منتديات الامن والحماية
أهلا وسهلا بك زائرنا الكريم في منتديات الامن والحماية ، إذا كانت هذه زيارتك الأولى للمنتدى، يشرفنا أن تقوم بالتسجيل للمشاركة في المنتدى او ظهور الروابط، أما إذا رغبت بقراءة المواضيع والإطلاع فتفضل بزيارة القسم الذي ترغب أدناه.


منتديات الامن والحماية تعليم الحماية كشف تلغيم حل مشاكل الويندوز تسريع الويندوز برامج حماية برامج مجانية كراك اقوى البرامج تعليم نظام لينكس تحميل نظام لينكس احتراف نظام لينكس اخر اخبار الاكترونيات
 
الرئيسيةالتسجيلدخول

شاطر | 
 

 مفهوم الهندسة الاجتماعية في امن المعلومات

استعرض الموضوع السابق استعرض الموضوع التالي اذهب الى الأسفل 
كاتب الموضوعرسالة
5Lo0oDy HaCkEr
Admin
Admin
avatar

عدد المساهمات : 379
تاريخ التسجيل : 15/05/2014
الموقع : http://anonymous32.allgoo.net

مُساهمةموضوع: مفهوم الهندسة الاجتماعية في امن المعلومات   الخميس يونيو 26, 2014 10:46 pm

كثيرا ما نسمع في حياتنا اليومية عن مصطلح المهندس الاجتماعي وقد يتبادر إلى الأذهان أنه الشخص المصلح , بينما هو في الحقيقة عكس ذلك , فهو الشخص المهاجم الذي يهاجم من أجل الحصول على المعلومات الشخصية , أو من أجل اختراق أنظمة الشركات أو القطاعات الحكومية .
“وقد بدأت الهندسة الاجتماعية مع أكبر مهاجم : كيفين ميتنيك, الذي يعد من أبرع من استخدم أساليب الهندسة الاجتماعية والذي صرح في مقابلة معه أن 50% من الاختراقات التي يقوم بها كانت بسبب تمكنه من الحصول على معلومات سرية وخطيرة من المسئولين في المراكز الحساسة”, ومن هذا الاعتراف نستنتج أن استغلال الجانب البشري هو من أنجح الأساليب والطرق المستخدمة من قبل المهندسين لتحقيق هدفهم وذلك ” عن طريق انتحال شخصية موظف مصرح له. و عادة ما يستخدم منتحل الشخصية)الهاكرزز) الهاتف أو البريد الالكتروني كأدوات لهذا الهجوم ولكن الهندسة الاجتماعية لا تقتصر فقط على المكالمات الهاتفية ورسائل البريد الالكتروني وإنما هناك عدة طرق لتنفيذ هذه الهجمات .
“وفي أخر الإحصائيات التي تم إجراؤها في سنة 2006من معهد للحاسبات في الولايات المتحدة الأمريكية اتضح أن بنسبة 90%من 503 شركات أظهروا تقارير للاختراق المعلومات.
ومن هذا الإحصاء يتضح انه لابد من الحذر من الهاكرز (منتحل الشخصية) فهو غالباً ما سيبدو باحترام وذي أخلاق رفيعة وليزيد من واقعية الانتحال يقدم هو معلومات صحيحة للموظف (الضحية) كاسم مدير القسم أو أسماء موظفين يعملون في نفس الشركة ” , فلابد استخدام طرق للحماية ضد هذه الهجمات من خلال وضع سياسات أمنية للشركة وتدريب موظفيها وتثقيفهم وزيادة الوعي عندهم , واستخدام الحلول والطرق التقنية كذلك .
الكلمات المفتاحية:
الهندسة الاجتماعية , انتحال الشخصية , المهاجمين ( المهندسين الاجتماعين) , سرقة المعلومات السرية
المقدمة:
نظرا لخطورة الهندسة الاجتماعية وانتشارها فإنه في هذا المقال سوف نوضح مفهوم الهندسة الاجتماعية, والهدف منها, وأنواعها, وسوف نبين الوسائل المستخدمة في كل نوع, وطرق الحماية منها.
التعريف:
هناك عدة تعريفات للهندسة الاجتماعية ومن أشهرها: أن الهندسة الاجتماعية هي طريقة الهجوم المستخدمة من قبل العديد من المهاجمين, و التي تستفيد من طبيعة البشر ونقاط الضعف فيها, للتلاعب عليهم وخداعهم بكسب ثقتهم وذلك من أجل الحصول على المعلومات السرية سواء كانت كلمات المرور الخاصة بالأشخاص أو أي معلومة حساسة مالية أو غيرها من حساسية المعلومات الشخصية, “وقد يكون الغرض منها هو تثبيت برامج تجسس بشكل سري أو أي برامج أخرى خبيثة, أو دخول الأشخاص الغير مخول لهم إلى نظام الكمبيوتر”.
وفي الغالب نجد أن المهندسين الاجتماعين (المهاجمين ) لا يملكون أي مهارات تقنية وإنما يستغلون الجانب البشري لأنه أضعف جزء في أمن الشركة أو المنظمة حيث يستخدمون مهارات التعامل مع البشر لاستدراجهم وسؤالهم ويعتمدون على خداعهم.

الهدف من الهندسة الاجتماعية :
نستنتج من التعريف السابق, أن هدف المهندسين الاجتماعين (المهاجمين) هو خداع الأشخاص للحصول على المعلومات السرية كما سبق ذكره, أو للدخول الغير شرعي للأنظمة واختراقها أو تدميرها.

أنواع الهندسة الاجتماعية:
يمكن أن تصنف الهندسة الاجتماعية إلى نوعين:
النوع الأول: يعتمد على الجانب البشري وهو الغالب والأكثر شيوعا , حيث يتفاعل المهاجم مع الأشخاص للحصول على المعلومات المطلوبة.
النوع الثاني: يعتمد على تقنية الكمبيوتر, حيث يستخدم المهاجم برامج من خلالها يسترجع المعلومات المطلوبة.

الوسائل المستخدمة في الهندسة الاجتماعية :
في النوع الأول :
هناك عدة وسائل والتي سوف أقوم بشرحها في الأسطر التالية, حيث يستخدمها المهاجم للكشف عن المعلومات السرية التي لا تنحصر في كلمة السر فقط و إنما تتعداها إلى المعلومات الحساسة الخاصة بالشركة فعلى سبيل المثال : خطط عمل الشركة أو خطط التسويق المستقبلية .
ومن أشهر هذه الوسائل :
1- ” ويسمى كذلك “بالهجوم المباشر:
حيث أن المهاجم يسأل الضحية مباشرة ليكمل له المهمة(مثلا، مكالمة السكرتارية و سؤالها عن اسم المستخدم و كلمة السر) و لأن هذه الطريقة هي أسهل طريقة و أكثرها مباشرة فهي نادرا ما تنجح، و إن كان الضحية ذا حس أمني فسوف يسارع بتغيير بياناته.”
2- ”انتحال شخصيات مثل عميل أو مراجع أو موظف تقني للحصول على الأرقام السرية أو أي معلومات تساعد على اختراق النظام عن طريق الموظف نفسه وبشكل مباشر دون استخدام أي تقنيات الكترونية، فهم يقومون باستخدام مهارات الهندسة الاجتماعية للحصول على اسم المستخدم، أو اسم النظام، أو الرقم السري أو طلب كتابة أوامر تساهم في فتح ثغرات في النظام أو تُعطي صلاحيات خاصة. مثال على ذلك، أن يتم الاتصال الهاتفي بالموظف أو مقابلته في مقر عمله على أن هناك مشكلة تحتاج إلى إصلاح أو أمر طارئ يستدعي الدخول على النظام مع إيهام الموظف انه إن لم يقدم المساعدة فإن المدير سيغضب منه، وقد يتم ذلك عن طريق عرض المساعدة في تركيب برامج أو ضبط إعدادات الحاسب الآلي أو قد يدعي احدهم بأنه موظف جديد ويحتاج لمساعدة مستغلين بذلك الزمالة الوظيفية وحسن النية وحب مساعدة الآخرين. وبالتالي تتم عملية الاختراق والحصول على معلومات قد تستخدم في علميات إرهابية أو تتعرض لأسرار أمنية أو مالية للشركات وللأجهزة الحكومية والأهلية”.
3- البحث في سلة المهملات :
حيث يقوم المهاجم بالبحث في صناديق القمامة عن قوائم لكلمات السر التي تم رميها مسبقا, أو عن أي معلومات تخص الطابعات, أو تخص دليل المستخدم لأي نظام , ومن ثم يستخدمها كوسيلة في هجماته.
4- النظر من خلف مستخدمي الكمبيوتر وهم يضعون كلماتهم السريةShoulder surfing” “
“وهي طريقه يستخدمها المهاجم لرؤية الشخص عند كتابته للرموز السرية إما أن يختلس النظر أو أن يكسب ثقة الشخص بحيث لا يمانع وجوده في نفس المكان وبذلك يستطيع أن يضمن رؤيته للرموز عند ضغطها على الحاسوب أو كتابتها ” و بالنظر إلى الصورة 1 يتضح المفهوم أكثر .
Shoulder_Surfing
في النوع الثاني :
ومع تطور التكنولوجيا نجد أن المهاجمين دمجوا التكنولوجيا في مخططاتهم, لشن هجمات أكثر إبداعا, وتطورا, وتدميرا, ومن أشهر التقنيات المستخدمة:
1-التصيد: Phishing
في أمن المعلومات ، يعرف التصيد على انه عملية احتيالية ” لمحاولة الحصول على معلومات حساسة مثل أسماء المستخدمين , كلمات السر وتفاصيل بطاقات الائتمان عن طريق التنكر ككيان موثوق فيه في الاتصالات الالكترونية” [5] التي قد تكون من خلال البريد الالكتروني أو مواقع الشبكات الاجتماعية ، أو مواقع الدردشة التي يتساهل فيها المستخدم بنشر معلوماته الشخصية متجاهلا خطورتها .
101- الاحتيال عن طريق رسائل البريد الالكتروني و المواقع على شبكة الانترنت :
البريد الالكتروني يوفر الفرص العظيمة للمهاجم فعلى سبيل المثال ، قد يتلقى الشخص رسالة في بريده الإلكتروني التي تبدو أنها آتية من مصدر موثوق فيه , كالبنك الخاص به أو غيرها من المؤسسات المالية التي تطلب منه تحديث معلومات حسابه, و في هذه الرسالة ، يوضع رابط مزيف أو وهمي على الشبكة العنكبوتية و الذي يظهر كأنه رابط حقيقي للموقع الالكتروني الخاص بالبنك أو المؤسسة ، فإذا قام الشخص بإدخال اسم المستخدم وكلمة السر الخاصة به وغيرها من معلوماته الشخصية فإن المهاجم يتمكن من سرقة هذه المعلومات لينتحل شخصية هذا الشخص بدون علمه , وفي الصورة 2 ما يوضح ذلك .
والتصيد عن طريق رسائل البريد الإلكتروني غالبا ما يتضمن أخطاء إملائية، وسوء استخدام قواعد اللغة، والتهديدات، والمبالغات.
وفي رسائل البريد الالكتروني قد يرفق المهاجم ملفات فيها فيروسات ” ومن أشهر الفيروسات هي
I LoveYou ‘ Anna Kournikova ‘ ]1
Phishing-attack
2- النوافذ المنبثقة:
وهي النوافذ التي تظهر على الشاشة وتخبر المستخدم بأنه قد فقد اتصاله بالشبكة, ويحتاج إعادة إدخال اسم المستخدم وكلمة السر الخاصة به, لكن توجد برامج مخفية تقوم بجمع المعلومات الخاصة بالمستخدم وإرسالها إلى البريد الالكتروني الخاص بالمهاجم.
طرق الحماية من الهندسة الاجتماعية :
تعد الهندسة الاجتماعية من الثغرات الأمنية التي يصعب منعها وحصرها, لأنها تعتمد و بشكل كبير على طبيعة البشر. لذا نلاحظ أن هناك الكثير من هذه الهجمات يمكن صدها إذا كان الناس يدركون بما يحيط بهم.
وفيما يلي قائمة من التوصيات حول كيفية منع هذه الهجمات وطرق للحماية منها:
1- السياسة:
يجب إنشاء سياسة أمنية قوية للشركة ووضع تعليمات للموظفين و قد تكون بشكل أوامر تصدر من إدارة الشركة, أو تكون في شكل عقد يوثق من قبل الطرفين (الشركة والموظف) وتكون هناك عقوبات صارمة للموظفين عند التخلف عن إتباع هذه السياسة.
وهذه السياسة تكون بشأن ما يلي:
- ما الذي يجب عمله عندما تنكشف كلمة السر[6]
- من هم الأشخاص المخول لهم بالدخول إلى أماكن العمل[6]
- ماذا تفعل عندما ترد عليك أسئلة من موظف أخر للكشف عن المعلومات المحمية
- “يجب التحقق من هوية أي شخص يطلب معلومات عن جهازك أو حسابك أو معلوماتك الشخصية أو أي معلومات عن حساب لموظف آخر وذلك بالاتصال” [4] بهيئة التحقق من خصائص الهوية.
- “لا تقم بإتباع تعليمات غريبة أو مريبة تتعلق بالأجهزة الإلكترونية وكذلك لابد من التحقق من هوية الشخص المصدر لهذه التعليمات والأوامر وأحقيته في إصدارها حتى لو ادعى أن الأمر طارئ.لا تشارك بالاستبيانات الهاتفية حتى لو كانت من داخل الجهاز نفسه لأنه قد تستغل لدس أسئلة بين الاستبيان للحصول على معلومات تساعد على الاختراق.” [4]
- تحميل برنامج مكافحة الفيروسات, وتجديده ما بين كل فتره وأخرى.
- “التخلص من الأوراق فور الانتهاء منها باستخدام آلة تقطيع الورق ويفضل استخدام النوع الذي يقطع الورق بشكل عامودي وأفقي “[3]
و يفضل أن تكون هذه السياسة متضمنة خطة الحفاظ على استمرارية العمل أثناء وبعد حصول الهجمة.
2- التدريب:
يعد تدريب الموظفين من العوامل المهمة لمنع هذه الهجمات , ويتم تعليمهم عن السياسة المتبعة في الشركة وتدريبهم بإقامة دورات تثقيفية يشرح لهم فيها ماهية الهندسة الاجتماعية و الهدف المنشود وراءها وكيفية التصدي لها ويفضل أن يكون تدريبهم بشكل مرح وشامل لجميع النواحي , ويفضل أن تكون هذه الدورات ما بين كل فترة وأخرى كأن تكون من أربع إلى ستة أشهر , ولابد في هذا التدريب أن نركز على التقنيات التي يستخدمها المهاجم والأثر المترتب على الأفراد من جراء حصول مثل هذه الهجمات .
ومن الممكن منح مكافآت للموظفين الذين يقبضون على من يحاول بالهجوم, وتختلف هذه المكافآت على حسب الشركة فقد تكون شهادة تقدير أو مال نقدي أو إجازة لمدة يوم.
3- الوعي بأمن المعلومات :
كثير من الشركات والأفراد يكون جل اهتمامهم بالهاكرز ويركزن على الجانب التقني فقط و يغفلون الجوانب الأخرى وينسون كذلك أن الهندسة الاجتماعية هي احد أنواع الهجمات لذا يجب على الشركة توعية الناس بكل أنواع الهجمات وتوضيح لهم كيفية تقليل خطر التعرض للهجوم من جميع الجهات .
الخلاصة:
إن ما ذكر في هذا المقال ما هو إلا نبذة بسيطة عن الهندسة الاجتماعية, التي تعد وسيلة عظيمة و أداة خطيرة جدا, لأنها في تطور مستمر يجعلها تتغلب على الحلول التقنية لذا أرى أن الحل الأمثل للتصدي لها هو زيادة وعي الأشخاص وذلك من خلال ما ذكرته مسبقا.

الرجوع الى أعلى الصفحة اذهب الى الأسفل
http://anonymous32.allgoo.net
 
مفهوم الهندسة الاجتماعية في امن المعلومات
استعرض الموضوع السابق استعرض الموضوع التالي الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
منتديات الامن والحماية  :: حماية الاجهزه :: الهندسة العكسية والاجتماعيه-
انتقل الى: