حماية معلومات الشركة والشبكات ومحطات العمل من التهديدات الخارجية والداخلية المتغيرة باستمرار هي مهمة مماثلة لإطلاق النار على هدف متحرك. وتحول الهندسة الاجتماعية هذا العمل إلى إنجاز شبه مستحيل. الأنشطة التي تهدف إلى "اختراق" الوعي البشري ، كقاعدة عامة ، غير مرئية ويمكن أن تتغلغل بعمق في نظام المؤسسة.
ما هي الهندسة الاجتماعية؟
بمعنى واسع ، يشمل هذا المفهوم أي حالات يلعب فيها المجرمون على خصائص نفسية الإنسان والتلاعب بالأفراد بحيث ينتهكون إجراءات وبروتوكولات السلامة المعتادة. لا يحاول المهاجمون اختراق شبكة الشركة من خلال نقاط الضعف في النظام. هجماتهم تستهدف الناس. وهم أنفسهم يشاركون المعلومات السرية التي تتيح الوصول إلى المساحات المكتبية أو الأنظمة أو الشبكات.
حتى إذا كانت المنظمة لديها أفضل أنظمة الدفاع السيبراني ، والجدران النارية والإجراءات ، فقد يستمر الأمر في يوم من الأيام في تمكن المجرمين الإلكترونيين من الحصول على بيانات حساسة مهمة.
هيكل الهجوم
دائمًا ما يتم التفكير في الهجوم باستخدام طرق الهندسة الاجتماعية وتكييفه مع الخصائص الفردية لهدف الهجوم ، على عكس هجمات التصيد الاحتيالي العادية مع رسائل البريد الإلكتروني العشوائية الجماعية أو المكالمات لآلاف الأشخاص. هذا يتطلب المزيد من التحضير ، لكن فرص النجاح تزداد بشكل ملحوظ.
أولاً ، يبحث المهاجمون عن معلومات محددة حول الشركة المستهدفة وهيكلها التنظيمي وموظفيها. يمكن توجيه إجراءاتهم ضد موظفي بعض الأقسام أو ضد أي شخص لديه مستوى منخفض من الوصول إلى الأنظمة التي يمكنك من خلالها الوصول إلى مستويات أعلى. الفكرة ليست البحث عن رابط ضعيف في النظام الأمني ، بل إيجاد شخص ضعيف. أثناء اللعب على مخاوفه أو جشعه أو فضوله ، يجبره المهاجمون على كسر البروتوكول.
للقيام بذلك ، يبحث المجرم عن المعلومات في المصادر عبر الإنترنت وغير متصل ويحدد الضحايا المحتملين. لقد سهل الإنترنت ووسائل التواصل الاجتماعي الوصول إلى هذه البيانات بشكل كبير.
لذا ، فإن المخططات التنظيمية هي نقطة انطلاق جيدة للعمل غير المباشر. الشبكات الاجتماعية مثل LinkedIn و Facebook هي مخزن للمعلومات. على سبيل المثال ، على LinkedIn ، من السهل جدًا العثور على قائمة بالأشخاص الذين يعملون في قسم معين في الشركة. بعد ذلك ، يمكنك مراقبة سلوكهم على Facebook لحساب الأفراد الأكثر سذاجة. بعد ذلك ، يبقى الحصول على معلومات الاتصال الخاصة بهم (عنوان البريد الإلكتروني ورقم الهاتف).
يحاول المهاجمون كسب ثقة الضحية أو اللعب على مشاعر الخوف والتسرع حتى لا يجد الشخص وقتًا للتفكير في الموقف بشكل صحيح.
أمثلة على سيناريوهات الهجوم:
- باستخدام عنوان مرسل مزيف ، يجعل المهاجمون الناس يعتقدون أن الرسالة تم إرسالها من قبل مدير أعلى (على سبيل المثال ، مدير عام) أو موظف أو شريك تجاري. بعد ذلك ، يتم تشغيل البرامج الضارة عن طريق النقر على المرفق أو الرابط في نص الرسالة. أو ، تحدد الرسالة طلبًا لتقديم معلومات سرية على وجه السرعة. تخيل أنك تتلقى رسالة من مدير الشركة أو الزميل ، حيث يطلب منك مشاركة أفكارك حول الوثيقة المرفقة. رد فعلك الأول هو تنزيل الملف. مثال آخر: لقد تلقيت خطابًا من مزود منتظم اشتكى فيه من أن بيانات التفويض الخاصة به لم تعمل ، وكان بحاجة إلى مساعدتك لإدخال جزء معين من النظام. في هذه الحالة ، قد تكون لديك أيضًا رغبة متهورة في المساعدة. لما لا؟ في النهاية ، الموفر لديه حق الوصول. وأنت بالكاد تريد أن تكون الشخص الذي أوقف الولادة العاجلة.
- يمكن للموظف تلقي "اتصال" من "الدعم الفني". يتصل المهاجم بمجموعة موظفي المنظمة ويعبر عن رغبته في جمع معلومات حول طلب تم إرساله إلى فريق الدعم في وقت سابق. هناك احتمال أنه سيجد بالفعل الشخص الذي أرسل مثل هذا الطلب أو الذي يريد ببساطة المساعدة. عندما يتم العثور على ضحية ساذجة ، يخدعها المجرمون لإدخال معلومات تسجيل الدخول أو محاولة تثبيت البرامج الضارة عن بُعد.
- محاكاة مكالمة من قسم تكنولوجيا المعلومات تتعلق بانتهاك سياسة أمنية أو تسرب معلومات الترخيص. يُطلب من الضحية تقديم معلومات شخصية لـ "إعادة تعيين كلمة المرور" أو تثبيت ملف أو تشغيل أمر أو اتباع الرابط للتحقق مما إذا كانت هناك بيانات في قائمة كلمات المرور المخترقة. في الواقع ، ستؤدي هذه الإجراءات إلى تثبيت البرامج الضارة.
- مكالمة من "مدقق حسابات" أو "ضابط إنفاذ القانون" أو غيره من المسؤولين الحكوميين الذين "لهم الحق" في الوصول إلى المعلومات الحساسة.
- لإقناع الضحية بأنهم يتصلون من شركة معينة ، يستخدم المجرمون المصطلحات المهنية المتخصصة أو الضربات الموسيقية على الهاتف.
- يترك المجرمون محرك أقراص USB بعلامة جذابة ("راتب" أو "تقدير التكلفة") في مكان واضح في مباني الشركة ، على سبيل المثال ، في موقف للسيارات أو في مصعد أو في أماكن عامة أخرى. يمكن للموظف الذي يعثر على محرك أقراص محمول إما أن ينقله إلى خدمة الأمن ، أو بدافع الفضول توصيله بمكتبه أو جهاز الكمبيوتر في المنزل. بطريقة أو بأخرى ، ستجد البرامج الضارة المضمنة طريقها إلى النظام.
- يمكن للمهاجم دخول مبنى مغلق مع موظف لديه بطاقة مفتاح. في هذه الحالة ، يتصرف الجاني كما لو كان لديه حق الوصول إلى المبنى. للقيام بذلك ، يمكنه وضع زي الشركة أو حمل في يده بطاقة تشبه البطاقة الحقيقية.
- يحصل المهاجمون على إمكانية الوصول من خلال إصابة مجموعة معينة من مواقع الويب التي يثق بها الموظف. في هذه الحالة ، يقومون بتزييف الروابط باستخدام أسماء النطاقات المتشابهة في المظهر والصوت.
- يقوم المهاجمون بانتحال صفة العاملين الفنيين أو عمال النظافة أو حراس الأمن في محاولة لعدم جذب الانتباه أثناء سرقة المعلومات.
لماذا تعتبر هجمات الهندسة الاجتماعية أكثر خطورة؟
نهج الهندسة الاجتماعية دائمًا أكثر تعقيدًا من الهجمات السيبرانية الأخرى ، وبالتالي فهي تشكل تهديدًا كبيرًا. فيما يلي بعض الأسباب التي تجعل الهندسة الاجتماعية أكثر خطورة من الهجمات الأخرى:
- يحاول المهاجمون دائمًا خلق حالة طبيعية تمامًا للوهلة الأولى. تبدو مصادرهم وكأنها يمكن الوثوق بها. لا يمكن التعرف على التزوير إلا إذا كنت في حالة تأهب باستمرار.
- غالبًا ما يتلقى المجرمون معلومات من موظفي الشركة خارج مكان عملهم ، في بيئة أكثر راحة وراحة. على سبيل المثال ، عندما تجتمع في بار ، متنزه ، مركز للياقة البدنية وأماكن أخرى مماثلة.
- الجدران النارية وتدابير الأمن السيبراني غير فعالة ، لأن المجرمين لا يحاولون استغلال ثغرة أمنية في برنامج الشركة أو نظامها. بدلاً من ذلك ، فإنهم يستفزون الموظفين العاديين لارتكاب خطأ ، ويحدث الاختراق اللاحق للنظام تحت غطاء أوراق اعتماد المستخدمين القانونيين.
- إذا تمكن المجرمون من الوصول ، فإن الهجوم يتقدم تدريجياً ، متجاوزًا الوظائف المحتملة للاعتراف بالنشاط غير الطبيعي. يختبئ المهاجمون في مكان واضح ويندمجون مع النظام ، ويدرسون نقاط ضعفه ونقاط وصوله لبعض الوقت. إنهم يسعون جاهدين للحصول على موطئ قدم ، وتوسيع قدراتهم ، واختراق الأجزاء الأخرى ، وجمع وإعداد أكبر قدر ممكن من البيانات للإرسال في الخارج ، بما في ذلك تحت ستار حركة مرور الشبكة العادية.
- يدمر المهاجمون أحيانًا أدلة على وجودهم أثناء تنقلهم عبر النظام ، ويزيلون البرامج الضارة من تلك الأجزاء حيث حصلوا بالفعل على معلومات مهمة.
- يمكن للمهاجمين مغادرة نقطة دخول مخفية (ما يسمى الباب الخلفي) ، مما يسمح لهم بالعودة إلى النظام في أي وقت.
- يمكن للمهاجمين التسلل إلى النظام من خلال موظفي المنظمات الخارجية بمستوى معين من الوصول. هؤلاء هم ، على سبيل المثال ، شركاء الأعمال أو مزودي خدمة التخزين السحابي. نظرًا لأن الشركة المستهدفة بالهجوم لا يمكنها التحكم في الإجراءات الأمنية للشركاء أو مزودي الخدمة ، فإن خطر فقدان البيانات يزداد. مثال حي على ذلك تسرب البيانات في شركة التجزئة العملاقة Target.
- الهندسة الاجتماعية خطيرة بشكل خاص عندما تقترن بهجوم عبر منصات. تتبع مثل هذه الحالات أكثر صعوبة. بشكل عام ، يكون جهاز الكمبيوتر المنزلي للضحية أو الجهاز الشخصي أقل أمانًا من شبكات المكتب. من خلال القرصنة ، يمكن أن تصل البرامج الضارة أيضًا إلى جهاز كمبيوتر يعمل بشكل أكثر أمانًا ، ومن خلاله إلى أجزاء أخرى من نظام الشركة.
- قد تكون أدوات الحماية التقليدية من البرامج الضارة غير فعالة ، حيث يتمكن المهاجمون من الوصول إلى البرنامج المسموح به في النظام ويستخدمونه لمزيد من الاختراق.
احتياطات السلامة
إن الهجمات باستخدام أساليب الهندسة الاجتماعية معقدة للغاية ، وليس من السهل إيقافها أو على الأقل اكتشافها. كما ذكرنا سابقًا ، قد لا تكون أنظمة اكتشاف الاختراق في هذا الصدد فعالة بما فيه الكفاية. ومع ذلك ، هناك بعض
الممارسات المفيدة في منع الهجمات:
- يجب على الشركات تدريب الموظفين بانتظام من خلال إعلامهم بتقنيات الهندسة الاجتماعية الشائعة. يمكن أن تكون مواقف النمذجة مع تقسيم الموظفين إلى فرق من المتسللين والدفاع فعالة. كلما كان ذلك ممكناً ، ينبغي إشراك موظفي الشركات الشريكة في هذه العملية.
- من المفيد إعداد بريد إلكتروني آمن وبوابات ويب تقوم بتصفية الروابط الضارة.
- يجب مراقبة الرسائل واستلامها من شبكة خارجية غير شركة.
- يمكنك تكوين نظام الإعلام للكشف عن أسماء النطاقات التي تشبه اسم الشركة.
- يجب تقسيم شبكة الشركة إلى عناصر منفصلة. يجب تشديد الرقابة على الوصول إليها ، ويجب منح السلطة فقط وفقًا لدرجة الاحتياجات الرسمية للموظف. عند إدارة حقوق الوصول ينبغي أن تقوم على مبدأ الثقة الصفر.
- يجب حماية الأنظمة الأساسية التي تحتوي على معلومات وحسابات مهمة للموظفين العاملين مع البيانات السرية باستخدام المصادقة الثنائية أو متعددة العوامل.
- من المهم تقليل الوصول الواسع النطاق وتكرار السلطة.
- من الضروري تكوين مراقبة الوصول إلى الأنظمة وتحليل البيانات التي تم الحصول عليها وتحديد النشاط غير الطبيعي.
- من الضروري فحص حركة المرور الداخلية بانتظام بحثًا عن الاتجاهات غير الطبيعية للكشف عن النسخ البطيء للبيانات من النظام. يجب ملاحظة والتحقيق في المواقف عندما يقوم موظف لديه حق الوصول إلى بيانات معينة بنسخها بانتظام بعد ساعات. أو هكذا ، عندما يتم نسخ البيانات من المكتب ، وكان الموظف قد غادر المبنى بالفعل. يجب أيضًا ملاحظة وتتبع محاولات جمع المعلومات الداخلية.
- يجب مراجعة قوائم المستخدمين بانتظام وتمييزها بأكثر الحسابات التي يمكن الوصول إليها على نطاق واسع ، وخاصة الحسابات الإدارية. يجب إيلاء اهتمام خاص للتحقق من Active Directory ، نظرًا لأن العديد من الأنشطة الضارة تترك آثارًا على هذا النظام.
- تحتاج إلى مراقبة استعلامات LDAP غير الطبيعية أو الزائدة عن الحاجة. تعد الاستخبارات بمساعدتهم جزءًا مهمًا من الهجمات ، نظرًا لأن هياكل الشبكات في الشركات المختلفة مختلفة ، ويدرس المهاجمون كل منها على حدة. يختلف هذا السلوك تمامًا عن أنماط سلوك المستخدمين العاديين ويمكن التعرف عليه بسهولة.
- سيكون من المفيد تحديد نطاق البرامج الموثوقة للخوادم منخفضة المهام.
- من المهم تثبيت بقع جديدة على جميع محطات العمل.
- يجب إجراء تقييم المخاطر بانتظام.
- يجب أن تكون الشركة قد وضعت ونفذت إجراءات للتعامل مع التغييرات المصرح بها على وجه السرعة للتعامل مع الطلبات العاجلة من الإدارة. يجب أن يكون جميع الموظفين الذين لديهم حق الوصول إلى المعلومات السرية على دراية بأحدث إصداراتهم.
- إذا تم الكشف عن هجوم ، يجب العثور على الأبواب الخلفية والقضاء عليها.
يجب على المهاجمين بذل جهود جادة لتنسيق الهجوم. ومع ذلك ، هناك العديد من مواقع الويب والمنتديات المتخصصة عبر الإنترنت على الإنترنت التي تساعد المجرمين عديمي الخبرة على تحسين مهاراتهم في الهندسة الاجتماعية من خلال برامج جاهزة ومعلومات نظرية مفصلة. لذلك ، فإن حماية منظمة من مثل هذه الأنشطة غير القانونية تتطلب زيادة النشاط والاهتمام. لكن كل الجهود ستؤتي ثمارها بالكامل ، لأن هذه طريقة لتجنب حوادث مثل ما حدث في الهدف.
