ما هي الهندسة الاجتماعية؟

أنت تعرف المشهد: أنت تنتظر بصبر في طابور طويل ، عندما يقطع شخص ما إلى الأمام بصوت عال معلنا ، "آسف ، لكننا في عجلة من أمرنا!" يحدث ذلك بسرعة كبيرة ، ويبدو عذرهم لقطع الخط شرعيا بدرجة كافية بحيث لا أحد يستدعي خطأهم الاجتماعي الواضح. هذا السيناريو ، على الرغم من صغره نسبيا ، هو في الواقع مثال على الهندسة الاجتماعية.

بشكل عام ، يمكن تعريف الهندسة الاجتماعية على أنها "أي فعل يؤثر على الشخص لاتخاذ إجراء قد يكون أو لا يكون في مصلحته". في تكنولوجيا المعلومات ، تتضمن الهندسة الاجتماعية التلاعب بشخص ما للكشف عن المعلومات (مثل كلمة المرور) التي يمكن أن يستخدمها المتسلل لمهاجمة شبكة أو نظام. يتم استغلال تكتيكات الهندسة الاجتماعية من قبل الجهات الفاعلة السيئة في مجال الأمن السيبراني. اقرأ هذا المقال كم يكسب محلل الأمن السيبراني؟

قبل ذلك ، سوف نستكشف دوافع وتقنيات بعض المهندسين الاجتماعيين القرصنة. لكن لكي نكون واضحين للغاية: نحن لا نتغاضى بأي حال من الأحوال عن هذه الأعمال أو نؤيدها. الوصول إلى البيانات في نظام دون إذن غير قانوني. تعد القدرة على اكتشاف تكتيكات الهندسة الاجتماعية أمرا أساسيا في منع حدوثها في المستقبل.


ما هي الهندسة الاجتماعية؟


ماذا يريد المهندسون الاجتماعيون؟

في كلمة واحدة: الوصول. قد يستخدم الشخص الهندسة الاجتماعية ومجموعة من التكتيكات الأخرى للوصول إلى ملف تعريف داخل نظام لا ينبغي أن يكون لديه القدرة على الوصول إليه. المثال الأكثر ارتباطا هو وصول المتسلل إلى حسابك المصرفي واستخدام معلوماتك الشخصية لسرقة أموالك. قد يرغبون أيضا في الوصول إلى أنظمة خاصة تماما مثل تلك الموجودة في المستشفيات والمصانع والمستودعات. دوافعهم لا حصر لها ، ولكن تم تصنيف القرصنة عادة إلى ثلاث فئات:


القبعة السوداء - أنظمة الوصول دون إذن وبقصد خبيث

القبعة البيضاء - الوصول إلى الأنظمة بإذن للمساعدة في الكشف عن الثغرات الأمنية و / أو العثور على عيوب في الهندسة

القبعة الرمادية - أنظمة الوصول دون إذن ، ولكن دون نفس النية الخبيثة مثل القبعات السوداء. غالبا ما تكشف عن نقاط الضعف ، أو تطلب مكافأة "مكافأة علة" ، أو تبحث عن مهارة ، أو تتوق إلى الشهرة.

قد ينخرط أي من هذه الأنواع من المتسللين في الهندسة الاجتماعية للحصول على الوصول الذي يسعون إليه ، وقد لا يكون الوصول إلى ملفك الشخصي هو الهدف النهائي. على سبيل المثال ، قد يؤدي متسلل القبعة السوداء الذي يستخدم الهندسة الاجتماعية إلى اختراق عنوان بريد إلكتروني. بمجرد اختراق البريد الإلكتروني ، يمكنهم استخدامه للتواصل مع المستخدمين الآخرين الذين قد يثقون في عنوان البريد الإلكتروني هذا والتفاعل مع المحتوى المخترق الذي لن يزوروه أبدا. يمكن أن يكون لدى أحد هؤلاء المستخدمين بيانات قيمة متاحة بسهولة لاكتشافها واستغلالها ، وبالتالي فإن الجهة الفاعلة ذات النوايا الخبيثة الحقيقية لها هدف ضعيف ووسيلة اتصال جديرة بالثقة. دعنا نستكشف بعض أنماط العمل الثابتة وكيف يمكن للمهندس الاجتماعي المتحمس استغلالها.


الوجود

واحدة من أقوى الأدوات للمهندسين الاجتماعيين هي ببساطة التصرف بأدب. جعل الناس يحبونك هي واحدة من أفضل المهارات بغض النظر عن تجارتك. أفضل أداة مطلقة لتعلم هذه المهارة ، في رأيي ، هي كتاب "كيفية كسب الأصدقاء والتأثير على الناس" لديل كارنيجي. نشر في الأصل في عام 1936 ونقح في عام 1981 ، وكان له تأثير كبير على الناس وحياتهم المهنية لما يقرب من قرن. يحظى هذا الكتاب بتقدير كبير من قبل محترفي المبيعات والمديرين التنفيذيين في جميع الصناعات لتقديمه شرحا واضحا لكيفية الانخراط في أنماط عمل ثابتة إيجابية مع أقرانه. الكتاب بأكمله قابل للاقتباس إلى ما لا نهاية ولا ينسى ، لكنني أود فقط تلخيص لمراجعة القسم الأول فقط من الأقسام الستة الرئيسية ، "التقنيات الأساسية في التعامل مع الناس":


لا تنتقد أو تدين أو تشتكي.

إعطاء التقدير الصادق والصادق.

تثير في الشخص الآخر رغبة حريصة.


لإنشاء هذا النوع من العلاقة عبر الإنترنت هو أن يكون لديك شخص ما تحت تصرفك تماما ، والشرط الوحيد هو أن تكون لطيفا. تخيل الخراب الذي يمكن أن يحدث مع هذه الأنواع من الاتصالات القادمة من عنوان بريد إلكتروني مخترق. يأتي شكل مسيء بشكل خاص من هذا النوع من الهندسة الاجتماعية في شكل عمليات احتيال رومانسية عبر الإنترنت - وهي مشكلة خطيرة للغاية لدرجة أن مكتب التحقيقات الفيدرالي لديه صفحة مخصصة لها. إن إخبار شخص ما بأنك معجب به وحمله على الإعجاب بك مرة أخرى قد تم تسليحه ، للأسف.


تبادل المنافع (Quid pro quo)

هذه العبارة لاتينية تعني "شيء مقابل شيء ما". المقايضة هي حجر الزاوية في أي علاقة ذات مغزى. في الأساس ، فإن المعاملة بالمثل بين اثنين أو أكثر هي التي ثبت علميا أنها تعزز الكرم بين المجموعة. لكن الأخذ والعطاء يتعلق بكسب الثقة. "ترتيب المقايضة بين طرفين هو مثال على اتفاق تجاري مقابل حيث يستبدل المرء شيئا بشيء آخر ذي قيمة مماثلة." سيسعى المهندس الاجتماعي إلى إقامة علاقة المقايضة هذه دون التخلي عن أي شيء ذي قيمة. سيستخدمون أحيانا عمدا ما يسميه السحرة "التأخير الزمني" لمنع تصور الرشوة أو "القدوم بقوة كبيرة".

هناك الكثير من حالات الاستخدام الواقعية ، ولكن دعنا نتخيل أن أحد قراصنة القبعة السوداء يريد الوصول إلى بعض الأنظمة. إنهم جيدون مع أجهزة الكمبيوتر ، أو لن يكونوا مخترقا ، لذلك يجمعون بعض أرقام هواتف الشركات ويبدأون في الاتصال بتلك الشركات التي تعرض المساعدة في أجهزة الكمبيوتر الخاصة بهم - سواء طلبت تلك الشركات المساعدة أم لا. قد يستغرق الأمر 100 مكالمة هاتفية أو أكثر ، ولكن في النهاية ، يرد شخص ما بأنه يحتاج بالفعل إلى مساعدة في جهاز الكمبيوتر الخاص به. لا مشكلة للهاكر! يحتاجون فقط إلى اسم المستخدم وكلمة المرور للبدء. "شيء مقابل شيء ما" في هذا السيناريو هو المساعدة في جهاز الكمبيوتر الخاص بك مقابل اسم المستخدم وكلمة المرور. بمجرد أن يكون لدى المهندس الاجتماعي وصول شرعي ، فمن المحتمل أن تنتهي اللعبة بالنسبة لصاحب العمل.


الاصطياد

يشبه الاصطياد الطرائد الطبيعية وصيد الحياة البرية لأنه يتم تقديم بعض المكافآت للفريسة المطمئنة. البعض منا كبير بما يكفي لتذكر البلاء الذي كان منبثقا ، وإذا لم تفعل ذلك ، فاعتبر نفسك محظوظا. كانت النوافذ المنبثقة الشرعية والخبيثة على حد سواء منتشرة لدرجة أن العديد من الآلات أصبحت غير صالحة للاستعمال في أواخر 1990 وأوائل 2000. لا تزال موجودة ، لكن المشكلة اليوم أفضل بكثير بفضل تطبيقات اتفاقية W3C وتطور برامج حظر النوافذ المنبثقة.

بعد الإلغاء النسبي للنوافذ المنبثقة ، انتقل الاصطياد إلى حد كبير إلى البريد الإلكتروني. لقد واجهنا جميعا البريد الإلكتروني المشبوه للغاية مع عرض "جيد جدا لدرجة يصعب تصديقها". قد يتضمن الشكل الأكثر شناعة لهذا الهجوم "الانتحال" - أو انتحال شخصية مصدر حقيقي - مثل مطالبة المستخدم بتسجيل الدخول ولكن إعادة توجيهه إلى موقع غير مقصود. على سبيل المثال ، قد يتلقى شخص ما بريدا إلكترونيا من "accounts@microsoft.com" بعنوان "تم اختراق حسابك" ، ويبدو كل شيء في النص الأصلي تماما وأصليا ومن ميكروسوفت. يرشد البريد الإلكتروني القارئ إلى النقر فوق ارتباط لتحديث بيانات الاعتماد الخاصة به والتي تأخذه إلى "https://www.microsott.com/account". كان من الممكن أن تولي اهتماما وثيقا لهذا البريد الإلكتروني ، وكان الانتحال متاحا على نطاق واسع لفترة طويلة لإنشاء عنوان البريد الإلكتروني المصدر الشرعي ، ولكن عنوان URL المقصود بالتأكيد ليس ميكروسوفت. للأسف ، فإن الأشخاص الذين يعانون من ضعف البصر وعدم الإلمام بالتكنولوجيا ، مثل كبار السن ، هم الذين غالبا ما يقعون في هذا النوع من عمليات الاحتيال في الهندسة الاجتماعية.


السلطة

لا أحد يريد أن يصرخ عليه رئيسه! أو الأسوأ من ذلك ، أن تكون الشخص الذي ألهم غضبا بطيئا ومتأججا داخل مسؤول تنفيذي في مؤسستك. هذا نمط عمل ثابت قوي للغاية يكون الأشخاص في العمل عرضة له بشكل خاص. لا تنظر إلى أبعد من تجربة ميلجرام سيئة السمعة التي طبق فيها الأشخاص الخاضعون للاختبار ما اعتقدوا أنه هزات كهربائية أكبر وأكثر إيلاما على ضحية غير راغبة في توجيه من مشرف التجربة - ما يسمى ب "شخصية السلطة" في الغرفة. يمكن التلاعب بنفس قوة الإقناع من قبل فرد متحمس يرغب في الانخراط في الهندسة الاجتماعية ، ولا يتطلب دائما إخفاء الهوية الذي يوفره الإنترنت.

في هذا المثال ، يمكن للفرد المتحمس استخدام بيانات اعتماد مخترقة أو تقنية "الانتحال" التي تمت مناقشتها أعلاه لإرسال بعض الرسائل من موقع السلطة. يمكنهم إشراك الهدف باستخدام أي مهارات ناقشناها أو غيرها. على سبيل المثال ، من خلال "الإعجاب" ، يمكنهم مجاملة جهود المرؤوسين ، واستخدام "تأخير الوقت" لبناء الثقة ، وربما تقديم بعض المكافآت مثل "الاصطياد" ، ومن ثم سيتم اختراق الهدف بالكامل. وعلى النقيض من ذلك، قد يرغب الفاعل المتحمس الذي يتظاهر بأنه سلطة في أن يكون سريعا ومباشرا وموثوقا قدر الإمكان أثناء نقل الأوامر ذات النتائج السلبية كإجراء انتقامي. تختتم كلتا التقنيتين في النهاية بالحصول على الوصول الذي يريده الممثل المتحمس حيث يتطلب الأمر شخصا قوي الإرادة بشكل استثنائي ، أو بعض الأدلة العظيمة ، للوقوف في وجه مشرف في الوظيفة.


اختتمت الهندسة الاجتماعية

قد يكون من السهل أن تشعر أن كل شخص على الإنترنت قد يكون خارجا للنيل منك أو قد يكون أصدقاؤك على الفيسبوك جواسيس ، لكن هذا بالتأكيد ليس صحيحا. الإنترنت هو كل شيء عن أعداد كبيرة من الناس ، ومجموعات ضخمة من البيانات ، والحجم. حقا ، لن تفعل شركات عمالقة التكنولوجيا ذلك إذا لم يتم توسيع نطاقها. لدى المتسللين الأكثر تطورا نهجا مشابها لتقنيات جمع الأهداف الخاصة بهم مما يعني أنهم يلقون شبكات واسعة لمحاصرة الضحايا الأكثر ضعفا. ومن ثم ، فإن السبب في أننا جميعا نواجه النوافذ المنبثقة ورسائل البريد الإلكتروني المخادعة هو أنها حلول قابلة للتطوير يمكن بثها لمئات الآلاف من المستخدمين في وقت واحد. بالعودة إلى مثال "المقايضة" الخاص بنا مع المتسلل الذي يجري 100 مكالمة هاتفية - تذكر أن الأمر لا يتطلب سوى نعم واحدة ويتم اختراق النظام بأكمله.

الخطوة الأولى لمنع نفسك من الوقوع ضحية للهندسة الاجتماعية هي إزالة نفسك كهدف محتمل. لا تكشف عن الكثير من المعلومات حول حياتك وعائلتك وحياتك المهنية وصداقاتك عبر الإنترنت حتى يشعر المتسلل بالقدرة على محاولة استخدام الهندسة الاجتماعية ضدك. خطوة أخرى هي التوقف فورا عن التواصل مع أي شخص تشك فيه قليلا أنه ليس من يقولون. لا تضيع الوقت من خلال مشاركة شكوكك معهم لأنه من المحتمل أن يكون لديهم تفسير محتمل إذا كانوا جيدين في الهندسة الاجتماعية.

المنشور التالي المنشور السابق