الهندسة الاجتماعية أحتيال الكتروني وجهل عام (الجزء الاخير)

ثالثا. الأساليب المستخدمة في الهندسة الاجتماعية

يمكن تقسيم الأساليب المستخدمة في هجمات الهندسة الاجتماعية إلى نوعين:
- هجمات الهندسة الاجتماعية المستندة إلى الإنسان (غير تقنية)؛
- هجمات الهندسة الاجتماعية قائمة على أساس تقني (استخدام الحاسوب والهاتف .)

1 .هجمات الهندسة الاجتماعية المستندة إلى الإنسان:

يعتمد هذا النوع من الهجمات على التفاعل مع الأشخاص وتوجد عدة طرق نذكر منها:

أ- الهندسة الاجتماعية العكسية :(Engineering Social Reverse) يقوم المهاجم باقناع الضحية المستهدفة بوجود مشكلة من نوع ما أو قد تكون هناك مشكلة في المستقبل ومن ثم يعرض نفسه لحلها. وهذا الأمر يسمح له بالحصول على المعلومات المطلوبة.

ب- التنكر في هيئة الدعم الفني :(Support Tech/ Staff Support) يقوم المهاجم بالتنكر في هيئة الدعم الفني للمؤسسة للحصول على المعلومات ويوهم الضحية بوجود خلل أو مشكلة ما في النظام ويطلب منها تقديم معلومات الدخول لحل المشكلة.

ت- التظاهر والتستر مع انتحال الهوية :(Pretexting) يقوم المهاجم بخلق سيناريو معين لإقناع الضحية المستهدفة للكشف عن المعلومات الحساسة وسرقتها. يشمل هذا السيناريو في بعض الحالات على إنشاء هوية جديدة كاملة لخداع والتلاعب بالضحية.

ج- التنصت (Eavesdropping) ويشير إلى عملية الاستماع غير المصرح به أو القراءة غير مصرح بها للرسائل. ويشمل أي شكل من أشكال اعتراض الاتصال، بما في ذلك الصوت والفيديو، أو المكتوب. كما يمكن للمهاجم أن ينتقل شخصيا  إلى موقع الهدف وفحص منظومة المعلومات...الخ .

2 .هجمات الهندسة الاجتماعية قائمة على أساس تقني: 

يعتمد المهندس الاجتماعي في تنفيذ هذا النوع من الهجمات بصفة عامة على التكنولوجيا ( البرامج الخبيثة المختلفة، التطبيقات والبرمجيات مثل رسائل البريد الالكتروني، الدردشة...الخ) للحصول على المعلومات المطلوبة ومن أمثلة ذلك نذكر:

أ- رسائل التصيد الالكتروني: (Phishing) عبارة عن إرسال البريد الإلكتروني لعدد كبير من الضحايا يظهر على أنه مرسل من مصدر شرعي (بنك، مؤسسة، دعم فني، مصلحة الزبائن...) لخداع الضحية المستهدفة والحصول على المعلومات هذه المعلومات يمكن أن تكون بيانات الدخول، تفاصيل حساب معين أو أرقام بطاقة ائتمانية...الخ. ويعتبر هذا النوع من الاحتيال الأكثر انتشارا اليوم.  

ب- رسائل التصيد الالكتروني مع تحديد الهدف: (Phishing Spear) هو نفسه التصيد الالكتروني عن طريق الرسائل الالكترونية لكن الفرق هنا أن Phishing Spear يتم إرساله إلى أهداف معينة ومحددة وليس بصفة عشوائية (التركيز على شخص معين، قسم معين في المؤسسة...) أي أن المهاجم سوف يقوم بتوظيف أسلوب أكثر شخصية في تنفيذ الهجوم مستهدفا إدارات محددة أو أفراد داخل المؤسسة لضمان تحقيق الاستجابة المطلوبة.

ت- التصيد الصوتي: (Phishing Voice or Vishing) يحاول المهاجم التأثير والتحايل على الضحية عن طريق الاتصال الهاتفي مستخدما في ذلك مختلف الأدوات والتقنيات يستخدم المهاجم نظام نقل الصوت عبر الانترنت Protocol Internet over Voice وينتحل هوية معينة مثل البنك ّ أو شركة اتصالات أو ويستطيع حتى تزييف رقم الهاتف ليظهر بصفة شرعية وعند الرد يتم توجيه الضحية إلى رقم هاتفي آخر أو في حالة الاتصال بالرقم الجديد يطلب المعلومات الشخصية. ّ 

وقد يتلقى الضحية اتصالا من رقم مزيف يقوم بتوجيه الضحية إلى موقع الكتروني ويكون عبارة عن اتصال مسجل يفترض وجود مشكلة ما تتعلق بحسابه، وهذا الموقع ما هو إلا موقع تصيد إلكتروني.

 كما يوجد نوع أخر من التصيد الالكتروني وهو (Smishing) باستخدام الرسائل النصية الفورية والوسائط المتعددة. 

ث- تزوير المواقع الإلكترونية: (Pharming) هدف هذه الطريقة الاحتيالية إلى إلحاق الضرر بخادم نظام أسماء النطاقات DNSمما يؤدي إلى إعادة توجيه طلب الضحية إلى موقع احتيالي الذي يقع تحت سيطرة المهاجم (بيعمل موقع بنفس رابط الموقع الاصلي) عندما يكتب الضحية عنوان الموقع، فإنه يقوم بإعادة التوجيه إلى موقع مزور على شبكة الانترنت يكون مشابه تماما للموقع الأصلي.

 كما يمكن للمهاجم أن يصيب جهاز الضحية بـ Horse Trojan لسرقة اسم المستخدم وكلمات المرور وغيرها من المعلومات الحساسة. 

ج- التصيد عن طريق الطعم: (Baiting) يقوم المهاجم بإغراء الضحية وإيهامه بجدية الموضوع وأهميته بدخول موقع معين لتحميل الملفات أو ما شابه (برامج، موسيقى، أفلام...الخ) وهذه الطريقة يسعى إلى الحصول على بياناته الخاصة. 

ولا يقتصر هذا النوع من الهجمات على شبكة الانترنت وإنما يستطيع المهاجم استخدام أدوات مادية مثل ترك جهاز USB مصاب ببرنامج خبيث في مكان يسهل إيجاده وبمجرد ربطه بالجهاز يبدأ البرنامج الخبيث في عمل اتصال مع جهاز المهاجم .

ح- التصيد عن طريق تطبيقات الهاتف الذكي: يقوم المهاجم بتنفيذ هجمات الهندسة الاجتماعية عن طريق استغلال تطبيقات الهاتف الذكي وذلك من خلال: 

    1- تصميم ونشر تطبيقات خبيثة في مختلف متاجر التطبيقات (...Store Apple, Store Play).

    2- تنزيل تطبيقات شرعية من متاجر التطبيقات ودمجها ببرامج خبيثة وإعادة تجميعها ورفعها إلى متاجر التطبيقات.

    3- استخدام التطبيقات الأمنية الوهمية.  

كيف أحمي نفسي؟

أولاً: لا تُشارك أبداً أي معلومات أو أي بيانات شخصية مع أي جهة كانت” وعلى الرغم من سهولة القيام بهذا الأمر إلا أن الكثير من المستخدمين يغفلون عن هذه النصيحة.

ثانياً: تحقق دائماً من الأشخاص الذين تتحدث إليهم سواءً عبر الهاتف أو عبر البريد الإلكتروني أو خدمات التواصل الفوري وغيرها، مثلاً لو كان المتصل من شركة رسمية فلا تجد حرجاً أن تطلب منه معلوماته الكاملة وأن يقوم بالاتصال من رقم هاتف رسمي يُمكن التحقق منه.

ثالثاً: لا تفتح مرفقات البريد الإلكتروني من أشخاص غير معروفين، فلغاية الآن يتم استخدام هذه الطريقة على نطاق واسع لنشر البرمجيات الخبيثة والحصول على المعلومات الشخصية، وذلك من خلال انتحال هوية شركات كبرى وإرفاق بعض الملفات في البريد.

رابعاً: اعمل على تأمين هاتفك الذكي أو حاسبك المحمول، يُمكن أن تعتمد على فلترة البريد المزعج بالاعتماد على أدوات خاصة، كذلك اعتمد على برامج قوية لمكافحة الفيروسات تتضمن أدوات لمكافحة رسائل وصفحات التصيد.

لماذا تنجح الهندسة الاجتماعية بالرغم من حذر المستخدم أحياناً؟

الموضوع يتعلق على استهداف الناحية النفسية للإنسان، حيث يستخدم المخترقون بعض المحفزات الأساسية للسلوك البشري مثل زرع الخوف والفضول والإلهاء والحماسة وغيرها.

فيمكن لصورة عبر البريد الإلكتروني أن تثير عواطفك للتبرع لجهة خيرية معينة بشكل مخادع، أو من خلال إثارة الخوف داخلك عبر إعلامك باختراق إحدى حساباتك وأنه يجب إعادة تعيين كلمة المرور، أو يُمكن أن يدفعك الفضول لمشاهدة هذه الصورة المضحكة أو قراءة خبر مثير للاهتمام.

نصيحة : في حال تعرضك الى الابتزاز بصور محادثات ... الخ

1- عدم تهديد مرتكب الجريمة بأنك سوف تشتكي عليه للجهات المختصة .

2- عدم التواصل نهائياً مع الشخص المبتز بعد التهديد.

3-  في حالة بداية الابتزاز يجب عليك عدم الخضوع للمبتَز حتى لو كان التهديد مباشراً لك بالفضيحة.

4- في حالة الابتزاز المالي، لا تقم بمجاراة الشخص المبتز وترسل إليه المال، لأن هذا ببساطة لن يحميك من الابتزاز.

5-   تجنب اخبار من لا تثق به ، قد يكون الجاني قد يكون قريب منك.

كيف التعامل مع الأبتزاز في سوريا

1- أخذ لقطة شاشة لجميع التهديدات او حاول تسجيلها اذا كانت صوتية وحتفظ بها.

2-  تجنب حذف المحادثات او تسجيل الصوتي  من جهازك كونها يجب أن تبقى للمراجعة والتثبت من وجود الاعتداء عند اجراء الخبرة الفنية. 

3-  تصوير البطاقة الشخصية. 

4- الذهاب برفقة أحد أقاربك لتقديم معروض بذلك للنيابة العامة.

7-  تذكر في المعروض ماحصل معك ، وتطلب في نهايته إحالة المعروض للجهات المختصة التي بدورها ستحيلك لإدارة الأمن الجنائي - فرع مكافحة جرائم المعلوماتية .

8- او بتقديم شكوى الكترونية عن طريق الرابط الثالي : 

http://www.syriamoi.gov.sy/portal/site/arabic/index.php?node=70&

المراجع :

1. الجودي ، لمياء خالد ، (2018) ،ماهي الهندسة الاجتماعية وكيف تتجنب مخاطرها ؟، مبادرة العطاء الرقمي .
2. http://moia.gov.sy/portal/site/arabic/index.php?node=55222&cat=81&
3. Anshul Kumar, Nagresh Kumar, Social Engineering: Attack, Prevention and Framework, International Journal for Research in Applied Science & Engineering Technology (IJRASET), Volume 4, Issue II, February 2016 ، page 571.
4. Zrinka Lovrić Švehla, Ivan Sedinić and Luka Pauk, “Going White Hat: Security Check by Hacking Employees Using Social Engineering Techniques”, Information and Communication Technology, Electronics and Microelectronics (MIPRO), 2016 39th International Convention, IEEE, 30 May-3 June 2016, page 1419. 
5. https://me.kaspersky.com/resource-center/threats/trojans