هندسة اجتماعية

ما هي الهندسة الاجتماعية Social Engineering؟

يميل البشر إلى الرغبة في مساعدة الآخرين. إنها طبيعتنا. إذا كنت موظف استقبال أو تعمل في مكتب مساعدة، فقد يكون ذلك جزءًا من وصف وظيفتك.

ومع ذلك، احذر من الهندسة الاجتماعية. ما هي الهندسة الاجتماعية؟ إنها التلاعب الخفي بالموظفين من أجل الوصول غير القانوني إلى المبنى والأنظمة والبيانات الخاصة بك.

الهندسة الاجتماعية هي القرصنة. لكنها ليست اختراقًا لشبكتك من خلال استغلال ثغرة تقنية. الهندسة الاجتماعية هي اختراق موظفيك، الطبقة العضوية من دفاعاتك.

شرح موقع Techopedia

يشترك معظمنا في خصائص متشابهة. لا أحد يحب أن يواجه مشاكل في العمل، ونحن نشعر بالأسف لأولئك الذين يواجهون مشاكل في العمل. نحن نميل إلى مساعدة الأشخاص الذين يصارعون المشاكل، حتى لو كان ذلك يعني أننا نحني القواعد قليلاً أو نخرق البروتوكول للحظة.

بل إننا نميل أكثر إلى القيام بذلك إذا كنا نحب أو نتعاطف مع الشخص الذي يعاني من المشكلة. كما أننا مشروطون أيضًا بطاعة رموز السلطة. نريد أن يُنظر إلينا على أننا قادرون على المساعدة ومستعدون لتقديم المساعدة.

يمكن لممثلي التهديد المهرة استغلال كل هذه السمات وإجبار الناس على فعل ما يريدون. إنه استغلال علم النفس البشري لتوجيه الغافلين إلى القيام ببعض الأعمال التي تعود بالنفع على الجاني.

قد تحدث هجمات الهندسة الاجتماعية في مكالمة هاتفية واحدة، أو قد تتم على مدى فترة من الزمن، وتكسب الثقة والقبول ببطء.

هدفهم هو تجاوز إجراءاتك الأمنية أو الالتفاف عليها.

ليس بالأمر الجديد

كانت الهندسة الاجتماعية موجودة منذ أن وُجد مخادعو الثقة. هناك تقنيات ناجحة، لذلك كان من المحتم أن يتم التقاطها واستخدامها من قبل الجهات الفاعلة في مجال التهديدات الإلكترونية.

فهي تعمل على صفات الناس المثيرة للإعجاب، مثل طيبتهم ورغبتهم في المساعدة، أو صفاتهم الرديئة، مثل الجشع والخوف.

قد ترغب جهة التهديد في

• الحصول على بطاقة ائتمان أو تفاصيل مالية أخرى.
• الحصول على بيانات اعتماد تسجيل الدخول لحساب مستخدم.
• تثبيت برمجيات خبيثة مثل برامج تسجيل المفاتيح بحيث يتم إرسال ضغطات مفاتيح الضحية إلى خادم جهة التهديد.
• تثبيت برنامج وصول عن بُعد يتيح لجهات التهديد الوصول إلى حاسوب الضحية.
• تثبيت برمجيات الفدية لابتزاز المال من الشركة.
• الوصول المادي إلى المبنى الخاص بك لزرع أجهزة سرية لتثبيت البرمجيات الخبيثة يدوياً أو سرقة الأجهزة.

على النقيض من العديد من الهجمات السيبرانية، تستهدف هجمات الهندسة الاجتماعية ضحاياها على وجه التحديد. هذا على النقيض من نوع هجمات “الرش والدعاء”، مثل هجمات التصيد الاحتيالي أو مسح المنافذ.

كيفية استخدام الجهات التخريبية للهندسة الاجتماعية

يمكن أن تتضمن هجمات الهندسة الاجتماعية المحادثات الهاتفية أو البريد الإلكتروني أو الحضور شخصيًا إلى مقر عملك. في كثير من الأحيان، يتم استخدام مزيج من هذه الأساليب لتناسب احتياجات الهجوم.

الاستطلاع

تقوم الجهات التخريبية بجمع المعلومات الاستخبارية عن الهدف داخل الشركة. فهم يراقبون موقع X ( تويتر سابقاً) و LinkedIn ويبحثون عن المعلومات التي تمنحهم الأفضلية. وسائل التواصل الاجتماعي سلاح ذو حدين. فما تبثه للعالم يمكن أن ينقلب ضدك بسهولة.

• قد يرى ممثل التهديد أن أحد كبار الموظفين سيكون خارج المكتب في مؤتمر. هذا هو نوع المعلومات التي يمكنهم استخدامها. إنه يعطي ممثل التهديد “مدخلاً”.
• سوف يتصلون ويطلبون التحدث إلى مساعد ذلك الشخص. ولأنهم يتحدثون عن حدث حقيقي، فلن يكون لدى السلطة الفلسطينية أي سبب للشك في أن المتصل محتال.
• إذا قام ممثل التهديد بـ “انتحال” معرف خط الاتصال، مما يجعل المكالمة تبدو وكأنها صادرة من رقم الهاتف الحقيقي للحدث، فإن الوهم يكون أكثر إقناعًا.
• سيقدمون مشكلة ويطلبون المساعدة لحلها. “لدينا سجل لحجزه ولكن لا يوجد سجل للإيداع أو الدفع. سأكون من أجل القفز العالي إذا لم أتمكن من حل هذه المشكلة قبل أن أنتهي من مناوبتي خلال العشر دقائق القادمة. أنا آمل حقاً أن تنقذني هل لديك تفاصيل بطاقة الائتمان التي تم الحجز بها حتى أتمكن من البحث عنها؟

الهجمات عبر الهاتف

غالباً ما تكون أبسط الهجمات هي الأفضل، والدعم الفني هو هدف شائع. فوظيفتهم هي حل المشاكل. يكرسون يوم عملهم لمحاولة تلبية احتياجات المتصل وإزالة المشاكل.

1. انتحال شخصية موظف جديد

• غالباً ما تنشر الشركات منشورات مثل هذه على لينكد إن أو تويتر. “مرحبًا بالعضو الجديد في الشركة، السيد الموظف الجديد. سينضم إلى فريق XYZ، إلخ.“
• يمكن لممثل التهديد أن يتصل بفريق الدعم الفني خارج ساعات العمل ويتظاهر بأنه ذلك الشخص. سيخبرهم أنه بدأ للتو العمل هناك – نعم، أنا في فريق XYZ – لكنه لا يستطيع الوصول إلى أنظمة المكتب من منزله.
• غالباً ما ينجح هذا السيناريو لأن الموظفين الجدد غالباً ما يواجهون مشاكل في التسنين. فليس من المتوقع أن يكونوا على دراية بالأنظمة بعد، ولن يكون الأمر مريبًا إذا لم يتمكنوا من الإجابة عن سؤال قد يُطرح عليهم. ولأنه خارج ساعات العمل، لن يكون هناك من يراجعهم أو يتحقق معهم.
• عادةً ما يقوم ممثل التهديد بإجراء المحادثة إلى النقطة التي يكون فيها أسهل شيء يقوم به رجال الدعم الفني هو إجراء إعادة تعيين كلمة المرور وإعطاء المتصل كلمة المرور الجديدة.

2. إشراك الدعم الفني في أمر حساس

• هناك حيلة أخرى تتمثل في الاتصال بالدعم الفني والتظاهر بأنه شخص من فريق التحقيقات الداخلية للموارد البشرية، والتصرف في مسألة حساسة وتتطلب أقصى درجات السرية. سيذكرون شخصًا حقيقيًا في العمل رفيع المستوى لدرجة أن مهندس الدعم الفني قد سمع عنهم بالتأكيد.
• “إنهم قيد التحقيق، لا يمكنني أن أخبرك لماذا، بالطبع، ولكننا بحاجة إلى قفل حسابهم على الفوروتعيين كلمة مرور جديدة عليه حتى يتمكن المدققون الخارجيون من الدخول، لكنه لا يستطيع. هذه هي كلمة المرور التي يجب استخدامها…”.
• بالطبع، قام ممثل التهديد ببساطة باختيار اسم من صفحة “تعرّف على الفريق” في الموقع الإلكتروني. تعمل هذه الحيلة من خلال جعل الشخص الذي يتم خداعه يشعر وكأنه طرف في شيء مهم وسري و”كبير”.

3. بناء قصة خلفية لمرفق خبيث

• هناك حيلة أخرى لا تقل بساطة وهي الاتصال بالدعم الفني والقيام بإجراءات وصف مشكلة في البريد الإلكتروني لممثل التهديد. مهما حاولوا، تظل المشكلة قائمة.
• سيعرض ممثل التهديد إرسال لقطة شاشة أو ملف سجل إلى مهندس الدعم من بريده الإلكتروني الشخصي، والذي بالطبع لا يزال يعمل.
• يستعد مهندس الدعم وينتظر البريد الإلكتروني، وبمجرد أن يستلمه مهندس الدعم، يفتح المرفق الخبيث على الفور. وقد نجح ممثل التهديد في تثبيت البرمجية الخبيثة على الشبكة.

4. انتحال شخصية الدعم الفني

يعد انتحال صفة الدعم الفني والاتصال بموظفين آخرين من الأمور المفضلة أيضاً. هناك العديد من الأشكال المختلفة لهذا الاحتيال.

• أحد الأساليب هو الاتصال بمكتب الاستقبال. يسألون عن اسم اختاروه من موقع LinkedIn أو أي مكان آخر. عندما يصلون إليهم، يشرحون لهم أنهم من الدعم الفني، أو من مركز البيانات البعيد، أو شيء مشابه.
• “يبدو أنكم تست هلكون مساحةالقرص الصلب على الخادم، هل تنسخون الكثير من البيانات أو شيء من هذا القبيل؟
• بالطبع، يجيب الشخص بالنفي. بعد المزيد من الأسئلة والكتابة المحمومة من قبل مهندس الدعم الفني، يستنتج أن حساب الموظف قد تم اختراقه. يبدو أن شخصًا ما يخزن بيانات الشركة جاهزًا لنسخها من الشبكة. وبصوت متحمس بشكل متزايد، يطلب منهم تسجيل الخروج والدخول مرة أخرى. “لا، لم يتغير شيء. لا يزال الأمر مستمراً.”
• يخبر موظف الدعم الفني، الذي كان يجهد نفسه بشكل مسموع ليبقى هادئًا، الموظف أنه سيقوم بإيقاف جميع العمليات الخاصة بهذا الحساب بالقوة.
• “لكن إذا فعلت ذلك، سأضطر إلى تسجيل دخولك مرة أخرى، لن تتمكن من القيام بذلك. ما هو اسم المستخدم الخاص بك؟ حسناً، شكراً وما هي كلمة مرورك الحالية؟ فهمت، حسناً، حسناً، سجل الخروج الآن.“
• بعد فترة توقف قصيرة، قال مهندس الدعم: “هذا رائع، لقد أوقفت الأمر. في الواقع، يمكنك تسجيل الدخول مرة أخرى والاستمرار بشكل طبيعي، لم أكن بحاجة إلى مسح حسابك بعد كل شيء.” سيكونون ممتنين للغاية ويشكرون الموظف على مساعدته. يجب أن يكونوا ممتنين. لقد حصلوا الآن على حساب يمكنهم استخدامه للوصول إلى شبكتك.

هذه أمثلة على هجمات الهندسة الاجتماعية الناجحة التي تحدث اليوم.

الهجمات الشخصية

يتيح الوصول المادي إلى مبانيك الفرصة لممثل التهديد فرصة تنفيذ مجموعة متنوعة من الإجراءات التي تزيد من تعريض أمنك للخطر.

1. انعكاس أنفاق SSH

عادةً ما تسمح جدران الحماية بخروج حركة المرور من الشبكة بشكل أسهل بكثير من دخول حركة المرور. جدران الحماية هي حراس الحدود، وينصب معظم اهتمامها على ما يدخل عبر الحدود. حركة المرور الخارجة غالباً ما تكون مصدر قلق ثانوي.

• يمكن لممثّل التهديد أن يصنع أجهزة من أجهزة كمبيوتر غير مكلفة أحادية اللوحة مثل Raspberry Pi، والتي بمجرد توصيلها بالشبكة، تقوم بإجراء اتصال صادر مشفّر بخادم ممثل التهديد. عادةً لا يتم تكوين جدار حماية لإيقاف ذلك.
• ثم يقوم ممثل التهديد بعد ذلك بإجراء اتصال مشفر مرة أخرى إلى الجهاز الذي زرعه باستخدام الاتصال المنشأ بالفعل من Raspberry Pi. وهذا يتيح له الوصول عن بعد إلى شبكتك. إنها تقنية تسمى نفق SSH عكسي.

يمكن إخفاء هذه الأجهزة السرية داخل مزودات طاقة الكمبيوتر المحمول القديمة أو غيرها من الأجهزة غير الضارة وتوصيلها بسرعة خلف المعدات مثل الطابعات الكبيرة.

تحتاج الطابعات إلى طاقة رئيسية ونقطة شبكة. عادةً ما يتم توفير نقاط الشبكة في أزواج، وكذلك نقاط الطاقة. تحتاج الطابعة إلى واحدة فقط من كل منهما. وخلف الطابعة توجد التوصيلات التي يحتاجها الجهاز ومكان جيد للإخفاء.

2. وحدات ذاكرة USB

قد يلتقط ممثل التهديد ببساطة جهاز كمبيوتر محمول ويخرج. قد يصيبون الشبكة ببرمجيات خبيثة من ذاكرة USB.

• قد يتركون وحدات ذاكرة USB مزروعة بالبرمجيات الخبيثة بالقرب من آلات القهوة، أو في دورات المياه، أو على المكاتب الشاغرة. عادةً ما تكون هناك مجموعة من المفاتيح مرفقة بوحدة الذاكرة USB.
• عندما يتم اكتشاف ذاكرة الـUSB، فإن السؤال الذي يدور في ذهن الموظف هو “من نسي مفاتيحه؟
• هذا التحول الطفيف في الموقف الذهني مهم. وضع المفاتيح في غير محلها مشكلة كبيرة. يريد الباحث أن يعيد المفاتيح إلى صاحبها. كيف يمكنهم معرفة ذلك؟ ربما هناك شيء ما على شريحة الذاكرة من شأنه أن يحدد هوية المالك.
• هناك ملفات على شريحة الذاكرة. قد تبدو كملف PDF أو مستند Word، لكنها برمجيات خبيثة مقنعة. إذا كانت تحمل عناوين لافتة للنظر مثل “خطط التكرار المرحلة 1″، فسيكون من المستحيل تقريبًا على الموظف عدم النقر عليها.
• من الممكن تشغيل البرامج تلقائيًا بمجرد إدخال محركات أقراص USB، مما يعني أن الموظف لا يحتاج حتى إلى النقر على أي شيء. ولكن إذا تم إيقاف التشغيل التلقائي – وهو ما يجب أن يكون كذلك – فإن وجود ملفات بعناوين لا تقاوم هي استراتيجية احتياطية شائعة.

وهناك نهج مماثل يتمثل في أن يقوم ممثل التهديد بجمع بعض المنشورات الترويجية من شركة حقيقية مثل شركة بريد سريع.

• يرفقون شريحة ذاكرة USB بكل واحدة منها. يظهر ممثل التهديد في مكتب الاستقبال ويسلم ثلاث أو أربع نسخ. يسأل موظف الاستقبال إذا كان لا يمانع في تمرير هذه النسخ إلى الشخص المسؤول عن الشحن.
• من شبه المؤكد أن موظف الاستقبال سيضع واحدة جانباً لنفسه، وبمجرد أن يغادر ممثل التهديد المبنى، سيجربها على جهاز الكمبيوتر الخاص به.

3. الدخول إلى مبنى الاستقبال

لتجاوز الاستقبال، تظاهر ممثلو التهديد بأنهم جميع أنواع أشخاص التوصيل. على سبيل المثال لا الحصر: شركة UPS، وموظفو بريد الولايات المتحدة، وعمال توصيل الزهور، وسعاة الدراجات النارية، وعمال توصيل البيتزا، وعمال توصيل الكعك المحلى. لقد تظاهروا بأنهم وكلاء مكافحة الحشرات، وعمال بناء، ومهندسي صيانة المصاعد.

• إن الوصول لعقد اجتماع مع شخص ما يعرف ممثل التهديد أنه غير موجود في المكتب (بفضل X أو LinkedIn) فعال بشكل مدهش. بالطبع، هو شخص كبير.
• يحاول موظف الاستقبال الاتصال بالموظف ويقول إنه لا يجيب على هاتفه. يقول ممثل التهديد إنهم توقعوا ذلك. لقد كانوا يتحدثون عن طريق الرسائل النصية، وقال الموظف إن اجتماعهم السابق يبدو أنه سيتجاوز موعده.
• “اقترحوا أن أنتظر في المقصف. سيأتون من أجلي عندما يتفرغون. هل يمكن لأحدكم أن يرشدني إلى مكانه، من فضلكم؟“
• في عملية التعقب، يستخدم منفذ التهديد دخول شخص آخر إلى المبنى كوسيلة للدخول من نفس الباب. تتمثل إحدى الحيل في الانتظار عند نقطة تدخين خارجية وإجراء محادثة. يعرّف ممثل التهديد عن نفسه. يحصلون على اسم الشخص الذي يتحدثون معه. ما يريدونه أن يحدث هو أن يصل أشخاص آخرون إلى نقطة التدخين بينما هم بالفعل في محادثة. سينتظرون حتى يعود الموظف الأول إلى المبنى. سيقولون لهم وداعاً ويخاطبونهم بالاسم.
• لن يتساءل الوافدون الجدد عما إذا كان هذا الشخص من الموظفين. فهو هنا في نقطة تدخينهم يضحك ويتحدث مع الموظفين الآخرين ويخاطبهم بالاسم.
• ثم يدردش ممثل التهديد مع الوافدين الجدد. يسألهم عما إذا كانوا يعرفون الشخص الذي غادر للتو ويخبرهم أنه شخص لطيف.
• عندما تعود الموجة الثانية من المدخنين إلى المبنى، يرافقهم ممثل التهديد. يسمحون للموظفين بإدخال الرمز السري الخاص بهم أو استخدام مفتاحهم أو مفتاحهم.
• عندما يُفتح الباب، سيقومون بإظهارهم وهم يبقون الباب مفتوحاً ويشيرون للموظفين الحقيقيين بالدخول. ثم يتبعهم إلى الداخل.

كيفية الحماية من الهندسة الاجتماعية

نحن نتعامل مع أشخاص، لذا، وغني عن القول أن الدفاعات تتمحور حول التدريب والسياسات والإجراءات.

• لعب الأدوار وتدريبات الفريق: تدرّب على الإجراءات مع الفرق، وفكر في تضمين جلسات لعب الأدوار من قبل مهندسين اجتماعيين ذوي خبرة وحميدة.
• شركات الأمن واختبار الاختراق: يمكن الاستعانة بشركات الأمن لاستخدام جميع التقنيات الموضحة هنا وأكثر لمحاولة اختراق دفاعاتك. حيث أن نجاح هجماتهم سترشدك في حال نجاحها في تشديد إجراءاتك الأمنية من خلال تحسين الإجراءات أو تطبيق المزيد من التحكم في الإجراءات الحالية. تمامًا مثل اختبار الاختراق الذي يختبر دفاعاتك التقنية، يجب اختبار قابلية الهندسة الاجتماعية للاختراق بشكل دوري. يمكنك اختيار دمج ذلك مع حملة تصيد احتيالي حميدة.
• أمان جهاز USB: أوقف التشغيل التلقائي لأجهزة USB. تعامل مع وحدات ذاكرة USB مجهولة الهوية مثل صندوق باندورا.
• سياسة الطلبات الخارجية: ضع سياسة للطلبات الخارجة عن الحدود. هذه هي الطلبات التي تخرق البروتوكول. يطلبون شيئًا لن تمتثل له عادة، لكنك قد تميل إلى ذلك لأنها حالة طارئة. أو لمرة واحدة. أو ظروف خاصة. أو أن هذا الشخص يحتاج حقاً إلى استراحة. لا تضع موظفيك في حيرة من أمرهم بين الرغبة في المساعدة وبين معرفة أنه لا ينبغي لهم ذلك. ضع إجراءً يمكنهم الالتزام به.
• عمليات فحص الشبكة وتحديد الأجهزة الجديدة: قم بإجراء عمليات فحص الشبكة وتحديد وفحص الأجهزة الجديدة التي تم توصيلها بالشبكة.
• حماية بيانات اعتماد تسجيل الدخول: لا تعطِ الدعم الفني – أو أي شخص آخر – بيانات اعتماد تسجيل الدخول الخاصة بك. لن يطلبوها أبداً. إذا طُلب منك هذا النوع من المعلومات، فهذا يعني أنهم محتالون.
• أمان المكالمات الهاتفية: إذا تلقيت اتصالاً هاتفياً يطلب منك معلومات حساسة كنت قد قدمتها سابقاً، فإن أكثر الأمور أماناً هو إنهاء المكالمة ومعاودة الاتصال بهم.
• سياسة مرافقة الزوار: لا تترك الزائرين دون مراقبة، ورافقهم دائماً. لا تدع الزوار ينتظرون في مكتب الاستقبال إلا في انتظار مرافقتهم.

إن تعزيز الثقافة الأمنية في شركتك سيؤتي ثماره وهو أساس نهج أمني متعدد الطبقات.