحية، وذلك بتقديم ادعاءات كاذبة أو انتحال شخصية شخص مهم، والحصول على المعلومات الشخصية بسهولة.

أهداف الهندسة الاجتماعية

الغرض الأساسي من الهندسة الاجتماعية هو الاحتيال، من خلال أجهزة القرصنة، أو الدخول إلى نظام غير مصرح به، أو التطفل على الشبكة أو التجسس على خط اتصال بغرض تعطيل نظام أو شبكة، أو من خلال التأثير على الآخرين، والتلاعب بهم لغرض دفعهم للكشف عن معلومات شخصية أو بيانات مهمة للخداع أو لغرض اختراق أجهزة الكمبيوتر الشخصية أو المهنية المستخدمة في أماكن العمل، باتباع أساليب الهندسة الاجتماعية، يمكن خداع العمال والمستهلكين للكشف عن بيانات اعتمادهم، ومن ثم الوصول إلى الشبكات و حسابات.

كيف تعمل الهندسة الاجتماعية

تعتمد معظم هجمات الهندسة الاجتماعية على التواصل المباشر بين المهاجم والضحية، ويتم ذلك من خلال الآلية

  • جمع المعلومات هذه هي المرحلة الأولى من عمليات الاحتيال في الهندسة الاجتماعية، حيث يتم جمع معلومات عن الضحية من موقع الشركة الإلكتروني، أو من خلال التواصل معهم، بحيث يتم بناء الثقة واستدراج الضحية.
  • خطة الهجوم في هذه المرحلة من الهندسة الاجتماعية، يحدد المهاجم شرح طريقة الهجوم، وكيف، والأدوات والوسائل التي يجب اتباعها، بحيث تكون وصفًا دقيقًا لعملية الاحتيال.
  • أدوات الاكتساب هذه هي البرامج التي يستخدمها المهاجم للاحتيال على الضحية.
  • الهجوم الهجوم هو معرفة نقاط ضعف الأفراد أو الشركات واستغلالها والتلاعب بها.
  • استخدام المعرفة المكتسبة من خلال استغلال المعلومات التي تم جمعها عن الضحية.

الحماية من الوقوع في فخ الهندسة الاجتماعية

يمكن حماية أجهزة الكمبيوتر أو الموظفين من الوقوع في فخ الهندسة الاجتماعية والاحتيال والتلاعب من قبل مجرمي الإنترنت بعدة خطوات على النحو التالي/

  • عدم مشاركة أي بيانات أو معلومات خاصة مع أي شخص.
  • وضع قوانين الحماية الأمنية للمنظمة بحيث تشرح المنظمة لموظفيها قوانين الحماية وكيفية اتباعها.
  • إقامة حماية أمنية لمبنى المنظمة، بحيث يمنع دخول غير العمال إليها.
  • إنشاء نظام أمني للمكالمات الهاتفية، ومنع المكالمات الخاصة، وحجب المكالمات الدولية، وعدم إظهار مدخل لخط الهاتف الخاص بالمنظمة، لمنع استخدامه من قبل أي شخص خارج المنظمة.
  • توعية العاملين داخل المؤسسة في مجال أمن المعلومات والانتهاكات التي قد تحدث.
  • تحديث البرامج وأنظمة التشغيل بشكل مستمر واستخدام برامج مكافحة الفيروسات وتحديثها باستمرار.
  • لا تنقر على الروابط أو المرفقات التي تصل مع رسائل البريد الإلكتروني العشوائية.
  • احرص على عدم إعطاء أي معلومات شخصية ما لم يكن استخدامها آمنًا.
  • المراقبة المستمرة لحركة الحساب المصرفي.
  • التواصل مع الشركات بشكل مباشر في حالة وجود طلبات مشبوهة.