ما هي الهندسة الاجتماعية وما أنواعها وأساليبها

ما هي الهندسة الاجتماعية وما أنواعها وأساليبها، عندَما يُطلبُ من المستخدمين التفكيرِ في أمنّهُم وسلامتهم على الإنترنت، فإنّ أفكارهمُ تتحولُ باتجاه الهواتفِ والحواسيب، وكيفية المحافظة عليها بعيدًا عن المُخترقين والبرمجيات الخبيثة، وبطبيعةِ الحال فإنّه يجبُّ الحرصَ على هذا التفكير وتعزيزه، ولكنّه لا يشكلُ سوى نصفِ القصّة، فجانبُ العنصرَ البشريّ هو الأهمُّ والأكثرّ فعّالية، ومن خلال موقع المرجع سنتعرفُ على ما هي الهندسة الاجتماعية.

ما هي الهندسة الاجتماعية

ما يُقاربُ منْ ثلثَ القضايا والتحديّات الخاصة في الأعوامِ الأخيرة كانتْ تخصُّ مُشكلاتِ الهندسةَ الاجتماعيّة، وأبرزُها يخصُّ التصيّد والاحتيال، مثلَ الخداع، والمُقايضة، ورسائَل البريد الإلكتروني، وفي توضيحِ مفهوم الهندسّة الاجتماعيّة بالشكلِ الأدق، فإنّه يمكنُ القولَ بأنّها طريقةٌ شاملة تهدفُ إلى محاولةِ خداع المُستخدمين، للحصولِ على معلومات حساسّة مُتعلقة بهم، حيثُ أنّها تعتمدُ على التلاعبِ النفسي بالضحيّة، لإرغامِها على إفشاءِ معلومات سريّة، أو القيامِ بأعمال غيرُ قانونيّة، وقدْ تحدثُ عن طريقِ إرسال طلبات صداقة من أشخاص مجهولين، أو إرسال رسائل، أو بريد إلكترونيّ، بحيثُ يستخدم الطرف المهاجم معلومات خاصّة بالمستخدم المستهدف يحصل عليها من وسائطه الاجتماعيّة، وهي أحدُ الأساليب التي يستخدّمها مجرمو الإنترنت للقيام بأعمالِ النصب والاحتيال، ومن أشهر هذه الحوادث هي التي حدثت عام 2020 م، وذلك من خلال سرقة مجرمي الإنترنت ما يقارب من 2.3 مليون دولار من مدرسة في مدينة تكساس. [1]

شاهد أيضًا: كيفية الابلاغ عن الجرائم الالكترونية في السعودية 1443

أنواع الهندسة الاجتماعية

يمكنُ تقسيمِ الهندسة الاجتماعيّة إلى أربعةِ أنواعٍ تبعًا للأساليبِ والتقنياتِ التي يُوظِفها المُهاجمون في هجومِهم، واحتيالهم، ومنّها:

المُباشر

في هذا النوعِ في الهندسة الاجتماعيّة يقومُ المهاجم بالتوجهِ إلى الضحيّة بنفسّه مُحاولاً منّه الدخولِ إلى أماكنَ غيرْ مصرح له الدخول إليّها، كأنْ يدعَي بأنّه يعملَ في شركةٍ ما، ويريد إصلاح الخلل الحاصلَ لديّهم في نقطةِ حساسّة، وبالتالي الحصولُ على المعلومات التي يريدُ بشكل خادعِ ومُباشِر.

التحايّل

هذا النوع في الهندسة الاجتماعيّة يكونَ الغرض منّه الحصول على معلومات شخصيّة خاصة بالضحيّة، وذلكَ من خلالِ وضعها في سيناريو مُعين يبدو واقعيًا وقابلاً للتصديق، مثلاً انتحالِ شخصيّة فني حاسوب يحاولُ مُساعدةِ الموظف في تحديثِ حسابّه، وذلكَ للحصولِ على معلومات مُختلفة من اسم المستخدم، أو كلّمة المرور، أو غيّره، أو انتحالَ شخصيّة فني حاسوب يحاولُ اصلاح العطل، والقيامُ بتنصيبِ برنامج خبيث على جهازِ الحاسوب بحيثُ يكون غرضَه التجسس، وسرقة المعلومات، والبيانات، وتشفيرُها، ويمكنُ من خلالِ هذا البرنامج الضّار يمكن المهاجم من الحصول على موطئ قدم في حاسوب الضحيّة، والشبكة داخل المؤسّسة ككل.

التصيّد

هذا النوعُ في الهندسةِ الاجتماعيّة يكونُ لهُ طريقتانِ، وهُما: التصيّدُ العام، وفي هذا النوعِ من التصيّد يقومُ المُهاجم بإرسالِ كم كبير من الرسائل الإلكترونيّة المُزعجة والخادعِة، لجعلِ الضحيّة يقومُ بثبيت برنامجَ ضار مُرفق بالرسالةِ الإلكترونيّة، أما النوعُ الثاني من التصيّد، فهوَ التصيّد المُستهدف، وفي هذا النوعِ يقومُ المُهاجم بإرسال رسائل إلكترونيّة لأفراد يعملون في شركة مُعينّة، مثلَ الهجومِ الذي تعرضت لهُ قوقل، حيثُ قالت بأنّه كانَ تصيّدٌ مُستهدف من البداية.

الطعم

هذا النوعُ في الهندسة الاجتماعيّة يستثيرُ الفضول لدى البشر، حيثُ يقومُ المُهاجم بتركَ الطعم بمكانِ قريب منْ مكان الضحيّة التي يريدُ الاستيلاء على المعلومات الخاصّة بها، كأنْ يترك قرصًا مضغوطًا، أو ذاكرة مُتنقلة، بحيثُ يكون مُحتوى هذا الطعمُ برنامج ضار أو فايروس أو غيّره، في مكان بارز وقريب من الشخص أو المؤسسة أو الشركّة المُستهدفة.

شاهد أيضًا: رقم التبليغ عن الجرائم الإلكترونية السعودية

أساليب الهندسة الاجتماعية

يوجدُ عدّة أساليبٍ مُختلفة للهندسةِ الاجتماعيّة، ومنّها:

• الاصطياد الالكتروني: أحدُ أساليب الهندسة الاجتماعيّة يعتمدُ على الحصولِ على المعلومات الشخصيّة الخاصة بالضحيّة عن طريقِ ارسالِ رسائل البريد الالكتروني أو مواقع الإنترنت بواسطةِ انتحالِ شخصيّة من جهة مهمة، أو شخصيّة تعرفها الضحيّة أو غيّرها.
• الإغراء: أحدُ أساليب الهندسة الاجتماعيّة الذي يعتمدُ على تركَ الطعم للضحيّة، كأنْ يترك المُهاجم ذاكرة مُتنقلة أو قرص مضغوط بهِ ملف يحملُ عنوان ملفات مُهمة، بحيثُ يحتوي على برامج تجسس، ويوقعَ الضحيّة في الفخ.
• المُقايضة: أحدُ أساليب الهندسة الاجتماعية الذي يعتمدُ على انتحالِ المُهاجم لشخصيّة ما لطلبِ معلومات من الضحيّة مقابلُ خدمة ينفذها له، كأنْ ينتحل المُهاجم شخصيّة فني دعم أو غيّره، بحيثُ يدخل إلى النظام بسهولة، وبدون الحاجة إلى اختراق الكتروني.
• اتباع الخطى: أحدُ أساليب الهندسة الاجتماعية يعتمدُ على المراوغة والدخول إلى الأماكن غيرَ المصرحَ لهُ بالدخولِ إليّها، إما باتباع خُطى الموظفين، أو بانتحالِ شخصيّة فني لاصلاح عطل ما في النقاطِ المُهمة.
• الادعاء: أحد أساليب الهندسة الاجتماعيّة يعتمدُ على خلقَ الثقة بينَ المُهاجم والضحيّة، بالادعاءات الكاذبة أو انتحالِ شخصيّة هامة، والحصولِ على المعلوماتِ الشخصيّة بسهولة.

أهداف الهندسة الاجتماعية

يكونَ الغرض الرئيسي منْ الهندسةِ الاجتماعيّة هوَ النصب والاحتيال، وذلكَ منْ خلالِ اختراق الأجهزة، والدخولِ إلى نظامِ غير مُصرّح له بالدخولِ إليّه، أو التطفل على الشبكة أو التجسس على خطِ اتصال بغرضِ تعطيل نظام أو شبكّة، أو من خلالِ التأثير على الآخرين، والتلاعب بهم لغرضِ دفعهم للكشف عن معلومات شخصية، أو بيانات مُهمة للنصبِ عليّه، أو لغرضِ اختراق أجهزةَ الكمبيوتر الشخصيّة أو المهنيّة المُستخدمة في جهات العمل، فمنْ خلالِ اتباع أساليب الهندسة الاجتماعيةّ يمكنُ خداعِ العاملين والمُستهلكين، للكشفِ عن بيانات الاعتماد الخاصّة بهم، ومن ثمّ الوصولِ إلى الشبكات والحسابات.

كيف تعمل الهندسة الاجتماعية

تعتمدُ معظم هجماتِ الهندسة الاجتماعيّة على التواصل المُباشِر ما بينَ المُهاجم والضحيّة، ويتمُّ ذلكَ من خلال الآلية :

• جمع المعلومات: تكونُ هذه المرحلة الأولى من مراحل النصبْ المُتبعة في الهندسة الاجتماعيّة، بحيثُ يتمُّ جمع معلومات عن الضحية منْ موقع الشركة، أو عنْ طريقِ التواصل معهم، بحيثُ يتمُّ بناء الثقة واستدراجِ الضحيّة.
• خطة الهجوم: في هذه المرحلة من الهندسة الاجتماعيّة يحددُ المهاجم طريقة الهجوم، والكيفية، والأدوات والوسائل المُتبعّة في ذلك، بحيثُ تكون وصفًا دقيقًا عن عملية النصب.
• أدوات الاستحواذ: أدواتِ الاستحواذ وهِي البرامجْ التي يستخدمها المُهاجم من أجلِ النصب والاحتيال على الضحيّة.
• الهجوم: الهجوم هو معرفةِ نقاط الضعف لدى الأفراد أو الشركات، واستغلالِها، والتلاعب بِها.
• استخدام المعرفة المُكتسّبة: وذلكَ يكون من خلالِ استغلال المعلومات التي جُمعت عن الضحيّة.

الحماية من الوقوع في فخ الهندسة الاجتماعية

يمكنُ حماية أجهزة الكمبيوتر أو المُوظفين من الوقوع في فخِ الهندسة الاجتماعية والتحايل والتلاعب الحاصل من مجرمي الانترنت بعدّة خطوات، كالآتي:

• عدمْ مُشاركة أيُّ بيانات أو معلومات خاصة مع أيُّ شخص.
• وضع قوانين للحمايِة الأمنيّة للمُنظمة، بحيثُ توضحَ المنظمة للعاملين فيّها قوانين الحمايّة، وكيفية اتباعِها.
• وضع حماية أمنيّة لمبنى المُنظمة، بحيثُ يمنع لغيرَ العاملين فيها من الدخولِ إليّها.
• وضع نظام أمنّي للمكالمات الهاتفيّة، ومنع المُكالمات الخاصة، وحظر المكالمات الدوليّة، وعدمَ إظهار مدخل للخط الهاتفي للمنظمة، لمنع استخدامه من أي شخص خارج المنظمة.
• تثقيف الموظفين داخل المنظمة بمجال أمن المعلومات و الاختراقات التي من الممكن حصولها.
• تحديث البرامج وأنظمة التشغيل باستمرار، واستخدام البرامج المُضادّة للفيروسات، وتحديثها باستمرار.
• عدم النقر على الروابط أو المرفقات التي تصل مع رسائل البريد الإلكتروني العشوائية.
• الحرص على عدم إعطاء أيّة معلومات شخصية ما لم يكن استخدامها آمنًا.
• المراقبة المُستمرة لحركة الحساب المصرفي.
• التواصل مع الشركات مباشرةً في حال وصول طلبات مشبوهة.

إلى هُنا نكون قد وصلنا إلى نهايةِ مقالنا ما هي الهندسة الاجتماعية وما أنواعها وأساليبها، حيثُ سلطنا الضوء على الهندسة الاجتماعية أحدُ أساليب الخداع والجرائم الإلكترونية التي تخصُّ التصيد والاحتيال للحصولِ على معلومات الضحيّة.