أنواع هجمات الهندسة الاجتماعية

هجمات الهندسة الاجتماعية تتمحور حول استخدام المهاجم للإقناع والثقة، في مقالة سابقة تعرفنا على الهندسة الإجتماعية و مفهومها بطريقة مفصلة.

من بين معظم الهجمات، ستجد نفسك مضللاً في السلوكيات التالية:

زيادة المشاعر : يَمنح التلاعب العاطفي للمهاجمين اليد العليا في أي تعامل. لذلك فأنت أكثر عرضة لاتخاذ إجراءات غير عقلانية أو محفوفة بالمخاطر عندما تكون في حالة عاطفية، يتم استخدام جميع المشاعر التالية بشكل متساوٍ لإقناعك:

  • الخوف
  • الإثارة
  • حب الاستطلاع
  • الغضب
  • الذنب
  • الحزن

الاستعجال: الفرص أو الطلبات الحساسة للوقت هي أداة أخرى موثوقة في ترسانة المهاجم. قد يكون لديك

الدافع للتنازل عن نفسك تحت ستار مشكلة خطيرة تحتاج إلى اهتمام فوري. بدلاً من ذلك، قد تُعرض عليك جائزة

أو مكافأة قد تختفي إذا لم تتصرف بسرعة، كلا الأسلوبين يتجاوز قدرتك على التفكير النقدي.

الثقة: المصداقية لا تقدر بثمن وضرورية لهجوم الهندسة الاجتماعية نظراً لأن المهاجم يكذب عليك في النهاية، فإن الثقة تلعب دوراً مهماً هنا. لقد أجروا أبحاثاً كافية عنك لصياغة قصة يسهل تصديقها ومن غير المرجح أن تثير الشكوك.

هناك بعض الاستثناءات لهذه السمات، في بعض الحالات يستخدم المهاجمون أساليب أكثر بساطة في الهندسة الاجتماعية للوصول إلى الشبكة أو الكمبيوتر.

الآن بعد أن فهمت المفهوم الأساسي، ربما تتساءل “ما هي أنواع هجمات الهندسة الاجتماعية؟”

أنواع هجمات الهندسة الاجتماعية


يحتوي كل نوع من أنواع هجمات الأمن السيبراني تقريباً على نوع من أنواع هجمات الهندسة الاجتماعية على سبيل المثال، الرسائل المخادعة عبر البريد الإلكتروني والفيروسات التقليدية المليئة بالإيحاءات الاجتماعية.

يمكن أن تؤثر الهندسة الاجتماعية عليك رقمياً من خلال هجمات الأجهزة المحمولة بالإضافة إلى أجهزة سطح المكتب. ومع ذلك، يمكنك بسهولة أن تواجه تهديداً شخصياً. يمكن أن تتداخل هذه الهجمات وتتراكم على بعضها البعض لإنشاء عملية احتيال.

فيما يلي بعض الأساليب الشائعة التي يستخدمها مهاجمو الهندسة الاجتماعية:

الخداع الالكتروني(Phishing)


أنواع هجمات الهندسة الاجتماعية

الخداع الالكترونى هو محاولة للحصول على معلومات حساسة مثل أسماء المستخدمين وكلمات المرور

وتفاصيل بطاقة الائتمان غالباً لأسباب ضارة، وذلك بالتنكر ككيان جدير بالثقة في اتصال إلكتروني.

يُعد الخداع الالكترونى أحد الأساليب المعروفة إلى حد بعيد وهو مثال أساسي إلى حد ما وشائع

الاستخدام للهندسة الاجتماعية.

هذه التقنية هي الأكثر شيوعاً التي يتم إجراؤها عبر البريد الإلكتروني، وهي نوع من الاحتيال يتضمن

إقناع الضحية بأنك تطلب معلومات حساسة بشكل مشروع. يتضمن أحد أكثر أنواع هجمات التصيد الاحتيالي

شيوعاً مطالبة الضحايا “بالتحقق” من حساباتهم المصرفية أو معلومات PayPal لتجنب تعليق حساباتهم.

غالباً ما يشتري المهاجم أو المخادع نطاقاً (دومين) او اسم مصمماً لتقليد الموقع الرسمي، وغالباً ما تؤدي التناقضات

في عنوان URL إلى إخفاق العملية.

أصبح اكتشاف التصيد عبر الإنترنت والإبلاغ عنه أسهل بفضل تقنيات التصفية التي يستخدمها مزودو البريد الإلكتروني.

من الممارسات الجيدة أيضاً عدم إفشاء معلومات حساسة أو مالية عبر البريد الإلكتروني. لذلك عليك ان تضع في بالك انه لن تطلب منك أي مؤسسة شرعية القيام بذلك، عليك التحقق مرة أخرى من عناوين URL للتأكد من شرعيتها قبل إدخال بيانات اعتماد مهمة.

تقنيات الهاتف أو “Voice phishing


تتضمن الاستجابة الصوتية التفاعلية (IVR) أو التصيد الصوتي استخدام تقنيات مشابهة لتلك المذكورة أعلاه عبر الهاتف أو واجهة VoIP (وسيلة لربط المحادثات الصوتية عبر الإنترنت أو عبر أي شبكة تستخدم بروتوكول الانترنت                   Internet Protocol). هناك عدد من تقنيات التصيد الصوتي المختلفة، وهي:

  • الاتصال المباشر بالضحية باستخدام عملية احتيال تلقائية “تمت سرقة بطاقتك الائتمانية” أو “يلزم اتخاذ إجراء عاجل” ، ثم طلب “التحقق الأمني” لاستعادة الوصول العادي إلى الحساب.
  • إرسال بريد إلكتروني إلى الضحية، وإرشادهم إلى الاتصال برقم هاتف والتحقق من معلومات الحساب قبل منح حق الوصول.
  • استخدام تقنيات الهاتف التفاعلية المزيفة أو التفاعل البشري المباشر لاستخراج المعلومات، على سبيل المثال “اضغط 1 من أجل …” أو “أدخل رقم بطاقتك الائتمانية بعد الصافرة”.
  • الاتصال بالضحية وإقناعهم بوجود تهديد أمني على أجهزة الكمبيوتر وإرشادهم لشراء أو تثبيت برامج لإصلاح المشكلة (غالباً برامج ضارة).

الخداع الالكترونى عبر الرسائل القصيرة (SMS phishing)


قد تتضمن نصوص أو رسائل تطبيقات الجوال علي رابط ويب أو مطالبة بالمتابعة عبر بريد إلكتروني أو رقم هاتف احتيالي.

الخداع الالكترونى عبر البريد الإلكتروني (Email phishing)


يعد أكثر الوسائل التقليدية للتصيد الاحتيالي، وذلك باستخدام بريد إلكتروني يحثك على الرد أو المتابعة بوسائل أخرى. يمكن استخدام روابط الويب أو أرقام الهواتف أو مرفقات البرامج الضارة.

الاصطياد بالطُعم (Baiting)


هذه التقنية الخاصة تستغل واحدة من أعظم نقاط ضعف البشرية الفضول، من خلال ترك الوسائط المادية

عمداً سواء كانت قرصاً مرناً (ومن غير المحتمل وجوده هذه الأيام)، أو محرك أقراص USB يترك في مكان ما

من المحتمل اكتشافه، يجلس المحتال ببساطة وينتظر حتى يستخدم شخص ما الجهاز.

العديد من أجهزة الكمبيوتر تستخدم التشغيل التلقائي لأجهزة USB، لذلك عندما يتم تجميع برامج ضارة مثل

أحصنة طروادة أو keyloggers على USB، فمن الممكن أن يصاب الجهاز دون أن يدرك الضحية.

وغالباً ما يستخدم المحتالون مثل هذه الأجهزة بشعارات أو ملصقات رسمية قد تثير الاهتمام بالضحايا المحتملين.

التمثيل (Pretexting)


قد تستند الذرائع إلى أنصاف الحقيقة أو يتم تطويرها في سياق تلفيق مضلل. يتم استخدام الذرائع لإخفاء الغرض الحقيقي أو الأساس المنطقي وراء الأفعال والكلمات.

تتضمن هذه التقنية إقناع الضحية بالتخلي عن المعلومات باستخدام سيناريو مبتكر، عادة ما يتم اشتقاق السيناريو من المعلومات التي تم جمعها حول الضحية لإقناعهم بأن المحتال هو في الواقع شخصية رسمية أو موثوقة.

اعتماداً على المعلومات التي يبحث عنها المحتال، قد تتضمن الذريعة معلومات شخصية أساسية مثل عنوان المنزل أو تاريخ الميلاد، إلى معلومات أكثر تحديداً مثل مبالغ المعاملات على حساب مصرفي أو رسوم على فاتورة.

التتبع (Tailgating)


أحد الأساليب القليلة المدرجة هنا التي تنطوي على تورط المحتال جسدياً في الهجوم، يحدث التتبع عندما

يكون الوصول إلى مكان أو شيء ما محمي بجهاز إلكتروني، ويقوم المهاجم ببساطة بالمشي خلف شخص

يملك الوصول إليه. نشاهد مثل هذه الحوادث في الأفلام كثيراً، حيث يقوم موظف بمسح شارته على قفل البوابة،

وعند فتحها، يعبر شخصان قبل إغلاقها. على أي حال، على الواقع، يمكن أن يكون هذا ببساطة حمل صندوق كبير،

أو صينية توصيل طعام تؤخذ إلى الباب الخلفي حيث يقضي الموظفون فترات الاستراحة. هنا يأتي دور العاطفة

الإنسانية أمام المهاجم بفتح الباب له من قبل أحدهم، بغض النظر عن أن ذلك الباب يتطلب ميزة الوصول الخاصة بالموظفين.

خاتمة


إذا كنت تشك في أن شخصاً ما يحاول خداعك باستخدام الهندسة الاجتماعية، فيجب عليك إخطار السلطات و (إن أمكن) صاحب العمل. لا تقتصر الأساليب على ما تم ذكره في هذه المقالة يتم ابتكار حيل جديدة طوال الوقت لذا ابق على حذر، واسأل عن كل شيء ولا تقع ضحية لمحتال.

في مقالة اخرى يمكنك الإطلاع على كيفية اكتشاف الهجمات وكيفية منعها.

هل خضت أي جولات مع المهندسين الاجتماعيين؟ هل قامت شركتك بتثقيف القوى العاملة حول مخاطر الهندسة الاجتماعية؟ أضف أفكارك وأسئلتك في التعليقات أدناه.

يمكنك الإطلاع علي المقالة السابقة:

الهندسة الاجتماعية كل ما يمكن أن تعرفه عن فن اختراق العقول (التلاعب بالبشر)

 

أسامة الشيخ

مطور تطبيقات الويب، مطور أودو(ERP)، أعمل على تحسين محركات البحث (SEO)، لدي خبرة في ادارة الشبكات، مهتم بالتقنية بكافة جوانبها ومتابع لكل جديد بشكل دائم واتطلع لتطوير المحتوى العربي على شبكة الانترنت.

مقالات ذات صلة