الهندسة الإجتماعية : فن إختراق عقول البشر
يمكن تعريف الهندسة الاجتماعية بأنها فن إستخراج أو جمع المعلومات عن الضحايا أو منهم و استعمالها في غالب الأحيان في اغراض لا أخلاقية مثل : السرقة - التشهير -المساومة.....ويمكن كذلك تعريفها بأنها التكتيك أو الخداع بغيت الحصول على معلومات حساسة من خلال إستغلال الثغرات الموجودة في طبيعة الإنسان : كالخوف - الثقة - الطمع - الرغبة في المساعدة - الإنجذاب للاشخاص المشابهين .....
الإنسان هو الحلقة الأضعف في السلسلة الأمنية
من أهم الوسائل التي يستعملها المهندس الاجتماعي خلال جمعه للمعلومات سواء عن أشخاص أو مؤسسات :
-1- الضغط النفسي لتأثير على الضحية : وذلك بإستغلال غريزة الخوف ، أو إحراج الضحية من أجل اجباره على تقديم المساعدة و تلبية كل ما تطلبه منه .
-2- المهملات و المخلفات : بعض الأوراق أو الأجهزة الإلكترونية التي تبدو لك غير نافعة هي في الأصل تعتبر كنزاً بالنسبة لبعض المخترقين ، انهم يقومون بالبحث في المهملات لكي يجدو بعض الفواتير أو وصول بنكية أو أجهزة مثل القرص الصلب والذي قد يحتوي على معلومات حساسة ومهمة ..... .....
-3- تقديم المساعدة : إرسال رسائل عبر البريد الإلكتروني ، يقوم المهاجم بإدعاء أنه البنك الذي تتعامل معه وأنه يجب عليك إصلاح مشكل ما في حسابك البنكي وذلك عبر الضغط على رابط مرفق بالرسالة يطلب منك إدخال معلوماتك البنكية ، و بذلك يكون حسابك البنكي قد إخترق
-4- تقديم عروض مغرية : كثير من الناس تصلهم رسائل تخبرهم بأنهم ربحوا في مسابقة لم يشاركوا فيها ، ومن أجل تحويل الأموال يجب عليهم إرسال معلوماتهم الشخصية.
-5- السؤال الإيحائي الموجة : وهو السؤال الذي يشير إلى الإجابة ،كأن تقوم بتخيير شخص ما بين خيارات ثم تقوم بالانحياز لخيار ما بغيت التاثير على إختيار الضحية .
-6- التشابه : طبيعة الإنسان ميالة لتعاطف مع الأشخاص المشابهين لها في الشخصية و التجارب ،لذلك فإن المهندس الإجتماعي يلعب على هذا الوتر الحساس ويستغله لكي يجمع المعلومات من الضحية ، وكمثال على ذلك الإدعاء بأنك من نفس المدينة التي ولد فيها الضحية أو أن لكما نفس الإهتمامات (رغم بساطة هذه الطريقة إلا أنها ذات مفعول سحري).
-7- المصلحة المتبادلة: طلب خدمة من شخص مع الوعد برد الجميل في مناسبة أخرى.
هناك توزعة (kali linux)التي توفر مجموعة من الوسائل التي يستخدمها المهندس الاجتماعي وتسمى ( social engineering tools).
تكمن خطورة الهندسة الإجتماعية في صعوبة رصدها أو التنبؤ بها
للقيام بكل هذا يجب أن يتوفر المهاجم على بعض المعلومات الأولية التي على اساسها سيقوم بإستدراج الضحية ،أو التخمين عليها للوصول إلى المعلومات المهمة ، أفضل مصدر لجمع هذه المعلومات الأولية هو من خلال الشبكات الاجتماعية (الفايسبوك . تويتر . إنستجرم...)،وهذه المعلومات تكون من قبيل الاسم . العنوان . الأصدقاء . مكان العمل. ...
المراحل الأربعة للهندسة الاجتماعية :
---->>>> البحث عن الشركة أو المؤسسة أو الشخص الهدف (بنك . موقع....) .
---->>>> إنتقاء الضحية (موظف في بنك. مسير الموقع...)
---->>>> تطوير علاقة مع الضحية .
---->>>> إستغلال تلك العلاقة في تحقيق الهدف .
الإجراءات التي يجب اتخادها من أجل الحد من مخاطر الهندسة الاجتماعية :
* على مستوى الفرد :
-+- عدم إستعمال الأسماء ، الأرقام الخاصة بالهاتف ،الاهتمامات،تواريخ الميلاد ككلمات سرية،لأنها تكون الخيار الأول الذي يجربه المهندس الاجتماعي ، عوضاً عن ذلك قم بإختيار كلمات مرور قوية وذلك بإستعمال حروف كبيرة و صغيرة ،رموز ،أرقام...
-+-عدم نشر المعلومات الشخصية أو بالأحرى مشاركتها على الشبكات الاجتماعية .
-+- عدم رمي الفواتير أو الوصول البنكية أو الأجهزة الإلكترونية قبل تدميرها .
+- عدم تصديق الرسائل التي تصل على البريد الإلكتروني قبل التحقق من الروابط المرفقة معها ، و إستعمال برامج ( anti phishing). .
-+- تحديث برامج الحماية بشكل دوري ، تفعيل الجدار الناري .
* على مستوى المؤسسات :
-+- توعية الموظفين بكل هذه الوسائل وذلك بتوفير دورات في الأمن المعلوماتي .
-+- تحديد سياسات واضحة داخل المؤسسة بغيت تخصيص الولوج للمعلومات الحساسة من طرف أشخاص مؤهلين لهذه المهمة .
-+- عدم إستعمال حواسيب العمل في اغراض شخصية .
رغم ما للهندس الاجتماعية من مخاطر واضرار سواء على الفرد أو المجتمع ، إلا أن لها استخدامات أخرى مثل استعملها بشكل معاكس أي استدراج المخربين والاطاحة بهم (داوها بالتي كانت هي الداء).
لكل من يريد أن يعرف المزيد عن هذا الموضوع انصحه بكتاب كيفن مثنيك ( the art of deceptive) فن الخداع أو التضليل، وكيفن هو من الأوائل الذين اسسو هذا المفهوم ،وللذين لا يحبون الكتب هناك أفلام رائعة تتكلم عن هذا المجال مثلا :
Catch me if you can
The italian job
Who am i
وانصح كل من قرأ هذه التدوينة بمشاهدة السلسلة الرائعة MR.ROBOT
الموضوع من طرف:elmb036
ضمن مسابقة المحترف لأفضل تدوينة لسنة 2016