الهندسة الاجتماعية عبارة عن مجموعة من الحيل والتقنيات المستخدمة لخداع الناس وجعلهم يقومون بعمل ما أو يفصحون عن معلومات سرية وشخصية
بمعنى ابسط تستخدم الهندسة الاجتماعية أحيانا كثيره بدون الاعتماد على التقنية و يمكن ان تتم بانتحال شخصيه موظف بنك او شخص موثوق لدى الضحية
تتم غالبا عن طريق البريد الالكتروني او الهاتف او التطبيقات الاجتماعيه (تويتر، واتس اب …. الخ)
فيما يلي سنتعرف على تقنيات الهندسة الاجتماعية او ما يسمى بـsocial-engineering techniques :
1- التصيد الاحتيالي Phishing
أي شخص يستخدم البريد الإلكتروني ممكن ان يكون هدفًا لمرسلي رسائل التصيّد الاحتيالي المخادعة.
لنفهم ما هو التصيّد الاحتيالي؟
“، نأخذ السيناريو الأكثر شيوعًا: تفتح بريدك الإلكتروني وفجأة يظهر تنبيه من البنك الذي تتعامل معه في علبة الوارد لديك. وعندما تنقر فوق الرابط في البريد الإلكتروني، يأخذك إلى صفحة ويب تبدو نوعًا ما مثل صفحة ويب التابعة للبنك ؛ لكنها في الواقع مصممة لسرقة بياناتك. يدّعي التنبيه أن هناك مشكلة في حسابك، ويطلب منك التأكيد على اسم المستخدم كلمة المرور. وبعد إدخال بيانات اعتمادك في الصفحة التي تظهر أمامك، يتم عادةً إرسالك إلى صفحه البنك الفعلية لتدخل معلوماتك مرة ثانية. بتوجيهك نحو الصفحة الشرعية للبنك، فأنت لا تدرك فورًا أنه تمت سرقة معلوماتك
سيناريو اخر : تصلك رساله من متجر امازون على سبيل المثال (مبروك تم اختيارك لتربح 500 $ تضاف لرصيدك)
كما هو في الصورة التالية :
2- التصيد الموجه Spear-phishing
هذا التكنيك قريب من التصيد العادي و لكن هذه المره موجه لضحيه محدده
مثال
Phishing في
Dear Customer
(هنا يذكر عزيزي العميل لانه يتم ارسال الايميل لعدد كبير من الضحايا )
spear-phishing اما في
Dear Yousef
(هنا يذكر اسم الضحيه لكسب ثقه اكبر)
3- اصطياد الحوت Whaling
يستهدف المهاجم المدراء التنفيذين في المنظمة مثل COE و Finance Manger
Big fish او ما يسمون بالسمكه الكبيره
4- التصيد بواسطة رسائل اس ام اس Smishing
SMS احد أساليب الهندسة الاجتماعية التي تعتمد على رسائل
يرسل المهاجم رساله نصيه للضحية تحتوي على رابط او يطلب منه على سبيل المثال التواصل معه على هاتف معين و يدعي انه من طرف البنك لتحديث معلوماته البنكية
5- التصيد بطريقه مصدر الماء Watering-hole attack
مصطلح هجوم مصدر الماء يأتي من الصيد. بدلاً من تعقب فريسته لمسافات طويلة ، يحدد الصياد بدلاً من ذلك المكان الذي من المحتمل أن تذهب إليه الفريسة ، غالبا تذهب الحيوانات لمصدر الماء – وينتظر الصياد عند الماء حتى تأتي اليه الفريسه و يصطادها.
هنا في السايبر، يستغل المهاجم تجمع الضحايا في مكان واحد على سبيل المثال المنتديات Internet forum
عند تحديد ضحيه معينه و معرفة اهتماماته يذهب المهاجم الى الموقع الذي يزوره الضحيه باستمرار و يتم خداعة من خلال هذا الموقع.
ملخص الهندسة الاجتماعية
نحتاح ان نعرف الفرق بين أساليب الهندسة الاجتماعية المختلفة و سيناريو لكل أسلوب
اضافه لما سبق هذه بعض الاساليب الاخرى
وضع الطعم غالبا تتم بترك وسيله تخزين مؤقت (فلاش ميموري )في اماكن معينه يستهدف فيها الضحيه Baiting
خداع شخص مصرح له بالدخول لمكان معين لمساعده المهاجم للدخول Tailgating
