الهندسة الاجتماعية:

هي عبارة عملية سرقة المعلومات من الأخرين من غير أي تفاعل مع النظام أو الشبكة المستهدفة، فهو يعتبر هجوم غير تقني (non-technical attack)، فالهندسة الاجتماعية بمثابة فن إقناع الهدف بالكشف عن معلوماته، ويتم ذلك على أي منصة مثل منصات التواصل الاجتماعي، التي تعتبر منصات شائعة للهندسة الاجتماعية.

ماسبب هجمات الهندسة الاجتماعية(what is the reason to Social Engineering Attacks) ؟

سببها  “الثقة“، يثق المستخدم بمستخدم آخر غير موثوق على بيانات الاعتماد الخاصة به (Credentials)، مما يؤدي ذلك إلى الهجوم من قبل الهاكر.

فالمنظمات قد تتعرض لذلك أيضًا فهي غير مدركة لهجمات الهندسة الاجتماعية (Social Engineering) لذلك لا توفر إجراءات مضادة أواحتياطات لازمة، وعدم تدريب الموظفين بشكل غير كافي يؤدي إلى ثغرة أمنية.

بناءً على ما سبق، يجب على كل منظمة تدريب موظفيها ليكونوا على دراية بالهندسة الاجتماعية، و يجب أيضًا تأمين بنيتها التحتية، من خلال تقييد أداء الموظف الذي يتمتع بامتيازات privileges  في مستويات مختلفة من السلطة، وعدم السماح له بدخول الأقسام مثل قسم المالية، و يجب أن يقتصر دخول قسم المالية على موظفي إدارتها،

فإذا سُمح للموظف ذو الامتيازات بالتنقل بحرية قد يؤدي ذلك الى الهندسة الاجتماعية باستخدام Dumpster Diving أو Shoulder surfing.

•اضافة لذلك قد يؤدي ضعف سياسات الأمان والخصوصية للخطر، فالسياسات الأمنية يجب أن تكون قوية بما يكفي لمنع الموظف من انتحال شخصية (impersonating) مستخدم آخر.

ويجب الحفاظ على الخصوصية بين الأشخاص غير المصرح لهم (unauthorized people ) والعملاء وموظفي المنظمة من أجل آمن معلومات المنظمة من الوصول أو السرقة.

ملاحظة : الناس غير مدركين أهمية المعلومات القيمة التي لديهم.

ماهي أنواع الهندسة الإجتماعية (Social Engineering)؟

^{يمكن تنفيذ هجمات الهندسة الاجتماعية بتقنيات مختلفة و يتم تصنيف تقنيات هجوم الهندسة الاجتماعية المختلفة في الأنواع التالية:}

ماهي انواع الهندسة الاجتماعية القائمة على الإنسان Human -based Social Engineering؟

1. انتحال الهوية أو الشخصية (Impersonation)

انتحال الشخصية هو أسلوب هندسي اجتماعي قائم على أساس الإنسان(a human-based social engineering technique) يعني التظاهر بأنك شخص أو شيء ما بمعنى آخر حيث يتظاهر الهاكر بأنه مستخدم شرعي أو يتظاهر أنه شخصًا مخولًا(an authorized person)، و قد يكون انتحال الشخصية إما شخصيًا أو خلف قناة اتصال مثل أثناء الاتصال بالبريد الإلكتروني ،الهاتف… إلخ.

يتم انتحال الهوية الشخصية (a Personal- impersonating)عن طريق سرقة الهوية وذلك عندما يكون لدى المهاجم معلومات شخصية كافية عن شخص مخول(an authorized person) حيث يقوم المهاجم (attacker)بجمع معلومات تنتحل صفة المستخدم الشرعي(a legitimate user)، مثال كانتحال صفة وكيل الدعم الفني (Technical support agent).

2.التنصت (Eavesdropping) و الـShoulder Surfing

–التنصت(Eavesdropping): هي تقنية يكشف فيها المهاجم عن معلومات يتم الاستماع إلىها سرًا،لا يشمل فقط الإستماع إلى محادثات بل يتضمن قراءة أو الوصول إلى أي معلومات دون إخطار أو علم.

–Shoulder Surfing: بالمفهوم العام هواختلاس النظر من وراء كتف الضحية اثناء تسجيله لمعلومات حساسة مثل رقم PIN في آلة الـ ATM أو تسجيل بيانات credit card في مكان عام أو في مقر عمل…إلخ، ومن ثم سرقة معلوماته من دون علمه، بمعنى آخر طريقة لجمع المعلومات من هدف عندما يتفاعل مع معلومات حساسة (sensitive information).

3. الغوص في المخلفات(Dumpster Diving)

هي عملية البحث عن الكنز في المخلفات، هي تقنية قديمة لكنها لا تزال فعالة حيث يتضمن الوصول إلى سلة مهملات الهدف مثل مهملات الطابعة ، ومكتب المستخدم ، ومخلفات الشركة للعثور على فواتير الهاتف ، معلومات الإتصال والمعلومات المالية ورموز المصدر وغيرها من مواد التي يمكن أن تفيد المهاجم.

4. الهندسة الاجتماعية العكسية(Reverse Social Engineering)

يتطلب هجوم الهندسة الاجتماعية العكسي تفاعل المهاجم و الضحية ، حيث يقنع المهاجم الهدف بوجود مشكلة أو ربما لديه مشكلة في المستقبل، فإذا استطاع إقناع الضحية فسوف يقدم المعلومات التي طلبها منه الهاكر.

يتم تنفيذ الهندسة الاجتماعية العكسية من خلال الخطوات التالية:

1. يعلن الهاكر عن نفسه على أنه شخص مخول لحل هذه المشكلة.

2. يكتسب المهاجم ثقة الهدف ويحصل على إمكانية الوصول إلى مواقع المعلومة الحساسة.

3.يقوم المهاجم بإتلاف نظام الهدف أو يحدد نقاط الضعف.

4. Piggybacking و Tailgating

Piggybacking و Tailgating هما تقنيتان مماثلتان.

–Piggybacking: هي تقنية أن ينتظر فيها الشخص غير المرخص له ( unauthorized person) الشخص المخول الدخول في منطقة محظورة (a restricted area).

-Tailgating: هي تقنية وصول شخص غير مصرح له إلى المنطقة المحظورة باتباع الشخص المرخص بإستخدام هويات وهمية(Fake IDs) والمتابعة القريبة و أثناءالمرور من نقطة تفتيش (checkpoint).

ماهي الهندسة الاجتماعية القائمة على الحاسوب (Computer-based Social Engineering)؟

هناك طرق مختلفة لأداء الهندسة الاجتماعية القائمة على الحاسوب :

1.النوافذ المنبثقة (Pop-up windows) التي تتطلب بيانات إعتماد تسجيل الدخول(login credentials).

2. المراسلة عبر الإنترنت (Internet Messaging).

3.رسائل البريد الإلكتروني مثل رسائل الخداع(Hoax letters) ورسائل السلسلة (Chain letters) والبريد العشوائي ( Spam).

4.التصيد(Phishing) عملية التصيد هي تقنية يتم فيها إرسال بريد إلكتروني مزيف يشبه البريد الإلكتروني الموثوق إلى الضحية و عند فتح المستلم الرابط يتم خداعه لتقديم المعلومات، وعادة يتم إعادة توجيه الضحية إلى صفحة ويب مزيفة تشبه موقع ويب رسمي(official website) حيث يوفر المستخدم(الضحية) كل المعلومات الحساسة إلى موقع ويب مزيف بسبب إعتقاده أنه موقع ويب رسمي بسبب تشابههما.

5. التصيد بالرمح – Spear Phishing

هو نوع من التصيد الذي يركز على هدف ما وهذا النوع يهاجم الأفراد (individual) حيث أنه يولد أعلى معدل إستجابة مقارنة بهجمات التصيد العشوائي.

ماهي الهندسة الإجتماعية القائمة على الهاتف المحمول(Mobile-based Social Engineering)؟

تتم الهندسة الاجتماعية القائمة على الهاتف المحمول(Mobile-based Social Engineering) من خلال التقنيات التالية:

1.نشر تطبيقات ضارة (malicious application Publishing)

نشر تطبيقات ضارة :هي تقنية يتم من خلالها نشرتطيبق ضار في متجر التطبيقات(application store ) بحيث يكون متاحًا للتنزيل من قبل أكبر عدد من المستخدمين، عادةً ما تكون هذه التطبيقات الضارة نسخة طبق الأصل أو نسخة مشابهة من ملف تطبيق رائج، على سبيل المثال: قد يطور المهاجم(attacker) ملف تطبيق ضار مشابهة لنسخة الفيس بوك وبذلك يقوم المستخدم بدلًا من تحميل البرنامج الرسمي أو الحقيقي(official application) قد يقوم بتنزيل التطبيق الضار عن طريق الخطأ .

تتم عملية الهندسة الاجتماعية هنا عندما يقوم المستخدم بتسجيل الدخول بهذا البرنامج الضار ثم يعمل هذا التطبيق على إرسال بيانات إعتماد تسجيل الدخول (login credentials) الخاصة بالضحية إلى الخادم البعيد(remote server) الذي يتحكم فيه المهاجم.

2. إعادة تجميع التطبيقات القانونية أو الموثوقة (Repackaging Legitimate Apps)

إعادة تجميع التطبيقات القانونية أو الموثوقة: هي تقنية أخرى تتمثل في إعادة حزم(repacking) ملف تطبيق موثوق به ببرامج ضارة(repacking a legitimate application with malware)، حيث يقوم المهاجم في البداية بتنزيل تطبيق شائع (popular application) يعد أكثر طلبًا في متجر التطبيقات (application store)عادةً ما تكون هذه التطبيقات هي ألعاب وبرامج مكافحة الفيروسات هي الأكثر استخدامًا ثم يقوم المهاجم بإعادة حزم (repacking) التطبيق بالبرامج الضارة ثم رفع التطبيق الضار إلى متجر تابع لجهة خارجية (a third-party store).

وقد لا يعلم المستخدم بتوافر هذا التطبيق في متجر التطبيقات الموثوق أو ربما يحصل على رابط مجانًا لتنزيل تطبيق مدفوع، و بدلًا من تحميل التطبيق من متجر موثوق ، يقوم الضحية بتحميله من جهة خارجية ثم يقوم بتسجيل الدخول ، وبذلك سيرسل هذا التطبيق الضار بيانات اعتماد تسجيل الدخول(the login credentials) إلى خادم بعيد (remote server)يتحكم فيه المهاجم(attacker).

3.تطبيقات الأمن المزيفة ( fake security application).

قد يطور المهاجم تطبيق أمني مزيف، ويمكن تنزيل هذا التطبيق المزيف من خلال نافذة منبثقة

(a pop-up window) عندما يتصفح المستخدم مواقع على الإنترنت.

م.أمــل عــبدالكريم الأصــبحي،،،

مصدر المعلومات كتاب:CEH V10 EC-COUNCIL CERTIFIED ETHICAL HACKER