🥸11- Social Engineering
🌐 مقدمة في الهندسة الاجتماعية
الهندسة الاجتماعية هي فن التلاعب بالبشر. إذا كنت تفكر في الأمر في سياق اختبار الاختراق أو الهجمات، فإن الهدف الرئيسي هو التحايل على الأفراد أو الموظفين داخل مؤسسة ما للحصول على وصول غير مصرح به إلى معلومات حساسة، أنظمة، أو حتى مرافق مادية.
💡 بشكل مبسط: تخيل أنك تحاول اختراق نظام، ولكن بدلاً من مهاجمة الخوادم مباشرة، فإنك "تخترق" الأشخاص الذين يستخدمون هذه الأنظمة. إذا نجحت في ذلك، ستجعل البشر يتخذون إجراءات تضر بالأمن، إما عن طريق الكشف عن معلومات أو القيام بأفعال تبدو غير ضارة في البداية.
🤝 مبادئ وتكتيكات الهندسة الاجتماعية
تستغل الهندسة الاجتماعية علم النفس البشري والثقة ونقاط الضعف. إذا استخدم المهاجمون هذه التكتيكات، فإنهم يستغلون غرائز الناس وتفاعلاتهم
تشمل التكتيكات الشائعة التي يستغلها المهاجمون ما يلي:
انتحال الشخصية (Impersonation): يدعى المهاجم أنه شخص موثوق (مثل مسؤول دعم فني، رئيس تنفيذي، أو بائع) .
التمهيد (Pretexting): إنشاء سيناريو كاذب ومقنع فسيتمكن من كسب ثقتك واستخلاص المعلومات.
الضغط العاطفي: تكتيكات تثير مشاعر مثل الخوف أو الإلحاح أو التعاطف أو التوسل، فسيكون قادرًا على التأثير على قراراتك.
تقديم مكافآت أو أشياء مجانية: إذا عرض المهاجم شيئًا ذا قيمة (مثل برنامج مجاني أو مكافأة)، فسيغريك لأداء إجراء معين.
الابتزاز (Blackmail) والابتزاز (Extortion): إذا استخدم المهاجم معلومات لتهديدك، فسيجبرك على الامتثال لمطالبه.
المقايضة (Quid Pro Quo): إذا أعطيت المهاجم شيئًا بسيطًا، فسوف تتوقع أن تحصل على شيء في المقابل.
🚫 أنواع هجمات الهندسة الاجتماعية
تعتمد الهندسة الاجتماعية على أساليب مختلفة، وهي تشمل:
🎣 التصيد الاحتيالي (Phishing)
✨ تصيد الاحتيالي (Phishing) إذا تلقيت رسالة بريد إلكتروني، رسالة نصية، أو صادفت موقعًا إلكترونيًا مصممًا يبدو كأنه من مصدر موثوق به (مثل البنك الذي تتعامل معه، أو شركة تعرفها)، فهذا غالبًا ما يكون تصيدًا احتياليًا. الهدف هو خداعك للكشف عن معلومات سرية مثل كلمات المرور أو بيانات الاعتماد أو البيانات المالية.
💧 التصيد في مواقع التجمع (Watering Hole Attacks)
✨ تصيد في مواقع التجمع (Watering Hole Attacks) إذا قام المهاجم باختراق موقع إلكتروني يتردد عليه الضحايا المستهدفون بشكل متكرر (مثل منتدى صناعي أو موقع إخباري)، ووضع فيه برامج ضارة، ثم قام بتحويل الزوار إلى هذا الموقع المخترق، فهذا هجوم watering hole. إذا زرت الموقع المخترق، فقد يتم تنزيل البرامج الضارة على جهازك دون علمك.
🎁 الإغراء (Baiting)
✨ الإغراء (Baiting) إذا قام المهاجم بإغراء الهدف بأشياء مغرية (مثل برامج مجانية أو مكافآت أو فرص عمل)، لحثه على اتخاذ إجراء معين (مثل النقر على رابط ضار أو فتح ملف ضار)، فهذا هو الإغراء. مثال شائع هو ترك محركات أقراص USB ضارة في أماكن عامة. إذا قمت بتوصيل USB مجهول، فقد يقوم بتشغيل برنامج ضار تلقائيًا.
🎭 انتحال صفة الدعم الفني/الموظفين (Impersonation)
✨ انتحال صفة الدعم الفني/الموظفين (Impersonation) إذا انتحل المهاجم صفة شخصية موثوق بها مثل فني دعم فني، أو موظف جديد، أو عامل صيانة، وقام بجمع المعلومات أو الحصول على وصول مادي أو رقمي. إذا كنت ترتدي زيًا مناسبًا ولديك معلومات داخلية، فسوف يثق بك الناس بسهولة.
📥 جمع المعلومات (Information Gathering)
✨ جمع المعلومات (Information Gathering) إذا كنت مختبر اختراق، يمكنك استخدام الهندسة الاجتماعية لجمع معلومات قيمة حول الهدف.
انتحال صفة موظفي تكنولوجيا المعلومات (Impersonating IT Personnel): إذا انتحلت صفة موظف دعم فني، وطلبت من الموظفين معلومات حول أجهزتهم، فقد تحصل على تفاصيل حول الأجهزة وأنظمة التشغيل.
المحادثات العارضة (Casual Conversations): إذا انخرطت في محادثات عارضة في أماكن مثل مقاهي الشركة فقد تجمع معلومات حول الموظفين، عاداتهم، وهيكل الشركة.
المراقبة (Observation): إذا لاحظت سلوك الموظفين (مثل كيفية دخولهم وخروجهم من المكتب، الشارات التي يرتدونها)، فقد تستنتج معلومات مفيدة حول الروتين الأمني.
🎣 أداة GoPhish لحملات التصيد الاحتيالي
✨ أداة GoPhish لحملات التصيد الاحتيالي GoPhish هو إطار عمل مفتوح المصدر مصمم لمختبري الاختراق ومحترفي الأمن لمحاكاة هجمات التصيد الاحتيالي ضد مؤسساتهم الخاصة. إذا استخدمت GoPhish، فسيمنحك هذا منصة سهلة الاستخدام لإنشاء حملات التصيد الاحتيالي وتنفيذها وتحليلها.
مميزات GoPhish:
محرر قوالب البريد الإلكتروني (Email Template Editor): إذا أردت تصميم رسائل بريد إلكتروني احترافية تبدو حقيقية، سيوفر لك GoPhish محرر قوالب البريد الإلكتروني بواجهة WYSIWYG.
إدارة الأهداف (Target Management): إذا كان لديك قائمة بالأهداف، يمكنك إدارتها وتقسيمها بناءً على معايير مختلفة (مثل القسم أو الدور أو الموقع).
إنشاء صفحات الهبوط (Landing Page Creation): إذا أردت خداع الضحايا، فستتمكن من إنشاء صفحات هبوط تحاكي بوابات تسجيل الدخول أو مواقع الويب المشروعة لالتقاط بيانات الاعتماد أو المعلومات الشخصية.
التتبع والإبلاغ (Tracking and Reporting): إذا أطلقت حملة، فستتمكن من مراقبة تقدمها في الوقت الفعلي وتتبع فتح رسائل البريد الإلكتروني، والنقرات على الروابط، والبيانات المقدمة، وتوليد تقارير مفصلة للتحليل.
الجدولة والأتمتة (Scheduling and Automation): إذا كنت ترغب في جدولة إطلاق الحملات في تواريخ وأوقات محددة، أو إعداد حملات متكررة للاختبار المستمر، فإن GoPhish يدعم ذلك.
🛡️ الدفاعات والإجراءات الوقائية
إذا أرادت المنظمات حماية نفسها من هجمات الهندسة الاجتماعية، فعليها اتخاذ تدابير وقائية.
التوعية والتدريب للمستخدمين (User Awareness and Training): إذا تم تدريب المستخدمين على التعرف على رسائل التصيد الاحتيالي، وعدم النقر على الروابط المشبوهة، والتحقق من عناوين URL، والإبلاغ عن أي شيء غريب لفريق الأمن، فسيكون هذا هو الدفاع الأول والأكثر فعالية.
سياسات وضوابط أمنية مناسبة (Proper Security Policies and Controls): إذا وضعت المؤسسات سياسات قوية وتأكدت من تطبيق ضوابط أمنية (برمجية أو عتادية)، فستساعد في صد الهجمات.
الدفاع المتعمق (Defense in Depth): إذا تم تطبيق استراتيجية دفاع متعمق (مثل تجزئة الشبكة، الجدران النارية، الوكلاء)، فسيصبح من الصعب على المهاجمين الانتشار داخل الشبكة حتى لو اخترقوا جهازًا واحدًا.
أقل امتياز (Least Privilege): إذا تم منح المستخدمين أقل الامتيازات اللازمة لأداء وظائفهم، فسيتم تقليل نطاق الضرر إذا تم اختراق حسابهم.
🏛️ تاريخ الهندسة الاجتماعية وتطورها
✨ أصل المصطلح إذا كنت تتساءل عن متى بدأت الهندسة الاجتماعية، فإن مصطلح "الهندسة الاجتماعية" قد صاغه الصناعي الهولندي جيه. سي. فان ماركن (J.C. Van Marken) في عام 1894. لقد اقترح فان ماركن أن هناك حاجة لمتخصصين للتعامل مع التحديات البشرية بالإضافة إلى التحديات التقنية. تم تعريف الهندسة الاجتماعية على أنها طريقة لتشجيع الناس على التعامل مع العلاقات الاجتماعية بشكل مشابه لكيفية تعاملهم مع الآلات أو الأنظمة الميكانيكية.
💡 بشكل مختصر: لم تكن الهندسة الاجتماعية مجرد اختراع حديث في مجال الأمن السيبراني؛ بل هي مفهوم قديم قدم التلاعب البشري نفسه، ولكن المصطلح أخذ شكله الرسمي في السياق الصناعي أولاً.
✨ تأثير وسائل التواصل الاجتماعي إذا ظهرت شبكات التواصل الاجتماعي وأصبحت وسيلة اتصال شائعة، فقد تحسنت قدرة المهاجمين (وكذلك مختبري الاختراق) وفعاليتهم في تنفيذ هجمات الهندسة الاجتماعية بشكل كبير. لماذا؟ لأنه إذا كنت تستخدم وسائل التواصل الاجتماعي، فيمكن لأي شخص في العالم الاتصال بالموظفين/الأهداف بسهولة. بالإضافة إلى ذلك، أدت شبكات التواصل الاجتماعي إلى قيام الموظفين، عن قصد أو غير قصد، بكشف الكثير من المعلومات الخاصة (مثل رسائل البريد الإلكتروني، وأرقام الهواتف، والعناوين، وما إلى ذلك) التي يمكن للمهاجمين استخدامها للمساعدة في هجمات الهندسة الاجتماعية الخاصة بهم.
📈 إحصائيات وفعالية الهجمات (بيانات مكتب التحقيقات الفيدرالي لعام 2021)
إذا نظرت إلى بيانات مكتب التحقيقات الفيدرالي الأمريكي (FBI) لعام 2021، التي تم جمعها من مركز جرائم الإنترنت (IC3)، فسترى صورة واضحة لمدى فعالية الهندسة الاجتماعية:
✨ تزايد الشكاوى والخسائر
إذا تابعت الإحصائيات على مدى السنوات الخمس الماضية، ستجد أن الشكاوى والخسائر المالية من هجمات الهندسة الاجتماعية في تزايد مستمر.
تشير هذه البيانات إلى أن هذه التقنيات أصبحت أكثر نجاحًا وأكثر انتشارًا.
✨ التقنيات الأكثر فعالية
إذا قارنت أنواع الشكاوى، فإن التصيد الاحتيالي (Phishing)، التصيد الموجه (Spear Phishing)، التصيد عبر الرسائل النصية (Smishing)، والاصطياد (Farming) تفوق بكثير جميع الشكاوى الأخرى.
في عام 2021، كان هناك 323,000 ضحية لشكاوى التصيد الاحتيالي والتصيد الموجه والتصيد عبر الرسائل النصية والاصطياد، وهو عدد لا يقارن بأي فئة أخرى.
على سبيل المثال، عدد الشكاوى المتعلقة بالبرامج الضارة وبرامج الفدية والفيروسات أقل بكثير.
✨ أكبر الخسائر المالية
إذا نظرت إلى فئات الخسائر المالية، فإن اختراق البريد الإلكتروني التجاري (BEC)، والاحتيال الثقة (Confidence Fraud)، والاحتيال الرومانسي (Romance Scams) تتصدر القائمة كأنواع من الهندسة الاجتماعية تسبب خسائر مالية فادحة.
كما أن خسائر احتيال الدعم الفني (حيث ينتحل شخص صفة الدعم الفني للحصول على معلومات) في تزايد.
Last updated