لا يوجد حصر لأنواع الهندسة الاجتماعية ولكن يمكننا وضعها تحت خمسة نقاط.
١- انتحال الشخصية [ Impersonating ]
٢- سرقة النظر [ Shoulder Surfing ]
٣- الخداع [ Tricking ]
٤- التتبع [ Tailgating ]
٥- البحث في المخلّفات [ Dumpster Diving ]
١- انتحال الشخصية [ Impersonating ]
في هذا النوع من الهندسة الاجتماعية تتم فيها انتحال شخصية شخص صاحب سلطة وذلك لاقناعك بالافصاح عن بعض المعلومات السرية عنك مثل: مدير، شرطة، مباحث.
سواء كان ذلك عن طريق التعامل المباشر أو بالاتصال الهاتفي أو ايميل موجه لك أو محادثة كتابية ..
٢- سرقة النظر [ Shoulder Surfing ]
في هذا النوع يتم بطريقة مباشرة، فمن الممكن أن يكون شخص غريب في المناطق العامة ينظر الى باسورد جوالك عندما تقوم انت بفتحه؟ او البعض يترك ملصقات في مكتبه لكلمات سر لحساباته حتى لا ينساها، او غيرها من هذه الطرق التي تعتمد على سرقة النظر.
٣- الخداع [ Tricking ]
قد يكون هذا النوع مقارب للنوع الأول أو مكملاً له، فهنا يتم خداعك بطرق مختلفة عن صاحب السلطة مثلاً: صديق مقرب لك، فرد من العائلة، شركة تتعامل معها، بنك، جهة حكومية ..الخ
وذلك ايضاً للافصاح عن معلومات سرية او الاستفادة منها بطريقه مباشرة او غير مباشرة !
٤- التتبع [ Tailgating ]
وهي باختصار الدخول للاماكن الغير مصرح لك دخولها عن طريق الحيلة في تتبع موظف او شخص يحق له الدخول لهذه المنطقه.
هناك تفصيل كبير في هذا الموضوع ونزلت عنه مومنت لوضع الحلول في هذا الموضوع وذلك عن طريق [ Mantraps ]
٥- البحث في المخلّفات [ Dumpster Diving ]
باختصار يمكن معرفة معلومات سرية اذا ما كانت مطبوعة او مكتوبة على ورق ويتم التخلص منها فقط برميها ! فهذا النوع يتم تنقيب المخلّفات للحصول على تلك المعلومات، لذلك ينصح باستخدام آلة تمزيق الاوراق Shredder
بكذا عرفنا اغلب أنواع الهندسة الاجتماعية واكثرها انتشاراً ونجاحاً ، ولكن طرق الاحتيال لا تتوقف عند هذه الانواع فقط بل قد يتفرع منها انواع مختلفة ..
وكذلك قد تكون الاهداف المراد الوصول لها مختلفة ليست فقط من اجل الحصول على حسابك البنكي او الحصول على كلمة السر.
فالهندسة الاجتماعية تخترق العقول و قد يتم استخدام الاحتيال من اجل
- هدف تسويقي ( بتشويه سمعه منتج منافس )
- الحصول على وظيفة ( شهادات مزورة )
- مادي ( التسول بهيئة وملبس محترم وقطعت به السبل )
- مكانة اجتماعية ( اختراع وهمي ، ابتكار كاذب ..الخ )
و تتعدد سبل الاحتيال !
في احيان كثيرة يستمر هذا الخداع لعدة سنوات وذلك من اجل الوصول للهدف !
هذا النوع يعتبر من اخطر انواع الاختراقات في تأثيره النفسي على الضحية، لأنه لم يشك ولو ١٪ في صدق نوايا الطرف الآخر ( المهندس الاجتماعي )
- كم مره سمعت قصة عن شاب يقلد صوت بنت من اجل الحصول على بطاقة شحن ؟
النقطة الأخيرة في هذا الثريد.
- لماذا الهندسة الاجتماعية تنجح غالباً؟ او لماذا هي خطرة لهذا الحد ؟
١- السلطة [ Authority ]
الجميع منا تربى على احترام السلطة، ولذلك تنجح اذا كان هناك انتحال لشخصية مدير او جهه حكومية في اغلب الاحيان اذا لم يستطيع الشخص معرفة حقوقه وحدود السلطة !
٢- التهديد [ Intim
idation ]
فمثلاً: البع
ض يقع ضحية صفحات مزورة ( لقد تم اكتشاف فايروس في جهازك !! لمسح هذا الفايروس حمل هذا البرنامج المجاني ؟؟ )
وبكذا تكون انت السبب في اختراق جهازك بتحميل هذه البرامج المشبوهه!
٣- اتباع الرأي العام [Social Proof]
مثلاً عندما يكون هناك شخص محتال ولكن يملك قاعدة جماهيرية فسمعته الجيدة المزيفة تجعل الضحايا يتهافتون اليه نظراً لأن فلان صاحبي وثق فيه، المستثمر الفلاني استثمر معاه، الجهة الاعلامية الفلانية قامت بعمل مقابلة معه، وكذا الضحايا يؤدلجون !
٤- النقص في التوفر [ Scarcity ]
افضل مثال عند اصدار اي جهاز ايفون جديد الكل يعلم أن امكانية توفره في السوق بشكل سريع مستحيل وذلك لكثرة الطلب عليه اولاً أو للبعد الجغرافي، استغلال هذه الحاجة لدى المستهلك بخداعه بأكثر من طريقه وذلك لكسب المال او معلومات بنكية بدون توفير المنتج !
ولتوضيح المثال بشكل اكبر تتزايد المواقع التي توهم المستهلك بأنه سيتم السحب على ايفون بشكل عشوائي وذلك فقط بتعبئة نموذج بشكل سريع، مثل الاسم، البريد الالكتروني، رقم الجوال، فيتم اضافة هذه المعلومات على قاعدة بيانات كبيرة يتم بيعها لشركات الاعلانات فتملأ جوالك وايميلك بها !
٥- العَجَلة [ Urgency ]
البعض يستخدم هذا الاسلوب بأكثر من طريقة مثلاً في هجمات الفدية عندما يتم تشفير ملفاتك دائماً تجد عداد وقت تنازلي لمده معينة فاذا لم تقم بالدفع سيتم التخلص من مفاتيح التشفير وكذا انت ما تقدر تسترجع ملفاتك للابد !
فبذلك يستغل عامل الوقت والعجلة في مصلحته 👌🏼
٦- الثقة [ Trust ]
بكل تأكيد الآن لديكم فكرة كيف تستخدم الثقة في الهندسة الاجتماعية، وذكرت سابقاً عن مثا
١- انتحال الشخصية [ Impersonating ]
٢- سرقة النظر [ Shoulder Surfing ]
٣- الخداع [ Tricking ]
٤- التتبع [ Tailgating ]
٥- البحث في المخلّفات [ Dumpster Diving ]
١- انتحال الشخصية [ Impersonating ]
في هذا النوع من الهندسة الاجتماعية تتم فيها انتحال شخصية شخص صاحب سلطة وذلك لاقناعك بالافصاح عن بعض المعلومات السرية عنك مثل: مدير، شرطة، مباحث.
سواء كان ذلك عن طريق التعامل المباشر أو بالاتصال الهاتفي أو ايميل موجه لك أو محادثة كتابية ..
٢- سرقة النظر [ Shoulder Surfing ]
في هذا النوع يتم بطريقة مباشرة، فمن الممكن أن يكون شخص غريب في المناطق العامة ينظر الى باسورد جوالك عندما تقوم انت بفتحه؟ او البعض يترك ملصقات في مكتبه لكلمات سر لحساباته حتى لا ينساها، او غيرها من هذه الطرق التي تعتمد على سرقة النظر.
٣- الخداع [ Tricking ]
قد يكون هذا النوع مقارب للنوع الأول أو مكملاً له، فهنا يتم خداعك بطرق مختلفة عن صاحب السلطة مثلاً: صديق مقرب لك، فرد من العائلة، شركة تتعامل معها، بنك، جهة حكومية ..الخ
وذلك ايضاً للافصاح عن معلومات سرية او الاستفادة منها بطريقه مباشرة او غير مباشرة !
٤- التتبع [ Tailgating ]
وهي باختصار الدخول للاماكن الغير مصرح لك دخولها عن طريق الحيلة في تتبع موظف او شخص يحق له الدخول لهذه المنطقه.
هناك تفصيل كبير في هذا الموضوع ونزلت عنه مومنت لوضع الحلول في هذا الموضوع وذلك عن طريق [ Mantraps ]
٥- البحث في المخلّفات [ Dumpster Diving ]
باختصار يمكن معرفة معلومات سرية اذا ما كانت مطبوعة او مكتوبة على ورق ويتم التخلص منها فقط برميها ! فهذا النوع يتم تنقيب المخلّفات للحصول على تلك المعلومات، لذلك ينصح باستخدام آلة تمزيق الاوراق Shredder
بكذا عرفنا اغلب أنواع الهندسة الاجتماعية واكثرها انتشاراً ونجاحاً ، ولكن طرق الاحتيال لا تتوقف عند هذه الانواع فقط بل قد يتفرع منها انواع مختلفة ..
وكذلك قد تكون الاهداف المراد الوصول لها مختلفة ليست فقط من اجل الحصول على حسابك البنكي او الحصول على كلمة السر.
فالهندسة الاجتماعية تخترق العقول و قد يتم استخدام الاحتيال من اجل
- هدف تسويقي ( بتشويه سمعه منتج منافس )
- الحصول على وظيفة ( شهادات مزورة )
- مادي ( التسول بهيئة وملبس محترم وقطعت به السبل )
- مكانة اجتماعية ( اختراع وهمي ، ابتكار كاذب ..الخ )
و تتعدد سبل الاحتيال !
في احيان كثيرة يستمر هذا الخداع لعدة سنوات وذلك من اجل الوصول للهدف !
هذا النوع يعتبر من اخطر انواع الاختراقات في تأثيره النفسي على الضحية، لأنه لم يشك ولو ١٪ في صدق نوايا الطرف الآخر ( المهندس الاجتماعي )
- كم مره سمعت قصة عن شاب يقلد صوت بنت من اجل الحصول على بطاقة شحن ؟
النقطة الأخيرة في هذا الثريد.
- لماذا الهندسة الاجتماعية تنجح غالباً؟ او لماذا هي خطرة لهذا الحد ؟
١- السلطة [ Authority ]
الجميع منا تربى على احترام السلطة، ولذلك تنجح اذا كان هناك انتحال لشخصية مدير او جهه حكومية في اغلب الاحيان اذا لم يستطيع الشخص معرفة حقوقه وحدود السلطة !
٢- التهديد [ Intim
idation ]
فمثلاً: البع
ض يقع ضحية صفحات مزورة ( لقد تم اكتشاف فايروس في جهازك !! لمسح هذا الفايروس حمل هذا البرنامج المجاني ؟؟ )
وبكذا تكون انت السبب في اختراق جهازك بتحميل هذه البرامج المشبوهه!
٣- اتباع الرأي العام [Social Proof]
مثلاً عندما يكون هناك شخص محتال ولكن يملك قاعدة جماهيرية فسمعته الجيدة المزيفة تجعل الضحايا يتهافتون اليه نظراً لأن فلان صاحبي وثق فيه، المستثمر الفلاني استثمر معاه، الجهة الاعلامية الفلانية قامت بعمل مقابلة معه، وكذا الضحايا يؤدلجون !
٤- النقص في التوفر [ Scarcity ]
افضل مثال عند اصدار اي جهاز ايفون جديد الكل يعلم أن امكانية توفره في السوق بشكل سريع مستحيل وذلك لكثرة الطلب عليه اولاً أو للبعد الجغرافي، استغلال هذه الحاجة لدى المستهلك بخداعه بأكثر من طريقه وذلك لكسب المال او معلومات بنكية بدون توفير المنتج !
ولتوضيح المثال بشكل اكبر تتزايد المواقع التي توهم المستهلك بأنه سيتم السحب على ايفون بشكل عشوائي وذلك فقط بتعبئة نموذج بشكل سريع، مثل الاسم، البريد الالكتروني، رقم الجوال، فيتم اضافة هذه المعلومات على قاعدة بيانات كبيرة يتم بيعها لشركات الاعلانات فتملأ جوالك وايميلك بها !
٥- العَجَلة [ Urgency ]
البعض يستخدم هذا الاسلوب بأكثر من طريقة مثلاً في هجمات الفدية عندما يتم تشفير ملفاتك دائماً تجد عداد وقت تنازلي لمده معينة فاذا لم تقم بالدفع سيتم التخلص من مفاتيح التشفير وكذا انت ما تقدر تسترجع ملفاتك للابد !
فبذلك يستغل عامل الوقت والعجلة في مصلحته 👌🏼
٦- الثقة [ Trust ]
بكل تأكيد الآن لديكم فكرة كيف تستخدم الثقة في الهندسة الاجتماعية، وذكرت سابقاً عن مثا
ل : الشاب الذي يوثق في فتاة ما، او حتى العكس بايهام الفتاة انه سيخطبها، وبكذا يكون الاستغلال مادي او عاطفي.
#كيف أحمي نفسي؟
أولاً وقبل كل شيء تجنب مشاركة أي معلومات أو بيانات شخصية مع أي جهة كانت، وعلى الرغم من سهولة القيام بهذا الأمر فإن الكثير من المستخدمين يغفلون عن هذه النصيحة.
ثانيا، تحقق دائما من الأشخاص الذين تتحدث إليهم سواء عبر الهاتف أو البريد الإلكتروني أو خدمات التواصل الفوري وغيرها، مثلا لو كان المتصل من شركة رسمية فلا تجد حرجاً في أن تطلب منه معلوماته الكاملة وأن يقوم بالاتصال من رقم هاتف رسمي يمكن التحقق منه.
ثالثا، لا تفتح مرفقات البريد الإلكتروني من أشخاص غير معروفين، فلغاية الآن يتم استخدام هذه الطريقة على نطاق واسع لنشر البرمجيات الخبيثة والحصول على المعلومات الشخصية، وذلك من خلال انتحال هوية شركات كبرى وإرفاق بعض الملفات في البريد.
رابعا، اعمل على تأمين هاتفك الذكي أو حاسوبك المحمول، يمكن أن تعتمد على فلترة البريد المزعج بالاعتماد على أدوات خاصة، كذلك اعتمد على برامج قوية لمكافحة الفيروسات تتضمن أدوات لمكافحة رسائل وصفحات التصيد.
لماذا تنجح الهندسة الاجتماعية رغم الحذر؟
يعتمد الموضوع ببساطة على استهداف الناحية النفسية للإنسان، حيث يستخدم المخترقون بعض المحفزات الأساسية للسلوك البشري مثل زرع الخوف والفضول والإلهاء والحماسة وغيرها.
فيمكن لصورة عبر البريد الإلكتروني أن تثير عواطفك للتبرع لجهة خيرية معينة بشكل مخادع، أو من خلال إثارة الخوف داخلك عبر إعلامك باختراق إحدى حساباتك وأنه يجب إعادة تعيين كلمة المرور، أو يمكن أن يدفعك الفضول لمشاهدة هذه الصورة المضحكة أو قراءة خبر مثير للاهتمام.
هل أنت حريص بما فيه الكفاية؟
قد يدور في ذهنك الآن أنه لا يمكن أن أُخدع بمثل هذه الأساليب الاجتماعية، لكن يجب عليك أن تعلم أن بعض المسؤولين الكبار في الشركات العالمية قد تعرضوا لمثل هذه الأنواع، فهناك طرق يتم استخدامها تفوق عمليات النصب التي يتم استخدامها في أقوى أفلام الجريمة، لذا لا تعتمد فقط على حرصك وذكائك بل تأكد من اتباعك للممارسات الأمنية الصحيحة في كل الأحوال.
ماذا عن الشركات؟
أظهرت دراسة أجرتها شركة فيرايزون الأميركية مؤخرا أن الكثير من هجمات الاحتيال والتصيد تستهدف موظفي الإدارات المالية داخل الشركات نظراً لكونهم المشرفين على عمليات تحويل الأموال.
وربما يكفي تأكيد شركتي غوغل وفيسبوك قبل أيام تعرضهما لعمليات احتيال بقيمة مئة مليون دولار لتعلم كيف يقوم هؤلاء المخترقون بأعمالهم بدرجة عالية من الاحترافية.
لذا ينبغي على الشركات العمل على تدريب الموظفين، خصوصاً موظفي القطاع المالي، على اتخاذ التدابير الأمنية السليمة، فالعامل البشري هو الجزء الأهم في أي نظام تتبعه مهما كان هذا النظام آمنا.
أولاً وقبل كل شيء تجنب مشاركة أي معلومات أو بيانات شخصية مع أي جهة كانت، وعلى الرغم من سهولة القيام بهذا الأمر فإن الكثير من المستخدمين يغفلون عن هذه النصيحة.
ثانيا، تحقق دائما من الأشخاص الذين تتحدث إليهم سواء عبر الهاتف أو البريد الإلكتروني أو خدمات التواصل الفوري وغيرها، مثلا لو كان المتصل من شركة رسمية فلا تجد حرجاً في أن تطلب منه معلوماته الكاملة وأن يقوم بالاتصال من رقم هاتف رسمي يمكن التحقق منه.
ثالثا، لا تفتح مرفقات البريد الإلكتروني من أشخاص غير معروفين، فلغاية الآن يتم استخدام هذه الطريقة على نطاق واسع لنشر البرمجيات الخبيثة والحصول على المعلومات الشخصية، وذلك من خلال انتحال هوية شركات كبرى وإرفاق بعض الملفات في البريد.
رابعا، اعمل على تأمين هاتفك الذكي أو حاسوبك المحمول، يمكن أن تعتمد على فلترة البريد المزعج بالاعتماد على أدوات خاصة، كذلك اعتمد على برامج قوية لمكافحة الفيروسات تتضمن أدوات لمكافحة رسائل وصفحات التصيد.
لماذا تنجح الهندسة الاجتماعية رغم الحذر؟
يعتمد الموضوع ببساطة على استهداف الناحية النفسية للإنسان، حيث يستخدم المخترقون بعض المحفزات الأساسية للسلوك البشري مثل زرع الخوف والفضول والإلهاء والحماسة وغيرها.
فيمكن لصورة عبر البريد الإلكتروني أن تثير عواطفك للتبرع لجهة خيرية معينة بشكل مخادع، أو من خلال إثارة الخوف داخلك عبر إعلامك باختراق إحدى حساباتك وأنه يجب إعادة تعيين كلمة المرور، أو يمكن أن يدفعك الفضول لمشاهدة هذه الصورة المضحكة أو قراءة خبر مثير للاهتمام.
هل أنت حريص بما فيه الكفاية؟
قد يدور في ذهنك الآن أنه لا يمكن أن أُخدع بمثل هذه الأساليب الاجتماعية، لكن يجب عليك أن تعلم أن بعض المسؤولين الكبار في الشركات العالمية قد تعرضوا لمثل هذه الأنواع، فهناك طرق يتم استخدامها تفوق عمليات النصب التي يتم استخدامها في أقوى أفلام الجريمة، لذا لا تعتمد فقط على حرصك وذكائك بل تأكد من اتباعك للممارسات الأمنية الصحيحة في كل الأحوال.
ماذا عن الشركات؟
أظهرت دراسة أجرتها شركة فيرايزون الأميركية مؤخرا أن الكثير من هجمات الاحتيال والتصيد تستهدف موظفي الإدارات المالية داخل الشركات نظراً لكونهم المشرفين على عمليات تحويل الأموال.
وربما يكفي تأكيد شركتي غوغل وفيسبوك قبل أيام تعرضهما لعمليات احتيال بقيمة مئة مليون دولار لتعلم كيف يقوم هؤلاء المخترقون بأعمالهم بدرجة عالية من الاحترافية.
لذا ينبغي على الشركات العمل على تدريب الموظفين، خصوصاً موظفي القطاع المالي، على اتخاذ التدابير الأمنية السليمة، فالعامل البشري هو الجزء الأهم في أي نظام تتبعه مهما كان هذا النظام آمنا.
اداه Social Engineering Toolkit:
هذه الأداة تم كتابتها من قبل مؤسس TrustedSec وهي أداة مفتوحة المصدر مكتوبة بلغة بايثون ومعدة للقيام بعمليات اختبار الاختراق عن طريق الهندسة الاجتماعية. هذه الأداة تستخدم بكثرة من قبل مختبري الاختراق والحماية من أجل القيام بعملية فحص حالة الحماية للمنظمات أو الشركات الهدف. هذه الأداة موجودة بشكل افتراضي في نظام كالي لينكس ويمكن الوصول إليها باستخدام التعليمة.
استخدام SET :
يمكن الوصول إلى المستخدم الهدف عن طريق موقع يثق فيه هذا المستخدم ويمكن استخدام أي موقع ولكن يفضل استخدام موقع بسيط .المثال التالي هو عملية نسخ لموقع SharePoint (يمكن أن يكون أي موقع أخر) والهدف من ذلك هو استغلال الهدف من خلال فتح جلسة meterpreter والاتصال والتحكم بجهازه
هذه الأداة تم كتابتها من قبل مؤسس TrustedSec وهي أداة مفتوحة المصدر مكتوبة بلغة بايثون ومعدة للقيام بعمليات اختبار الاختراق عن طريق الهندسة الاجتماعية. هذه الأداة تستخدم بكثرة من قبل مختبري الاختراق والحماية من أجل القيام بعملية فحص حالة الحماية للمنظمات أو الشركات الهدف. هذه الأداة موجودة بشكل افتراضي في نظام كالي لينكس ويمكن الوصول إليها باستخدام التعليمة.
استخدام SET :
يمكن الوصول إلى المستخدم الهدف عن طريق موقع يثق فيه هذا المستخدم ويمكن استخدام أي موقع ولكن يفضل استخدام موقع بسيط .المثال التالي هو عملية نسخ لموقع SharePoint (يمكن أن يكون أي موقع أخر) والهدف من ذلك هو استغلال الهدف من خلال فتح جلسة meterpreter والاتصال والتحكم بجهازه
سوف يتم سؤالك إذا كنت تريد استخدام أحد القوالب الموجودة في SET أو إذا كنت تريد نسخ موقع موجود فعلياً . القوالب الافتراضية ليست جيدة وانصحك بنسخ الموقع الذي تريد استخدامه في عملية الهجوم (في هذا المثال SharePoint)
الشاشة السابقة تظهر عدة خيارات عن كيفية نسخ الموقع من قبل المستخدم, في هذا المثال سوف نستخدم site-cloner option , بعد تحديد هذا الخيار فإن SET سوف تسأل سلسلة من الأسئلة مثل : NAT/Port forwarding و هو سؤال فيما إذا كان الهدف سوف يتصل مع جهازك عن طريق عنوانIP الخاص بنظام الكالي أو أنه سوف يتصل عن طريق عنوان IP مختلف (مثل NAT address)
الشاشة السابقة تظهر عدة خيارات عن كيفية نسخ الموقع من قبل المستخدم, في هذا المثال سوف نستخدم site-cloner option , بعد تحديد هذا الخيار فإن SET سوف تسأل سلسلة من الأسئلة مثل : NAT/Port forwarding و هو سؤال فيما إذا كان الهدف سوف يتصل مع جهازك عن طريق عنوانIP الخاص بنظام الكالي أو أنه سوف يتصل عن طريق عنوان IP مختلف (مثل NAT address)
اختر yes إذا كانت عملية الاختبار لأشخاص ضمن شبكة خارجية أو اختر no إذا كانت عملية الاختبار لأشخاص ضمن نفس الشبكة الخاصة بك (شبكة داخلية)
عندما تقوم SET بتسليم payload إلى الهدف فهو بحاجة لأن يخبر الهدف كيف سيقوم بالاتصال العكسي مع كالي . هنا قم بوضع عنوان IP الخاص بنظام كالي لينكس