معهد سكيورتي العرب | وظائف خالية
وظائف 2018 سوق السيارات عقارات 2018 الارشيف البحث
اسم العضو:  
كلمة المرور:     
تسجيل المساعدة قائمة الأعضاء اظهار المشاركات الجديدة اظهارمشاركات اليوم

انواع الهندسة الاجتماعية وطرق الحماية منها


انواع الهندسة الاجتماعية وطرق الحماية منها
التوقيت الحالي : 03-29-2024, 08:56 AM
مستخدمين يتصفحوا هذا الموضوع: 1 ضيف
الكاتب: dr.wolf
آخر رد: dr.wolf
الردود : 0
المشاهدات : 2829

إضافة رد 

انواع الهندسة الاجتماعية وطرق الحماية منها

الكاتب الموضوع

رقم العضوية :3
الاقامة : ام الدنيا
التواجد : غير متصل
معلومات العضو
المشاركات : 7,392
الإنتساب : Oct 2010
السمعة : 5


بيانات موقعي اسم الموقع : سكيورتي العرب
اصدار المنتدى : 1.6.8

مشاركات : #1
انواع الهندسة الاجتماعية وطرق الحماية منها

انواع الهندسة الاجتماعية وطرق الحماية منها


السلام عليكم ورحمة الله وبركاته :

انواع الهندسة الاجتماعية وطرق الحماية منها

الهدف من الهندسة الاجتماعية :

نستنتج من التعريف السابق, أن هدف المهندسين الاجتماعين (المهاجمين) هو خداع الأشخاص للحصول على المعلومات السرية كما سبق ذكره, أو للدخول الغير شرعي للأنظمة واختراقها أو تدميرها.


أنواع الهندسة الاجتماعية:

يمكن أن تصنف الهندسة الاجتماعية إلى نوعين:

النوع الأول: يعتمد على الجانب البشري وهو الغالب والأكثر شيوعا , حيث يتفاعل المهاجم مع الأشخاص للحصول على المعلومات المطلوبة.

النوع الثاني: يعتمد على تقنية الكمبيوتر, حيث يستخدم المهاجم برامج من خلالها يسترجع المعلومات المطلوبة.


الوسائل المستخدمة في الهندسة الاجتماعية :

في النوع الأول :

هناك عدة وسائل والتي سوف أقوم بشرحها في الأسطر التالية, حيث يستخدمها المهاجم للكشف عن المعلومات السرية التي لا تنحصر في كلمة السر فقط و إنما تتعداها إلى المعلومات الحساسة الخاصة بالشركة فعلى سبيل المثال : خطط عمل الشركة أو خطط التسويق المستقبلية .

ومن أشهر هذه الوسائل :

1- " ويسمى كذلك "بالهجوم المباشر:

حيث أن المهاجم يسأل الضحية مباشرة ليكمل له المهمة(مثلا، مكالمة السكرتارية و سؤالها عن اسم المستخدم و كلمة السر) و لأن هذه الطريقة هي أسهل طريقة و أكثرها مباشرة فهي نادرا ما تنجح، و إن كان الضحية ذا حس أمني فسوف يسارع بتغيير بياناته." ]1[

2- "انتحال شخصيات مثل عميل أو مراجع أو موظف تقني للحصول على الأرقام السرية أو أي معلومات تساعد على اختراق النظام عن طريق الموظف نفسه وبشكل مباشر دون استخدام أي تقنيات الكترونية، فهم يقومون باستخدام مهارات الهندسة الاجتماعية للحصول على اسم المستخدم، أو اسم النظام، أو الرقم السري أو طلب كتابة أوامر تساهم في فتح ثغرات في النظام أو تُعطي صلاحيات خاصة. مثال على ذلك، أن يتم الاتصال الهاتفي بالموظف أو مقابلته في مقر عمله على أن هناك مشكلة تحتاج إلى إصلاح أو أمر طارئ يستدعي الدخول على النظام مع إيهام الموظف انه إن لم يقدم المساعدة فإن المدير سيغضب منه، وقد يتم ذلك عن طريق عرض المساعدة في تركيب برامج أو ضبط إعدادات الحاسب الآلي أو قد يدعي احدهم بأنه موظف جديد ويحتاج لمساعدة مستغلين بذلك الزمالة الوظيفية وحسن النية وحب مساعدة الآخرين. وبالتالي تتم عملية الاختراق والحصول على معلومات قد تستخدم في علميات إرهابية أو تتعرض لأسرار أمنية أو مالية للشركات وللأجهزة الحكومية والأهلية".[4]

3- البحث في سلة المهملات :

حيث يقوم المهاجم بالبحث في صناديق القمامة عن قوائم لكلمات السر التي تم رميها مسبقا, أو عن أي معلومات تخص الطابعات, أو تخص دليل المستخدم لأي نظام [6], ومن ثم يستخدمها كوسيلة في هجماته.

4- النظر من خلف مستخدمي الكمبيوتر وهم يضعون كلماتهم السريةShoulder surfing" "

"وهي طريقه يستخدمها المهاجم لرؤية الشخص عند كتابته للرموز السرية إما أن يختلس النظر أو أن يكسب ثقة الشخص بحيث لا يمانع وجوده في نفس المكان وبذلك يستطيع أن يضمن رؤيته للرموز عند ضغطها على الحاسوب أو كتابتها " [2] و بالنظر إلى الصورة 1 يتضح المفهوم أكثر .

[صورة مرفقة: Shoulder_Surfing.jpg]
صورة 1 : توضح Shoulder Surfing ""
في النوع الثاني :

ومع تطور التكنولوجيا نجد أن المهاجمين دمجوا التكنولوجيا في مخططاتهم, لشن هجمات أكثر إبداعا, وتطورا, وتدميرا, ومن أشهر التقنيات المستخدمة:

1-التصيد: Phishing

في أمن المعلومات ، يعرف التصيد على انه عملية احتيالية " لمحاولة الحصول على معلومات حساسة مثل أسماء المستخدمين , كلمات السر وتفاصيل بطاقات الائتمان عن طريق التنكر ككيان موثوق فيه في الاتصالات الالكترونية" [5] التي قد تكون من خلال البريد الالكتروني أو مواقع الشبكات الاجتماعية ، أو مواقع الدردشة التي يتساهل فيها المستخدم بنشر معلوماته الشخصية متجاهلا خطورتها .

101- الاحتيال عن طريق رسائل البريد الالكتروني و المواقع على شبكة الانترنت :

البريد الالكتروني يوفر الفرص العظيمة للمهاجم فعلى سبيل المثال ، قد يتلقى الشخص رسالة في بريده الإلكتروني التي تبدو أنها آتية من مصدر موثوق فيه , كالبنك الخاص به أو غيرها من المؤسسات المالية التي تطلب منه تحديث معلومات حسابه, و في هذه الرسالة ، يوضع رابط مزيف أو وهمي على الشبكة العنكبوتية و الذي يظهر كأنه رابط حقيقي للموقع الالكتروني الخاص بالبنك أو المؤسسة ، فإذا قام الشخص بإدخال اسم المستخدم وكلمة السر الخاصة به وغيرها من معلوماته الشخصية فإن المهاجم يتمكن من سرقة هذه المعلومات لينتحل شخصية هذا الشخص بدون علمه , وفي الصورة 2 ما يوضح ذلك .

والتصيد عن طريق رسائل البريد الإلكتروني غالبا ما يتضمن أخطاء إملائية، وسوء استخدام قواعد اللغة، والتهديدات، والمبالغات.

وفي رسائل البريد الالكتروني قد يرفق المهاجم ملفات فيها فيروسات " ومن أشهر الفيروسات هي

I LoveYou ' Anna Kournikova ' ]1[

[صورة مرفقة: Phishing-attack.jpg]
صورة 2: توضح هجمات تصيد المعلومات "Phishing attack"



2- النوافذ المنبثقة:

وهي النوافذ التي تظهر على الشاشة وتخبر المستخدم بأنه قد فقد اتصاله بالشبكة, ويحتاج إعادة إدخال اسم المستخدم وكلمة السر الخاصة به, لكن توجد برامج مخفية تقوم بجمع المعلومات الخاصة بالمستخدم وإرسالها إلى البريد الالكتروني الخاص بالمهاجم.




طرق الحماية من الهندسة الاجتماعية :

تعد الهندسة الاجتماعية من الثغرات الأمنية التي يصعب منعها وحصرها, لأنها تعتمد و بشكل كبير على طبيعة البشر. لذا نلاحظ أن هناك الكثير من هذه الهجمات يمكن صدها إذا كان الناس يدركون بما يحيط بهم.

وفيما يلي قائمة من التوصيات حول كيفية منع هذه الهجمات وطرق للحماية منها:

1- السياسة:

يجب إنشاء سياسة أمنية قوية للشركة ووضع تعليمات للموظفين و قد تكون بشكل أوامر تصدر من إدارة الشركة, أو تكون في شكل عقد يوثق من قبل الطرفين (الشركة والموظف) وتكون هناك عقوبات صارمة للموظفين عند التخلف عن إتباع هذه السياسة.

وهذه السياسة تكون بشأن ما يلي:

- ما الذي يجب عمله عندما تنكشف كلمة السر[6]

- من هم الأشخاص المخول لهم بالدخول إلى أماكن العمل[6]

- ماذا تفعل عندما ترد عليك أسئلة من موظف أخر للكشف عن المعلومات المحمية

- "يجب التحقق من هوية أي شخص يطلب معلومات عن جهازك أو حسابك أو معلوماتك الشخصية أو أي معلومات عن حساب لموظف آخر وذلك بالاتصال" [4] بهيئة التحقق من خصائص الهوية.

- "لا تقم بإتباع تعليمات غريبة أو مريبة تتعلق بالأجهزة الإلكترونية وكذلك لابد من التحقق من هوية الشخص المصدر لهذه التعليمات والأوامر وأحقيته في إصدارها حتى لو ادعى أن الأمر طارئ.لا تشارك بالاستبيانات الهاتفية حتى لو كانت من داخل الجهاز نفسه لأنه قد تستغل لدس أسئلة بين الاستبيان للحصول على معلومات تساعد على الاختراق." [4]

- تحميل برنامج مكافحة الفيروسات, وتجديده ما بين كل فتره وأخرى.

- "التخلص من الأوراق فور الانتهاء منها باستخدام آلة تقطيع الورق ويفضل استخدام النوع الذي يقطع الورق بشكل عامودي وأفقي "[3]

و يفضل أن تكون هذه السياسة متضمنة خطة الحفاظ على استمرارية العمل أثناء وبعد حصول الهجمة.

2- التدريب:

يعد تدريب الموظفين من العوامل المهمة لمنع هذه الهجمات , ويتم تعليمهم عن السياسة المتبعة في الشركة وتدريبهم بإقامة دورات تثقيفية يشرح لهم فيها ماهية الهندسة الاجتماعية و الهدف المنشود وراءها وكيفية التصدي لها ويفضل أن يكون تدريبهم بشكل مرح وشامل لجميع النواحي , ويفضل أن تكون هذه الدورات ما بين كل فترة وأخرى كأن تكون من أربع إلى ستة أشهر , ولابد في هذا التدريب أن نركز على التقنيات التي يستخدمها المهاجم والأثر المترتب على الأفراد من جراء حصول مثل هذه الهجمات .

ومن الممكن منح مكافآت للموظفين الذين يقبضون على من يحاول بالهجوم, وتختلف هذه المكافآت على حسب الشركة فقد تكون شهادة تقدير أو مال نقدي أو إجازة لمدة يوم.

3- الوعي بأمن المعلومات :

كثير من الشركات والأفراد يكون جل اهتمامهم بالهاكرز ويركزن على الجانب التقني فقط و يغفلون الجوانب الأخرى وينسون كذلك أن الهندسة الاجتماعية هي احد أنواع الهجمات لذا يجب على الشركة توعية الناس بكل أنواع الهجمات وتوضيح لهم كيفية تقليل خطر التعرض للهجوم من جميع الجهات .

الخلاصة:

إن ما ذكر في هذا المقال ما هو إلا نبذة بسيطة عن الهندسة الاجتماعية, التي تعد وسيلة عظيمة و أداة خطيرة جدا, لأنها في تطور مستمر يجعلها تتغلب على الحلول التقنية لذا أرى أن الحل الأمثل للتصدي لها هو زيادة وعي الأشخاص وذلك من خلال ما ذكرته مسبقا.


منقول


ادارة سكيورتي العرب


المواضيع المحتمل أن تكون متشابهة .
الخصوصية في الشبكات الاجتماعية
Social engineering الهندسة الاجتماعية
الهندسة الاجتماعية
الهندسة الأجتماعية و كيفية الحماية منها
حماية معلومات الأجهزة الحكومية والأهلية من مخاطر الهندسة الاجتماعية
الحماية من السبام في تطبيقات الويب
كيفية اكتشاف البرامج الخبيثة والحماية منها
الحماية والامن في WiFi
05-18-2011 09:59 PM
إقتباس هذه الرسالة في الرد
إضافة رد 






سوق العرب | معهد سكيورتى العرب | وظائف خالية © 2024.
Google