أشهر وأخطر هجمات الهندسة الاجتماعية

مايو 14, 2023

0 6 دقائق

في هذا الموضوع سنتحدث عن أشهر وأخطر هجمات الهندسة الاجتماعية (Social Engineering)

تتعدد وتتنوع أساليب الاختراق التي يستخدمها المخترقون للحصول على معلومات حساسة أو السيطرة على الأنظمة الحاسوبية، ولكن من بين هذه الأساليب تتصدر هجمات الهندسة الاجتماعية (Social Engineering) التي تعتمد على الخداع والتلاعب بالعواطف والثقة لدى الضحايا.

تعتبر هذه الهجمات من أخطر الأساليب المستخدمة في الاختراق حيث يتم استغلال الثقة المطلقة التي يمكن أن يكون بها الفرد أو المؤسسة بمن فيها للوصول إلى المعلومات الحساسة أو تنفيذ أي عملية إلكترونية غير مشروعة.

ويعد تعلم كيفية التعرف على هذه الهجمات ووضع إجراءات وقائية لحماية الأنظمة والمعلومات هو السبيل الوحيد للحد من تلك الهجمات وتفادي وقوعها. لذا يجب على الجميع البحث والتعرف على أشهر وأخطر هجمات الهندسة الاجتماعية والتدابير الوقائية اللازمة لحماية الأنفس والمؤسسات والشركات.

ما هي الهندسة الاجتماعية (Social Engineering)

الهندسة الاجتماعية (Social Engineering) هي عملية استخدام التلاعب بالعواطف والثقة لدى الأفراد أو المؤسسات للحصول على معلومات حساسة أو تنفيذ أي عملية غير مشروعة. وتعتمد هذه العملية على استغلال الطبيعة البشرية الغير شاسعة والتي تميل إلى الثقة والتعاون مع الآخرين.

وتشمل تقنيات الهندسة الاجتماعية العديد من الأساليب المختلفة مثل الاحتيال الإلكتروني والتصيد الاحتيالي (Phishing) والاحتيال بالهاتف (Vishing) والاحتيال بالرسائل النصية (Smishing) والتسلل الفيزيائي وغيرها الكثير. وعادة ما يتم استخدام هذه التقنيات في أغراض الاختراق والتجسس وسرقة المعلومات الحساسة… ومن أشهر الهجمات الدارجة تحت الهندسة الاجتماعية ( Social Engineering ) هي:

هجمات الهندسة الاجتماعية (Social Engineering)

من أشهر وأخطر الهجمات الدارجة تحت مسمى هجمات الهندسة الاجتماعية هي:

هجمة التصيد ( Phishing ):

هذه الهجمة تعني أن يقوم المخترق بالحصول على المصادقة – كلمة السر وأسم المستخدم – ويفعل ذلك مثل عن طريق أرسال رسالة Email أو أن يتصل على تلفونك ويدعي أنه مسؤول الصيانة أو يقول أنه مسؤول الإدارة عن الأنظمة.. وأن هنالك مشكلة في حسابك ولكي يتم حل هذه المشكلة يجب أن تقوم بإعطائه أسم المستخدم وكلمة السر.. ويثق به المستخدم من طريقة كلامه وأسلوبه ويعطيه أسم المستخدم وكلمة السر مما يجعل المهاجم ينجح في الوصول إلى النظام ويمكنه من عمل هجمات مثل أن يقوم بعمل بوابة خلفية أو أن يقوم بتزوير الصلاحيات لكي يتمكن من تحقيق أهدافه.

هجمة الـPhishing لا تعتمد على وظيفية معينة أو أشخاص معينين.. كذلك ممكن تستخدم في أن يقوم المهاجم بطلب رقم الحساب الخاص بك فهذا الشيء متكرر وملاحظ مثلا أن يتم الاتصال بك ويقول لك مبارك لقد ربحت جائزة مقدارها مليون دولار ونحن بحاجة لرقم حسابك البنكي لكي نقوم بتحويل لك الجائزة… وغيرها من الأساليب المستخدمة في هجمة التصيد (Phishing).

هجمة التصيد بالرمح ( Spear Phishing ):

هذه الهجمة مثل هجمة الـPhishing ولاكن فكرتها أنها تستهدف فئة معينة.. مثلا أن تستهدف موظفي التأمينات الطبية دون غيرهم أو أن تستهدف المحاسبين الموجودين في شركة معينة دون سواهم.. وغيرها من الفئات المعينة.

هجمة صيد الحيتان ( Whaling ):

وهذه الهجمة هي أيضا تستهدف فئة معينة ولاكن هذه الفئة تكون من كبار الموظفين مثل المدراء أو كبار الشخصيات مثل أصحاب الشركات، ورجال الأعمال.. ففي هذه الهجمة يتم استعمال الـPhishing ولاكن لكبار الشخصيات، وأصحاب المناصب الكبيرة.

هجمة ( Vishing ):

وهذه الهجمة نفس هجمة الPhishing ولآكنها تبدا بحرف ال V ، وتعني أنه يتم استخدام الهاتف سوآ كان الهاتف الأرضي أو الهاتف المحمول أو تقنيات الصوت.. الخ لكي يتم الحصول على المعلومات.

هجمة الذيل ( Tailgating ):

فكرة هذه الهجمة هي الدخول للأماكن الغير مصرح لك الدخول لها، والدخول يكون عن طريق تتبع شخص مصرح له الدخول لمناطق معينه أو لبناء غير مصرح لك الدخول عليه فمثلاً أنا لما يكون عندي بناية هذا البناية المفروض لا يدخلها أحد إلا المصرح لهم ويدخلون لها عن طريق مثلاً بطاقة ذكية أو مفتاح أو أي أداة.. الذي يحصل أن موظف داخل البناية ويكون مخترق متتبعه يمشي خلفة فبمجرد أن يفتح الموظف الباب يدخل خلفه.. وقد يكون ذلك عدم اهتمام من الموظف أو أن يدخل مع الموظف بأي طريقة كانت.

هجمة انتحال الشخصية ( Impersonation ):

وهي أن تتدعي بأنك شخص انت لست هو أو أن تتدعي وظيفة أنت لست موظف فيها.. مثل ما ذكرنا مثلاً أنه شخص يريد الدخول إلى بناية غير مصرح له الدخول إليها، وهنالك استقبال، وحراس أمن موجودين على البناية فيقوم المهاجم بمعرفة من هي شركة الصيانة التي تقوم بالصيانة بحيث يقوم بارتداء الزي الخاص بهم وأن يقوم بتزوير بطاقة ووضعها على الزي الرسمي وبالتي يمر من خلال الحراس ومكتب الاستقبال على أساس أنه مسؤول الصيانة..

هجمة التفتيش في مخلفات التقنية ( Dumpster diving ):

أي مؤسسة أو جهة سواءً كانت أهلية أو حكومية يكون لها نفاياتها التي تقوم بالتخلص منها، ومن ضمن هذه النفايات قد تكون مستندات مهمة، وهذه المستندات أما قد تكون قد تم طباعتها بالخطاء أو تم الانتهاء منها وأصبحت الشركة ليست بحاجة لها فيتم رميها أو قد يتم بالخطاء رمي معلومات تتعلق بالشركة مثل: الغلاف الخاص بأنظمة التشغيل أو معلومات تتعلق بالسيرفرات أو معلومات تتعلق بمكونات الهاردوير أو معلومات عن مكونات السوفتوير.. وصاحب هذه الهجمة يقوم بالبحث في النفايات التي تتخلص منها الشركة للبحث عن معلومات قد تفيدة في عملية الاختراق..

فالمخترق لكي يقوم بتنفيذ اختراقه بشكل احترافي يحتاج إلى معلومات من أجل أن يعرف ماذا يواجه، وكيف يبحث عن نقاط الضعف الخاصة بالمعلومات التي قام بتجميعها لكي يقوم بالاختراق.

فالذي يحصل أن الشركة تقوم برمي هذه المعلومات والمخترق يقوم بالبحث عنها في النفايات عن أي معلومات خاصه بهذه الشركة أو المؤسسة… فالمعلومات تعتبر سلاح المخترق التي تمكنه من الاختراق.

هجمة التسلل من فوق الكتف ( Shoulder Surfing ):

مثلاً أنت موجود في مكان العمل، ويكون العمل مفتوح أو مثلا يكون مكان العمل مكان عام، وأنت تدخل على جهازك ومن خلفك على مستوى الكتف هناك شخص يقوم باختلاس النظر على ما تقوم أنت بعمله ويقوم بجمع المعلومات التي يلاحظ بأنها سوف تكون مفيدة له دون أن تنتبه.. مثل أن تقوم بتسجيل حسابك الخاص على بريدك الالكتروني أو حسابك البنكي والشخص يراقبك أو أن تقوم بالدخول إلى مواقع التواصل الاجتماعية الخاصة.. وغيرها من المعلومات التي تقوم بتسجيلها دون الانتباه بأن هنالك شخص ما خلفك يقوم بمراقبك.

هجمة الخدعة أو الكذبة ( Hoax ):

هذه الهجمة هي هجمة تقوم باستغلال الذعر عند الضحية، وهذه الهجمة منتشرة بكثره.. مثلاً وأنت تتصفح على الأنترنت تظهر لك صفحة أو نافذة على المتصفح وتخبرك بأن جهازك مصاب بفايروس، ولحذف هذا الفايروس قم بالدخول إلى الرابط، وقم بتنزيل برنامج مكافحة الفيروسات المجاني لكي يتم التعامل مع هذا الفايروس وأزالته، وأنت لم تقوم بفعل ذلك قد تقوم بتثبيت فايروس أو تقوم بتثبيت برنامج تجسس أو أي برنامج من البرامج الضارة.

هجمة ثقب أو ثغرة الماء ( Watering Hole Attack ):

الاسم مشتق من الطبيعة ومثل هذه الهجمة تكون في الغابة أو في البرية، وتتجمع فيها قطيع من الحيوانات كالغزلان مثلاً لتشرب في وقت محدد فالمفترس مثل الذئاب أو الأسد يتعرف على فجوة هذه المياه وأنه في وقت معين يكون محدده تأتي قطعان من الغزلان تشرب من هذه المياه فهو عارف التجمع فبالتالي ينتظر عند ذألك التجمع لتنفيذ هجمته، وهذه القصة نفسها تحدث مع المخترق عند تنفيذ هذه الهجمة فهو يقوم باستهداف الموقع أو المواقع التي يسودها المستهدف أو المستهدفين بكثرة وهذا الموقع قد يكون موقع الإلكتروني ويقوم المهاجم مثلاً بزرع برنامجه الضار ليتم بعد ذلك تنزيله على أجهزة المستهدفين التي هو يستهدفهم عندما يقومون بزيارة هذا الموقع.

هجمات الهندسة الاجتماعية في أغلب الأحيان تكون فعالة بحيث أنها تنطلي على المستخدمين ومن أسباب كون هجمات الهدسة الاجتماعية فعالة:

أسباب كون هجمات الهندسة الاجتماعية فعالة:

لماذا تكون أنواع هجمات الهندسة الاجتماعية فعالة في الكثير من الأحيان بحيث أنها تنطلي على المستخدمين ومن هذه الأسباب:

السلطة ( Authority ):

أن المهاجم أو المخترق يوهمك بأنه صاحب سلطة ما، ويتوصل معك على أساس أنه مدير فرع ما أو أنه مدير القسم الذي أنت تابع له، فهو يوهمك بالسلطة التي هو يترأسها، ومن ثم يجعلك تستجيب لطلباته التي قد تكون مثلاً بإعطائه معلومات سرية وخاصة.

التخويف ( Intimidation ):

وهو أن يقوم بتخويفك مثل ما نظرنا في هجمة الـHoax هذه تعتبر من المبادئ أو الأسباب التي تجعل الأشخاص يقعوا ضحيه في هجمات الهندسة الاجتماعية.

الإجماع ( Consensus ):

وهو أن يقوم بإقناعك أن الجميع مجمع على شيء معين فيجعلك تدخل مع هذا الأجماع مثلاً أن يقوم بأقناعك بأن الجميع وكل من هو في منصبك قاموا بتنفيذ ذلك فيقنعك بتنفيذ الشيء الذي يحتاجه منك عن طريق الأجماع.

النقص ( Scarcity ):

وهو أن يشعرك بأن هنالك نقص معين مثلاً أن يقول لك أن هنالك اجتماع مهم والمستندات التي كان المدير من المفترض أن يأخذها معه قام بنسيانها فأرسل لي هذه المستندات من أجل تغطيت النقص في مجال ما.

المعرفة ( Familiarity ):

وهي تعني أن يقوم الشخص المهاجم بأشعار الضحية بالألفة تجاهه من ناحية مثلاً ادعائه من أنه صديق مشترك لصديق المستهدف، أو أن هذا المهاجم يمتلك نفس وظيفة المستهدف أو نفس خبراته فيجعله يشعر بالألفة اتجاهه بالتالي يتمن من أخذ المعلومات منه.