العربية

الأمن
الهندسة الاجتماعية
التصيد

الهندسة الاجتماعية

الهندسة الاجتماعية هي فن التلاعب بالأشخاص لدفعهم لتقديم معلومات سرية. كل جريمة سيبرانية تبدأ بهجوم هندسة اجتماعية. دعونا نلقي نظرة على كيفية عملها وكيفية حماية نفسك منها.

Simeng

Developer

11/6/2023

توقف عن إضاعة أسابيع في مصادقة المستخدم

أطلق تطبيقات آمنة بشكل أسرع مع Logto. قم بدمج مصادقة المستخدم في دقائق وركز على منتجك الأساسي.

ابدأ الآن

مقدمة

عندما يتعلق الأمر بالأمن السيبراني، يفكر معظم الناس في الهجمات التقنية مثل حقن SQL، أو البرمجة عبر المواقع، أو هجمات الشخص في المنتصف، أو البرمجيات الخبيثة. ومع ذلك، فإن الهجمات الأكثر شيوعًا وفعالية غالبًا ليست تقنية على الإطلاق. الهندسة الاجتماعية هي فن التلاعب بالأشخاص لدفعهم لتقديم معلومات سرية. كل جريمة سيبرانية تبدأ بهجوم هندسة اجتماعية.

هنا التعريف من Wikipedia:

في سياق أمن المعلومات، الهندسة الاجتماعية هي التلاعب النفسي بالأشخاص لأداء أفعال أو الكشف عن معلومات سرية. نوع من خدع الثقة لغرض جمع المعلومات أو الاحتيال أو الوصول إلى النظام، يختلف عن "الخدع" التقليدية في أنه غالبًا ما يكون واحدًا من العديد من الخطوات في خطة احتيال أكثر تعقيدًا.[1] كما تم تعريفه على أنه "أي عمل يؤثر على شخص لاتخاذ إجراء قد يكون أو لا يكون في مصلحته الفضلى."

قد تختلف أنواع المعلومات التي يبحث عنها هؤلاء المجرمون، ولكن عند استهداف الأفراد، يحاول المجرمون عادة خداعك لدفعك لمنحهم كلمات مرورك أو معلوماتك الشخصية أو الوصول إلى جهاز الكمبيوتر الخاص بك لتثبيت برامج خبيثة سرًا - مما سيعطيهم الوصول إلى كلمات مرورك ومعلوماتك البنكية وكذلك منحهم التحكم في جهاز الكمبيوتر الخاص بك.

كيف تعمل الهندسة الاجتماعية؟

تحدث هجمات الهندسة الاجتماعية في خطوة أو أكثر. تعتمد معظم هجمات الهندسة الاجتماعية على التواصل الفعلي بين المهاجمين والضحايا. وغالبًا ما يتعرض الضحايا للاستهداف بواسطة عدة مهاجمين لفترة طويلة من الزمن، حيث يتم صياغة الهجمات بعناية لتجنب الاكتشاف. تتضمن الهجوم الناجح الخطوات التالية:

البحث: يجمع المهاجم المعلومات عن الهدف، مثل النقاط المحتملة للدخول وبروتوكولات الأمان الضعيفة، اللازمة لتنفيذ الهجوم. في عالم اليوم، من السهل جدًا العثور على معلومات عن شخص ما عبر الإنترنت. على سبيل المثال، يمكنك العثور على عنوان بريد الشخص الإلكتروني ورقم الهاتف وحتى عنوان منزله على ملفه الشخصي على وسائل التواصل الاجتماعي. يمكنك أيضًا معرفة مكان عمله، وما يفعله، ومع من يعمل. يمكن استخدام هذه المعلومات لصياغة بريد تصيد أو مكالمة هاتفية مقنعين جدًا في الخطوة التالية.
الجذب: يستخدم المهاجم تلك المعلومات لإنشاء سيناريو يمكن تصديقه لجذب الشخص الهدف ليفعل ما يريده المهاجم. على سبيل المثال، قد يتصل المهاجم بالضحية مدعيًا أنه وكيل خدمة العملاء من البنك التابع للضحية، ويطلب منهم التحقق من معلومات حساباتهم. أو قد يتصل بموظف في شركة مدعيًا أنه شخص دعم المعلوماتية، ويطلب منهم إعادة تعيين كلمة المرور.
اللعب على العواطف: يلعب المهاجم على العواطف لجعل الضحية تتصرف فورًا دون تفكير. على سبيل المثال، قد يهدد المهاجم الضحية بغرامات أو عقوبات أو ملاحقات إذا لم يمتثلوا للطلب على الفور. أو قد ي appeal to the victim's greed, promising them a large sum of money or reward in exchange for their help.
التنفيذ: ينفذ المهاجم الهجوم، والذي يمكن أن يأخذ أشكالًا عديدة. على سبيل المثال، قد يخدع الضحية لتثبيت برامج ضارة على جهاز الكمبيوتر الخاص به.
- يتظاهر بخداع الضحية للكشف عن معلومات حساسة في بريد إلكتروني أو عبر الهاتف.
- يخدع الضحية لإرسال المال إلى المهاجم.
- يخدع الضحية للنقر على رابط ضار في بريد إلكتروني أو رسالة نصية.

قد تحدث الخطوات المذكورة أعلاه في فترة زمنية قصيرة جدًا، أو قد تحدث على مدار أسابيع أو شهور. قد يستهدف المهاجم شخصًا واحدًا، أو قد يستهدف مجموعة من الأشخاص. قد يتم إنشاء الاتصال من خلال مكالمة هاتفية، بريد إلكتروني، رسالة نصية، أو دردشات عبر وسائل التواصل الاجتماعي. لكن ينتهي الأمر في النهاية بإجراء تقوم به، مثل مشاركة معلوماتك أو تعريض نفسك للبرمجيات الضارة.

أنواع هجمات الهندسة الاجتماعية

هناك العديد من أنواع هجمات الهندسة الاجتماعية، ولكل منها غرضها وهدفها الخاص. إليك بعض أنواع الهجمات الاجتماعية الشائعة:

تصيد البريد العشوائي

تصيد البريد العشوائي هو النوع الأكثر شيوعًا من هجمات الهندسة الاجتماعية. إنه نوع من هجمات التصيد حيث يرسل المهاجم ملايين الرسائل الإلكترونية إلى أشخاص عشوائيين، على أمل أن يقع بعضهم في الفخ. غالبًا ما تُرسل الرسائل الإلكترونية من عنوان بريد إلكتروني زائف، وغالبًا ما تحتوي على رابط لموقع ويب ضار أو مرفق ضار. الهدف من الهجوم هو خداع الضحية للنقر على الرابط أو فتح المرفق، مما سيؤدي إلى تثبيت البرامج الضارة على جهاز الكمبيوتر الخاص بهم.

مثال

تخيل أنك تتلقى بريدًا إلكترونيًا غير مرغوب فيه في بريدك الوارد بعنوان مغري يدعي أنك ربحت جائزة نقدية كبيرة. عنوان البريد الإلكتروني يشير إلى أنك ربحت 1,000,000 دولار ويجب أن تطلب جائزتك على الفور.

عند فتح البريد الإلكتروني، تجد رسالة تهنئك على الفوز بك في السحب المزعوم. قد تحتوي الرسالة على وعود مبالغ فيها، مثل مبلغ مالي يغير الحياة. يحتوي البريد الإلكتروني عادةً على رابط أو معلومات اتصال لتطلب جائزتك.

كما يعرض هذا البريد الإلكتروني علامات تصيد البريد العشوائي الكلاسيكية:

غير مرغوب به: لم تشارك أبدًا في أي سحب أو مسابقة، لذلك لا ينبغي أن تربح أي جائزة.
أفضل من أن يكون صحيحًا: الوعد بمبلغ مالي كبير بدون سبب واضح هو تكتيك شائع لجذب الضحايا.
الضروري العمل العاجل: قد يدعي البريد الإلكتروني أنك يجب أن تتصرف بسرعة للمطالبة بجائزتك، مما يخلق إحساسًا بالإلحاح.
الطلبات للمعلومات الشخصية أو المال: للمطالبة بجائزتك، قد يُطلب منك تقديم معلومات شخصية، دفع رسوم، أو تحويل المال لتغطية تكاليف المعالجة المزعومة.

تصيد الحربة

تصيد الحربة هو نوع من هجمات التصيد حيث يستهدف المهاجم شخصًا معينًا أو مجموعة من الناس. سيقوم المهاجم بإجراء بحث عن الهدف ثم يرسل لهم بريدًا إلكترونيًا مخصصًا يبدو وكأنه جاء من مصدر موثوق. البريد الإلكتروني غالبًا ما يحتوي على رابط لموقع ضار أو مرفق ضار. الهدف من الهجوم هو خداع الضحية للنقر على الرابط أو فتح المرفق، مما سيؤدي إلى تثبيت البرامج الضارة على جهاز الكمبيوتر الخاص بهم. على خلاف تصيد البريد العشوائي، فإن هجمات تصيد الحربة مستهدفة للغاية ومخصصة، وتكون أكثر عرضة للنجاح.

مثال

في هذا السيناريو لتصيد الحربة، تتلقى بريدًا إلكترونيًا يبدو أنه من زميل أو شخص تعرفه. يحتوي البريد الإلكتروني على عنوان يشير إلى أنه إشعار أمني هام. ما يجعل تصيد الحربة مختلفًا عن التصيد العادي هو أن المهاجم يستهدف شخصًا معينًا وغالبًا ما يمتلك بعض المعرفة عن الهدف.

عند فتح البريد الإلكتروني، تجد رسالة تدعي أنها من مستشار تكنولوجيا المعلومات الخاص بك، تشارلز. يخاطبك البريد الإلكتروني باسمك الكامل ويذكر اختراقًا أمنيًا مزعومًا في حساب عملك. يطلب البريد منك النقر على رابط أو تنزيل مرفق لتأمين حسابك. تنقر على الرابط، ويأخذك إلى موقع يبدو بالضبط كصفحة تسجيل الدخول الخاصة بشركتك. تُدخل اسم المستخدم وكلمة المرور الخاصة بك، والآن يكون لدى المهاجم إمكانية الوصول إلى حسابك.

هذا البريد الإلكتروني يعرض علامات تصيد الحربة الكلاسيكية:

تخصيص: يخاطبك البريد الإلكتروني باسمك الكامل، مما يمنحه مظهرًا من الشرعية.
عاجل: ينقل الرسالة إحساسًا بالإلحاح، مما يشير إلى أنك بحاجة إلى اتخاذ إجراء فوري لمعالجة مشكلة أمنية.
طلبات العمل: يطلب البريد الإلكتروني منك النقر على رابط أو تنزيل مرفق. غالبًا ما تحتوي هذه الروابط أو المرفقات على برامج ضارة أو مواقع تصيد.

الطعم

الطعم هو نوع من هجمات الهندسة الاجتماعية حيث يقدم المهاجم شيئًا مغريًا للضحية مقابل معلوماتهم الشخصية. على سبيل المثال، قد يقدم المهاجم بطاقة هدية مجانية أو تحميل فيلم مجاني مقابل عنوان بريد الضحية الإلكتروني. الهدف من الهجوم هو خداع الضحية لتقديم معلوماتهم الشخصية، والتي يمكن للمهاجم استخدامها لسرقة هويتهم أو ارتكاب الاحتيال. يستفيد الهجوم من فضول الضحية أو طمعهم.

مثال

في هذا السيناريو للهجوم بالطعم، يترك المهاجمون وحدة ذاكرة USB في مكان عام، مثل مقهى أو ساحة انتظار سيارات. تكون وحدة الذاكرة USB مسماة "سري" أو "خاص"، وتحتوي على برنامج ضار سيتم تثبيته على جهاز الكمبيوتر الخاص بالضحية عند توصيله. الهدف من الهجوم هو خداع الضحية لتوصيل وحدة الذاكرة USB بجهاز الكمبيوتر الخاص بهم، مما سيثبت البرامج الضارة على جهاز الكمبيوتر الخاص بهم.

أنت توصل وحدة الذاكرة USB بجهاز الكمبيوتر الخاص بك، على أمل العثور على معلومات قيّمة. يبدو أنها تحتوي على ملف بعنوان "Confidential_Project_Data.csv". بينما تحاول فتح الملف، يطلق تشغيل نصًا خفيًا يصيب جهاز الكمبيوتر الخاص بك بالبرامج الضارة.

في هذا الهجوم بالطعم:

الطعم هو وحدة الذاكرة USB، التي توصف بـ "سري" أو "خاص" مما يجعلها مغرية لأي شخص يصادفها، خاصة في بيئة مهنية أو مكان العمل.
عامل الفضول: يُستغل الفضول البشري كضعف، مما يدفع الأفراد لاتخاذ إجراءات قد يتجنبونها عادةً.

حفر الماء

حفر الماء هو نوع من هجمات الهندسة الاجتماعية حيث يستهدف المهاجم مجموعة محددة من الأشخاص عن طريق إصابة موقع ويب هم من المرجح أن يزوروه. على سبيل المثال، قد يُصيب المهاجم موقع إخباري شائع أو موقع تواصل اجتماعي شائع. الهدف من الهجوم هو خداع الضحية لزيارة الموقع المصاب، مما سيؤدي إلى تثبيت البرامج الضارة على جهاز الكمبيوتر الخاص بهم.

مثال

تستهدف مجموعة من المهاجمين اختراق أمان جمعية صناعة معينة تمثل مجتمعًا من محترفي الأمن السيبراني. يعتزم المهاجمون سرقة البيانات الحساسة والتسلل إلى أنظمة الخبراء في الأمن السيبراني.

يحدد المهاجمون موقعًا شائعًا ومحترمًا يستخدمه هذا المجتمع. في هذه الحالة، يختارون الموقع الرسمي لجمعية صناعة الأمن السيبراني. يحدد المهاجمون ويستغلون ثغرة في موقع الجمعية الصناعية. قد يستخدمون طرقًا تقنية مثل حقن SQL أو البرمجة عبر المواقع (XSS) للحصول على وصول غير مصرح به إلى نظام إدارة محتوى الموقع. عندما يحصلون على الوصول إلى الموقع، يحقنون المهاجمون تعليمات برمجية ضارة في صفحات الموقع. هذه التعليمات البرمجية مصممة لتسليم برامج ضارة للزوار في الصفحات المصابة.

ثم ينتظر المهاجمون زيارة محترفي الأمن السيبراني للموقع. هم يعلمون أن العديد من خبراء الأمن السيبراني يتحققون بانتظام من الموقع للحصول على التحديثات، الأخبار، والموارد.

عندما يزور محترفو الأمن السيبراني موقع الجمعية للحصول على المقالات، حضور الويبنارز، أو تنزيل الموارد، يكشفون أجهزتهم عن غير قصد للبرامج الضارة المحقونة. قد تسرق البرامج الضارة المعلومات الحساسة، مثل بيانات الدخول أو المعلومات الشخصية. يمكن أن توفر أيضًا للمهاجمين موطئ قدم لشن هجمات أخرى بما في ذلك التصيد بالحربة أو استغلال الثغرات المعروفة في أنظمة الضحايا.

في هذا الهجوم بحفر الماء:

الحفر هو موقع الجمعية الصناعية، الذي هو وجهة شعبية لمحترفي الأمن السيبراني.
الجمهور المستهدف: يستهدف المهاجمون مجموعة معينة من الأشخاص، في هذه الحالة محترفي الأمن السيبراني.
استغلال الثقة: يستغل المهاجمون الثقة التي يوليها محترفو الأمن السيبراني لموقع الجمعية الصناعية.
استغلال الثغرات: يستغل المهاجمون الثغرات في نظام إدارة محتوى الموقع لحقن التعليمات البرمجية الضارة في صفحات الموقع.

كيف تحمي نفسك من هجمات الهندسة الاجتماعية

يتطلب حماية نفسك من هجمات الهندسة الاجتماعية مزيجًا من الوعي والشك وأفضل الممارسات. إليك بعض الخطوات الأساسية لحماية نفسك من هجمات الهندسة الاجتماعية:

تعليم نفسك: تعلم عن التكتيكات الشائعة للهندسة الاجتماعية، بما في ذلك التصيد الاحتيالي، والانتحال، والطعم، والتعقب الخلفي. ابق على اطلاع بأحدث تقنيات الهندسة الاجتماعية والاتجاهات.
التحقق من الهوية: تأكد دائمًا من هوية الأفراد أو المنظمات التي تطلب معلوماتك الشخصية أو الحساسة. لا تعتمد فقط على أرقام الهاتف أو البريد الإلكتروني أو المواقع التي يقدمها الشخص الذي يتصل بك. استخدم معلومات الاتصال الرسمية المستمدة بشكل مستقل من مصادر موثوقة.
استجواب الطلبات: كن شاكًا في الطلبات غير المرغوب فيها للحصول على معلومات شخصية أو مالية أو سرية. غالبًا لا تطلب المنظمات الشرعية هذه المعلومات عبر البريد الإلكتروني أو الهاتف. إذا طلب شخص ما معلومات حساسة، اسأل لماذا تحتاجها وكيف سيتم استخدامها.
احذر من الإلحاح والضغط: غالبًا ما ينشئ المتلاعبون الاجتماعيون إحساسًا بالإلحاح لدفعك لاتخاذ قرارات بدون تفكير. امنح نفسك الوقت للنظر في الطلبات أو العروض. تحقق من شرعية الوضع.
تأمين الوصول المادي: احمِ مكان عملك الفعلي من الوصول غير المصرح به. قم بقفل جهاز الكمبيوتر والأجهزة الخاصة بك عند عدم استخدامها. كن حذرًا عند السماح للأفراد غير المألوفين بالدخول إلى المناطق الآمنة.
تدريب الموظفين: إذا كنت جزءًا من منظمة، قدم تدريبًا على الوعي بالهندسة الاجتماعية للموظفين. علّم الموظفين كيفية التعرف على الأنشطة المشبوهة وتقديم التقارير عنها.
استخدام مصادر موثوقة: الحصول على المعلومات من مصادر موثوقة ومحققة. تجنب الاعتماد على المواقع غير الرسمية أو الأخبار غير المحققة.
تشفير البيانات: تشفير البيانات الحساسة أثناء وجودها والسفر لحمايتها من الوصول غير المصرح به.

ممارسة سلوك آمن عبر الإنترنت

لأصحاب الأعمال والمطورين. إذا كنت تطور تطبيق ويب، يجب أن تتبع أفضل الممارسات لحماية مستخدميك من هجمات الهندسة الاجتماعية. هناك طرق عديدة لتمكين الأمن الإضافي لتطبيقك:

استخدام كلمات مرور قوية. يستخدم معظم الناس كلمات مرور ضعيفة يسهل تخمينها بناءً على معلوماتهم الشخصية. لتطبيق نظام لإدارة هوية المستخدم آمن وجدير بالثقة، يجب تمكين سياسات كلمات المرور القوية. سيمنع ذلك المستخدمين من استخدام كلمات مرورهم الضعيفة دون وجود تدابير أمان مناسبة.
تمكين المصادقة متعددة العوامل. تضيف المصادقة متعددة العوامل (MFA) طبقة إضافية من الأمان لحسابات المستخدمين عن طريق مطالبتهم بإدخال رمز من هاتفهم أو جهاز آخر بالإضافة إلى كلمات المرور. يجعل ذلك من الصعب جدًا على المهاجمين الوصول إلى حسابات عملائك. حتى إذا كانت كلمات مرور عملائك مخترقة، لن يكون المهاجمون قادرين على الوصول إلى حساباتهم دون العامل الثاني.
تشفير بيانات المستخدمين. تشفير بيانات المستخدمين هو وسيلة جيدة لحمايتها من الوصول غير المصرح به. إذا حصل مهاجم على وصول إلى قاعدة بياناتك، لن يكون قادرًا على قراءة البيانات بدون مفتاح التشفير. سيمنعهم ذلك من سرقة المعلومات الشخصية لعملائك.
تناوب المفاتيح بانتظام. تُستخدم مفاتيح الوصول للوصول إلى موارد تطبيقك. إذا حصل المهاجمون على مفاتيح الدخول، سيكونون قادرين على الوصول إلى موارد تطبيقك بدون إذنك. لمنع ذلك، يجب تناوب المفاتيح بانتظام.
استخدام أنظمة المصادقة الحديثة. البروتوكولات الحديثة للمصادقة مثل OAuth 2.0 و OpenID Connect أكثر أمانًا بكثير من البروتوكولات الأقدم مثل SAML و WS-Federation. تستخدم خوارزميات التشفير الحديثة وتكون أكثر صعوبة للهجوم.
تسجيل الدخول من قائمة محددة مسبقًا لعناوين إعادة التوجيه والأجهزة إذا كنت تستخدم OAuth 2.0 أو OpenID Connect للمصادقة، يجب تسجيل الدخول من قائمة محددة مسبقًا لعناوين إعادة التوجيه والأجهزة. سيمنع ذلك المهاجمين من استخدام حسابات عملائك لتسجيل الدخول إلى تطبيقك من أجهزتهم الخاصة.

جرب Logto Cloud اليوم

مقدمة#

كيف تعمل الهندسة الاجتماعية؟#

أنواع هجمات الهندسة الاجتماعية#

تصيد البريد العشوائي#

مثال#

تصيد الحربة#

مثال#

الطعم#

مثال#

حفر الماء#

مثال#

كيف تحمي نفسك من هجمات الهندسة الاجتماعية#

ممارسة سلوك آمن عبر الإنترنت#

مقدمة#

كيف تعمل الهندسة الاجتماعية؟#

أنواع هجمات الهندسة الاجتماعية#

تصيد البريد العشوائي#

مثال#

تصيد الحربة#

مثال#

الطعم#

مثال#

حفر الماء#

مثال#

كيف تحمي نفسك من هجمات الهندسة الاجتماعية#

ممارسة سلوك آمن عبر الإنترنت#

مقدمة

كيف تعمل الهندسة الاجتماعية؟

أنواع هجمات الهندسة الاجتماعية

تصيد البريد العشوائي

مثال

تصيد الحربة

مثال

الطعم

مثال

حفر الماء

مثال

كيف تحمي نفسك من هجمات الهندسة الاجتماعية

ممارسة سلوك آمن عبر الإنترنت

مقدمة

كيف تعمل الهندسة الاجتماعية؟

أنواع هجمات الهندسة الاجتماعية

تصيد البريد العشوائي

مثال

تصيد الحربة

مثال

الطعم

مثال

حفر الماء

مثال

كيف تحمي نفسك من هجمات الهندسة الاجتماعية

ممارسة سلوك آمن عبر الإنترنت