هندسة اجتماعية (أمن)

الهندسة الاجتماعية عبارة عن مجموعة من الحيل والتقنيات المستخدمة لخداع الناس وجعلهم يقومون بعمل ما أو يفصحون عن معلومات سرية وشخصية.[1][2] قد تـُستخدم الهندسة الاجتماعية دون الاعتماد على أي تقنية والإعتماد فقط على أساليب الإحتيال للحصول على معلومات خاصة من الضحية. وتتم الهندسة الإجتماعية في الغالب عن طريق الهاتف أو البريد الإلكتروني مع انتحال شخصية ذي سلطة أو فتاة جميلة على مواقع التواصل الاجتماعي أو ذات عمل يسمح للمحتال أو المخترق بطرح أسئلة شخصية دون إثارة الشبهات لدى الضحية.[3]

أنواع الهندسة الاجتماعية عدل

الهندسة الاجتماعية هي نوع من الهجمات الإلكترونية التي تستغل السلوك البشري للتلاعب بهم، والكشف عن معلومات حساسة أو القيام بأي إجراء قد يعرض أمان النظام للخطر. وينطوي على استخدام التكتيكات النفسية لخداع الأشخاص لإفشاء معلومات سرية أو القيام بعمل قد يضر بأمن الشركة أو المؤسسة مثلا. اجتماعياً، يمكن أن تأتي الهجمات الهندسية بأشكال عديدة ومختلفة، بما في ذلك التصيّد الاحتيالي (Phishing) والتذرُّع (Pretexting) واصطياد إغرائي (Baiting)، وغيرها.

  • يعد التصيد الاحتيالي (Phishing) أحد أكثر أشكال هجمات الهندسة الاجتماعية شيوعًا. وعادة ما ينطوي على إرسال رسائل البريد الإلكتروني التي تبدو وكأنها واردة من مصدر موثوق به، مثل أحد البنوك أو إحدى منصات التواصل الاجتماعي، ولكنها تحتوي على الروابط أو المرفقات الضارة. الهدف من التصيد الاحتيالي هو خداع الضحية للنقر على الرابط أو المرفقات، مما قد يؤدي إلى تثبيت برامج ضارة أو سرقة بيانات الاعتماد.[4]
  • يتضمن التذرُّع (Pretexting) استخدام سيناريو مزيف أو ذريعة لخداع الضحية لإفشاء معلومات سرية. على سبيل المثال، قد يتظاهر المهاجم بأنه فني دعم تكنولوجيا المعلومات ويطلب تسجيل الدخول لبيانات الاعتماد عن الضحية، ويدّعي أنه بحاجة إلى المعلومات لإصلاح مشكلة فنية.[5]
  • الاصطياد الإغرائي (Baiting) هو شكل آخر من أشكال هجوم الهندسة الاجتماعية الذي يتضمن إغراء الضحية بمكافأة أو جائزة، مثل محرك أقراص USB مجاني، مقابل تنفيذ إجراء ما، مثل تنزيل ملف أو النقر على الرابط. ويعتمد هذا النوع من الهجوم على فضول الضحية أو جشعها.[4]
  • المقايضة أو الوعد بمنفعة أو مكافأة مقابل القيام بعمل ما (Quid Pro Quo) ؛ على سبيل المثال، قد يتظاهر المهاجم بأنه بائع برامج ويقدم للضحية مفتاح ترخيص مجاني في المقابل الحصول على بيانات اعتماد تسجيل الدخول الخاصة بهم. لحماية نفسك من هجمات الهندسة الاجتماعية، من المهم أن تكون على دراية بالتكتيكات التي يستخدمها المهاجمون واتخاذ الخطوات اللازمة لتقليل نقاط الضعف لديك.[4]

الحماية من هجمات الهندسة الاجتماعية عدل

بعض الطرق الشائعة للحماية من هجمات الهندسة الاجتماعية ما يلي:[6]

1. الحذر من رسائل البريد الإلكتروني أو المكالمات الهاتفية أو الرسائل غير المرغوب فيها، خاصة تلك التي تطلب ذلك معلومات حساسة أو يطالبك بتنفيذ إجراء ما.

2. التحقق من هوية أي شخص يطلب معلومات حساسة أو الوصول إلى نظام أو شبكة.

3. استخدام المصادقة متعددة العوامل للحماية من الوصول غير المصرح به.

4. حافظ على تحديث برامجك بأحدث تصحيحات الأمان (patches).

5. ثقف نفسك والآخرين حول مخاطر الهندسة الاجتماعية وكيفية التعرف عليها وتجنبها.

6. إجراء تدريب دوري للتوعية الأمنية للموظفين والعاملين، للوقاية والتخفيف هجمات الهندسة الاجتماعية.

7. تنفيذ سياسات وإجراءات صارمة للتحكم في الوصول لتقييد الوصول إلى الأماكن الحساسة من المعلومات أو الأنظمة.

8. نشر التقنيات الأمنية مثل جدران الحماية، وأنظمة كشف/منع التسلل، و برامج مكافحة الفيروسات/مكافحة البرامج الضارة للكشف عن الهندسة الاجتماعية.

أشهر المهندسين الاجتماعيين عدل

من بين المهندسين الاجتماعيين المشهورين:

انظر أيضًا عدل

مراجع عدل

  1. ^ "معلومات عن هندسة اجتماعية (أمن) على موقع reddit.com". reddit.com. مؤرشف من الأصل في 2019-07-10.
  2. ^ "معلومات عن هندسة اجتماعية (أمن) على موقع techopedia.com". techopedia.com. مؤرشف من الأصل في 2019-12-15.
  3. ^ Social Engineering example https://www.stationx.net/social-engineering-example-2/ نسخة محفوظة 2015-10-03 على موقع واي باك مشين.
  4. ^ أ ب ت University, Carnegie Mellon. "Social Engineering - Information Security Office - Computing Services - Carnegie Mellon University". www.cmu.edu (بالإنجليزية). Retrieved 2024-02-22.
  5. ^ "What Is Pretexting? Definition, Examples and Attacks". Fortinet (بالإنجليزية). Retrieved 2024-02-22.
  6. ^ العمارات، د فارس محمد (25 مايو 2019). "الهندسة الاجتماعية واختراق عقول البشر". تعليم جديد. اطلع عليه بتاريخ 2024-02-22.

وصلات خارجية عدل