ali

اهداف المهندسين الاجتماعين (المهاجمين) هو خداع الأشخاص للحصول على المعلومات السرية كما سبق ذكره, أو للدخول الغير شرعي للأنظمة واختراقها أو تدميرها. ** أنواع الهندسة الاجتماعية: ** يمكن أن تصنف الهندسة الاجتماعية إلى نوعين: النوع الأول: يعتمد على الجانب البشري وهو الغالب والأكثر شيوعا, حيث يتفاعل المهاجم مع الأشخاص للحصول على المعلومات المطلوبة. النوع الثاني: يعتمد على تقنية الكمبيوتر, حيث يستخدم المهاجم برامج من خلالها يسترجع المعلومات المطلوبة. ** الوسائل المستخدمة في الهندسة الاجتماعية : ** في النوع الأول **:** هناك عدة وسائل والتي سوف أقوم بشرحها في الأسطر التالية, حيث يستخدمها المهاجم للكشف عن المعلومات السرية التي لا تنحصر في كلمة السر فقط و إنما تتعداها إلى المعلومات الحساسة الخاصة بالشركة فعلى سبيل المثال : خطط عمل الشركة أو خطط التسويق المستقبلية. ومن أشهر هذه الوسائل : 1- " ويسمى كذلك "بالهجوم المباشر: حيث أن المهاجم يسأل الضحية مباشرة ليكمل له المهمة(مثلا، مكالمة السكرتارية و سؤالها عن اسم المستخدم و كلمة السر) و لأن هذه الطريقة هي أسهل طريقة و أكثرها مباشرة فهي نادرا ما تنجح، و إن كان الضحية ذا حس أمني فسوف يسارع بتغيير بياناته." ]1[   2**-** "انتحال شخصيات مثل عميل أو مراجع أو موظف تقني للحصول على الأرقام السرية أو أي معلومات تساعد على اختراق النظام عن طريق الموظف نفسه وبشكل مباشر دون استخدام أي تقنيات الكترونية، فهم يقومون باستخدام مهارات الهندسة الاجتماعية للحصول على اسم المستخدم، أو اسم النظام، أو الرقم السري أو طلب كتابة أوامر تساهم في فتح ثغرات في النظام أو تُعطي صلاحيات خاصة. مثال على ذلك، أن يتم الاتصال الهاتفي بالموظف أو مقابلته في مقر عمله على أن هناك مشكلة تحتاج إلى إصلاح أو أمر طارئ يستدعي الدخول على النظام مع إيهام الموظف انه إن لم يقدم المساعدة فإن المدير سيغضب منه، وقد يتم ذلك عن طريق عرض المساعدة في تركيب برامج أو ضبط إعدادات الحاسب الآلي أو قد يدعي احدهم بأنه موظف جديد ويحتاج لمساعدة مستغلين بذلك الزمالة الوظيفية وحسن النية وحب مساعدة الآخرين. وبالتالي تتم عملية الاختراق والحصول على معلومات قد تستخدم في علميات إرهابية أو تتعرض لأسرار أمنية أو مالية للشركات وللأجهزة الحكومية والأهلية".[4]   3- البحث في سلة المهملات :    حيث يقوم المهاجم بالبحث في صناديق القمامة عن قوائم لكلمات السر التي تم رميها مسبقا, أو عن أي معلومات تخص الطابعات, أو تخص دليل المستخدم لأي نظام [6], ومن ثم يستخدمها كوسيلة في هجماته.    4- النظر من خلف مستخدمي الكمبيوتر وهم يضعون كلماتهم السريةShoulder surfing" "    "وهي طريقه يستخدمها المهاجم لرؤية الشخص عند كتابته للرموز السرية إما أن يختلس النظر أو أن يكسب ثقة الشخص بحيث لا يمانع وجوده في نفس المكان وبذلك يستطيع أن يضمن رؤيته للرموز عند ضغطها على الحاسوب أو كتابتها " [2] و بالنظر إلى الصورة 1 يتضح المفهوم أكثر.
 * اهداف الهندسة الاجتماعية : **



صورة 1 : توضح Shoulder Surfing ""

** : **   ومع تطور التكنولوجيا نجد أن المهاجمين دمجوا التكنولوجيا في مخططاتهم, لشن هجمات أكثر إبداعا, وتطورا, وتدميرا, ومن أشهر التقنيات المستخدمة: 1-التصيد: Phishing في أمن المعلومات ، يعرف التصيد على انه عملية احتيالية " لمحاولة الحصول على معلومات حساسة مثل أسماء المستخدمين, كلمات السر وتفاصيل بطاقات الائتمان عن طريق التنكر ككيان موثوق فيه في الاتصالات الالكترونية" [5] التي قد تكون من خلال البريد الالكتروني أو مواقع الشبكات الاجتماعية ، أو مواقع الدردشة التي يتساهل فيها المستخدم بنشر معلوماته الشخصية متجاهلا خطورتها. 101- الاحتيال عن طريق رسائل البريد الالكتروني و المواقع على شبكة الانترنت : البريد الالكتروني يوفر الفرص العظيمة للمهاجم فعلى سبيل المثال ، قد يتلقى الشخص رسالة في بريده الإلكتروني التي تبدو أنها آتية من مصدر موثوق فيه, كالبنك الخاص به أو غيرها من المؤسسات المالية التي تطلب منه تحديث معلومات حسابه, و في هذه الرسالة ، يوضع رابط مزيف أو وهمي على الشبكة العنكبوتية و الذي يظهر كأنه رابط حقيقي للموقع الالكتروني الخاص بالبنك أو المؤسسة ، فإذا قام الشخص بإدخال اسم المستخدم وكلمة السر الخاصة به وغيرها من معلوماته الشخصية فإن المهاجم يتمكن من سرقة هذه المعلومات لينتحل شخصية هذا الشخص بدون علمه , وفي الصورة 2 ما يوضح ذلك. والتصيد عن طريق رسائل البريد الإلكتروني غالبا ما يتضمن أخطاء إملائية، وسوء استخدام قواعد اللغة، والتهديدات، والمبالغات. وفي رسائل البريد الالكتروني قد يرفق المهاجم ملفات فيها فيروسات " ومن أشهر الفيروسات هي   I LoveYou ' AnnaKournikova ' ]1[



صورة 2: توضح هجمات تصيد المعلومات "Phishing attack" 2- النوافذ المنبثقة: وهي النوافذ التي تظهر على الشاشة وتخبر المستخدم بأنه قد فقد اتصاله بالشبكة, ويحتاج إعادة إدخال اسم المستخدم وكلمة السر الخاصة به, لكن توجد برامج مخفية تقوم بجمع المعلومات الخاصة بالمستخدم وإرسالها إلى البريد الالكتروني الخاص بالمهاجم. المراجع: http://coeia.edu.sa/index.php/ar/asuurance-awarness/articles/43-malware-attacks-n-threats/1070-social-engineering-types-and-methods-of-protection-thereof.html