ما هي الهندسة الاجتماعية سوف نتحدث كذلك عن ما هي أساليب الهندسة الاجتماعية؟ وما المثال الدال على الهندسة الاجتماعية؟ ولماذا تنجح الهندسة الاجتماعية؟ كل تلك الموضوعات تجدونها من خلال مقالنا هذا.
محتويات المقال
ما هي الهندسة الاجتماعية
يُمكن تعريف الهندسة الاجتماعية على أنها التلاعب بالبشر وخداعهم بهدف الحصول على بيانات أو معلومات أو أموال كانت ستظل خاصة وآمنة ولا يُمكن الوصول إليها.
ومن هنا يستخدم المخترق المتحايل “المهندس الاجتماعي” مهاراته لاستهداف نقاط الضعف البشرية في محاولة للتحايل على الضوابط والإجراءات التي من شأنها أن تمنعه من الحصول على المعلومات التي يحتاجها.
ففي عصر المعلومات يمكن أن يكون لأي معلومة قيمة، الشخص الذي يستهدفك أيضاً له دوافع معينة وبالتالي لا يُمكن الاستهتار بأي معلومة تخسرها.
وبالطبع فإن المخترقين الذين يعتمدون على الهندسة الاجتماعية يركزون بصورة أساسية على الخدمات المالية مثل الحسابات البنكية على الإنترنت أو أي معلومات تساعدهم في الحصول على أموال.
ما هي أساليب الهندسة الاجتماعية؟
1-إرسال رسائل عشوائية إلى جهات الاتصال واختراق البريد الإلكتروني
ينطوي هذا النوع من الهجمات على اختراق البريد الإلكتروني للفرد أو حساباته على مواقع التواصل الاجتماعي لاكتساب صلاحية الوصول إلى جهات الاتصال.
قد يتم إخبار جهات الاتصال بأن الشخص قد تعرض للسرقة وفقد جميع بطاقاته الائتمانية ثم يطلب تحويل الأموال إلى أحد حسابات تحويل الأموال، أو قد يرسل “صديق” مقطع فيديو “لا تفوّت مشاهدته” والذي يرتبط بالبرنامج الضار أو بفيروس حصان طروادة يسجل ضغطات لوحة المفاتيح.
2-الزراعة مقابل الصيد
وأخيرًا، انتبه إلى أن بعض هجمات الهندسة الاجتماعية تكون أكثر تطورًا. معظم الطرق البسيطة التي وصفناها أعلاه مجرد شكل من أشكال “الصيد” حيث تعتمد في الأساس على الدخول وحصد المعلومات والخروج.
لكن هناك بعض أنواع هجمات الهندسة الاجتماعية التي تتضمن تكوين علاقة مع الهدف لاستخراج مزيد من المعلومات على مدار فترة زمنية أطول.
يُعرف هذا باسم “الزراعة” وهو أكثر خطورة بالنسبة للمهاجم حيث تكون احتمالية اكتشافه أكبر، ولكن إذا نجح تسلله، فيمكنه الحصول على معلومات أكثر.
3-التصيّد الاحتيالي
تتضمن هجمات التصيّد الاحتيالي رسالة بريد إلكتروني أو رسالة نصية تتظاهر بأنها قادمة من مصدر موثوق به، لنكها تطلب معلومات غير ضرورية.
أحد الأنواع المعروفة يتمثل في رسالة البريد الإلكتروني التي تزعم أنها من بنك يريد من عملائه “تأكيد” معلومات الأمان الخاصة بهم ومن ثم توجيههم إلى موقع مزيف يتم فيه تسجيل بيانات اعتماد تسجيل دخولهم.
يستهدف “التصيّد الاحتيالي الموجه” شخصًا واحدًا داخل الشركة ويرسل بريدًا إلكترونيًا يزعم أنه يأتي من مسؤول تنفيذي رفيع المستوى في الشركة يطلب معلومات سرية.
4-الاصطياد
الاصطياد يتضمن صنع فخ، مثل وحدة تخزين USB محملة ببرامج ضارة حتى يأتي شخص فضولي يرغب في رؤية محتويات وحدة التخزين ويضعه في محرك أقراص USB، مما يؤدي إلى اختراق النظام.
في الواقع، توجد وحدة تخزين USB يمكنها إتلاف أجهزة الكمبيوتر من خلال شحن نفسها بالطاقة من محرك أقراص USB ثم إطلاقها في موجة طاقة شرسة، مما يؤدي إلى إتلاف الجهاز الذي تم إدخالها فيه (يبلغ ثمن وحدة تخزين USB هذه 54 دولارًا فقط، أي ما يعادل 200 ريال سعودي أو 850 جنيه مصري تقريبًا).
5-الذريعة
يستخدم هذا الهجوم ذريعة لجذب الانتباه ودفع الضحية إلى تقديم المعلومات.
على سبيل المثال: قد تبدأ دراسة استقصائية على الإنترنت تبدو بريئة تمامًا ثم تطلب تفاصيل الحساب المصرفي، أو قد يظهر شخص معه حافظة ويقول إنه يقوم بمراجعة الأنظمة الداخلية، إلا أنه قد لا يكون صادقًا وهدفه الوحيد سرقة معلومات قيّمة منك.
6-التصيّد الاحتيالي الصوتي وعبر الرسائل النصية
تُعد هذه الأنواع من هجمات الهندسة الاجتماعية أنواعًا مختلفة من التصيّد الاحتيالي: “التصيّد الاحتيالي الصوتي” وهو ما يعني ببساطة الاتصال وطلب البيانات. يمكن للمجرم في هذا النوع انتحال صفة عامل زميل لك.
على سبيل المثال: يمكن للمحتال التظاهر بأنه من مكتب مساعدة قسم تكنولوجيا المعلومات وطلب معلومات تسجيل الدخول. والتصيّد الاحتيالي عبر الرسائل النصية يستخدم رسائل نصية قصيرة بدلًا من ذلك لمحاولة الحصول على هذه المعلومات.
7-المقايضة
يقولون “التبادل العادل ليس سرقة” ولكنه في هذه الحالة سرقة! تعتمد العديد من هجمات الهندسة الاجتماعية على إقناع الضحايا بأنهم يحصلون على شيء مقابل البيانات أو صلاحية الوصول التي يقدمونها. يعمل برنامج “Scareware” مثلًا بهذه الطريقة، حيث إنه يعد مستخدمي الكمبيوتر بتحديث للتعامل مع مشكلة أمنية عاجلة في حين أن برنامج Scareware في الواقع نفسه هو التهديد الأمني الضار.
ما المثال الدال على الهندسة الاجتماعية؟
الهندسة الاجتماعية المعاكسة وهي تستخدم الهاتف غالباً. والوضع هنا أخطر، إذ يدعي المهاجم بأنه شخص ذو منصب وصلاحية في المؤسسة نفسها، مما يجعل الموظف الأصغر مرتبة يرتبك ويخبره بما يريد.
وإذا نجح الأمر وسارت الأمور كما خُطط لها، فقد يحصل المهاجم على فرصة أكبر للحصول على معلومات ذات قيمة كبيرة من الضحية.
لماذا تنجح الهندسة الاجتماعية؟
تُعتبر الهندسة الاجتماعية الطريقة الأسرع والأقوى لكسب معلومات ذات قيمة كبيرة عن الأشخاص بشكل عام، حيث يقوم المُهاجم باستخدام المعلومات القليلة التي يملكها ليكسب ثقة ضحيته، و بواسطة هذه الثقة ينتهي الأمر بالضحية أن يقدم للمُهاجم معلومات حساسة يستطيع من خلالها اكتشاف خصائص النظام.