الهندسة الاجتماعية عبارة عن فن يركز على اختراق الحلقة الأضعف في سلسلة أمن المعلومات ألا وهي العنصر البشري، في هذا المقال سنتطرق لتعريف الهندسة الاجتماعية واساليبها وتأثيرها حتى يكون لدينا خلفية عن هذا النوع من التهديدات و التقنيات المستخدمة فيها و الإجراءات المضادة لها للدفاع عن
أمن المعلومات.
تعريف الهندسة الاجتماعية:
عبارة عن عملية اختراق لعقول الأشخاص بشكل أساسي عن طريق استخدام المهارات الاجتماعية وطرق احتيال الانترنت لكسب معلومات عن الضحية حتى وان كانت بسيطة.
طبيعة عمل المهندس الاجتماعي "المهاجم":
المهاجم هو شخص يتمتع بفراسة عالية ومقدرة على معرفة ما الحيل التي من الممكن أن تنطلي على ضحيته.
يستطيع المهاجم بمعلومات قليلة يملكها أن يكسب ثقة ضحيته و بواسطة هذه الثقة ينتهي الأمر بالضحية أن يقدم للمهاجم معلومات يريدها.
ولكي يحقق المهاجم الثقة المرجوة مع الضحية قد يستغرق الأمر أيام و أسابيع من المجهود المتواصل، وقد يتم ذلك بطرق عدة إما شخصياً أو عن طريق الهاتف أو المواقع الالكترونية.
من أساليب هجوم الهندسة الاجتماعية
أ- الإقناع المباشر والغير مباشر: في الاقناع المباشر يتذرع المهاجم بالحجج المنطقية ليقوم الضحية بالتفكير المنطقي والوصول إلى نتيجة يرغمه إليها، وفي الاسلوب الغير مباشر يعتمد المهاجم على الإيحاءات النفسية دون المنطقية، لحثه على قبول مبرراته دون تحليلها والتفكير فيها جدياً، لذلك عادة ما يلجأ المهاجم للطريقة الثانية لضعف تبرير حجج منطقية، فيلجأ باستثارة الضحية نفسياً، إما ببث مشاعر الخوف أو الحماس في نفسه، وهذه الموجة من المشاعر تعمل على تشتيت الضحية، فتضعف قدراته على التفكير والتحليل المنطقي ويصعب عليه مواجهة حجم ومبررات المهاجم وإن كانت ضعيفة، ومن الطرق المستخدمة في هذا الاسلوب الغير مباشر ( الظهور بمظهر صاحب السلطة - الإغراء بامتلاك شيء نادر - إبراز أوجه التشابه مع الضحية - استغلال أخلاق حسنة مثل رد الجميل )
ب - أسلوب انتحال الشخصية:يسهل هذا الاسلوب واقعياً في الشركات والتجمعات الكبيرة التي لا يعرف أفرادها بعضهم بعض كما يسهل أكثر بكثير في عالم الانترنت.
ج- أسلوب مسايرة الركب: مسلك اجتماعي يملي على الإنسان أن لا يتخذ موقفاً مغايراً لما عليه الآخرون تجاه مسألة ما. وتبنى هذه المسألة منطقياً حيث بما أنه قد قام فلان بعمل كذا لبقية الأفراد فلِمَ أمنعه أنا من ذلك !
هـ- أسلـــوب الهندســـــة الاجتماعيـة العكسية: يقوم هذا الاسلوب على افتعال موقف يُظهر المهاجم في صورة صاحب سلطة إدارية أو فنية، فيتوجه إليه المستهدفون بالأسئلة ويطلبون منه المساعدة ويتلقون منه التعليمات.
أخيراً نعرض عليكم مثال لطريقة ذكية للهندسة الاجتماعية عبر الانترنت
المثال التالي عبارة عن استبيان وضع على موقع الشبكة الاجتماعية (الفيسبوك).
ماذا تقول كلمتك السرية " كلمة المرور " عنك ؟
هل كلمة السر الخاصة بك جيدة أم أنها تخترق بسهولة، وأيضا ماذا يقول عنك؟
كم طول كلمة السر الخاصة بك؟
أ) 3-5 حروف / أرقام
ب) 6-8 حروف / أرقام
ج) 11-14 حروف / أرقام
د) 9-10 حروف / أرقام
هل كلمة السر الخاصة بك اسمك مع بعض الأرقام الأخرى أو أي شخص في العائلة؟
أ) نعم
ب) غير ممكن ! ستكون سهلة جدا !
ج) بالضبط اسمي
د) انه اسم احد أفراد الأسرة مع بعض الأرقام الأخرى
هل تحتوي كلمة السر لديك على أرقام؟
أ) نعم، انها بالكامل من الأرقام!
ب) نعم تحتوي بعض الارقام
ج) كلا!
د) نعم رقم واحد!
هل تم اختراق حسابك او كلمة االسر من قبل ؟
أ) لا أبدا!
ب) لا ولكن قلت لأحد أصدقائي ذلك.
ج) نعم مرة واحدة.
د) في الواقع مرتين.
الاستبيان قد يبدو غير ضار للوهلة الأولى، الا ان كمية المعلومات التي يمكن الحصول عليها و التصرف على اثر نتائجها قد يضر هؤلاء الاشخاص الذين اجابوا عليه والذي بلغ عددهم 800 شخص !!
هذا الاستبيان عبارة عن شكل من أشكال الهندسة الاجتماعية التي تتيح للمهاجم جمع المعلومات الصغيرة التي تبدو غير مهمة حتى تتكوين لدى المهاجم صورة أكبر بغرض القيام بعملية اختراق بسيطة أو معقدة.
Tags:
مقالات
0 comments: