Abdulqodir+nosiruf

( ** الهندسة الاجتماعية (انواعها وطرق الحماية منها) **

"وقد بدأت الهندسة الاجتماعية مع أكبر مهاجم : كيفين ميتنيك, الذي يعد من أبرع من استخدم أساليب الهندسة الاجتماعية والذي صرح في مقابلة معه أن 50% من الاختراقات التي يقوم بها كانت بسبب تمكنه من الحصول على معلومات سرية وخطيرة من المسئولين في المراكز الحساسة"[2], ومن هذا الاعتراف نستنتج أن استغلال الجانب البشري هو من أنجح الأساليب والطرق المستخدمة من قبل المهندسين لتحقيق هدفهم وذلك " عن طريق انتحال شخصية موظف مصرح له. و عادة ما يستخدم منتحل الشخصية)الهاكرزز) الهاتف أو البريد الالكتروني كأدوات لهذا الهجوم "[3] ولكن الهندسة الاجتماعية لا تقتصر فقط على المكالمات الهاتفية ورسائل البريد الالكتروني وإنما هناك عدة طرق لتنفيذ هذه الهجمات.

"وفي أخر الإحصائيات التي تم إجراؤها في سنة 2006من معهد للحاسبات في الولايات المتحدة الأمريكية اتضح أن بنسبة 90%من 503 شركات أظهروا تقارير للاختراق المعلومات.

ومن هذا الإحصاء يتضح انه لابد من الحذر من الهاكرز (منتحل الشخصية) فهو غالباً ما سيبدو باحترام وذي أخلاق رفيعة وليزيد من واقعية الانتحال يقدم هو معلومات صحيحة للموظف (الضحية) كاسم مدير القسم أو أسماء موظفين يعملون في نفس الشركة " [3], فلابد استخدام طرق للحماية ضد هذه الهجمات من خلال وضع سياسات أمنية للشركة وتدريب موظفيها وتثقيفهم وزيادة الوعي عندهم, واستخدام الحلول والطرق التقنية كذلك.

** الكلمات المفتاحية: **

الهندسة الاجتماعية, انتحال الشخصية , المهاجمين ( المهندسين الاجتماعين) , سرقة المعلومات السرية

المقدمة:

نظرا لخطورة الهندسة الاجتماعية وانتشارها فإنه في هذا المقال سوف نوضح مفهوم الهندسة الاجتماعية, والهدف منها, وأنواعها, وسوف نبين الوسائل المستخدمة في كل نوع, وطرق الحماية منها.

التعريف:

هناك عدة تعريفات للهندسة الاجتماعية ومن أشهرها: أن الهندسة الاجتماعية هي طريقة الهجوم المستخدمة من قبل العديد من المهاجمين, و التي تستفيد من طبيعة البشر ونقاط الضعف فيها, للتلاعب عليهم وخداعهم بكسب ثقتهم وذلك من أجل الحصول على المعلومات السرية سواء كانت كلمات المرور الخاصة بالأشخاص أو أي معلومة حساسة مالية أو غيرها من حساسية المعلومات الشخصية, "وقد يكون الغرض منها هو تثبيت برامج تجسس بشكل سري أو أي برامج أخرى خبيثة, أو دخول الأشخاص الغير مخول لهم إلى نظام الكمبيوتر".[7]

وفي الغالب نجد أن المهندسين الاجتماعين (المهاجمين ) لا يملكون أي مهارات تقنية وإنما يستغلون الجانب البشري لأنه أضعف جزء في أمن الشركة [6]أو المنظمة حيث يستخدمون مهارات التعامل مع البشر لاستدراجهم وسؤالهم ويعتمدون على خداعهم.

** الهدف من الهندسة الاجتماعية : **

نستنتج من التعريف السابق, أن هدف المهندسين الاجتماعين (المهاجمين) هو خداع الأشخاص للحصول على المعلومات السرية كما سبق ذكره, أو للدخول الغير شرعي للأنظمة واختراقها أو تدميرها.

** أنواع الهندسة الاجتماعية: **

يمكن أن تصنف الهندسة الاجتماعية إلى نوعين:

النوع الأول: يعتمد على الجانب البشري وهو الغالب والأكثر شيوعا, حيث يتفاعل المهاجم مع الأشخاص للحصول على المعلومات المطلوبة.

النوع الثاني: يعتمد على تقنية الكمبيوتر, حيث يستخدم المهاجم برامج من خلالها يسترجع المعلومات المطلوبة.

** الوسائل المستخدمة في الهندسة الاجتماعية : **

في النوع الأول **:**

هناك عدة وسائل والتي سوف أقوم بشرحها في الأسطر التالية, حيث يستخدمها المهاجم للكشف عن المعلومات السرية التي لا تنحصر في كلمة السر فقط و إنما تتعداها إلى المعلومات الحساسة الخاصة بالشركة فعلى سبيل المثال : خطط عمل الشركة أو خطط التسويق المستقبلية.

ومن أشهر هذه الوسائل :

1- " ويسمى كذلك "بالهجوم المباشر:

حيث أن المهاجم يسأل الضحية مباشرة ليكمل له المهمة(مثلا، مكالمة السكرتارية و سؤالها عن اسم المستخدم و كلمة السر) و لأن هذه الطريقة هي أسهل طريقة و أكثرها مباشرة فهي نادرا ما تنجح، و إن كان الضحية ذا حس أمني فسوف يسارع بتغيير بياناته." ]1[

2**-** "انتحال شخصيات مثل عميل أو مراجع أو موظف تقني للحصول على الأرقام السرية أو أي معلومات تساعد على اختراق النظام عن طريق الموظف نفسه وبشكل مباشر دون استخدام أي تقنيات الكترونية، فهم يقومون باستخدام مهارات الهندسة الاجتماعية للحصول على اسم المستخدم، أو اسم النظام، أو الرقم السري أو طلب كتابة أوامر تساهم في فتح ثغرات في النظام أو تُعطي صلاحيات خاصة. مثال على ذلك، أن يتم الاتصال الهاتفي بالموظف أو مقابلته في مقر عمله على أن هناك مشكلة تحتاج إلى إصلاح أو أمر طارئ يستدعي الدخول على النظام مع إيهام الموظف انه إن لم يقدم المساعدة فإن المدير سيغضب منه، وقد يتم ذلك عن طريق عرض المساعدة في تركيب برامج أو ضبط إعدادات الحاسب الآلي أو قد يدعي احدهم بأنه موظف جديد ويحتاج لمساعدة مستغلين بذلك الزمالة الوظيفية وحسن النية وحب مساعدة الآخرين. وبالتالي تتم عملية الاختراق والحصول على معلومات قد تستخدم في علميات إرهابية أو تتعرض لأسرار أمنية أو مالية للشركات وللأجهزة الحكومية والأهلية".[4]

3- البحث في سلة المهملات :

حيث يقوم المهاجم بالبحث في صناديق القمامة عن قوائم لكلمات السر التي تم رميها مسبقا, أو عن أي معلومات تخص الطابعات, أو تخص دليل المستخدم لأي نظام [6], ومن ثم يستخدمها كوسيلة في هجماته.

4- النظر من خلف مستخدمي الكمبيوتر وهم يضعون كلماتهم السريةShoulder surfing" "

"وهي طريقه يستخدمها المهاجم لرؤية الشخص عند كتابته للرموز السرية إما أن يختلس النظر أو أن يكسب ثقة الشخص بحيث لا يمانع وجوده في نفس المكان وبذلك يستطيع أن يضمن رؤيته للرموز عند ضغطها على الحاسوب أو كتابتها " [2] و بالنظر إلى الصورة 1 يتضح المفهوم أكثر.

صورة 1 : توضح Shoulder Surfing ""

** في النوع الثاني : **

ومع تطور التكنولوجيا نجد أن المهاجمين دمجوا التكنولوجيا في مخططاتهم, لشن هجمات أكثر إبداعا, وتطورا, وتدميرا, ومن أشهر التقنيات المستخدمة:

1-التصيد: Phishing

في أمن المعلومات ، يعرف التصيد على انه عملية احتيالية " لمحاولة الحصول على معلومات حساسة مثل أسماء المستخدمين, كلمات السر وتفاصيل بطاقات الائتمان عن طريق التنكر ككيان موثوق فيه في الاتصالات الالكترونية" [5] التي قد تكون من خلال البريد الالكتروني أو مواقع الشبكات الاجتماعية ، أو مواقع الدردشة التي يتساهل فيها المستخدم بنشر معلوماته الشخصية متجاهلا خطورتها.

101- الاحتيال عن طريق رسائل البريد الالكتروني و المواقع على شبكة الانترنت :

البريد الالكتروني يوفر الفرص العظيمة للمهاجم فعلى سبيل المثال ، قد يتلقى الشخص رسالة في بريده الإلكتروني التي تبدو أنها آتية من مصدر موثوق فيه, كالبنك الخاص به أو غيرها من المؤسسات المالية التي تطلب منه تحديث معلومات حسابه, و في هذه الرسالة ، يوضع رابط مزيف أو وهمي على الشبكة العنكبوتية و الذي يظهر كأنه رابط حقيقي للموقع الالكتروني الخاص بالبنك أو المؤسسة ، فإذا قام الشخص بإدخال اسم المستخدم وكلمة السر الخاصة به وغيرها من معلوماته الشخصية فإن المهاجم يتمكن من سرقة هذه المعلومات لينتحل شخصية هذا الشخص بدون علمه , وفي الصورة 2 ما يوضح ذلك.

والتصيد عن طريق رسائل البريد الإلكتروني غالبا ما يتضمن أخطاء إملائية، وسوء استخدام قواعد اللغة، والتهديدات، والمبالغات.

وفي رسائل البريد الالكتروني قد يرفق المهاجم ملفات فيها فيروسات " ومن أشهر الفيروسات هي

I LoveYou ' Anna Kournikova ' ]1[

صورة 2: توضح هجمات تصيد المعلومات "Phishingattack"

2- النوافذ المنبثقة:

وهي النوافذ التي تظهر على الشاشة وتخبر المستخدم بأنه قد فقد اتصاله بالشبكة, ويحتاج إعادة إدخال اسم المستخدم وكلمة السر الخاصة به, لكن توجد برامج مخفية تقوم بجمع المعلومات الخاصة بالمستخدم وإرسالها إلى البريد الالكتروني الخاص بالمهاجم.

** طرق الحماية من الهندسة الاجتماعية : **

تعد الهندسة الاجتماعية من الثغرات الأمنية التي يصعب منعها وحصرها, لأنها تعتمد و بشكل كبير على طبيعة البشر. لذا نلاحظ أن هناك الكثير من هذه الهجمات يمكن صدها إذا كان الناس يدركون بما يحيط بهم.

وفيما يلي قائمة من التوصيات حول كيفية منع هذه الهجمات وطرق للحماية منها:

1- السياسة:

يجب إنشاء سياسة أمنية قوية للشركة ووضع تعليمات للموظفين و قد تكون بشكل أوامر تصدر من إدارة الشركة, أو تكون في شكل عقد يوثق من قبل الطرفين (الشركة والموظف) وتكون هناك عقوبات صارمة للموظفين عند التخلف عن إتباع هذه السياسة.

وهذه السياسة تكون بشأن ما يلي:

- ما الذي يجب عمله عندما تنكشف كلمة السر[6]

- من هم الأشخاص المخول لهم بالدخول إلى أماكن العمل[6]

- ماذا تفعل عندما ترد عليك أسئلة من موظف أخر للكشف عن المعلومات المحمية

- "يجب التحقق من هوية أي شخص يطلب معلومات عن جهازك أو حسابك أو معلوماتك الشخصية أو أي معلومات عن حساب لموظف آخر وذلك بالاتصال" [4] بهيئة التحقق من خصائص الهوية.

- "لا تقم بإتباع تعليمات غريبة أو مريبة تتعلق بالأجهزة الإلكترونية وكذلك لابد من التحقق من هوية الشخص المصدر لهذه التعليمات والأوامر وأحقيته في إصدارها حتى لو ادعى أن الأمر طارئ.لا تشارك بالاستبيانات الهاتفية حتى لو كانت من داخل الجهاز نفسه لأنه قد تستغل لدس أسئلة بين الاستبيان للحصول على معلومات تساعد على الاختراق." [4**]**

- تحميل برنامج مكافحة الفيروسات, وتجديده ما بين كل فتره وأخرى.

- "التخلص من الأوراق فور الانتهاء منها باستخدام آلة تقطيع الورق ويفضل استخدام النوع الذي يقطع الورق بشكل عامودي وأفقي "[3]

و يفضل أن تكون هذه السياسة متضمنة خطة الحفاظ على استمرارية العمل أثناء وبعد حصول الهجمة.

2- التدريب:

يعد تدريب الموظفين من العوامل المهمة لمنع هذه الهجمات, ويتم تعليمهم عن السياسة المتبعة في الشركة وتدريبهم بإقامة دورات تثقيفية يشرح لهم فيها ماهية الهندسة الاجتماعية و الهدف المنشود وراءها وكيفية التصدي لها ويفضل أن يكون تدريبهم بشكل مرح وشامل لجميع النواحي , ويفضل أن تكون هذه الدورات ما بين كل فترة وأخرى كأن تكون من أربع إلى ستة أشهر , ولابد في هذا التدريب أن نركز على التقنيات التي يستخدمها المهاجم والأثر المترتب على الأفراد من جراء حصول مثل هذه الهجمات.

ومن الممكن منح مكافآت للموظفين الذين يقبضون على من يحاول بالهجوم, وتختلف هذه المكافآت على حسب الشركة فقد تكون شهادة تقدير أو مال نقدي أو إجازة لمدة يوم.

3- الوعي بأمن المعلومات :

كثير من الشركات والأفراد يكون جل اهتمامهم بالهاكرز ويركزن على الجانب التقني فقط و يغفلون الجوانب الأخرى وينسون كذلك أن الهندسة الاجتماعية هي احد أنواع الهجمات لذا يجب على الشركة توعية الناس بكل أنواع الهجمات وتوضيح لهم كيفية تقليل خطر التعرض للهجوم من جميع الجهات.

الخلاصة:

إن ما ذكر في هذا المقال ما هو إلا نبذة بسيطة عن الهندسة الاجتماعية, التي تعد وسيلة عظيمة و أداة خطيرة جدا, لأنها في تطور مستمر يجعلها تتغلب على الحلول التقنية لذا أرى أن الحل الأمثل للتصدي لها هو زيادة وعي الأشخاص وذلك من خلال ما ذكرته مسبقا.

** المراجع: **

** المراجع العربية : **

1- []

2- []

3- : جريدة الرياض : الهندسة الاجتماعية: الحلقة الأضعف في أمن المعلومات

4- []

** المراجع الأجنبية: **

5- موسوعة الويكيبيديا []

6- كتاب Security + Guide to Network Security Fundamentals, Second Edition ,Mark Ciampa

7- []

** الملحقات : **

1- هيئة التحقق من خصائص الهوية: جهة تحددها هيئة السياسات الفيدرالية لسياسات البنية التحتية للمفتاح العام أو وكالة مماثلة بحيث يكون لها سلطة التحقق من توافق الخصائص مع هوية معينة.

2- برامج مكافحة الفيروسات : برنامج يقوم بمراقبة الحاسوب أو الشبكة للتعرف على كل أنواع البرمجيات الخبيثة ومنع أو عزل ما يظهر من حالات (أعراض) تلك البرمجيات الخبيثة.

3- الوعي بأمن المعلومات: الأنشطة التي تسعى لجذب انتباه الأفراد إلى موضوع أو مجموعة من الموضوعات في أمن المعلومات.

4- خطة الحفاظ على استمرارية العمل: توثيق مجموعة من التعليمات والإجراءات المُعَدِّة سلفاً لوصف كيفية الحفاظ على وظائف العمل داخل منظمة معينة أثناء وبعد حدوث خلل خطير.

** النخيلان ,هياء بنت عبدالله بن ابراهيم **

** الرابط: **** http://coeia.edu.sa/index.php/ar/asuurance-awarness/articles/43-malware-attacks-n-threats/1070-social-engineering-types-and-methods-of-protection-thereof.html ** مقدم البحث عبدالقادر ناصروف وقد أخذت هذا البحث في 9/محرم 1433الموافق 04/12/2011