تقنيات الهندسة الاجتماعية في مجال حماية المعلومات Social Engineering

اقرأ في هذا المقال


ما هي الهندسة الاجتماعية

تشير الهندسة الاجتماعية إلى جميع التقنيات التي تهدف إلى التحدث عن هدف في الكشف عن معلومات محددة أو القيام بعمل معين لأسباب غير مشروعة، على الرغم من وجود هذا النوع من الخداع دائمًا، إلا أنه تطور بشكل كبير مع تقنيات تكنولوجيا المعلومات والاتصالات.

أكثر ما يجعل الهندسة الاجتماعية خطيرة والسبب في أنها محط اهتمام الشركات هو أنها تعتمد على الأخطاء البشرية، بدلاً من الثغرات في البرامج وأنظمة التشغيل. حيث أن الأخطاء التي يقوم بها المستخدمون الشرعيون من الصعب ملاحظتها أو التنبؤ بها، ممّا يجعل التعرف عليها ومنعها أكثر صعوبة من التسلل المستند إلى البرامج الضارة.

بشكل عام، يمتلك مهاجمو الهندسة الاجتماعية هدفًا من هدفين:

  • التخريب: ويكون هذا بتعطيل أو إتلاف البيانات لإحداث ضرر أو لمجرد الإزعاج.
  • السرقة: الاستيلاء على الأشياء الثمينة مثل المعلومات أو الوصول أو المال.

الهندسة الاجتماعية في تكنولوجيا المعلومات

أدى الاستخدام المتزايد لتقنيات تكنولوجيا المعلومات بشكل طبيعي إلى زيادة استخدام هذه التقنيات، بالإضافة إلى دمجها، لدرجة أن معظم الهجمات الإلكترونية في الوقت الحاضر تتضمن شكلاً من أشكال الهندسة الاجتماعية، تقنيات الهندسة الاجتماعية في تكنولوجيا المعلومات من زاويتين مختلفتين:

  • إما باستخدام التلاعب النفسي للحصول على وصول إضافي إلى نظام تكنولوجيا المعلومات حيث يكمن الهدف الفعلي للمهاجم، على سبيل المثال انتحال شخصية عميل مهم عبر مكالمة هاتفية لجذب الهدف إلى تصفح موقع ويب ضار لإصابة محطة عمل الهدف.
  • أو استخدام تقنيات تكنولوجيا المعلومات كدعم لتقنيات التلاعب النفسي لتحقيق هدف خارج مجال تكنولوجيا المعلومات، مثل الحصول على بيانات اعتماد مصرفية عبر هجوم تصيد لسرقة أموال الهدف.

تقنيات الهندسة الاجتماعية

قد تأتي هجمات الهندسة الاجتماعية في العديد من الأساليب المختلفة ويمكن تنفيذها في أي مكان يكون فيه التفاعل البشري متضمنًا.

فيما يلي الأشكال الأكثر شيوعًا لهجمات الهندسة الاجتماعية الرقمية:

الذريعة Pretexting

هذا الأسلوب هو استخدام ذريعة، وهو عباره عن تبرير كاذب لمسار عمل معين، لكسب الثقة وخداع الضحية، مثال، يدعي المهاجم أنه يعمل في دعم تكنولوجيا المعلومات ويطلب كلمة مرور الهدف لأغراض الصيانة، حيث يجب أن تكون عمليات تحديد الهوية والمصادقة والسياسات والدورات التدريبية في مكانها الصحيح للتحايل على مثل هذه الهجمات.

الاصطياد

يشمل الاصطياد إغراء الضحية بأداء مهمة محددة من خلال توفير وصول سهل إلى شيء تريده الضحية، حيث ستؤدي السياسات الأمنية مثل حظر البرامج والأجهزة غير المصرح بها إلى إحباط معظم المحاولات، على الرغم من أنه يجب أيضًا تذكير الموظفين بعدم الثقة في المصادر غير المعروفة.

المقايضة

شيء مقابل شيء ما، يتضمن طلبًا للحصول على معلومات مقابل تعويض، على سبيل المثال، يسأل المهاجم كلمة مرور الضحية مدعيًا أنه باحث يجري تجربة مقابل المال، من السهل نسبيًا اكتشاف هجمات المقايضة نظرًا للقيمة غير المتكافئة للمعلومات مقارنة بالتعويض، وهو عكس المهاجم والضحية، وفي هذه الحالات، يظل أفضل إجراء مضاد هو سلامة الضحية وقدرتها على تحديد الهوية والتجاهل والإبلاغ عنها.

الذيل Tailgating

(Tailgating) هو فعل متابعة شخص مرخص له في منطقة أو نظام محظور، مثال، المهاجم الذي يرتدي زي موظف، يحمل صندوقًا كبيرًا ويقنع الضحية، وهو موظف مرخص له بالدخول في نفس الوقت، بفتح باب مركز البيانات باستخدام البطاقة الخاصة بالضحية.

يجب التحكم في الوصول إلى المناطق غير العامة من خلال سياسات الوصول أو استخدام تقنيات التحكم في الوصول، حيث انه كلما كانت المنطقة أكثر حساسية، كانت الإجراءات أكثر صرامة، حيث يجب أن يكون الالتزام بارتداء الشارة ووجود حارس وأبواب فعلية متطورة مثل الشعارات المزودة بالتحكم في الوصول بتقنية (RFID) كافية لردع معظم المهاجمين.

توصيات للحد من هجمات الهندسة الاجتماعية

يجب على أي منظمة تحديد أصولها الهامة وتنفيذ السياسات والبروتوكولات الأمنية المناسبة عند الضرورة، حيث يجب تعزيزها من خلال استخدام التكنولوجيا.

توصيات للحد من هجمات الهندسة الاجتماعية:

  • حملات توعية متكررة، منها ملصقات، وعروض تقديمية، ورسائل بريد إلكتروني، ومذكرات إعلامية.
  • تدريب الموظفين وممارستهم، حيث تبدأ الحماية من الهندسة الاجتماعية من خلال التدريب والتثقيف. وإذا كان جميع المستخدمين على وعي تام بالتهديدات، فستكون الأثار أقل ضرراً.
  • اختبارات الاختراق لتحديد مدى تعرض المؤسسة لهجمات الهندسة الاجتماعية، والإبلاغ عن النتائج والتصرف بناءً عليها.

شارك المقالة: