Programming Basics SQL HTML CSS JavaScript React Python C++ Java JavaFX Swing Problem Solving English English Conversations Computer Fundamentals Linux Learn Typing

ناقلي هجوم الهندسة الاجتماعية

  • الزريعة (Pretexting)
  • سرقة التحويلات (Diversions Theft)
  • التصيّد (Phishing)
  • التصيّد بالرمح (Spear phishing)
  • الإغواء (Baiting)
  • الذيل (Tailgating)
  • التصيد عبر الهاتف (Vishing)
  • ثقب المياه (Water Holing)

الهندسة الإجتماعية هي العمل القائم على مناورة الآخرين نفسياً بهدف الحصول على المعلومات التي نريدها منهم بدون إستخدام أي طرق تقنية.

يمكن أن تكون موجهات هذا النوع من الهجمات عبر عدة طرق سنتطرق إليها في هذا المقال.


الزريعة (Pretexting)

هي عبارة عن إختراع سيناريو و جعل الضحية تشارك فيه. كمثال على ذلك, وصل للكثيرين رسائل عبر الإيميل حول أمير أفريقي توفي منذ فترة قريبة و أن إسمهم موجود على وصيته و يطلب صورة عن جواز السفر مع مبلغ من المال للسير في معاملة الإرث.

كشخص منطقي فإنك تجد هذا النوع من الخداع غبي جداً إلا أن الكثير من الناس البسيطة و التي لم تتعرض للخداع من قبل تقع بهذا الفخ.


سرقة التحويلات (Diversions Theft)

يستخدم هذا النوع من الهجمات مع العاملين في تسليم الطرود أو في شركات النقل حيث يتم خداعهم و إقناعهم لتوصيل الشحنة إلى مكان آخر. قد يتم تطبيقه أيضاً على الأشخاص العادين فمثلاً قد يتم خداع الشخص بأنه سيأتي موظف تابع لشركة ما لإستلام المال منه بشكل مباشر و إتمام المعاملة المالية عنه بحجة أن بطاقته المصرفية لا تعمل أو أنه يوجد مشكلة ما في حسابه البنكي.

هذا النوع من العمليات لا يتم تطبيقه فقط مع العاملين في تسليم الطرود بل ربما يتم توجيه الضحية للبنك لإيداع نقدي أو قد يتم تضليل الضحية بشكل مخادع للغاية كأن تكون مكنة إيداع الأموال القريبة من الضحية معطلة فيخبره بأنه سيتم إرسال أحد إليه و لكن بعض الناس يدعون أن الصرّافة لا تعمل و أن هناك سيارة أو كشك تابع للبنك.

إذاً هذه الطريقة تعتمد على تغيير إنتباه الضحية و توجيهه عن العمل الأصلي الذي كان ينوي القيام به.


التصيّد (Phishing)

تعتمد على إرسال رسائل عبر البريد الإلكتروني تبدو و كأنها من شركة حقيقية أو من بنك أو من شركة بطاقات إئتمانية تطلب من الضحية نوع محدد من المعلومات مثل تزويدهم برقم بطاقته الإئتمانية, رمز الأمان الخاص بها, تاريخ إصدار بطاقته الإئتمانية إلخ.. بحجة التحقق من هويته.


التصيّد بالرمح (Spear phishing)

هذا النوع يندرج أيضاً تحت الإصطياد و لكنه يستهدف شخصية أو مجموعة معينة و ليس موجهاً للعامة كما في الإصطياد العادي.

معدل النجاح في هذا النوع من الهجوم هو أعلى مما يمكن تحقيقه في حالة الإصطياد العادي لأنه يقوم بالبحث أكثر عن الضحية مما يرفع إحتمالية نجاح الهجمة.


الإغواء (Baiting)

هذا الهجوم يستغل رغبة الناس في الحصول على الشيء. فمثلاً عن طريق وضع ملف ضار بداخل فلاش ميموري (USB) و من ثم رميها في مكان عام كموقف, مصعد, رصيف مشاة إلخ.. سيقع بعض الناس في هذه الخدعة و سيأخذونها بسبب الفضول لرؤية ما تحتويه خاصةً إن تم تسميتها بإسم ملفت كرواتب العام 2021, علامات نهاية الفصل, وثائق سرية.

و بذلك سيتم إصابة الجهاز و قد يصبح لدى المهاجم تحكم عن بعد به.


الذيل (Tailgating)

يقصد بها البوابة الخلفية و هي حين يقوم المهاجم بالتسلل إلى منطقة محظورة من خلال التعقب أو اللحاق بشخص قد دخل اليها مستخدماً تصريحه القانوني و بذلك يدخل المهاجم الى تلك المنطقة من دون تصريح أو التحقق من الهوية.


التصيد عبر الهاتف (Vishing)

هو حين يقوم المهاجم بإستخدام الهندسة الاجتماعية عبر الإتصال بالضحية بواسطة الهاتف بهدف الحصول على معلومات خاصة أو مالية.


ثقب المياه (Water Holing)

هو مشابه لهجوم الإصطياد (phishing) و لكن بسياق مختلف ففي معظم الأحيان يعلم الناس بهجمات الإصطياد و لا يقومون بالضغط على الرابط الذي يصلهم في تلك الإيميلات و لكن لا مشكلة لديهم في الضغط على الروابط التي تصلهم من المواقع الإلكترونية الموثوقة من قبلهم.

إذاً في هذا النوع من الهجمات يتم عمل نوع من البحث في تلك الناحية حيث يقوم المهاجم بالبحث في المواقع التي يزورها أولئك المستخدمون بصورة متكررة من أجل العثور على ثغرات فيها يمكن من خلالها إدخال الروابط التي سيضغط عليها المستخدم نتيجة ثقته بالموقع.

آخر تحديث في 01-08-2024

الكاتب

محمد العلوش

من سوريا من مدينة منبج مبرمج ويب و محب للتقنية و الأمن المعلوماتي و الشبكات و اهم الدروس الذي افضلها هي عن الشبكات و امن المعلومات آمل أن أُقدم كل ما هو مفيد للجميع. مؤسس و مطور موقع sawa3d.com

www.sawa3d.com

تعليقات 1

أضف تعليق

يجب تسجيل الدخول حتى تتمكن من إضافة تعليق أو رد.