0
الهندسة الإجتماعية أنواعها و طرق الحماية منها تعدّ الهندسة الاجتماعية أحد أقدم أنواع القرصنة، فالهندسة الاجتماعية هي اسم تقني للخداع والتّحايل. يهدف فيها المهاجم إلى الإيقاع بالضّحيّة للحصول على معلومات منه عن الهدف الذي يسعى إلى اختراقه (أو التّسلل إليه). ترتكز الهندسة الاجتماعية على استغلال العامل البشري. فالإنسان بطبعه:
1- لديّه الرّغبة في أن يساعد الآخرين.
2- عنده نزعة للثّقة بغيره.
3- يخشى من الوقوع في المشاكل.
4- يتحاشى المواجهة.

 
باستغلال أحد هذه الطباع أو أكثر، يمكن للقراصنة الالتفات على إجراءات الحماية داخل المؤسّسات. فكل ما على المهاجم (القرصان) فعله، هو استغلال موظف من داخل المؤسّسة في الهجوم عليها. هذا عمليّاً يوفر على المهاجم الكثير من الوقت الذي سيصرفه في: أيجاد ثغرات في النّظام، استغلال الثغرات، الحصول على كلمات مرور ومن ثمّ كسر كلمات المرور…إلخ.
ومع الانتشار الكبير للشّبكات الاجتماعية، تحسّنت إلى حدٍّ كبير القدرة على القيام بالهندسة الاجتماعية. فالشبكات الاجتماعية تحتوي على معلومات على الأشخاص وعلاقاتهم، وبعض (أو الكثير) من تفاصيل حياتهم…..إلخ.

أنواع الهندسة الاجتماعية
 
يمكن تقسيم الهندسة الاجتماعية اليوم إلى أربعة أنواع: (هذا التّقسيم يتغيّر مع الوقت تبعاً للأساليب والتّقنيات التي يوظّفها المهاجمون في هجومهم)
1- المباشر
هنا يقوم المهاجم بالتّوجّه إلى الهدف بنفسه محاولاً الدخول إلى مناطق غير مصرّح لها به. كأن يدّعي مثلاً أنّه يعمل في شركة الهاتف ويريد إصلاح خلل ما في شبكة الهاتف داخل الشركة.
2- التّحايل
وهو وضع الضحيّة في موقف سيناريو معيّن يبدو واقعيّاً وقابلاً للتّصديق، ولكنّه في الحقيقة غير ذلك. والغرض منه الحصول من الضّحيّة على معلومات كحسابه البنكي، او اسم المستخدم و/أو كلمة المرور الخاصّة به. مثلاً انتحال شخصيّة فنّي حاسوب، يحاول مساعدة موظّف في تحديث نظامه، أو معالجة مشكلة في الطابعة، إلخ. الموظّف أكيد لديه مشكلة (إذا عملت فنّي حاسوب فستفهم قصدي تماماً )، حاسوبه يعمل ببطئ، أو تصفّحه للإنترنت بطيء. فنّي الحاسوب يقوم بإرشاد الموظّف عبر الهاتف حول كيفيّة تحسين أداء حاسوبه، أو سرعة الاتصال لديه عبر تحميل برنامج ما يرسله المهاجم (فنّي الحاسوب) إلى الموظّف (الضحيّة) وتنصيب هذا البرنامج على حاسوب الموظّف. البرنامج هو عبارة عن برمجيّة خبيثة، مثلاً حصان طروادة، حيث يتمّ دمج برنامج حقيقي سليم ببرنامج آخر ضار. هذا البرنامج الضّار يمكن المهاجم من الحصول على موطئ قدم في حاسوب الضحيّة، والشبكة داخل المؤسّسة ككل.
3- التّصيّد
في هجمات التّصيّد يقوم المهاجم بإرسال كم كبير من الرّسائل الإلكترونيّة التّي توظّف الخداع لجعل المستخدم يقوم بتنفيذ برنامج ضار يقوم مرفقاً بالرّسالة. طبعاً المهاجم لا يتنظر أن يقوم كل فرد وصلت له رسالة المهاجم بفتحها وفتح الملفات المرفقة معها. فالصّياد عندما يضع الطعم للأسماك عند صيده لا يتوقع أن تبتلع كل الأسماك الطّعم.
التّصيّد نفسه أنواع، النّوع الذي ذكرته قبل قليل هو النّوع العام. ولكن هناك نوع آخر منه ويدعى التّصيد المستهدَف. في هذا النّوع يقوم المهاجم بإرسال رسائل إلكترونيّة لأفراد يعملون في شركة معيّنة مثلاً. مثل الهجوم الذي تعرّضت له غوغل والذي يقال أنّه قد بدأ بهجوم تصيّد مستهدف. إذا لم تتضح الفكرة، ففكر بالصّياد الذي يريد اصطياد نوع معيّن من الأسماك فالصّياد في هذه الحالة سيهيّئ طُعماً يجذب هذا النّوع من الأسماك.
4- الطعم
هذا النّوع يستفيد من حبّ الاستطلاع والفضول لدى البشر. يقوم المهاجم بترك قرص مضغوط (CD,DVD)، أو ذاكرة متنقّلة (USB) في مكان بارز (قريب من شركة أو مؤسّسة ما يستهدفها المهاجم). محتوى القرص أو الذاكرة يحتوي على برنامج ضار كمسجّل المفاتيح (الذي يقوم بتسجيل كل ضغطة مفتاح على لوحة المفاتيح يقوم الضحيّة بها) أو حصان طروادة أو فيروس.
كيف نؤَمّن أنفسنا ضد الهندسة الاجتماعية ؟
يقول كيفن ميتنك " التدريب الجيد للعاملين، وليس التكنولوجيا، هو مفتاح النجاح وأفضل طريقة للوقاية ضد ظاهرة الهجمات التي توظف فيها «الهندسة الاجتماعية» لسرقة البيانات الحساسة ".

•    على المستوى الفردي :
    حدود الثقة:
لا تثق بأي رسالة أو أي شخص يطلب منك معلومات شخصية ، حتى لو وصلتك رسالة من بريد إلكتروني يبدو واضحا أنه بريد الكتروني رسمي من الجهة التي تطلب المعلومات. وهذا لأنه ليس لديك ما يثبت تماما ان المرسل هو حقاً من يدعي انه هو كـ ختم أو توقيع أو شفرة معينة أو خلافه.
    حافظ على سريّة معلوماتك:
لا تعطي معلوماتك الشخصية الحقيقة لأي شخص كان على الإنترنت. لأن الإنترنت مجال خصب للاحتيال، حيث تزول رهبة اللقاء الشخصي لدى الشخص المحتال وتختفي المؤشرات التي تدل على الاحتيال كالنظرات وطريقة الكلام ولغة الجسد بشكل عام. ولا تعلم ما قد تؤدي إليه معلومات بسيطة قد تستهين بها وترى أنها لا تنفع ولا تضر ، ولكن من جهة أخرى فإن المحتال يراها كنزاً غالياً.
    لا تندفع وراء العروض المغرية:
احذف فورا أي رسالة تعدك بأنها جهة ستقدم لك جائزة أو أنها تعرض عليك وظيفة مقابل اشتراطات معينه ! , فإن مثل هذه الرسائل تطمّعك في ما تعدك به وتستدرجك لإعطاء معلومات قد تكون سرّيه للغاية أو قد تستخدم لكشف معلومات سريّه وإن لم تكن هي بذاتها سريّه. أو قد تطلب منك دفع مبالغ ماليه بسيطة لكي تحصل على الجائزة الثمينة أو تدخل اختبار القبول في وظيفة معينه وتبدأ تأخذ منك المبالغ شيئاً فشيئاً .

    احذر من ان تكون فريسة سهله:
عند إدخال معلومات حساسة على الانترنت تأكد من انك لا تتعرض للـ fishing  وال fishing يعني حرفيّاً الاصطياد وسمّي بذلك لأنه يعتمد على تصيّد المعلومات السرية عن طريق طعم معيّن مثل نموذج لتعبئة البيانات الشخصية مطابق تماما لنموذج البنك أو أي موقع يطلب معلومات سريّه. ولكي تتأكد من الموقع الذي سوف تدخل فيه معلومات حساسة  احرص على تكتب عنوان الموقع بنفسك ولا تبحث عنه في محركات البحث وتدخل إليه من الروابط التي تظهر لك، وإذا لم تكن تعرف عنوان الموقع حاول أن تأخذه من مصدر مضمون على سبيل المثال خلف بطاقة الصرف الآلي يوجد عنوان موقع البنك  أو أي سبيل مضمون. ولا تعتمد على العنوان الذي يظهر لك في شريط العنوان إذا كان صحيحاً لأنه قد يكون عنوان مضلل وهذه طريقة للتأكد :
 

الشكل1 (أ) : كيف تتأكد انك لا تتعرض للـ fishing.
 
الشكل1 (ب) : كيف تتأكد انك لا تتعرض للـ fishing.
  
لا تكن فضوليّاً:
لا تكن فضولياً لكي لا تنطلي عليك الألاعيب المهندسين الاجتماعيين التي تستغل هذه النقطة لجعلك تفعل ما يريدونك ان تفعله. كأن يصلك بريد اليكتروني يدعوك لتحميل المرفقات لترى مقاطع فكاهية أو برنامج جميل يقدم مجموعه من الخدمات أو غيره ، او قد يستغل فضولك من ناحية أخرى باستخدام "الهندسة الاجتماعية المعاكسة" وهي طريقة متقدمة جداً للحصول على المعلومات المحظورة. بأن يدعي المهاجم بأنه شخص ذو صلاحيات عالية وعنده معلومات معينه مما يدفع الضحية إلى طلب المعلومات منه.إذا تم الأمر كما خطط له فقد يحصل المهاجم على فرصة أكبر للحصول على معلومات ذات قيمة كبيرة من الضحية .و هذه الطريقة تتطلب من المهاجم التحضير المسبق بشكل كبير و الكثير من الأبحاث مع القدرة على الهروب في الوقت المناسب.

•    على مستوى الشركات:
  •     وضع سياسات أمنية واضحة للشركة وذلك بأن تقوم الشركة بالتوضيح للعاملين فيها قوانين الأمن المتبعة في الشركة و التي يجب على العاملين تطبيقها. وإن أمكن برمجتها إلكترونياً لضمان تطبيقها (مثل فرض تسجيل دخول وتسجيل خروج إلكتروني لكل من يدخل إلى الشركة).وضمن هذه السياسات توضّح الشركة العقوبات التي تترتب على الموظفين عند عدم تطبيق القوانين الأمنية المفروضة عليهم.
 
  •     تأمين مبنى المنظمة بحيث يتعذر الدخول والخروج من وإلى الشركة إلا تحت رقابة حراس الأمن. ويمنع دخول غير العاملين في الشركة إلا بمعرفة سابقة لحراس الأمن في المنظمة وتحت مراقبة منهم وإعطاء بطاقات دخول أو كلمات مرور تمكّن الأمن من التعرف على المخوّل لهم بالدخول للشركة وتفعيلها.
 
  •     السيطرة على المكالمات الهاتفية وذلك بوضع نظام امني حازم للمكالمات مع قدرة على التحكم في من يستطيع مكالمة من ومنع المكالمات الخاصة كما يجب عدم إظهار مدخل للخط الهاتفي للمنظمة لأنه قد يستخدم من شخص خارج المنظمة باسم المنظمة فيقوم بالتعامل مع عملاء المنظمة على انه احد موظفيها  ويكسب ثقة العملاء بسبب خط الهاتف المطابق لخط المنظمة.
 
  •      تثقيف جميع مستويات الموظفين داخل المنظمة بمجال أمن المعلومات و الاختراقات التي من الممكن حصولها وتدريبهم على عدم إعطاء معلومات ذات سرية عالية إلا بعد التأكد من هوية الشخص و وفقاً للحد المسموح به. وتدريبهم أيضاً على كيفية رفض إعطاء المعلومات عند عدم الإمكانية بأسلوب لبق.
ويرى ميتنك أن الوسيلة الفعالة لصد هجمات الهندسة الاجتماعية تتمثل في خلق جدران نار بشرية، أي توعية العاملين لعدم الانصياع للمتسللين من دون علمهم.

ومن المهم هنا الانتباه إلى أن  توعية صغار الموظفين وكبارهم هي في نفس مستوى الأهمية، فيجب توعية حراس الأمن مثلا بعدم إدخال غير المصرح لهم والتأكد من بطاقات الموظفين والتأكد من صحة أعذار أي شخص قبل أن يدخله، كأن يقول له احدهم أنا مندوب من الشركة الفلانية وعندي موعد مع المدير  أو يقول آخر أنا عامل الصيانة. وكذلك يجب توعية المدير بأنه وإن كان مدير يجب عليه الانصياع لقوانين الأمن .

    إتلاف المستندات و الأجهزة غير المستخدمة داخل المنظمة كي لا يمكن استخدام المعلومات الحساسة التي تحويها. وإتلاف أجهزة الكمبيوتر القديمة كي لا تستعمل باستخراج معلومات سرية منها. فالمهاجم قد يحصل على معلوماته من مخلفات المنظمة كأن يعرف أنواع أنظمة التشغيل التي تستخدمها المنظمة  وأنواع برامج الحماية  وذلك من بقايا صناديق الأقراص التي كانت تحتوي على هذه البرامج  وتخلص منها موظفو الشركة دون إتلافها. وقد يجد في سلال المهملات أيضاً قوائم بأسماء الموظفين ومعلوماتهم السرية مثل رواتبهم أو كلمات المرور الخاصة بهم. وهذه الطريقة من أكثر الطرق شعبية بين المهاجمين الذين يستخدمون الهندسة الاجتماعية، والسر في شعبيتها أن المهاجم يستطيع جمع معلومات كثيرة ومهمة دون أن يلفت انتباه أحد.

توفير الأجهزة والمعدات العالية الجودة التي تضمن الأمن مثل أجهزة  تسجيل الدخول وتسجيل الخروج وأجهزة إتلاف الورق وأجهزة إظهار رقم المتّصل  وغيرها من الأجهزة والأدوات التي تساعد في إتمام العمل بحسب النظم والقواعد المفروضة من الشركة لضمان أعلى مستويات الأمن مع الاحتفاظ بجودة سير العمل.

أخيراً، رغم اقتناع الناس بأن خطورة اختراق الأنظمة تأتي من ذوي الخبرة التقنية العالية، إلا أن الخطورة الأكبر تأتي من ذوي الخبرة في الطبيعة البشرية.
 

إرسال تعليق Blogger

عزيزى الزائر بمجرد الضغط على اعلامى اسفل نموذج الرد فسيتم اعلامك باخر ردود المشاركة

تذكر قول الله تعالى (( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ ))

 
Top