📕 المحور العاشر: الهندسة الإجتماعية – Social Engineering

بسم الله والصلاة والسلام على رسول الله
اليوم ان شاءالله راح اشرح المحور العاشر من سلسلة "مراحل اختبار الاختراق" وهو:-

📕 الهندسة الإجتماعية – Social Engineering:
    · هو فن في التلاعب بعقول الناس او مهارة حوار او اسلوب إقناع يملكها المخترق ليتلاعب بعقول الناس حتى يسلب منهم معلومات شخصية/السرية. الفكرة من وراء الهندسة الاجتماعية هي الاستفادة من الميول الطبيعي وردود الفعل العاطفية للضحية. فقد تحدث هذه التلاعب إما عبر وسائل التكنلوجيا ام حوار مباشر مع الضحية.

🚩 اساليب الهندسة الإجتماعية:-
    · عامل بشري: يقوم المهاجم بجمع اكبر كمية من المعلومات حساسة من خلال لتفاعل المباشر مع الضحية.
   · عامل غير بشري: يقوم المهاجم بجمع اكبر كمية من المعلومات حساسة من خلال إرسال برامج خبيثة كالفايروسات والديدان والتروجن وإرسال إيميل إلى جهاز الضحية.

📍 وسائل العامل البشري:-
    · التمثيل – impersonation: يزعم المهاجم او ينتحل شخصية شخص له صلاحيات اعلى او انه شخص من الدعم الفني ليقوم بتضليل وخداع الاشخاص من اجل سلب بيانات حساسة او معلومات شخصية.
    · التنصت – Eavesdropping: هو فعل الاستماع سراً أو خلسة إلى محادثة هاتفية/كتابية/شفويا مع الآخرين دون موافقتهم.
    · تصفح الكتف - Shoulder surfing: يقوم المهاجم بسرقة المعلومات الشخصية أو المعلومات السرية من خلال الوقوف مع الشخص والتحديق على ما يفعله/يقوله/يكتبه. حالها من حال التنصت. 
    · البحث في المخلفات - Dumpster Diving: يقوم المخترق يعملية بحث في سلة المهملات آملاً ان يحصل على معلومات مفيدة حول شخص/شركة يمكن استخدامها لاحقًا لغرض القرصنة. "قمامة شخص ما، كنز لشخص آخر"
    · التتبع – Tailgating: هي عمليه تتبع شخصًا مخولًا بالدخول إلى منطقة محضورة. حيث يتم السير خلفه مباشراً  ليدخل سريعاً من بعده.

📍 وسائل العامل الغير بشري:-
    · Pop-Up Windows: وهي تنفذ تظهر على الشاشة اثناء تصفح للإنترنت، حيث تطلب بإدخال إسم المستخدم ولاإيميل من اجل الإشتراك او تسجيل الدخول في موقع معين.
    · رسائل مخادعه - Hoax Letters: وهي نوافذ تحذيرة كاذبة تبلغك بأن جهازك مصاب بفايروس ويجب تحميل مكافح له، في حين تفاعل الضحية مع الرسال، يتم تحميل البرامج الخبيثة الحقيقية.
    · سلسلة من الرسائل - Chain Letters: نوافذ تهنئة بفوزك على مبلغ او جائزة. هدفها سلب بياناتك الشخصية ومعلومات البنكية لإيداع المبلغ.
    · بريد مؤذي – Spam Emails: يتم إرسال رسائل متعددة عبر الإيميل بشكل إحترافي بغرض سلب معلومات شخصية او معلومات حساسة.
    · التصيد – Phishing: يتم الاتصال بالضحية عن طريق البريد الإلكتروني أو الهاتف أو الرسائل النصية من قبل شخص يتظاهر بأنه مؤسسة شرعية لإغراء الضحية بتقديم بيانات شخصية ومعلومات حساسة.

📍 التهديد الداخلي – Insider Threat:- وهو التهديد القائم من داخل الموؤسسة فقد يكون من قبل الموظفيين او من هم جديرين بالثقة ولهم الصلاحيات لدخول الموؤسسة.

    · مستخدم ذو صلاحيات عاليه: يقوم المهاجم من بناء واستغلال الثقة بينه وبين المستخدين الذين لهم صلاحيات دخول اماكن حساسة لسلب معلومات حساسة عن الشركة.
    · موظف مستاء او تم إنهاء خدماته او قدم إستقالته: يستغل المهاجم هؤلاء المستخدين لسلب اكبر كمية من المعلومات حساسة عن الشركة وموظفيها. يتم التهديد الداخلي من دوافع الإنتقام او إفشاء معلوماتها السرية مقابل المال او من اجل ان يصبح منافس لها في المستقبل.

📍 سرقة الهوية – Identity Theft:
    · بعد إتمام مراحل جمع المعلومات عن شخص ما، يقوم المخترق بانتحال شخصيته أو هويته لإجراء معاملات أو مشتريات او تخليص معاملات مهمه.

📍 يتم ارتكاب سرقة الهوية بعدة طرق مختلفة مثل:
    · هوية رخصة القيادة او البطاقة الشخصية او جواز السفر.
    · عناوين البريد الإلكتروني او حسابات التواصل الإجتماعي
    · بطاقات و ارقام حسبات واسماء بنكية.
    · هوية مسميات وظيفية او اسماء اقسام ودوائر المؤوسسة.
    · سرقة ممتلكات الغير وإدعاء انها لهم.

📍 الساليب سرقة الهوية-
    · البحث عبر الإنترنت
    · عبر برامج التواصل الإجتماعي
    · التصيد – Phishing
    ·  قراة البطاقات البنكية
    · اختراق الجهاز
    · جميع وسائل التجسس

📍 كيف تحمي نفسك وافراد الموؤسة من هذا النوع من الهجوم:-
    · قم بإستخدام رقم سري معقد، وقم بتغيره بشكل مستمر.
    · لا توحد ارقام السريه لجميع البرامج، بل ضع رقم مميز لكل برنامج.
    · لا تكتب الرقم او اي تلمح للرقم السري في ورقة او مكان سهل الوصول إليه.
    · عزز اجهزة الحماية للمداخل والمخارج لتفادي هجمة التعقب.
    · إستخدم إسم مستعار في برامج التواصل الإجتماعي وعدم ذكر اي بيانات شخصية.
    · تفادي الإنسطاع ألى اي اشخاص يطلب منك بينات شخصية او معلومات حساسة.
    · التأكد من المصدر قبل إفصاح اي بيانات شخصية.
    · تدريب الموظفين او زملائك عن هذه الأساليب وكيفية التعامل معها.
    · قم بفحص بريدك الإلكتروني قبل فتح اي ملف او الضغط على اي رابط.

⚠️ هناك عدة اسليب يمكن للشخص من إستخدامها في الهندسة الإجتماعية وسرقة هوية الاشخاص والدفاع.



هكذا ولله الحمد انهيت شرح مبسط عن ماهي الهندسة الإجتماعية – Social Engineering وانواعه وأسلوب المتخذ وكيفية الدفاع منها.


ملخص من مادة CEHv10 
واسال الله لي ولكم التوفيق والنجاح
تحياتي لكم جميعاً 🌹

Comments

Post a Comment

Popular posts from this blog

📕 المحور الثاني عشر: اختطاف الجلسة - Session Hijacking

 بسم الله والصلاة والسلام على رسول الله اليوم ان شاء الله راح اشرح المحور الثاني عشر من سلسلة "مراحل اختبار الاختراق" وهو: -   📕 اختطاف الجلسة - Session Hijacking:      ·  هو هجوم يتم فيه الاستيلاء على جلسة المستخدم من قبل المهاجم. ومن المتعارف ان الجلسة تبدأ عند قيامك بتسجيل الدخول إلى إحدى المواقع او الخدمات، على سبيل المثال المواقع المصرفية او المتاجر، وتنتهي الجلسة عند تسجيل الخروج. وبالتالي يتم الاستلاء على هذه الجلسة والتصرف بها كأنه مالك الجلسة الفعلي.   🚩 مراحل اختطاف الجلسة:      ·   الاستطلاع : تتضمن الخطوة الأولى في عملية اختطاف الجلسة قيام المهاجم بتحديد هدفه من أجل العثور على جلسة نشطة. عادة، يستخدم المهاجمون تطبيقات مثل Sniffing Tools لمساعدتهم على إنجاز هذه الخطوة.      ·  مراقبة الشبكة : في هذه الخطوة، سيختبئ المهاجم في الشبكة المخترقة، محاولًا تحديد استخدام أي حركة مرور ضعيفة لم يتم تأمينها بشكل صحيح. من المعروف أن البروتوكولات مثل FTP وHTTP غير آمنة.      · تحد يد معرف الجلسة Se...
Read more

📕 المحور الاول: التحري والاستطلاع -‏ footprinting & reconnaissance

بسم الله والصلاة والسلام على رسول الله اليوم ان شاءالله راح اشرح المحور الاول من سلسلة "مراحل اختبار الاختراق" وهو:-  التحري والاستطلاع -‏ Footprinting & Reconnaissance:      • وهي المرحلة الاولى من سلسلة الإختراق وبدورها، يقوم المهاجم بالتحري والإستطلاع وجلب اكبر كمية من المعلومات المتوفرة على العلن عن الضحية وذلك لرسم طريق وخطة عمل عن كيفية عمل الإختراق. حيث يمكن ان يستخدم الهندسة الاجتماعية، وهجمات النظام والشبكات، مما ستؤدي إلى خساير مالية وفقدان سمعة الضحية. 📍 اهداف الفحص:     • جمع معلومات تتعلق بالشبكة : يتم فيها جمع معلومات عن الـDmain & Subdmain Name ومعرفة اي انواع الـIPِ Address الانظمة والشبكة وما هي خدمات TCP و UDP التي تعمل على الاجهزة وغيرها من المعلومات التي تتعلق بالشبكة.     • جمع معلومات تتعلق بالنظام : يتم جمع معلومات عن أسماء المستخدمين والمجموعات وما هي الـ Routing tables و الـSNMP وكلمات المرور إن تمكن من الوصول إليها.     • جمع معلومات المتعلقة بالمنظمة/الشركة : يتم جمع معلومات عن تفاصيل الموظف كاسمائم وا...
Read more

📕 المحور الثاني: الفحص - Network Scanning

بسم الله والصلاة والسلام على رسول الله اليوم ان شاءالله راح اشرح المحور الثاني من سلسلة "مراحل اختبار الاختراق" وهو :-   الفحص – Network Scanning      •  يبداء المخترق في فحص الشبكة والبحث عن مداخل – Entry-Point إلى الشبكة بإستخدام ادوات وبرامج وسكرباتت متطورة لإكتشاف الاجهزة المتصلة ( HOSTS )، البورتات المفتوحة ( OPEN PORTS )، والسيرفز الشغالة ( RUNNING SERVICES ) وغيرها من البيانات الي يحتاجها المخترق.   📍  انواع الفحص – Types of Scanning :      •    فحص المنافذ – Port Scanning :   ويقصد بها عمل فحص على الجهاز لإكتشاف البروت المفتوح، شو نوع السيرفز ( Service type )، وما هو إصدار الباتش( service version ) ويشمل الفحص جميع منافذ الـ TCP/UDP والبالغ عددهم 65535 منفذ.     •  فحص الشبكة –Network Scanning :  هي مرحلة يقوم بها المخترق/المختبر بإستكشاف جميع الـ IP Address على الشبكة لغرض الهجوم او فحص الاختراق على الاجهزة او السيرفرات.     •  فحص الثغرات -  Vulnerability Scanning :...
Read more