الهندسة الاجتماعية Social Engineering

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث

مقدمة

Malicious-Attack-and-Malware(arabic)FBcover.jpg

في سياق أمن المعلومات والأمن الرقمي، الهندسة الاجتماعية هي فن استخدام الحنكة والحذاقة لخداع الشخص بحيث يقوم بشكل إرادي بكشف معلومات سرية أو بإعطاء المهاجم الفرصة للوصول للمعلومات السرية.

لا تعتمد أساليب الهندسة الاجتماعية على معرفة تقنية عميقة بالتالي يتسطيع أي شخص يتوافر لديه قدر معين من الحنكة والدهاء القيام بهجمات الهندسة الاجتماعية.

أغلب من يقوم بهجمات الهندسة الاجتماعية هواة وغير خبراء، لكن إن ترافقت المعرفة التقنية بأساليب الهندسة الاجتماعية فإن ذلك يشكل تهديد أكبر بكثير من مجرد المعرفة التقنية أو الحنكة بشكل فردي.

يعتمد مثلا الجيش السوري الالكتروني Syrian Electronic Army أساليب الهندسة الاجتماعية لتنصيب برمجية روتكيتس Rootkits خبيثة أو حصان طروادة للتحكم عن بعد Remote Administration Trojan على أجهزة ضحاياهم.

إذا للحد من فعالية الجيش السوري الالكتروني مثلا يكفي استيعاب موضوع الهندسة الاجتماعية وموضوع الروتكيتس Rootkits والعمل على تقليل مخاطر الوقوع ضحية لهما.

أساليب الهندسة الاجتماعية

نحاول فيما يلي سرد أهم أساليب الهندسة الاجتماعية التي يعتمد عليها المهاجمون لإيقاع ضحاياهم. نتمنى من القراء بعد معاينة هذه اللائحة محاولة التفكير بأساليب أخرى قد يعتمدها المهاجمون. فالمهاجمون يفكرون أيضا بشكل مستمر بأساليب جديدة لخداع الضحايا.

استغلال الشائعات

تعتمد أغلب عمليات الاحتيال للحصول على كلمات السر أو للسيطرة على الحواسيب على تغليف البرنامج الخبيثة أو الرابط الخبيث في غلاف جذاب يغوي الضحية إلى تشغيله أو فتحه.

يكون الغلاف الجذاب عادة مصمما للضحية أو مجموعة الضحايا. في كثير من الأحيان يستغل المهاجمون الشائعات, بغض النظر عمن وراء الشائعات, كغلاف جذاب لتمرير المحتوى الخبيث,

تنتشر الشائعات بشكل سريع جدا ضمن شبكات التواصل الاجتماعي ومنها فيسبوك. بالتالي تكون المساهمة في نشر الشائعات بشكل أو بآخر مساهمة في تسهيل عمل من ينوي استغلال الشائعات لتغليف روابطهم الخبيثة.

تؤثر أيضا الشائعات على العالم الحقيقي, فقد تؤدي لاصحاب القرار لاتخاذ قرارات مبنية على معلومات خاطئة ما يؤدي لانكشاف مزيد من المعلومات التي يمكن استغلالها لمزيد من هجمات الهندسة الاجتماعية أو غيرها من الهجمات الخبيثة.

استغلال عواطف الضحية وطباعه الشخصية

يقصد باستغلال العواطف استخدام نصوص أو صور تخاطب عاطفة الضحية وتؤدي إلى سقوطه في فخ فتح وتشغيل الملف الخبيث أو فتح رابط خبيث. يمكن أن تكون العواطف العواطف عواطف كالحقد، الانتقام، الحزن، الكره والنقمة... أو عواطف كالحب، الشوق، الحنين، الاعجاب... وغيرها. يمكن أيضا للمهاجم استغلال حشرية المستهدف أو غروره أو بحثه الذي لم ينته عن الحبيب أو عن علاقة عاطفية مشروعة أو غير مشروعة وهكذا.

استغلال المواضيع الساخنة

بشكل مشابه لاستغلال الشائعات, يستغل المهاجمون المواضيع الساخنة لتمرير عمليات احتيالهم.

بعكس الشائعات, المواضيع الساخنة أخبار حقيقية ولا تحتوي على تضخيم أو افتراء. تنتشر عادة بسرعة على وسائل الإعلام ذات المصداقية العالية بشكل أخبار عاجلة.

كل هذا يجعلها طعما مناسبا لإيهام الضحية بأن الرابط المرفق مع الرسالة مثلا هو أيضا "وديع" وأن صاحب الرابط المرفق "صادق" في ادعائه حول محتوى الرابط كما الرسالة صادقة في نقل الأخبار الساخنة.

استغلال موضوع الأمن الرقمي وضعف الخبرة التقنية للضحية

في هذا النوع من الهندسة الاجتماعية يدعي المهاجم أن رابطا ما أو ملفا ما سيسهم بحماية جهاز الضحية. في حين أنه في الحقيقة الملف ملف خبيث أو الرابط خبيث.

انتحال الشخصية Identity Theft

يمكن للمهاجم أن ينشئ مثلا حساب على فيسبوك, أو حساب إيميل, أو حساب سكايب, باسم مستعار أو باسم مطابق لاسم صديق لك أو لاسم شخص تعرفه بنية انتحال الشخصية.

يمكن لمنتحل الشخصية استغلال الثقة للحصول على معلومات ما أو لاستجرارك لإضافته إلى مجموعة سرية معينة وما إلى ذلك.

في كثير من الأحيان يستطيع منتحلوا الشخصية خداع ضحاياهم باستخدام مهارات التحايل دون الحاجة لمقدرات تقنية لذلك يعتبر انتحال الشخصية من أساليب الهندسة الاجتماعية Social Engineering.

بالطبع الحصول على كلمة سر لحساب شخص ما في فيسبوك واستغلال حسابه لانتحال شخصيته يسهل مهمة الحصول على المعلومات بشكل كبير جدا, كما يسهل أيضا استغلال الحساب المخترق لاختراق حسابات جديدة عبر استخدام الحساب المخترق لسرقة كلمات السر بالاحتيال مثلا.

استغلال السمعة الجيدة لتطبيقات معينة

هنا يدعي المهاجم أن رابطا أو ملفا هو نفسه النسخة المحدثة مثلا من تطبيق معين، لكنه في الحقيقة يتضمن ملفا خبيثا. وهناك أيضا حالات أخرى يقوم فيها الرابط بتحميل الملف الخبيث وتنصيبه ثم تحميل التطبيق الحميد الحقيقي وتنصيبه بحيث يعتقد الضحية أنه قام بتنصيب التطبيق الحميد ولا يعلم أنه قام بتنصيب الملف الخبيث. أما الحالات الأكثر دهاءا نسخة معدلة عن التطبيق ذو السمعة الجيدة يبدو ويعمل كالتطبيق الحقيقي لكنه يتضمن في الوقت نفسه جانب خبيث.

اصطياد كلمات السرّ Passwords Phishing

هي طريقة للحصول على كلمة سر مستخدم لخدمة ما أو موقع ما على الإنترنت. تعتمد الطريقة على إيهام الشخص المستهدف بأنه على الموقع الصحيح المعتاد حيث يدخل كلمة سره عادة للدخول إلى حسابه على الموقع (كموقع البريد الالكتروني) لكن في الحقيقة يكون الموقع موقعا "شريرا" يديره أحد لصوص كلمات السر. بالتالي إذا خدع المستخدم وأدخل كلمة سره في ذلك الموقع تصل كلمة السر بكل بساطة إلى اللص. للمزيد

تظهر الصورة التالية صفحة من صفحات اصطياد كلمة السرّ أعدها أحدهم بهدف اصطياد كلمات سرّ مستخدمي Facebook. لاحظ أن عنوان هذه الصفحة مختلف عن عنوان موقع Facebook

Facebook Phishing Arabic.png

اتبع الرابط التالي إلى اصطياد كلمات السرّ Passwords Phishing.

استغلال التواجد الفيزيائي للمهاجم قريبا من الضحية

نقصد بذلك أن يكون المهاجم والضحية مثلا في نفس القاعة أو نفس الفندق. في هذه الحالة قد يستخدم المهاجم الحنكة للوصول إلى الحاسب المحمول للضحية مثلا أو إلى هاتفه.

خيانة الثقة

في كثير من الأحيان يكون المهاجم صديقا أو زميلا للضحية. يستغل المهاجم ثقة الضحية به بسبب طبيعة علاقة الصداقة بينهما أو بسبب الزمالة في المهنة أو المؤسسة حيث يعملا. فقد يطلب المهاجم من الضحية ببساطة كلمة سر حسابه. أو يطلب منه فتح رابط معين يرسله عبر البريدالالكتروني أو يطلب منه فتح رابط أو ملف معين يمرره له على يو إس بي ستيك USB stick. قد يقوم المهاجم بالتلصص على زميله خلال إدخاله كلمة سر حسابه. استغلال الثقة أحد أكثر أساليب الهندسة الاجتماعية شيوعا. ينصح الخبراء بألا تثقوا بأحد. لكن هناك أيضا مساوئ كثيرة لعدم الثقة بأحد. لذلك ننصح بالتعاطي بحذر دائما مع الجميع خاصة مع التغيرات الكبيرة في طبيعة العلاقات الاجتماعية التي أتت بها ثورة تقنية المعلومات إلى عالمنا المعاصر.

أمثلة على هجمات الهندسة الاجتماعية ونصائح لتفاديها

مثال 1: انتحال شخصية صديق لإرسال رسالة لإصابة جهاز الضحية ببرنامج خبيث

يريد المهاجم الحصول على معلومة معينة من السيد م. س.

  • يقوم المهاجم بجمع بعض المعلومات عن السيد م. س. مثل من هم أصدقاؤه المقربين. ما هي اهتماماته وهكذا. ويجمع معلومات كافية عن أحد أصدقاء م. س. وليكن السيد ط. ع. الذي لا ينشر كل شئ عن نفسه ببساطة على الانترنت على حسابه على فيسبوك بدون أي اهتمام بخصوصية المعلومات.
  • يقوم المهاجم بانشاء حساب بريد الكتروني مزيف ينتحل شخصية ط. ع. صديق من أصدقاء م. س. (يستخدم المهاجم لانشاء الحساب المزور معلومات حقيقية عن ط. ع. تشبه معلومات حساب بريده الالكتروني أو معلومات فيسبوك.
  • يستخدم المهاجم حساب البريد الالكتروني الذي ينتحل شخصية م. ط. لارسال رسالة بريد الكتروني تحتوي ملف خبيث.
  • م. س. بما أنه يثق بصديقه ع. ط. وبما أنه لم يلاحظ أن الحساب هو ليس حساب صديقه الحقيقي، يقوم بفتح الملف الخبيث مصيبا جهازه.

لتجنب الوقوع ضحية هذا النوع من الهجمات

  • احرص على خصوصيتك وعدم نشر معلومات شخصية عن نفسك لأن المهاجم قد يستخدمها لانتحال شخصيتك
  • لا تثق بأحد
  • انظر بعين الحذر إلى كل بريد الكتروني أو رسالة ما تصلك تحتوي على ملفات وروابط مرفقة. راجع الفقرة التالية: حذر الروابط والملفات المشبوهة.
  • في حال رغبتك بفتح أي ملف أو رابط يصلك قم قبل ذلك بالتأكد من أنه ليس خبيث عبر استخدام موقع فايروس توتال Virus Total https://www.virustotal.com/ar/
  • عند شعورك أنك أصبت قم بإعلام شخص مختص لفحص جهازك ونصحك فيما يتعلق بمعالجة هذه الأزمة
  • أبلغ أصدقاءك بكل صراحة أنك وقعت ضحية لاختراق حسابك كي يكونوا حذرين بدورهم في حال حاول المهاجم انتحال شخصية السيد م. س. لخداع المزيد من الأشخاص

مثال 2: انتحال شخصية موظف في قسم آخر في مؤسسة أو في شركة

يريد المهاجم الحصول على كلمة سر السيدة ر. ح. على حسابها في مكان عملها في المؤسسة.

  • لدى المهاجم رقم هاتف عمل ر. ح.
  • يتصل المهاجم بالسيدة ر. ح. قائلا أنه مختص IT وأن مديرها في المؤسسة طلب منه التحقق من وجود اختراق في حساب ر. ح. ويطلب منها ذكر اسم حسابها وكلمة سرها على الهاتف.
  • السيدة ر. ح. تصدق القصة وببساطة تعطي المعلومات إلى المهاجم معتقدة أن كل شئ بخير.
  • يقوم المهاجم باستخدام اسم الحساب وكلمة السر لوضع باب خلفي إلى حساب السيدة ر. ح. يستخدمه حتى لو غيرت السيدة ر. ح. كلمة السر.
  • يتصل المهاجم مجددا بالسيدة ر. ح. (وهنا العبقرية) قائلا لها أنه تحقق من الحساب وأن كل شئ على ما يرام وأنه سيعلم المدير بذلك ويشكرها ويتمنى لها يوما طيبا.

لتجنب الوقوع ضحية هذا النوع من الهجمات

  • تحقق من شخصية كل شخص يدعي أنه يعمل في المؤسسة في قسم آخر
  • لا تعطي كلمة السر خاصتك ولا اسم حسابك لأي شخص
  • استفسر من مديرك عن الموضوع
  • قم أنت بالاتصال بالقسم الذي يدعي الشخص تمثيله واسأل مدير القسم عن الموضوع
  • قم بإعلام مديرك بأي شئ من هذا النوع حتى لو لم يكن عندك أي شك بموضوع الاختراق
  • إذا شعرت أن حسابك قد تم اختراقه عليك اعلام مديرك والتأكد من وصول الموضوع لمدير قسم الـ IT بأسرع وقت ممكن لتفادي المزيد من المشاكل

الوقاية من الوقوع ضحية للهندسة الاجتماعية

بناء على أساليب الاحتيال المفصلة أعلاه وبناء على الأمثلة المذكورة في الفقرة السابقة يمكن إدراج النقاط التالية كأسلوب للوقاية من الوقوع ضحية لهجوم باستخدام الهندسة الاجتماعية.

كي لا تكون ضحية سهلة راعي النقاط التالية:

  • احرص على خصوصيتك وعدم نشر معلومات شخصية عن نفسك لأن المهاجم قد يستخدمها لانتحال شخصيتك ومهاجمة صديق لك أو قد يستخدم المعلومات ليصيغ الهجوم عليك بشكل مقنع أكثر.
  • لا تشارك كلمة/كلمات السرّ خاصتك مع الآخرين
  • لا تشارك أسماع أو عناوين حساباتك مع غير المعنيين

كي لا تقع ضحية للخداع أو الاحتيال:

  • لا تثق بأحد
  • أبق سوية الحذر عالية طول الوقت
  • تحقق من شخصية من يراسلك سواء عبر البريد الالكتروني Email، أو برامج المراسلة مثل Skype، أو عبر وسائل التواصل الاجتماعي مثل فيسبوك Facebook أو تويتر Twitter.
  • انظر بعين الشك إلى كل بريد الكتروني أو رسالة أو تعليق يصلك يحتوي على ملفات وروابط مرفقة. راجع الفقرة التالية: حذر الروابط والملفات المشبوهة.
  • عند الشك برسالة ما أو بجهة اتصال مشبوهة، لا تقم بفتح الملفات أو الروابط المرفقة في الرسالة. ثم قم بالاتصال بالقسم المسؤول في المؤسسة أو بخبير في أمن المعلومات من معارف أو قم بالاتصال بنا في مشروع سلامتك.
  • في حال رغبتك بفتح أي ملف أو رابط يصلك قم قبل ذلك بالتأكد من أنه ليس خبيث عبر استخدام موقع فايروس توتال Virus Total https://www.virustotal.com/ar/
  • عند شعورك أن جهازك أصيب أو أن حسابك تم اختراقه قم بإعلام الشخص المسؤول في المؤسسة، أو قم بإعلام أحد معارفك المختصين في أمن المعلومات أو قم بالاتصال بنا في مشروع سلامتك.
  • إذا شعرت أن حسابك قد تم اختراقه عليك اعلام مديرك والتأكد من وصول الموضوع لمدير قسم الـ IT في المؤسسة بأسرع وقت ممكن لتفادي المزيد من المشاكل أو الاتصال بخبير من معارف أو بنا في مشروع سلامتك.

ماذا أفعل عند الوقوع ضحية للهندسة الاجتماعية

عادة يترافق الهجوم بأساليب الهندسة الاجتماعية بهجوم آخر ببرمجيات خبيثة مثلا. لذلك عندما يقع المستخدم ضحية للهندسة الاجتماعية عليه أن يقوم بخطوات تختلف تبعا لنوع الهجوم.

لكن بشكل عام يمكن القيام بالخطوات التالية:

  • إعلام الشخص المسؤول عن الأمن الرقمي في المؤسسة أو الزميل المختص بموضوع الأمن الرقمي
  • تقييم الضرر والأشخاص المتأثرين
  • إزالة آثار الهجوم
  • إعلام الجهات (مؤسسات، زملاء، أصدقاء، معارف، أفراد عائلة) والتي من الممكن أن تكون قد تضررت أو تأثرت بسبب وضوع المستخدم ضحية للهجوم.

يترافق الهجوم بأساليب الهندسة الاجتماعية بهجوم بروتكيت أو بجهوم بحصان طروادة للتحكم عن بعد Remote Administration Trojan لذلك ننصح القرّاء بقراءة واستيعاب كل بنود المقالة التالية: روتكيتس Rootkits والمشابهة جدا لبنود المقالة التالية: حصان طروادة للتحكم عن بعد Remote Administration Trojan

تنقّل في الكتيب eBook Navigation

السابق: برمجيات التجسس Spyware

التالي: شبكات بوت BotNet

الهجمات الالكترونية المسيئة Malicious Cyber Attacks

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

اختراق العقول والهندسة الاجتماعية

اصطياد كلمات السر Passwords Phishing

حصان طروادة للتحكم عن بعد Remote Administration Trojan

روتكيتس Rootkits

مراجع References

Social Engineering and Malware in Syria: EFF and Citizen Lab’s Latest Report on the Digital Battlefield

Quantum of Surveillance: Familiar Actors and Possible False Flags in Syrian Malware Campaigns

مقدار كبير من المراقبة - EFF - بقلم: إيفا جالبيرين، مورغان ماركيز بوار، وجون سكوت ريلتون