ان الهندسة الاجتماعية بحد ذاتها هي مجال واسع جدا ، فما هي الهندسة الاجتماعية وما علاقتها بعالم الامن المعلوماتي !؟
ان الهندسة الاجتماعية هي عملية استغلال شخص وسحب معلومات منه للوصول لهدف معين ، ويتم ذلك عبر استغلال "غباء" و "جهل" ذلك الشخص المستهدف والقريبين منه ، ويعتمد نجاح الهندسة الاجتماعية على مدى غباء الضحية ودهاء المهندس الاجتماعي او القرصان في حالتنا ;) ، لكن هذا لا يمنع وقوع الاذكياء في فخ الهندسة الاجتماعية فان ذكاء القرصان وقدرته على الاقناع بالاضافة الى تمتعه باسلوب جيد بالحديث قد تتغلب على ذكاء الضحية
وانت ايها القارئ قد تكون وقعت فخ للهندسة الاجتماعية دون ان تدري لذلك فاحذر من كل من حولك
واهم شيئ انتبه بمن تثق .. فالثقة تلعب دورا كبيرا في عملية الهندسة الاجتماعية
اما بالنسبة لعلاقة الهندسة الاجتماعية بالامن المعلوماتي ، فان الهندسة الاجتماعية تشكل خطرا كبيرا على الامن المعلوماتي
فمعظم الشركات حاليا محصنة من كل انواع الاختراقات تقريبا ، الا من الهندسة الاجتماعية فهي ليست خطأ برمجي في نظام يمكن اصلاحه بل هي ثغرة في الانسان بحد ذاته لذلك من الصعب جدا لا بل من المستحيل اغلاق الطريق بوجه الهندسة الاجتماعية لذلك فانها تعد خطيرة
ولنأخذ مثالا على ذلك ، الفيسبوك
ان الفيسبوك يعتبر من اقوى شبكات التواصل الاجتماعي من ناحية الحماية فتقريبا كل الثغرات الموجودة فيه مغلقة الا البعض منها وهي قليلة جدا نسبيا
لذلك فان اغلب الطرق في الوقت الحالي لاختراق حسابات الفيسبوك تتم من خلال اختراق المستخدم وبالتالي تتمحور حول الهندسة الاجتماعية
وابسط مثل على ذلك الصفحات المزورة بحيث يتم اقناع الضحية للدخول على رابط ما حين يدخل
تكون امامه صفحة دخول الفيسبوك فيقوم بتعبة بياناته الخ ..
هذه كانت مقدمة بسيطة عن الهندسة الاجتماعية والان ندخل بالجد
ان عملية الهندسة الاجتماعية تتقسم بهذا الشكل
اولا : جمع المعلومات
حيث يتم جمع معلومات عن الضحية ، شتى انواع المعلومات ، فكل معلومة وان كانت صغيرة تفيد القرصان في وضع خطة لاختراق عقل الضحية وسحب معلومات هامة منه
ثانيا : انشاء وتوطيد علاقة صداقة مع الضحية
فيعرف المهاجم نفسه على الضحية ويوهمه بانه صديقه او حبيبه الخ.. وذلك لكسب الثقة ، فالثقة هي الورقة الرابحة للقرصان
ثالثا : استغلال هذه العلاقة
يقوم المهاجم باستغلال الثقة والعلاقة التي بناها بشكل وهمي مع الضحية وذلك لسحب معلومات قيمة منه
رابعا : استعمال المعلومات التي اخذت من الضحية للوصول الى الهدف
هنا يختلف الجواب ، فكل هدف وله شرح خاص به
فمثلا اذا كان الهدف اختراق حساب ، يتم مثلا سرقة الباسوورد او جواب السؤال السري الخاص بالحساب
او اذا كان الهدف الوصول الى شخص اخر ، فيتم الحصول على معلومات عن هذا الشخص من الضحية الاولى
فيعيد المهاجم تطبيق هذه الخطوات على الضحية الثانية ، ويستمر الامر حتى يصل الى غايته
وهذه الصورة توضح مسألة السؤال السري
هنا يقوم القرصان بعمل مقابلة مع هذا الشخص الذي يبدوا كرئيس شركة او ما شابه ، ويقوم بسحب المعلومات منه بطريقة غير مباشرة ، ثم يقوم باستغلال هذه المعلومات للاجابة على سؤال الامان الخاص بحساب الضحية البنكي
الان ساعطيكم امثلة عن الهندسة الاجتماعية :
قبل ان نبدأ بالتحدث عن الامثلة المرتبطة بالامن المعلوماتي
ساعطيكم مثلا عن استخدام الهندسة الاجتماعية في الحياة العادية
هذا المثل يحتاج اكثر من شخص لتطبيقه يعني انت بحاجة ل 4-5 اصدقائك متنوعين بين فتيات وشباب والافضل ان يكونو جميعا
فتيات ،
اعجبتك فتاة ما وانت تريد الحصول على رقم هاتفها للتحدث اليها ، ولكن للاسف لا تعلم عنها شيئ
قم بفعل التالي
اذهب واجلس بجانب الفتاة وقل لها اريد رقمك ، طبعا رح تجاوبك وتقول لأ ، او تضربك شي كف هههههه
لكن قبل ان تجاوبك ، بتكون متفق مع اصدقائك البنات ـ ان يأتو اليك ،
فتأتي اول صديقة وتقول " اوووووو ما بصدق انت " هون بتقول اسمك " بليز خليني اتصور معك " هون انت بتبتسم وبتقلها اوك
وبتعطي صديقتك هاتفها للفتاة وبتخليها تصوركن ، بعد هيك بتروح صديقتك ، وقبل ان تكمل حديثك مع الفتاة تأتي صديقتين
اخرتين اليك ، وتقول نفس الشيئ لكن بصيغة مختلفة وكمان بتطلب تتصور معك ، رح تستغرب "الضحية" وتحسك شي مهم هههه
وبعد ان تذهب صديقتيك ، بتقلها انا صار لازم امشي ، ييي صح ما قلتيلي شو رقمك ؟ وقتها بتعطيك رقمها هههههههه موفقين شباب :p
الان نرجع لموضوعناا
تريد ان تخترق حسابات شخص ما ولا تملك عنه شيئ سوى اسمه
كما قلنا بالسابق نقوم بجمع المعلومات عنه "Doxing"
وتحاول ان تجلب كل المعلومات التي باستطاعتك ان تجلبها من فيسبوك او تويتر اورقم هاتف او حساب اسك وانستغرام
بعد حصولك على الفيسبوك مثلا ، تقوم بسحب الايميل الخاص به وتجرب تعمل له ريست
ستجد انك اذا اردت اعادة وضع كلمة سر جديدة انت بحاجة لجواب السؤال السري الذي هو على سبيل المثال
اين ولدت امك " Where was your mother born"
وهذه عن تجربة خاصة :p
تقوم بالتحدث معه على الفيسبوك او اذا كان لديه حساب على
" ask.fm"
فان الامر اسهل فتبدأ بالحديث معه والتعرف عليه وبعد يوم من الصداقة او يومين واثناء حديثك معه تقول
"يا زلمي ،بكرا طالع عالضيعة وما الي خلق ابدا "
بتقله : انا من "بتقول ضيعتك او اي ضيعة وهمية " بس طالع على ضيعة امي هي من "بتقول اسم ضيعة وهمية" بتقله انت من وين ؟
بقلك هو ، بتقله اها اي بتحب ضيعة امك اوابوك رح يجاوب بتقله من اي ضيعة والدتك ورح يجاوبك
وهيك بتكون حصلت على جواب السؤال السري ومبروك عليك الاختراق
مثال اخر :
طبقت اول طريقة وما نفعت ، لم يكن هناك سؤال امان
تقوم بتطبيق الطريقة التي ذكرتها بمقال اخر حول اختراق الفيسبوك عبر الرسائل المزيفة لكن التطبيق يتم بحسب الرغبة يعني مثلا
اذا بدك تخترق صاحب موقع ما ، ترسل له رسالة مزيفة فيها رابط لصفحة مزورة ، هذه الصفحة تكون شبيهة بال
الي اخد منها الضحية hosting
مثال اخر : (تجربتي الخاصة) ي
دخلت الى موقع http://www.learnphotoediting.net/
اعجبتني التصاميم عندهم واردت الفيديوهات التعليمية ، لكن سعر الفيديوهات 50$ فقمت بعمل التالي
قمت بجمع المعلومات ، وعثرت على صفحتهم على الفيسبوك وايميلهم
قمت بمراسلتهم ، واخبرتهم انني اريد ان اقيم صفقة معهم
وساحضر لهم المزيد والمزيد من الزبائن ، واقنعتهم باني في هذا المجال منذ زمن طويل
ملاحظة : اذا كنت مهتم جدا بالامر ، فبامكانك ان تنشأ صفحة على احد مواقع التواصل الاجتماعي وتقوم بشراء اللايكات والزوار المزيفين لايهام الضحية بانك شخص مهم
كانوا مسرورين بفكرة انني ساحضر لهم زبائن ، لكني وضعت شرط وكان الشرط حصولي على عينة من الفيديوهات لكي افحصها قبل عقد الصفقة ، فوافقو ارسلوا لي روابط التحميل ، وحملت الفيديوهات تقريبا 12 جيجا هههههه وهكذا احتلت عليهم للحصول على ما اردت
مثال اخر ايضا عن تجربة :
كثيرا ما سمعنا عن اختراقات الجيش السوري الالكتروني ولو بحثتم في الطرق التي اتبعوها لتنفيذ الاختراقات ستجدون ان الهندسة الاجتماعية كانت الاساس
وهذا ما فعلته انا واصدقائي في فريق
Lebanese Legends Team
قمنا بعمل صفحة مزورة لل Reseller
باحدى الاستضافات الكبيرة ، وعبر جمع المعلومات حصلنا على ايميلات وارقام هواتف ال ريسيلرز ، وقمنا بارسال رسائل وايميلات مزيفة لريسيلرز وحصلنا على بيانات الدخول بكل بساطة ، من لوحة الريسلر وصلنا الى الدومين الهدف
مثال اخر ايضا
تريد ان تخترق شخص ، وجربت كل شيئ ولم ينفع فماذا تفعل ..
هل تستسلم ؟ طبعا لا ،
قم بجمع المعلومات ، اجل المعلومات ثم المعلومات ثم المعلومات ، تجدون انني اكرر واعيد قول هذا الامر ، نظرا لاهميته
دقق بهذه المعلومات حتى تجد وتعرف من هو حبيب او الصديق المفضل للضحية ، وقم باختراقه ، ثم اتصل به من رقم صديقه او حبيبه وبامكانك فعل ذلك من خلال موقع
crazycall.com
، او اي voip
او ببساطة باستخدام تطبيق
VOXOX على الاندرويد
واخبره بان هاتفك سينطفئ ومن الضروري ان يحدثك على الفيسبوك او اي وسيلة محادثة اخرى، او ارسل له رسالة نصية تخبره بذلك لكن تأكد ان يكون اسم المرسل هو نفس اسم "حبيب او صديق" الضحية وبعد ان يتكلم معك اخبره بكل بساطة
ارسل لي كلمة مرورك ، وصدقني سوف يرسلها لك
وايضا مثال اخر عن الهندسة الاجتماعية هو هذا
يبقا الكثير والكثير من الاساليب ومنها انتحال شخصية العالم في الشركة الخ .. فكل قرصان ومهندس اجتماعي له طرقه واساليبه في
الهندسة الاجتماعية
وبالختام ، ان الهندسة الاجتماعية هي فن يصعب السيطرة عليه ،ولكي تتقنه عليك بالتجربة وبدراسة اسس ومبادئ الهندسة الاجتماعية ولتطوير نفسك الى ابعد الحدود قم بدراسة علم النفس وعلم حركات الجسد ونصيحتي لك ايها القارئ
لا تثق باحد عبر الانترنت او بشخص تعرفت اليه منذ يوم او يومين او شهر او شهرين ، لا تثق الا بمن ذقت الحلو والمر معه
فكما يقول امير المؤمنين الامام علي عليه السلام
"لا تثق بشمس الشتاء ولا بدموع النساء ولا بالدنيا فانها دار الفناء .. ولكن ثق في اخ لم تلده لك امك ولكن ولدته لك الايام .. فاذا كان اجمل ما في الزهرة الرحيق فان اجمل ما في الدنيا الصديق " والسلام عليكم ورحمة الله وبركاته
فيسبوك
جوجل+
تويتر
ليست هناك تعليقات:
إترك تعليقك