هل فكر احد يوما ما ما هي هذه او ما هي فائدتها ربما الكثير من الاخوة لهم طرقهم الخاصة في الهندسة
ولمن لا يعرف الهندسة فهي
باختصار بأنها التلاعب بالبشر وخداعهم بهدف الحصول على بيانات أو معلومات، كانت ستظل خاصة وآمنة ولا يمكن الوصول إليها، بهدف اختراق النظام.
ومن هنا يستخدم المخترِق "المهندس الاجتماعي" مهاراته لاستهداف نقاط الضعف البشرية في محاولة للتحايل على الضوابط والإجراءات التي من شأنها أن تمنعه من الحصول على المعلومات التي يحتاجها.
ما نوعية المعلومات التي يمكن خسارتها؟
الإجابة باختصار "كل شيء"، ففي عصر المعلومات يمكن أن يكون لأي معلومة قيمة، فالشخص الذي يستهدفك له دوافع معينة، وبالتالي لا يمكن الاستهتار بأي معلومة تخسرها.
وبالطبع فإن المخترِقين الذين يعتمدون على الهندسة الاجتماعية يركزون بصورة أساسية على الخدمات المالية مثل الحسابات البنكية على الإنترنت أو أي معلومات تساعدهم في الحصول على أموال.
تجنب مشاركة أي معلومات أو بيانات شخصية مع أي جهة كانت
تحقق دائما من الأشخاص الذين تتحدث إليهم سواء عبر الهاتف أو البريد الإلكتروني أو خدمات التواصل الاجتماعي
لا تفتح مرفقات البريد الإلكتروني من أشخاص غير معروفين
اعمل على تأمين هاتفك الذكي أو حاسوبك المحمول"
و ايضا #الهندسة الاجتماعية هي طريقة الهجوم المستخدمة من قبل العديد من المهاجمين, و التي تستفيد من طبيعة البشر ونقاط الضعف فيها, للتلاعب عليهم وخداعهم بكسب ثقتهم وذلك من أجل الحصول على المعلومات السرية سواء كانت كلمات المرور الخاصة بالأشخاص أو أي معلومة حساسة مالية أو غيرها من حساسية المعلومات الشخصية.
و الهندسة الاجتماعية هي اسلوب اختراق او جمع معلومات يتم استخدامه في التلاعب النفسي بالافراد للوصول لهدف منشود.
الهندسة الاجتماعية هي فن التلاعب في البشر من أجل خداعهم وإقناعهم بالقيام بأعمال تؤدي لكشف معلوماتهم السرية.
العديد من الهجمات في جانب المستخدم تتم بالاعتماد على خداع المستخدم من أجل كشف المعلومات الحساسة الخاصة بنظامه.
الهندسة الاجتماعية يمكن أن تتم عن طريق اجراء مكالمة هاتفية مخادعة أو أن يقوم مختبر الاختراق بتظاهر على أنه موظف مصرح له بالوصول للنظام. أفضل طريقة للقيام بهجوم هندسة اجتماعية ناجح هو امضاء وقت جيد لفهم النظام الهدف ومعرفة الطريقة التي يتصل بها المستخدم بالشبكة أو الموقع الهدف. يوجد العديد من الطرق والتقنيات الممتعة لهجمات الهندسة الاجتماعية والتي يجب أن تمضى وقتاً للتعرف عليها.
ولمن لا يعرف الهندسة فهي
باختصار بأنها التلاعب بالبشر وخداعهم بهدف الحصول على بيانات أو معلومات، كانت ستظل خاصة وآمنة ولا يمكن الوصول إليها، بهدف اختراق النظام.
ومن هنا يستخدم المخترِق "المهندس الاجتماعي" مهاراته لاستهداف نقاط الضعف البشرية في محاولة للتحايل على الضوابط والإجراءات التي من شأنها أن تمنعه من الحصول على المعلومات التي يحتاجها.
ما نوعية المعلومات التي يمكن خسارتها؟
الإجابة باختصار "كل شيء"، ففي عصر المعلومات يمكن أن يكون لأي معلومة قيمة، فالشخص الذي يستهدفك له دوافع معينة، وبالتالي لا يمكن الاستهتار بأي معلومة تخسرها.
وبالطبع فإن المخترِقين الذين يعتمدون على الهندسة الاجتماعية يركزون بصورة أساسية على الخدمات المالية مثل الحسابات البنكية على الإنترنت أو أي معلومات تساعدهم في الحصول على أموال.
تجنب مشاركة أي معلومات أو بيانات شخصية مع أي جهة كانت
تحقق دائما من الأشخاص الذين تتحدث إليهم سواء عبر الهاتف أو البريد الإلكتروني أو خدمات التواصل الاجتماعي
لا تفتح مرفقات البريد الإلكتروني من أشخاص غير معروفين
اعمل على تأمين هاتفك الذكي أو حاسوبك المحمول"
و ايضا #الهندسة الاجتماعية هي طريقة الهجوم المستخدمة من قبل العديد من المهاجمين, و التي تستفيد من طبيعة البشر ونقاط الضعف فيها, للتلاعب عليهم وخداعهم بكسب ثقتهم وذلك من أجل الحصول على المعلومات السرية سواء كانت كلمات المرور الخاصة بالأشخاص أو أي معلومة حساسة مالية أو غيرها من حساسية المعلومات الشخصية.
و الهندسة الاجتماعية هي اسلوب اختراق او جمع معلومات يتم استخدامه في التلاعب النفسي بالافراد للوصول لهدف منشود.
الهندسة الاجتماعية هي فن التلاعب في البشر من أجل خداعهم وإقناعهم بالقيام بأعمال تؤدي لكشف معلوماتهم السرية.
العديد من الهجمات في جانب المستخدم تتم بالاعتماد على خداع المستخدم من أجل كشف المعلومات الحساسة الخاصة بنظامه.
الهندسة الاجتماعية يمكن أن تتم عن طريق اجراء مكالمة هاتفية مخادعة أو أن يقوم مختبر الاختراق بتظاهر على أنه موظف مصرح له بالوصول للنظام. أفضل طريقة للقيام بهجوم هندسة اجتماعية ناجح هو امضاء وقت جيد لفهم النظام الهدف ومعرفة الطريقة التي يتصل بها المستخدم بالشبكة أو الموقع الهدف. يوجد العديد من الطرق والتقنيات الممتعة لهجمات الهندسة الاجتماعية والتي يجب أن تمضى وقتاً للتعرف عليها.
أوضاع الهجوم:
مع استخدام القواعد القائمة على قواعد مماثلة من قِبل المهندسين الاجتماعيين لـ Hackers ، قد يختلف مظهرها اعتمادًا كبيرًا على مستوى مهارة القراصنة ونوع المعلومات. إحدى الطرق الشائعة الاستخدام هي أن المهاجم يدعي أن النظام جديد بالنسبة له ويحتاج إلى مساعدة. من السهل على هاكر الموهوب أن يكون شخصًا جديدًا (أو "مستخدمًا مبتدئًا" أو "مبتدئًا") ومواصلة العمل. عادةً ما يتم استخدام هذه الخدعة عندما يكون المهاجم غير قادر على البحث أو الحصول على معلومات كافية حول الشركة. الطريقة البسيطة للقيام بذلك هي أن يقوم Hacker باستدعاء السكرتير بدلاً من التظاهر بأنه شخص جديد ولديه مشكلة في الوصول إلى النظام. قد يكون السكرتير (أو مستخدم التدريب الآخر) مهتمًا بهذا وقد يكون فخوراً بالقدرة على مساعدة شخص جديد. يمكن للمستخدم ببساطة إعلان اسم المستخدم وكلمة المرور للضيف ، أو حتى إدخال هياكل جزئية ضمن إجراءات اتصال النظام للأقسام المختلفة. عندما يكون المتسلل في حساب الضيف ، يمكنه الوصول إلى أهم الحسابات من هناك. قد يكون أيضًا قادرًا على الحصول على معلومات كافية عن الشركة باستخدام نهج مماثل يسمى "الهندسة الاجتماعية العكسية".
الغرض من الهندسة الاجتماعية هو أن يقوم مستخدم الكمبيوتر الشرعي بتزويد المتسلل بمعلومات مفيدة تتم معالجتها غالبًا ، مثل كلمات مرور تسجيل الدخول.
تغيير آخر في المظهر الذي يستخدمه المهندسون الاجتماعيون هو أنهم يشبهون مساعدين الكمبيوتر أو المساعدين ويحاولون الحصول على المعلومات أثناء تثبيت جهاز الكمبيوتر الخاص بك. يعتمد هذا النهج على افتراض أن النظام يمثل الشبكة ، حيث يتظاهر القراصنة الموهوبون بوجود خطأ في جميع الحسابات ويتعين عليهم إعادة تشغيل الحسابات. هذا يتطلب كلمات مرور المستخدم القديم. إذا كان الموظف بسيطًا بما فيه الكفاية وعديم الخبرة ، فسيقومون بالإفصاح عن المعلومات على افتراض أنهم يخدمون الشركة ، على الرغم من وجود العديد من الطرق الأخرى ، فإن الأمثلة المذكورة أعلاه هي الأكثر تحديدًا بواسطة المهندسين الاجتماعيين. ومع ذلك ، هناك بعض القيود على التغييرات التي يستخدمها المتسللون في الهندسة الاجتماعية للمستخدمين القانونيين. في جميع أنحاء الهندسة الاجتماعية ، لعب المتسللون العديد من الأدوار ، حيث اعتمدوا على الحظ في تنفيذ هجوم ناجح. الأمثلة المذكورة أعلاه تتعلق في الغالب بالموظفين الذين لا يدركون الأشكال المختلفة للهندسة الاجتماعية أو لا يهتمون بأمن الشركة. حتى إذا لم يكن الموظف على دراية بالهندسة الاجتماعية ، فقد لا يثق في هاكر دون تحديد صحيح. قد يكون أيضًا على علم بأن معظم الأشخاص في المكتب لديهم مشرفين مؤقتين أو أشخاص آخرين لمساعدتهم ، وسيكون مشبوهًا عندما يرى مكالمة. بالنسبة إلى هاكر الموهوب ، تشكل هذه المشكلات تهديدًا دائمًا وبالتالي نوعًا جديدًا من الهندسة الاجتماعية تسمى "الهندسة الاجتماعية العكسية".
الغرض من الهندسة الاجتماعية هو السماح لمستخدم الكمبيوتر الشرعي بتوفير معلومات مفيدة وضرورية للمتسلل ، والتي تتم معالجتها غالبًا ، مثل كلمة المرور لتسجيل الدخول.⚠️
مع استخدام القواعد القائمة على قواعد مماثلة من قِبل المهندسين الاجتماعيين لـ Hackers ، قد يختلف مظهرها اعتمادًا كبيرًا على مستوى مهارة القراصنة ونوع المعلومات. إحدى الطرق الشائعة الاستخدام هي أن المهاجم يدعي أن النظام جديد بالنسبة له ويحتاج إلى مساعدة. من السهل على هاكر الموهوب أن يكون شخصًا جديدًا (أو "مستخدمًا مبتدئًا" أو "مبتدئًا") ومواصلة العمل. عادةً ما يتم استخدام هذه الخدعة عندما يكون المهاجم غير قادر على البحث أو الحصول على معلومات كافية حول الشركة. الطريقة البسيطة للقيام بذلك هي أن يقوم Hacker باستدعاء السكرتير بدلاً من التظاهر بأنه شخص جديد ولديه مشكلة في الوصول إلى النظام. قد يكون السكرتير (أو مستخدم التدريب الآخر) مهتمًا بهذا وقد يكون فخوراً بالقدرة على مساعدة شخص جديد. يمكن للمستخدم ببساطة إعلان اسم المستخدم وكلمة المرور للضيف ، أو حتى إدخال هياكل جزئية ضمن إجراءات اتصال النظام للأقسام المختلفة. عندما يكون المتسلل في حساب الضيف ، يمكنه الوصول إلى أهم الحسابات من هناك. قد يكون أيضًا قادرًا على الحصول على معلومات كافية عن الشركة باستخدام نهج مماثل يسمى "الهندسة الاجتماعية العكسية".
الغرض من الهندسة الاجتماعية هو أن يقوم مستخدم الكمبيوتر الشرعي بتزويد المتسلل بمعلومات مفيدة تتم معالجتها غالبًا ، مثل كلمات مرور تسجيل الدخول.
تغيير آخر في المظهر الذي يستخدمه المهندسون الاجتماعيون هو أنهم يشبهون مساعدين الكمبيوتر أو المساعدين ويحاولون الحصول على المعلومات أثناء تثبيت جهاز الكمبيوتر الخاص بك. يعتمد هذا النهج على افتراض أن النظام يمثل الشبكة ، حيث يتظاهر القراصنة الموهوبون بوجود خطأ في جميع الحسابات ويتعين عليهم إعادة تشغيل الحسابات. هذا يتطلب كلمات مرور المستخدم القديم. إذا كان الموظف بسيطًا بما فيه الكفاية وعديم الخبرة ، فسيقومون بالإفصاح عن المعلومات على افتراض أنهم يخدمون الشركة ، على الرغم من وجود العديد من الطرق الأخرى ، فإن الأمثلة المذكورة أعلاه هي الأكثر تحديدًا بواسطة المهندسين الاجتماعيين. ومع ذلك ، هناك بعض القيود على التغييرات التي يستخدمها المتسللون في الهندسة الاجتماعية للمستخدمين القانونيين. في جميع أنحاء الهندسة الاجتماعية ، لعب المتسللون العديد من الأدوار ، حيث اعتمدوا على الحظ في تنفيذ هجوم ناجح. الأمثلة المذكورة أعلاه تتعلق في الغالب بالموظفين الذين لا يدركون الأشكال المختلفة للهندسة الاجتماعية أو لا يهتمون بأمن الشركة. حتى إذا لم يكن الموظف على دراية بالهندسة الاجتماعية ، فقد لا يثق في هاكر دون تحديد صحيح. قد يكون أيضًا على علم بأن معظم الأشخاص في المكتب لديهم مشرفين مؤقتين أو أشخاص آخرين لمساعدتهم ، وسيكون مشبوهًا عندما يرى مكالمة. بالنسبة إلى هاكر الموهوب ، تشكل هذه المشكلات تهديدًا دائمًا وبالتالي نوعًا جديدًا من الهندسة الاجتماعية تسمى "الهندسة الاجتماعية العكسية".
الغرض من الهندسة الاجتماعية هو السماح لمستخدم الكمبيوتر الشرعي بتوفير معلومات مفيدة وضرورية للمتسلل ، والتي تتم معالجتها غالبًا ، مثل كلمة المرور لتسجيل الدخول.⚠️
لا يوجد حصر لأنواع الهندسة الاجتماعية ولكن يمكننا وضعها تحت خمسة نقاط.
١- انتحال الشخصية [ Impersonating ]
٢- سرقة النظر [ Shoulder Surfing ]
٣- الخداع [ Tricking ]
٤- التتبع [ Tailgating ]
٥- البحث في المخلّفات [ Dumpster Diving ]
١- انتحال الشخصية [ Impersonating ]
في هذا النوع من الهندسة الاجتماعية تتم فيها انتحال شخصية شخص صاحب سلطة وذلك لاقناعك بالافصاح عن بعض المعلومات السرية عنك مثل: مدير، شرطة، مباحث.
سواء كان ذلك عن طريق التعامل المباشر أو بالاتصال الهاتفي أو ايميل موجه لك أو محادثة كتابية ..
٢- سرقة النظر [ Shoulder Surfing ]
في هذا النوع يتم بطريقة مباشرة، فمن الممكن أن يكون شخص غريب في المناطق العامة ينظر الى باسورد جوالك عندما تقوم انت بفتحه؟ او البعض يترك ملصقات في مكتبه لكلمات سر لحساباته حتى لا ينساها، او غيرها من هذه الطرق التي تعتمد على سرقة النظر.
٣- الخداع [ Tricking ]
قد يكون هذا النوع مقارب للنوع الأول أو مكملاً له، فهنا يتم خداعك بطرق مختلفة عن صاحب السلطة مثلاً: صديق مقرب لك، فرد من العائلة، شركة تتعامل معها، بنك، جهة حكومية ..الخ
وذلك ايضاً للافصاح عن معلومات سرية او الاستفادة منها بطريقه مباشرة او غير مباشرة !
٤- التتبع [ Tailgating ]
وهي باختصار الدخول للاماكن الغير مصرح لك دخولها عن طريق الحيلة في تتبع موظف او شخص يحق له الدخول لهذه المنطقه.
هناك تفصيل كبير في هذا الموضوع ونزلت عنه مومنت لوضع الحلول في هذا الموضوع وذلك عن طريق [ Mantraps ]
٥- البحث في المخلّفات [ Dumpster Diving ]
باختصار يمكن معرفة معلومات سرية اذا ما كانت مطبوعة او مكتوبة على ورق ويتم التخلص منها فقط برميها ! فهذا النوع يتم تنقيب المخلّفات للحصول على تلك المعلومات، لذلك ينصح باستخدام آلة تمزيق الاوراق Shredder
بكذا عرفنا اغلب أنواع الهندسة الاجتماعية واكثرها انتشاراً ونجاحاً ، ولكن طرق الاحتيال لا تتوقف عند هذه الانواع فقط بل قد يتفرع منها انواع مختلفة ..
وكذلك قد تكون الاهداف المراد الوصول لها مختلفة ليست فقط من اجل الحصول على حسابك البنكي او الحصول على كلمة السر.
فالهندسة الاجتماعية تخترق العقول و قد يتم استخدام الاحتيال من اجل
- هدف تسويقي ( بتشويه سمعه منتج منافس )
- الحصول على وظيفة ( شهادات مزورة )
- مادي ( التسول بهيئة وملبس محترم وقطعت به السبل )
- مكانة اجتماعية ( اختراع وهمي ، ابتكار كاذب ..الخ )
و تتعدد سبل الاحتيال !
في احيان كثيرة يستمر هذا الخداع لعدة سنوات وذلك من اجل الوصول للهدف !
هذا النوع يعتبر من اخطر انواع الاختراقات في تأثيره النفسي على الضحية، لأنه لم يشك ولو ١٪ في صدق نوايا الطرف الآخر ( المهندس الاجتماعي )
- كم مره سمعت قصة عن شاب يقلد صوت بنت من اجل الحصول على بطاقة شحن ؟
النقطة الأخيرة في هذا الثريد.
- لماذا الهندسة الاجتماعية تنجح غالباً؟ او لماذا هي خطرة لهذا الحد ؟
١- السلطة [ Authority ]
الجميع منا تربى على احترام السلطة، ولذلك تنجح اذا كان هناك انتحال لشخصية مدير او جهه حكومية في اغلب الاحيان اذا لم يستطيع الشخص معرفة حقوقه وحدود السلطة !
٢- التهديد [ Intim
idation ]
فمثلاً: البع
ض يقع ضحية صفحات مزورة ( لقد تم اكتشاف فايروس في جهازك !! لمسح هذا الفايروس حمل هذا البرنامج المجاني ؟؟ )
وبكذا تكون انت السبب في اختراق جهازك بتحميل هذه البرامج المشبوهه!
٣- اتباع الرأي العام [Social Proof]
مثلاً عندما يكون هناك شخص محتال ولكن يملك قاعدة جماهيرية فسمعته الجيدة المزيفة تجعل الضحايا يتهافتون اليه نظراً لأن فلان صاحبي وثق فيه، المستثمر الفلاني استثمر معاه، الجهة الاعلامية الفلانية قامت بعمل مقابلة معه، وكذا الضحايا يؤدلجون !
٤- النقص في التوفر [ Scarcity ]
افضل مثال عند اصدار اي جهاز ايفون جديد الكل يعلم أن امكانية توفره في السوق بشكل سريع مستحيل وذلك لكثرة الطلب عليه اولاً أو للبعد الجغرافي، استغلال هذه الحاجة لدى المستهلك بخداعه بأكثر من طريقه وذلك لكسب المال او معلومات بنكية بدون توفير المنتج !
ولتوضيح المثال بشكل اكبر تتزايد المواقع التي توهم المستهلك بأنه سيتم السحب على ايفون بشكل عشوائي وذلك فقط بتعبئة نموذج بشكل سريع، مثل الاسم، البريد الالكتروني، رقم الجوال، فيتم اضافة هذه المعلومات على قاعدة بيانات كبيرة يتم بيعها لشركات الاعلانات فتملأ جوالك وايميلك بها !
٥- العَجَلة [ Urgency ]
البعض يستخدم هذا الاسلوب بأكثر من طريقة مثلاً في هجمات الفدية عندما يتم تشفير ملفاتك دائماً تجد عداد وقت تنازلي لمده معينة فاذا لم تقم بالدفع سيتم التخلص من مفاتيح التشفير وكذا انت ما تقدر تسترجع ملفاتك للابد !
فبذلك يستغل عامل الوقت والعجلة في مصلحته 👌🏼
٦- الثقة [ Trust ]
بكل تأكيد الآن لديكم فكرة كيف تستخدم الثقة في الهندسة الاجتماعية، وذكرت سابقاً عن مثا
١- انتحال الشخصية [ Impersonating ]
٢- سرقة النظر [ Shoulder Surfing ]
٣- الخداع [ Tricking ]
٤- التتبع [ Tailgating ]
٥- البحث في المخلّفات [ Dumpster Diving ]
١- انتحال الشخصية [ Impersonating ]
في هذا النوع من الهندسة الاجتماعية تتم فيها انتحال شخصية شخص صاحب سلطة وذلك لاقناعك بالافصاح عن بعض المعلومات السرية عنك مثل: مدير، شرطة، مباحث.
سواء كان ذلك عن طريق التعامل المباشر أو بالاتصال الهاتفي أو ايميل موجه لك أو محادثة كتابية ..
٢- سرقة النظر [ Shoulder Surfing ]
في هذا النوع يتم بطريقة مباشرة، فمن الممكن أن يكون شخص غريب في المناطق العامة ينظر الى باسورد جوالك عندما تقوم انت بفتحه؟ او البعض يترك ملصقات في مكتبه لكلمات سر لحساباته حتى لا ينساها، او غيرها من هذه الطرق التي تعتمد على سرقة النظر.
٣- الخداع [ Tricking ]
قد يكون هذا النوع مقارب للنوع الأول أو مكملاً له، فهنا يتم خداعك بطرق مختلفة عن صاحب السلطة مثلاً: صديق مقرب لك، فرد من العائلة، شركة تتعامل معها، بنك، جهة حكومية ..الخ
وذلك ايضاً للافصاح عن معلومات سرية او الاستفادة منها بطريقه مباشرة او غير مباشرة !
٤- التتبع [ Tailgating ]
وهي باختصار الدخول للاماكن الغير مصرح لك دخولها عن طريق الحيلة في تتبع موظف او شخص يحق له الدخول لهذه المنطقه.
هناك تفصيل كبير في هذا الموضوع ونزلت عنه مومنت لوضع الحلول في هذا الموضوع وذلك عن طريق [ Mantraps ]
٥- البحث في المخلّفات [ Dumpster Diving ]
باختصار يمكن معرفة معلومات سرية اذا ما كانت مطبوعة او مكتوبة على ورق ويتم التخلص منها فقط برميها ! فهذا النوع يتم تنقيب المخلّفات للحصول على تلك المعلومات، لذلك ينصح باستخدام آلة تمزيق الاوراق Shredder
بكذا عرفنا اغلب أنواع الهندسة الاجتماعية واكثرها انتشاراً ونجاحاً ، ولكن طرق الاحتيال لا تتوقف عند هذه الانواع فقط بل قد يتفرع منها انواع مختلفة ..
وكذلك قد تكون الاهداف المراد الوصول لها مختلفة ليست فقط من اجل الحصول على حسابك البنكي او الحصول على كلمة السر.
فالهندسة الاجتماعية تخترق العقول و قد يتم استخدام الاحتيال من اجل
- هدف تسويقي ( بتشويه سمعه منتج منافس )
- الحصول على وظيفة ( شهادات مزورة )
- مادي ( التسول بهيئة وملبس محترم وقطعت به السبل )
- مكانة اجتماعية ( اختراع وهمي ، ابتكار كاذب ..الخ )
و تتعدد سبل الاحتيال !
في احيان كثيرة يستمر هذا الخداع لعدة سنوات وذلك من اجل الوصول للهدف !
هذا النوع يعتبر من اخطر انواع الاختراقات في تأثيره النفسي على الضحية، لأنه لم يشك ولو ١٪ في صدق نوايا الطرف الآخر ( المهندس الاجتماعي )
- كم مره سمعت قصة عن شاب يقلد صوت بنت من اجل الحصول على بطاقة شحن ؟
النقطة الأخيرة في هذا الثريد.
- لماذا الهندسة الاجتماعية تنجح غالباً؟ او لماذا هي خطرة لهذا الحد ؟
١- السلطة [ Authority ]
الجميع منا تربى على احترام السلطة، ولذلك تنجح اذا كان هناك انتحال لشخصية مدير او جهه حكومية في اغلب الاحيان اذا لم يستطيع الشخص معرفة حقوقه وحدود السلطة !
٢- التهديد [ Intim
idation ]
فمثلاً: البع
ض يقع ضحية صفحات مزورة ( لقد تم اكتشاف فايروس في جهازك !! لمسح هذا الفايروس حمل هذا البرنامج المجاني ؟؟ )
وبكذا تكون انت السبب في اختراق جهازك بتحميل هذه البرامج المشبوهه!
٣- اتباع الرأي العام [Social Proof]
مثلاً عندما يكون هناك شخص محتال ولكن يملك قاعدة جماهيرية فسمعته الجيدة المزيفة تجعل الضحايا يتهافتون اليه نظراً لأن فلان صاحبي وثق فيه، المستثمر الفلاني استثمر معاه، الجهة الاعلامية الفلانية قامت بعمل مقابلة معه، وكذا الضحايا يؤدلجون !
٤- النقص في التوفر [ Scarcity ]
افضل مثال عند اصدار اي جهاز ايفون جديد الكل يعلم أن امكانية توفره في السوق بشكل سريع مستحيل وذلك لكثرة الطلب عليه اولاً أو للبعد الجغرافي، استغلال هذه الحاجة لدى المستهلك بخداعه بأكثر من طريقه وذلك لكسب المال او معلومات بنكية بدون توفير المنتج !
ولتوضيح المثال بشكل اكبر تتزايد المواقع التي توهم المستهلك بأنه سيتم السحب على ايفون بشكل عشوائي وذلك فقط بتعبئة نموذج بشكل سريع، مثل الاسم، البريد الالكتروني، رقم الجوال، فيتم اضافة هذه المعلومات على قاعدة بيانات كبيرة يتم بيعها لشركات الاعلانات فتملأ جوالك وايميلك بها !
٥- العَجَلة [ Urgency ]
البعض يستخدم هذا الاسلوب بأكثر من طريقة مثلاً في هجمات الفدية عندما يتم تشفير ملفاتك دائماً تجد عداد وقت تنازلي لمده معينة فاذا لم تقم بالدفع سيتم التخلص من مفاتيح التشفير وكذا انت ما تقدر تسترجع ملفاتك للابد !
فبذلك يستغل عامل الوقت والعجلة في مصلحته 👌🏼
٦- الثقة [ Trust ]
بكل تأكيد الآن لديكم فكرة كيف تستخدم الثقة في الهندسة الاجتماعية، وذكرت سابقاً عن مثا
ل : الشاب الذي يوثق في فتاة ما، او حتى العكس بايهام الفتاة انه سيخطبها، وبكذا يكون الاستغلال مادي او عاطفي.
#كيف أحمي نفسي؟
أولاً وقبل كل شيء تجنب مشاركة أي معلومات أو بيانات شخصية مع أي جهة كانت، وعلى الرغم من سهولة القيام بهذا الأمر فإن الكثير من المستخدمين يغفلون عن هذه النصيحة.
ثانيا، تحقق دائما من الأشخاص الذين تتحدث إليهم سواء عبر الهاتف أو البريد الإلكتروني أو خدمات التواصل الفوري وغيرها، مثلا لو كان المتصل من شركة رسمية فلا تجد حرجاً في أن تطلب منه معلوماته الكاملة وأن يقوم بالاتصال من رقم هاتف رسمي يمكن التحقق منه.
ثالثا، لا تفتح مرفقات البريد الإلكتروني من أشخاص غير معروفين، فلغاية الآن يتم استخدام هذه الطريقة على نطاق واسع لنشر البرمجيات الخبيثة والحصول على المعلومات الشخصية، وذلك من خلال انتحال هوية شركات كبرى وإرفاق بعض الملفات في البريد.
رابعا، اعمل على تأمين هاتفك الذكي أو حاسوبك المحمول، يمكن أن تعتمد على فلترة البريد المزعج بالاعتماد على أدوات خاصة، كذلك اعتمد على برامج قوية لمكافحة الفيروسات تتضمن أدوات لمكافحة رسائل وصفحات التصيد.
لماذا تنجح الهندسة الاجتماعية رغم الحذر؟
يعتمد الموضوع ببساطة على استهداف الناحية النفسية للإنسان، حيث يستخدم المخترقون بعض المحفزات الأساسية للسلوك البشري مثل زرع الخوف والفضول والإلهاء والحماسة وغيرها.
فيمكن لصورة عبر البريد الإلكتروني أن تثير عواطفك للتبرع لجهة خيرية معينة بشكل مخادع، أو من خلال إثارة الخوف داخلك عبر إعلامك باختراق إحدى حساباتك وأنه يجب إعادة تعيين كلمة المرور، أو يمكن أن يدفعك الفضول لمشاهدة هذه الصورة المضحكة أو قراءة خبر مثير للاهتمام.
هل أنت حريص بما فيه الكفاية؟
قد يدور في ذهنك الآن أنه لا يمكن أن أُخدع بمثل هذه الأساليب الاجتماعية، لكن يجب عليك أن تعلم أن بعض المسؤولين الكبار في الشركات العالمية قد تعرضوا لمثل هذه الأنواع، فهناك طرق يتم استخدامها تفوق عمليات النصب التي يتم استخدامها في أقوى أفلام الجريمة، لذا لا تعتمد فقط على حرصك وذكائك بل تأكد من اتباعك للممارسات الأمنية الصحيحة في كل الأحوال.
ماذا عن الشركات؟
أظهرت دراسة أجرتها شركة فيرايزون الأميركية مؤخرا أن الكثير من هجمات الاحتيال والتصيد تستهدف موظفي الإدارات المالية داخل الشركات نظراً لكونهم المشرفين على عمليات تحويل الأموال.
وربما يكفي تأكيد شركتي غوغل وفيسبوك قبل أيام تعرضهما لعمليات احتيال بقيمة مئة مليون دولار لتعلم كيف يقوم هؤلاء المخترقون بأعمالهم بدرجة عالية من الاحترافية.
لذا ينبغي على الشركات العمل على تدريب الموظفين، خصوصاً موظفي القطاع المالي، على اتخاذ التدابير الأمنية السليمة، فالعامل البشري هو الجزء الأهم في أي نظام تتبعه مهما كان هذا النظام آمنا.
أولاً وقبل كل شيء تجنب مشاركة أي معلومات أو بيانات شخصية مع أي جهة كانت، وعلى الرغم من سهولة القيام بهذا الأمر فإن الكثير من المستخدمين يغفلون عن هذه النصيحة.
ثانيا، تحقق دائما من الأشخاص الذين تتحدث إليهم سواء عبر الهاتف أو البريد الإلكتروني أو خدمات التواصل الفوري وغيرها، مثلا لو كان المتصل من شركة رسمية فلا تجد حرجاً في أن تطلب منه معلوماته الكاملة وأن يقوم بالاتصال من رقم هاتف رسمي يمكن التحقق منه.
ثالثا، لا تفتح مرفقات البريد الإلكتروني من أشخاص غير معروفين، فلغاية الآن يتم استخدام هذه الطريقة على نطاق واسع لنشر البرمجيات الخبيثة والحصول على المعلومات الشخصية، وذلك من خلال انتحال هوية شركات كبرى وإرفاق بعض الملفات في البريد.
رابعا، اعمل على تأمين هاتفك الذكي أو حاسوبك المحمول، يمكن أن تعتمد على فلترة البريد المزعج بالاعتماد على أدوات خاصة، كذلك اعتمد على برامج قوية لمكافحة الفيروسات تتضمن أدوات لمكافحة رسائل وصفحات التصيد.
لماذا تنجح الهندسة الاجتماعية رغم الحذر؟
يعتمد الموضوع ببساطة على استهداف الناحية النفسية للإنسان، حيث يستخدم المخترقون بعض المحفزات الأساسية للسلوك البشري مثل زرع الخوف والفضول والإلهاء والحماسة وغيرها.
فيمكن لصورة عبر البريد الإلكتروني أن تثير عواطفك للتبرع لجهة خيرية معينة بشكل مخادع، أو من خلال إثارة الخوف داخلك عبر إعلامك باختراق إحدى حساباتك وأنه يجب إعادة تعيين كلمة المرور، أو يمكن أن يدفعك الفضول لمشاهدة هذه الصورة المضحكة أو قراءة خبر مثير للاهتمام.
هل أنت حريص بما فيه الكفاية؟
قد يدور في ذهنك الآن أنه لا يمكن أن أُخدع بمثل هذه الأساليب الاجتماعية، لكن يجب عليك أن تعلم أن بعض المسؤولين الكبار في الشركات العالمية قد تعرضوا لمثل هذه الأنواع، فهناك طرق يتم استخدامها تفوق عمليات النصب التي يتم استخدامها في أقوى أفلام الجريمة، لذا لا تعتمد فقط على حرصك وذكائك بل تأكد من اتباعك للممارسات الأمنية الصحيحة في كل الأحوال.
ماذا عن الشركات؟
أظهرت دراسة أجرتها شركة فيرايزون الأميركية مؤخرا أن الكثير من هجمات الاحتيال والتصيد تستهدف موظفي الإدارات المالية داخل الشركات نظراً لكونهم المشرفين على عمليات تحويل الأموال.
وربما يكفي تأكيد شركتي غوغل وفيسبوك قبل أيام تعرضهما لعمليات احتيال بقيمة مئة مليون دولار لتعلم كيف يقوم هؤلاء المخترقون بأعمالهم بدرجة عالية من الاحترافية.
لذا ينبغي على الشركات العمل على تدريب الموظفين، خصوصاً موظفي القطاع المالي، على اتخاذ التدابير الأمنية السليمة، فالعامل البشري هو الجزء الأهم في أي نظام تتبعه مهما كان هذا النظام آمنا.
اداه Social Engineering Toolkit:
هذه الأداة تم كتابتها من قبل مؤسس TrustedSec وهي أداة مفتوحة المصدر مكتوبة بلغة بايثون ومعدة للقيام بعمليات اختبار الاختراق عن طريق الهندسة الاجتماعية. هذه الأداة تستخدم بكثرة من قبل مختبري الاختراق والحماية من أجل القيام بعملية فحص حالة الحماية للمنظمات أو الشركات الهدف. هذه الأداة موجودة بشكل افتراضي في نظام كالي لينكس ويمكن الوصول إليها باستخدام التعليمة.
استخدام SET :
يمكن الوصول إلى المستخدم الهدف عن طريق موقع يثق فيه هذا المستخدم ويمكن استخدام أي موقع ولكن يفضل استخدام موقع بسيط .المثال التالي هو عملية نسخ لموقع SharePoint (يمكن أن يكون أي موقع أخر) والهدف من ذلك هو استغلال الهدف من خلال فتح جلسة meterpreter والاتصال والتحكم بجهازه
هذه الأداة تم كتابتها من قبل مؤسس TrustedSec وهي أداة مفتوحة المصدر مكتوبة بلغة بايثون ومعدة للقيام بعمليات اختبار الاختراق عن طريق الهندسة الاجتماعية. هذه الأداة تستخدم بكثرة من قبل مختبري الاختراق والحماية من أجل القيام بعملية فحص حالة الحماية للمنظمات أو الشركات الهدف. هذه الأداة موجودة بشكل افتراضي في نظام كالي لينكس ويمكن الوصول إليها باستخدام التعليمة.
استخدام SET :
يمكن الوصول إلى المستخدم الهدف عن طريق موقع يثق فيه هذا المستخدم ويمكن استخدام أي موقع ولكن يفضل استخدام موقع بسيط .المثال التالي هو عملية نسخ لموقع SharePoint (يمكن أن يكون أي موقع أخر) والهدف من ذلك هو استغلال الهدف من خلال فتح جلسة meterpreter والاتصال والتحكم بجهازه
سوف يتم سؤالك إذا كنت تريد استخدام أحد القوالب الموجودة في SET أو إذا كنت تريد نسخ موقع موجود فعلياً . القوالب الافتراضية ليست جيدة وانصحك بنسخ الموقع الذي تريد استخدامه في عملية الهجوم (في هذا المثال SharePoint)
الشاشة السابقة تظهر عدة خيارات عن كيفية نسخ الموقع من قبل المستخدم, في هذا المثال سوف نستخدم site-cloner option , بعد تحديد هذا الخيار فإن SET سوف تسأل سلسلة من الأسئلة مثل : NAT/Port forwarding و هو سؤال فيما إذا كان الهدف سوف يتصل مع جهازك عن طريق عنوانIP الخاص بنظام الكالي أو أنه سوف يتصل عن طريق عنوان IP مختلف (مثل NAT address)
الشاشة السابقة تظهر عدة خيارات عن كيفية نسخ الموقع من قبل المستخدم, في هذا المثال سوف نستخدم site-cloner option , بعد تحديد هذا الخيار فإن SET سوف تسأل سلسلة من الأسئلة مثل : NAT/Port forwarding و هو سؤال فيما إذا كان الهدف سوف يتصل مع جهازك عن طريق عنوانIP الخاص بنظام الكالي أو أنه سوف يتصل عن طريق عنوان IP مختلف (مثل NAT address)
اختر yes إذا كانت عملية الاختبار لأشخاص ضمن شبكة خارجية أو اختر no إذا كانت عملية الاختبار لأشخاص ضمن نفس الشبكة الخاصة بك (شبكة داخلية)