ما هي الهندسة الاجتماعية في الأمن السيبراني ؟ وكيف تحمي نفسك منها ؟ الهندسة العكسية

بقلم مجتمع الأمن المعلوماتي

في عالم الإنترنت لا يعتمد المجرمون دائما على الاختراقات التقنية المعقدة للوصول إلى حساباتك أو بياناتك بل في كثير من الأحيان يعتمدون على نقطة أضعف بكثير الإنسان نفسه
وهنا يظهر مفهوم الهندسة الاجتماعية وهي واحدة من أخطر أساليب الاحتيال في الأمن السيبراني

ما هي الهندسة الاجتماعية ؟ وكيف تعمل الهندسة الاجتماعية والامن السيبراني | مجتمع الامن المعلوماتي

فقد تصلك رسالة بريد إلكتروني من شخص يدعي أنه يمتلك ثروة كبيرة ويريد تحويلها إلى حسابك أو رسالة تخبرك أن حسابك على فيسبوك أو واتساب مهدد ويجب عليك تغيير كلمة المرور فورا أو حتى مكالمة هاتفية من شخص ينتحل صفة موظف دعم فني ويطلب منك بيانات حساسة
كل هذه أمثلة شائعة على هجمات الهندسة الاجتماعية

ما هي الهندسة الاجتماعية؟ ؟

الهندسة الاجتماعية هي أسلوب تلاعب نفسي يستخدمه المهاجم لإقناع الضحية بالكشف عن معلومات حساسة أو فتح رابط خبيث أو تحميل ملف مصاب أو منح وصول غير مصرح به إلى نظام أو حساب

بمعنى أبسط المهاجم لا يخترق الجهاز مباشرة بل يخدعك أنت لتفتح له الباب بنفسك .

يعتمد هذا النوع من الهجمات على فهم طريقة تفكير الناس واستغلال مشاعرهم وسلوكهم مثل الخوف والفضول والثقة والاستعجال أو حتى الطمع وبمجرد أن ينجح المهاجم في التأثير على قرارات الضحية يصبح من السهل عليه سرقة البيانات أو الأموال أو اختراق الحسابات .

كيف تعمل الهندسة الاجتماعية ؟؟

تبدأ هجمات الهندسة الاجتماعية عادة بجمع معلومات أولية عن الضحية مثل الاسم والبريد الإلكتروني ومكان العمل والحسابات المستخدمة أو حتى الاهتمامات الشخصية وبعد ذلك يحاول المهاجم بناء سيناريو مقنع يجعلك تثق به أو تتصرف بسرعة دون تفكير

غالبًا تمر العملية بالمراحل التالية ..

1 _ جمع المعلومات

يقوم المهاجم بجمع بيانات أساسية عن الضحية أو المؤسسة المستهدفة

2 _ بناء الثقة

يبدأ بالتواصل مع الضحية عبر بريد إلكتروني أو رسالة أو اتصال هاتفي أو حتى مقابلة مباشرة ويظهر نفسه كشخص موثوق

3 _ الاستغلال

بعد كسب الثقة يطلب من الضحية تنفيذ خطوة معينة ومثل إدخال كلمة المرور وفتح مرفق وتحميل برنامج أو مشاركة رمز تحقق

4 _ الانسحاب

بمجرد حصوله على ما يريد يختفي المهاجم أو ينتقل إلى مرحلة أخرى من الهجوم مثل الابتزاز أو سرقة الأموال أو زرع البرمجيات الخبيثة

ما أهداف هجمات الهندسة الاجتماعية ؟؟

عادة يسعى المهاجم إلى واحد من هدفين رئيسيين

التخريب

تعطيل الأنظمة أو حذف البيانات أو التسبب في فوضى داخل المؤسسة .

السرقة

سرقة كلمات المرور والحسابات والبيانات البنكية و الأموال أو الوصول إلى أنظمة محمية .

لماذا تنجح هجمات الهندسة الاجتماعية ؟

تنجح هذه الهجمات لأنها لا تعتمد فقط على التقنية بل على العامل البشري كثير من الناس لا يدركون قيمة المعلومات التي يشاركونها يوميا مثل رقم الهاتف أو تاريخ الميلاد أو البريد الإلكتروني أو حتى اسم المدرسة أو اسم الحيوان الأليف رغم أن هذه التفاصيل قد تستخدم للإجابة عن أسئلة الأمان أو إعادة تعيين كلمات المرور

كما أن سرعة الحياة الرقمية وكثرة الرسائل والتنبيهات تجعل البعض يتصرف بسرعة ومن دون تحقق وهنا يستغل المهاجم تلك اللحظة

أبرز سمات هجمات الهندسة الاجتماعية

هناك سمات تتكرر في أغلب هجمات الهندسة الاجتماعية ومن أهمها ::

إثارة المشاعر

يحاول المهاجم دفعك لاتخاذ قرار عاطفي بدلا من قرار عقلاني فيستخدم ::

  • الخوف و الفضول و الإثارة و الغضب و الشعور بالذنب و الحزن

الاستعجال

يخبرك أن لديك وقتا محدودا جدا للتصرف مثل ::

  • حسابك سيتوقف خلال دقائق
  • يجب تأكيد بياناتك الآن
  • هذه الجائزة ستنتهي اليوم

بناء الثقة

قد ينتحل المهاجم صفة شركة معروفة أو جهة حكومية أو موظف دعم أو حتى صديق لك ليجعلك تطمئن له

أنواع هجمات الهندسة الاجتماعية

1 _ التصيد الاحتيالي Phishing

يعد من أشهر أنواع الهندسة الاجتماعية حيث يتظاهر المهاجم بأنه جهة موثوقة لإقناعك بالكشف عن بياناتك أو تحميل ملف ضار

ومن أشكاله:

  • التصيد عبر البريد الإلكتروني
  • التصيد عبر الرسائل النصية
  • التصيد عبر المكالمات الهاتفية
  • التصيد عبر وسائل التواصل الاجتماعي
  • التصيد عبر مواقع مزيفة وروابط خادعة

2 _ التصيد الموجه Spear Phishing

هجوم أكثر دقة يستهدف شخصا أو جهة محددة ويستخدم معلومات حقيقية عن الضحية لجعل الرسالة أكثر إقناعا .

3 _ الاصطياد Baiting

يعتمد على تقديم شيء مغر مثل هدية مجانية أو ملف حصري أو أداة مدفوعة بشكل مجاني ثم يتم استغلال الضحية عند التحميل أو الفتح

4 _ التحجج Pretexting

يقوم المهاجم بانتحال شخصية معينة وبناء قصة مقنعة مثل موظف بنك أو مسؤول دعم فني أو موظف في جهة حكومية ثم يطلب معلومات حساسة

5 _ التتبع Tailgating

يحدث غالبا في الشركات أو المباني الحساسة عندما يستغل المهاجم المجاملة ويدخل خلف شخص مخول إلى منطقة محظورة

6 _ المقايضة Quid Pro Quo

يعرض المهاجم خدمة أو فائدة أو مكافأة مقابل حصوله على معلومات أو وصول معين

7 _ برامج التخويف Scareware

رسائل أو نوافذ منبثقة تخبرك أن جهازك مصاب أو حسابك مخترق ثم تطلب منك تحميل برنامج مزيف أو إدخال بياناتك

أمثلة شائعة على الهندسة الاجتماعية

من أمثلة الهندسة الاجتماعية التي قد تواجهها يوميا

  • رسالة تخبرك أن حسابك على فيسبوك أو إنستغرام أو واتساب معرّض للاختراق ويجب تغيير كلمة المرور فورا
  • رسالة تدعي أنك ربحت جائزة كبيرة وتحتاج فقط إلى إدخال بياناتك
  • بريد إلكتروني يحتوي على مرفق باسم ملف مهم أو فاتورة أو إشعار بنكي
  • رسالة من شخص ينتحل صفة دعم فني ويطلب رمز التحقق الذي وصلك
  • رابط مزيف يشبه موقع البنك أو الشركة بشكل كبير

كيف تكتشف هجوم الهندسة الاجتماعية ؟

قبل أن تضغط على أي رابط أو تشارك أي معلومة اسأل نفسك الأسئلة التالية

هل الرسالة تثير خوفي أو فضولي بشكل مبالغ فيه

إذا كانت الرسالة تدفعك للتصرف بسرعة أو تثير توترك فتوقف وفكر

هل المرسل حقيقي ؟

تحقق من البريد الإلكتروني أو رقم الهاتف أو الحساب أحيانا يكون الفرق حرفا واحدا فقط

هل الرابط أو اسم الملف يبدو غريبا ؟

قد يستخدم المهاجم رابطا قريبا جدا من الرابط الأصلي أو ملفا باسم خادع

هل العرض جيد لدرجة يصعب تصديقها ؟

إذا بدا الأمر مغريا بشكل مبالغ فيه فغالبا هو خدعة

هل يمكن لهذا الشخص إثبات هويته ؟

إذا كان يزعم أنه من البنك أو من الدعم الفني أو من جهة رسمية فلا تمنحه أي معلومة قبل التأكد بوسيلة مستقلة

كيف تحمي نفسك من الهندسة الاجتماعية ؟

الحماية من الهندسة الاجتماعية لا تعتمد فقط على البرامج بل تعتمد أولا على الوعي وهذه أهم النصائح العملية

1 _ لا تشارك بياناتك الحساسة مع أي شخص

خصوصا

  • كلمات المرور
  • رموز التحقق
  • البيانات البنكية
  • أرقام البطاقات
  • معلومات الهوية الشخصية

2 _ لا تضغط على الروابط المشبوهة

حتى لو كانت من صديق أو زميل فقد يكون حسابه مخترقا

3 _ لا تفتح المرفقات غير المتوقعة

المرفقات في البريد الإلكتروني من أشهر طرق نشر البرمجيات الخبيثة

4 _ فعل المصادقة متعددة العوامل MFA

حتى لو سرقت كلمة مرورك ستبقى هناك طبقة حماية إضافية

5 _ استخدم كلمات مرور قوية وفريدة

لا تستخدم نفس كلمة المرور في أكثر من حساب واستخدم مدير كلمات مرور إن أمكن

6 _ حدث أنظمتك وبرامجك باستمرار

التحديثات تسد الثغرات الأمنية التي قد يستغلها المهاجم

7 _ استخدم برنامج حماية موثوق

وجود برنامج أمني جيد يساعد في اكتشاف الروابط والملفات الخبيثة

8 _ تحقق دائما قبل الرد أو النقر

لو وصلك طلب عاجل من بنك أو منصة أو شركة افتح الموقع يدويا من المتصفح ولا تعتمد على الرابط الموجود في الرسالة

9 _ كن حذرا من بناء الثقة السريع

المهاجم المحترف لا يبدأ بطلب مباشر دائما بل قد يستغرق وقتا ليكسب ثقتك أولا

10 _ انشر الوعي داخل الأسرة والعمل

كلما زاد وعي من حولك قلت فرص نجاح هذه الهجمات

أهمية التوعية بالهندسة الاجتماعية

الهندسة الاجتماعية ليست مجرد رسائل مزعجة بل هي باب واسع قد يؤدي إلى

  • اختراق الحسابات
  • سرقة الأموال
  • تسريب البيانات
  • إصابة الأجهزة بالبرمجيات الخبيثة
  • اختراق الشبكات الداخلية للمؤسسات

لهذا السبب تعتبر التوعية الأمنية خط الدفاع الأول سواء على مستوى الأفراد أو الشركات.

عالم واسع من خلال مختصين وكفاءات عالية نختصر كل ما يتعلق الهاكينغ وأمن المعلومات لتكون لبنة حقيقية لدعم القاعدة التقنية العربية والمساهمة في بناء جيل مهتم بحماية معطياته الشخصية والإلكترونية و بالربح من الانترنت والحصول على الترافيك وانشاء الإعلانات بأفضل الأساليب تحديثات مجموعة غير ربحية تعنى بمجال

اترك تعليق

احفظ اسمي ، بريدي الإلكتروني ، والموقع الإلكتروني في هذا المتصفح لاستخدامها في المرة القادمة التي أعلق فيها.