ما هي الهندسة الاجتماعية: التعريف، الهجمات
ما هي الهندسة الاجتماعية؟ وسائل
الهندسة الاجتماعية هي فن التلاعب بمستخدمي نظام الحوسبة للكشف عن معلومات سرية يمكن استخدامها للوصول غير المصرح به إلى نظام الكمبيوتر. يمكن أن يشمل المصطلح أيضًا أنشطة مثل استغلال اللطف البشري والجشع والفضول للوصول إلى المباني المقيدة الوصول أو حث المستخدمين على تثبيت برامج الباب الخلفي.
إن معرفة الحيل التي يستخدمها المتسللون لخداع المستخدمين لحملهم على الكشف عن معلومات تسجيل الدخول المهمة وغيرها أمر أساسي في حماية أنظمة الكمبيوتر
في هذا البرنامج التعليمي، سوف نقدم لك تقنيات الهندسة الاجتماعية الشائعة وكيف يمكنك التوصل إلى إجراءات أمنية لمواجهتها.
كيف تعمل الهندسة الاجتماعية؟
هنا،
- تجميع المعلومات: هذه هي المرحلة الأولى، حيث يتعلم قدر المستطاع عن الضحية المقصودة. يتم جمع المعلومات من مواقع الشركة ومنشوراتها الأخرى وأحيانًا من خلال التحدث إلى مستخدمي النظام المستهدف.
- خطة الهجوم: يوضح المهاجمون كيف ينوي تنفيذ الهجوم
- الحصول على الأدوات: تتضمن برامج الكمبيوتر التي سيستخدمها المهاجم عند شن الهجوم.
- هجوم: استغلال نقاط الضعف في النظام المستهدف.
- استخدم المعرفة المكتسبة: يتم استخدام المعلومات التي تم جمعها أثناء تكتيكات الهندسة الاجتماعية مثل أسماء الحيوانات الأليفة وتواريخ ميلاد مؤسسي المنظمة وما إلى ذلك في هجمات مثل تخمين كلمة المرور.
أنواع هجمات الهندسة الاجتماعية
تقنيات الهندسة الاجتماعية يمكن أن تتخذ أشكالا عديدةوفيما يلي قائمة بالتقنيات المستخدمة بشكل شائع.
استغلال المعرفة:
يكون المستخدمون أقل تشككًا في الأشخاص الذين يعرفونهم. يمكن للمهاجم التعرف على مستخدمي النظام المستهدف قبل هجوم الهندسة الاجتماعية. قد يتفاعل المهاجم مع المستخدمين أثناء الوجبات، وعندما يدخن المستخدمون قد ينضم إليهم، وفي المناسبات الاجتماعية، وما إلى ذلك. وهذا يجعل المهاجم مألوفًا لدى المستخدمين. لنفترض أن المستخدم يعمل في مبنى يتطلب رمز وصول أو بطاقة للوصول؛ وقد يتابع المهاجم المستخدمين عند دخولهم إلى مثل هذه الأماكن. يفضل المستخدمون إبقاء الباب مفتوحًا حتى يتمكن المهاجم من الدخول لأنهم على دراية بهم. يمكن للمهاجم أيضًا أن يطلب إجابات لأسئلة مثل المكان الذي التقيت فيه بزوجتك، واسم مدرس الرياضيات في المدرسة الثانوية، وما إلى ذلك. ومن المرجح أن يكشف المستخدمون عن الإجابات لأنهم يثقون في الوجه المألوف. يمكن استخدام هذه المعلومات ل اختراق حسابات البريد الإلكتروني والحسابات الأخرى التي تطرح أسئلة مماثلة في حالة نسيان كلمة المرور الخاصة بها.
ظروف الترهيب:
يميل الناس إلى تجنب الأشخاص الذين يخيفون الآخرين من حولهم. وباستخدام هذه التقنية، قد يتظاهر المهاجم بوجود جدال حاد على الهاتف أو مع شريك في المخطط. قد يطلب المهاجم بعد ذلك من المستخدمين معلومات يمكن استخدامها لتهديد أمان نظام المستخدمين. من المرجح أن يقدم المستخدمون الإجابات الصحيحة فقط لتجنب المواجهة مع المهاجم. يمكن أيضًا استخدام هذه التقنية لتجنب فحصك عند نقطة تفتيش أمنية.
التصيد:
تستخدم هذه التقنية الخداع والخداع للحصول على بيانات خاصة من المستخدمين. قد يحاول المهندس الاجتماعي انتحال شخصية موقع ويب حقيقي مثل Yahoo ثم يطلب من المستخدم المطمئن تأكيد اسم الحساب وكلمة المرور. يمكن أيضًا استخدام هذه التقنية للحصول على معلومات بطاقة الائتمان أو أي بيانات شخصية قيمة أخرى.
تتبع:
تتضمن هذه التقنية متابعة المستخدمين من الخلف عند دخولهم إلى المناطق المحظورة. وكنوع من اللباقة الإنسانية، من المرجح أن يسمح المستخدم للمهندس الاجتماعي بالدخول إلى المنطقة المحظورة.
استغلال فضول الإنسان:
باستخدام هذه التقنية، قد يقوم المهندس الاجتماعي بإسقاط قرص فلاش مصاب بالفيروس عمدًا في منطقة حيث يمكن للمستخدمين التقاطه بسهولة. من المرجح أن يقوم المستخدم بتوصيل قرص الفلاش بالكمبيوتر. قد يقوم القرص المحمول بتشغيل الفيروس تلقائيًا، أو قد يميل المستخدم إلى فتح ملف باسم مثل "الموظفون". Revaluation Report 2013.docx والذي قد يكون في الواقع ملفًا مصابًا.
استغلال جشع الإنسان:
باستخدام هذه التقنية، قد يقوم المهندس الاجتماعي بإغراء المستخدم بوعود بكسب الكثير من المال عبر الإنترنت عن طريق ملء نموذج وتأكيد تفاصيله باستخدام تفاصيل بطاقة الائتمان، وما إلى ذلك.
كيفية منع هجمات الهندسة الاجتماعية؟
فيما يلي بعض الطرق المهمة للحماية من جميع أنواع هجمات الهندسة الاجتماعية:
- تجنب توصيل USB غير معروف بجهاز الكمبيوتر الخاص بك.
- لا تنقر أبدًا على الروابط الموجودة في أي رسائل بريد إلكتروني أو رسائل.
- استخدم كلمات مرور قوية (ومدير كلمات المرور).
- استخدم المصادقة متعددة العوامل.
- كن حذرًا جدًا عند بناء صداقات عبر الإنترنت فقط.
- حافظ على تحديث كافة البرامج الخاصة بك.
- تأمين أجهزة الكمبيوتر الخاصة بك.
- شراء برامج مكافحة الفيروسات.
- نسخ احتياطي لبياناتك بانتظام.
- تدمير المستندات الحساسة بانتظام.
- استخدم VPN.
- قفل الكمبيوتر المحمول الخاص بك
تدابير مكافحة الهندسة الاجتماعية
تتضمن معظم التقنيات التي يستخدمها المهندسون الاجتماعيون التلاعب بالتحيزات البشرية. ولمواجهة مثل هذه التقنيات، يمكن للمنظمة؛
- لمواجهة استغلال الألفة، يجب تدريب المستخدمين على عدم استبدال الإلمام بالتدابير الأمنية. حتى الأشخاص الذين يعرفونهم يجب أن يثبتوا أن لديهم تصريحًا للوصول إلى مناطق ومعلومات معينة.
- ولمواجهة هجمات الظروف المخيفة، يجب تدريب المستخدمين على تحديد تقنيات الهندسة الاجتماعية التي تصطاد المعلومات الحساسة ويقولون لا بأدب.
- لمواجهة تقنيات التصيد، تستخدم معظم المواقع مثل Yahoo اتصالات آمنة لـ تشفير البيانات وإثبات أنهم هم من يدعون أنهم. قد يساعدك التحقق من عنوان URL في اكتشاف المواقع المزيفة. تجنب الرد على رسائل البريد الإلكتروني التي تطلب منك تقديم معلومات شخصية.
- للتصدي للهجمات الخاطفة، يجب تدريب المستخدمين على عدم السماح للآخرين باستخدام تصريحهم الأمني للوصول إلى المناطق المحظورة. يجب على كل مستخدم استخدام تصريح الوصول الخاص به.
- لمواجهة فضول الإنسان، فمن الأفضل إرسال أقراص الفلاش الملتقطة إلى مسؤولي النظام الذين يجب عليهم فحصهم بحثًا عن الفيروسات أو غيرها من العدوى ويفضل أن يكون ذلك على جهاز معزول.
- التصدي للتقنيات التي تستغل جشع الإنسان، يجب أن يكون الموظفون متدرب حول مخاطر الوقوع في مثل هذه الحيل.
الملخص
- الهندسة الاجتماعية هي فن استغلال العناصر البشرية للوصول إلى الموارد غير المصرح بها.
- يستخدم المهندسون الاجتماعيون عددًا من التقنيات لخداع المستخدمين للكشف عن معلومات حساسة.
- يجب أن يكون لدى المؤسسات سياسات أمنية تتضمن إجراءات مضادة للهندسة الاجتماعية.