منتدى برنامج حياه على النت باذاعة صوت العرب
عزيزى الزائر مرحبا بك

الهندسه الإجتماعيه و مخاطرها

استعرض الموضوع السابق استعرض الموضوع التالي اذهب الى الأسفل

default الهندسه الإجتماعيه و مخاطرها

مُساهمة من طرف manal kamal في الأربعاء أبريل 25, 2012 12:26 pm

يمكن تعريف الهندسة الاجتماعية بانها" التلاعب بالناس عن طريق الخداع، في إعطاء المعلومات، أو طلب أداء افعال"، الهندسة الاجتماعية تأخذ أشكال كثيرة، بعضها واضح والبعض قد يكون غير واضح. نموذج واحد ليس واضح بشكل كامل هو الاستبيانات، وذلك حسب محتواها، فإنها يمكن أن تكون بمثابة وسيلة قوية جدا لالتقاط وربط المعلومات لأغراض التلاعب والتسلل للانظمة و القرصنة.
المثال التالي من استبيان تم العثور عليه مؤخرا على موقع الشبكة الاجتماعية (الفيسبوك) تصف فقط كيف يبدو الاستبيان عادي لكنه في الواقع خطير.
ملاحظة : الاستبيان على موقع " فيسبوك " بالانجليزية.
ماذا تقول كلمتك السرية " كلمة المرور " عنك ؟
هل كلمة السر الخاصة بك جيدة أم أنها تخترق بسهولة، وأيضا ماذا يقول عنك؟
كم طول كلمة السر الخاصة بك؟
أ) 3-5 حروف / أرقام
ب) 6-8 حروف / أرقام
ج) 11-14 حروف / أرقام
د) 9-10 حروف / أرقام
هل كلمة السر الخاصة بك اسمك مع بعض الأرقام الأخرى أو أي شخص في العائلة؟
أ) نعم
ب) غير ممكن ! ستكون سهلة جدا !
ج) بالضبط اسمي
د) انه اسم احد أفراد الأسرة مع بعض الأرقام الأخرى
هل تحتوي كلمة السر لديك على أرقام؟
أ) نعم، انها بالكامل من الأرقام!
ب) نعم تحتوي بعض الارقام
ج) كلا!
د) نعم رقم واحد!
هل تم اختراق حسابك او كلمة االسر من قبل ؟
أ) لا أبدا
ب) لا ولكن قلت لأحد أصدقائي ذلك.
ج) نعم مرة واحدة.
د) في الواقع مرتين.
وفقا لإحصائيات الاستبيان فان 800 شخص اجابوا بالفعل على الاستبيان \ الاختبار الذي قد يبدو غير ضار للوهلة الأولى، الا ان كمية المعلومات التي يمكن الحصول عليها و التصرف مع نتائجها قد يضر هؤلاء الاشخاص .ان المستخدم قد لا يدرك أن هذا الاستبيان الذي يبدو غير ضارة هو شكل من أشكال الهندسة الاجتماعية.
الهندسة الاجتماعية مثل تركيب لعبة "البزل" . كلما قام المهندس الاجتماعي بجمع المعلومات الصغيرة التي تبدو غير مهمة ،فانه يقوم بتكوين صورة أكبر. سواءا كان الهدف سرقة هوية بسيطة ، او عملية سطو معقدة، فإنه يمكن أن تبدا من عمليات بسيطة كهذه. الاستبيانات المنتشرة إلى حد كبير على مواقع الشبكات الاجتماعية، يمكن أن تكون أحد هذه الأدوات التي تستنزف كميات كبيرة من المعلومات الشخصية للمستخدمين العاديين .


_________________
إن الله يحب إذا عمل أحدكم عملا أن يتقنه

You never know what you have until you lose it, and once
you lose it, you can never get it back

the greatest gift you can give to someone is your time because you are giving them apart of your life that you



[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
avatar
manal kamal
مدير المنتدى
مدير المنتدى

كيف تعرفت على المنتدى ؟ : غير ذلك
تاريخ التسجيل : 19/01/2010

http://wwwalmarefa.blogspot.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

default رد: الهندسه الإجتماعيه و مخاطرها

مُساهمة من طرف manal kamal في الإثنين سبتمبر 03, 2012 10:01 am



كم تملك من الأبناء وهل تذكر ميلاد طفلك الأول وما هو رقم هاتفك المحمول وفي أي عام تخرجت، في أي مدينة ولدت.. أسئلة قد تبدو بسيطة وفي نفس الوقت تحمل في طياتها إجابات سريعة التذكر مع شيء من الذكريات الجميلة مما جعل الكثير منا يستعملها ككلمات مرور للبريد الإلكتروني وموقع البنك وفتح الأجهزة لأنها ببساطة لا تنسى.

ومع اقتحام العديد من الاشخاص للخدمات الإلكترونية تراجع العديد من المواقع كالبنوك والمواقع التي تتطلب حماية سياساتها الأمنية وتغير منها بشكل دوري رغبة منها في ضخ مزيد من الحماية لعملائها مع دفع جرعات توعوية خصوصاً للجدد منهم ومع ذلك يتعرض الكثير لمحاولات اختراق اما بوسيلة تقليدية عبر المخترقين الذين يزرعون ملفات تجسس وأصبح الناس يكافحونها ببرامج الحماية أو بوسيلة حديثة تعتمد على ما نقدمه من معلومات هنا وهناك على الشبكة العنكبوتية.

الأمن الإلكتروني

مفهوم الأمن تغير كثيراً فالثورة التقنية في الأربع السنوات الأخيرة أدت لفقدان الناس للشعور بالخصوصية والمحافظة على الهوية الشخصية، فسابقاً لم يكن يكتب أحد باسمه الصريح، فضلاً عن وضع صور شخصية قبل سنوات، ناهيك عن معلومات أخرى مثل مكان العمل أو أدوات الاتصال ومكان قضاء الإجازة، ويبين مدير تطوير الأعمال في أمن المعلومات والحماية المادية هناك حدود كثيرة أزيلت قد يكون لها إيجابيات معينة، ولكن يجب الحذر فالمعلومات ثمينة ولا يفترض أن تثق بالجميع.

جهات معينة في دول معينة ثبت أنها تقوم بجمع معلومات عن كل شخص من الإنترنت، ولا يعرف ما هي الأسباب، وقد لا تكون مستهدفا لذاتك، لكن ما يعتقده المتخصصون في مجال أمن المعلومات أن من يقوم بذلك سيجمع بيانات هائلة، ويستطيع من هذا المعلومات ربط الأحداث بالطريقة التي يريدها عن سيرتك الشخصية، وعلاقاتك، وأصدقائك، وما هي توجهاتك؟، وماذا تحب وتكره؟ وقد تصرح خلالها بدون قصد عن كلمة مرور يستفيد منها المخترق.

يجب أن لا ننسى أنه مع انتشار الأجهزة الذكية أصبحت تحتوي العديد من معلوماتنا بأشكال مختلفة، حتى أنها أصبحت هدف المخترقين، فالأجهزة تحوي معلومات مهمة في الرسائل والمفكرة وبرامج المحادثة، لا تتوقع أن احدا يقصدك شخصياً لكن هناك من يبحث، والمعلومة لها قيمة، أضف لذلك تواجدنا المكثف الآن على وسائل التواصل الاجتماعي، والحديث عن أمور شخصية جداً، مثل مكان تواجدنا، سفرنا، صورنا، علاقاتنا، وعن طريق ربط هذه المعلومات المتفرقة سيتوصل المخترقون إلى معلومة مهمة، فبإمكان اللصوص معرفة وقت سفرك في تغريدة، وتغريدة أخرى فعلت فيها خدمة تحديد الأماكن يعرف منها مكان بيتك، يستطيع بعدها المخترق تأدية عمله بسهولة!

أمثلة حول معلوماتنا المفقودة؟

ما يعرف باستعمال الهندسة الاجتماعية في عملية الاختراق، طلب منه أن يخترق احدى المنظمات الحكومية الحساسة التي أنهت تركيب نظامها الخاص بأمن المعلومات، وتمت توعية موظفيها، والمطلوب من هذا الشخص أن يقوم بالحصول على معلومات من الجهة بطريقة غير تقليدية، استطاع وخلال ثلاثة أيام فقط أن يقدم لهم معلومات كاملة وحساسة، والطريقة التي تستخدم في مثل هذه الحالات تتم عن طريق افتعال مواقف بسيطة لكسب ود وتعاطف الموظف المقابل مثل أنا موظف جديد ولا يوجد لدي وسيلة للدخول حتى الآن، أنا احد العملاء الجدد وأحتاج إلى عناية خاصة، أنا لا أسمعك جيداً هل من الممكن أن تزودني برقمك الخاص، هل يمكن أن أنتظر المدير في مكتبه حتى وصوله، متى يحتفل ابنك الأول بعيد ميلاده.

كما وجد بعض المعلومات متفرقة على الشبكات الاجتماعية واستطاع أن يصل لبعض الموظفين الجدد الذين هم اسرع اختراقاً، في النهاية استطاع المخترق الحصول على جهاز كامل من الجهة المخترقة وصل إلى باب منزله وهو يحمل معلومات مهمة، فإذا كانت هذه القصة تدور حول مؤسسة حساسة ولها فريقها الخاص الذي يعمل على الحماية، فمن باب أولى أن تكون حالات الاختراق أسهل ضد منشآت لا تحمل تلك الدرجة العالية من الحذر ولم يتلقى موظفوها شيئاً من التدريب.

انتشار الأجهزة الذكية وحرص الناس على تطبيقاتها، جعلها وسيلة مغرية للمخترقين فقاموا بتزوير الكثير منها، فاكتشفت بعض التطبيقات تقوم بجمع معلومات من الجهاز والسيم كارد والاتصالات، ومعلومات أخرى ثم ترسل لجهة معينة هناك تطبيقات استخدمت لإرسال رسالة معينة من هاتف الضحية فيها نوع من السلبية المزعجة، كشخص تم إرسال مجموعة رسائل لقائمة الأسماء في هاتفه نصها "اني أستمتع بقتل القطط"، وقد تصل رسائل أسوأ من ذلك، وأكثر ألماً تمس حياة وأخلاقيات الناس، وقد لا يعلم عنها صاحب الجهاز المقرصن إلا بعد فوات الأوان.

أهداف المخترقين

كانت أهداف المخترقين في البدايات مجرد إثبات ذات، ثم تحديا بين الأصدقاء، ثم تنتقل لتكون ذات هدف مادي، ثم تصبح عملا منظما مؤسساتيا، وأصبح هناك تحالفات للعبث بالجهات الرقابية

مثال سرقة البطاقة لا يقوم السارق باستخدمها مباشرة، بل تباع أكثر من مرة، ثم تستخدم في شراء موقع، أو في التحايل والتصيد ومن ثم إغلاقه، كل هذا وأكثر يجعلها صناعة مثلها مثل المخدرات، فمن يزرع لا يبيع ومن يبيع لا يسلم مباشرة للعميل.. وهكذا، عشرات الوسطاء حتى لو قُبض على شخص ما فسيكون آخر الخيط كما يقولون أما الكبار فقد هربوا.

أهداف أخرى للمخترقين

الأهداف التي يعمل عليها المخربون ليست بالضرورة بحثاً عن المال، لكن هناك ما هو أخطر، يستطيع المخترق التعرف على معلومات شاب مراهق، من ناحية ماذا يحب أو يكره، طريقة تفكيره، ومن خلال هذا الأمر من الممكن تجنيد الشاب واختراقه دينياً واجتماعياً لتنفيذ أهداف مشبوهة، بعد إيقاعه في سلسلة من المصائب التي لن ينفك منها وتوثيقها وتهديده بها، هذا لا يقودنا لمجرد الحذر بل أقصى أنواعه، فهذا المثال يعني تدمير حياة شاب كاملة.
من الصعب منع بعض الشخصيات من دخول وسائل أصبحت ضرورة في حياتنا كالتويتر أو الفيسبوك أو غيرها، باعتبار حساسية موقعه في عمله، بل وجوده هو أمر إيجابي لخلق تواصل بعيداً عن التكلفة، يجب التفريق بين وضع معلومة خاصة بشخص أو معلومة تخص الجهة التي يعمل بها، الآن نسمع في وسائل الإعلام كلمة جاء ذلك على حسابه في تويتر مما يجعله مشابهة للتصريح الرسمي إعلامياً، ومن المهم عدم الإضرار بمنظومة العمل بتصريح معين او إفشاء معلومة سرية، ومن المهم أن تضع المنظومة سياسة منظمة لذلك.

_________________
إن الله يحب إذا عمل أحدكم عملا أن يتقنه

You never know what you have until you lose it, and once
you lose it, you can never get it back

the greatest gift you can give to someone is your time because you are giving them apart of your life that you



[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
avatar
manal kamal
مدير المنتدى
مدير المنتدى

كيف تعرفت على المنتدى ؟ : غير ذلك
تاريخ التسجيل : 19/01/2010

http://wwwalmarefa.blogspot.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

default رد: الهندسه الإجتماعيه و مخاطرها

مُساهمة من طرف manal kamal في الأربعاء مايو 01, 2013 9:34 am

هجوم جديد يستهدف مستخدمي البرامج الخدمية التي تتيح خاصية الدردشة النصية والمحادثات الصوتية ومحادثات الفيديو مثل سكايب، بحيث يبث هذا الهجوم روابط خبيثة من أجل تنفيذ عمليات احتيال وتثبيت برمجيات خبيثة على جهاز الضحية تتيح الاستفادة من موارد الجهاز للغير مقابل عائد مادي يعود للمخترقين.


ويطبق هذا الهجوم الجديد مبادئ وأساليب الهندسة الاجتماعية من أجل الاستفادة من رغبة وفضول المستخدم في الاطلاع على أشياء شيقة كصور أو مقاطع فيديو، ويقدر معدل الضحايا الذين يقومون بالضغط على الروابط الخبيثة ب ٢٫٧ ضحية في الثانية الواحدة، أي ما يقارب ١٠ آلاف ضحية في الساعة.

الجدير بالذكر أن هذا الهجوم يولد محفظة لعملة Bitcoin يتم تثبيتها على جهاز الضحية، ومن خلال إيجار موارد جهاز الحاسب الخاص بالضحية يتم تحصيل العملة والحصول على مال افتراضي يتم تحويله لاحقاً إلى عملات حقيقية أو استخدامه في عمليات الشراء من خلال الإنترنت.

ويأتي تصاعد هذا الهجوم بعد أن وصل سعر العملة الافتراضية إلى ١٣٢ دولاراً أمريكياً في أعلى مستويات تحققها منذ عام 2011 حيث كان سعرها آن ذاك لا يساوي دولارين.

ومما يشعر المخترقين والقراصنة والمجرمين الافتراضيين بالأمان هو وجود مراكز صرف للعمل الافتراضية على الإنترنت بكثرة، تقدم بعضها خدماتها بسرية وبدون علم أحد مما يتسبب في عدم وجود إمكانية لتتبع السجل الإجرامي الإلكتروني بعد جهاز الضحية، وضياع أغلب تفاصيل عملية الاختراق.

وينصح خبراء أمن المعلومات بعدم قبول أي روابط أو الاطلاع عليها وتصفحها من خلال برامج المحادثة حتى من الأصدقاء والأقرباء لحين تراجع نشاط الهجوم، حيث إنه من الممكن أن تكون أجهزة الأصدقاء والأقرباء مصابة، وتقوم بإرسال الشفرات الخبيثة بدون علم مسبق من صاحب الجهاز، وتأكد مختبرات كاسبرسكي على ضرورة تثبيت الحلول الأمنية في أجهزة الحاسوب، واستمرارية الحفاظ على تحديثها بانتظام بالعوامل الوقائية من النشاط الفيروسي والشفرات الخبيثة، بالإضافة إلى زيادة تعقيد كلمات المرور التي تستخدم للولوج إلى الخدمات الإلكترونية والبريد الإلكتروني وخدمات الدردشة على الإنترنت.

الجدير بالذكر أن هناك هجمات مستعصية يصعب الكشف عنها حيث تدرج المعلومات والبيانات المسروقة في مثل هذه الحملات إلى الصور، وتستخدم مواقع الشبكات الاجتماعية مثل فيسبوك وتويتر لشن هجومها واستهداف الأفراد.

هناك ٣٢ تطبيق مصاب ببرامج خبيثة في متجر جوجل بلاي لتطبيقات الهواتف المحمولة، وصل عدد تحميلها من قبل المستخدمين إلى أكثر من مليونين تحميل، وتقوم هذه التطبيقات باختراق خصوصية مستخدم الهاتف الذكي وجمع الأرقام والمعلومات المهمة وإرسالها إلى المستفيد من هذه المعلومات، وتصنف هذه التطبيقات ضمن فئات الألعاب والخلفيات والقواميس الإلكترونية.

وينصح في مثل هذه الحالة بعدم تحميل التطبيقات مجهولة المصدر، والاكتفاء بالتطبيقات التي يكون مصدرها معروفاً ومحدداً في المتجر، لأن ذلك يساهم في عدم وقوع المستفيد النهائية ضحية لمثل عمليات الاحتيال هذه.


_________________
إن الله يحب إذا عمل أحدكم عملا أن يتقنه

You never know what you have until you lose it, and once
you lose it, you can never get it back

the greatest gift you can give to someone is your time because you are giving them apart of your life that you



[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
avatar
manal kamal
مدير المنتدى
مدير المنتدى

كيف تعرفت على المنتدى ؟ : غير ذلك
تاريخ التسجيل : 19/01/2010

http://wwwalmarefa.blogspot.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

default رد: الهندسه الإجتماعيه و مخاطرها

مُساهمة من طرف manal kamal في الخميس يونيو 13, 2013 11:30 am

سابقاً كان المخططون لعمل الجريمة المالية يلجأون إلى أساليب تعتمد الحصول على المعلومة بأبسط الطرق، مثل الحصول على معلومات معينة من خلال طرح بعض الأسئلة البسيطة كالأرقام السرية لحسابات البنوك، وطلب معلومات من خلال الهاتف أو البريد الإلكتروني التي تحذر منها البنوك، ثم تطور العمل فأصبح من يريد سرقة مبالغ مالية ينقب في نفايات المنزل من أجل الحصول على ورقة عليها توقيع يستطيع تزويره بسهولة.


ومع تطور التقنية تطورت أساليب الجريمة إلى ما يعرف بالهندسة الاجتماعية وهي علم يعتمد على التحكم بالعقول لكي تبوح لا إرادياً بأهم المعلومات التي تفيد منفذ الجريمة وتمكنه من الإيقاع بالضحية والحصول على ما يريد، لتصبح الهندسة الاجتماعية من أهم الأساليب التي تنفذ في الجرائم الإلكترونية.

وتعتبر الهندسة الاجتماعية من أقوى أساليب الهجوم في الوقت الراهن حيث أنها تستغل نقاط الضعف النفسي لمتصفحي الإنترنت من أجل الحصول على معلومات حساسة، وخصوصاً موظفي القطاعات الحيوية والشركات المهمة، بالإضافة إلى الاستفادة من نقاط الضعف التقنية في الشبكات، وتعتبر الهندسة الاجتماعية من أقل أساليب الجريمة الإلكترونية تكلفة وأدناها مخاطرة، وتعود على مستخدمها بأرباح عالية.

مهما كانت بساطة المعلومة التي يتم الحصول عليها من خلال أساليب الهندسة الاجتماعية إلا أنها تعتبر ثروة هائلة لمنفذ الجريمة، فمعلومة مثل رقم الهوية الوطنية وتاريخ الميلاد ورقم الهاتف النقال تساهم في خداع أحد موظفي البنوك وانتحال شخصية الضحية بسهولة خصوصاً إذا ما كان معها إيصال صرف مبلغ مالي من جهاز صراف إلكتروني يتضمن تاريخ آخر عملية صرف ومبلغ العملية وغالبنا لا يهتم باتلاف الإيصال ويتركه على جهاز الصراف.

ومع تطور الشبكات الاجتماعية أصبحت طريقة الحصول على المعلومة أسهل من أي وقت مضى، فكمية المعلومات التي نبوح بها تمكن أوهن مجرم إلكتروني من اختراق خصوصيتنا وسرقة أموالنا، فنحن ننشر مكان تواجدنا، ومسمى وظيفتنا ومكان عملنا، وأين درسنا، وبريدنا الإلكتروني، وغيرها من المعلومات التي تعتبر ثروة للمجرم تمكنه من الحصول على مراده بأسهل الطرق، فمن خلال البريد الإلكتروني ومعرفة البنك الذي يودع الضحية فيه مدخراته يستطيع المجرم إرسال طلب معلومات من البنك أو غيرها من الأساليب المختلفة.

استغلال الطبيعة البشرية هي العنصر المهم في الهندسة الاجتماعية، ولا يقتصر دورها على الأفراد بل يتجاوز ذلك إلى موظفي الشركات حيث يستطيع المجرم من استدراج الموظفين للبوح بأسرار مهمة للشركة مثل قائمة الأسعار أو قيمة مبلغ عرض مناقصة معينة، ليقوم المجرم بعد ذلك بتسريب المعلومات للشركات المنافسة أو أي جهات أخرى تستفيد من هذه المعلومات بمقابل مالي. ولا توجد أدوات أمنية للحماية من أساليب الهندسة الاجتماعية، وينبغي سن قوانين داخلية للحماية من هذا الأسلوب، وعمل برامج توعية للعاملين أو العملاء وتعريفة بالقنوات الرسمية المخولة بمخاطبتهم مثل ما تقوم به البنوك الآن من حملات توعية بطرق الحصول على المعلومة التي ينتهجها البنك، وأيضاً تقديم الدعم والمساندة في حالة حدوث أي مشاكل أو اختراقات أمنية للموظفين حتى لو كانت في منازلهم وليست داخل العمل.

أضف إلى ذلك ضرورة إتلاف أجهزة الحاسبات والهواتف المحمولة التي نستغني عنها، وإتلاف المستندات التي لا نحتاجها، مع الحرص على عدم إعطاء أي معلومات إلا بعد التحقق من هوية الشخص طالب المعلومة وتعليم وتدريب أفراد العائلة أو المنظمة على أساليب الهندسة الاجتماعية والطرق التي يتخذها المجرمون للإيقاع بهم والحصول على المعلومة.

_________________
إن الله يحب إذا عمل أحدكم عملا أن يتقنه

You never know what you have until you lose it, and once
you lose it, you can never get it back

the greatest gift you can give to someone is your time because you are giving them apart of your life that you



[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
avatar
manal kamal
مدير المنتدى
مدير المنتدى

كيف تعرفت على المنتدى ؟ : غير ذلك
تاريخ التسجيل : 19/01/2010

http://wwwalmarefa.blogspot.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

استعرض الموضوع السابق استعرض الموضوع التالي الرجوع الى أعلى الصفحة


 
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى