سوق العرب | معهد سكيورتى العرب | وظائف خالية

نسخة كاملة: الهندسة الاجتماعية
أنت حالياً تتصفح نسخة خفيفة من المنتدى . مشاهدة نسخة كاملة مع جميع الأشكال الجمالية.
السلام عليكم ورحمة الله وبركاته :

الهندسة الاجتماعية


تعريف الهندسة الاجتماعية:

ليس لمصطلــح الهندسة الاجتماعية (Social Engineering) معنى متفق عليـه، ولكن من أقرب التعريفات أن نقول إنها استخدام المهاجم لحيل نفسية كي يخدع مستخدمي الحاسوب ليمكنوه من الوصول إلى أجهزة الحاسوب أو المعلومات المخزنة فيها([1]). وخلافـاً لما قـد يتوهم بعض الناس، فإن الهندسة الاجتماعية يجب أن تكون على رأس قائمة وسائل الهجوم التي يجب أن نحاول حماية المعلومات منها، والسبب في ذلك يرجع إلى الآتي:

(أ) أن الهندسة الاجتماعية من أنجح الوسائل التي يستخدمها المهاجم لسهولتها مقارنة بالوسائل التقنية الأخرى([2]).

(ب) أن المتخصصين في مجال أمن المعلومات وكذلك مستخدمي الحاسوب لا يعيرون خطر الهندسة الاجتماعية من اهتمامهم سوى النزر اليسير.

[2] جوانب الهجمات بأسلوب الهندسية الاجتماعية:

يرى بعض الباحثين([3]) أن الهجمات باستخدام أسلوب الهندسية الاجتماعية يمكن أن تشن على عدة أصعدة:
أ- الصعيد الحسي

يكون التركيز على موضع الهجوم والبيئة المحيطة به ويدخل ضمن هذا:

(1) مكان العمل : يدخل المهاجم مكان العمل متظاهراً بأنه أحد الموظفين أو المتعاقدين مع جهة العمل أو عمال النظافة أو الصيانة. وإذا تمكن المهاجم من الدخول فإنه يطوف بالمكاتب لجمع ما يمكنه جمعه من كلمات المرور التي قد تكون مكتوبة على أوراق ملصقة بشاشة الحاسوب أو لوحة المفاتيح.

(2) الهاتف: يستخدم بعض المهاجمين الهاتف لشن هجمات بأسلوب الهندسية الاجتماعية وأكثر الأشخاص تعرضاً لهذا النوع من الهجمات هم العاملــون في مراكز تقديم الدعم الفني (Help Desk)، فالمهاجم مثلاً قد يتصل بمركز تقديم الدعم الفني هاتفياً ويطلب منه بعض المعلومات الفنية، وتدريجياً يحصل على ما يريده من معلومات ككلمات المرور وغيرها، وبعد ذلك يستخدم هذه المعلومات التي يحصل عليها لشن هجمات على حواسيب المنشأة. ويرى الكاتبان أن هذا النوع من السهل تنفيذه ضد البنوك و الشركات والمؤسسات في مجتمعنا؛ بسبب تركيبتنا النفسية والاجتماعية التي تجعل عدداً منا يولي ثقته بسهولة لكل أحد.

(3) النفايات: قد يستغرب بعضنا إذا علم أن هذه الطريقة من أكثر الطرق شعبية بين المهاجمين الذين يستخدمون الهندسة الاجتماعية، والسر في شعبيتها أن المهاجم يستطيع جمع معلومات كثيرة ومهمة دون أن يلفت انتباه أحد.

ومن المعلومات التي توجد في النفايات كلمات المرور، والهيكل التنظيمي للشركة، ودليل هواتف الشركة، وأسماء العملين فيها، ومواعيد اجتماعات الموظفين، وفواتير الشراء... الخ. ولندلل على ما نقول نود من القارئ أن يتخيل ما يمكن أن يحدث عندما يحصل المهاجم على تقويم العام المنصرم الذي يحوي مواعيد اجتماعات موظف ما وأماكن انعقادها ومواضيع الاجتماعات والأطراف المشاركة فيها. إن هذه المعلومات تضفي على المهاجم نوعاً من الشرعية، فقد يتصل مثلاً بسكرتير أحد الأشخاص المهمين المشاركين في أحد هذه الاجتماعات متظاهراً بأنه سكرتير مشارك آخر، ويطلب منه إرسال نسخة من التوصيات أو القرارات التي خرج بها المجتمعون إلى بريده الإلكتروني. ولاشك أن المهاجم عندما يذكر للسكرتير مكان الاجتماع وموعد انعقاده وأسماء بعض من حضروه، فإن السكرتير سيظن أن المهاجم هو حقاً سكرتير موظف آخر مشارك في الاجتماع، وإلا كيف عرف كل هذه التفاصيل عن الاجتماع، وهذا يجعل السكرتير يرسل للمهاجم ما طلب، ويمكن للمهاجم الاستفادة من هذه المعلومات الجديدة التي حصل عليها لشن المزيد من الهجمات للحصول على مزيد من المعلومات وهكذا.

(4) الإنترنت: عندما يستخدم شخص ما عدة برامج أو تطبيقات يتطلب كل منها كلمة مرور مثل: (Yahoo) و(Hotmail) وغيرها فإنه غالباً ما يجنح إلى استخدام كلمة مرور واحدة لها جميعاً ليسهل على نفسه تذكرها، لكن المشكلة أنه عندما يستطيع مهاجم ما معرفة كلمة المرور هذه فإنه يصبح من السهل عليه اختراق كل التطبيقات التي يتعامل معها صاحب كلمة المرور الأصلي. ومن وسائل المهاجمين في الحصول على كلمة المرور الإنترنت، فمثلاً يقيم المهاجم المتربص موقعاً على شبكة الإنترنت يقدم خدمات معينة، مثل: تنزيل البرامج المجانية، ولكنه يشترط على الراغب في تنزيل هذه البرامج أن يدخل رقم المستخدم وكلمة المرور. ونتيجة لما أشرنا إليه آنفاً من أن بعض مستخدمي الحاسوب يفضل استخدام كلمة مرور واحدة لكل التطبيقات التي يتعامل معها فإن كلمة المرور التي يدخلها في ذلك الموقع غالباً ما تكون هي كلمة المرور نفسها التي يستخدمها في تطبيقاته الأخرى. ومن هنا يحصل المهاجم على كلمة المرور للدخول على معلومات المستهدف المخزنة في التطبيقات الأخرى.

ومن الحيل التي غالبا ما تستخدم بعد نجاح المهاجم في اختراق شبكة الشركة أو المؤسسة: أن يقوم المهاجم بإرسال رسالة إلى جهاز الشخص المستهدف بحيث تظهــر هـــــــذه الرسالة في صـورة صندوق حـــواري (Dialog Box) كأنها رسالة قادمة من إداري الشبكة يطلب فيها من الشخص المستهدف أن يعيد إدخال اسم المستخدم وكلمة المرور مبررا ذلك بوجود تحديث في الشبكة أو وجود مشاكل فنية تستلزم ذلك. و إذا انطلت الحيلة على الشخص المستهدف يحصل المهاجم على كل ما يلزمه للوصول للمعلومات الخاصة بذلك الشخص.
ب- الصعيد النفسي

هذا المستوى يعنى بالمناخ النفسي المحيط بالطريقة التي ينفذ بها الهجوم, فالمهاجم يسعى إلى خلق الأجواء النفسية المناسبة لإيهام الضحية بأن المهاجم شخص موثوق به ولديه صلاحية الاطلاع على المعلومات الحساسة للشخص المستهدف أو المنشأة المستهدفة.
روابط المرجعيات