مجموعة من التقنيات المستخدمة لجعل الناس يقومون بعمل ما أو يفصحون عن معلومات سرية وشخصية؛ وصاحب هذه التقنيات هدفه الحصول على غاية؛ ذلك تعريف موسوعة ويكيبيديا لمصطلح "الهندسة الاجتماعية".
فالحديث يدور عن جريمة إلكترونيةضمن الجرائم المعلوماتية ؛ عملية سرقة المعلومات من البشر التي ليس لديها أي تفاعل مع النظام المستهدف أو الشبكة، فهو يعتبر بمثابة هجوم غير فني، لذا تعتبر الهندسة الاجتماعية فن إقناع الهدف بالكشف عن المعلومات، وقد يكون بشكل شخصي بالتفاعل مع الهدف أو إلكترونياً لإقناع الهدف.
تعتبر منصات التواصل الاجتماعي المجال الأكبر للهندسة الاجتماعية، هذه هي الحقيقة يهملها المستخدمون أو أنهم غير مدركين لها، حيث تعتبر بيانات معلومات التواصل الاجتماعي الخاصة بهم ذات الأهمية الكبرى.
ما الذي يجعلنا ضحية لهجمات الهندسة الاجتماعية:
واحدة من نقاط الضعف الرئيسية فينا التي تؤدي إلى هذا النوع من الهجوم هو "الثقة"، يثق المستخدم بمستخدم آخر ولا يحمي بياناته منه، هذا قد يؤدي إلى هجوم من قبل المستخدم.
المنظمات والشركات عرضة لهذا الهجوم أيضاً لأنها غير مدركة لهجمات الهندسة الاجتماعية، وتهمل كثيراً الإجراءات المضادة لها.
لا يوجد برنامج تدريبي كاف للتدريب على الحماية منها
قد ينزلق الموظفون والمستخدمون بشكل عام، للإفصاح عن أي معلومة قد تخلق ثغرة أمنية تؤدي إلى سرقة بياناتهم، لذا يجب على كل منظمة تدريب موظفيها ليكونوا على دراية بالهندسة الاجتماعية وعلى كل منظمة تأمين بنيتها التحتية ماديًا أيضاً.
يجب أن يقتصر أداء الموظف الذي يتمتع بمستوى مختلف من السلطة، في امتيازاتهم المقيدة.
مثلاً لا يسمح للموظف بالوصول إلى الأقسام مثل الإدارة المالية، يجب أن يقتصر على الاشخاص المسموح لهم وعدم وجود سياسات للأمن والخصوصية في الشركات والمنظمات.
السياسات الأمنية يجب أن تكون قوية بما يكفي لمنع الموظف من تمثيل شخص آخر بالمؤسسة، من المهم للمؤسسة العناية بالخصوصية بين الأشخاص غير المصرح لهم أو العميل والموظف للحفاظ على المنظمة.
مراحل هجوم الهندسة الاجتماعية
هجمات الهندسة الاجتماعية لتنفيذ الجريمة الإلكترونية ليست معقدة تتطلب معرفة تقنية قوية، قد يكون المهاجم شخصية غير تقنية لكن ينجح بسرقة المعلومات من الناس، ويتم تنفيذ الهجمات عبرة عدة مراحل:
أولاً: البحث
تتضمن مرحلة البحث جمع أكبر كمية من المعلومات حول الهدف أو المنظمة، مثلاً قد يتم جمعها عن طريق صندوق القمامة، أو المسح الضوئي ومواقع الويب الخاصة بالمنظمة، وإيجاد المعلومات على الإنترنت، وجمع المعلومات من موظفي المنظمة المستهدفة.
ثانياً: اختيار الهدف
في مرحلة اختيار الهدف يقوم المهاجم بتحديد الهدف واختيار الموظف الافضل لتنفيذ الهجمات الذي يكون من السهل جلب المعلومات منه.
ثالثاً: بناء العلاقة بين المهاجم والهدف
هي من أكثر المراحل أهمية؛ لأنها تتضمن بناء علاقة مع الهدف وبناء الثقة يجعل الهدف يعطي معلومات أكثر تفيد المهاجم.
رابعاً: التنفيذ والاستغلال
من خلال المعلومات التي تم جلبها من الهدف بناء على المراحل السابقة؛ يتم وضع الخطة التي عليها سيسر الهجوم لتنفيذ الجريمة الإلكترونية والبدء بالتنفيذ.
أنواع هجمات الهندسة الاجتماعية:
- انتحال الشخصية.
- التنصت التقليدي.
- الهندسة الاجتماعية العكسية.
- الهجمات القائمة على الحاسوب
- الخداع أو التصيد.
- ارسال ملفات ملغمة بفيروسات عبر البريد الإلكتروني.
- إدخال USB تحوي برمجيات ضارة على جهاز الحاسوب.
- الهجمات القائمة على الهاتف.
- نشر التطبيقات الضارة.
- الهجوم من الداخل، بأن يكون المهاجم من داخل الشركة أو المؤسسة.
الحماية من هجمات الهندسة الاجتماعية
- انشاء برنامج وعي أمني بخطورة هجمات الهندسة الاجتماعية.
- إدراك قيمة المعلومات التي يتم السؤال عنها.
- عدم استقبال ملفات عبر البريد الإلكتروني إلا من أشخاص موثوق منهم وفحصها جيداً قبل فتحها أيضاً.
- الحفاظ على تحديث البرامج المتوفرة على النظام.
- التفكير قبل الرد والتفكير عند الحديث مع أي شخص.
- وضع صلاحيات على الموظفين في الشركة.
- إضافة برمجيات على المتصفحات لكشف الروابط الخبيثة.
- التبليغ الفوري عن أي هجوم تتعرض له، ويمكن الاستعانة برابط التبليغ لإزالة المحتوى المخالف في فيسبوك facebook
أنظر أيضاً حول الهندسة الإجتماعية وآثارها على المجتمع الفلسطيني
المؤلفون
يوسف أمجد
مبادرة الأمن والأمان على الإنترنت
كلمات مفتاحية: الجريمة الإلكترونية الهندسة الاجتماعية الجرائم المعلوماتية
عدد القراءات: 787