كيف تحمي نفسك من الهندسة الاجتماعية

الهندسة الاجتماعية هي التي تخدم رسائل البريد الإلكتروني المخادعة ، والمواقع الخبيثة التي يتم ارتداؤها لتبدو وكأنها مواقع آمنة وشائعة. خلال مناقشة مع كريس هادناجي ، كبير مسؤولي هاكر في شركة Social-Engineer ، سألته عن كيفية اكتشاف هذه الحيل. ونصيحته تعكس ما قلنا للقراء في كثير من الأحيان: دائما تكون مشبوهة.

أكثر من كون

من مناقشتي مع Hadnagy ، من الواضح أن بعض ما نسميه الهندسة الاجتماعية هي نفس الحيل التي استخدمها الناس في التأثير على القرارات لسنوات. على سبيل المثال ، استكشفت صناعة الوجبات السريعة الألوان التي من شأنها تشجيع الناس على تناول الطعام بشكل أسرع. يستخدم علماء الروحانيات الزائفون من القرن التاسع عشر (والذي يضم أفراد من أسرتي) واليوم استخدام أسلوب يسمى "القراءة الباردة" لخداع الضحايا للكشف عن معلومات عن أنفسهم.

ولكن هناك الكثير للهندسة الاجتماعية أكثر من الحيل الرخيصة ، كما يتضح من مسابقة الهندسة الاجتماعية "التقاط العلم" التي أقيمت في ديف كون. هنا ، يكسب المتسابقون نقاطًا للحصول على المعلومات التي يحصلون عليها من شركات الأبحاث ومن الاتصال بتلك الشركات مباشرةً. قال هادناجي إن أفضل المتسابقين الذين سجلوا النتائج قاموا أيضًا بمعظم الأبحاث ، مما يوضح مدى فائدة معرفة أهدافك.

لسوء الحظ ، لقد حان الوقت الآن لأن أكون مهندسًا اجتماعيًا يقوم ببحث أو جمع معلومات مفتوحة المصدر. أوضح هادناجي أن الشركات والأفراد ينشرون الكثير من المعلومات على وسائل التواصل الاجتماعي ، والتي يمكن استخدام الكثير منها في هجمات الهندسة الاجتماعية. في السابق ، نظرنا في كيفية محاولة المحتالين استخدام المعلومات التي يتم الحصول عليها من Facebook لجعل عمليات الاحتيال الخاصة بهم تبدو أكثر جاذبية - في بعض الأحيان بنتائج مرحة.

استهداف العاطفة

واحدة من أفضل أساليب الهندسة الاجتماعية هي منعك من التفكير بشكل نقدي ، عادة من خلال استهداف العاطفة. قال هادناجي إن أحد الهجمات التي خدعته تقريبًا ادعى أنه بريد إلكتروني لشركة أمازون للشحن. وقال: "لقد كان شيئًا شخصيًا ، وأثر على حياتي ، وكان أمرًا مهمًا بالنسبة لي".

في هذا الهجوم بالذات ، تلقى Hadnagy رسالة بريد إلكتروني تفيد بأن أحد أوامر Amazon الهامة قد تأخر بسبب رفض رقم بطاقة الائتمان. في الأيام التي سبقت مؤتمرًا كبيرًا ، قال هادناجي إنه كان مرهقًا ونقر على الرابط في البريد الإلكتروني - بدلاً من زيارة أمازون مباشرةً. تم تصميم الصفحة التي تم نقلها إليها بشكل جيد ، لكن لحسن الحظ لاحظ أنه ".ru" المجال قبل إدخال أي معلومات شخصية.

بينما كان الأمر بسيطًا ، إلا أن هذا التكتيك كان فعالًا جدًا وقال هادناجي ، في إشارة إلى عمله الاستشاري: "أنا الشخص الذي قام بخداع أكثر من 190،000 شخص في الأشهر القليلة الماضية بسبب ما أقوم به." "لقد سقطت تقريبًا بسبب هذا الهجوم."

ميزة أخرى لجاذبية العاطفة هي أنها لا تتطلب نوع من البحث عن أفضل المهندسين الاجتماعيين العاملين. "ما سنراه هو اختيار الأشياء المهمة للجماهير". أوضح Hadnagy أن هذا يشمل شحن UPS وطلبات Amazon وتحويلات PayPal.

تعمل النداء الجماهيري أيضًا بشكل جيد للبث الجماعي ، وهو تكتيك آخر متكرر. وقال هادناجي "إنهم يرسلون هذه إلى ملايين الناس في وقت واحد ، لذلك لا يهتمون إذا حصلوا على 100 في المائة". "10 في المئة لا يزال الآلاف من الحسابات للخطر."

البقاء آمنة

العديد من التكتيكات المستخدمة لاكتشاف رسائل البريد الإلكتروني المخادعة صحيحة للهندسة الاجتماعية أيضًا. أي شيء يبدو جيدًا جدًا بحيث لا يكون صحيحًا - أو سيئًا جدًا إلى أن يكون صحيحًا - ربما ليس صحيحًا. تعتبر التكتيكات الصوتية مثل التكتيكات بالمرور فوق الروابط لرؤية عنوان URL الكامل وإدخال عناوين الويب يدويًا وتجنب الروابط التي تصل إلى اللون الأزرق.

لكن الجزء المتصل المباشر من مسابقة Capture the Flag يسلط الضوء على جانب آخر من جوانب الهندسة الاجتماعية: الثقة المؤسسية. هذا العام ، تظاهر العديد من المتسابقين كزملاء عمل أو بائعين ، مما أعطى الموظفين في الشركات المستهدفة سببًا فوريًا لثقتهم. في بعض الأحيان ، من المفيد طرح أسئلة عندما يقوم شخص ما يدعي أنه الرئيس التنفيذي لشركتك بالاتصال بك شخصيًا.

قام Hadnagy بعمل مهنة في شرح الهندسة الاجتماعية ، لكنه لا يشعر بالقلق إذا كان المهاجمون يأخذون حيله. وقال لـ SecurityWatch: "الأشرار لا يبحثون عن بيانات حول كيفية القيام بذلك". "إنهم يعلمون بالفعل كيف. المشكلة هي أن الأشخاص الطيبين لا يعرفون ذلك." من خلال عمله ، يعتقد هادناجي أنه قادر على تعليم الشركات الأمريكية والأشخاص العاديين كيفية التفكير الناقد في تفاعلاتهم اليومية ، وكيفية الرد في أسوأ السيناريوهات. أوضح هادناجي ذلك على النحو التالي: "بدلاً من تسليح الأشرار ، فإنه يسلح الأهل الطيبين".

الصورة عبر مستخدم Flickr Travis V.