الهندسة الاجتماعية… تلاعب و خداع

الهندسة الاجتماعية  بالإنجليزي Social engineering هي تقنية للتلاعب بنفسيات الاشخاص بغرض الحصول على معلومات عن هدف معين قد يكون شخص او نظام او أي شيئ آخر فهي لا تتطلب خبرة في علوم الحاسب فقط القدرة على الخداع لانها تستغل ثقة الشخص و ذلك بانشاء صداقات و التغلغل في حياته عندها يبدأ الهجوم الذي يتمثل في محاولة جمع أي معلومات مفيدة او غير مفيدة تساعد في اختراق الهدف الشبكات الاجتماعية كثر فيها هذا الهجوم حيث نشاهد بكثرة عملية ارسال الروابط التي تحتوي على اكواد خبيثة محملة ببرامج تجسس من قبل اصدقاء تربطنا بهم ثقة عمياء الكثير من مستخدمي الشبكات الاجتماعية  لايكتشف هذا النوع من الهجمات والتي يحدد معدل نجاحها بدرجة غباء الهدف لاكن هذا ليس الوجه الاقوى للهندسة الاجتماعية الشبكات الاجتماعية و محركات البحث ما هي الا ادوات فعلى سبيل المثال يمكن جمع معلومات عن هدف معين لنتخيله شركة نود اختراقها اولا عن طريق جوجل يمكن الحصول على ايميلات اشخاص يعملون في هذه الشركة و من ثم نبحث عن حسابات لهذه الايميلات في الشبكات الاجتماعية بعدها نقوم بانشاء اتصالات و صداقات ثم نبدأ الهجوم ثقة الانسان في اغلب الاحيان تتجسد في درجة معرفة الشخص بمحيط الهدف مثلا اذا كنت اعرف اين يسكن احمد و اصدقاؤه و اين يدرس و الأماكن التي يزورها و نوع الموسيقى التي يحب يمكنني انشاء صداقة معه و ارفع درجة الثقة اذا كان احمد يعمل بالشركة الهدف حينها سأبد الهجوم على أحمد للحصول على معلومات تساعدني في اختراق الشركة ماذا لو ذهبت مع احمد الى مقر الشركة عندها يمكنني ان اسمع حوارات الموظفين او اقوم بالنبش في سلة المهملات للحصول على اوراق رماها احد الموظفين وتحتوي على بعض المعلومات هناك شركات تمنع على موظفيها استخدام سلة المهملات التقليدية خوفا من هجمات الهندسة الاجتماعية  ما تحدثت عنه ليس الا تجسس سأضع نقطة على اهم ادواته و هي استخدام المرأة و التي لطالما كانت وراء ابرز عمليات التجسس على سبيل المثال قصص الراقصة ماتا هاري  فلو وظفنا امرأة لاقامة علاقة صداقة مع احمد حينها سيكون مردودها اكبر و المعلومات التي ستحصل عليها قد تكون حساسة  اذا تطورت العلاقة الى ابعد من الصداقة

بعض الطرق المشهورة للخداع

هنا سأعرض بعض الطرق التي يستخدمها المهاجم في الهندسة الاجتماعية

الصيد phishing :

من اشهر طرق الخداع للحصول على المعلومات الشخصية و الحساسة حيث يقوم المهاجم هنا بارسال ايميل مزيف ينتحل شخصية شركة او بنك للحصول على المعلومات و ايضا يمكن ان يستخدم موقع مزيف يشبه الموقع الاصلي كصفحة باي بال او فيسبوك مزيفة

على سبيل المثال ان يصلك هذا اللينك على الايميل:

www.facebook.com

ستعتقد انه موقع الفيسبوك لاكن الرابط سينقلك الى موقع يمثل صفحة محملة على سيرفر وتشبه الفيسبوك مصصمة للصيد

شاهدوا هذه الرسالة من فايرفوكس و التي تخبرني بأني احاول دخول الى موقع احتيال

عندما قمت بتجاهل الرسالة و دخلت على الموقع ظهرت صفحة تشبه الفيسبوك كليا

بعد ذلك قمت بتفحص معلومات الموقعين الموقع المزيف و كما هو موضح لا يمتلك شهادة امنية :

من ناحية اخرى الصورة التالية تبين ان موقع فيسبوك المزور لا يقوم بتشفير البيانات :

البرامج و التحديثات المزورة:

هل عانيت منها ؟ عندما تدخل موقع تظهر لك رسالة تقول يجب عليك تحميل مضاد الفيروسات هذا لانه قوي او تقول لك يجب عليك تحديث الفايرفوكس للحصول على الميزة الفلانية او عليك تحديث الفلاش بمجرد قبول الرسالة و الضغط على OK يتم تحميل تروجان الى جهازك الصورة التالية توضح رسالة لمضاد فيروسات مزيف rogueware :

في 2010 قامت جوجل باحصائية كانت نتيجتها وجود 11000 موقع يستضيف مضادات فيروسات مزورة هذه النوع من المواقع بدأ ينتشر بشكل رهيب في السنوات الاخيرة الصورة التالية تمثل مضاد فيروسات مزور يدعى DR Guard :

الحماية من هذه الهجمات

كما يقال الوقاية خير من العلاج اي هكر خبير لن تتمكن من اكتشافه لانه سيقوم بدراستك اولا بدون اي اتصال بك ثم بعد ذلك يقوم بالاتصال لاتوجد تقنيات او خطوات محددة للحماية من هذا الهجوم فقط احرص ان لا تعطي معلوماتك الشخصية في الاخير اقدم لك بعض المشاريع التي تقوم باحصاء مواقع phishing و كذلك مضادات الفيروسات والتحديثات المزورة :

موقع فيش تانك يمتلك قاعدة بيانات كبيرة لمواقع الصيد : www.phishtank.com

منظمة antiphishing هي منظمة لمكافحة مواقع الاحتيال : www.antiphishing.org

http://www.microsoft.com/security/pc-security/antivirus-rogue.aspx

4 تعليقات

Filed under Uncategorized

4 responses to “الهندسة الاجتماعية… تلاعب و خداع

  1. wooooooooooooooww , amazing , honestly now am scared ma3nahenyan for sure nouhakeyt millions of times

  2. عبدالرحيم الفاخوري

    لديك مشكلة في رابط موقع http://www.phishtank.com

اترك رد

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

شعار ووردبريس.كوم

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   /  تغيير )

Google photo

أنت تعلق بإستخدام حساب Google. تسجيل خروج   /  تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   /  تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   /  تغيير )

Connecting to %s