الهندسة الاجتماعية Social Engineering

الموضوع في '|||▮ The Matrix |▮||' بواسطة Rami, بتاريخ ‏14 أكتوبر 2016.

  1. Rami

    Rami عضو مشارك

    المشاركات:
    2,139
    الإعجابات المتلقاة:
    2,855
    الجنس:
    ذكر
    الهندسة الاجتماعية أو ما يعرف بفن اختراق العقول هي عبارة عن مجموعة من التقنيات المستخدمة لجعل الناس يقومون بعمل ما أو يفضون بمعلومات سرية. تـُستخدم الهندسة الاجتماعية أحياناً ضمن احتيال الإنترنت لتحقيق الغرض المنشود من الضحية، حيث أن الهدف الأساسي للهندسة الاجتماعية هو طرح أسئلة بسيطة أو تافهة (عن طريق الهاتف أو البريد الإلكتروني مع انتحال شخصية ذي سلطة أو ذات عمل يسمح له بطرح هذه الأسئلة دون إثارة الشبهات).

    الأساليب المتبعة في الهندسة الاجتماعية
    من أشهر الأساليب المتبعة في مثل هذا النوع من الاختراق :

    1. الهاتف: فأكثر هجمات الهندسة الاجتماعية تقع عن طريق الهاتف . يتصل المهاجم مدعياً أنه شخص ذو منصب له صلاحيات و يقوم تدريجياُ بسحب المعلومات من الضحية.
    2. البحث في المهملات: حيث يوجد الكثير من المعلومات الهامة عن المنظمة يمكن الحصول عليها من سلة مهملات الشخص أو الضحية.
    3. الإقناع: حيث يحصل المهاجم على المعلومات التي يريدها من خلال التحدث مع الضحية وحثها على الإدلاء بمعلومات حساسة أو ذو علاقة بهدف المهاجم وذلك من خلال إثارة انطباع جيد لدى الضحية والتملق وغيرها من الأساليب.
    4. الهندسة الاجتماعية المعاكسة: وهي إيهام الضحية بأنك شخص مهم أو ذو صلاحيات عليا بحيث يقوم المهاجم بالإدلاء بمعلومات يريدها الضحية وإذا ما نجح الأمر وسارت الأمور كما خُطط لها فقد يحصل المهاجم على فرصة أكبر للحصول على معلومات ذات قيمة كبيرة من الضحية، وهذا الأسلوب معقد نسبياً كونه يعتمد على مدى التحضير المسبق وحجم المعلومات التي بحوزة المهاجم.
    penetrating minds is a collection of techniques used to make what people are doing or share with confidential information. Social engineering is sometimes used within Internet fraud to achieve the intended purpose of the victim, where the primary purpose of social engineering is to ask simple questions or trivial (by phone or e-mail with impersonating a salad or with work allows him to ask such questions without raising suspicions​

    أشهر المهندسين الاجتماعيين
    من بين المهندسين الاجتماعيين المشهورين أيضاً: فرانك أباغنال (Frank Abagnale) من مواليد 27 أبريل 1948 ، دايفيد بانون (David Bannon) من مواليد 1963 , ستيفن جاي راسل (Steven Jay Russell) من مواليد 14 سبتمبر 1957 , خالد الفيومي (Khaled Alfaiomi) من مواليد 11 أبريل 1978 كبار مستشاري امن المعلومات في شركة مايكروسوفت ، وديفيد كينيدي (David Kennedy) من مواليد 15 يونيو 1955 وهو من أنشأ ما يعرف Social-Engineer Toolkit .

    الهندسة الاجتماعية - تقنيات وشروط

    وتستند جميع تقنيات الهندسة الاجتماعية على سمات معينة من الإنسان صنع القرار المعروفة باسم التحيزات المعرفية. [ 3 ] هذه التحيزات، وتسمى أحيانا "الخلل في الأجهزة البشرية،" يتم استغلالهم في توليفات مختلفة لخلق تقنيات هجوم، والبعض منها مدرجة هنا: [ تحرير ] بالتستر بالتستر، والمعروف أيضا في المملكة المتحدة و blagging أو bohoing، هو عمل من أعمال إنشاء واستخدام سيناريو اخترع (و ذريعة) لإشراك الضحية المستهدفة على نحو يزيد من فرصة الضحية سوف الكشف عن معلومات أو تنفيذ إجراءات من شأنها أن تكون غير المحتمل في الظروف العادية. [ 4 ] محكم كذبة، فإنه غالبا ما ينطوي على بعض البحوث السابقة أو إعداد واستخدام هذه المعلومات لالانتحال (على سبيل المثال، تاريخ الميلاد، رقم الضمان الاجتماعي، مشاركة قيمة الفاتورة) ل إنشاء الشرعية في ذهن من الهدف. [ 5 ] ويمكن استخدام هذه التقنية لخداع رجال الأعمال بغرض كشف معلومات العملاء فضلا عن المحققين خاصة في الحصول على سجلات هاتفية وسجلات المرافق، والسجلات المصرفية وغيرها من المعلومات مباشرة من ممثلي خدمة الشركة. ويمكن بعد ذلك أن تستخدم المعلومات لإنشاء شرعية أكبر حتى في ظل أصعب الأسئلة مع مدير، على سبيل المثال، لإجراء تغييرات حساب، والحصول على أرصدة محددة، الخ. ويمكن أيضا أن تستخدم لبالتستر انتحال زملاء العمل، والشرطة، والبنوك، سلطات الضرائب، ورجال الدين، والمحققين التأمين - أو أي فرد آخر الذي يمكن أن ينظر إليها السلطة أو في ذهن الضحية المستهدفة الحق في المعرفة. يجب أن pretexter إعداد ببساطة أجوبة على الأسئلة التي قد يطلب من الضحية. في بعض الحالات كل ما هو مطلوب هو الصوت الذي يبدو موثوقة، لهجة جادة، والقدرة على التفكير على قدم واحدة. [ عدل ] سرقة تحويل سرقة تحويل، والمعروف أيضا باسم "لعبة ركن" [ 6 ] أو "جولة في لعبة ركن"، نشأت في الطرف الشرقي من لندن. وباختصار، هو تحويل سرقة "يخدع" التي يمارسها اللصوص المحترفين، عادة ضد شركة النقل أو البريد السريع. والهدف من ذلك هو إقناع الأشخاص المسؤولين عن تسليم المشروعة التي يتم طلب الشحنة في مكان آخر - ومن هنا، "على مرمى حجر". مع حمولة / شحنة إعادة توجيه، واللصوص إقناع السائق لتفريغ الشحنة بالقرب من، أو بعيدا عن وعنوان المرسل إليه، في التظاهر بأنها "الخروج مباشرة" أو "مطلوب على وجه السرعة إلى مكان آخر". و"يخدع" أو الخداع جوانب عديدة ومختلفة، والتي تشمل تقنيات الهندسة الاجتماعية المشروعة لإقناع الموظفين الإداريين أو المرور من شركة النقل أو البريد السريع إلى إصدار تعليمات للسائق لإعادة توجيه أو تحميل شحنة. اختلاف آخر من السرقة والتسريب تمركز سيارة الأمن خارج مصرف في ليلة الجمعة. حراس يرتدون ملابس أنيقة استخدام خط "آمنة ليلة خارج الترتيب، سيدي". باستخدام هذا الأسلوب، يتم gulled أصحاب المتاجر وغيرها في الاستيلاء على إيداع في الشاحنة. انهم بالطبع الحصول على إيصال، ولكن في وقت لاحق هذا تبين أن لا قيمة لها. تم استخدام تقنية مماثلة قبل سنوات عديدة لسرقة ستاينواي بيانو ضخم من استديو إذاعي في لندن. "تعال جوف (يارجل) لإصلاح البيانو"، وكان خط الدردشة. [ تحرير ] الخداع المقال الرئيسي: الخداع التصيد هو أسلوب الاحتيال للحصول على معلومات خاصة. عادة، ومخادع يرسل البريد الإلكتروني التي يبدو أن تأتي من الشركة، طلب بطاقة الأعمال المشروعة أحد البنوك، أو الائتمان "التحقق" من المعلومات والتحذير من بعض نتيجة وخيمة إذا لم يتم توفير ذلك. البريد الإلكتروني عادة ما تحتوي على وصلة لصفحة الويب الاحتيالية التي يبدو المشروعة، مع شعارات الشركة والمحتوى، ولها شكل طلب كل شيء من عنوان الصفحة الرئيسية ل بطاقة ATM ل PIN. على سبيل المثال، شهد عام 2003 انتشار عملية احتيال التصيد في أي من المستخدمين تلقت رسائل البريد الإلكتروني من المفترض من موقع ئي باي مدعيا أن حساب المستخدم على وشك أن يتم تعليق إلا إذا الرابط المقدم قد تم اختيار لتحديث بطاقة الائتمان (المعلومات التي يباي حقيقية بالفعل). لأنها بسيطة نسبيا لجعل موقع على شبكة الإنترنت تشبه موقع منظمة المشروعة من خلال محاكاة رمز HTML، يتم خداع واحتيال تحسب على الناس في التفكير ويجري الاتصال بهم من قبل موقع ئي باي وبعد ذلك، كانوا في طريقهم لموقع ئي باي لتحديث معلومات حساباتهم. بواسطة البريد الإلكتروني غير المرغوب مجموعات كبيرة من الناس، ويجري قراءة "مخادع" يعول على البريد الإلكتروني عن طريق نسبة مئوية من الأشخاص الذين سبق ذكره أرقام بطاقات الائتمان مع eBay مشروعة، الذين قد ترد. [ تحرير ] IVR أو الخداع الهاتف المقال الرئيسي: Vishing هذه التقنية يستخدم المارقة الاستجابة الصوتية التفاعلية (IVR) لإعادة نظام نسخة المشروعة السبر من أحد البنوك أو مؤسسة أخرى في نظام IVR. يتم مطالبة الضحية (عادة عن طريق البريد الإلكتروني التصيد) لاستدعاء لفي "البنك" من خلال عدد (رقم مثالي مجانا) قدمت من أجل "تحقق" من المعلومات. وهناك نظام نموذجي رفض دخول الإضافية باستمرار، وضمان الضحية يدخل دبابيس أو كلمات المرور عدة مرات، في كثير من الأحيان الكشف عن كلمات المرور مختلفة. نظم أكثر تقدما نقل الضحية إلى المهاجم تظاهر بأنه عامل خدمة العملاء لمزيد من الاستجواب. يمكن للمرء حتى سجل الأوامر نموذجي ("اضغط واحد لتغيير كلمة المرور الخاصة بك، اضغط مرتين إلى التحدث لخدمة العملاء"...) وتشغيل الاتجاه يدويا في الوقت الحقيقي، وإعطاء مظهر كونه IVR من دون حساب. كما دعا التصيد الهاتف vishing. [ تحرير ] الاصطياد الاصطياد هو مثل حصان طروادة في العالم الحقيقي الذي يستخدم وسائط مادية وتعتمد على الفضول أو جشع الضحية. [ 7 ] في هذا الهجوم، المهاجم يترك البرمجيات الخبيثة المصابين الأقراص المرنة، CD ROM، أو محرك أقراص فلاش USB في موقع تأكد من أن العثور على (حمام، مصعد، مواقف الكثير الرصيف،)، يعطيها تسمية المشروعة والفضول يبحث الإزعاج، وينتظر لمجرد ضحية لاستخدام الجهاز. على سبيل المثال، قد مهاجم إنشاء قرص يضم شعار الشركة، متاحة بسهولة من موقع ويب الهدف، والكتابة "ملخص الرواتب التنفيذي Q2 2012" على الجبهة. أن يقوم المهاجم بعد ذلك يخرج القرص على أرضية مصعد أو في مكان ما في بهو الشركة المستهدفة. موظف غير عارف قد تجد أنه من وضعه لاحقا القرص في جهاز كمبيوتر لإشباع فضولهم، أو السامري الصالح قد تجد أنه وتحويلها إلى شركة. في كلتا الحالتين نتيجة لإدراج القرص في مجرد جهاز كمبيوتر لمشاهدة محتويات، فإن المستخدم تثبيت تدري البرمجيات الخبيثة على ذلك، من المرجح إعطاء وصول المهاجم غير المقيد إلى PC الضحية وربما، فإن الشركة تستهدف الداخلية شبكة الكمبيوتر. ما لم ضوابط منع العدوى الكمبيوتر، أجهزة الكمبيوتر المدرجة لتعيين "التشغيل التلقائي" قد يؤثر سلبا وسائل الإعلام بمجرد إدراج قرص المارقة. أكثر جاذبية من الذاكرة، ويمكن أيضا أن تستخدم أجهزة معادية. [ 8 ] على سبيل المثال، يتم إرسال "الفائز" حرة لاعب السمعية الرقمية التي يقوض في الواقع أي جهاز كمبيوتر موصول بها. شركة أمن تكنولوجيا HBGary باعت هذه الأجهزة لحكومة الولايات المتحدة. [ 9 ] [ تحرير ] تقابل تقابل يعني شيئا لشيء : مهاجم يدعو أرقام عشوائية في شركة تدعي أنها تدعو مرة أخرى من الدعم التقني. في نهاية المطاف سوف تصل إلى شخص مع مشكلة المشروعة، بالامتنان أن شخصا ما يدعو إلى مساعدتهم. سوف المهاجم "مساعدة" في حل المشكلة ويكون في عملية الأوامر نوع المستخدم التي تعطي وصول المهاجم أو إطلاق البرمجيات الخبيثة. في عام 2003 في المعلومات الأمنية المسح، 90٪ من العاملين في المكتب أعطى الباحثون ما زعموا كان لهم كلمة في الإجابة على سؤال الاستطلاع في مقابل رخيصة القلم. [ 10 ] الحصول على الدراسات الاستقصائية مشابهة في سنوات لاحقة نتائج مماثلة باستخدام الشوكولاتة وغيرها من السحر رخيصة، على الرغم من أنها قدمت أي محاولة للتحقق من صحة كلمات السر. [ 11 ] [ تحرير ] ذيل المقال الرئيسي: حمل مركبة (الأمن) مهاجم، الذين يحاولون الدخول إلى منطقة محظورة مضمونة غير المراقب، والإلكترونية التحكم في الوصول، على سبيل المثال عن طريق RFID بطاقة، يمشي وراء ببساطة في الشخص الذي لديه حق الوصول المشروعة. بعد مجاملة المشتركة، فإن الشخص عادة المشروعة عقد الباب مفتوحا أمام المهاجم. يجوز للشخص أن تفشل المشروعة لطلب تحديد هوية أي من عدة أسباب، أو أن تقبل وتأكيد علي أن المهاجم قد نسي أو فقدت رمز الهوية المناسبة. قد مهاجم وهمية أيضا عمل عرض رمز الهوية. [ عدل ] أنواع أخرى المشترك المحتالون الثقة أو المحتالين يمكن أيضا اعتبارها "المهندسين الاجتماعية" في أوسع معانيها، لأنها تعمد خداع الناس والتلاعب واستغلال نقاط الضعف البشرية للحصول على منافع شخصية. ويجوز لهم، على سبيل المثال، استخدام تقنيات الهندسة الاجتماعية كجزء من الاحتيال IT. وهناك نوع حديث جدا من تقنية الهندسة الاجتماعية تتضمن خداع أو معرفات تكسير أشخاص لديهم شعبية البريد الإلكتروني معرفات مثل ياهو، بريد جوجل، هوتميل، وما بين دوافع كثيرة لخداع و: التصيد أرقام الحسابات بطاقات الائتمان وكلمات السر الخاصة بهم. تكسير خاصة رسائل البريد الإلكتروني والدردشة وتاريخها، والتلاعب بها باستخدام تقنيات التحرير المشترك قبل استخدامها لابتزاز الأموال وخلق عدم الثقة بين الأفراد. تكسير مواقع الشركات أو المنظمات وتدمير سمعتها. الكمبيوتر الخدع فيروس [ تحرير ] المضادة يجب على المنظمات، على مستوى الأفراد الموظف /، ووضع أطر للثقة. (أي متى / أين / لماذا / كيف يجب أن يتم التعامل معها المعلومات الحساسة؟) يجب على المنظمات تحديد أي معلومات حساسة والسؤال سلامتها في جميع النماذج. (أي الهندسة الاجتماعية، وبناء الأمن، وأمن الحاسوب، الخ.) يجب على المنظمات وضع بروتوكولات الأمن للشعب الذين يتعاملون مع معلومات حساسة. (أي الورق مسارات لكشف المعلومات و/ أو الفتات الطب الشرعي) يجب تدريب العاملين في البروتوكولات الأمنية ذات الصلة لموقفهم. (على سبيل المثال، يجب على الموظفين تحديد الأشخاص الذين توجيه نحو المعلومات الحساسة.) (أيضا: في مثل هذه الحالات كما ذيل، إذا لا يمكن أن هوية الشخص يمكن التحقق، ثم يجب تدريب العاملين في رفض بأدب) يجب أن يتم اختبار إطار المنظمة بشكل دوري، ويجب أن تكون هذه الاختبارات لم يعلن عنها مسبقا. إدراج بعين ناقدة إلى أي من الخطوات أعلاه: لا يوجد حل مثالي لسلامة المعلومات. [ 12 ] تقتصر القمامة الأمن باستخدام خدمة إدارة النفايات لديها مع تأمين حاويات عليها، مع مفاتيح لهم فقط على شركة لإدارة النفايات والموظفين التنظيف. أيضا التأكد من القمامة يقع في مكان ليس من الرأي، ومحاولة للوصول إلى أنها سوف تحمل خطرا على القبض أو ينظر أو خلف بوابة الجدار المغلقة أو التي يكون فيها الشخص يجب التعدي قبل أن يتمكنوا من محاولة الوصول القمامة. [ 13 ]

    طرق الحماية من الهندسة الاجتماعية:

    وضع قوانين للحماية الأمنية للمنظمة: تقوم المنظمة بالتوضيح للعاملين فيها قوانين الحماية الأمنية المتبعة والتي على العاملين تطبيقها.

    على سبيل المثال: يقدم الدعم الفني المساعدة ضمن أمور معرفة ومحددة مسبقاً.

    وضع حماية أمنية لمبنى المنظمة: يمنع دخول الأشخاص غير العاملين في المنظمة.

    و تحدد الزيارات في حدود الأعمال بمعرفة سابقة لحراس الأمن في المنظمة وتحت مراقبة منهم.

    التحكم بالمكالمات الهاتفية: وذلك بوضع نظام امني للمكالمات مع قدرة على التحكم في من يستطيع مكالمة من.

    منع المكالمات الخاصة وحضر المكالمات الدولية وبعيدة المدى إلا للضرورة وبإذن المسئول عن المكالمات.

    عدم إظهار مدخل للخط الهاتفي للمنظمة لتجنب استخدام الهاتف من قبل شخص خارج المنظمة.

    التعليم والتدريب: تثقيف الموظفين داخل المنظمة بمجال أمن المعلومات والاختراقات التي من الممكن حصولها.

    تدريب الموظفين في مركز الدعم الفني وتثقيفهم على مستوى جيد من الناحية الأمنية وتوضيح أساليب المهاجمين وتدريسها لهم.

    تدريبهم على عدم إعطاء معلومات ذات سرية عالية إلا بعد التأكد من هوية الشخص ووفقاً للحد المسموح بيه.

    تدريبهم على كيفية رفض إعطاء المعلومات عند عدم الإمكانية بأسلوب لبق.

    إستراتيجية التصرف في المواقف الحرجة: بأن يكون هناك إستراتيجية محددة تضعها المنظمة تمكن الموظف من التصرف إذا طلب منه معلومات سرية تحت ضغط ما.

    إتلاف المستندات والأجهزة غير المستخدمة: وضع أجهزة لإتلاف الورق داخل المنظمة كي لا يمكن استخدام المعلومات التي تحويها سواء كانت معلومات حساسة أو كلمات سر للدخول للنظام ونحو ذلك.

    إتلاف أجهزة الكمبيوتر القديمة كي لا تستعمل باستخراج معلومات سرية منها.

    [ تحرير ] ابرز مهندسي الاجتماعية

    [ تحرير ] ولاية كاليفورنيا إدارات الشرطة التحقيق في الانتهاكات الضوء الأحمر أكثر من 30 ولاية كاليفورنيا الإلكتروني من إدارات الشرطة وهمية الضوء الأحمر كاميرا "تذاكر"، وتسمى أيضا "تذاكر واش،" في محاولة لأصحاب المسجلين خدعة في الكشف عن هوية الشخص الذي كان يقود السيارة في وقت الانتهاك المزعوم. لأنه لم تكن هذه "التذاكر" قدمت في المحكمة، وأنها تحمل أي وزن قانوني و(في الولايات المتحدة) المالك المسجل لديه الحق في التزام الصمت وليس عليها أي التزام للرد على أي نحو. في ولاية كاليفورنيا، وتذكرة حقيقية تحمل اسم وعنوان الفرع المحلي للمحكمة العليا وتوجيه المتلقي للاتصال تلك المحكمة، في حين أن وهمية "تذكرة" ولدت من قبل الشرطة لن تفعل ذلك. [ 14 ] [ 15 ] [ 16 ] [ 17 ] [ تحرير ] كيفن ميتنيك إصلاح الكمبيوتر مستشار الأمن الجنائي في وقت لاحق وكيفن ميتنيك يشير إلى أنه من الأسهل بكثير لخداع شخص ما في إعطاء كلمة السر لنظام من الجهد لقضاء للقضاء في النظام. [ 18 ] [ تحرير ] بدر اخوان الاخوة رامي، مزهر، وShadde بدير-جميعهم من المكفوفين تمكنت من الولادة إلى إنشاء الهاتف والكمبيوتر واسعة النطاق في مخطط الاحتيال إسرائيل في 1990s باستخدام الهندسة الاجتماعية، التمثيل الصوتي، وأجهزة الكمبيوتر، عرض برايل. [ 19 ] [ عدل ] رئيس الملائكة و قبعة بيضاء القراصنة، مستشارا أمنيا الكمبيوتر، والكاتب لمجلة Phrack، رئيس الملائكة وقد أظهرت تقنيات الهندسة الاجتماعية للحصول على كل شيء من البيتزا لكلمات المرور لسيارات لتذاكر الطيران. [ 20 ] [ 21 ] [ 22 ] [ 23 ] [ 24 ] [ تحرير ] ستيف Stasiukonis مستشار الأمن لتقنيات الشبكة الآمنة. مخترع محرك الأقراص USB الإبهام اختبار USB العصي حيث يستغل الواردة لمعرفة ما إذا الموظفين وتشغيلها من داخل بيئات العمل الخاصة بهم. هذا الهجوم هو الآن واحدة من تقنيات الهندسة الاجتماعية الأكثر شعبية في وجود ويستخدم لاختبار العنصر البشري من الأمن في جميع أنحاء العالم. [ تحرير ] مايك Ridpath مستشار الأمن للIOActive، نشر المؤلف، والمتكلم. تؤكد تقنيات وتكتيكات الهندسة الاجتماعية ل يدعو الباردة. أصبح ملحوظا بعد محادثاته حيث سيلعب المكالمات المسجلة وشرح له عملية التفكير في ما كان يقوم به للحصول على كلمات المرور من خلال الهاتف. [ 25 ] [ 26 ] [ 27 ] [ عدل ] أخرى المهندسين الاجتماعية الأخرى تشمل فرانك Abagnale، بانون ديفيد، بيتر فوستر، وستيفن راسل جاي [ عدل ] قانون

    في القانون العام، بالتستر هو غزو الضرر خصوصية الاعتمادات. [ 28 ] [ تحرير ] بالتستر من السجلات الهاتفية في ديسمبر 2006، الولايات المتحدة الأمريكية الكونجرس على مشروع قانون مجلس الشيوخ برعاية جعل من الهاتف بالتستر يسجل الاتحادية جناية مع فرض غرامات تصل إلى 250،000 دولار وعشر سنوات في السجن لأفراد (أو غرامات تصل إلى 500،000 دولار لشركات). شارك في التوقيع عليها رئيس الأمريكي جورج بوش في 12 يناير 2007. [ 29 ] [ عدل ] التشريعات الاتحادية لعام 1999 "GLBA" هو الفيدرالي في الولايات المتحدة على وجه التحديد أن القانون بالتستر عناوين السجلات المصرفية حيث عمل غير قانوني يعاقب عليها بموجب القوانين الاتحادية. عندما كيان تجاري مثل محقق خاص، SIU محقق التأمين، أو الضابط وتجري أي نوع من الخداع، فإنه يقع تحت سلطة لجنة التجارة الاتحادية (FTC). هذه الوكالة الاتحادية لديه التزام والسلطة لضمان عدم تعرض المستهلكين إلى أي الممارسات التجارية غير العادلة أو خادعة. لجنة التجارة الفيدرالية الأمريكية القانون، المادة 5 من الدول FTCA، في جزء منه: "كلما لجنة يكون سبب للاعتقاد بأن أي شخص من هذا القبيل، شراكة، أو شركة كان أو باستخدام أي أسلوب غير عادلة من المنافسة غير العادلة أو فعل أو خادعة أو الممارسة أو تؤثر في التجارة، وإذا كان يجب أن يظهر للجنة أن دعوى به في هذا الشأن سيكون لمصلحة الجمهور، كان عليها أن تصدر وخدمة على ذلك الشخص أو شراكة أو شركة شكوى تفيد التهم في هذا الصدد. " النظام الأساسي تنص على أن فعندما يحصل أي الشخصية، المعلومات غير العامة من مؤسسة مالية أو المستهلك، والعمل على أن يخضع النظام الأساسي. يتصل علاقة المستهلك مع المؤسسة المالية. على سبيل المثال، باستخدام ادعاءات كاذبة pretexter إما للحصول على عنوان المستهلك من بنك المستهلك، أو للحصول على المستهلك الكشف عن اسم له أو لها البنك، وتكون مغطاة. مبدأ تحديد بالتستر هو أن يحدث فقط عندما يتم الحصول على المعلومات من خلال ادعاءات كاذبة. في حين اكتسب بيع الهاتف الخليوي سجلات هامة اهتمام وسائل الإعلام، والاتصالات السلكية واللاسلكية السجلات هي محور مشروعي القانون المعروض حاليا على مجلس الشيوخ في الولايات المتحدة، يتم شراء العديد من أنواع أخرى من السجلات الخاصة وبيعها في السوق العامة. يتم الإعلان جنبا إلى جنب مع العديد من الإعلانات لسجلات الهاتف الخليوي، والسجلات والمحاضر السلكية المرتبطة بطاقات الدعوة. كأفراد هواتف الاتصالات عبر بروتوكول الإنترنت لنقل، فمن الأسلم أن نفترض أن سيتم تقديم هذه السجلات للبيع أيضا. حاليا، يعتبر قانونيا لبيع تسجيلات هاتفية، ولكن غير المشروعة للحصول عليها. [ 30 ] [ تحرير ] معلومات مصدر المتخصصين 1 النائب الأمريكي فريد أبتون (R- كالامازو أعرب، ميتشيغان)، رئيس اللجنة الفرعية للطاقة والتجارة في الاتصالات السلكية واللاسلكية والإنترنت، عن قلقه إزاء سهولة الوصول إلى الشخصية سجلات الهاتف المحمول على شبكة الإنترنت خلال E يوم الاربعاء & C جلسة استماع للجنة على سجلات الهاتف "لل بيع: لماذا لا سجلات الهاتف الآمن من بالتستر "؟ إلينوي أصبحت أول دولة رفع دعوى قضائية ضد وسيط السجلات عبر الإنترنت عند ليزا ماديجان المدعي العام دعوى قضائية ضد 1 المتخصصين معلومات مصدر، شركة، في 20 يناير، المتحدثة باسم مكتب ماديجان يقال. الشركة ومقرها فلوريدا تعمل العديد من المواقع على شبكة الإنترنت التي تبيع سجلات الهاتف النقال، وفقا لنسخة من الدعوى. وكلاء عام من ولاية فلوريدا وميسوري سرعان ما تبع الرصاص ماديجان، وتقديم الدعوى في 24 يناير و 30، على التوالي، ضد 1 المتخصصين معلومات مصدر و، في ميسوري الحال، وسيط سجلات أخرى - حلول فيرست داتا شركة، قدمت العديد من مقدمي الخدمات اللاسلكية، بما في ذلك تي موبايل، فيريزون، وقالت سينجيولار في وقت سابق دعاوى قضائية ضد الوسطاء السجلات، مع سينجيولار الفوز أمر زجري ضد حلول فيرست داتا و 1st المتخصصين معلومات مصدر في 13 يناير كانون الثاني. السناتور الأمريكي تشارلز شومر قدم (D-نيويورك) التشريع في فبراير 2006 بهدف الحد من هذه الممارسة. فإن قانون حماية المستهلك الوثائق هاتف لعام 2006 إنشاء جناية الجنائية عقوبات على سرقة وبيع سجلات الهاتف المحمول، والهاتف الثابت، والصوت عبر بروتوكول الإنترنت المشتركين (الصوت عبر بروتوكول الإنترنت). [ تحرير ] هيوليت باكارد باتريشيا دن ذكرت الرئيسة السابقة للشركة هيوليت باكارد، أن المجلس HP استأجرت الشركة تحقيق خاصة إلى الخوض في الذي كان مسؤولا عن تسرب داخل المجلس. واعترف دان أن الشركة تستخدم ممارسة بالتستر للحصول على المكالمات المسجلة من أعضاء المجلس والصحفيين. رئيس دن اعتذر في وقت لاحق عن هذا العمل، وعرضت على التنحي من المجلس إذا كان المطلوب من قبل أعضاء مجلس الإدارة. [ 31 ] على عكس القانون الاتحادي، كاليفورنيا يحظر القانون على وجه التحديد بالتستر من هذا القبيل. أسقطت الاتهامات جناية 4 الناجمة عن دن. [ 32 ] [ عدل ] في الثقافة الشعبية

    في فيلم قراصنة، وبطل الرواية تستخدم بالتستر عندما طلب أحد حراس الأمن لمعرفة رقم الهاتف إلى المودم محطة التلفزيون في حين تظاهر بأنه مسؤول تنفيذي الهامة. جيفري ديفر في كتابه في أي مكان والأزرق، والهندسة الاجتماعية للحصول على المعلومات السرية هي واحدة من الأساليب المستخدمة من قبل القاتل، Phate، للحصول على مقربة من ضحاياه. في فيلم ليف فري أور داي هارد، جوستين لونج وينظر بالتستر أن والده يحتضر من نوبة قلبية لديهم وفي النجوم مساعدة ممثل بداية ما سيصبح سيارة مسروقة. في فيلم أحذية، واحدة من الشخصيات يشكل بأنه متفوق على مستوى منخفض الأمن الحارس من أجل إقناعه بأن خرق أمني هو مجرد إنذار كاذب. في الفيلم قضية توماس كراون، واحدة من الشخصيات يطرح عبر الهاتف بأنه متفوق حارس المتحف من أجل التحرك بعيدا عن الحارس منصبه. في جيمس بوند فيلم الماس للأبد هل، وينظر بوند كسب الدخول إلى المختبر وايت مع نظام آنذاك للدولة من بين الفن قفل بطاقة وصول " ذيل ". انه ينتظر فقط للموظف أن يأتي لفتح الباب، مما نفسه ثم الصاعد في المختبر، مزيفة إدخال بطاقة غير موجود بينما مقفلة الباب له من قبل الموظف. في برنامج تلفزيوني ملفات روكفورد، استخدام حرف جيم روكفورد بالتستر في كثير من الأحيان في عمله التحقيق الخاص. في TV شعبية مشاهدة The Mentalist في، بطل الرواية باتريك جين غالبا ما يستخدم لخداع المجرمين بالتستر على الاعتراف بالجرائم التي ارتكبوها.

    عن ويكيبيديا.
     
    #1
    أعجب بهذه المشاركة انسان حر
  2. Rami

    Rami عضو مشارك

    المشاركات:
    2,139
    الإعجابات المتلقاة:
    2,855
    الجنس:
    ذكر
    [​IMG]

    في سياق أمن المعلومات والأمن الرقمي، الهندسة الاجتماعية هي فن استخدام الحنكة والحذاقة لخداع الشخص بحيث يقوم بشكل إرادي بكشف معلومات سرية أو بإعطاء المهاجم الفرصة للوصول للمعلومات السرية.

    لا تعتمد أساليب الهندسة الاجتماعية على معرفة تقنية عميقة بالتالي يتسطيع أي شخص يتوافر لديه قدر معين من الحنكة والدهاء القيام بهجمات الهندسة الاجتماعية.

    أغلب من يقوم بهجمات الهندسة الاجتماعية هواة وغير خبراء، لكن إن ترافقت المعرفة التقنية بأساليب الهندسة الاجتماعية فإن ذلك يشكل تهديد أكبر بكثير من مجرد المعرفة التقنية أو الحنكة بشكل فردي.

    يعتمد مثلا الجيش السوري الالكتروني Syrian Electronic Army أساليب الهندسة الاجتماعية لتنصيب برمجية روتكيتس Rootkits خبيثة أو حصان طروادة للتحكم عن بعد Remote Administration Trojan على أجهزة ضحاياهم.

    إذا للحد من فعالية الجيش السوري الالكتروني مثلا يكفي استيعاب موضوع الهندسة الاجتماعية وموضوع الروتكيتس Rootkits والعمل على تقليل مخاطر الوقوع ضحية لهما.

    أساليب الهندسة الاجتماعية
    نحاول فيما يلي سرد أهم أساليب الهندسة الاجتماعية التي يعتمد عليها المهاجمون لإيقاع ضحاياهم. نتمنى من القراء بعد معاينة هذه اللائحة محاولة التفكير بأساليب أخرى قد يعتمدها المهاجمون. فالمهاجمون يفكرون أيضا بشكل مستمر بأساليب جديدة لخداع الضحايا.

    استغلال الشائعات
    تعتمد أغلب عمليات الاحتيال للحصول على كلمات السر أو للسيطرة على الحواسيب على تغليف البرنامج الخبيثة أو الرابط الخبيث في غلاف جذاب يغوي الضحية إلى تشغيله أو فتحه.

    يكون الغلاف الجذاب عادة مصمما للضحية أو مجموعة الضحايا. في كثير من الأحيان يستغل المهاجمون الشائعات, بغض النظر عمن وراء الشائعات, كغلاف جذاب لتمرير المحتوى الخبيث,

    تنتشر الشائعات بشكل سريع جدا ضمن شبكات التواصل الاجتماعي ومنها فيسبوك. بالتالي تكون المساهمة في نشر الشائعات بشكل أو بآخر مساهمة في تسهيل عمل من ينوي استغلال الشائعات لتغليف روابطهم الخبيثة.

    تؤثر أيضا الشائعات على العالم الحقيقي, فقد تؤدي لاصحاب القرار لاتخاذ قرارات مبنية على معلومات خاطئة ما يؤدي لانكشاف مزيد من المعلومات التي يمكن استغلالها لمزيد من هجمات الهندسة الاجتماعية أو غيرها من الهجمات الخبيثة.

    استغلال عواطف الضحية وطباعه الشخصية
    يقصد باستغلال العواطف استخدام نصوص أو صور تخاطب عاطفة الضحية وتؤدي إلى سقوطه في فخ فتح وتشغيل الملف الخبيث أو فتح رابط خبيث. يمكن أن تكون العواطف العواطف عواطف كالحقد، الانتقام، الحزن، الكره والنقمة... أو عواطف كالحب، الشوق، الحنين، الاعجاب... وغيرها. يمكن أيضا للمهاجم استغلال حشرية المستهدف أو غروره أو بحثه الذي لم ينته عن الحبيب أو عن علاقة عاطفية مشروعة أو غير مشروعة وهكذا.

    استغلال المواضيع الساخنة
    بشكل مشابه لاستغلال الشائعات, يستغل المهاجمون المواضيع الساخنة لتمرير عمليات احتيالهم.

    بعكس الشائعات, المواضيع الساخنة أخبار حقيقية ولا تحتوي على تضخيم أو افتراء. تنتشر عادة بسرعة على وسائل الإعلام ذات المصداقية العالية بشكل أخبار عاجلة.

    كل هذا يجعلها طعما مناسبا لإيهام الضحية بأن الرابط المرفق مع الرسالة مثلا هو أيضا "وديع" وأن صاحب الرابط المرفق "صادق" في ادعائه حول محتوى الرابط كما الرسالة صادقة في نقل الأخبار الساخنة.

    استغلال موضوع الأمن الرقمي وضعف الخبرة التقنية للضحية
    في هذا النوع من الهندسة الاجتماعية يدعي المهاجم أن رابطا ما أو ملفا ما سيسهم بحماية جهاز الضحية. في حين أنه في الحقيقة الملف ملف خبيث أو الرابط خبيث.

    انتحال الشخصية Identity Theft
    يمكن للمهاجم أن ينشئ مثلا حساب على فيسبوك, أو حساب إيميل, أو حساب سكايب, باسم مستعار أو باسم مطابق لاسم صديق لك أو لاسم شخص تعرفه بنية انتحال الشخصية.

    يمكن لمنتحل الشخصية استغلال الثقة للحصول على معلومات ما أو لاستجرارك لإضافته إلى مجموعة سرية معينة وما إلى ذلك.

    في كثير من الأحيان يستطيع منتحلوا الشخصية خداع ضحاياهم باستخدام مهارات التحايل دون الحاجة لمقدرات تقنية لذلك يعتبر انتحال الشخصية من أساليب الهندسة الاجتماعية Social Engineering.

    بالطبع الحصول على كلمة سر لحساب شخص ما في فيسبوك واستغلال حسابه لانتحال شخصيته يسهل مهمة الحصول على المعلومات بشكل كبير جدا, كما يسهل أيضا استغلال الحساب المخترق لاختراق حسابات جديدة عبر استخدام الحساب المخترق لسرقة كلمات السر بالاحتيال مثلا.

    استغلال السمعة الجيدة لتطبيقات معينة
    هنا يدعي المهاجم أن رابطا أو ملفا هو نفسه النسخة المحدثة مثلا من تطبيق معين، لكنه في الحقيقة يتضمن ملفا خبيثا. وهناك أيضا حالات أخرى يقوم فيها الرابط بتحميل الملف الخبيث وتنصيبه ثم تحميل التطبيق الحميد الحقيقي وتنصيبه بحيث يعتقد الضحية أنه قام بتنصيب التطبيق الحميد ولا يعلم أنه قام بتنصيب الملف الخبيث. أما الحالات الأكثر دهاءا نسخة معدلة عن التطبيق ذو السمعة الجيدة يبدو ويعمل كالتطبيق الحقيقي لكنه يتضمن في الوقت نفسه جانب خبيث.

    اصطياد كلمات السرّ Passwords Phishing
    هي طريقة للحصول على كلمة سر مستخدم لخدمة ما أو موقع ما على الإنترنت. تعتمد الطريقة على إيهام الشخص المستهدف بأنه على الموقع الصحيح المعتاد حيث يدخل كلمة سره عادة للدخول إلى حسابه على الموقع (كموقع البريد الالكتروني) لكن في الحقيقة يكون الموقع موقعا "شريرا" يديره أحد لصوص كلمات السر. بالتالي إذا خدع المستخدم وأدخل كلمة سره في ذلك الموقع تصل كلمة السر بكل بساطة إلى اللص. للمزيد

    تظهر الصورة التالية صفحة من صفحات اصطياد كلمة السرّ أعدها أحدهم بهدف اصطياد كلمات سرّ مستخدمي Facebook. لاحظ أن عنوان هذه الصفحة مختلف عن عنوان موقع Facebook

    [​IMG]

    اتبع الرابط التالي إلى اصطياد كلمات السرّ Passwords Phishing.

    استغلال التواجد الفيزيائي للمهاجم قريبا من الضحية
    نقصد بذلك أن يكون المهاجم والضحية مثلا في نفس القاعة أو نفس الفندق. في هذه الحالة قد يستخدم المهاجم الحنكة للوصول إلى الحاسب المحمول للضحية مثلا أو إلى هاتفه.

    خيانة الثقة
    في كثير من الأحيان يكون المهاجم صديقا أو زميلا للضحية. يستغل المهاجم ثقة الضحية به بسبب طبيعة علاقة الصداقة بينهما أو بسبب الزمالة في المهنة أو المؤسسة حيث يعملا. فقد يطلب المهاجم من الضحية ببساطة كلمة سر حسابه. أو يطلب منه فتح رابط معين يرسله عبر البريدالالكتروني أو يطلب منه فتح رابط أو ملف معين يمرره له على يو إس بي ستيك USB stick. قد يقوم المهاجم بالتلصص على زميله خلال إدخاله كلمة سر حسابه. استغلال الثقة أحد أكثر أساليب الهندسة الاجتماعية شيوعا. ينصح الخبراء بألا تثقوا بأحد. لكن هناك أيضا مساوئ كثيرة لعدم الثقة بأحد. لذلك ننصح بالتعاطي بحذر دائما مع الجميع خاصة مع التغيرات الكبيرة في طبيعة العلاقات الاجتماعية التي أتت بها ثورة تقنية المعلومات إلى عالمنا المعاصر.

    أمثلة على هجمات الهندسة الاجتماعية ونصائح لتفاديها
    مثال 1: انتحال شخصية صديق لإرسال رسالة لإصابة جهاز الضحية ببرنامج خبيث
    يريد المهاجم الحصول على معلومة معينة من السيد م. س.

    • يقوم المهاجم بجمع بعض المعلومات عن السيد م. س. مثل من هم أصدقاؤه المقربين. ما هي اهتماماته وهكذا. ويجمع معلومات كافية عن أحد أصدقاء م. س. وليكن السيد ط. ع. الذي لا ينشر كل شئ عن نفسه ببساطة على الانترنت على حسابه على فيسبوك بدون أي اهتمام بخصوصية المعلومات.
    • يقوم المهاجم بانشاء حساب بريد الكتروني مزيف ينتحل شخصية ط. ع. صديق من أصدقاء م. س. (يستخدم المهاجم لانشاء الحساب المزور معلومات حقيقية عن ط. ع. تشبه معلومات حساب بريده الالكتروني أو معلومات فيسبوك.
    • يستخدم المهاجم حساب البريد الالكتروني الذي ينتحل شخصية م. ط. لارسال رسالة بريد الكتروني تحتوي ملف خبيث.
    • م. س. بما أنه يثق بصديقه ع. ط. وبما أنه لم يلاحظ أن الحساب هو ليس حساب صديقه الحقيقي، يقوم بفتح الملف الخبيث مصيبا جهازه.
    لتجنب الوقوع ضحية هذا النوع من الهجمات

    • احرص على خصوصيتك وعدم نشر معلومات شخصية عن نفسك لأن المهاجم قد يستخدمها لانتحال شخصيتك
    • لا تثق بأحد
    • انظر بعين الحذر إلى كل بريد الكتروني أو رسالة ما تصلك تحتوي على ملفات وروابط مرفقة. راجع الفقرة التالية: حذر الروابط والملفات المشبوهة.
    • في حال رغبتك بفتح أي ملف أو رابط يصلك قم قبل ذلك بالتأكد من أنه ليس خبيث عبر استخدام موقع فايروس توتال Virus Total https://www.virustotal.com/ar/
    • عند شعورك أنك أصبت قم بإعلام شخص مختص لفحص جهازك ونصحك فيما يتعلق بمعالجة هذه الأزمة
    • أبلغ أصدقاءك بكل صراحة أنك وقعت ضحية لاختراق حسابك كي يكونوا حذرين بدورهم في حال حاول المهاجم انتحال شخصية السيد م. س. لخداع المزيد من الأشخاص
    مثال 2: انتحال شخصية موظف في قسم آخر في مؤسسة أو في شركة
    يريد المهاجم الحصول على كلمة سر السيدة ر. ح. على حسابها في مكان عملها في المؤسسة.

    • لدى المهاجم رقم هاتف عمل ر. ح.
    • يتصل المهاجم بالسيدة ر. ح. قائلا أنه مختص IT وأن مديرها في المؤسسة طلب منه التحقق من وجود اختراق في حساب ر. ح. ويطلب منها ذكر اسم حسابها وكلمة سرها على الهاتف.
    • السيدة ر. ح. تصدق القصة وببساطة تعطي المعلومات إلى المهاجم معتقدة أن كل شئ بخير.
    • يقوم المهاجم باستخدام اسم الحساب وكلمة السر لوضع باب خلفي إلى حساب السيدة ر. ح. يستخدمه حتى لو غيرت السيدة ر. ح. كلمة السر.
    • يتصل المهاجم مجددا بالسيدة ر. ح. (وهنا العبقرية) قائلا لها أنه تحقق من الحساب وأن كل شئ على ما يرام وأنه سيعلم المدير بذلك ويشكرها ويتمنى لها يوما طيبا.
    لتجنب الوقوع ضحية هذا النوع من الهجمات

    • تحقق من شخصية كل شخص يدعي أنه يعمل في المؤسسة في قسم آخر
    • لا تعطي كلمة السر خاصتك ولا اسم حسابك لأي شخص
    • استفسر من مديرك عن الموضوع
    • قم أنت بالاتصال بالقسم الذي يدعي الشخص تمثيله واسأل مدير القسم عن الموضوع
    • قم بإعلام مديرك بأي شئ من هذا النوع حتى لو لم يكن عندك أي شك بموضوع الاختراق
    • إذا شعرت أن حسابك قد تم اختراقه عليك اعلام مديرك والتأكد من وصول الموضوع لمدير قسم الـ IT بأسرع وقت ممكن لتفادي المزيد من المشاكل
    الوقاية من الوقوع ضحية للهندسة الاجتماعية
    بناء على أساليب الاحتيال المفصلة أعلاه وبناء على الأمثلة المذكورة في الفقرة السابقة يمكن إدراج النقاط التالية كأسلوب للوقاية من الوقوع ضحية لهجوم باستخدام الهندسة الاجتماعية.

    كي لا تكون ضحية سهلة راعي النقاط التالية:

    • احرص على خصوصيتك وعدم نشر معلومات شخصية عن نفسك لأن المهاجم قد يستخدمها لانتحال شخصيتك ومهاجمة صديق لك أو قد يستخدم المعلومات ليصيغ الهجوم عليك بشكل مقنع أكثر.
    • لا تشارك كلمة/كلمات السرّ خاصتك مع الآخرين
    • لا تشارك أسماع أو عناوين حساباتك مع غير المعنيين
    كي لا تقع ضحية للخداع أو الاحتيال:

    • لا تثق بأحد
    • أبق سوية الحذر عالية طول الوقت
    • تحقق من شخصية من يراسلك سواء عبر البريد الالكتروني Email، أو برامج المراسلة مثل Skype، أو عبر وسائل التواصل الاجتماعي مثل فيسبوك Facebook أو تويتر Twitter.
    • انظر بعين الشك إلى كل بريد الكتروني أو رسالة أو تعليق يصلك يحتوي على ملفات وروابط مرفقة. راجع الفقرة التالية: حذر الروابط والملفات المشبوهة.
    • عند الشك برسالة ما أو بجهة اتصال مشبوهة، لا تقم بفتح الملفات أو الروابط المرفقة في الرسالة. ثم قم بالاتصال بالقسم المسؤول في المؤسسة أو بخبير في أمن المعلومات من معارف أو قم بالاتصال بنا في مشروع سلامتك.
    • في حال رغبتك بفتح أي ملف أو رابط يصلك قم قبل ذلك بالتأكد من أنه ليس خبيث عبر استخدام موقع فايروس توتال Virus Total https://www.virustotal.com/ar/
    • عند شعورك أن جهازك أصيب أو أن حسابك تم اختراقه قم بإعلام الشخص المسؤول في المؤسسة، أو قم بإعلام أحد معارفك المختصين في أمن المعلومات أو قم بالاتصال بنا في مشروع سلامتك.
    • إذا شعرت أن حسابك قد تم اختراقه عليك اعلام مديرك والتأكد من وصول الموضوع لمدير قسم الـ IT في المؤسسة بأسرع وقت ممكن لتفادي المزيد من المشاكل أو الاتصال بخبير من معارف أو بنا في مشروع سلامتك.
    ماذا أفعل عند الوقوع ضحية للهندسة الاجتماعية
    عادة يترافق الهجوم بأساليب الهندسة الاجتماعية بهجوم آخر ببرمجيات خبيثة مثلا. لذلك عندما يقع المستخدم ضحية للهندسة الاجتماعية عليه أن يقوم بخطوات تختلف تبعا لنوع الهجوم.

    لكن بشكل عام يمكن القيام بالخطوات التالية:

    • إعلام الشخص المسؤول عن الأمن الرقمي في المؤسسة أو الزميل المختص بموضوع الأمن الرقمي
    • تقييم الضرر والأشخاص المتأثرين
    • إزالة آثار الهجوم
    • إعلام الجهات (مؤسسات، زملاء، أصدقاء، معارف، أفراد عائلة) والتي من الممكن أن تكون قد تضررت أو تأثرت بسبب وضوع المستخدم ضحية للهجوم.
    يترافق الهجوم بأساليب الهندسة الاجتماعية بهجوم بروتكيت أو بجهوم بحصان طروادة للتحكم عن بعد Remote Administration Trojan لذلك ننصح القرّاء بقراءة واستيعاب كل بنود المقالة التالية: روتكيتس Rootkits والمشابهة جدا لبنود المقالة التالية: حصان طروادة للتحكم عن بعد Remote Administration Trojan


    نقلاً عن salamatechwiki
     
    #2
    أعجب بهذه المشاركة انسان حر