ℹ️ التعرف على تقنيات الهندسة الاجتماعية وانواع الحيل التي يمارسها الهاكر عبر مواقع شبكة الانترنت ووسائل التواصل والبريد الالكتروني , وكيفية الحماية.
🔰المحتويات:
1. تعريف الهندسة الاجتماعية
2. الهندسة الاجتماعية في تكنولوجيا المعلومات
3. تقنيات الهندسة الاجتماعية:
- - الذريعة
- - الاصطياد
- - المقايضة
- - الذيل
- - تزوير البريد الإلكتروني
- - تزوير صفحات الويب
- - خداع المعاملات المالية
- - خدع النقر بالفأرة
- - خدع فرص العمل
- - الخداع التضامني
4. توصيات للحد من هجمات الهندسة الاجتماعية »
ℹ️ تعريف الهندسة الاجتماعية
💡الهندسة الاجتماعية :عبارة عن مجموعة من الحيل والتقنيات المستخدمة لخداع الناس وجعلهم يقومون بعمل ما أو يفصحون عن معلومات سرية وشخصية. قد تستخدم الهندسة الاجتماعية دون الاعتماد على أي تقنية والاعتماد فقط على أساليب الاحتيال للحصول على معلومات خاصة من الضحية. تعتبر الهندسة الاجتماعية نوع من التقنيات التي يستخدمها المجرمون الإلكترونيون بهدف استدراج المستخدمين غير المرتابين لإرسال بياناتهم السرية، وإصابة حواسيبهم ببرامج ضارة
ℹ️ الهندسة الاجتماعية في تكنولوجيا المعلومات
💡 أدى الاستخدام المتزايد لتقنيات تكنولوجيا المعلومات بشكل طبيعي إلى زيادة استخدام هذه التقنيات، بالإضافة إلى دمجها، لدرجة أن معظم الهجمات الإلكترونية في الوقت الحاضر تتضمن شكلاً من أشكال الهندسة الاجتماعية، تقنيات الهندسة الاجتماعية في تكنولوجيا المعلومات من زاويتين مختلفتين تتمثل فيما يلي:
1. استخدام التلاعب النفسي للحصول على وصول إضافي إلى نظام تكنولوجيا المعلومات حيث يكمن الهدف الفعلي للمهاجم، على سبيل المثال انتحال شخصية عميل مهم عبر مكالمة هاتفية لجذب الهدف إلى تصفح موقع ويب ضار لإصابة محطة عمل الهدف.
2. استخدام تقنيات تكنولوجيا المعلومات كدعم لتقنيات التلاعب النفسي لتحقيق هدف خارج مجال تكنولوجيا المعلومات، مثل الحصول على بيانات اعتماد مصرفية عبر هجوم تصيد لسرقة أموال الهدف.
2. استخدام تقنيات تكنولوجيا المعلومات كدعم لتقنيات التلاعب النفسي لتحقيق هدف خارج مجال تكنولوجيا المعلومات، مثل الحصول على بيانات اعتماد مصرفية عبر هجوم تصيد لسرقة أموال الهدف.
⚒️ تقنيات الهندسة الاجتماعية
💡 قد تأتي هجمات الهندسة الاجتماعية في العديد من الأساليب المختلفة ويمكن تنفيذها في أي مكان يكون فيه التفاعل البشري متضمنًا.
ℹ️ فيما يلي الأشكال الأكثر شيوعًا لهجمات الهندسة الاجتماعية الرقمية:
ℹ️ فيما يلي الأشكال الأكثر شيوعًا لهجمات الهندسة الاجتماعية الرقمية:
▪️ الذريعة
هذا الأسلوب هو استخدام ذريعة، وهو عباره عن تبرير كاذب لمسار عمل معين، لكسب الثقة وخداع الضحية، مثال، يدعي المهاجم أنه يعمل في دعم تكنولوجيا المعلومات ويطلب كلمة مرور الهدف لأغراض الصيانة، حيث يجب أن تكون عمليات تحديد الهوية والمصادقة والسياسات والدورات التدريبية في مكانها الصحيح للتحايل على مثل هذه الهجمات.
▪️ الاصطياد
يشمل الاصطياد إغراء الضحية بأداء مهمة محددة من خلال توفير وصول سهل إلى شيء تريده الضحية، حيث ستؤدي السياسات الأمنية مثل حظر البرامج والأجهزة غير المصرح بها إلى إحباط معظم المحاولات، على الرغم من أنه يجب أيضًا تذكير الموظفين بعدم الثقة في المصادر غير المعروفة.
▪️ المقايضة
شيء مقابل شيء ما، يتضمن طلبًا للحصول على معلومات مقابل تعويض، على سبيل المثال، يسأل المهاجم كلمة مرور الضحية مدعيًا أنه باحث يجري تجربة مقابل المال، من السهل نسبيًا اكتشاف هجمات المقايضة نظرًا للقيمة غير المتكافئة للمعلومات مقارنة بالتعويض، وهو عكس المهاجم والضحية، وفي هذه الحالات، يظل أفضل إجراء مضاد هو سلامة الضحية وقدرتها على تحديد الهوية والتجاهل والإبلاغ عنها.
▪️ الذيل
(Tailgating) هو فعل متابعة شخص مرخص له في منطقة أو نظام محظور، مثال، المهاجم الذي يرتدي زي موظف، يحمل صندوقًا كبيرًا ويقنع الضحية، وهو موظف مرخص له بالدخول في نفس الوقت، بفتح البيانات باستخدام البطاقة الخاصة بالضحية.
💡 ومن اشكال الاحتيال ايضا:
. تزوير البريد الإلكتروني
، بحيث يظهر أن مرسل الرسالة هو شخص ذو منصب معين (كمدير شركة أو عضو في فريق صيانة بريد الوب)، وقد تطلب «رسالة الخداع» من المستخدم معلومات عن حسابه متذرعة بحجة ما فينخدع المستخدم بذلك ويستجيب لطلبه. ويُعتبر هذا النوع ضمن أساليب الهندسة الاجتماعية
. تزوير صفحات الويب
، بحيث تظهر صفحة الوب مطابقة للصفحة الرسمية لموقع آخر، وفي حالة كانت الصفحة تزويراً لموقع حساس (موقع وب لمصرف مثلاً)، فإن المستخدم المخدوع قد يدخل بيانات حسابه في الصفحة المزورة مما يؤدي إلى سرقة هذه المعلومات. وقد تقترن هذه الخدعة أحياناً مع سابقتها، فيُرسل عنوان موقع الوب في رسالة بريدية مزورة
. خداع المعاملات المالية
، حيث يعد الطرف الخادع (عن طريق رسالة بريد إلكتروني في العادة) الطرف المخدوع بنسبة كبيرة من ثروة وهمية مقدرة بالملايين شريطة أن يقوم المستخدم المخدوع أولاً بالقيام ببعض الترتيبات لاستلام هذه الأموال. تتضمن هذه الترتيبات إرسال مبلغ من المال إلى الطرف الأول لسبب ما (من أجل معاملات تحويل الأموال مثلاً)، وبهذا يكون المستخدم قد وقع ضحية الاحتيال وخسر نقوده. تـُصنف رسائل البريد الخاصة بهذا النوع في كثير من أنظمة البريد الإلكتروني تحت تصنيف البريد المزعج (Spam mail)
. خدع النقر بالفأرة
، وهي عبارة عن مواقع ويب تطلب من المستخدم التسجيل والنقر على إعلاناتها أو تشغيل برنامج يقوم بعرض الإعلانات على جهازه مقابل الحصول على مبلغ معين (عن كل عدد معين من الإعلانات أو حسب مدة تشغيل البرنامج). ناتج هذه الخدع هو عمليات تسويق دعائية مجانية لهذه المواقع مقابل «لا شيء» مادي يحصل عليه المستخدم المخدوع بالمقابل
. خدع فرص العمل
في المنزل، تطلب هذه الخدع من المستخدم إرسال مبلغ مالي معين قد يصل إلى بضع مئات من الدولارات لقاء المواد اللازمة لبدء عمله لإرسالها إليه، ولكن المستخدم يدفع دون أن يحصل على المواد/المعلومات التي دفع ثمنها. تطلب هذه الخدع أحياناً التسجيل في الموقع وإرسال رابط دعائي للموقع إلى مستخدمين آخرين ليزيد من نسبة ربحه
. الخداع التضامني
، بعض المستخدمين الذين يقعون ضحايا لإحدى أنواع احتيال الإنترنت يقومون بالتسويق لهذه الخدع (كما في النوع السابق) وتأكيد صحتها ومصداقيتها (سواءً كانوا عالمين أو جاهلين بحقيقتها)، مما يؤدي إلى وقوع المزيد من الضحايا فيها.
🤚🏻 توصيات للحد من هجمات الهندسة الاجتماعية
. يجب التحكم في الوصول إلى المناطق غير العامة من خلال سياسات الوصول أو استخدام تقنيات التحكم في الوصول، حيث انه كلما كانت المنطقة أكثر حساسية، كانت الإجراءات أكثر صرامة، حيث يجب أن يكون الالتزام بارتداء الشارة ووجود حارس وأبواب فعلية متطور , كما يجب على أي مؤسسة او منظمة من تحديد أصولها الهامة وتنفيذ السياسات والبروتوكولات الامنية المناسبة عند الضرورة، حيث يجب تعزيزها من خلال استخدام التكنولوجيا المناسبة .
. حملات توعية متكررة، منها ملصقات، وعروض تقديمية، ورسائل بريد إلكتروني، ومذكرات إعلامية.
. تدريب الموظفين وممارستهم، حيث تبدأ الحماية من الهندسة الاجتماعية من خلال التدريب والتثقيف. وإذا كان جميع المستخدمين على وعي تام بالتهديدات ،فستكون الأثار أقل ضرراً.
. اختبارات الاختراق لتحديد مدى تعرض المؤسسة لهجمات الهندسة الاجتماعية، والإبلاغ عن النتائج والتصرف بناءً عليها.
. حملات توعية متكررة، منها ملصقات، وعروض تقديمية، ورسائل بريد إلكتروني، ومذكرات إعلامية.
. تدريب الموظفين وممارستهم، حيث تبدأ الحماية من الهندسة الاجتماعية من خلال التدريب والتثقيف. وإذا كان جميع المستخدمين على وعي تام بالتهديدات ،فستكون الأثار أقل ضرراً.
. اختبارات الاختراق لتحديد مدى تعرض المؤسسة لهجمات الهندسة الاجتماعية، والإبلاغ عن النتائج والتصرف بناءً عليها.
🎗️ أتمنى ان تكونو قد استفدتم من هذا الموضوع، و بإمكانكم متابعة المدونة Yemenat Tech بالنقر على زر المتابعة، و لا تنسو مشاركة الموضوع .
ℹ️ إذا كان لديكم أي أسئلة او مقترحات يمكنكم من الكتابة في التعليقات او التواصل عبر صفحة نموذج الاتصال🤚🏻.
║♦ تصفح أيضاً ♦║
- 🔖 البرنامج التعليمي التطبيقي لاستخدام النماذج الالكترونية ، بناء الاستطلاعات باستخدام Google forms
- 🔖 التخزين السحابي للملفات بواسطة Google Drive
- 🔖 رسم العلامات الموضعية و كيفية استيراد وتصدير ملفات البيانات الجغرافية من والى الخرائط الإلكترونية على خرائط جوجل Google maps
- 🔖 بناء تطبيقات اندرويد للموبايل على منصة التطوير B4A
- والمزيد من » هنا
🏠 | الخصوصية | اتفاقية الاستخدام | من نحن | تواصل معنا |
Yemenat Tech
إرسال تعليق
شاركونا تعليقاتكم واقتراحاتكم