إذا كنت موظف في أمن المعلومات أو مستخدم عادي أو زبون أو صاحب موقع إنترنت أو متصفح إنترنت أو حتى مشترك في موقع ...الخ فهناك معلومات أمنية مهمة جداً ينبغي عليك معرفتها والحذر منها لأنها وسيلة هجوم سيبراني وخطير يمكن أن تؤدي إلى نتائج كارثية؛ كأن يتمكن المخترق من الوصول لمعلومات حساسة واستغلالها أو إتلافها مما قد يتسبب في حدوث خسارة على جميع المستويات، سواء كنت شخص أو شركة.
الهندسة الاجتماعية هي وسيلة هجوم تعتمد بشكل كبير على التفاعل البشري وغالبًا ما تتضمن التلاعب بالأشخاص لكسر إجراءات الأمان العادية وأفضل الممارسات، للحصول على وصول غير مصرح به إلى الأنظمة أو الشبكات أو المواقع المادية والحيوية أو لتحقيق مكاسب مالية.
على سبيل المثال كثير من الشركات الكبيرة لديها نظام أمني عالي وهي تعتمد على كثير من الحلول الأمنية المختلفة والمركبة في كل أجزاء شبكة الكمبيوتر وأجهزة السيرفرات وأجهزة البيانات وكذلك لديهم جميع أجهزة المراقبة الأمنية وبالتالي فان المهاجمون والمخترقون سوف يواجهون مشكلة أو صعوبة في التعامل مع هذه الأجهزة الأمنية وأيضا سوف يخسرون وقت طويل قد يصل لشهور كثيرة لكي يتم اختراق جزئي للشبكة المستهدفة.
لذلك فهم يستخدمون وسائل شتى للتعامل مع هذه المعضلة وبإمكانهم تخطي معظم خطوط الدفاع الأمنية وذلك بعدة طرق أهمها الهندسة الاجتماعية (Social Engineering) والتي تعتمد على أضعف عنصر في الشركة المستهدفة وهي المستخدم أو الموظف (User) حيث يتم خداعه والاختراق بواسطته وبالتالي المخترقون والمهاجمون سوف يكون بإمكانهم الاختراق بشكل سريع.
يستخدم الفاعلون المهددون تقنيات الهندسة الاجتماعية لإخفاء هوياتهم ودوافعهم الحقيقية، وتقديم أنفسهم كأفراد موثوق بهم أو مصادر معلومات – الهدف هو التأثير على المستخدمين أو التلاعب بهم أو خداعهم لإصدار معلومات حساسة أو الوصول داخل المؤسسة.
تعتمد العديد من مآثر الهندسة الاجتماعية على استعداد الناس للمساعدة أو الخوف من العقاب على سبيل المثال، قد يتظاهر المهاجم بأنه زميل في العمل لديه نوع من المشكلات الملحة التي تتطلب الوصول إلى موارد إضافية للشبكة.
الهندسة الاجتماعية هي تكتيك شائع بين المهاجمين لأنه غالبًا ما يكون استغلال الأشخاص أسهل من اكتشاف ثغرة أمنية في الشبكة أو البرامج. غالبًا ما يستخدم المتسللون تكتيكات الهندسة الاجتماعية كخطوة أولى في حملة أكبر للتسلل إلى نظام أو شبكة وسرقة البيانات الحساسة أو توزيع ونشر البرامج الضارة في الشبكة داخل المؤسسة.
نواقل الهجوم الشائعة (common attack vectors)
الهندسة الاجتماعية هي ناقل هجوم يعتمد إلى حد كبير على التفاعل البشري.
كيف تعمل الهندسة الاجتماعية؟
- يستخدم المهندسون الاجتماعيون مجموعة متنوعة من التكتيكات لتنفيذ الهجمات.
- تتمثل الخطوة الأولى في معظم هجمات الهندسة الاجتماعية في قيام المهاجم بالبحث والاستطلاع (Search and reconnaissance) على الهدف، إذا كان الهدف عبارة عن مؤسسة على سبيل المثال، فقد يقوم المتسلل بجمع معلومات استخبارية عن الهيكل التنظيمي والعمليات الداخلية واللغة الشائعة المستخدمة في الصناعة وشركاء الأعمال المحتملين من بين معلومات أخرى.
- أحد التكتيكات الشائعة للمهندسين الاجتماعيين هو التركيز على سلوكيات وأنماط الموظفين الذين لديهم مستوى منخفض ولكن لوصول أولي، مثل حارس الأمن أو موظف الاستقبال، يمكن للمهاجمين فحص ملفات تعريف الوسائط الاجتماعية بحثًا عن معلومات شخصية ودراسة سلوكهم عبر الإنترنت وبشكل شخصي.
- من هناك يمكن للمهندس الاجتماعي تصميم هجوماً بناءً على المعلومات التي تم جمعها واستغلال الضعف الذي تم اكتشافه خلال مرحلة الاستطلاع.
- في حالة نجاح الهجوم يتمكن المهاجم من الوصول إلى المعلومات السرية مثل أرقام الضمان الاجتماعي وبطاقة الائتمان أو معلومات الحساب المصرفي، وبالتالي يكسب المال من الأهداف أو يكتسب الوصول إلى الأنظمة أو الشبكات المحمية.
أنواع هجمات الهندسة الاجتماعية
تشمل الأنواع الشائعة لهجمات الهندسة الاجتماعية التقنيات التالية:
الإصطياد بالطعم (Baiting)
يترك المهاجم جهازًا ماديًا مصابًا ببرامج ضارة، مثل محرك أقراص فلاش Universal Serial Bus، في مكان من المؤكد أنه موجود ثم يلتقط الشخص المستهدف الجهاز ويدخله في جهاز الكمبيوتر الخاص به، ويقوم عن غير قصد بتثبيت البرامج الضارة.
التصيد (Phishing)
عندما يرسل طرف ضار بريدًا إلكترونيًا احتياليًا متخفيًا كبريد إلكتروني شرعي، وغالبًا ما يزعم أنه من مصدر موثوق. تهدف الرسالة إلى خداع المستلم لمشاركة معلومات مالية أو شخصية أو النقر فوق ارتباط يقوم بتثبيت برامج ضارة.
التصيد بالرمح (Spear Phishing)
هذا مثل التصيد الاحتيالي، لكن الهجوم مصمم لفرد أو منظمة معينة.
التصيد بالتلفون (Vishing)
يُعرف التصيد بالتلفون أيضًا باسم التصيد الصوتي، ويتضمن استخدام الهندسة الاجتماعية عبر الهاتف لجمع المعلومات المالية أو الشخصية من الهدف.
صيد الحيتان (Whaling)
نوع معين من هجمات التصيد، هجوم صيد الحيتان يستهدف الموظفين البارزين، مثل المدير المالي أو الرئيس التنفيذي، لخداع الموظف المستهدف للكشف عن معلومات حساسة.
ذريعة (Pretexting)
يكذب أحد الأطراف على الآخر للوصول إلى البيانات المميزة. على سبيل المثال، قد تتضمن عملية احتيال الذريعة مهاجمًا يتظاهر بالحاجة إلى بيانات مالية أو شخصية لتأكيد هوية المستلم.
سكاروار أو التخويف (Scareware)
يتضمن هذا خداع الضحية للاعتقاد بأن جهاز الكمبيوتر الخاص به مصاب ببرامج ضارة أو قام بتنزيل محتوى غير قانوني بدون قصد ثم يعرض المهاجم على الضحية حلاً من شأنه إصلاح المشكلة الوهمية، في الواقع يتم خداع الضحية ببساطة لتنزيل البرامج الضارة للمهاجم وتثبيتها.
فتحة سقي أو الري (Watering hole)
يحاول المهاجم اختراق مجموعة معينة من الأشخاص عن طريق إصابة مواقع الويب التي من المعروف أنهم يزورونها ويثقون بها بهدف الوصول إلى الشبكة.
سرقة التحويل (Diversion theft)
في هذا النوع من الهجوم، يخدع المهندسون الاجتماعيون شركة التوصيل أو البريد السريع للذهاب إلى موقع الاستلام أو التسليم الخاطئ، وبالتالي يعترضون المعاملة.
المقايضة (Quid pro quo)
هذا هجوم يتظاهر فيه المهندس الاجتماعي بتقديم شيء ما مقابل معلومات أو مساعدة الهدف على سبيل المثال، يتصل أحد المتطفلين بمجموعة مختارة من الأرقام العشوائية داخل منظمة ويتظاهر بأنه أخصائي دعم فني يستجيب للتذكرة، في النهاية سيجد المخترق شخصًا لديه مشكلة تقنية مشروعة سيتظاهر بعد ذلك بمساعدته من خلال هذا التفاعل، يمكن للمتسلل الحصول على نوع الهدف في أوامر تشغيل البرامج الضارة أو يمكنه جمع معلومات كلمة المرور.
فخ العسل (Honey trap)
في هذا الهجوم، يتظاهر المهندس الاجتماعي بأنه شخص جذاب للتفاعل مع شخص عبر الإنترنت، وتزييف علاقة عبر الإنترنت، وجمع معلومات حساسة من خلال تلك العلاقة.
ذيل (Tailgating)
يُطلق عليه أحيانًا اسم " التحميل على الظهر''، وهو ما يحدث عندما يدخل أحد المتطفلين إلى مبنى آمن من خلال متابعة شخص لديه بطاقة دخول مصرح بها، يفترض هذا الهجوم أن الشخص الذي لديه حق الوصول المشروع إلى المبنى مهذب بما يكفي لإبقاء الباب مفتوحًا للشخص الذي يقف خلفه، على افتراض أنه مسموح له بالتواجد هناك.
برنامج أمان خادع (Rogue security software)
برنامج الأمان هو شكل من أشكال البرامج الضارة والاحتيال عبر الإنترنت الذي يضلل المستخدمين للاعتقاد بوجود فيروس على أجهزة الكمبيوتر الخاصة بهم ويهدف إلى إقناعهم بالدفع مقابل أداة إزالة البرامج الضارة المزيفة التي تقوم بالفعل بتثبيت برامج ضارة على أجهزة الكمبيوتر الخاصة بهم.
فارمينغ - الخداع والتزييف (Pharming)
مع هذا النوع من الاحتيال عبر الإنترنت، يقوم المجرم الإلكتروني بتثبيت تعليمات برمجية ضارة على جهاز كمبيوتر أو خادم يوجه المستخدم تلقائيًا إلى موقع ويب مزيف، حيث قد يتم خداع المستخدم لتقديم معلومات شخصية.
هجوم الغطس داخل القمامة (Dumpster diving)
هذا هجوم هندسة اجتماعية حيث يبحث شخص ما في سلات مهملات الشركة للعثور على معلومات، مثل كلمات المرور أو رموز الوصول المكتوبة على الملاحظات اللاصقة أو قصاصات الورق التي رماها الموظف ولم يتلفها، والتي يمكن استخدامها للتسلل إلى شبكة المؤسسة.
أمثلة على هجمات الهندسة الاجتماعية
حصان طروادة
ولعل أشهر مثال على هجوم الهندسة الاجتماعية يأتي من حرب طروادة الأسطورية حيث تمكن اليونانيون من التسلل إلى مدينة طروادة والفوز بالحرب من خلال الاختباء داخل حصان خشبي عملاق تم تقديمه لجيش طروادة كرمز عن السلام.
قصة فرانك أبيغنيل وكتاب Catch Me If You Can
في الأزمنة الحديثة، يعتبر السيد فرانك أبيغنيل أحد أبرز الخبراء في تقنيات الهندسة الاجتماعية. في الستينيات، استخدم تكتيكات مختلفة لانتحال شخصية ثمانية أشخاص على الأقل، بما في ذلك طيار طيران وطبيب ومحام. كان السيد أبيغنيل أيضًا مزورًا للشيكات خلال هذا الوقت.
بعد سجنه، أصبح مستشارًا أمنيًا لمكتب التحقيقات الفيدرالي وبدأ عمله الاستشاري الخاص بالاحتيال المالي. اشتهرت تجاربه كرجل شاب في كتابه الأكثر مبيعًا (Catch Me If You Can) والفيلم المقتبس من المخرج الحائز على جائزة الأوسكار ستيفن سبيلبرغ.
قصة كيفن ميتنيك
أقنع كيفن ميتنيك، الذي كان يُعرف سابقًا باسم "أكثر المتسللين المطلوبين في العالم"، أحد العاملين في شركة موتورلا بإعطائه شفرة المصدر لـ (MicroTAC Ultra Lite)، هاتف الشركة الجديد القابل للطي. كان ذلك عام 1992، وكان ميتنيك، الذي كان هاربا من الشرطة، يعيش في دنفر تحت اسم مستعار.
في ذلك الوقت، كان قلقًا بشأن تعقبه من قبل الحكومة الفيدرالية لإخفاء موقعه عن السلطات، استخدم ميتنيك كود المصدر لاختراق (Motorola MicroTAC Ultra Lite) ثم سعى لتغيير بيانات تعريف الهاتف أو إيقاف قدرة أبراج الهواتف المحمولة على الاتصال بالهاتف.
للحصول على الكود المصدري للجهاز، اتصل ميتنيك بشركة موتورلا وتم توصيله بالقسم الذي يعمل عليها ثم أقنع أحد موظفي موتورلا بأنه زميل وأقنع ذلك العامل بإرسال كود المصدر إليه. تم القبض على ميتنيك في النهاية وقضى خمس سنوات بتهمة القرصنة، اليوم هو مليونير ومؤلف عدد من الكتب عن القرصنة والأمن كمتحدث مرغوب فيه، يدير ميتنيك أيضًا شركة ميتنيك الأمنية للأمن السيبراني.
اختراق شركة الأمن RSA عام 2011
من الأمثلة الأكثر حداثة على هجوم هندسة اجتماعية ناجح هو خرق بيانات شركة الأمن RSA في عام 2011، حيث أرسل أحد المهاجمين رسالتين مختلفتين من رسائل التصيد الاحتيالي على مدار يومين إلى مجموعات صغيرة من موظفي RSA تحتوي رسائل البريد الإلكتروني على سطر الموضوع "خطة التوظيف لعام 2011" وتحتوي على ملف Excel مرفق احتوى جدول البيانات على رمز خبيث، بمجرد فتح الملف، قام بتثبيت باب خلفي من خلال ثغرة في Adobe Flash على الرغم من أنه لم يتم توضيح ما هي المعلومات المسروقة بالضبط، إن وجدت، فقد تم اختراق نظام المصادقة الثنائية (2FA) التابع لشركة RSA، وأنفقت الشركة حوالي 66 مليون دولار للتعافي من الهجوم.
الوصول إلى حساب أسوشيتد برس على تويتر
في عام 2013، تمكن الجيش السوري الإلكتروني من الوصول إلى حساب أسوشيتد برس على تويتر من خلال تضمين رابط ضار في رسالة بريد إلكتروني تصيدية حيث تم إرسال البريد الإلكتروني إلى موظفي وكالة أسوشييتد برس تحت ستار كونه من زميل موظف.
ثم قام المتسللون بتغريد قصة إخبارية مزيفة من حساب وكالة أسوشييتد برس قالت أن هناك انفجارين في البيت الأبيض وأصيب الرئيس آنذاك باراك أوباما وقد أدى هذا إلى رد فعل كبير حيث انخفض مؤشر داو جونز الصناعي بمقدار 150 نقطة في أقل من 5 دقائق.
اختراق أنظمة نقاط البيع في Target
في عام 2013 أيضًا، أدت عملية التصيد الاحتيالي إلى خرق هائل لبيانات الهدف، تم إرسال بريد إلكتروني للتصيد الاحتيالي إلى مقاول من الباطن للتدفئة والتهوية وتكييف الهواء كان أحد شركاء التجاريين لشركة Target.
احتوى البريد الإلكتروني على كود ضار من حصان طروادة Citadel Trojan، والذي مكّن المهاجمين من اختراق أنظمة نقاط البيع في Target وسرقة معلومات 40 مليون بطاقة ائتمان وبطاقات خصم للعملاء.
استهداف وزارة العمل الأمريكية
في نفس العام، تم استهداف وزارة العمل الأمريكية بهجوم حفرة مائية، وأصيبت مواقعها على شبكة الإنترنت ببرامج ضارة من خلال ثغرة أمنية في الإكسبلورر Internet Explorer والتي قامت بتثبيت الوصول عن بعد إلى حصان طروادة يسمى Poison Ivy.
الوصول لحساب مدير وكالة الاستخبارات المركزية
في عام 2015، تمكن مجرمو الإنترنت من الوصول إلى حساب البريد الإلكتروني الشخصي لـ AOL لجون برينان في موقع أمريكان آونلاين، الذي كان وقتها مدير وكالة الاستخبارات المركزية، شرح أحد المتسللين لوسائل الإعلام كيف استخدم تقنيات الهندسة الاجتماعية للتظاهر بفني شركة فيريزون وطلب معلومات حول حساب برينان لدى فيريزون.
بمجرد حصول المتسللين على تفاصيل حساب برينان فيريزون، اتصلوا بـشركة AOL واستخدموا المعلومات للإجابة بشكل صحيح على أسئلة الأمان لحساب البريد الإلكتروني لبرينان.
منع الهندسة الاجتماعية
هناك عدد من الاستراتيجيات التي يمكن للشركات اتخاذها لمنع هجمات الهندسة الاجتماعية، بما في ذلك ما يلي:
1 – تأكد من أن أقسام تقنية المعلومات في الشركة تجري بانتظام اختبارات الاختراق التي تستخدم تقنيات الهندسة الاجتماعية، سيساعد ذلك المسؤولين في معرفة أنواع المستخدمين التي تشكل أكبر مخاطر لأنواع معينة من الهجمات، مع تحديد الموظفين الذين يحتاجون إلى تدريب إضافي.
2 – ابدأ برنامجًا تدريبيًا للتوعية الأمنية (Security awareness Program Training)، والذي يمكن أن يقطع شوطًا طويلاً نحو منع هجمات الهندسة الاجتماعية، إذا عرف المستخدمون كيف تبدو هجمات الهندسة الاجتماعية، فسيقل احتمال وقوعهم ضحايا.
3 – قم بتنفيذ بريد إلكتروني وبوابات ويب آمنة (Email & Web security Gateway) لفحص رسائل البريد الإلكتروني بحثًا عن روابط ضارة وتصفيتها، وبالتالي تقليل احتمالية قيام الموظف بالنقر فوق أحدها.
4 – حافظ على تحديث برامج مكافحة البرامج الضارة والفيروسات (Anti-Virus update) للمساعدة في منع البرامج الضارة (Malicious Malware) في رسائل البريد الإلكتروني المخادعة من تثبيت نفسها.
5 – ابق على اطلاع وتحديث دائم مع تصحيحات وتحديثات البرامج (Software update) والبرامج الثابتة (Firmware update) على نقاط النهاية.
اترك تعليقك