ما هي تفاصيل هندسة اجتماعية؟ 11 أمثلة احترس منها
جدول المحتويات
ما هي بالضبط الهندسة الاجتماعية ، على أي حال؟
تشير الهندسة الاجتماعية إلى فعل التلاعب بالناس لاستخراج معلوماتهم السرية. قد يختلف نوع المعلومات التي يبحث عنها المجرمون. عادة ، يتم استهداف الأفراد بتفاصيلهم المصرفية أو كلمات مرور حساباتهم. يحاول المجرمون أيضًا الوصول إلى جهاز كمبيوتر الضحية حتى يتمكنوا من تثبيت برامج ضارة. يساعدهم هذا البرنامج بعد ذلك في استخراج أي معلومات قد يحتاجون إليها.
يستخدم المجرمون تكتيكات الهندسة الاجتماعية لأنه غالبًا ما يكون من السهل استغلال الشخص من خلال اكتساب ثقته وإقناعه بالتخلي عن بياناته الشخصية. إنها طريقة أكثر ملاءمة من الاختراق المباشر لجهاز كمبيوتر شخص ما دون علمه.
أمثلة الهندسة الاجتماعية
ستكون قادرًا على حماية نفسك بشكل أفضل من خلال إطلاعك على الطرق المختلفة التي تتم بها الهندسة الاجتماعية.
1. التحريض على الرسائل النصية
يتم استخدام Pretexting عندما يريد المجرم الوصول إلى معلومات حساسة من الضحية لأداء مهمة حرجة. يحاول المهاجم الحصول على المعلومات من خلال عدة أكاذيب مصاغة بعناية.
يبدأ المجرم بتأسيس الثقة مع الضحية. يمكن القيام بذلك عن طريق انتحال هوية أصدقائهم أو زملائهم أو مسؤولي البنك أو الشرطة أو أي سلطات أخرى قد تطلب مثل هذه المعلومات الحساسة. يطرح المهاجم عليهم سلسلة من الأسئلة بحجة تأكيد هويتهم ويجمع البيانات الشخصية في هذه العملية.
تستخدم هذه الطريقة لاستخراج جميع أنواع التفاصيل الشخصية والرسمية من الشخص. قد تتضمن هذه المعلومات العناوين الشخصية وأرقام الضمان الاجتماعي وأرقام الهواتف وسجلات الهاتف والتفاصيل المصرفية وتواريخ إجازات الموظفين ومعلومات الأمان المتعلقة بالأعمال التجارية وما إلى ذلك.
2. سرقة التحويل
هذا نوع من الاحتيال الذي يستهدف بشكل عام شركات البريد السريع والنقل. يحاول المجرم خداع الشركة المستهدفة بجعلها تقدم حزمة التوصيل الخاصة بها إلى موقع تسليم مختلف عن الموقع المقصود أصلاً. تستخدم هذه التقنية لسرقة البضائع الثمينة التي يتم تسليمها عبر البريد.
قد يتم تنفيذ عملية الاحتيال هذه سواء عبر الإنترنت أو في وضع عدم الاتصال. قد يتم الاقتراب من الموظفين الذين يحملون الطرود واقتناعهم بتسليم التسليم في موقع مختلف. قد يتمكن المهاجمون أيضًا من الوصول إلى نظام التسليم عبر الإنترنت. يمكنهم بعد ذلك اعتراض جدول التسليم وإجراء تعديلات عليه.
3. التصيد
يعد التصيد الاحتيالي أحد أكثر أشكال الهندسة الاجتماعية شيوعًا. تتضمن حيل التصيد الاحتيالي رسائل بريد إلكتروني ورسائل نصية قد تخلق إحساسًا بالفضول أو الخوف أو الإلحاح لدى الضحايا. يحثهم النص أو البريد الإلكتروني على النقر فوق الروابط التي قد تؤدي إلى مواقع ويب أو مرفقات ضارة من شأنها تثبيت برامج ضارة على أجهزتهم.
على سبيل المثال ، قد يتلقى مستخدمو خدمة عبر الإنترنت رسالة بريد إلكتروني تدعي حدوث تغيير في السياسة يتطلب منهم تغيير كلمات المرور الخاصة بهم على الفور. سيحتوي البريد على ارتباط إلى موقع ويب غير قانوني مطابق للموقع الأصلي. سيقوم المستخدم بعد ذلك بإدخال بيانات اعتماد حسابه في هذا الموقع ، معتبراً أنه الموقع الشرعي. عند تقديم التفاصيل الخاصة بهم ، ستكون المعلومات في متناول المجرم.
4. تصيد الرمح
هذا نوع من عمليات التصيد الاحتيالي التي تستهدف فردًا معينًا أو مؤسسة معينة. يخصص المهاجم رسائله بناءً على المناصب الوظيفية والخصائص والعقود المتعلقة بالضحية ، بحيث تبدو أكثر واقعية. يتطلب التصيد بالرمح مزيدًا من الجهد من جانب المجرم وقد يستغرق وقتًا أطول بكثير من التصيد الاحتيالي العادي. ومع ذلك ، يصعب تحديدها ويكون معدل نجاحها أفضل.
على سبيل المثال ، سيقوم المهاجم الذي يحاول التصيد بالرمح على مؤسسة بإرسال بريد إلكتروني إلى موظف ينتحل صفة مستشار تكنولوجيا المعلومات للشركة. سيتم تأطير البريد الإلكتروني بطريقة مشابهة تمامًا لكيفية قيام المستشار بذلك. سيبدو أصيلًا بما يكفي لخداع المستلم. سيطلب البريد الإلكتروني من الموظف تغيير كلمة المرور الخاصة به من خلال تزويده برابط إلى صفحة ويب ضارة تسجل معلوماته وترسلها إلى المهاجم.
5. تحجيم المياه
تستغل عملية الاحتيال المخادعة مواقع الويب الجديرة بالثقة والتي يزورها الكثير من الأشخاص بانتظام. سيجمع المجرم معلومات تتعلق بمجموعة مستهدفة من الأشخاص لتحديد المواقع التي يزورونها بشكل متكرر. سيتم بعد ذلك اختبار هذه المواقع بحثًا عن نقاط الضعف. مع مرور الوقت ، سيصاب عضو واحد أو أكثر من هذه المجموعة بالعدوى. سيتمكن المهاجم بعد ذلك من الوصول إلى النظام الآمن لهؤلاء المستخدمين المصابين.
يأتي الاسم من تشبيه كيف تشرب الحيوانات الماء من خلال التجمع في أماكنها الموثوقة عندما تكون عطشى. لا يفكرون مرتين في اتخاذ الاحتياطات. تدرك الحيوانات المفترسة ذلك ، لذلك ينتظرون في مكان قريب ، مستعدين لمهاجمتهم عندما يكون حراسهم في الأسفل. يمكن استخدام الحفر المائي في المشهد الرقمي للقيام ببعض الهجمات الأكثر تدميراً على مجموعة من المستخدمين المعرضين للخطر في نفس الوقت.
6. اصطياد
كما يتضح من الاسم ، فإن الاصطياد ينطوي على استخدام وعد كاذب لإثارة فضول الضحية أو جشعها. يتم إغراء الضحية في فخ رقمي يساعد المجرم على سرقة بياناته الشخصية أو تثبيت برامج ضارة في أنظمته.
يمكن أن يحدث الاصطياد من خلال كل من الوسائط عبر الإنترنت وغير المتصلة. كمثال غير متصل بالإنترنت ، قد يترك المجرم الطُعم على شكل محرك أقراص محمول مصاب ببرامج ضارة في مواقع واضحة. قد يكون هذا هو المصعد ، والحمام ، وموقف السيارات ، وما إلى ذلك ، للشركة المستهدفة. سيكون لمحرك الأقراص المحمول نظرة أصيلة عليه ، مما سيجعل الضحية يأخذها ويدخلها في كمبيوتر العمل أو المنزل. سيقوم محرك الأقراص المحمول تلقائيًا بتصدير البرامج الضارة إلى النظام.
قد تكون أشكال الاصطياد عبر الإنترنت في شكل إعلانات جذابة ومغرية من شأنها أن تشجع الضحايا على النقر عليها. قد يقوم الرابط بتنزيل برامج ضارة ، والتي ستؤدي بعد ذلك إلى إصابة أجهزة الكمبيوتر الخاصة بهم ببرامج ضارة.
7. Quid Pro Quo
هجوم المقايضة يعني هجوم "شيء مقابل شيء ما". إنه شكل من أشكال تقنية الاصطياد. بدلاً من إغراء الضحايا بوعد الحصول على منفعة ، يعد هجوم المقايضة بتقديم خدمة إذا تم تنفيذ إجراء معين. يقدم المهاجم فائدة وهمية للضحية في مقابل الوصول أو المعلومات.
الشكل الأكثر شيوعًا لهذا الهجوم هو عندما ينتحل مجرم شخصية أحد موظفي تكنولوجيا المعلومات في شركة. ثم يتصل المجرم بموظفي الشركة ويعرض عليهم برامج جديدة أو ترقية للنظام. سيُطلب من الموظف بعد ذلك تعطيل برنامج مكافحة الفيروسات الخاص به أو تثبيت برامج ضارة إذا أراد الترقية.
8. ذيل
يسمى الهجوم الخلفي أيضًا على الظهر. إنه ينطوي على المجرم الذي يسعى للدخول داخل مكان مقيد لا يحتوي على إجراءات توثيق مناسبة. يمكن للمجرم الوصول عن طريق السير خلف شخص آخر مصرح له بدخول المنطقة.
على سبيل المثال ، قد ينتحل المجرم صفة سائق توصيل لديه يديه مليئة بالحزم. ينتظر موظف مخول لدخول الباب. ثم يطلب الشخص الذي يقوم بتسليم المحتال من الموظف إمساك الباب من أجله ، وبالتالي السماح له بالوصول دون أي إذن.
9. مصيدة العسل
تتضمن هذه الحيلة المجرم التظاهر بأنه شخص جذاب على الإنترنت. يصادق الشخص أهدافه ويزيف علاقة عبر الإنترنت معهم. ثم يستغل المجرم هذه العلاقة لاستخراج التفاصيل الشخصية لضحاياهم ، أو اقتراض الأموال منهم ، أو حملهم على تثبيت برامج ضارة في أجهزة الكمبيوتر الخاصة بهم.
يأتي اسم "عسل العسل" من أساليب التجسس القديمة حيث كانت النساء تستخدم لاستهداف الرجال.
10. روغ
قد تظهر البرامج المارقة في شكل برامج مكافحة البرامج الضارة المارقة وماسحة ضوئية خادعة وبرامج خبيثة مارقة ومكافحة برامج التجسس وما إلى ذلك. هذا النوع من البرامج الضارة للكمبيوتر يضلل المستخدمين لدفع ثمن برامج محاكاة أو مزيفة تتعهد بإزالة البرامج الضارة. أصبحت برامج الأمان المارقة مصدر قلق متزايد في السنوات الأخيرة. قد يقع المستخدم المطمئن بسهولة فريسة لمثل هذه البرامج المتوفرة بكثرة.
11. البرمجيات الخبيثة
الهدف من هجوم البرامج الضارة هو حمل الضحية على تثبيت برامج ضارة في أنظمتها. يتلاعب المهاجم بالعواطف البشرية لجعل الضحية تسمح للبرامج الضارة بالدخول إلى أجهزة الكمبيوتر الخاصة بهم. تتضمن هذه التقنية استخدام الرسائل الفورية والرسائل النصية ووسائل التواصل الاجتماعي والبريد الإلكتروني وما إلى ذلك ، لإرسال رسائل التصيد الاحتيالي. تخدع هذه الرسائل الضحية بالضغط على رابط يفتح موقعًا إلكترونيًا يحتوي على البرامج الضارة.
غالبًا ما تستخدم تكتيكات التخويف للرسائل. قد يقولون أن هناك خطأ ما في حسابك وأنه يجب عليك النقر فورًا على الرابط المقدم لتسجيل الدخول إلى حسابك. سيجعلك الرابط بعد ذلك تقوم بتنزيل ملف يتم من خلاله تثبيت البرامج الضارة على جهاز الكمبيوتر الخاص بك.
ابق على علم ، ابق آمنًا
إبقاء نفسك على اطلاع هو الخطوة الأولى نحو حماية نفسك منها هجمات الهندسة الاجتماعية. نصيحة أساسية هي تجاهل أي رسائل تطلب كلمة المرور أو المعلومات المالية الخاصة بك. يمكنك استخدام عوامل تصفية البريد العشوائي التي تأتي مع خدمات البريد الإلكتروني الخاصة بك لوضع علامة على رسائل البريد الإلكتروني هذه. سيساعد الحصول على برنامج موثوق لمكافحة الفيروسات على تأمين نظامك بشكل أكبر.
