- إنضم
- 26 فبراير 2014
- المشاركات
- 12,450
- مستوى التفاعل
- 12,154
- النقاط
- 1,295
غير متصل
الهندسة الإجتماعيّة (Social engineering):
الهندسة الإجتماعيّة هي عملية القرصنة على الأشخاص بشكل أساسي عن طريق استخدام المهاجم للمهارات الاجتماعية الكلامية مع أشخاص عاملين داخل منظمة يملكون الصلاحيات التي تسهل عليه الدخول إلى النظام الخاص بالمنظمة. وكذلك تعرف على أنها طريقة لكسب معلومات ذات قيمة كبيرة عن النظام من الأشخاص بشكل عام حيث يقوم المهاجم باستخدام المعلومات القليلة التي يملكها ليكسب ثقة ضحيته و بواسطة هذه الثقة ينتهي الأمر بالضحية أن يقدم للمهاجم معلومات حساسة يستطيع من خلالها اكتشاف خصائص النظام.
الهندسة الإجتماعيّة هي اسم تقني للخداع والتّحايل. يهدف فيها المهاجم إلى الإيقاع بالضّحيّة للحصول على معلومات منه عن الهدف الذي يسعى إلى اختراقه (أو التّسلل إليه). في المجال الأمني التّقني تعدّ الهندسة الإجتماعيّة أحد أقدم أنواع القرصنة.
ترتكز الهندسة الإجتماعيّة على استغلال العامل البشري. فالإنسان بطبعه:
1- لديّه الرّغبة في أن يساعد الآخرين.
2- عنده نزعة للثّقة بغيره.
3- يخشى من الوقوع في المشاكل.
4- يتحاشى المواجهة.
باستغلال أحد هذه الطباع أو أكثر، يمكن للقراصنة الإلتفات على إجراءات الحماية داخل المؤسّسات. فكل ما على المهاجم (القرصان) فعله، هو استغلال موظف من داخل المؤسّسة في الهجوم عليها. هذا عمليّاً يوفر على المهاجم الكثير من الوقت الذي سيصرفه في: أيجاد ثغرات في النّظام، استغلال الثغرات، الحصول على كلمات مرور ومن ثمّ كسر كلمات المرور…إلخ.
ومع الانتشار الكبير للشّبكات الإجتماعيّة، تحسّنت إلى حدٍّ كبير القدرة على القيام بالهندسة الإجتماعيّة. فالشبكات الإجتماعية تحتوي على معلومات على الأشخاص وعلاقاتهم، وبعض (أو الكثير) من تفاصيل حياتهم…..إلخ.
أنواع الهندسة الإجتماعيّة
يمكن تقسيم الهندسة الإجتماعيّة اليوم إلى أربعة أنواع: (هذا التّقسيم يتغيّر مع الوقت تبعاً للأساليب والتّقنيات التي يوظّفها المهاجمون في هجومهم)
1- المباشر
هنا يقوم المهاجم بالتّوجّه إلى الهدف بنفسه محاولاً الدخول إلى مناطق غير مصرّح لها به. كأن يدّعي مثلاً أنّه يعمل في شركة الهاتف ويريد اصلاح خلل ما في شبكة الهاتف داخل الشركة.
2- التّحايل
وهو وضع الضحيّة في موقف سيناريو معيّن يبدو واقعيّاً وقابلاً للتّصديق، ولكنّه في الحقيقة غير ذلك. والغرض منه الحصول من الضّحيّة على معلومات كحسابه البنكي، او اسم المستخدم و/أو كلمة المرور الخاصّة به. مثلاً انتحال شخصيّة فنّي حاسوب، يحاول مساعدة موظّف في تحديث نظامه، أو معالجة مشكلة في الطابعة، إلخ. الموظّف أكيد لديه مشكلة (إذا عملت فنّي حاسوب فستفهم قصدي تماماً ، حاسوبه يعمل ببطئ، أو تصفّحه للإنترنت بطيء. فنّي الحاسوب يقوم بإرشاد الموظّف عبر الهاتف حول كيفيّة تحسين أداء حاسوبه، أو سرعة الاتصال لديه عبر تحميل برنامج ما يرسله المهاجم (فنّي الحاسوب) إلى الموظّف (الضحيّة) وتنصيب هذا البرنامج على حاسوب الموظّف. البرنامج هو عبارة عن برمجيّة خبيثة، مثلاً حصان طروادة، حيث يتمّ دمج برنامج حقيقي سليم ببرنامج آخر ضار. هذا البرنامج الضّار يمكن المهاجم من الحصول على موطئ قدم في حاسوب الضحيّة، والشبكة داخل المؤسّسة ككل.
3- التّصيّد
في هجمات التّصيّد يقوم المهاجم بإرسال كم كبير من الرّسائل الإلكترونيّة التّي توظّف الخداع لجعل المستخدم يقوم بتنفيذ برنامج ضار يقوم مرفقاً بالرّسالة. طبعاً المهاجم لا يتنظر أن يقوم كل فرد وصلت له رسالة المهاجم بفتحها وفتح الملفات المرفقة معها. فالصّياد عندما يضع الطعم للأسماك عند صيده لا يتوقع أن تبتلع كل الأسماك الطّعم.
التّصيّد نفسه أنواع، النّوع الذي ذكرته قبل قليل هو النّوع العام. ولكن هناك نوع آخر منه ويدعى التّصيد المستهدَف. في هذا النّوع يقوم المهاجم بإرسال رسائل إلكترونيّة لأفراد يعملون في شركة معيّنة مثلاً. مثل الهجوم الذي تعرّضت له غوغل والذي يقال أنّه قد بدأ بهجوم تصيّد مستهدف. إذا لم تتضح الفكرة، ففكر بالصّياد الذي يريد اصطياد نوع معيّن من الأسماك فالصّياد في هذه الحالة سيهيّئ طُعماً يجذب هذا النّوع من الأسماك.
4- الطعم
هذا النّوع يستفيد من حبّ الاستطلاع والفضول لدى البشر. يقوم المهاجم بترك قرص مضغوط (CD,DVD)، أو ذاكرة متنقّلة (USB) في مكان بارز (قريب من شركة أو مؤسّسة ما يستهدفها المهاجم). محتوى القرص أو الذاكرة يحتوي على برنامج ضار كمسجّل المفاتيح (الذي يقوم بتسجيل كل ضغطة مفتاح على لوحة المفاتيح يقوم الضحيّة بها) أو حصان طروادة أو فيروس…إلخ.
الأهداف من وراء الهندسة الاجتماعية:
الهدف الأساسي من الهندسة الاجتماعية يماثل الهدف من عمليات اختراق الأجهزة ألا وهي إمكانية الدخول إلى نظام غير مصرح له بالدخول إليه أو الحصول على معلومات عن طريق الخداع أو التطفل على الشبكة أو التجسس على خط الإنتاج أو انتحال شخصية أو تعطيل نظام أو شبكة.
عادة ما تكون شركات الهاتف , الشركات ذات المكانة المهمة, المنظمات المالية, الجيش, الوكالات الحكومية و المستشفيات أهداف لهذا النوع من الهجوم. كذلك الإنترنت لها حصة كبيرة من هذا النوع من الهجمات لكن عادة ما يركز المهاجمين على الأهداف الكبيرة. إن أيجاد مثال حي عن هجمات الهندسة الاجتماعية صعب جداً لأن المنظمات التي استهدفت لا تفصح عن تعرضها لهذا النوع من الهجمات لأن ذلك يجعلها تبدو بشكل سيء أمام عملائها و يؤثر على سمعة المنظمة حيث أن هذا النوع من الهجمات يبين على أن العاملين في هذه المنظمة ليسوا على مستوى الذكاء و الحرص المطلوبين.
كيفية عمل المهندس الاجتماعي:
المهندس الاجتماعي ليس ممثل جيد و حسب بل هو شخص يتمتع بحس عالي من الفراسة ومقدرة على معرفة ما الحيل التي من الممكن أن تنطلي على الشخص الذي يتعامل معه. فعندما يجتمع لدى المهاجم الخبرة التقنية مع مهارات الهندسة الاجتماعية يصبح من السهل عليه اختراق أي شبكة و الوصول إلى المعلومات المطلوبة.
يعود نجاح بعض المهندسين الاجتماعيين إلى القدرة العالية لديهم على البحث حتى في سلال المهملات التابعة للمنظمة و إيجاد المعلومات الهامة. كما من الممكن أن ينتحل شخصية عامل الصيانة أو أن يعمل بدوام جزئي أو بشكل مؤقت كحاجب للشركة ليحصل على أمكانية الدخول إلى الشركة و الاختلاط بالموظفين الذين يملكون الصلاحية لدخول نظام الشركة. بينما يقوم آخرين منهم بأعمالهم بعيداً عن الشركة ولا يكون لهم أي تواجد جسدي بالقرب منها. ولكي يحقق المهاجم الثقة المرجوة مع الموظف الهدف قد يستغرق الأمر أيام و أسابيع من المجهود المتواصل. وقد يتم ذلك بطرق عدة إما شخصياً أو عن طريق الهاتف أو البريد الإلكتروني.
الأساليب المتبعة في الهندسة الاجتماعية:
هناك عدة طرق متبعة في هذا النوع من الهجمات منها:
عن طريق الهاتف:
أكثر هجمات الهندسة الاجتماعية تقع عن طريق الهاتف . يتصل المهاجم مدعياً أنه شخص ذو منصب له صلاحيات و يقوم تدريجياُ بسحب المعلومات من الضحية. غالباً ما يتعرض مركز الدعم الفني إلى هذا النوع من الهجوم. يستطيع المهاجم الإدعاء بأنه يتكلم من داخل المنظمة بالقيام ببعض الألاعيب على محول المكالمات داخل المنظمة. إذاً هوية المتصل ليست دائماً الدفاع الأفضل. مركز الدعم الفني ليس بالموقع المحصن لأنه مخصص لتقديم المساعدة مما يجعله موقع مهاجم من قبل الأشخاص الراغبين بالحصول على المعلومات المحظورة. موظفين الدعم الفني دربوا ليكونوا ودودين مع المتصلين و أعطائهم المعلومات التي يطلبونها فيستغل المهاجم هذه النقطة لصالحه. كما أن موظفين الدعم الفني لديهم خلفية ضعيفة عن أمن المعلومات لذالك فهم معتادين على الإجابة على الاستفسارات و الانتقال إلى المكالمة التالية و حرى بذلك أن يسبب فجوة هائلة في أمن معلومات المنظمة.
البحث في المهملات:
هو نوع أخر منتشر من أساليب الهندسة الاجتماعية. الكثير من المعلومات الهامة عن المنظمة يمكن الحصول عليها من سلة مهملات المنظمة. هناك العديد من الأشياء الهامة توجد في سلة مهملات المنظمة مثل: دليل الهاتف, تقييمات المنظمة, المذكرات, قوانين المنظمة, تواريخ الاجتماعات و الأحداث و الإجازات, إرشادات استخدام النظام, أوراق مطبوعة لمعلومات حساسة أو أسماء المستخدمين وكلمات السر المستخدمة للدخول إلى النظام, أوراق مطبوعة للكود الأصلي الذي كتب بهي النظام, أقراص أو أشرطة تحوي معلومات عن المنظمة, الأوراق التي تحمل شعار المنظمة, الأجهزة القديمة. فمن هذه الأشياء يمكن استخراج الكثير من المعلومات عن المنظمة.
عن طريق الإنترنت:
الإنترنت أرض خصبة للباحثين عن كلمات السر. حيث يكمن الضعف في أعادة استخدام كلمة السر الواحدة في الدخول لعدة أنظمة. لذالك عندما يحصل المهاجم على أحد كلمات السر يصبح من السهل عليه الدخول إلى عدة حسابات للشخص ذاته. قد يرسل المهاجم بريد إلكتروني لصاحب الحساب منتحلاً شخصية أحدى المؤسسات التي يتعامل معها المستخدم يطلب منه تحديث معلوماته وبذلك يحصل على المعلومات التي يريدها.
عن طريق الإقناع:
المهاجمين يتعلمون الهندسة الاجتماعية من الناحية النفسية. فيركزون على تهيئة البيئة المثالية نفسياً للهجوم.
الطرق الأساسية للإقناع تشمل:
إثارة انطباع جيد لدى الضحية, التملق, التكيف, تفريق المسؤوليات و ادعاء وجود معرفة قديمة.
الغرض من هذه الطرق إقناع الضحية بالسماح للمهاجم الحصول على المعلومات التي يريدها.
عن طريق الهندسة الاجتماعية المعاكسة:
هي طريقة متقدمة جداً للحصول على المعلومات المحظورة. يدعي المهاجم بأنه شخص ذو صلاحيات عالية مما يدفع الموظفين إلى طلب المعلومات منه.إذا تم الأمر كما خطط له فقد يحصل المهاجم على فرصة أكبر للحصول على معلومات ذات قيمة كبيرة من الموظف.لكن هذه الطريقة تتطلب التحضير المسبق بشكل كبير و الكثير من الأبحاث مع القدرة على الهروب في الوقت المناسب.
طرق الحماية من الهندسة الاجتماعية:
وضع قوانين للحماية الأمنية للمنظمة: تقوم المنظمة بالتوضيح للعاملين فيها قوانين الحماية الأمنية المتبعة و التي على العاملين تطبيقها. على سبيل المثال:
يقدم الدعم الفني المساعدة ضمن أمور معرفة و محددة مسبقاً.
وضع حماية أمنية لمبنى المنظمة: يمنع دخول الأشخاص غير العاملين في المنظمة.
و تحدد الزيارات في حدود الأعمال بمعرفة سابقة لحراس الأمن في المنظمة وتحت مراقبة منهم.
التحكم بالمكالمات الهاتفية:
وذلك بوضع نظام امني للمكالمات مع قدرة على التحكم في من يستطيع مكالمة من.
منع المكالمات الخاصة و حضر المكالمات الدولية و بعيدة المدى إلا للضرورة و بإذن المسئول عن المكالمات.
عدم إظهار مدخل للخط الهاتفي للمنظمة لتجنب استخدام الهاتف من قبل شخص خارج المنظمة.
التعليم و التدريب:
تثقيف الموظفين داخل المنظمة بمجال أمن المعلومات و الاختراقات التي من الممكن حصولها.
تدريب الموظفين في مركز الدعم الفني و تثقيفهم على مستوى جيد من الناحية الأمنية و توضيح أساليب المهاجمين و تدريسها لهم .تدريبهم على عدم إعطاء معلومات ذات سرية عالية إلا بعد التأكد من هوية الشخص و وفقاً للحد المسموح بيه.تدريبهم على كيفية رفض إعطاء المعلومات عند عدم الإمكانية بأسلوب لبق.
إستراتيجية التصرف في المواقف الحرجة:
بأن يكون هناك إستراتيجية محددة تضعها المنظمة تمكن الموظف من التصرف إذا طلب منه معلومات سرية تحت ضغط ما.إتلاف المستندات و الأجهزة غير المستخدمة: وضع أجهزة لإتلاف الورق داخل المنظمة كي لا يمكن استخدام المعلومات التي تحويها سواء كانت معلومات حساسة أو كلمات سر للدخول للنظام و نحو ذلك.إتلاف أجهزة الكمبيوتر القديمة كي لا تستعمل باستخراج معلومات سرية منها.
دمتم في امان الله....
الهندسة الإجتماعيّة هي عملية القرصنة على الأشخاص بشكل أساسي عن طريق استخدام المهاجم للمهارات الاجتماعية الكلامية مع أشخاص عاملين داخل منظمة يملكون الصلاحيات التي تسهل عليه الدخول إلى النظام الخاص بالمنظمة. وكذلك تعرف على أنها طريقة لكسب معلومات ذات قيمة كبيرة عن النظام من الأشخاص بشكل عام حيث يقوم المهاجم باستخدام المعلومات القليلة التي يملكها ليكسب ثقة ضحيته و بواسطة هذه الثقة ينتهي الأمر بالضحية أن يقدم للمهاجم معلومات حساسة يستطيع من خلالها اكتشاف خصائص النظام.
الهندسة الإجتماعيّة هي اسم تقني للخداع والتّحايل. يهدف فيها المهاجم إلى الإيقاع بالضّحيّة للحصول على معلومات منه عن الهدف الذي يسعى إلى اختراقه (أو التّسلل إليه). في المجال الأمني التّقني تعدّ الهندسة الإجتماعيّة أحد أقدم أنواع القرصنة.
ترتكز الهندسة الإجتماعيّة على استغلال العامل البشري. فالإنسان بطبعه:
1- لديّه الرّغبة في أن يساعد الآخرين.
2- عنده نزعة للثّقة بغيره.
3- يخشى من الوقوع في المشاكل.
4- يتحاشى المواجهة.
باستغلال أحد هذه الطباع أو أكثر، يمكن للقراصنة الإلتفات على إجراءات الحماية داخل المؤسّسات. فكل ما على المهاجم (القرصان) فعله، هو استغلال موظف من داخل المؤسّسة في الهجوم عليها. هذا عمليّاً يوفر على المهاجم الكثير من الوقت الذي سيصرفه في: أيجاد ثغرات في النّظام، استغلال الثغرات، الحصول على كلمات مرور ومن ثمّ كسر كلمات المرور…إلخ.
ومع الانتشار الكبير للشّبكات الإجتماعيّة، تحسّنت إلى حدٍّ كبير القدرة على القيام بالهندسة الإجتماعيّة. فالشبكات الإجتماعية تحتوي على معلومات على الأشخاص وعلاقاتهم، وبعض (أو الكثير) من تفاصيل حياتهم…..إلخ.
أنواع الهندسة الإجتماعيّة
يمكن تقسيم الهندسة الإجتماعيّة اليوم إلى أربعة أنواع: (هذا التّقسيم يتغيّر مع الوقت تبعاً للأساليب والتّقنيات التي يوظّفها المهاجمون في هجومهم)
1- المباشر
هنا يقوم المهاجم بالتّوجّه إلى الهدف بنفسه محاولاً الدخول إلى مناطق غير مصرّح لها به. كأن يدّعي مثلاً أنّه يعمل في شركة الهاتف ويريد اصلاح خلل ما في شبكة الهاتف داخل الشركة.
2- التّحايل
وهو وضع الضحيّة في موقف سيناريو معيّن يبدو واقعيّاً وقابلاً للتّصديق، ولكنّه في الحقيقة غير ذلك. والغرض منه الحصول من الضّحيّة على معلومات كحسابه البنكي، او اسم المستخدم و/أو كلمة المرور الخاصّة به. مثلاً انتحال شخصيّة فنّي حاسوب، يحاول مساعدة موظّف في تحديث نظامه، أو معالجة مشكلة في الطابعة، إلخ. الموظّف أكيد لديه مشكلة (إذا عملت فنّي حاسوب فستفهم قصدي تماماً ، حاسوبه يعمل ببطئ، أو تصفّحه للإنترنت بطيء. فنّي الحاسوب يقوم بإرشاد الموظّف عبر الهاتف حول كيفيّة تحسين أداء حاسوبه، أو سرعة الاتصال لديه عبر تحميل برنامج ما يرسله المهاجم (فنّي الحاسوب) إلى الموظّف (الضحيّة) وتنصيب هذا البرنامج على حاسوب الموظّف. البرنامج هو عبارة عن برمجيّة خبيثة، مثلاً حصان طروادة، حيث يتمّ دمج برنامج حقيقي سليم ببرنامج آخر ضار. هذا البرنامج الضّار يمكن المهاجم من الحصول على موطئ قدم في حاسوب الضحيّة، والشبكة داخل المؤسّسة ككل.
3- التّصيّد
في هجمات التّصيّد يقوم المهاجم بإرسال كم كبير من الرّسائل الإلكترونيّة التّي توظّف الخداع لجعل المستخدم يقوم بتنفيذ برنامج ضار يقوم مرفقاً بالرّسالة. طبعاً المهاجم لا يتنظر أن يقوم كل فرد وصلت له رسالة المهاجم بفتحها وفتح الملفات المرفقة معها. فالصّياد عندما يضع الطعم للأسماك عند صيده لا يتوقع أن تبتلع كل الأسماك الطّعم.
التّصيّد نفسه أنواع، النّوع الذي ذكرته قبل قليل هو النّوع العام. ولكن هناك نوع آخر منه ويدعى التّصيد المستهدَف. في هذا النّوع يقوم المهاجم بإرسال رسائل إلكترونيّة لأفراد يعملون في شركة معيّنة مثلاً. مثل الهجوم الذي تعرّضت له غوغل والذي يقال أنّه قد بدأ بهجوم تصيّد مستهدف. إذا لم تتضح الفكرة، ففكر بالصّياد الذي يريد اصطياد نوع معيّن من الأسماك فالصّياد في هذه الحالة سيهيّئ طُعماً يجذب هذا النّوع من الأسماك.
4- الطعم
هذا النّوع يستفيد من حبّ الاستطلاع والفضول لدى البشر. يقوم المهاجم بترك قرص مضغوط (CD,DVD)، أو ذاكرة متنقّلة (USB) في مكان بارز (قريب من شركة أو مؤسّسة ما يستهدفها المهاجم). محتوى القرص أو الذاكرة يحتوي على برنامج ضار كمسجّل المفاتيح (الذي يقوم بتسجيل كل ضغطة مفتاح على لوحة المفاتيح يقوم الضحيّة بها) أو حصان طروادة أو فيروس…إلخ.
الأهداف من وراء الهندسة الاجتماعية:
الهدف الأساسي من الهندسة الاجتماعية يماثل الهدف من عمليات اختراق الأجهزة ألا وهي إمكانية الدخول إلى نظام غير مصرح له بالدخول إليه أو الحصول على معلومات عن طريق الخداع أو التطفل على الشبكة أو التجسس على خط الإنتاج أو انتحال شخصية أو تعطيل نظام أو شبكة.
عادة ما تكون شركات الهاتف , الشركات ذات المكانة المهمة, المنظمات المالية, الجيش, الوكالات الحكومية و المستشفيات أهداف لهذا النوع من الهجوم. كذلك الإنترنت لها حصة كبيرة من هذا النوع من الهجمات لكن عادة ما يركز المهاجمين على الأهداف الكبيرة. إن أيجاد مثال حي عن هجمات الهندسة الاجتماعية صعب جداً لأن المنظمات التي استهدفت لا تفصح عن تعرضها لهذا النوع من الهجمات لأن ذلك يجعلها تبدو بشكل سيء أمام عملائها و يؤثر على سمعة المنظمة حيث أن هذا النوع من الهجمات يبين على أن العاملين في هذه المنظمة ليسوا على مستوى الذكاء و الحرص المطلوبين.
كيفية عمل المهندس الاجتماعي:
المهندس الاجتماعي ليس ممثل جيد و حسب بل هو شخص يتمتع بحس عالي من الفراسة ومقدرة على معرفة ما الحيل التي من الممكن أن تنطلي على الشخص الذي يتعامل معه. فعندما يجتمع لدى المهاجم الخبرة التقنية مع مهارات الهندسة الاجتماعية يصبح من السهل عليه اختراق أي شبكة و الوصول إلى المعلومات المطلوبة.
يعود نجاح بعض المهندسين الاجتماعيين إلى القدرة العالية لديهم على البحث حتى في سلال المهملات التابعة للمنظمة و إيجاد المعلومات الهامة. كما من الممكن أن ينتحل شخصية عامل الصيانة أو أن يعمل بدوام جزئي أو بشكل مؤقت كحاجب للشركة ليحصل على أمكانية الدخول إلى الشركة و الاختلاط بالموظفين الذين يملكون الصلاحية لدخول نظام الشركة. بينما يقوم آخرين منهم بأعمالهم بعيداً عن الشركة ولا يكون لهم أي تواجد جسدي بالقرب منها. ولكي يحقق المهاجم الثقة المرجوة مع الموظف الهدف قد يستغرق الأمر أيام و أسابيع من المجهود المتواصل. وقد يتم ذلك بطرق عدة إما شخصياً أو عن طريق الهاتف أو البريد الإلكتروني.
الأساليب المتبعة في الهندسة الاجتماعية:
هناك عدة طرق متبعة في هذا النوع من الهجمات منها:
عن طريق الهاتف:
أكثر هجمات الهندسة الاجتماعية تقع عن طريق الهاتف . يتصل المهاجم مدعياً أنه شخص ذو منصب له صلاحيات و يقوم تدريجياُ بسحب المعلومات من الضحية. غالباً ما يتعرض مركز الدعم الفني إلى هذا النوع من الهجوم. يستطيع المهاجم الإدعاء بأنه يتكلم من داخل المنظمة بالقيام ببعض الألاعيب على محول المكالمات داخل المنظمة. إذاً هوية المتصل ليست دائماً الدفاع الأفضل. مركز الدعم الفني ليس بالموقع المحصن لأنه مخصص لتقديم المساعدة مما يجعله موقع مهاجم من قبل الأشخاص الراغبين بالحصول على المعلومات المحظورة. موظفين الدعم الفني دربوا ليكونوا ودودين مع المتصلين و أعطائهم المعلومات التي يطلبونها فيستغل المهاجم هذه النقطة لصالحه. كما أن موظفين الدعم الفني لديهم خلفية ضعيفة عن أمن المعلومات لذالك فهم معتادين على الإجابة على الاستفسارات و الانتقال إلى المكالمة التالية و حرى بذلك أن يسبب فجوة هائلة في أمن معلومات المنظمة.
البحث في المهملات:
هو نوع أخر منتشر من أساليب الهندسة الاجتماعية. الكثير من المعلومات الهامة عن المنظمة يمكن الحصول عليها من سلة مهملات المنظمة. هناك العديد من الأشياء الهامة توجد في سلة مهملات المنظمة مثل: دليل الهاتف, تقييمات المنظمة, المذكرات, قوانين المنظمة, تواريخ الاجتماعات و الأحداث و الإجازات, إرشادات استخدام النظام, أوراق مطبوعة لمعلومات حساسة أو أسماء المستخدمين وكلمات السر المستخدمة للدخول إلى النظام, أوراق مطبوعة للكود الأصلي الذي كتب بهي النظام, أقراص أو أشرطة تحوي معلومات عن المنظمة, الأوراق التي تحمل شعار المنظمة, الأجهزة القديمة. فمن هذه الأشياء يمكن استخراج الكثير من المعلومات عن المنظمة.
عن طريق الإنترنت:
الإنترنت أرض خصبة للباحثين عن كلمات السر. حيث يكمن الضعف في أعادة استخدام كلمة السر الواحدة في الدخول لعدة أنظمة. لذالك عندما يحصل المهاجم على أحد كلمات السر يصبح من السهل عليه الدخول إلى عدة حسابات للشخص ذاته. قد يرسل المهاجم بريد إلكتروني لصاحب الحساب منتحلاً شخصية أحدى المؤسسات التي يتعامل معها المستخدم يطلب منه تحديث معلوماته وبذلك يحصل على المعلومات التي يريدها.
عن طريق الإقناع:
المهاجمين يتعلمون الهندسة الاجتماعية من الناحية النفسية. فيركزون على تهيئة البيئة المثالية نفسياً للهجوم.
الطرق الأساسية للإقناع تشمل:
إثارة انطباع جيد لدى الضحية, التملق, التكيف, تفريق المسؤوليات و ادعاء وجود معرفة قديمة.
الغرض من هذه الطرق إقناع الضحية بالسماح للمهاجم الحصول على المعلومات التي يريدها.
عن طريق الهندسة الاجتماعية المعاكسة:
هي طريقة متقدمة جداً للحصول على المعلومات المحظورة. يدعي المهاجم بأنه شخص ذو صلاحيات عالية مما يدفع الموظفين إلى طلب المعلومات منه.إذا تم الأمر كما خطط له فقد يحصل المهاجم على فرصة أكبر للحصول على معلومات ذات قيمة كبيرة من الموظف.لكن هذه الطريقة تتطلب التحضير المسبق بشكل كبير و الكثير من الأبحاث مع القدرة على الهروب في الوقت المناسب.
طرق الحماية من الهندسة الاجتماعية:
وضع قوانين للحماية الأمنية للمنظمة: تقوم المنظمة بالتوضيح للعاملين فيها قوانين الحماية الأمنية المتبعة و التي على العاملين تطبيقها. على سبيل المثال:
يقدم الدعم الفني المساعدة ضمن أمور معرفة و محددة مسبقاً.
وضع حماية أمنية لمبنى المنظمة: يمنع دخول الأشخاص غير العاملين في المنظمة.
و تحدد الزيارات في حدود الأعمال بمعرفة سابقة لحراس الأمن في المنظمة وتحت مراقبة منهم.
التحكم بالمكالمات الهاتفية:
وذلك بوضع نظام امني للمكالمات مع قدرة على التحكم في من يستطيع مكالمة من.
منع المكالمات الخاصة و حضر المكالمات الدولية و بعيدة المدى إلا للضرورة و بإذن المسئول عن المكالمات.
عدم إظهار مدخل للخط الهاتفي للمنظمة لتجنب استخدام الهاتف من قبل شخص خارج المنظمة.
التعليم و التدريب:
تثقيف الموظفين داخل المنظمة بمجال أمن المعلومات و الاختراقات التي من الممكن حصولها.
تدريب الموظفين في مركز الدعم الفني و تثقيفهم على مستوى جيد من الناحية الأمنية و توضيح أساليب المهاجمين و تدريسها لهم .تدريبهم على عدم إعطاء معلومات ذات سرية عالية إلا بعد التأكد من هوية الشخص و وفقاً للحد المسموح بيه.تدريبهم على كيفية رفض إعطاء المعلومات عند عدم الإمكانية بأسلوب لبق.
إستراتيجية التصرف في المواقف الحرجة:
بأن يكون هناك إستراتيجية محددة تضعها المنظمة تمكن الموظف من التصرف إذا طلب منه معلومات سرية تحت ضغط ما.إتلاف المستندات و الأجهزة غير المستخدمة: وضع أجهزة لإتلاف الورق داخل المنظمة كي لا يمكن استخدام المعلومات التي تحويها سواء كانت معلومات حساسة أو كلمات سر للدخول للنظام و نحو ذلك.إتلاف أجهزة الكمبيوتر القديمة كي لا تستعمل باستخراج معلومات سرية منها.
دمتم في امان الله....
