الهندسة الاجتماعية و كيفية مواجهتها و تقليل مخاطرها

364 مشاهدة
17 دقائق

كان بيل Bill  و هو مدير أمن المعلومات في مؤسسة مهمة في طريق عودته إلى المنزل من العمل عندما تلقى مكالمة تتعلق بالهندسة الاجتماعية جعلته يعود على الفور إلى مكتبه. كان موضوع هذه المكالمة يتعلق بنوع الهجمات الذي كان ذلك المدير يكرس أغلب ساعات عمله لتجنبها. لم يتم إعطاؤه الكثير من التفاصيل عبر الهاتف ، ولكن يبدو أن أندريه ، وهو شخص يعمل في القسم المالي ، وقع للتو ضحية لعملية احتيال و دفع مبلغ ضخم. إنها عملية احتيال!!

هجوم محكم

بالنسبة للموظف الضحية -أندريه- فقد “كان لدى المتصل معلومات داخلية تبدو حقيقية جداً” . اتصل شخص ما بأندريه قبل دقائق قليلة من انتهاء مناوبته ، مدعياً أنه موظف من شركة شريكة بدأوا مؤخراً التعاون معها في مشروع مهم. بدا الشخص المتصل بالمكالمة حزيناً وشبه مذعور.

زعموا أن إحدى فواتيرهم لم تُدفع بعد. نظراً لأنه كان من المقرر أن تبدأ المرحلة التالية من المشروع يوم الاثنين ، فقد كانت هذه فرصتهم الأخيرة لتسديد الفاتورة. بدلاً من ذلك ، سيتعين عليهم تجميد المشروع مؤقتًا مما سيؤثر سلباً على الجدول الزمني الإجمالي للمشروع والتسليمات. كل هذا بدا معقولاً تماماً لأندريه. لقد كانوا بالفعل يتعاونون في المشروع الذي ذكره المتصل ، وكان الجدول الزمني دقيقاً ، وكانت الأسماء التي ذكرها المتصل هي بالفعل للمعنيين بالمشروع. أصر المتصل على إرسال الفاتورة عبر البريد الإلكتروني ، وقام أندريه بمعالجة تلك الفاتورة. لكنه بعدها أحس بشعور غريب. لذلك عاد إلى قاعدة البيانات الخاصة به وفحص تفاصيل الحساب. من المؤكد أنهم كانوا مختلفين. ولكن بعد فوات الأوان.

الهندسة الاجتماعية باستخدام أدوات متعددة

أدرك بيل على الفورما حدث – لقد كان هجوم تصيد احتيالي يجمع بين vishing (عملية الاحتيال عبر الهاتف) والتصيد الاحتيالي عبر البريد الإلكتروني phishing صار لزاماً عليه الإبلاغ عن الحادث والتحقيق في الأمر. كما أظهر التحقيق لاحقاً ، قام المتصل بتزييف رقم الهاتف وجعله يبدو كما لو كانت المكالمة قادمة بالفعل من الشركة الشريكة. كان هذا أيضاً أحد الأسباب الرئيسية التي جعل أندريه يثق في أن المكالمة كانت صحيحة وأحد الأدوات الرئيسية التي يستخدمها المهاجمون السيبرانيون لبناء الثقة مع أهدافهم.

حماية مؤسسة من هجمات الهندسة الاجتماعية ليست مهمة سهلة وفقاً لـ Ahead Threat intelligence community . بل إنها لعبة غير متكافئة تكون فيها المعلومات والتعليم والاستراتيجية ذات أهمية قصوى. تعد الهندسة الاجتماعية خياراً جذاباً جداً لمجرمي الانترنت . إنها طريقة منخفضة التكلفة ومنخفضة المخاطر وذات مردود عالي. بينما كانت التكنولوجيا الأمنية تتقدم ، ظلت نقاط الضعف البشرية كما هي. تأثير التحفيز والاستجابة في البشر ثابت ، واستغلال نقاط الضعف هذه ناجح باستمرار. ليس من المستغرب أن معظم تقارير التهديدات أو تقارير رؤى الأمن السيبراني قد أدرجت هجمات الهندسة الاجتماعية والأخطاء البشرية كواحد من أهم 3 تهديدات خلال السنوات القليلة الماضية . هذا ليس اتجاهاً يبدو أنه يزول. بدلاً من ذلك ، يبدو أن مجرمي الانترنت يجدون باستمرار المزيد من الطرق لاستغلال البشر.

مراجعة استراتيجات الحماية

هناك شكوك حول المعلومات التي تم استغلالها لبناء الهجوم. هل كانت التفاصيل التي عُرضت على أندريه “معلومات داخلية”؟ أم أنها كانت متاحة للجمهور؟ هل كانت هناك عملية أو سياسة من شأنها أن تمنع ما حدث؟ هل يمكن التنبؤ ببعض جوانب هذا الهجوم وربما منعه أو اكتشافه؟ بينما يمكن لفريق الأمن السيبراني تحديد وإدارة بعض المخاطر ونواقل الهجوم المحتملة بشكل استباقي ، يجب أن نتذكر أن الأمن السيبراني هو مسؤولية مشتركة. الأشخاص الذين لديهم إمكانية الوصول إلى الأنظمة والأصول والمعلومات مسؤولون أيضاً عن حمايتها. إنهم بحاجة إلى الوعي والمهارات اللازمة للتعامل مع هذه المسؤولية. يجب أن يكونوا قادرين على التعرف على Red flags، ومتابعة العملية ، والرد على هجوم الهندسة الاجتماعية عندما يستهدفهم.

من ناحية أخرى ، يجب أن تحاول إدارات الأمن السيبراني ضمان وصول أقل عدد ممكن من هجمات الهندسة الاجتماعية إلى موظفي المؤسسة. لكننا غالباً ما نواجه معلومات محدودة فيما يتعلق بمعرفة السيناريو أو تقنيات التلاعب النفسي التي سيستخدمها المهاجم. مع وجود الكثير من أوجه عدم اليقين التي ينطوي عليها الأمر ، نحتاج إلى البدء بما نعرفه للانتقال لاحتواء و تعطيل تلك الهجمات.

سلسلة القتل Kill–Chain في الهندسة الاجتماعية

عند تحليل هجوم الهندسة الاجتماعية ، ننظر إلى الوراء في جميع الخطوات التي كان يتعين على المهندس الاجتماعي اتخاذها لتخطيط هجومه ثم تنفيذه. في حين أن التكتيكات والتقنيات يمكن أن تختلف اختلافاً كبيراً (مع استخدام بعضها بشكل متكرر أكثر من البعض الآخر) ، فإن الإجراء المتضمن في تنفيذ معظم هجمات الهندسة الاجتماعية يميل إلى أن يكون متشابهاً بشكل ملحوظ.

تتضمن معظم هجمات الهندسة الاجتماعية مرحلتين واسعتين:

  • التخطيط والبحث والتحضير
  • التنفيذ

التخطيط والبحث والتحضير لبناء هجمات الهندسة الاجتماعية

تتضمن المرحلة الأولى ، وهي التخطيط والبحث والإعداد ، أن يتخذ المهاجم (على الأغلب) الخطوات التالية (بدون ترتيب معين):

الاستطلاع

يقوم المهاجمون باستكشاف الأهداف المحتملة عبر الانترنت. يشير الاستطلاع إلى جميع الخطوات التي قد يتخذها المهاجم لجمع معلومات عن هدفه (أهدافه) ، عبر الانترنت أو دون الاتصال بالانترنت . قد تستمر هذه المرحلة لبضع ساعات (حتى يتم العثور على معلومة) أو حتى سنوات ، خاصة في حالات مخططات الهجمات المطولة والمتقنة.

غالبًا ما يتم جمع المعلومات من خلال الانترنت والمصادر المفتوحة (OSINT) والمصادر البشرية فضلاً عن تقنيات المراقبة المادية والتجميع. في السنوات الأخيرة، كانت طريقة الاستطلاع الأكثر شيوعاً على هدف مشترك أو فردي هي استخبارات المصادر المفتوحة (OSINT).

في حالة شركة بيل ، تبين بتتبع المعلومات التي استخدمها المهاجم في بناء الهجمة ، أنه يمكن ، في الواقع ، العثور عليها عبر الانترنت. لقد بدت للحظة أنها “معلومات داخلية” ، لكنها لم تكن كذلك. تم الإعلان عن تأسيس شراكة المشروع الجديد في الأخبار المحلية إلى جانب أسماء المعنيين بالمشروع. في مقابلتين منفصلتين ، كشف أصحاب المشروع عن غير قصد عن الجداول الزمنية والتفاصيل الأخرى التي كان ينبغي أن تظل سرية. كان العثور على أهداف مناسبة داخل القسم المالي جنباً إلى جنب مع عناوين البريد الإلكتروني وأرقام الهواتف سهلاً أكثر مما توقع المهاجمون. يعود الفضل بذلك لمنصات مثل LinkedIn وقواعد بيانات المبيعات والتسويق الأخرى التي تتيح هذه البيانات. إن تجميع كل هذه القطع معاً ووضعها في قصة (ذريعة) جنباً إلى جنب مع بعض المهارات الاجتماعية جعل هجوم الهندسة الاجتماعية هذا ممكناً و فعالاً بشكل واضح.

تحديد الأهداف

قد يكون الهدف مؤسسة (في هذه الحالة نلاحظ عادةً هجمات واسعة النطاق مثل رسائل phishing emails) أو فرداً داخل تلك المنظمة. هناك عاملان يميلان إلى التفاعل عندما يتعلق الأمر بالاستهداف:

  • قيمة الهدف ، أو درجة الضعف
  • موارد الخصم (الوقت ، المال ، القدرة ، العزيمة)

نحب أن نتحدث عن “الثمار المتدلية-low hanging fruits” التي يسهل التقاطها. قد نبدأ أيضاً في الحديث عن “كعب أخيل” في المنظمات ذات البرامج الأمنية الناضجة. للأسف لا تزال ك المؤسسات تميل إلى الإهمال أو التقليل من الاستثمار في العامل البشري. يؤدي ذلك لاستهدافها أو تعرضها للخطر بسبب ذلك.

الذريعة

الذريعة هي القصة أو التغطية التي يقوم بموجبها مهندس اجتماعي social engineer بالاقتراب من هدفه. قد يكون ذلك عبر تقديم طلبات بريئة – أوليست بريئة – للحصول على معلومات أو أفعال ، و “تغطية” تنفيذ هجومه. يشبه ذلك ذئباً يلبس ثياب خروف. الذريعة الجيدة تستند إلى نوعية المعلومات التي تم جمعها عن الهدف. لذلك ، فإن اختلاق الذريعة أو قصة التغطية يحدث غالباً بعد مرحلة جمع المعلومات.

لكن هل يمكن أن يكون هذا كعب أخيل للمهاجمين؟ ماذا لو اعتقدوا أن المعلومات التي جمعوها كانت دقيقة لكنها في الواقع خاطئة؟ ألن يتم نسف حجتهم و اكتشاف و تفنيد ذرائعهم وخصوصاً إذا كانت البيانات التي استندوا إليها بها عيوب استراتيجية وعدم دقة؟ ألا يشكل ذلك فرصة للمؤسسات لبناء دفاعات ضد مخططي هجمات الهندسة الاجتماعية تغرقهم بمعلومات مضللة تفسد مخططاتهم.

تنفيذ هجوم الهندسة الاجتماعية

بعد التخطيط لهجوم الهندسة الاجتماعية والبحث فيه والتحضير له ، فإن الخطوة الطبيعية التالية هي تنفيذه. في معظم الأوقات ، تنتقل مسؤولية حماية المؤسسة من خطوات سلسلة القتل التالية للهندسة الاجتماعية من أيدي فريق الأمن إلى أيدي الموظف الفرد الذي يواجه الهجوم. وفق ما يلي:

نهج وبناء الثقة

يتعامل الخصم مع الموظف بذرائعه ، ويتلاعب به ، ويبني مستوى معين من الود والثقة معه. على أساس من الأكاذيب الملفقة. قد يحدث بناء الثقة في غضون بضع دقائق ، أو قد يستغرق شهوراً . ولكن بمجرد أن يحدث ذلك ، يعرف المهاجم أن السمكة صارت داخل الشبكة.

الاستغلال

بعد أن أنشأ مستوى معين من الثقة مع الذئب في ملابس الحمل (المهندس الاجتماعي) ، لا يرى الفرد المستهدف سبباً وجيهاً لعدم الامتثال لطلبات المهاجم. حتى لو كانت لديه بعض الشكوك حيال تلك الطلبات، يمكن للمهندس الاجتماعي في كثير من الأحيان أن يشعر أو يتنبأ بهذا التردد ويقدم المبررات.

من الناحية المثالية ، سيدرك الفرد المستهدف ما يحدث و يقطع علاقته مع المهاجم قبل إبلاغه عنه. لكن في أوقات أخرى ، خاصة عندما لا يتلقى الموظفون تدريباً مناسباً ، قد لا يعرفون ببساطة كيفية التعامل مع ضغط المهندس الاجتماعي والاستجابة له. سوف يمتثلون في النهاية للطلبات. ثم سيشرعون في محاولاتهم لإخفاء هذا الحادث من خلال عدم إبلاغه لأي شخص خوفاً من التعرض للمساءلة وللمشاكل. هذه حكماً ليست ثقافة الأمان التي تريدها في مؤسستك.

التسلل في الهندسة الاجتماعية

تم تحقيق أهداف المهندس الاجتماعي بنجاح (كلياً أو جزئياًُ ) ، وهو الآن جاهز لإنهاء تنفيذها وإنهاء العلاقة مع الهدف (الضحية). في بعض الأحيان يهتم المهاجم بالتسلل النظيف – الذي لا يدرك فيه الهدف أبداً أنه كان ضحية لهجوم – لكن في أحيان أخرى ، لا يفعلون ذلك.

الدفاع الاستراتيجي

بكل إنصاف ، تميل بعض مخططات وسيناريوهات الهندسة الاجتماعية إلى التكرار والتكرار لسنوات. تبني بعض المنظمات استراتيجيات التوعية والدفاع بالكامل وفقاً لتلك السيناريوهات الدقيقة. إن القيام بذلك ليس بالأمر السيئ ، ولكنه ينطوي على مخاطر ترك الموظفين والمنظمة بشعور زائف بالأمان واعتقاد خاطئ بأنهم يعرفون ما هي هجمات الهندسة الاجتماعية. بعد ذلك ، عندما يظهر نهج جديد بتفاصيل مختلفة قليلاً ، فلن يتمكنوا من تحديده أو الدفاع عنه.

من ناحية أخرى ، يحتاج المتخصصون في الأمن واستخبارات التهديدات threat intelligence professionals إلى أن يكونوا استباقيين في تحديد ومعالجة المخاطر التي تتعرض لها مؤسساتهم نتيجة لهجمات الهندسة الاجتماعية. يجب أن يكونوا على دراية بالمعلومات التي تنشرعن مؤسستهم عبر الانترنت والمخاطر التي قد تشكلها.

Open-source Intelligence في خدمة الهندسة الاجتماعية

غالباً ما يتم إهمال الاستخبارات مفتوحة المصدر Open-source Intelligence كأداة لتحديد نقاط الضعف. في الوقت نفسه ، تعد تلك واحدة من أكثر الأدوات التي يستخدمها الخصوم بشكل متكرر. يعتمدون في كثير من الأحيان في طريقة عملهم ونجاحهم على جودة المعلومات التي جمعوها. من الجيد إجراء تحقيق استخباراتي مفتوح المصدر على مؤسستك لإجراء بحث استباقي وتحديد المعلومات التي تعرض نقاط الضعف والمخاطر التنظيمية.

يعد إجراء استخبارات الشركات مفتوحة المصدر موضوعاً كبيراً نسبياً . ولكن فيما يلي بعض المجالات التي تهمل عادة ولكنها توفر معلومات قيمة أثناء تحقيق استخباراتي مفتوح المصدر للشركة:

موقع الويب الخاص بك

فرص العمل التي تقدم الكثير من التفاصيل حول تقنيات معينة تستخدمها الشركة أو حملات تسويقية أو منشورات تكشف عن العمليات الداخلية أو المشاريع أو الأسماء المحددة (عندما لا تكون هناك حاجة لتضمينها) ، أو معلومات حساسة أخرى. افترض دائماً أن الجهات الفاعلة في مجال التهديد تقراً و تمشط بدقة موقع الويب الخاص بمؤسستك و / أو حسابات الوسائط الاجتماعية أو المدونات.

دراسات من شركائك في العمل

في محاولة لإنشاء دراسة مثيرة للاهتمام من شأنها جذب عملاء إضافيين ، قد يفصح شركاء الأعمال عن معلومات أكثر مما ينبغي بشأن الخدمات التي يقدمونها لك والهيكل التنظيمي والعمليات والوضع وغير ذلك. في بعض الحالات ، ينتهي بهم الأمر بالكشف عن معلومات سرية. تأكد من أنك تعرف ما يشاركه الشركاء الآخرون حول مؤسستك عبر الانترنت.

مقابلات ومقالات إعلامية / مقاطع فيديو

يمكن أن يكون هذا سيف ذو حدين. بينما تحتاج إلى معرفة ما إذا كان ممثل الشركة قد كشف عن طريق الخطأ معلومات حساسة أو سرية إلى أي وسائط ، يجب أن يكون لدى مؤسستك أيضاً خطة تصنيف معلومات جيدة و مطبقة. لا يمكننا أن نتوقع من الأشخاص عدم الكشف عن معلومات حساسة إذا كانوا لا يعرفون أي من هذه المعلومات التي يتعاملون معها لا ينبغي مناقشتها علناً . بغض النظر ، سيبحث ممثلو التهديد عن تلك التسريبات العرضية. من الأفضل أن تجدهم أولاً.

وبالمثل ، قد يسرب الصحفيون أيضًا معلومات لا ينبغي أن تكون متاحة للجمهور. يمكن أن يشمل ذلك وصفاً لتدابير أمنية داخلية محددة أو صور لمكاتب الشركة التي تحتوي على ملاحظات وأوراق مع معلومات سرية.

الملفات ذات المعلومات السرية

في بعض الأحيان ، تنتهي المستندات الداخلية التي تحتوي على معلومات سرية بطريق الخطأ على شبكة الويب . يمكن أن تختلف هذه المستندات من أدلة إعداد خدمة معينة إلى قوائم أسماء المستخدمين وكلمات المرور. باستخدام استعلامات البحث المدروسة و “نوع الملف” ، يمكنك البحث عن جميع أنواع المستندات المتعلقة بشركتك على شبكة الويب.

بمجرد تحديد المعلومات التي تكشف عن نقاط الضعف والمخاطر ، فإن الخطوة التالية هي إدارتها عن طريق إزالة ما هو متاح أو الحد منه أو طمسه. الانترنت لا ينسى أبداً ، لذلك من الآمن افتراض أنه لا يزال من الممكن لخصم محدد استرداد بعض بياناتك العامة بالفعل ، حتى بعد الحذف . ومع ذلك ، فإن الأمر يستحق بذل جهد لإزالتها ، لأن ذلك سيعقد خطط خصومك لتحديد أو استعادة تلك المعلومات.

أهمية تصنيف المعلومات

يجب تحديد النواقل المحتملة لهجمات الهندسة الاجتماعية ، وذلك لتطوير و تمكين استراتيجية الأمن السيبراني وعملية اتخاذ القرار.

في بعض الحالات ، قد لا تتمكن من التدخل في المعلومات المتاحة للجمهو. لذلك حاول توضيح المخاطر التي تشكلها ضمن تدريب التوعية بالأمن السيبراني الخاص بالهندسة الاجتماعية مما سيساعد هذا النهج الموظفين على فهم ذلك.

ما يبدو أحياناً على أنه “معلومات داخلية” قد لا يكون كذلك ، وسيساعدهم ذلك على التعرف على الذرائع و الهجمات التي تستخدم تلك المعلومات. من المهم دمج التدريب بأمثلة عملية وتفاعلية في ورش العمل الخاصة بالتوعية بالأمن السيبراني. الدروس المستفادة من تلك البرامج التدريبية تتراكم ليصبح الموظفون أكثر قدرة على اكتشاف محاولة هجوم الهندسة الاجتماعية.

هذا يقودنا إلى آخر نقطة رئيسية نختم بها. بينما يمكننا (ويجب علينا) التخفيف من بعض المخاطر ، سيجد المهندسون الاجتماعيون طريقة للوصول إلى الموظف ومحاولة التلاعب بهم. البشر سيظلون طبقة دفاع إضافية للمنظمات. يجب أن يكونوا قادرين على تحديد الهجوم وإحباطه والإبلاغ عنه. لا يزال تدريب التوعية وتعليم الموظفين لتطبيق أفضل ممارسات الأمن السيبراني أمراً مهماً. الأمن السيبراني كان و لا يزال مسؤولية مشتركة. أتمنى أن يقوم كل منا بدوره بأفضل ما لديه من قدرات.

شارك المقال
اضف تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر قراءة

مبادئ أمن المعلومات
التوعية الأمنية وأهميتها في حماية الشركات من التهديدات السيبرانية
وسائل التواصل الاجتماعي و الامن السيبراني
وسائل التواصل الاجتماعي وتأثيرها على الأمن السيبراني
التدريب الأمني
التدريب الأمني لبناء الوعي – التوازن بين المساءلة و المسؤولية
حماية الأطفال من مخاطر ألعاب الانترنت
المخاطر الأمنية في ألعاب الانترنت و طرق معالجتها – الجزء الأول
الإدمان الرقمي
الإدمان الرقمي – استكشاف المخاطر التي يتعرض لها الأطفال و المراهقين
نصائح الأمن السيبراني في العطلات
نصائح الأمن السيبراني للعطلات
الهجمات على الشبكات اللاسلكية
الشبكات اللاسلكية العامة – التوازن بين الأمان و المرونة
كبير مسؤولي أمن المعلومات (CISO)
أهم التحديات أمام مدير أمن المعلومات وكيفية حلها