فهم الهندسة الاجتماعية - الحماية من القرصنة البشرية

جعلتني قطعة من الأخبار الحديثة أدرك كيف يمكن (أو ، استخدام) المشاعر والأفكار البشرية لمنفعة الآخرين. يعرف كل واحد منكم تقريبًا إدوارد سنودن(Edward Snowden) ، مخبر وكالة الأمن القومي(NSA) الذي يتطفل على العالم بأسره. ذكرت وكالة رويترز أنه قام بحمل حوالي 20-25 شخصًا من وكالة الأمن القومي(NSA) لتسليمه كلمات المرور الخاصة بهم لاستعادة بعض البيانات التي سربها لاحقًا [1]. تخيل(Imagine) مدى هشاشة شبكة شركتك ، حتى مع أقوى برامج الأمان وأفضلها!

هندسة اجتماعية

ما هي الهندسة الاجتماعية

غالبًا ما يتم استخدام الضعف البشري(Human) والفضول والعواطف وغيرها من الخصائص في استخراج البيانات بشكل غير قانوني - سواء كان ذلك في أي صناعة. ومع ذلك ، فقد أعطتها صناعة تكنولوجيا المعلومات(IT Industry) اسم الهندسة الاجتماعية. أعرّف الهندسة الاجتماعية على أنها:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

إليكم سطر آخر من نفس القصة الإخبارية [1] التي أريد أن أقتبس منها - " تواجه وكالات الأمن أوقاتًا عصيبة مع فكرة أن الرجل في المقصورة التالية قد لا يكون موثوقًا به(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable) ". لقد قمت بتعديل العبارة قليلاً لتلائم السياق هنا. يمكنك قراءة الخبر كاملاً باستخدام الرابط الموجود في قسم المراجع(References) .

بمعنى آخر ، ليس لديك سيطرة كاملة على أمن مؤسساتك مع تطور الهندسة الاجتماعية بشكل أسرع بكثير من تقنيات التعامل معها. يمكن أن تكون الهندسة الاجتماعية(Social) أي شيء مثل استدعاء شخص ما يقول إنك تقدم الدعم الفني واطلب منه بيانات اعتماد تسجيل الدخول الخاصة به. يجب أن تكون قد تلقيت رسائل بريد إلكتروني للتصيد الاحتيالي حول اليانصيب ، والأثرياء في الشرق الأوسط(Mid East) وأفريقيا يريدون شركاء(Africa) أعمال ، وعروض عمل ليطلبوا منك التفاصيل الخاصة بك.

على عكس هجمات التصيد الاحتيالي ، فإن الهندسة الاجتماعية هي قدر كبير من التفاعل المباشر بين الأشخاص. يستخدم (التصيد الاحتيالي) السابق طُعمًا - أي أن الأشخاص الذين "يصطادون" يقدمون لك شيئًا على أمل أن تقع في غرامه. تتمحور الهندسة الاجتماعية(Social) حول كسب ثقة الموظفين الداخليين بحيث يكشفون عن تفاصيل الشركة التي تحتاجها.

قراءة: (Read:) الأساليب الشعبية للهندسة الاجتماعية .

تقنيات الهندسة الاجتماعية المعروفة

هناك الكثير ، وكلهم يستخدمون الميول البشرية الأساسية للدخول في قاعدة بيانات أي منظمة. إن أسلوب الهندسة الاجتماعية الأكثر استخدامًا (والذي قد يكون عفا عليه الزمن) هو الاتصال بالناس والالتقاء بهم وجعلهم يعتقدون أنهم من الدعم الفني الذين يحتاجون إلى فحص جهاز الكمبيوتر الخاص بك. يمكنهم أيضًا إنشاء بطاقات هوية مزيفة لبناء الثقة. في بعض الحالات ، يتظاهر الجناة بأنهم مسؤولون في الدولة.

أسلوب مشهور آخر هو توظيف شخصك كموظف في المنظمة المستهدفة. الآن ، نظرًا لأن هذا الخداع هو زميلك ، فقد تثق به فيما يتعلق بتفاصيل الشركة. قد يساعدك الموظف الخارجي في شيء ما ، لذلك تشعر بأنك ملزم ، وهذا هو الوقت الذي يمكنه فيه تحقيق الحد الأقصى.

قرأت أيضًا بعض التقارير حول الأشخاص الذين يستخدمون الهدايا الإلكترونية. يمكن لوحدة USB(USB) الفاخرة التي يتم تسليمها لك على عنوان شركتك أو محرك أقراص محمول ملقاة في سيارتك أن تثبت وقوع كوارث. في إحدى الحالات ، ترك شخص ما بعض محركات أقراص USB عمدًا في ساحة انتظار السيارات كطُعم [2].

إذا كانت شبكة شركتك تتمتع بإجراءات أمنية جيدة في كل عقدة ، فأنت محظوظ. بخلاف ذلك ، توفر هذه العقد ممرًا سهلاً للبرامج الضارة - في تلك الهدية أو محركات القلم "المنسية" - إلى الأنظمة المركزية.

على هذا النحو لا يمكننا تقديم قائمة شاملة بأساليب الهندسة الاجتماعية. إنه علم في جوهره ، مقترنًا بالفن في الأعلى. وأنت تعلم أن أيا منهما ليس له حدود. يواصل رجال الهندسة الاجتماعية(Social) الإبداع أثناء تطوير البرامج التي يمكنها أيضًا إساءة استخدام الأجهزة اللاسلكية للوصول إلى شبكة Wi-Fi الخاصة(Wi-Fi) بالشركة .

قراءة: (Read:) ما هي البرامج الضارة المهندسة اجتماعيًا .

منع الهندسة الاجتماعية

أنا شخصياً لا أعتقد أن هناك أي نظرية يمكن للمسؤولين استخدامها لمنع اختراق الهندسة الاجتماعية. تستمر تقنيات الهندسة الاجتماعية في التغيير ، وبالتالي يصبح من الصعب على مسؤولي تكنولوجيا المعلومات تتبع ما يحدث.

بالطبع ، هناك حاجة للاحتفاظ بعلامة تبويب لأخبار الهندسة الاجتماعية بحيث يتم إبلاغ الفرد بما يكفي لاتخاذ الإجراءات الأمنية المناسبة. على سبيل المثال ، في حالة أجهزة USB ، يمكن للمسؤولين حظر محركات أقراص USB على العقد الفردية مما يسمح لهم فقط على الخادم الذي يحتوي على نظام أمان أفضل. وبالمثل(Likewise) ، ستحتاج Wi-Fi إلى تشفير أفضل مما يوفره معظم (Wi-Fi)مزودي خدمة الإنترنت(ISPs) المحليين .

يمكن أن يساعد تدريب الموظفين وإجراء اختبارات عشوائية على مجموعات مختلفة من الموظفين في تحديد نقاط الضعف في المنظمة. سيكون من السهل تدريب الأفراد الأضعف وحذرهم. اليقظة(Alertness) هي أفضل دفاع. يجب أن يكون التركيز هو أنه لا ينبغي مشاركة معلومات تسجيل الدخول حتى مع قادة الفريق - بغض النظر عن الضغط. إذا احتاج قائد الفريق إلى الوصول إلى تسجيل دخول العضو ، فيمكنه استخدام كلمة مرور رئيسية. هذا مجرد اقتراح واحد للبقاء آمنًا وتجنب اختراق الهندسة الاجتماعية.

خلاصة القول هي ، بصرف النظر عن البرامج الضارة والمتسللين عبر الإنترنت ، يحتاج فريق تكنولوجيا المعلومات إلى الاهتمام بالهندسة الاجتماعية أيضًا. أثناء تحديد طرق اختراق البيانات (مثل كتابة كلمات المرور وما إلى ذلك) ، يجب على المسؤولين التأكد من أن موظفيهم أذكياء بما يكفي لتحديد تقنية الهندسة الاجتماعية لتجنبها تمامًا. ما رأيك هي أفضل الطرق لمنع الهندسة الاجتماعية؟ إذا واجهت أي حالة مثيرة للاهتمام ، فيرجى مشاركتها معنا.

قم بتنزيل هذا الكتاب الإلكتروني حول هجمات الهندسة الاجتماعية الذي أصدرته Microsoft وتعرف على كيفية اكتشاف ومنع مثل هذه الهجمات في مؤسستك.(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)

مراجع(References)

[1] رويترز(Reuters) ، سنودن(Snowden) أقنع موظفي وكالة الأمن القومي بالحصول على (NSA Employees Into)معلومات(Info) تسجيل الدخول الخاصة بهم

[2] Boing Net ، محركات القلم(Pen) المستخدمة لنشر البرامج الضارة(Spread Malware) .



اروى باكثير

About the author

أنا مطور iOS بخبرة تزيد عن 10 سنوات. أنا متخصص في تطوير التطبيقات لأجهزة iPhone و iPad. لدي خبرة في بناء تدفقات المستخدمين ، وإنشاء مجموعات تطوير مخصصة (CDKs) ، والعمل مع أطر تطوير التطبيقات المختلفة. في عملي السابق ، قمت أيضًا بتطوير أدوات للمساعدة في إدارة متجر تطبيقات Apple ، والتي تتضمن أداة إدارة المنتج وأداة إرسال التطبيق.


Related posts