الهندسة الاجتماعية هي فن اختراق العقل.
الهندسة الاجتماعية هو الاسم الذي يطلق على نمط "الاحتيال" الذي يستغل نقاط الضعف العاطفية للضحية. هذا الشكل من التعدي على الخصوصية والمعلومات ، والذي يجب حمايته جيدًا ، يشكل خطرًا خاصًا على أمن الشركات والأعمال ، وبالتالي فهو موضوع بحث علمي يسعى للكشف عن أساليبها وأسلحتها. حتى أن البعض يعتبر المهندسين الاجتماعيين أكثر خطورة من قراصنة المعلومات الإلكترونية اليوم.
كيف يمكنك أن تقرر اقتحام شركة شحن واستخدام الحد الأدنى من المهارات التقنية لتحقيق النجاح بطريقة سلمية. قام الجاني أولاً بالبحث في الشركة على الإنترنت وتعرف على رقم ضابط شؤون الموظفين من هناك. بعد المكالمة ، تعرف على أسماء أهم الأشخاص في الشركة ، وأسماء الموظفين في بعض الإدارات ، والمديرين التنفيذيين في إجازة. وصل إلى مقر الشركة ، وتظاهر بنسيان مفاتيحه ، وبطاقة عمل مزورة وسلوكًا واثقًا وهادئًا. سمح له الحارس بالدخول. وعندما وصل إلى الطابق الذي يعمل فيه الموظفون ، ادعى أنه نسي بطاقة عمله وسمح له أحد أصدقائه بالدخول. اكتشفت أن مكتب المدير المفوض لم يكن مغلقًا للتنظيف ، لذلك اتصلت بالقسم الفني من امتداد هذا المكتب وأخبرت موظفًا لم يتعامل مع المدير مطلقًا أنه نسي كلمة المرور الخاصة به وكان في مشكلة. كنت هناك. المهاجم) ، وجمع المعلومات اللازمة ، ثم ابتعد بهدوء دون إثارة الشكوك بعد تحقيق الهدف. مرحبًا بك في عالم الهندسة الاجتماعية.
هندسة اجتماعية. ما هذا؟
عندما يتحدث معظم الناس عن أنظمة أمن المعلومات ، فإن أول ما يتبادر إلى الذهن هو برامجهم وأنظمتهم الإلكترونية. أي برامج الحماية من الاختراقات والفيروسات والجدران النارية وما إلى ذلك. العنصر البشري هو أهم عنصر في أي نظام أمني سواء أكان إلكترونيًا أم لا ، وهو أيضًا العنصر الأضعف لأنه لا يمكن "برمجته" وضمان عدم ارتكاب الأخطاء. لقد نسيت
الهندسة الاجتماعية هي مجموعة من التقنيات المستخدمة لإقناع الناس باتخاذ إجراءات تفتح ثغرات أمنية أو تكشف عن معلومات سرية. يمكن استخدامه في أنشطة احتيالية على الإنترنت أو على الأرض ويركز بشكل أساسي على مهاجمة شخص واستغلال نقاط ضعف ذلك الشخص للحصول على معلومات مهمة. يتيح ذلك للمهندسين الاجتماعيين (المهاجمين) اقتحام المباني أو الأنظمة أو الحسابات لتحقيق أهدافهم. المزايا الأخلاقية أو المادية أو المتعلقة بالسلامة. هذا لا يتطلب مهارات تقنية متقدمة. غالبًا ما يتم تمييز "المتسللين" أو "المتسللين" بمهاراتهم البرمجية ولديهم معرفة حاسوبية واسعة بالثغرات الأمنية المتعلقة بالأجهزة وأنظمة التشغيل والشبكات والتكنولوجيا. ما يحتاجه المهاجمون هنا ليس المعرفة التقنية ، بل المهارات الاجتماعية والتسويق والإقناع لخداع الضحايا لأخذ ما يريدون دون إثارة الشكوك. في الواقع ، فإن حصوله على المعلومات بهذه الطريقة ليس غير قانوني في حد ذاته. لأنه لا توجد قوانين ضد إفشاء الأشخاص لأسرارهم الشخصية (ليس هذا هو الحال مع الأسرار التجارية). والأهم من ذلك ، لا يوجد قانون أو تشريع يجرم الاستماع إلى شخص يختار إفشاء المعلومات لك.
في الولايات المتحدة ، من أجل زيادة الوعي الأمني ، يتنافس المتسللون الذين يعتمدون فقط على الأدوات التقنية والمتسللين الذين يستخدمون الهندسة الاجتماعية للتسلل إلى الشركات والهيئات الحكومية كل عام في لاس فيجاس ، ومن هنا جاء اسم المسابقة. حدد هدفًا قبل المنافسة مباشرةً ، ولكنه كافٍ لجمع المعلومات الضرورية عنه. تتم دعوة رؤساء أو ضباط أمن المعلومات في هذه الشركات للحضور حيث يخترق المتسللون دفاعاتهم من مسافة بعيدة أمام أعينهم. لاحظ أن المهندسين الاجتماعيين غالبًا ما ينجزون المهام بشكل أسرع من الفنيين. ومن أشهر المهندسين الاجتماعيين فرانك أباجنال ، وديفيد بانون ، وبيتر فوستر ، وخالد الفيومي.
كيف تستعمل؟
اعتمادًا على درجة وعي الضحية وحساسية سطح الهجوم ، قد يستغرق الأمر ساعات أو أيام أو أسابيع أو شهور حتى يكتسب المهاجم الثقة اللازمة من الضحية للتخطيط لهذه الهجمات. قد يستغرق الأمر. يمكن القيام بذلك بعدة طرق ، بما في ذلك وجهًا لوجه أو الهاتف أو موقع الويب.
قال كيفن ميتنيك ، أحد أشهر المتسللين ، الذي نجح ذات مرة في اقتحام وزارة الدفاع الأمريكية (البنتاغون) ومؤلف الكتاب الشهير فن الخداع: استغلال نقاط الضعف البشرية ، مثل الجشع ، والجشع ، وحب مساعدة الآخرين ، والميل إلى الظهور كمالك للعالم ، والسلطة ، والمعرفة. تقوم فلسفة الهندسة الاجتماعية على حرماننا من التفكير الدقيق الذي نواجهه مع العالم لبضع دقائق ، حتى نتمكن من حماية أنفسنا وممتلكاتنا وعائلاتنا. عندما نتعب أو يصرف انتباهنا عن طريق الإقناع ، والثناء ، والاقتراح ، والفكاهة ، والتحفيز ، والإغواء ، وغيرها من المهارات الاجتماعية ، يمنعنا ذلك من رؤية الخطر المحتمل.
الطريقة الأكثر أهمية
• الاحتيال عبر الهاتف. لذلك ، فإن أعلى نسبة من هذه الهجمات هم من المهندسين الاجتماعيين الذين يزعمون أنهم ممثلون لشركات تجري استطلاعات لأغراض البحث ، أو ممثلين عن الحكومات لغرض جمع الإحصائيات.أو يزعمون أنهم مندوب مبيعات يحاول إقناع العميل. الضحايا الذين يشترون منتجات بأسئلة تبدو غير ضارة.
• الهندسة الاجتماعية العكسية ، غالبًا باستخدام الهاتف. الوضع هنا أكثر خطورة. يدعي المهاجم أنه شخص له منصب وسلطة داخل نفس المنظمة ، مما يربك الموظفين الصغار ويخبرهم بما يريده. إذا نجح الأمر وسار كل شيء وفقًا للخطة ، فإن المهاجم لديه فرصة جيدة للحصول على معلومات قيمة من الضحية. هذه الطريقة معقدة نسبيًا لأنها تعتمد على درجة الإعداد المسبق وكمية المعلومات التي يمتلكها المهاجم.
• إساءة استخدام المعلومات التي يتم تصويرها أو طباعتها أو وضعها في سلة مهملات السكرتير. قد يكون الاحتيال في هذه الحالة هو اقتحام هذه المباني المحصنة. يتم ذلك من خلال الادعاء بأنهم طاقم صيانة أو تنظيف ، كما يظهر في العديد من الأفلام. إذا كان الهدف يستحق كل هذا العناء ، فيمكن للمهاجمين رسميًا البحث عن هذه الوظيفة لفرص جمع المعلومات عن طريق البحث عن القمامة أو التنصت على المكالمات والاجتماعات دون إثارة الشكوك.
• رسائل البريد الإلكتروني. يتلقى الضحايا رسائل تدعي فوزهم بجوائز أو تدعي أنهم من مؤسسات (بنوك) أو حكومات مؤهلة عبر صفحات لا يبدو أنها مزيفة للمستخدم العادي. تطالبك بإدخال البيانات مباشرة. تسمى هذه العملية التصيد الاحتيالي ، وهي تغطي العديد من أنواع الهجمات المختلفة.
• الإنترنت بشكل عام. تشكل شبكة الويب العالمية منجمًا ضخمًا للمعلومات ، تضاعف حجمه مع ظهور الشبكات الاجتماعية. تجعل الشبكات الاجتماعية من السهل جدًا على العديد من المستخدمين استعراض معلوماتهم الشخصية ومشاركتها مع الآخرين من خلالها. عمل مهندس اجتماعي. شخص ما يتصل بك ويدعي أنه من رئيسك في العمل أو من عائلتك ، ويقول إنهم يعرفون أنك حاليًا في إجازة في تركيا ، على سبيل المثال ، وتسمية زميل إذا كنت كذلك. إذا كنت تثق به ، فستتمحور المحادثة حول الأشياء التي تهمك ، مثل الرياضة أو السياحة ، وخلال هذه المحادثة سوف تنسى حجوزاتك الطبيعية وتتخلى عنها.الفرصة ناضجة للهجوم والاستخراج إذا قمت بعمل معلومات لم تكن لديك يتم تقديمها إذا طلب ذلك مباشرة من قبل شخص غريب.
بعض أشكال الهندسة الاجتماعية ليس لها هدف محدد ، لكن يمكنها البحث عن الحب والتعاطف الذي تفتقر إليه الحياة الواقعية من خلال خداع الآخرين للاعتقاد بأنهم شخص آخر. ليس من المستغرب أن تكون هناك العديد من الحسابات المزيفة على الشبكات الاجتماعية مخفية وراء أشخاص هدفهم إقامة علاقات مع الآخرين. تُعرف هذه العملية باسم catfishing. في الفيلم الوثائقي الذي يحمل نفس الاسم (Catfish) ، يروي المصور شيلمان قصة الوقوع في حب فتاة ، على الرغم من أنها تخيلتها فيما بعد وابتكرتها والدة الفتاة للهروب منها ، اكتشفت ذلك. تعتني بطفلين معاقين بشدة.
والفن له حضور
لم يكن الفن السابع بعيدًا عن معالجة هذا الموضوع المثير وتحذير العالم من أخطاره. هنا مثالان مشهوران. الأول هو فيلم Catch Me If You Can. يحكي هذا الفيلم من بطولة ليوناردو دي كابريو قصة أحد أشهر المهندسين الاجتماعيين ، فرانك أباجنيل ، الذي يهرب من المنزل عندما كان مراهقًا ويطلق على نفسه بنجاح مهنة. كابتن طائرة جمع مبلغًا كبيرًا من المال أثناء سفره حول العالم ، تمكن من الاختباء من الشرطة كمدرس وطبيب ، وبالادعاء بممارسة هذه المهن الصعبة ، قبل خداع من حولك. يمكن للشرطة القبض عليه. الفيلم الثاني هو "The Thomas Crown Affair" بطولة بيرس بروسنان. يلعب بيرس بروسنان دور مليونير يشعر بالملل مصممًا على سرقة لوحة نادرة من متحف في نيويورك. من خلال زياراته المتكررة مع غيره تنجح مهاراته في الهندسة الاجتماعية في تحقيق ما يرغب فيه.
كيفية التعامل معها؟
تعد الهندسة الاجتماعية من أكبر المشكلات التي تواجه الشركات اليوم. لأنه لا توجد طريقة لاختبار وضمان عدم ارتكاب البشر للأخطاء ، كما هو الحال مع البرامج وجدران الحماية. أيضًا ، من المشاكل الرئيسية في عالم الأمن الإلكتروني العام اليوم أن موظفي الشركة يتغيرون بشكل متكرر أكثر من الماضي. بدم شابة ، ومهارات جديدة ، وحاجة مستمرة لخبرة متنوعة ، خاصة في المجال التقني ، ينتقل الأشخاص من شركة إلى أخرى بسرعة كبيرة ، ولدى شركة واحدة فروع متعددة وقد لا يعرف أعضاؤها بعضهم البعض على الإطلاق ، أو قد لا يعرفون بعضهم البعض على الإطلاق. يعرفون بعضهم البعض فقط من خلال الاتصالات الإلكترونية حيث ليس من الصعب إخفاء هوياتهم. لا تقوم جميع الشركات بفحص المتقدمين بدقة ، مما يجعل من الصعب على المهاجم اقتحام قلب شركة أو مخازن بيانات حساسة لمجرد أنهم موظفين. ليس كذلك. في كثير من الحالات ، تنجح الهجمات الإلكترونية بالتعاون المباشر (العملاء الداخليون) أو عن طريق الخطأ ، بمساعدة شخص ما داخل الشركة أو المنظمة ، كما في حالة ضحايا الهندسة الاجتماعية.
لذلك فإن الوعي والتدريب هما أكثر الطرق فعالية لحماية المؤسسات والشركات التي تستهدفها صواريخ الهندسة الاجتماعية. لا يمكن لأي شخص ، مهما كان موقعه في الشركة ، الوصول إلى كلمات المرور أو المعلومات الخاصة به ، إلا بعد تثقيف الموظفين حول الأساليب التي يمكن للمهندسين الاجتماعيين استخدامها لاستخراج المعلومات منهم والتحقق من هوياتهم بطريقة عملية. أحذرك من عدم لتقديمها لأي شخص.، والاقتصاد في توزيع المعلومات الشخصية في وسائل الاتصال الاجتماعية. لاختبار متانة أجهزة الكشف عن الحرائق ، يمكنك إجراء اختبارات دورية مماثلة لتلك التي يتم إجراؤها بشكل مستمر.
ثانيًا ، عندما يتم تعيين شخص جديد ، سواء على أساس دائم ، أو بعقد مؤقت ، أو من خلال شركة خارجية ، يجب أن يتم البحث عنه بعناية من خلال الاستفسار والبحث عن أي شيء مريب في خلفيته. لا
هذا لا يعني أن هناك حصانة كاملة. عندما يتعلق الأمر بأمن المعلومات ، فإن العلاقة بين الاثنين مباشرة: يواصل المجرمون ابتكار أساليب جديدة للتطفل ويستمر الخصوم في محاولة توقع الهجمات بالتطعيمات. لكن الوقاية خير من العلاج دائمًا.
الهندسة الاجتماعية هو الاسم الذي يطلق على نمط "الاحتيال" الذي يستغل نقاط الضعف العاطفية للضحية. هذا الشكل من التعدي على الخصوصية والمعلومات ، والذي يجب حمايته جيدًا ، يشكل خطرًا خاصًا على أمن الشركات والأعمال ، وبالتالي فهو موضوع بحث علمي يسعى للكشف عن أساليبها وأسلحتها. حتى أن البعض يعتبر المهندسين الاجتماعيين أكثر خطورة من قراصنة المعلومات الإلكترونية اليوم.
كيف يمكنك أن تقرر اقتحام شركة شحن واستخدام الحد الأدنى من المهارات التقنية لتحقيق النجاح بطريقة سلمية. قام الجاني أولاً بالبحث في الشركة على الإنترنت وتعرف على رقم ضابط شؤون الموظفين من هناك. بعد المكالمة ، تعرف على أسماء أهم الأشخاص في الشركة ، وأسماء الموظفين في بعض الإدارات ، والمديرين التنفيذيين في إجازة. وصل إلى مقر الشركة ، وتظاهر بنسيان مفاتيحه ، وبطاقة عمل مزورة وسلوكًا واثقًا وهادئًا. سمح له الحارس بالدخول. وعندما وصل إلى الطابق الذي يعمل فيه الموظفون ، ادعى أنه نسي بطاقة عمله وسمح له أحد أصدقائه بالدخول. اكتشفت أن مكتب المدير المفوض لم يكن مغلقًا للتنظيف ، لذلك اتصلت بالقسم الفني من امتداد هذا المكتب وأخبرت موظفًا لم يتعامل مع المدير مطلقًا أنه نسي كلمة المرور الخاصة به وكان في مشكلة. كنت هناك. المهاجم) ، وجمع المعلومات اللازمة ، ثم ابتعد بهدوء دون إثارة الشكوك بعد تحقيق الهدف. مرحبًا بك في عالم الهندسة الاجتماعية.
هندسة اجتماعية. ما هذا؟
عندما يتحدث معظم الناس عن أنظمة أمن المعلومات ، فإن أول ما يتبادر إلى الذهن هو برامجهم وأنظمتهم الإلكترونية. أي برامج الحماية من الاختراقات والفيروسات والجدران النارية وما إلى ذلك. العنصر البشري هو أهم عنصر في أي نظام أمني سواء أكان إلكترونيًا أم لا ، وهو أيضًا العنصر الأضعف لأنه لا يمكن "برمجته" وضمان عدم ارتكاب الأخطاء. لقد نسيت
الهندسة الاجتماعية هي مجموعة من التقنيات المستخدمة لإقناع الناس باتخاذ إجراءات تفتح ثغرات أمنية أو تكشف عن معلومات سرية. يمكن استخدامه في أنشطة احتيالية على الإنترنت أو على الأرض ويركز بشكل أساسي على مهاجمة شخص واستغلال نقاط ضعف ذلك الشخص للحصول على معلومات مهمة. يتيح ذلك للمهندسين الاجتماعيين (المهاجمين) اقتحام المباني أو الأنظمة أو الحسابات لتحقيق أهدافهم. المزايا الأخلاقية أو المادية أو المتعلقة بالسلامة. هذا لا يتطلب مهارات تقنية متقدمة. غالبًا ما يتم تمييز "المتسللين" أو "المتسللين" بمهاراتهم البرمجية ولديهم معرفة حاسوبية واسعة بالثغرات الأمنية المتعلقة بالأجهزة وأنظمة التشغيل والشبكات والتكنولوجيا. ما يحتاجه المهاجمون هنا ليس المعرفة التقنية ، بل المهارات الاجتماعية والتسويق والإقناع لخداع الضحايا لأخذ ما يريدون دون إثارة الشكوك. في الواقع ، فإن حصوله على المعلومات بهذه الطريقة ليس غير قانوني في حد ذاته. لأنه لا توجد قوانين ضد إفشاء الأشخاص لأسرارهم الشخصية (ليس هذا هو الحال مع الأسرار التجارية). والأهم من ذلك ، لا يوجد قانون أو تشريع يجرم الاستماع إلى شخص يختار إفشاء المعلومات لك.
في الولايات المتحدة ، من أجل زيادة الوعي الأمني ، يتنافس المتسللون الذين يعتمدون فقط على الأدوات التقنية والمتسللين الذين يستخدمون الهندسة الاجتماعية للتسلل إلى الشركات والهيئات الحكومية كل عام في لاس فيجاس ، ومن هنا جاء اسم المسابقة. حدد هدفًا قبل المنافسة مباشرةً ، ولكنه كافٍ لجمع المعلومات الضرورية عنه. تتم دعوة رؤساء أو ضباط أمن المعلومات في هذه الشركات للحضور حيث يخترق المتسللون دفاعاتهم من مسافة بعيدة أمام أعينهم. لاحظ أن المهندسين الاجتماعيين غالبًا ما ينجزون المهام بشكل أسرع من الفنيين. ومن أشهر المهندسين الاجتماعيين فرانك أباجنال ، وديفيد بانون ، وبيتر فوستر ، وخالد الفيومي.
كيف تستعمل؟
اعتمادًا على درجة وعي الضحية وحساسية سطح الهجوم ، قد يستغرق الأمر ساعات أو أيام أو أسابيع أو شهور حتى يكتسب المهاجم الثقة اللازمة من الضحية للتخطيط لهذه الهجمات. قد يستغرق الأمر. يمكن القيام بذلك بعدة طرق ، بما في ذلك وجهًا لوجه أو الهاتف أو موقع الويب.
قال كيفن ميتنيك ، أحد أشهر المتسللين ، الذي نجح ذات مرة في اقتحام وزارة الدفاع الأمريكية (البنتاغون) ومؤلف الكتاب الشهير فن الخداع: استغلال نقاط الضعف البشرية ، مثل الجشع ، والجشع ، وحب مساعدة الآخرين ، والميل إلى الظهور كمالك للعالم ، والسلطة ، والمعرفة. تقوم فلسفة الهندسة الاجتماعية على حرماننا من التفكير الدقيق الذي نواجهه مع العالم لبضع دقائق ، حتى نتمكن من حماية أنفسنا وممتلكاتنا وعائلاتنا. عندما نتعب أو يصرف انتباهنا عن طريق الإقناع ، والثناء ، والاقتراح ، والفكاهة ، والتحفيز ، والإغواء ، وغيرها من المهارات الاجتماعية ، يمنعنا ذلك من رؤية الخطر المحتمل.
الطريقة الأكثر أهمية
• الاحتيال عبر الهاتف. لذلك ، فإن أعلى نسبة من هذه الهجمات هم من المهندسين الاجتماعيين الذين يزعمون أنهم ممثلون لشركات تجري استطلاعات لأغراض البحث ، أو ممثلين عن الحكومات لغرض جمع الإحصائيات.أو يزعمون أنهم مندوب مبيعات يحاول إقناع العميل. الضحايا الذين يشترون منتجات بأسئلة تبدو غير ضارة.
• الهندسة الاجتماعية العكسية ، غالبًا باستخدام الهاتف. الوضع هنا أكثر خطورة. يدعي المهاجم أنه شخص له منصب وسلطة داخل نفس المنظمة ، مما يربك الموظفين الصغار ويخبرهم بما يريده. إذا نجح الأمر وسار كل شيء وفقًا للخطة ، فإن المهاجم لديه فرصة جيدة للحصول على معلومات قيمة من الضحية. هذه الطريقة معقدة نسبيًا لأنها تعتمد على درجة الإعداد المسبق وكمية المعلومات التي يمتلكها المهاجم.
• إساءة استخدام المعلومات التي يتم تصويرها أو طباعتها أو وضعها في سلة مهملات السكرتير. قد يكون الاحتيال في هذه الحالة هو اقتحام هذه المباني المحصنة. يتم ذلك من خلال الادعاء بأنهم طاقم صيانة أو تنظيف ، كما يظهر في العديد من الأفلام. إذا كان الهدف يستحق كل هذا العناء ، فيمكن للمهاجمين رسميًا البحث عن هذه الوظيفة لفرص جمع المعلومات عن طريق البحث عن القمامة أو التنصت على المكالمات والاجتماعات دون إثارة الشكوك.
• رسائل البريد الإلكتروني. يتلقى الضحايا رسائل تدعي فوزهم بجوائز أو تدعي أنهم من مؤسسات (بنوك) أو حكومات مؤهلة عبر صفحات لا يبدو أنها مزيفة للمستخدم العادي. تطالبك بإدخال البيانات مباشرة. تسمى هذه العملية التصيد الاحتيالي ، وهي تغطي العديد من أنواع الهجمات المختلفة.
• الإنترنت بشكل عام. تشكل شبكة الويب العالمية منجمًا ضخمًا للمعلومات ، تضاعف حجمه مع ظهور الشبكات الاجتماعية. تجعل الشبكات الاجتماعية من السهل جدًا على العديد من المستخدمين استعراض معلوماتهم الشخصية ومشاركتها مع الآخرين من خلالها. عمل مهندس اجتماعي. شخص ما يتصل بك ويدعي أنه من رئيسك في العمل أو من عائلتك ، ويقول إنهم يعرفون أنك حاليًا في إجازة في تركيا ، على سبيل المثال ، وتسمية زميل إذا كنت كذلك. إذا كنت تثق به ، فستتمحور المحادثة حول الأشياء التي تهمك ، مثل الرياضة أو السياحة ، وخلال هذه المحادثة سوف تنسى حجوزاتك الطبيعية وتتخلى عنها.الفرصة ناضجة للهجوم والاستخراج إذا قمت بعمل معلومات لم تكن لديك يتم تقديمها إذا طلب ذلك مباشرة من قبل شخص غريب.
بعض أشكال الهندسة الاجتماعية ليس لها هدف محدد ، لكن يمكنها البحث عن الحب والتعاطف الذي تفتقر إليه الحياة الواقعية من خلال خداع الآخرين للاعتقاد بأنهم شخص آخر. ليس من المستغرب أن تكون هناك العديد من الحسابات المزيفة على الشبكات الاجتماعية مخفية وراء أشخاص هدفهم إقامة علاقات مع الآخرين. تُعرف هذه العملية باسم catfishing. في الفيلم الوثائقي الذي يحمل نفس الاسم (Catfish) ، يروي المصور شيلمان قصة الوقوع في حب فتاة ، على الرغم من أنها تخيلتها فيما بعد وابتكرتها والدة الفتاة للهروب منها ، اكتشفت ذلك. تعتني بطفلين معاقين بشدة.
والفن له حضور
لم يكن الفن السابع بعيدًا عن معالجة هذا الموضوع المثير وتحذير العالم من أخطاره. هنا مثالان مشهوران. الأول هو فيلم Catch Me If You Can. يحكي هذا الفيلم من بطولة ليوناردو دي كابريو قصة أحد أشهر المهندسين الاجتماعيين ، فرانك أباجنيل ، الذي يهرب من المنزل عندما كان مراهقًا ويطلق على نفسه بنجاح مهنة. كابتن طائرة جمع مبلغًا كبيرًا من المال أثناء سفره حول العالم ، تمكن من الاختباء من الشرطة كمدرس وطبيب ، وبالادعاء بممارسة هذه المهن الصعبة ، قبل خداع من حولك. يمكن للشرطة القبض عليه. الفيلم الثاني هو "The Thomas Crown Affair" بطولة بيرس بروسنان. يلعب بيرس بروسنان دور مليونير يشعر بالملل مصممًا على سرقة لوحة نادرة من متحف في نيويورك. من خلال زياراته المتكررة مع غيره تنجح مهاراته في الهندسة الاجتماعية في تحقيق ما يرغب فيه.
كيفية التعامل معها؟
تعد الهندسة الاجتماعية من أكبر المشكلات التي تواجه الشركات اليوم. لأنه لا توجد طريقة لاختبار وضمان عدم ارتكاب البشر للأخطاء ، كما هو الحال مع البرامج وجدران الحماية. أيضًا ، من المشاكل الرئيسية في عالم الأمن الإلكتروني العام اليوم أن موظفي الشركة يتغيرون بشكل متكرر أكثر من الماضي. بدم شابة ، ومهارات جديدة ، وحاجة مستمرة لخبرة متنوعة ، خاصة في المجال التقني ، ينتقل الأشخاص من شركة إلى أخرى بسرعة كبيرة ، ولدى شركة واحدة فروع متعددة وقد لا يعرف أعضاؤها بعضهم البعض على الإطلاق ، أو قد لا يعرفون بعضهم البعض على الإطلاق. يعرفون بعضهم البعض فقط من خلال الاتصالات الإلكترونية حيث ليس من الصعب إخفاء هوياتهم. لا تقوم جميع الشركات بفحص المتقدمين بدقة ، مما يجعل من الصعب على المهاجم اقتحام قلب شركة أو مخازن بيانات حساسة لمجرد أنهم موظفين. ليس كذلك. في كثير من الحالات ، تنجح الهجمات الإلكترونية بالتعاون المباشر (العملاء الداخليون) أو عن طريق الخطأ ، بمساعدة شخص ما داخل الشركة أو المنظمة ، كما في حالة ضحايا الهندسة الاجتماعية.
لذلك فإن الوعي والتدريب هما أكثر الطرق فعالية لحماية المؤسسات والشركات التي تستهدفها صواريخ الهندسة الاجتماعية. لا يمكن لأي شخص ، مهما كان موقعه في الشركة ، الوصول إلى كلمات المرور أو المعلومات الخاصة به ، إلا بعد تثقيف الموظفين حول الأساليب التي يمكن للمهندسين الاجتماعيين استخدامها لاستخراج المعلومات منهم والتحقق من هوياتهم بطريقة عملية. أحذرك من عدم لتقديمها لأي شخص.، والاقتصاد في توزيع المعلومات الشخصية في وسائل الاتصال الاجتماعية. لاختبار متانة أجهزة الكشف عن الحرائق ، يمكنك إجراء اختبارات دورية مماثلة لتلك التي يتم إجراؤها بشكل مستمر.
ثانيًا ، عندما يتم تعيين شخص جديد ، سواء على أساس دائم ، أو بعقد مؤقت ، أو من خلال شركة خارجية ، يجب أن يتم البحث عنه بعناية من خلال الاستفسار والبحث عن أي شيء مريب في خلفيته. لا
هذا لا يعني أن هناك حصانة كاملة. عندما يتعلق الأمر بأمن المعلومات ، فإن العلاقة بين الاثنين مباشرة: يواصل المجرمون ابتكار أساليب جديدة للتطفل ويستمر الخصوم في محاولة توقع الهجمات بالتطعيمات. لكن الوقاية خير من العلاج دائمًا.
الهندسة الاجتماعية هي فن اختراق العقل.
الهندسة الاجتماعية هو الاسم الذي يطلق على نمط "الاحتيال" الذي يستغل نقاط الضعف العاطفية للضحية. هذا الشكل من التعدي على الخصوصية والمعلومات ، والذي يجب حمايته جيدًا ، يشكل خطرًا خاصًا على أمن الشركات والأعمال ، وبالتالي فهو موضوع بحث علمي يسعى للكشف عن أساليبها وأسلحتها. حتى أن البعض يعتبر المهندسين الاجتماعيين أكثر خطورة من قراصنة المعلومات الإلكترونية اليوم.
كيف يمكنك أن تقرر اقتحام شركة شحن واستخدام الحد الأدنى من المهارات التقنية لتحقيق النجاح بطريقة سلمية. قام الجاني أولاً بالبحث في الشركة على الإنترنت وتعرف على رقم ضابط شؤون الموظفين من هناك. بعد المكالمة ، تعرف على أسماء أهم الأشخاص في الشركة ، وأسماء الموظفين في بعض الإدارات ، والمديرين التنفيذيين في إجازة. وصل إلى مقر الشركة ، وتظاهر بنسيان مفاتيحه ، وبطاقة عمل مزورة وسلوكًا واثقًا وهادئًا. سمح له الحارس بالدخول. وعندما وصل إلى الطابق الذي يعمل فيه الموظفون ، ادعى أنه نسي بطاقة عمله وسمح له أحد أصدقائه بالدخول. اكتشفت أن مكتب المدير المفوض لم يكن مغلقًا للتنظيف ، لذلك اتصلت بالقسم الفني من امتداد هذا المكتب وأخبرت موظفًا لم يتعامل مع المدير مطلقًا أنه نسي كلمة المرور الخاصة به وكان في مشكلة. كنت هناك. المهاجم) ، وجمع المعلومات اللازمة ، ثم ابتعد بهدوء دون إثارة الشكوك بعد تحقيق الهدف. مرحبًا بك في عالم الهندسة الاجتماعية.
هندسة اجتماعية. ما هذا؟
عندما يتحدث معظم الناس عن أنظمة أمن المعلومات ، فإن أول ما يتبادر إلى الذهن هو برامجهم وأنظمتهم الإلكترونية. أي برامج الحماية من الاختراقات والفيروسات والجدران النارية وما إلى ذلك. العنصر البشري هو أهم عنصر في أي نظام أمني سواء أكان إلكترونيًا أم لا ، وهو أيضًا العنصر الأضعف لأنه لا يمكن "برمجته" وضمان عدم ارتكاب الأخطاء. لقد نسيت
الهندسة الاجتماعية هي مجموعة من التقنيات المستخدمة لإقناع الناس باتخاذ إجراءات تفتح ثغرات أمنية أو تكشف عن معلومات سرية. يمكن استخدامه في أنشطة احتيالية على الإنترنت أو على الأرض ويركز بشكل أساسي على مهاجمة شخص واستغلال نقاط ضعف ذلك الشخص للحصول على معلومات مهمة. يتيح ذلك للمهندسين الاجتماعيين (المهاجمين) اقتحام المباني أو الأنظمة أو الحسابات لتحقيق أهدافهم. المزايا الأخلاقية أو المادية أو المتعلقة بالسلامة. هذا لا يتطلب مهارات تقنية متقدمة. غالبًا ما يتم تمييز "المتسللين" أو "المتسللين" بمهاراتهم البرمجية ولديهم معرفة حاسوبية واسعة بالثغرات الأمنية المتعلقة بالأجهزة وأنظمة التشغيل والشبكات والتكنولوجيا. ما يحتاجه المهاجمون هنا ليس المعرفة التقنية ، بل المهارات الاجتماعية والتسويق والإقناع لخداع الضحايا لأخذ ما يريدون دون إثارة الشكوك. في الواقع ، فإن حصوله على المعلومات بهذه الطريقة ليس غير قانوني في حد ذاته. لأنه لا توجد قوانين ضد إفشاء الأشخاص لأسرارهم الشخصية (ليس هذا هو الحال مع الأسرار التجارية). والأهم من ذلك ، لا يوجد قانون أو تشريع يجرم الاستماع إلى شخص يختار إفشاء المعلومات لك.
في الولايات المتحدة ، من أجل زيادة الوعي الأمني ، يتنافس المتسللون الذين يعتمدون فقط على الأدوات التقنية والمتسللين الذين يستخدمون الهندسة الاجتماعية للتسلل إلى الشركات والهيئات الحكومية كل عام في لاس فيجاس ، ومن هنا جاء اسم المسابقة. حدد هدفًا قبل المنافسة مباشرةً ، ولكنه كافٍ لجمع المعلومات الضرورية عنه. تتم دعوة رؤساء أو ضباط أمن المعلومات في هذه الشركات للحضور حيث يخترق المتسللون دفاعاتهم من مسافة بعيدة أمام أعينهم. لاحظ أن المهندسين الاجتماعيين غالبًا ما ينجزون المهام بشكل أسرع من الفنيين. ومن أشهر المهندسين الاجتماعيين فرانك أباجنال ، وديفيد بانون ، وبيتر فوستر ، وخالد الفيومي.
كيف تستعمل؟
اعتمادًا على درجة وعي الضحية وحساسية سطح الهجوم ، قد يستغرق الأمر ساعات أو أيام أو أسابيع أو شهور حتى يكتسب المهاجم الثقة اللازمة من الضحية للتخطيط لهذه الهجمات. قد يستغرق الأمر. يمكن القيام بذلك بعدة طرق ، بما في ذلك وجهًا لوجه أو الهاتف أو موقع الويب.
قال كيفن ميتنيك ، أحد أشهر المتسللين ، الذي نجح ذات مرة في اقتحام وزارة الدفاع الأمريكية (البنتاغون) ومؤلف الكتاب الشهير فن الخداع: استغلال نقاط الضعف البشرية ، مثل الجشع ، والجشع ، وحب مساعدة الآخرين ، والميل إلى الظهور كمالك للعالم ، والسلطة ، والمعرفة. تقوم فلسفة الهندسة الاجتماعية على حرماننا من التفكير الدقيق الذي نواجهه مع العالم لبضع دقائق ، حتى نتمكن من حماية أنفسنا وممتلكاتنا وعائلاتنا. عندما نتعب أو يصرف انتباهنا عن طريق الإقناع ، والثناء ، والاقتراح ، والفكاهة ، والتحفيز ، والإغواء ، وغيرها من المهارات الاجتماعية ، يمنعنا ذلك من رؤية الخطر المحتمل.
الطريقة الأكثر أهمية
• الاحتيال عبر الهاتف. لذلك ، فإن أعلى نسبة من هذه الهجمات هم من المهندسين الاجتماعيين الذين يزعمون أنهم ممثلون لشركات تجري استطلاعات لأغراض البحث ، أو ممثلين عن الحكومات لغرض جمع الإحصائيات.أو يزعمون أنهم مندوب مبيعات يحاول إقناع العميل. الضحايا الذين يشترون منتجات بأسئلة تبدو غير ضارة.
• الهندسة الاجتماعية العكسية ، غالبًا باستخدام الهاتف. الوضع هنا أكثر خطورة. يدعي المهاجم أنه شخص له منصب وسلطة داخل نفس المنظمة ، مما يربك الموظفين الصغار ويخبرهم بما يريده. إذا نجح الأمر وسار كل شيء وفقًا للخطة ، فإن المهاجم لديه فرصة جيدة للحصول على معلومات قيمة من الضحية. هذه الطريقة معقدة نسبيًا لأنها تعتمد على درجة الإعداد المسبق وكمية المعلومات التي يمتلكها المهاجم.
• إساءة استخدام المعلومات التي يتم تصويرها أو طباعتها أو وضعها في سلة مهملات السكرتير. قد يكون الاحتيال في هذه الحالة هو اقتحام هذه المباني المحصنة. يتم ذلك من خلال الادعاء بأنهم طاقم صيانة أو تنظيف ، كما يظهر في العديد من الأفلام. إذا كان الهدف يستحق كل هذا العناء ، فيمكن للمهاجمين رسميًا البحث عن هذه الوظيفة لفرص جمع المعلومات عن طريق البحث عن القمامة أو التنصت على المكالمات والاجتماعات دون إثارة الشكوك.
• رسائل البريد الإلكتروني. يتلقى الضحايا رسائل تدعي فوزهم بجوائز أو تدعي أنهم من مؤسسات (بنوك) أو حكومات مؤهلة عبر صفحات لا يبدو أنها مزيفة للمستخدم العادي. تطالبك بإدخال البيانات مباشرة. تسمى هذه العملية التصيد الاحتيالي ، وهي تغطي العديد من أنواع الهجمات المختلفة.
• الإنترنت بشكل عام. تشكل شبكة الويب العالمية منجمًا ضخمًا للمعلومات ، تضاعف حجمه مع ظهور الشبكات الاجتماعية. تجعل الشبكات الاجتماعية من السهل جدًا على العديد من المستخدمين استعراض معلوماتهم الشخصية ومشاركتها مع الآخرين من خلالها. عمل مهندس اجتماعي. شخص ما يتصل بك ويدعي أنه من رئيسك في العمل أو من عائلتك ، ويقول إنهم يعرفون أنك حاليًا في إجازة في تركيا ، على سبيل المثال ، وتسمية زميل إذا كنت كذلك. إذا كنت تثق به ، فستتمحور المحادثة حول الأشياء التي تهمك ، مثل الرياضة أو السياحة ، وخلال هذه المحادثة سوف تنسى حجوزاتك الطبيعية وتتخلى عنها.الفرصة ناضجة للهجوم والاستخراج إذا قمت بعمل معلومات لم تكن لديك يتم تقديمها إذا طلب ذلك مباشرة من قبل شخص غريب.
بعض أشكال الهندسة الاجتماعية ليس لها هدف محدد ، لكن يمكنها البحث عن الحب والتعاطف الذي تفتقر إليه الحياة الواقعية من خلال خداع الآخرين للاعتقاد بأنهم شخص آخر. ليس من المستغرب أن تكون هناك العديد من الحسابات المزيفة على الشبكات الاجتماعية مخفية وراء أشخاص هدفهم إقامة علاقات مع الآخرين. تُعرف هذه العملية باسم catfishing. في الفيلم الوثائقي الذي يحمل نفس الاسم (Catfish) ، يروي المصور شيلمان قصة الوقوع في حب فتاة ، على الرغم من أنها تخيلتها فيما بعد وابتكرتها والدة الفتاة للهروب منها ، اكتشفت ذلك. تعتني بطفلين معاقين بشدة.
والفن له حضور
لم يكن الفن السابع بعيدًا عن معالجة هذا الموضوع المثير وتحذير العالم من أخطاره. هنا مثالان مشهوران. الأول هو فيلم Catch Me If You Can. يحكي هذا الفيلم من بطولة ليوناردو دي كابريو قصة أحد أشهر المهندسين الاجتماعيين ، فرانك أباجنيل ، الذي يهرب من المنزل عندما كان مراهقًا ويطلق على نفسه بنجاح مهنة. كابتن طائرة جمع مبلغًا كبيرًا من المال أثناء سفره حول العالم ، تمكن من الاختباء من الشرطة كمدرس وطبيب ، وبالادعاء بممارسة هذه المهن الصعبة ، قبل خداع من حولك. يمكن للشرطة القبض عليه. الفيلم الثاني هو "The Thomas Crown Affair" بطولة بيرس بروسنان. يلعب بيرس بروسنان دور مليونير يشعر بالملل مصممًا على سرقة لوحة نادرة من متحف في نيويورك. من خلال زياراته المتكررة مع غيره تنجح مهاراته في الهندسة الاجتماعية في تحقيق ما يرغب فيه.
كيفية التعامل معها؟
تعد الهندسة الاجتماعية من أكبر المشكلات التي تواجه الشركات اليوم. لأنه لا توجد طريقة لاختبار وضمان عدم ارتكاب البشر للأخطاء ، كما هو الحال مع البرامج وجدران الحماية. أيضًا ، من المشاكل الرئيسية في عالم الأمن الإلكتروني العام اليوم أن موظفي الشركة يتغيرون بشكل متكرر أكثر من الماضي. بدم شابة ، ومهارات جديدة ، وحاجة مستمرة لخبرة متنوعة ، خاصة في المجال التقني ، ينتقل الأشخاص من شركة إلى أخرى بسرعة كبيرة ، ولدى شركة واحدة فروع متعددة وقد لا يعرف أعضاؤها بعضهم البعض على الإطلاق ، أو قد لا يعرفون بعضهم البعض على الإطلاق. يعرفون بعضهم البعض فقط من خلال الاتصالات الإلكترونية حيث ليس من الصعب إخفاء هوياتهم. لا تقوم جميع الشركات بفحص المتقدمين بدقة ، مما يجعل من الصعب على المهاجم اقتحام قلب شركة أو مخازن بيانات حساسة لمجرد أنهم موظفين. ليس كذلك. في كثير من الحالات ، تنجح الهجمات الإلكترونية بالتعاون المباشر (العملاء الداخليون) أو عن طريق الخطأ ، بمساعدة شخص ما داخل الشركة أو المنظمة ، كما في حالة ضحايا الهندسة الاجتماعية.
لذلك فإن الوعي والتدريب هما أكثر الطرق فعالية لحماية المؤسسات والشركات التي تستهدفها صواريخ الهندسة الاجتماعية. لا يمكن لأي شخص ، مهما كان موقعه في الشركة ، الوصول إلى كلمات المرور أو المعلومات الخاصة به ، إلا بعد تثقيف الموظفين حول الأساليب التي يمكن للمهندسين الاجتماعيين استخدامها لاستخراج المعلومات منهم والتحقق من هوياتهم بطريقة عملية. أحذرك من عدم لتقديمها لأي شخص.، والاقتصاد في توزيع المعلومات الشخصية في وسائل الاتصال الاجتماعية. لاختبار متانة أجهزة الكشف عن الحرائق ، يمكنك إجراء اختبارات دورية مماثلة لتلك التي يتم إجراؤها بشكل مستمر.
ثانيًا ، عندما يتم تعيين شخص جديد ، سواء على أساس دائم ، أو بعقد مؤقت ، أو من خلال شركة خارجية ، يجب أن يتم البحث عنه بعناية من خلال الاستفسار والبحث عن أي شيء مريب في خلفيته. لا
هذا لا يعني أن هناك حصانة كاملة. عندما يتعلق الأمر بأمن المعلومات ، فإن العلاقة بين الاثنين مباشرة: يواصل المجرمون ابتكار أساليب جديدة للتطفل ويستمر الخصوم في محاولة توقع الهجمات بالتطعيمات. لكن الوقاية خير من العلاج دائمًا.
0 Yorumlar
0 hisse senetleri
10K Views
0 önizleme