0555333017

اهلا بكم فى الموقع الرسمى للمهندس خالد ابو ابراهيم

 المدير التنفيذي للمضيف الاول للاتصالات وتقنية المعلومات (ون هوست) والخبير في مواقع التواصل الاجتماعي 

:الهندسة الاجتماعي والتي من خلالها يتم التحايل على مدراء الانظمة واستخراج المعلومات المهمة منهم وبعض الامثله على الاساليب المتبعة لمستخدمي الهندسة الاجتماعية

 

 
: السلام عليكم ورحمة الله وبركاتة في سياق أمن المعلومات والأمن الرقمي، الهندسة الاجتماعية هي فن استخدام الحنكة والحذاقة لخداع الشخص بحيث يقوم بشكل إرادي بكشف معلومات سرية أو بإعطاء المهاجم الفرصة للوصول للمعلومات السرية.
لا تعتمد أساليب الهندسة الاجتماعية على معرفة تقنية عميقة بالتالي يتسطيع أي شخص يتوافر لديه قدر معين من الحنكة والدهاء القيام بهجمات الهندسة الاجتماعية.
أغلب من يقوم بهجمات الهندسة الاجتماعية هواة وغير خبراء، لكن إن ترافقت المعرفة التقنية بأساليب الهندسة الاجتماعية فإن ذلك يشكل تهديد أكبر بكثير من مجرد المعرفة التقنية أو الحنكة بشكل فردي... 
وتعلمون جيداً ماذا حصل لبعض الوزارات والجهات الحكومية واليوم عندي عنوان الفقرة التقنية الهندسة الاجتماعية ماهي وذكر اساليب الهندسة الاجتماعية وضرب امثلة عليها   
: أساليب الهندسة الاجتماعية
نحاول فيما يلي سرد أهم أساليب الهندسة الاجتماعية التي يعتمد عليها المهاجمون لإيقاع ضحاياهم. نتمنى من اخواني الاعضاء بعد معاينة اللائحة محاولة التفكير بأساليب أخرى قد يعتمدها المهاجمون. فالمهاجمون يفكرون أيضا بشكل مستمر بأساليب جديدة لخداع الضحايا. 
: استغلال الشائعات
تعتمد أغلب عمليات الاحتيال للحصول على كلمات السر أو للسيطرة على الحواسيب على تغليف البرامج الخبيثة أو الرابط الخبيث في غلاف جذاب يغوي الضحية إلى تشغيله أو فتحه.
يكون الغلاف الجذاب عادة مصمما للضحية أو مجموعة الضحايا. في كثير من الأحيان يستغل المهاجمون الشائعات, 
بغض النظر عمن وراء الشائعات, كغلاف جذاب لتمرير المحتوى الخبيث,
تنتشر الشائعات بشكل سريع جدا ضمن شبكات التواصل الاجتماعي ومنها فيسبوك وتويتر وانستقرام. 
بالتالي تكون المساهمة في نشر الشائعات بشكل أو بآخر مساهمة في تسهيل عمل من ينوي استغلال الشائعات لتغليف روابطهم الخبيثة.
تؤثر أيضا الشائعات على العالم الحقيقي, فقد تؤدي لاصحاب القرار لاتخاذ قرارات مبنية على معلومات خاطئة ما يؤدي لانكشاف مزيد من المعلومات التي يمكن استغلالها لمزيد من هجمات الهندسة الاجتماعية أو غيرها من الهجمات الخبيثة. 
: استغلال عواطف الضحية وطباعه الشخصية
يقصد باستغلال العواطف استخدام نصوص أو صور تخاطب عاطفة الضحية وتؤدي إلى سقوطه في فخ فتح وتشغيل الملف الخبيث أو فتح رابط خبيث. 
يمكن أن تكون العواطف العواطف عواطف كالحقد، الانتقام، الحزن، الكره والنقمة... أو عواطف كالحب، الشوق، الحنين، الاعجاب... وغيرها. يمكن أيضا للمهاجم استغلال حشرية المستهدف أو غروره أو بحثه الذي لم ينته عن الحبيب أو عن علاقة عاطفية مشروعة أو غير مشروعة وهكذا.
استغلال المواضيع الساخنة
بشكل مشابه لاستغلال الشائعات, يستغل المهاجمون المواضيع الساخنة لتمرير عمليات احتيالهم.
بعكس الشائعات, المواضيع الساخنة أخبار حقيقية ولا تحتوي على تضخيم أو افتراء. تنتشر عادة بسرعة على وسائل الإعلام ذات المصداقية العالية بشكل أخبار عاجلة.
كل هذا يجعلها طعما مناسبا لإيهام الضحية بأن الرابط المرفق مع الرسالة مثلا هو أيضا "وديع" وأن صاحب الرابط المرفق "صادق" في ادعائه حول محتوى الرابط كما الرسالة صادقة في نقل الأخبار الساخنة. 
: استغلال موضوع الأمن الرقمي وضعف الخبرة التقنية للضحية
في هذا النوع من الهندسة الاجتماعية يدعي المهاجم أن رابطا ما أو ملفا ما سيسهم بحماية جهاز الضحية. في حين أنه في الحقيقة الملف ملف خبيث أو الرابط خبيث. 
: انتحال الشخصية Identity Theft
يمكن للمهاجم أن ينشئ مثلا حساب على فيسبوك, أوحساب تويتر, حساب إيميل, أو حساب سكايب, باسم مستعار أو باسم مطابق لاسم صديق لك أو لاسم شخص تعرفه بنية انتحال الشخصية.
يمكن لمنتحل الشخصية استغلال الثقة للحصول على معلومات ما أو لاستجرارك لإضافته إلى مجموعة سرية معينة وما إلى ذلك.
في كثير من الأحيان يستطيع منتحلوا الشخصية خداع ضحاياهم باستخدام مهارات التحايل دون الحاجة لمقدرات تقنية لذلك يعتبر انتحال الشخصية من أساليب الهندسة الاجتماعية Social Engineering.
بالطبع الحصول على كلمة سر لحساب شخص ما في فيسبوك او تويتر واستغلال حسابه لانتحال شخصيته يسهل مهمة الحصول على المعلومات بشكل كبير جدا, كما يسهل أيضا استغلال الحساب المخترق لاختراق حسابات جديدة عبر استخدام الحساب المخترق لسرقة كلمات السر بالاحتيال مثلا. 
: استغلال السمعة الجيدة لتطبيقات معينة
هنا يدعي المهاجم أن رابطا أو ملفا هو نفسه النسخة المحدثة مثلا من تطبيق معين، لكنه في الحقيقة يتضمن ملفا خبيثا. 
وهناك أيضا حالات أخرى يقوم فيها الرابط بتحميل الملف الخبيث وتنصيبه ثم تحميل التطبيق الحميد الحقيقي وتنصيبه بحيث يعتقد الضحية أنه قام بتنصيب التطبيق الحميد ولا يعلم أنه قام بتنصيب الملف الخبيث. أما الحالات الأكثر دهاءا نسخة معدلة عن التطبيق ذو السمعة الجيدة يبدو ويعمل كالتطبيق الحقيقي لكنه يتضمن في الوقت نفسه جانب خبيث 
: اصطياد كلمات السرّ Passwords Phishing
هي طريقة للحصول على كلمة سر مستخدم لخدمة ما أو موقع ما على الإنترنت. تعتمد الطريقة على إيهام الشخص المستهدف بأنه على الموقع الصحيح المعتاد حيث يدخل كلمة سره عادة للدخول إلى حسابه على الموقع (كموقع البريد الالكتروني) 
لكن في الحقيقة يكون الموقع موقعا "شريرا" يديره أحد لصوص كلمات السر. 
بالتالي إذا خدع المستخدم وأدخل كلمة سره في ذلك الموقع تصل كلمة السر بكل بساطة إلى اللص. للمزيد 
: استغلال التواجد الفيزيائي للمهاجم قريبا من الضحية
نقصد بذلك أن يكون المهاجم والضحية مثلا في نفس القاعة أو نفس الفندق. في هذه الحالة قد يستخدم المهاجم الحنكة للوصول إلى الحاسب المحمول للضحية مثلا أو إلى هاتفه. 
: خيانة الثقة
في كثير من الأحيان يكون المهاجم صديقا أو زميلا للضحية. يستغل المهاجم ثقة الضحية به بسبب طبيعة علاقة الصداقة بينهما أو بسبب الزمالة في المهنة أو المؤسسة حيث يعملا. 
فقد يطلب المهاجم من الضحية ببساطة كلمة سر حسابه. أو يطلب منه فتح رابط معين يرسله عبر البريدالالكتروني أو يطلب منه فتح رابط أو ملف معين يمرره له على يو إس بي ستيك USB stick. قد يقوم المهاجم بالتلصص على زميله خلال إدخاله كلمة سر حسابه. 
استغلال الثقة أحد أكثر أساليب الهندسة الاجتماعية شيوعا. ينصح الخبراء بألا تثقوا بأحد. لكن هناك أيضا مساوئ كثيرة لعدم الثقة بأحد. لذلك ننصح بالتعاطي بحذر دائما مع الجميع خاصة مع التغيرات الكبيرة في طبيعة العلاقات الاجتماعية التي أتت بها ثورة تقنية المعلومات إلى عالمنا المعاصر.   
: نكتفي الان بهذا القدر من الاساليب وكمان قامت صلاة العشاء وعندي اذاعة الساعة 9 تشرفني متابعتكم لي وسوف اذكر لاحقاً أمثلة على هجمات الهندسة الاجتماعية ونصائح لتفاديها