الهندسة الإجتماعية Social engineering
1-القوانين
يجب وضع قوانين وسياسات لتوعية الموضفين بخطورة وأهميتها وتحذير الموضفين بعدم الإجابة عن أسئلة حساسة تتعلق بأمان وسرية الشركة عن تلقي أسئلة.
2. الموظفون:
وذلك عن طريق التعلم والتعلم والتعلم ثم التدريب لأن الكل منا عرضة لأن ينسى ومن سجايا النفس البشرية الثقة والتعاون مع الآخرين. كذلك يجب أن تحرص الشركة على توظيف الموظفون اليقظون وأن يكونوا من أهل الثقة والمسؤولية .
3. البنية التحتية :
من حيث الحماية من الفيروسات والتأكد من الهويات عند الدخول للشركة .
الهاتف :
كان يدعي احد الاشخاص انه من فريق الدعم الفني لشركة او موقع او منظمة ويريد معرفة بعض المعلومات ليقوم باستغلالها لاحقا في مصالح شخصية.
المهملات والمخلفات :
من اشهر الطرق وهي غنية جدا بالمعلومات التي يمكن ان تكون موجودة على وصل بنكي او فاتورة كهرباء او دليل الهاتف الذي يحتوي على ارقامنا وعناويننا وربما تاريخ الميلاد وبعض البيانات الحساسة او بعض الاوراق او الاقراص او الاجهزة القديمة التي تحتوي على اكواد او ارقام يمكن استغلالها.
الانترنت :
وهي من اكثر الاماكن التي يمكن ان يوجد فيها بيانات حساسة وخطيرة مثل كلمات سر الحسابات والبنوك والرسائل الخاصة والكثير غيرها.
الاقناع :
وهي اعطاء بيئة مثالية للضحية واثارة انطباع جيد له عن المهاجم وعن امور معينة كاثبات المعرفة والخبرة في قضية او امر معين مما يؤدي الى ارتياح الضحية وافصاحه عن كل شيء.
كيفين ميتنيك :
من أبرع من استخدم أساليب الهندسة الاجتماعية. حسب قوله، من الأسهل إقناع الضحية بجعله يفصح عن كلمة مروره مقارنة مع محاولة الاختراق، ويعتبر أن الهندسة الاجتماعية هي أحد الأسلحة الفريدة والاكثر تأثيراا في جعبته.
فرانك أباجنيل :
كان واحدا من المحتالين الأكثر شهرة حيث انتحل هويات متعددة وقام بتزوير شيكات وخدع الكثير من الناس من أجل أن يفصحوا عن المعلومات التي يحتاجها لمواصلة عمليات احتياله.
وهنا يجب علينا الحذر من نشاطاتنا اليومية وخاصة على شبكة الانترنت فكل تحديث لمعلوماتنا على الانترنت يزيد من التهديدات المحيطة بنا ويزيد من فرصة انتهاك خصوصيتنا وجعل اسلوب الهجوم عليك اسهل،وكل اداة او جهاز او برنامج تستعمله لحماية نفسك لن يغنيك ابدا ولن يحميك من المهاجم فعقلك وادراكك وتنبهك هو اداتك الاولى للحماية.
الضغط النفسي للتأثير عليه :
وهي ان يصدق عقلك الباطن شيء لا يصدقه عقلك الخارجي الواعي بسبب ضغط نفسي شديد ولنوضح اكثر سأعطيكم مثال قريب جدا، كلنا شاهدنا فيلم "زهايمر" لعادل إمام وفي الفيلم يقنعه كل اولاده وكل خدم البيت واصدقائه بانه مصاب بمرض يسبب له نسيان كل شيء ولكنه بالحقيقة ليس مصابا به ولكن الضغط النفسي الشديد الذي تم ممارسته عليه أدى الى تصديقه الخدعة لانه شعر بان كل من حوله متفقين ولهم رأي واحد وانه الوحيد المختلف عنهم وهنا نجحوا بجعل عقله الباطن يصدق الكذبة.
السؤال الإيحائي الموجه :
وهو ان نقوم بتوجيه الضحية وبدون أن يشعر الى ما نريد وذلك بالإيحاء له بشيء عن طريق أمر مبطن، مثلا لو اننا قلنا لشخص "هل تريد العلاج عند الدكتور الاول ام عند الدكتور الثاني ؟ وأن الدكتور الاول مات نصف من تعالجوا عنده كما أن الدكتور الثاني شفي كل من تعالج عنده"هنا نحن لم نخير الشخص بين الطبيبين كما يبدو لك بل قمنا بتوجيهه لا إراديا الى الدكتور الثاني وهنا قمنا وبكل ذكاء باعطاءه الاجابة مع السؤال واجبر على ان يختار ما اردناه .
لنفرض انك تجلس مع احد اصدقائك وقمت بسؤاله :
- "هل تريد ان تتناول معي العشاء ام لا ؟"
- "هل ترغب بتناول العشاء بعد مشاهدة الفيلم أم قبل مشاهدته؟"
سيكون جواب صديقك اما .. "ساتناول قبل الفيلم" او .. "ساتناول بعد الفيلم" وهكذا نكون قد أجبرناه على تناول العشاء بدون أن يشعر وبطريقة ذكية وذلك بتشتيت ذهنه بالفيلم.
لنفرض انك نجحت في اختراق حساب فيسبوك لضحية معينة، لكن ادارة فيسبوك طلبت منك تاريخ الميلاد للتأكد من الهوية, ولمعرفة التاريخ قمت بـارسال رسالة الى الضحية :
- "مرحبا ... وثم طلبت تاريخ ميلاده"
هنا إما أن الضحية لن يشك بك او سيشك بك ولن يرسل لك شيء لان الموضوع الاساسي هو "تاريخ الميلاد" وبرسالتك جعلته يركز على التاريخ وطلبه وهنا ربما يوافق وربما يرفض.
- الان لنشتت تفكير الضحية ونقول له :
"مرحبا ، لقد تم فتح موقع جديد ويمكنك التسجيل به" وفي التسجيل سيضع تاريخ ميلاده وهنا سيكون قد وضع تاريخ ميلاده بدون أن يشعر بشيء لاننا لم نركز على التاريخ ولم نشغل باله به, بل حولنا اهتمامه الى الموقع الجديد .
I-تقديم :
ربما تكون أول مرة تسمع بهذا المصطلح ، إذن هذه فرصتك لإكتشاف ما وراء هذا المصطلح لذا تابع معي :
II-ما هي الهندسة الاجتماعية:
الهندسة الإجتماعية :
هي فن من فنون الإختراق يمكن من خلالها الحصول على معلومات خطيرة وسرية عن طريق التلاعب بالأشخاص ، حيث يقوم الهاكرز بمراوغتك بواسطة الكلام وطرح عليك أسئلة حساسة ومناقشات تبدو بريئة من طفل صغير لموظف التذاكر لكن سرعان ما تبوح بجميع أسرارك أو أكوادك للشخص دون أدنى فكرة أنه هاكرز ولكي تفهم أكثر
لنقوم بضرب مثال , محاورة بين الهاكر والشخص المستهدف :
الهاكرز : مساء النور كيف الحال
الهدف : مساء النور
الهاكرز : اخي ممكن مساعدتي فكما تعلم انا لا أ عرف بمجال المعلوماتي و أعاني من عدة مشاكل على جهازي ماهو النظام الدي تنصحني به ؟
الهدف : اكيد اخي انا ارى وندوز 7 رائع و مميز و خفيف و....
الهاكرز : و كيف احمي نفسي بما تنصحني ؟
الهدف : ارى ان مضاد الفيروسات الفلاني هو الامثل انا اعتمد عليه شخصيا ...
الهاكرز : ايمكن ان تساعدني ...
الهدف : ....
هكدا نرى انو الهاكرز يجمع المعلومات بطريقة فنية بدون شعور الضحية بدالك هدا مجرد مثال حول جمع المعلومات الانه توجد عدة ادوات كثيير تقوم بجمع المعلومات من خلال الشبكات اﻹجتماعية و اﻷنترنت على الهدف و هدا كله يقوم به الهاكرز قبل مهاجمة الضحية .
هي فن من فنون الإختراق يمكن من خلالها الحصول على معلومات خطيرة وسرية عن طريق التلاعب بالأشخاص ، حيث يقوم الهاكرز بمراوغتك بواسطة الكلام وطرح عليك أسئلة حساسة ومناقشات تبدو بريئة من طفل صغير لموظف التذاكر لكن سرعان ما تبوح بجميع أسرارك أو أكوادك للشخص دون أدنى فكرة أنه هاكرز ولكي تفهم أكثر
لنقوم بضرب مثال , محاورة بين الهاكر والشخص المستهدف :
الهاكرز : مساء النور كيف الحال
الهدف : مساء النور
الهاكرز : اخي ممكن مساعدتي فكما تعلم انا لا أ عرف بمجال المعلوماتي و أعاني من عدة مشاكل على جهازي ماهو النظام الدي تنصحني به ؟
الهدف : اكيد اخي انا ارى وندوز 7 رائع و مميز و خفيف و....
الهاكرز : و كيف احمي نفسي بما تنصحني ؟
الهدف : ارى ان مضاد الفيروسات الفلاني هو الامثل انا اعتمد عليه شخصيا ...
الهاكرز : ايمكن ان تساعدني ...
الهدف : ....
هكدا نرى انو الهاكرز يجمع المعلومات بطريقة فنية بدون شعور الضحية بدالك هدا مجرد مثال حول جمع المعلومات الانه توجد عدة ادوات كثيير تقوم بجمع المعلومات من خلال الشبكات اﻹجتماعية و اﻷنترنت على الهدف و هدا كله يقوم به الهاكرز قبل مهاجمة الضحية .
III-لماذا يتم إستعمال الهندسة الإجتماعية في أغلب عمليات الإختراق:
يرجع السبب إلى :
1-سهولة التنفيد :
بالرغم من صعوبة اختراق نظام واكتشاف ثغراته وخاصة أن كان ذلك النظام محمي
جيدا من قبل أصحابه إلا أن كل تلك المصاعب تزول إن وجدت شخص يوصلك لها فإن
وجدت ذالك سهل اختراقه. علاوة على ذالك الهندسة الاجتماعية لا تتطلب كثيرا
من الهاكر سوى أن يتحلى بالود وحسن الأسلوب والثقة والتحليل الجيد للضحية
ليسهل عليه إقناعها وكل ذالك لايحتاج لتعليم وتدريب مطول.
2-الحماية
معضم الشركات تهتم بالحماية المادية للشركة وتنسى أن موضفيها ايضا يحتاجونا تدريبات لحمايتهم ووعيهم بخطورة هذا النوع من الإختراق.
3. صعوبة الكشف والتعقب
جرائم الهندسة الاجتماعية جرائم نظيفة لا يوجد لها أدلة ولا أجهزة فهي تعتمد كليا على البشر ولذلك نجد أن من الصعب جداً كشفها..
جرائم الهندسة الاجتماعية جرائم نظيفة لا يوجد لها أدلة ولا أجهزة فهي تعتمد كليا على البشر ولذلك نجد أن من الصعب جداً كشفها..
VI-كيف أحمي نفسي من الهندسة الإجتماعية :
سأكتفي بتلخيصها في ثلات مراحل وهي :1-القوانين
يجب وضع قوانين وسياسات لتوعية الموضفين بخطورة وأهميتها وتحذير الموضفين بعدم الإجابة عن أسئلة حساسة تتعلق بأمان وسرية الشركة عن تلقي أسئلة.
2. الموظفون:
وذلك عن طريق التعلم والتعلم والتعلم ثم التدريب لأن الكل منا عرضة لأن ينسى ومن سجايا النفس البشرية الثقة والتعاون مع الآخرين. كذلك يجب أن تحرص الشركة على توظيف الموظفون اليقظون وأن يكونوا من أهل الثقة والمسؤولية .
3. البنية التحتية :
من حيث الحماية من الفيروسات والتأكد من الهويات عند الدخول للشركة .
- اشهر طرق جمع البيانات :
الهاتف :
كان يدعي احد الاشخاص انه من فريق الدعم الفني لشركة او موقع او منظمة ويريد معرفة بعض المعلومات ليقوم باستغلالها لاحقا في مصالح شخصية.
المهملات والمخلفات :
من اشهر الطرق وهي غنية جدا بالمعلومات التي يمكن ان تكون موجودة على وصل بنكي او فاتورة كهرباء او دليل الهاتف الذي يحتوي على ارقامنا وعناويننا وربما تاريخ الميلاد وبعض البيانات الحساسة او بعض الاوراق او الاقراص او الاجهزة القديمة التي تحتوي على اكواد او ارقام يمكن استغلالها.
الانترنت :
وهي من اكثر الاماكن التي يمكن ان يوجد فيها بيانات حساسة وخطيرة مثل كلمات سر الحسابات والبنوك والرسائل الخاصة والكثير غيرها.
الاقناع :
وهي اعطاء بيئة مثالية للضحية واثارة انطباع جيد له عن المهاجم وعن امور معينة كاثبات المعرفة والخبرة في قضية او امر معين مما يؤدي الى ارتياح الضحية وافصاحه عن كل شيء.
- اشهر المهندسين الاجتماعيين :
كيفين ميتنيك :
من أبرع من استخدم أساليب الهندسة الاجتماعية. حسب قوله، من الأسهل إقناع الضحية بجعله يفصح عن كلمة مروره مقارنة مع محاولة الاختراق، ويعتبر أن الهندسة الاجتماعية هي أحد الأسلحة الفريدة والاكثر تأثيراا في جعبته.
فرانك أباجنيل :
كان واحدا من المحتالين الأكثر شهرة حيث انتحل هويات متعددة وقام بتزوير شيكات وخدع الكثير من الناس من أجل أن يفصحوا عن المعلومات التي يحتاجها لمواصلة عمليات احتياله.
وهنا يجب علينا الحذر من نشاطاتنا اليومية وخاصة على شبكة الانترنت فكل تحديث لمعلوماتنا على الانترنت يزيد من التهديدات المحيطة بنا ويزيد من فرصة انتهاك خصوصيتنا وجعل اسلوب الهجوم عليك اسهل،وكل اداة او جهاز او برنامج تستعمله لحماية نفسك لن يغنيك ابدا ولن يحميك من المهاجم فعقلك وادراكك وتنبهك هو اداتك الاولى للحماية.
- من طرق اقناع الشخص او الضحية هي ان نقترح عليه فكرة معينة توحي لعقله الخارجي بشيء مغري او مشتت وتوحي لعقله الباطني بشيء اخر وبدون ان يشعر، وهنا يمكن التاثير عليه بـ :
الضغط النفسي للتأثير عليه :
وهي ان يصدق عقلك الباطن شيء لا يصدقه عقلك الخارجي الواعي بسبب ضغط نفسي شديد ولنوضح اكثر سأعطيكم مثال قريب جدا، كلنا شاهدنا فيلم "زهايمر" لعادل إمام وفي الفيلم يقنعه كل اولاده وكل خدم البيت واصدقائه بانه مصاب بمرض يسبب له نسيان كل شيء ولكنه بالحقيقة ليس مصابا به ولكن الضغط النفسي الشديد الذي تم ممارسته عليه أدى الى تصديقه الخدعة لانه شعر بان كل من حوله متفقين ولهم رأي واحد وانه الوحيد المختلف عنهم وهنا نجحوا بجعل عقله الباطن يصدق الكذبة.
السؤال الإيحائي الموجه :
وهو ان نقوم بتوجيه الضحية وبدون أن يشعر الى ما نريد وذلك بالإيحاء له بشيء عن طريق أمر مبطن، مثلا لو اننا قلنا لشخص "هل تريد العلاج عند الدكتور الاول ام عند الدكتور الثاني ؟ وأن الدكتور الاول مات نصف من تعالجوا عنده كما أن الدكتور الثاني شفي كل من تعالج عنده"هنا نحن لم نخير الشخص بين الطبيبين كما يبدو لك بل قمنا بتوجيهه لا إراديا الى الدكتور الثاني وهنا قمنا وبكل ذكاء باعطاءه الاجابة مع السؤال واجبر على ان يختار ما اردناه .
أمثلة متنوعة :
لنفرض انك تجلس مع احد اصدقائك وقمت بسؤاله :
- "هل تريد ان تتناول معي العشاء ام لا ؟"
ما الذي تتوقعه من صديقك ان يجيبك .. سيقول لك نعم اريد او سيقول لا أريد .
وجوابه هذا لانك خيرته بين القبول والرفض وكان امامه أكثر من خيار للإجابة بالقبول او الرفض, لكن لنفرض انك قلت له :
وجوابه هذا لانك خيرته بين القبول والرفض وكان امامه أكثر من خيار للإجابة بالقبول او الرفض, لكن لنفرض انك قلت له :
- "هل ترغب بتناول العشاء بعد مشاهدة الفيلم أم قبل مشاهدته؟"
سيكون جواب صديقك اما .. "ساتناول قبل الفيلم" او .. "ساتناول بعد الفيلم" وهكذا نكون قد أجبرناه على تناول العشاء بدون أن يشعر وبطريقة ذكية وذلك بتشتيت ذهنه بالفيلم.
مثال اخر :
لنفرض انك نجحت في اختراق حساب فيسبوك لضحية معينة، لكن ادارة فيسبوك طلبت منك تاريخ الميلاد للتأكد من الهوية, ولمعرفة التاريخ قمت بـارسال رسالة الى الضحية :
- "مرحبا ... وثم طلبت تاريخ ميلاده"
هنا إما أن الضحية لن يشك بك او سيشك بك ولن يرسل لك شيء لان الموضوع الاساسي هو "تاريخ الميلاد" وبرسالتك جعلته يركز على التاريخ وطلبه وهنا ربما يوافق وربما يرفض.
- الان لنشتت تفكير الضحية ونقول له :
"مرحبا ، لقد تم فتح موقع جديد ويمكنك التسجيل به" وفي التسجيل سيضع تاريخ ميلاده وهنا سيكون قد وضع تاريخ ميلاده بدون أن يشعر بشيء لاننا لم نركز على التاريخ ولم نشغل باله به, بل حولنا اهتمامه الى الموقع الجديد .
2 commentaires:
وفقكم الله على هده الدروس المتميزة و القيمة في مجال أمن المعلومات
تحياتنا لكم و شكرا لتوصلكم
Enregistrer un commentaire
يمكن التعليق و نشر رئيك في مدونة المطور العربي لكل من يتجاور تذكر هذه الاية الكريمة
: قال تعالى
(مَا يَلْفِظُ مِن قَوْلٍ إِلا لَدَيْهِ رَقِيبٌ عَتِيدٌ )