22 تموز، 2018

ما هي الهندسة الاجتماعية؟ كيف هو مفيد للقرصنة والتجسس؟

ما هي الهندسة الاجتماعية كيف تساعد في القرصنة والتجسس

الهندسة الاجتماعية أو "SE" هي نشاط يستغل الشخص بطريقة ما لاتخاذ إجراء يمكن أو لا يمكن أن يكون في مصلحتهم. ومع ذلك ، سوف نلفت انتباهكم إلى الأشكال الضارة من SE ، مفيدة ل القرصنة والتجسس على وجه الخصوص والكثير من الفئات الأخرى يحكم من خلال ذلك. من ناحية أخرى ، من المهم جداً أن نعرفها نفسياً وفسيولوجياً وأخيرًا وليس أقل الجوانب التكنولوجية للتأثير على شخص ما بشكل عام. بغض النظر عما إذا كان يتم استخدامه لنتائج إيجابية ، حتى عندها سيتم استخدامه بشكل ضار. يجب تصنيف النوع الضار من الهندسة الاجتماعية إلى ثلاثة مثل Phishing و Vishing وانتحال الهوية. دعونا نناقش كل هذه الفئات قريبا.

جدول المحتويات

التصيد

يمكن القيام به من قبل إرسال بريد إلكتروني إلى شخص ما ويبدو أنها من مصدر حسن السمعة بهدف التحكم والحصول على المعلومات الخاصة.

Vishing

إنها الممارسة أو النشاط لاستثارة المعلومات أو محاولة للتأثير على العمل من خلال الهاتف الخلوي ، والذي يتضمن هذه الأنواع من الأدوات مثل انتحال الهاتف الخلوي.

التمثيل

إنه فعل إرسال رسائل ذريعة لشخص ما كشخص آخر بهدف أخذه في الاعتبار للحصول على معلومات أو الوصول إلى شخص أو شركة أو إلى جهاز الكمبيوتر.

الفئات الرئيسية في الهندسة الاجتماعية

يمكن تصنيف الهندسة الاجتماعية بشكل أكبر لأولئك الذين يستخدمونها لأسباب غريبة. الجواسيس المحترفين و قبعة سوداء القراصنة و قراصنة قبعة بيضاء تستخدم لمندوب مبيعات وشعب كل يوم.

القراصنة

هم عادة استخدام تقنيات الهندسة الاجتماعية، وذلك لأن عامل ضعف الإنسان من السهل جدا استغلالها من استغلال ضعف الشبكة. معظم الوقت القرصنة المهنية أو المتسللين الفوز لأنهم غير ملزمين بالوقت والتحفيز. قد يعمل شخص عادي لـ 8 ساعة يوميًا لتحقيق أهدافه ، ولكن عندما يتعلق الأمر بالمتسللين المحترفين ، يقضون ساعات 24 يوميًا لتحقيق أهدافهم. إنهم يقضون وقت الجحيم والعناية الواجبة للحصول على كل جانب من هدفهم ثم يطلقون كل مهاراتهم وطاقاتهم على البنية التحتية البشرية التي يمكن أن تضر بشركة في غضون دقائق قليلة. يحصلون على المعلومات الشخصية للهدفوكلمات المرور وحسابات المستخدمين عن بعد والكثير من الأشياء الأخرى على حد سواء. على مدار إحصائيات السنوات القليلة الماضية ، تعرض المتسللون المدعومون للعالم من قبل العاصفة وأصبحوا العناوين الرئيسية في جميع أنحاء العالم. قد تكون هجماتهم مدمرة للغاية بالنسبة للهدف ، وسوف نجلب لك القليل من المعلومات حول كيفية القيام بذلك القراصنة تنفيذ هذه الهجمات وما هو التدمير النهائي.

مجموعة لازاروس: مثال لا. 1

إنها مجموعة مبنية على واحدة من الأكثر تدميرا تجميع القرصنة على الفضاء السيبراني. يزعم أنه مسؤول عن وحشية 2014 Sony hack، $ 81 million Bangladesh Bank Heist كما يزعم أنه متورط في 2017 Wanacry هجوم الفدية. ومع ذلك ، فقد تم الكشف عنها خلال السنوات القليلة الماضية في أكثر من دول 18 في العالم

Fancy Bear: مثال رقم .2

ويعرف أيضًا باسم APT28 ، و Pawn Storm ، و Sofacy group ، و Sendit و STRONTIUM ، وهو أيضًا مجتمع التجسس الإلكتروني. هناك عدد من طرق الاختراق لهذه المجموعة تحديدًا مثل صفر - أيام ، التصيد الاحتيالي ، التصيد الاحتيالي لبرنامج OAuth والبرامج الضارة. يُزعم أن المجموعة مسؤولة عن عدد من اختراق الاختراق مثل هجمات 2016 على World Anti-Doping Agency (وادا) والمزيد من هجمات التصيد التي دمرت للجنة الوطنية الديمقراطية (DNC).

التجسس أو التجسس

الناس الذين الجاسوس لديهم المهارات والأساليب لخداع الضحايا وجعلهم يؤمنون بأنهم شخص أو شيء غير موجود في الواقع.

"علاوة على ذلك ، فإن القدرة على استخدام الهندسة الاجتماعية ، وعدد المرات التي يتم فيها إنشاء أشخاص يحملون جواسيس لديهم القليل أو الكثير فيما يتعلق بالأعمال التجارية أو الحكومات ، فهم يحاولون الهندسة الاجتماعية". ذكر كريس هادنجي ، الهندسة الاجتماعية ، في فن القرصنة البشرية ذلك.

التجسس أو التجسس هي في الأساس مهارات يمكن استخدامها للحصول على معلومات حول الهدف سواء كان شخصًا ، أو حكومة ، أو صناعة منافسة ، هدفها استبدال الحكومة أو محاولة الحصول على مزايا مالية أو غيرها. من ناحية أخرى ، لا يمكن وصف التجسس على أنه جمع المعلومات الاستخبارية مثل التصوير ، أو الطائرات ، أو التصوير عبر الأقمار الصناعية. على مدى عقود كان التجسس أو يعرف باسم التجسس للحصول على السياسية و المخابرات العسكرية. علاوة على ذلك ، مع ترتفع في صعود التكنولوجيا تذهب نقطة التركيز كذلك إلى تقنيات الاتصالات وتكنولوجيا المعلومات والطاقة والبحث العلمي والطيران والعديد من الأقسام الأخرى.

هناك أمثلة قليلة قليلة من التجسس العسكري والصناعي حول كيفية استخدام المهارات لتنفيذ هجمات الهندسة الاجتماعية.

مزيفات الفيسبوك المدعومة من الدولة

منذ شهر كانون الثاني (يناير) ، نشرت قوات الدفاع الإسرائيلية مدونة على موقعها على الإنترنت تقول إن الهجوم قد وقع أطلقت على شخصياتهم العسكرية باستخدام تكتيكات النفوذ المعروفة بالإعجاب. خلق المهاجمون ملامح الفيسبوك وهمية من الشابات الجذابات له هدف إغواء قوات الدفاع الإسرائيلية (IDF) لمصادقه معهم. علاوة على ذلك ، بعد أن حصل مستخدمو الملف الشخصي المزيف على الثقة عن طريق إرسال رسائل نصية ومشاركة الصور وفي نهاية اليوم ، اطلب دردشة فيديو. لمحادثة الفيديو ، كان على الجندي تثبيت تطبيق كان في الأساس فيروسًا. بمجرد تثبيت الجندي ، أصبح هاتفه مفتوح المصدر ل عرض الاتصالاتوتطبيقات الموقع والصور والملفات وفي نهاية اليوم ذهبت إلى نشطاء حماس.

اختبار الاختراق

هم الذين يختبرون نقاط الضعف أو اختراق الوصول غير المصرح به إلى النظام. ويسمى أيضا اختبار القلم والمهارات من اختبار آلات الكمبيوتر ، والشبكة ، وتطبيق الويب أو محيط في الموقع ل القبض على نقاط الضعف التي يستخدمها المتسللون الثغرات في نظام التجسس.

اختبار القلم والهندسة الاجتماعية

يمكن أن تكون منظمات الأعمال التي لديها إجراءات التحقق ، والجدران النارية ، والشبكات الخاصة الافتراضية ، وبرمجيات مراقبة الشبكة تحت عنوان الهجمات السيبرانية إذا كان الموظف يقدم معلومات سرية عن غير قصد. "SE" هو الجانب الإنساني للتحقق من الثغرات في شبكة الشركة. استخدام اختبار الاختراق مهارات مختلفة لاختبار هدفهم عن طريق التصيد, vishingو
d التمثيل سيعمل اختبار القلم على محاكاة الاختراقات التي يمكن أن يستخدمها مهندس اجتماعي ضار بهدف خرق النظام المستهدف. لذلك ، حتى من ركلة جزاء الشركة توظيف اختبار للتعامل مع "SE" الخبيثة لمنع الخروقات.

لصوص الهوية

إنه نوع من الفن الخبيث لمقابلة هوية شخص ما أو معلومات شخصية محددة (PII) مثل الاسم والعنوان ورقم الضمان الاجتماعي وعناوين البريد الإلكتروني أيضًا. الناس يفعلون ذلك لتحقيق مكاسب مالية و القيام بعدد من الأعمال الإجرامية. يمكنهم استخدامها ل بطاقة الدفع المسروقة إجراء عمليات شراء احتيالية والتحكم في الحساب الحالي للهدف.

• معلومات خاصة للأطفال والمراهقين يحتوي على أرقام الضمان الاجتماعي ، وقد تم العثور على اسم الأم وتاريخ الميلاد للبيع على شبكة الإنترنت المظلمة ، ذكرت CNN ذلك.

لا تقتصر سرقة الهوية على الأفراد ، في هذه الأيام كانت سرقة الهوية التجارية أيضا في الارتفاع ذلك مواقع شركة hacks وأرقام الهاتف باستخدام تقنيات الهندسة الاجتماعية.

الموظفين الساخطين

معظم الموظفين الذين يصبحون الوصول إلى الإنترنت الساخط وغير المنضبط في مكان العمل، الأسباب شائعة جدا مثل ما يشعرون به غضب, أكثر من طاقتهم, يتقاضون أجورا وأخيرًا وليس أقلها تم الترقي "خمسة عوامل جعلت العمال الامريكيين هي سياسات الترقية وخطط المكافآت وبرامج التعليم والتدريب الوظيفي وإجراءات وجهات النظر ، وفقا ل مسح الرضا الوظيفي التي أجراها مسح مؤتمر المستهلك مجلس المؤتمر.

يمكن للموظفين الساخطين أن يشكلوا خطرًا على الشركة

تقرير Insider 2018 نشرت ذلك ، 90٪ من التنظيم التجاري يجب أن تتعامل مع التهديدات الداخلية. الموظفون الساخطون هم السبب الجذري لعنصرين ، أحدهما يصل والثاني هو الدافع. وعادةً ما يكون لديهم إمكانية الوصول إلى المعلومات السرية والمعلومات المالية و امتيازات إدارية عالية المستوى لتطبيقات الشركات. يمكن أن تشكل العناصر الخمسة السابقة التي تمت مناقشتها موظف منتجة في الموظف الساخط. التهديد النهائي للشركة يمكن أن ينتشر السلبية على تطبيقات الشبكات الاجتماعية مثل LinkedIn و Facebook ، سرقة المعلومات السرية ، وتسريب معلومات حسّاسة وحتى الدعاوى القضائية المحتملة.

وسطاء المعلومات

وفقا ل (FTC) لجنة التجارة الاتحادية سماسرة البيانات هذه الشركات التي تجمع المعلومات مثل المعلومات الشخصية عن المستهلكين ، من المصادر الشهيرة ثم إعادة بيعها لعملائها لأسباب مختلفة مثل التحقق من هوية أي شخص ، والسجلات ، والمنتجات التسويقية ، ومنع الاحتيال المالي. وسطاء البيانات الحصول على المعلومات من مصادر مختلفة ولكن في منصات وسائل الاعلام الاجتماعية الحديثة في العالم مثل Facebook و LinkedIn و WhatsApp وغيرها هي واحدة من أكبر المنصات لجمع بيانات عامة الناس.

كيف يستخدم وسطاء البيانات الهندسة الاجتماعية؟

انهم في الغالب استخدام الاستنباط والحيل والمغازل واخيرا ولكن ليس اقل pretexting من اجل الحصول على البيانات الشخصية أو المعلومات. وفقا للكتاب "المعلومات والأمان" وسطاء البيانات ونوع آخر من المهندسين الاجتماعيين يستخدمون الأسلوب المعروف باسم المغازلة. يبدو عشوائياً أو فرصة لقاء ذلك يبني تقرير ثم يثق بين المهندس الاجتماعي والهدف. مع مرور الوقت ، هم بنجاح بناء علاقة ثم الضغط بمهارة يجلب معلومات الهدف.

نصاب محترف

إنه شخص يحبس الناس في إجراءات احتيالية أو خادعة للاحتيال على الآخرين. غالبًا ما تتم تسمية عملية الاحتيال بنوع معين من الاحتيال يستند إلى مجموعة واسعة من الطرق الأولية المشتتة للجماهير التي لا تعرف عن المخادع. هناك نوعان من الحيل ، واحد يعرف باسم الغش التجاري والثاني هو تزوير الرسوم المتقدمة. أكثر من المخادعين وسائل الاعلام الاجتماعية استخدام الفيسبوك ويدعي أنهم موظفون في فيس بوك وسيقولون لك أنك قد فزت اليانصيب فيسبوك ويجب على الفائز دفع بعض المال لإطلاق المال.

الخلاصة:

جدير بالقدر الكافي للمهاجمين ويعمل باستمرار. تكتيكات الهندسة الاجتماعية تستغرق وقتا طويلا جدا لكنها فعالة. وبالتالي، المهندسين الاجتماعيين الخبيثة استخدام المهارات من أجل تحقيق أهدافهم. يعرف القراصنة ذوو القبعة السوداء جيداً أن الأمر سيستغرق بعض الوقت والأيام والأسابيع وحتى الأشهر للوصول إلى الشبكة وسرقة أوراق الاعتماد. ومع ذلك ، عندما يتعلق الأمر بتقنيات الهندسة الاجتماعية المستخدمة من قبل المتسلل مثل استخدام ذريعة للهاتف الخلوي أو البريد الإلكتروني ، سيكون الأمر مسألة دقائق للحصول على نفس الهدف من الحصول على أوراق الاعتماد.