الهندسة الاجتماعية

Social Engineering
by Christopher Hadnagy

الهندسة الاجتماعية
بقلم كريستوفر هادناجي
في العلوم
اكتشف فن القرصنة البشرية وكيفية حماية نفسك من الهجمات على معلوماتك الشخصية. يخدع الفنانين واللصوص تحيط بنا كل يوم، يسرقون ممتلكاتهم الشخصية مثل محافظنا، والهواتف المحمولة، والمجوهرات القيمة. ولكن اللص الأكثر خبيثة هو مهندس اجتماعي يسعى وراء شيء أكثر قيمة بكثير – معلوماتك الشخصية. مهندس اجتماعي لا مجرد الإختراق جهاز الكمبيوتر الخاص بك، بدلا من ذلك، مهندس الاجتماعية سوف تكسب ثقتك والتلاعب بك في الكشف عن المعلومات اللازمة لاختراق الحسابات المصرفية الخاصة بك، وبرامج الشركة، وأكثر من ذلك. مكالمة هاتفية بسيطة أو محادثة يمكن أن تكشف عن كل مهندس الاجتماعية يحتاج إلى معرفته لاختراق كلمات السر الخاصة بك وسرقة هويتك أو هويات الآلاف. في الهندسة الاجتماعية ، سوف تتعلم نظرة ثاقبة لا تقدر بثمن في الأساليب المستخدمة لكسر النظم التي تبدو آمنة وفضح التهديدات الموجودة من مهندس اجتماعي محترف يستخدم مهاراته من أجل الخير. ستتعلم كيف أن جميع المعلومات ذات قيمة للمهاجم ، والتكتيكات التي سيستخدمها المهندسون الاجتماعيون لخداع ضحاياهم ، وأخيرا ، كيفية حماية نفسك من المهندسين الاجتماعيين الخبيثين.

مقدمة
منذ صغره، كان المؤلف كريستوفر هادناجي مهتما بفن التلاعب. كان دائما فضوليا حول عدد المرات التي تمكن فيها من الحصول على أشياء أو أن يكون في مواقف تعتبر “غير حقيقية”. على سبيل المثال، مرة واحدة في مدينة نيويورك، كان هادناجي قادرا على التحدث في طريقه إلى حفلة حصرية للمديرين التنفيذيين في منظمة الأغذية والزراعة شوارتز بمجرد أن طلب من لينوس تورفالدس، مبتكر نواة لينكس (نظام التشغيل لنظام التشغيل أندرويد وكروم)، التوقيع على ألعاب مايكروسوفت الخاصة به! الحصول على ما تريد ليس بالضرورة من الصعب، ولكن من المؤكد أنه يأخذ مهارات قوية في مجال الاتصالات والبحوث. وبعبارة أخرى، الهندسة الاجتماعية هي فن يمكن إتقانه من خلال ممارسة المهارات اللازمة. من خلال الهندسة الاجتماعية ، يمكنك الحصول على نظرة داخلية على عالم الهندسة الاجتماعية. ستتعلم المهارات والتكتيكات التي يستخدمها هؤلاء المهاجمون للحصول على ما يريدون. من خلال تعلم التكتيكات ، يمكنك البدء في حماية نفسك وعائلتك وشركتك من أن تصبح عرضة لمثل هذه الهجمات الخبيثة.
الفصل الأول: فن الهندسة الاجتماعية
ما هي الهندسة الاجتماعية بالضبط؟ حسنا، إذا كنت تبحث عن المصطلح على ويكيبيديا، ستجد “فعل التلاعب بالناس في تنفيذ إجراءات أو الكشف عن معلومات سرية”. وبعبارة أخرى، تنطوي الهندسة الاجتماعية على التلاعب بالآخرين للوصول إلى معلوماتهم الخاصة بما في ذلك الحسابات المصرفية أو حتى الوصول إلى نظام الكمبيوتر. ومع ذلك ، وفقا لكريستوفر هادناجي ، والهندسة الاجتماعية هي أعمق من ذلك بكثير.
على سبيل المثال ، ربما كنت مقتنعا من قبل مندوب مبيعات لشراء شيء لا تحتاج ولا تريد. أو ربما عندما كنت طفلا، أقنعت والديك للسماح لك أن تفعل شيئا ربما لم يكن ينبغي أن يكون. كما ترى، يتم استخدام الهندسة الاجتماعية في التفاعلات اليومية من المعلمين إقناع طلابهم لإكمال مهمة للأطباء إقناع المرضى للكشف عن المعلومات الشخصية. لذلك، يعرف حدناجي الهندسة الاجتماعية بكلماته الخاصة، ويقول إن “التعريف الحقيقي هو فعل التلاعب بشخص لاتخاذ أي إجراء قد يكون أو لا يكون في مصلحة “الأهداف”. وقد يشمل ذلك الحصول على معلومات أو الوصول إليها أو جعل الهدف يتخذ إجراء معينا”.
هناك العديد من أنواع المهندسين الاجتماعيين ، بما في ذلك المتسللين والجواسيس ولصوص الهوية وفناني الاحتيال والموظفين الساخطين ومختبري الاختراق (المعروفين أيضا باسم أجهزة اختبار القلم) ، وحتى مندوبي المبيعات والحكومة والأطباء والمحامين. يستخدم هؤلاء المهندسون الاجتماعيون جميعا تكتيكات مماثلة لانتزاع “أهدافهم” أو عملائهم أو استجوابهم واستجوابهم والتلاعب بهم في الاتجاه الذي يريدونهم أن يتخذوه. في الوقت الحاضر ، يستخدم المهندسون الاجتماعيون تكتيكات جديدة ويتسللون إلى أهدافهم من خلال اكتساب ثقتهم أولا. على سبيل المثال، سيتولى الكثيرون دور أخصائي تكنولوجيا المعلومات ويقنعون الموظفين بإعطائهم المعلومات التي يحتاجونها للتسلل إلى النظام، مما يجعل سرقة المعلومات سهلة مثل إجراء محادثة بسيطة.
لإظهار مدى سهولة حصول المهندسين الاجتماعيين على المعلومات ، يعطي هاغنادي مثالا على الوقت الذي رأى فيه ممسحة في مطعم يحتوي على قسيمة بقيمة 50 دولارا لملعب جولف محلي. للاستفادة من العرض، كان عليك فقط تقديم اسمك وعنوان الشارع وتاريخ الميلاد وكلمة مرور لحساب سيتم إعداده وإرساله إلى عنوان بريدك الإلكتروني. ولم يلاحظ صاحب البلاغ العرض إلا عندما شاهد شخصا يكتب معلوماته الشخصية ويتركها ببساطة على الطاولة. الناس يتخلون عن معلومات حساسة مثل هذه طوال الوقت، مما يجعل من السهل فقط على المهندسين الاجتماعيين سرقتها.
فن الهندسة الاجتماعية يمكن استخدامها على حد سواء الخبيثة والخير. على سبيل المثال، في عام 2009 ذهب عميل مكتب التحقيقات الفدرالي باسم ج. كيث مولارسكي متخفيا للتسلل إلى موقع سوق الظلام. وكان سوق الظلام أساسا موقع ئي باي للمجرمين ، وتألفت من مجموعة من المجرمين الذين يتاجرون أرقام بطاقات الائتمان المسروقة وأدوات سرقة الهوية. على مدى ثلاث سنوات، استخدم العميل مولارسكي مهاراته في الهندسة الاجتماعية لكسب ثقة المجرمين، بل وأصبح مديرا للموقع. وقد أثمرت مهاراته وأدت عملية اللدغة في نهاية المطاف إلى اعتقال 59 شخصا ومنع أكثر من 70 مليون دولار من الاحتيال المصرفي.
بغض النظر عن كيفية استخدام الهندسة الاجتماعية ، فهي مهارة يجب إتقانها لتكون ناجحة. على غرار الطبخ، والهندسة الاجتماعية ينطوي على “خلط المكونات الصحيحة في الكمية المناسبة” حتى تتمكن من الحصول على وجبة مليئة بالنكهة والإثارة. وعلى الرغم من أنك قد لا طهي وجبة تماما في المرة الأولى، والممارسة حتى جعل الكمال في نهاية المطاف. تبدأ وصفتك بالمكون الأول: جمع المعلومات.
الفصل الثاني: جمع المعلومات
قبل أن يذهب أي مهندس اجتماعي في ل “الهجوم”، وقال انه أو انها يجب جمع أكبر قدر ممكن من المعلومات حول الهدف. كلما عرفت أكثر، كلما زاد احتمال أن تتمكن من التأثير عليهم للتخلي عن المعلومات التي تحتاجها. على سبيل المثال، من غير المرجح أن يستجيب شخص لا يلعب الغولف إلى الإعلان الذي يعرض 50 دولارا أمريكيا من لعبة الغولف. بمجرد أن تعرف المزيد عن هدفك ، يمكنك التوصل إلى طريقة مبتكرة للتلاعب بهم ، ولا توجد معلومات آمنة.
على سبيل المثال، تم تكليف صديق هاغنادي ومرشده، ماتي أهاروني، وهو بنتستر محترف، ذات مرة بالوصول إلى شركة لها بصمة غير موجودة تقريبا على الإنترنت. مع موارد محدودة، كان ماتي عدد قليل جدا من السبل لاختراق، مما جعل الوصول إلى الشركة يثبت أن التحدي. لذلك بدأ في البحث في الإنترنت عن أي تفاصيل يمكن أن تصبح يؤدي المحتملة. في بحث واحد معين، وجد ماتي مسؤولا رفيع المستوى في الشركة استخدم بريده الإلكتروني للشركات في منتدى حول جمع الطوابع وأعرب عن اهتمامه بالطوابع من الخمسينيات.
هذه المعلومة التي تبدو بسيطة كانت “في” ماتي. وسرعان ما سجل عنوان URL على غرار http://www.stampcollection.com ووجد صورا لطوابع الخمسينات على Google. ثم قام بصياغة رسالة إلكترونية إلى مسؤول الشركة تفيد بأن جده توفي مؤخرا وترك له مجموعة طوابع يرغب في بيعها. ووجه المسؤول إلى الموقع المزيف الذي صنعه والذي كان جزءا لا يتجزأ من إطار خبيث وسيعطي السيطرة على جهاز الكمبيوتر الخاص بالهدف إلى ماتي. وسرعان ما نقر الهدف على الرابط وتم اختراق محيط الشركة على الفور.
كما ترون، كل التفاصيل البسيطة مهمة وليس هناك قطعة من المعلومات غير ذات صلة. جمع المعلومات يمكن القيام به في عدة طرق ومكان جيد للبدء هو مع الشركة أو موقع الشخص. يمكن أن تؤدي مواقع الويب إلى فهم ما تقوم به والمنتجات والخدمات التي تقدمها والمواقع الفعلية وفتح الوظائف وأرقام الاتصال وغيرها. بالإضافة إلى ذلك ، يمكن أن يؤدي اكتشاف العادات الشخصية للهدف إلى لقاء فرصة يمكن أن يوفر معلومات أكثر فائدة.
على سبيل المثال، تمكنت هادناجي ذات مرة من التسلل إلى شركة من خلال معرفة أن أحد الأعلى توقف في مقهى محلي في الساعة 7:30 صباحا. من خلال خلق “فرصة” لقاء والشروع في الرجل في المحادثة، وكان هادناجي قادرة على، من بين أمور أخرى، الحصول على بطاقة عمل ومعلومات عن عطلة الرجل القادمة. سمحت هذه الأجزاء الصغيرة من المعلومات لهاناجي بالحصول على ثقة الوزير والوصول إلى مبنى الشركة حيث ترك USBs مليئة بالبرامج الضارة ، كل ما كان يحتاجه هو موظف فضولي لإدخال USB في جهاز كمبيوتر. بالتأكيد ، يبدو أن هذه الطريقة تعمل دائما وبدأ كل شيء بمحادثة بسيطة في مقهى محلي.
الفصل الثالث: تبني هوية أو ذريعة زائفة
مثل العديد من عملاء مكتب التحقيقات الفدرالي الذين يذهبون متخفيين ، يجب على المهندسين الاجتماعيين تبني شخصيات مختلفة لكسب ثقة هدفهم. بعد أن تجمع أكبر قدر ممكن من المعلومات حول هدفك ، حان الوقت لإنشاء ذريعة. من المهم أن نتذكر أن ذريعة الجودة تبدأ ببحث جيد. على سبيل المثال ، فإن الذريعة الكلاسيكية لرجل الدعم التقني ستفشل إذا كانت الشركة التي حاولت التسلل إليها لديها دعمها الداخلي الخاص!
تذكر أنه لا توجد معلومات غير ذات صلة ، وشيء صغير مثل الاهتمام بجمع الطوابع يمكن أن يؤدي إلى ذريعة تنطوي على شخص مهتم ببيع الطوابع. على سبيل المثال، إذا اكتشف المهندس الاجتماعي أن المدير المالي يتبرع كل عام بمجموعة من المال لمركز أبحاث سرطان الأطفال، فمن المرجح جدا أن تنجح ذريعة تنطوي على جمع التبرعات لهذه القضية. في حين أنه قد يبدو بلا قلب لاستخدام سرطان الأطفال لنوايا خبيثة، والمهندسين الاجتماعيين تفعل أي شيء للحصول على المعلومات التي يحتاجونها، وسوف تتغذى على العواطف دون التفكير ثانية.
بعد هجمات 11 سبتمبر، استخدم العديد من المتسللين الخبيثين والمهندسين الاجتماعيين خسائر هؤلاء الناس لجمع الأموال لأنفسهم عبر المواقع الإلكترونية ورسائل البريد الإلكتروني التي استهدفت أجهزة الكمبيوتر الخاصة بالناس. وحدث الشيء نفسه بعد الزلازل التي وقعت في شيلي وهايتي في عام 2010 والتي طور فيها مهندسون اجتماعيون مواقع على شبكة الإنترنت متنكرين في شكل معلومات عن النشاط الزلزالي أو الأشخاص الذين فقدوا. ومع ذلك ، تم ترميز المواقع مع الرموز الخبيثة التي اخترقت أجهزة الكمبيوتر الخاصة بالناس. إنه واقع مؤسف أن المهندسين الاجتماعيين يستفيدون من سوء حظ الآخرين ، لكنه واحد من تلك الزوايا المظلمة للإنترنت الموجودة للأسف وتسمح للقراصنة الخبيثين بتشكيل ذرائع ناجحة.
طريقة أخرى لخلق ذريعة ناجحة هي إشراك المصالح الشخصية وإقناع الهدف بأنك موثوق به. إذا كنت تعتمد ذريعة التي كنت مهتما، فإنه يمنحك القدرة على تصوير الذكاء وكذلك الثقة. على سبيل المثال، إذا حاولت لعب دور فني ولكنك لم تر غرفة خادم أو قمت بتفكيك جهاز كمبيوتر، فإن ذريعتك ستكون على طريق سريع للفشل. بدلا من ذلك، يمكنك اعتماد ذريعة “طالب” ومحاولة اكتساب المعرفة من خلال المراقبة! من خلال الاهتمام بما يهم هدفك ، لديك فرصة أكبر لذريعة ناجحة.
وأخيرا، هناك العديد من الدعائم والأدوات التي يمكن أن تقطع شوطا طويلا في إقناع هدف من واقع ذريعة الخاص بك. على سبيل المثال، علامات مغناطيسية لسيارتك، مطابقة الزي الرسمي أو ملابس، والأهم – بطاقة عمل. مرة واحدة، وكان هادناجي قادرة على الحصول من خلال أمن TSA في المطار مع يختار قفل له، الماسح الضوئي RFID، ومجموعة كبيرة من معدات القرصنة ببساطة بالقول انه كان المهنية الأمنية وتسليم بطاقة عمل. بعد النظر في بطاقة العمل ، وكيل TSA ببساطة ، “أوه ، ممتاز. شكرا على التفسير.” ودعه يذهب في طريقه. ثم أدرك هادناجي قوة بطاقة عمل بسيطة. بالطبع، (هادناجي) كان يقول الحقيقة، لم تكن ذريعة، لكن هل يمكنك أن تتخيل لو كانت كذلك؟
الفصل الرابع: فن الإثارة
بالإضافة إلى القيام ببحثك لصقل ذريعتك ، يجب عليك أيضا تعلم كيفية إجراء محادثة فعالة مع هدفك. وهذا ما يسمى فن الإثارة. القدرة على استخدام الاستثارة بشكل فعال يعني أنه يمكنك طرح الأسئلة التي تجذب الناس وتحفزهم على اتخاذ المسار المطلوب للسلوك. وهذا يعني أن مهندس اجتماعي فعال يمكن أن أزياء الكلمات والأسئلة بطريقة تجعل الهدف تريد الإجابة على كل طلب. الإثارة هي تكتيك يستخدمه الجواسيس في جميع أنحاء العالم ويعرفه الأمن القومي لحكومة الولايات المتحدة بأنه “الاستخراج الدقيق للمعلومات خلال محادثة عادية وبريئة على ما يبدو”. فلماذا يعمل بشكل جيد جدا؟

أولا، معظم الناس لديهم الرغبة في أن يكونوا مهذبين، وخاصة للغرباء.
المهنيين يريدون أن تظهر على علم جيد وذكي.
إذا كنت أشاد، سوف نتحدث في كثير من الأحيان أكثر والكشف عن المزيد.
معظم الناس لن يكذبوا من أجل الكذب
وأخيرا، يستجيب معظم الناس بلطف للأشخاص الذين يبدون قلقين بشأنهم.

في الأساس ، والطبيعة البشرية هي ما يجعل من الحصول على العمل بشكل جيد. على سبيل المثال، يتذكر هادناجي الوقت الذي كلف فيه بجمع معلومات عن شركة و حقق هدفه في حدث للتواصل المحلي. اقترب من هدفه في الحانة وافتتح ب”الهروب من النسور؟” هدفه ضحك وطلب شرابا ثم قدم هادناجي نفسه وسحب بطاقة عمل، ورد هدفه بالقيام بنفس الشيء، قائلا “أنا المدير المالي لشركة XYZ”. ثم هادناجي على المنتج الناجح الذي أطلقته شركة الهدف للتو ، ثم بدأ الهدف في التباهي وإخبار المزيد عن الشركة.
وسرعان ما كان الاثنان يتحدثان عن المشروبات، واكتشف هادناجي بعض المعلومات الرئيسية التي من شأنها أن تساعده على التسلل إلى مبنى الشركة. بالإضافة إلى الحصول على أسماء أعلى المنبثقة وعندما تكون في إجازة، وقال انه اكتشف أيضا برامج المحاسبة التي استخدموها، فضلا عن تأمين الباب الأمن. لذلك، تمكنت هادناجي من التخطيط لزيارة في الموقع لإصلاح صندوق أمان “معيب” وساعة زمنية. ومن خلال إسقاط الأسماء على موظف الاستقبال وإعطاء سبب لوجوده هناك، أتيح له الوصول إلى المبنى في بضع ثوان دون أن يتم استجوابه على الإطلاق.
قاد الاستنباط هادناجي إلى النجاح ولم يسمح لموظف الاستقبال بالشك في ذريعته. كل ما يتطلبه الأمر هو محادثة بسيطة وخفيفة للحصول على بعض من أفضل المعلومات من كثير من الناس. بالطبع، ستحتاج إلى تعلم فن المحادثة الذي يمكن تحقيقه من خلال فهم هذه الخطوات الرئيسية الثلاث: كن طبيعيا، وتثقيف نفسك، ولا تكن جشعا. وبعبارة أخرى، أن يكون الثقة وضمان موقفكم والموقف تعكس تلك الثقة. الجوانب غير اللفظية لا تقل أهمية عن المحادثة نفسها. بعد ذلك ، يجب أن يكون لديك معرفة بما ستتحدث إليه أهدافك ، ولا تتظاهر أبدا بأنك تعرف أكثر مما تعرف. وأخيرا، يجب أن تكون على استعداد لتبادل المعلومات وتقديمها. لا أحد يحب أن يقصف بمجموعة من الأسئلة من جانب واحد ، لذلك حافظ على حركة المحادثة وقدم أفكارك الخاصة.
في الواقع ، اتقان الاستنباط يعني تعلم كيفية طرح المبلغ المناسب من الأسئلة. يمكن أن تغلق العديد من الأسئلة الهدف ، في حين أن عددا قليلا جدا سيجعل الهدف يشعر بعدم الارتياح. بالإضافة إلى ذلك، طرح سؤال واحد فقط في كل مرة لتجنب تجاوز الهدف. تذكر، كنت مجرد جمع المعلومات لبناء ملف شخصي، للقيام بذلك لا يمكن أن يبدو حريصا جدا أو غير مهتم.
الفصل الخامس: فهم كيف يفكر هدفك
ماذا لو أخبرتك أن من أهم مهارات المهندس الاجتماعي هو القدرة على قراءة العقول؟ من المحتمل أنك لن تصدقني قراءة العقول مستحيلة أم هو؟ حسنا، تعلم كيفية تحليل إشارات الشخص التي يعطيها في خطابه، والإيماءات، والعينين، والوجوه يمكن أن تكون فعالة تماما مثل قراءة عقولهم. الخطوة الأولى في أن تصبح “قارئ العقل” هو بناء علاقة مع الهدف الخاص بك وكسب ثقتهم. فكيف يمكنك أن تفعل هذا؟
أولا، ستحتاج إلى فهم طريقة تفكير الناس وفي أي أوضاع يفكرون. في حين أنك قد تفكر في أن هذا يبدو وكأنه وظيفة لطبيب نفساني ، إلا أنه في الواقع أسهل بكثير مما يبدو! وفقا لهادناجي، نشير بشكل رئيسي إلى ثلاثة حواس في المحادثة:

البصر ، أو المفكر البصرية
السمع، أو المفكر السمعي
الشعور، أو المفكر الحركي

فكيف يمكننا استخدام هذه الحواس لصالحنا؟ إذا تمكنا من تعلم الطريقة التي يفكر بها الناس ، ثم يمكننا التحدث بطريقة تجعل الهدف يشعر بالراحة. الناس هم أكثر عرضة للشعور بالراحة في منطقة راحتهم وأكثر استعدادا للكشف عن المعلومات لأولئك الذين يشعرون بالراحة حولها. لذا إذا وجدت شخصا يحتاج إلى النظر إليك عندما تتحدث، فمن المحتمل أنك تتعامل مع مفكر مرئي حتى تستفيد من طرح أسئلة مثل: “هل يمكنك رؤية ما أقوله؟” أو “كيف يبدو لك هذا؟” يتذكر المفكر السمعي أصوات حدث ما ويجيب على أسئلة مثل : “كيف يبدو هذا؟” وأخيرا، يهتم المفكرون الحركيون بالمشاعر وسيشعرون بالراحة مع أسئلة مثل: “كيف يشعر هذا؟” أو “كيف يجذبك هذا؟”
بالطبع، هذا ليس علما دقيقا ولكن يمكن أن يكون مفيدا جدا في كسب ثقة الآخرين. المهندس الاجتماعي الجيد لا يعتمد فقط على طرق التفكير ، ولكن بدلا من ذلك ، يستخدمه كأداة في ترسانته. أداة فعالة أخرى يستخدمها المهندسون الاجتماعيون هي شيء يسمى التعبيرات الدقيقة. التعبيرات الدقيقة هي تعبيرات الوجه التي لا يمكن السيطرة عليها بسهولة وتحدث كرد فعل على العواطف. هذه التعبيرات قصيرة وغير طوعية وقد تبدو غير مهمة للعين غير المدربة. ومع ذلك ، لمهندس اجتماعي ، يمكنهم معرفة الكثير عن هدفهم.
باستخدام التعبيرات الدقيقة ، يمكن للمهندسين الاجتماعيين تعلم التلاعب بأهدافهم. على سبيل المثال، لاحظ أحد زملاء هادناجي، توم، كيف أن هدفه سيبتسم في كل مرة يقال فيها شيء إيجابي. لذلك ، بدأ النقر على قلمه بحيث يرتبط الهدف بالنقر على القلم. في نهاية المطاف ، توم النقر على القلم عندما قيل شيء سلبي الذي ، من المفارقات ، جعل ابتسامة الهدف. على غرار تكييف بافلوف الكلاسيكي ، تعلم توم كيفية التلاعب بهدفه والحصول على الاستجابة المطلوبة ببساطة من خلال ملاحظة شيء صغير مثل الابتسامة.
التعبيرات الدقيقة ، على غرار أنماط التفكير ، ليست العلوم والمهندسين الاجتماعيين نادرا ما تعتمد على هذه الأدوات من تلقاء نفسها. بدلا من ذلك، هذه الأدوات هي مساعدة في التعرف على الهدف وجعلها تشعر بالراحة. ألا تشعر براحة أكبر عندما تعتقد أن شخصا ما يفهمك؟
الفصل السادس: أدوات مهندس اجتماعي
في عالم اليوم ، يواجه المهندسون الاجتماعيون محاولة التسلل أكثر من مجرد عقول أهدافهم. في بعض الأحيان ، يجب عليهم التسلل إلى المباني عن طريق التقاط الأقفال أو اختراق مواقع الويب باستخدام كلمات المرور. فكيف يفعلون ذلك؟ حسنا، هذا هو المكان الذي تأتي فيه بعض أدوات التجارة في متناول اليدين.
فكر في قوة كلمة المرور الخاصة بك، هل تعتقد أن كلمات المرور الخاصة بك قوية أو ضعيفة؟ في الآونة الأخيرة ، كان هادناجي يناقش قوة كلمة المرور مع صديق وكشف عن مدى سهولة “تخمين” المهندسين الاجتماعيين لكلمات مرور الأشخاص. وذكر أن العديد من الناس يستخدمون نفس كلمات المرور لكل حساب؛ فجأة، ذهب وجه صديقه الأبيض لأنها أدركت أنها تفعل هذا. ثم قال إن معظم الناس يستخدمون كلمات مرور مبسطة تجمع بين أشياء مثل اسم الزوج أو عيد ميلاده أو تاريخ ذكراهم السنوية. ذهب صديقه الظل أكثر إشراقا من شاحب. وتابع قائلا إنه في معظم الأحيان، يختار العديد من الناس أبسط “الأسئلة الأمنية” مثل “اسمك قبل الزواج (أو اسم أمك) الذي يسهل معرفة ذلك عبر الإنترنت أو بعض المكالمات الهاتفية المزيفة.
لإثبات ضعف كلمات المرور ، قام أحد القراصنة المعروفين باسم Tonu بنسخ موقع على وسائل التواصل الاجتماعي باستخدام عنوان ويب تم إسقاطه مؤخرا. 734,000 شخص سجلوا الدخول إلى هذا الموقع المزيف ووجد تنو أن 30,000 من هؤلاء الأشخاص استخدموا اسمهم الأول ككلمة مرور. واستخدم 17601 مستخدم آخر كلمة المرور “123456”. بالطبع ، حدث هذا في عام 2009 عندما لم تكن قوة كلمة المرور موضوعا معروفا على نطاق واسع. اليوم ، ومع ذلك ، فإن المهندسين الاجتماعيين لديهم أدوات لمساعدتهم على كسر كلمات المرور عندما لا تكون بسيطة مثل الاسم الأول للشخص.
يمكن استخدام البرمجيات الحرة ، مثل محلل كلمة مرور المستخدم المشترك ، أو CUPP للقضاء على أي كلمة مرور تقريبا. على سبيل المثال، عندما يجري هادناجي تدريبات أمنية، يطلب من المتطوعين كتابة كلمة مرور يعتقدون أنها آمنة. استخدام برامج مثل CUPP يسمح له لكسر كلمة المرور في أقل من دقيقتين. فكيف يعمل؟ يأخذ CUPP المعلومات الشخصية للهدف، بما في ذلك الألقاب وأعياد الميلاد وأسماء الأزواج لإنشاء ملف كلمات مرور محتملة. عادة، قد يستغرق الأمر بضعة أيام أو أقل للقضاء على كلمات المرور الضعيفة.
أدوات مهندس اجتماعي لا تنطوي دائما على جهاز كمبيوتر ، ومع ذلك. كما يجب أن يكونوا قادرين على اختراق الأمن المادي، مثل غرفة مغلقة أو خزانة مقفلة. لاختيار قفل، تحتاج فقط اثنين من العناصر: اختيار ومفتاح التوتر. اختيار هو قطعة طويلة من المعدن الذي ينحني في نهاية المطاف، على غرار أداة طبيب الأسنان. تصل إلى داخل القفل وتحريك دبابيس صعودا وهبوطا حتى تكون في الموقف الصحيح. وجع التوتر هو جهاز معدني مسطح صغير يسمح لك بالضغط على القفل أثناء استخدام الانتقاء.
لاختيار قفل، أولا، إدراج وجع التوتر في ثقب المفتاح وتحويله في نفس الاتجاه كنت بدوره المفتاح. المهارة هنا هي معرفة مقدار التوتر لإضافة التي سوف تتخذ الممارسة. بعد ذلك ، ستقوم بإدراج الانتقاء واستخدامه لرفع الدبابيس واحدا تلو الآخر حتى تشعر أنها تقفل في مكانها. ستسمع نقرة خفيفة عندما يقع دبوس علوي في موضعه ، وبمجرد الحصول على جميع الدبابيس في موضعها ، ستكون حرا في تدوير القفل بحرية!
الفصل السابع: حماية نفسك من هجمات الهندسة الاجتماعية
الخطوة الأولى في حماية نفسك من الهجوم هي التعرف على الهجمات، بعد كل شيء، المعرفة هي القوة، أليس كذلك؟ هذا لا يعني أن عليك أن تصبح خبيرا في الهندسة الاجتماعية ، بدلا من ذلك ، تبحث عن علامات على أن شخصا ما يحاول خداعك يمكنك حمايتك من الأذى في المستقبل. على غرار الطريقة التي تعلم بها أطفالك ما يجب القيام به في حالة خطيرة ، يجب أن تفعل الشيء نفسه عندما يتعلق الأمر بأمنك عبر الإنترنت. لا تنتظر ببساطة حدوث هجوم، قم بتسليح نفسك وعلم نفسك والآخرين ما يجب البحث عنه.
عندما يتعلق الأمر بالهندسة الاجتماعية ، يمكن أن تكون أي وجميع المعلومات مفيدة وقيمة للمهاجم. لذلك، قبل إعطاء معلومات لشخص ما، حدد ما إذا كان الشخص الذي يتصل يستحق التفاعل معك. كبشر، نشعر بالحاجة إلى أن نكون مفيدين، ولكن تحليل الشخص الذي تتفاعل معه يمكن أن ينقذك من أن تصبح ضحية. يجب عليك البحث عن العديد من “الحيل” من قبل المهندسين الاجتماعيين بما في ذلك أولئك الذين يتبنون ذريعة عميل في محنة يحتاج إلى مساعدة.
على سبيل المثال، قام مهندس اجتماعي باختبار أمان شركة مكافحة الفيروسات مرة واحدة عن طريق استدعاء الدعم الفني مع “مشكلة خطيرة”. وأوضح المهاجم أنه لا يستطيع الحصول على الانترنت وانه يشعر أنه كان بسبب شيء مكافحة الفيروسات كان يفعل، وقال انه يريد ممثل الدعم التقني أن تفعل شيئا واحدا فقط بسيطة: تصفح موقع على شبكة الانترنت. من خلال قيادة ضحية إلى موقع ويب مضمن مع تعليمات برمجية ضارة ، يمكن للمهاجمين الوصول إلى جهاز الكمبيوتر والشبكة الخاصة بالهدف. في هذه الحالة، سأل المهاجم عدة مرات إذا كان يمكن للممثل الانتقال إلى موقع الويب للتحقق مما إذا كانت المشكلة هي برنامج مكافحة الفيروسات. ورفض الممثل طلب المعتدي عدة مرات؛ ومع ذلك ، شملت جهوده الأخيرة عبارة ” من فضلك ، هل يمكنك مساعدتي؟” وكان هذا النداء البسيط كل ما تطلبه الأمر من الممثل للتنقل إلى الموقع الخبيث. وبطبيعة الحال، كان هذا السيناريو مجرد اختبار ولكن لو كان حقيقيا، لكانت النتائج مدمرة.
كما سيلجأ المهندسون الاجتماعيون إلى التسريب والسحر لكسب ثقة ضحاياهم. قد يسألون عن كيفية الطقس أو شيء يتعلق بالعمل أو المنتج أو أي شيء على الإطلاق للحصول على أكبر قدر ممكن من المعلومات. لذلك ، سيكون من المفيد للشركات أن تفعل ما يكرهه الكثير منها: تطوير النصوص. حسنا، ليس بالضرورة سيناريو الذي يجب أن يقول الموظف X إذا كان الوضع يساوي A زائد B. بدلا من ذلك، تطوير المخططات التفصيلية لمساعدة الموظف على الاستعداد لكافة أنواع السيناريوهات.
يمكن أن يكون السيناريو بسيطا. على سبيل المثال، قل إن شخصا ما يتصل ويدعي أنه من مكتب الإدارة ويطالب بالامتثال إما لتسليم المعلومات أو البيانات الداخلية. يجب على الموظف أولا طلب رقم هوية الموظف واسم الشخص. لا تجب على أي أسئلة حتى تحصل على هذه المعلومات. إذا تم توفير المعلومات، اطلب رقم معرف المشروع المتعلق بالمشروع الذي يقوم بإدارته ويتطلب هذه المعلومات. ببساطة عن طريق طلب هذه الأرقام التعريفية ، يمكنك حماية نفسك من الهجمات الخبيثة.
الفصل الثامن: الملخص النهائي
كما تصبح الشركات أفضل في حماية معلوماتهم على الانترنت، يجب على المهندسين الاجتماعيين الإختراق أكثر من مجرد أجهزة الكمبيوتر، يجب أن الإختراق العقل البشري. من خلال فهم كيفية عمل المهندسين الاجتماعيين ، يمكنك حماية نفسك بشكل أفضل من الهجمات وحماية أعمالك وعائلاتك وأطفالك واستثماراتك وحياتك. يقول ماتي أهاروني، معلم هادناجي، “إن السبب في فوز الأشرار عادة هو أن لديهم التفاني والوقت والدافع إلى جانبهم. لا تدع الحياة في طريق الأمن. وعلى العكس من ذلك، لا تدع الكثير من الخوف من الأشرار يمنعك من الاستمتاع بالحياة”. تماما كما مهندس الاجتماعية الخارقة عقل الضحية، يمكنك الإختراق عقل المهاجم الخاص بك وتسليح نفسك مع الحماية والمعرفة لمنع مثل هذه الهجمات الخبيثة.

اترك تعليقًا

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

شعار ووردبريس.كوم

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   /  تغيير )

Google photo

أنت تعلق بإستخدام حساب Google. تسجيل خروج   /  تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   /  تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   /  تغيير )

Connecting to %s