السلام عليكم و رحمة الله تعالى و بركاته معكم أخوكم محمد أقوشاح من نادي المعلوميات بثانوية محمد الخامس التأهيلية بطانطان اليوم موضوعي هو الهندسة الاجتماعية - أشهر المهنسين الإجتماعيين - تقنيات وشروط الهندسة الاجتماعية - طرق الحماية من الهندسة الاجتماعية
على سبيل المثال: يقدم الدعم الفني المساعدة ضمن أمور معرفة و محددة مسبقاً.
وضع حماية أمنية لمبنى المنظمة: يمنع دخول الأشخاص غير العاملين في المنظمة.
و تحدد الزيارات في حدود الأعمال بمعرفة سابقة لحراس الأمن في المنظمة وتحت مراقبة منهم.
التحكم بالمكالمات الهاتفية: وذلك بوضع نظام امني للمكالمات مع قدرة على التحكم في من يستطيع مكالمة من.
منع المكالمات الخاصة و حضر المكالمات الدولية و بعيدة المدى إلا للضرورة و بإذن المسئول عن المكالمات.
عدم إظهار مدخل للخط الهاتفي للمنظمة لتجنب استخدام الهاتف من قبل شخص خارج المنظمة.
التعليم و التدريب: تثقيف الموظفين داخل المنظمة بمجال أمن المعلومات و الاختراقات التي من الممكن حصولها.
تدريب الموظفين في مركز الدعم الفني و تثقيفهم على مستوى جيد من الناحية الأمنية و توضيح أساليب المهاجمين و تدريسها لهم .
تدريبهم على عدم إعطاء معلومات ذات سرية عالية إلا بعد التأكد من هوية الشخص و وفقاً للحد المسموح بيه.
تدريبهم على كيفية رفض إعطاء المعلومات عند عدم الإمكانية بأسلوب لبق.
الهندسة الاجتماعية :
او ما يعرف بفن اختراق العقول هي عبارة عن مجموعة من التقنيات المستخدمة لجعل الناس يقومون بعمل ما أو يفضون بمعلومات سرية. تـُستخدم الهندسة الاجتماعية أحياناً ضمن احتيال الإنترنت لتحقيق الغرض المنشود من الضحية، حيث أن الهدف الأساسي للهندسة الاجتماعية هو طرح أسئلة بسيطة أو تافهة (عن طريق الهاتف أو البريد الإلكتروني مع انتحال شخصية ذي سلطة أو ذات عمل يسمح له بطرح هكذا أسئلة دون إثارة الشبهات).أشهر المهندسين الاجتماعيين :
أبريل 1948 ،دايفيد بانون (David Bannon) من مواليد 1963 ،اسلام بن دالي
ابراهم (Islam Bendali Braham) من مواليد 23 مارس 1992، ستيفن جاي راسل
(Steven Jay Russell) من مواليد 14 سبتمبر 1957 ، مهدي الزلاوي (Mehdi
Zilaoui) ، مهدي سهلولي (Mehdi Sehlouli))، بيتر فوستر (Peter Foster) من
مواليد 26 سبتمبر 1962 , وديفيد كينيدي (David Kennedy) من مواليد 15 يونيو
1955 وهو من أنشأ ما يعرف ((Social-Engineering Toolkit (SET)
الهندسة الاجتماعية - تقنيات وشروط :
وتستند جميع تقنيات الهندسة الاجتماعية على سمات معينة من الإنسان صنع القرار المعروفة باسم التحيزات المعرفية. [ 3 ] هذه التحيزات، وتسمى أحيانا "الخلل في الأجهزة البشرية،" يتم استغلالهم في توليفات مختلفة لخلق تقنيات هجوم، والبعض منها مدرجة هنا: [ تحرير ] بالتستر بالتستر، والمعروف أيضا في المملكة المتحدة و blagging أو bohoing، هو عمل من أعمال إنشاء واستخدام سيناريو اخترع (و ذريعة) لإشراك الضحية المستهدفة على نحو يزيد من فرصة الضحية سوف الكشف عن معلومات أو تنفيذ إجراءات من شأنها أن تكون غير المحتمل في الظروف العادية. [ 4 ] محكم كذبة، فإنه غالبا ما ينطوي على بعض البحوث السابقة أو إعداد واستخدام هذه المعلومات لالانتحال (على سبيل المثال، تاريخ الميلاد، رقم الضمان الاجتماعي، مشاركة قيمة الفاتورة) ل إنشاء الشرعية في ذهن من الهدف. [ 5 ] ويمكن استخدام هذه التقنية لخداع رجال الأعمال بغرض كشف معلومات العملاء فضلا عن المحققين خاصة في الحصول على سجلات هاتفية وسجلات المرافق، والسجلات المصرفية وغيرها من المعلومات مباشرة من ممثلي خدمة الشركة. ويمكن بعد ذلك أن تستخدم المعلومات لإنشاء شرعية أكبر حتى في ظل أصعب الأسئلة مع مدير، على سبيل المثال، لإجراء تغييرات حساب، والحصول على أرصدة محددة، الخ. ويمكن أيضا أن تستخدم لبالتستر انتحال زملاء العمل، والشرطة، والبنوك، سلطات الضرائب، ورجال الدين، والمحققين التأمين - أو أي فرد آخر الذي يمكن أن ينظر إليها السلطة أو في ذهن الضحية المستهدفة الحق في المعرفة. يجب أن pretexter إعداد ببساطة أجوبة على الأسئلة التي قد يطلب من الضحية. في بعض الحالات كل ما هو مطلوب هو الصوت الذي يبدو موثوقة، لهجة جادة، والقدرة على التفكير على قدم واحدة. [ عدل ] سرقة تحويل سرقة تحويل، والمعروف أيضا باسم "لعبة ركن" [ 6 ] أو "جولة في لعبة ركن"، نشأت في الطرف الشرقي من لندن. وباختصار، هو تحويل سرقة "يخدع" التي يمارسها اللصوص المحترفين، عادة ضد شركة النقل أو البريد السريع. والهدف من ذلك هو إقناع الأشخاص المسؤولين عن تسليم المشروعة التي يتم طلب الشحنة في مكان آخر - ومن هنا، "على مرمى حجر". مع حمولة / شحنة إعادة توجيه، واللصوص إقناع السائق لتفريغ الشحنة بالقرب من، أو بعيدا عن وعنوان المرسل إليه، في التظاهر بأنها "الخروج مباشرة" أو "مطلوب على وجه السرعة إلى مكان آخر". و"يخدع" أو الخداع جوانب عديدة ومختلفة، والتي تشمل تقنيات الهندسة الاجتماعية المشروعة لإقناع الموظفين الإداريين أو المرور من شركة النقل أو البريد السريع إلى إصدار تعليمات للسائق لإعادة توجيه أو تحميل شحنة. اختلاف آخر من السرقة والتسريب تمركز سيارة الأمن خارج مصرف في ليلة الجمعة. حراس يرتدون ملابس أنيقة استخدام خط "آمنة ليلة خارج الترتيب، سيدي". باستخدام هذا الأسلوب، يتم gulled أصحاب المتاجر وغيرها في الاستيلاء على إيداع في الشاحنة. انهم بالطبع الحصول على إيصال، ولكن في وقت لاحق هذا تبين أن لا قيمة لها. تم استخدام تقنية مماثلة قبل سنوات عديدة لسرقة ستاينواي بيانو ضخم من استديو إذاعي في لندن. "تعال جوف (يارجل) لإصلاح البيانو"، وكان خط الدردشة. [ تحرير ] الخداع المقال الرئيسي: الخداع التصيد هو أسلوب الاحتيال للحصول على معلومات خاصة. عادة، ومخادع يرسل البريد الإلكتروني التي يبدو أن تأتي من الشركة، طلب بطاقة الأعمال المشروعة أحد البنوك، أو الائتمان "التحقق" من المعلومات والتحذير من بعض نتيجة وخيمة إذا لم يتم توفير ذلك. البريد الإلكتروني عادة ما تحتوي على وصلة لصفحة الويب الاحتيالية التي يبدو المشروعة، مع شعارات الشركة والمحتوى، ولها شكل طلب كل شيء من عنوان الصفحة الرئيسية ل بطاقة ATM ل PIN. على سبيل المثال، شهد عام 2003 انتشار عملية احتيال التصيد في أي من المستخدمين تلقت رسائل البريد الإلكتروني من المفترض من موقع ئي باي مدعيا أن حساب المستخدم على وشك أن يتم تعليق إلا إذا الرابط المقدم قد تم اختيار لتحديث بطاقة الائتمان (المعلومات التي يباي حقيقية بالفعل). لأنها بسيطة نسبيا لجعل موقع على شبكة الإنترنت تشبه موقع منظمة المشروعة من خلال محاكاة رمز HTML، يتم خداع واحتيال تحسب على الناس في التفكير ويجري الاتصال بهم من قبل موقع ئي باي وبعد ذلك، كانوا في طريقهم لموقع ئي باي لتحديث معلومات حساباتهم. بواسطة البريد الإلكتروني غير المرغوب مجموعات كبيرة من الناس، ويجري قراءة "مخادع" يعول على البريد الإلكتروني عن طريق نسبة مئوية من الأشخاص الذين سبق ذكره أرقام بطاقات الائتمان مع eBay مشروعة، الذين قد ترد. [ تحرير ] IVR أو الخداع الهاتف المقال الرئيسي: Vishing هذه التقنية يستخدم المارقة الاستجابة الصوتية التفاعلية (IVR) لإعادة نظام نسخة المشروعة السبر من أحد البنوك أو مؤسسة أخرى في نظام IVR. يتم مطالبة الضحية (عادة عن طريق البريد الإلكتروني التصيد) لاستدعاء لفي "البنك" من خلال عدد (رقم مثالي مجانا) قدمت من أجل "تحقق" من المعلومات. وهناك نظام نموذجي رفض دخول الإضافية باستمرار، وضمان الضحية يدخل دبابيس أو كلمات المرور عدة مرات، في كثير من الأحيان الكشف عن كلمات المرور مختلفة. نظم أكثر تقدما نقل الضحية إلى المهاجم تظاهر بأنه عامل خدمة العملاء لمزيد من الاستجواب. يمكن للمرء حتى سجل الأوامر نموذجي ("اضغط واحد لتغيير كلمة المرور الخاصة بك، اضغط مرتين إلى التحدث لخدمة العملاء"...) وتشغيل الاتجاه يدويا في الوقت الحقيقي، وإعطاء مظهر كونه IVR من دون حساب. كما دعا التصيد الهاتف vishing. [ تحرير ] الاصطياد الاصطياد هو مثل حصان طروادة في العالم الحقيقي الذي يستخدم وسائط مادية وتعتمد على الفضول أو جشع الضحية. [ 7 ] في هذا الهجوم، المهاجم يترك البرمجيات الخبيثة المصابين الأقراص المرنة، CD ROM، أو محرك أقراص فلاش USB في موقع تأكد من أن العثور على (حمام، مصعد، مواقف الكثير الرصيف،)، يعطيها تسمية المشروعة والفضول يبحث الإزعاج، وينتظر لمجرد ضحية لاستخدام الجهاز. على سبيل المثال، قد مهاجم إنشاء قرص يضم شعار الشركة، متاحة بسهولة من موقع ويب الهدف، والكتابة "ملخص الرواتب التنفيذي Q2 2012" على الجبهة. أن يقوم المهاجم بعد ذلك يخرج القرص على أرضية مصعد أو في مكان ما في بهو الشركة المستهدفة. موظف غير عارف قد تجد أنه من وضعه لاحقا القرص في جهاز كمبيوتر لإشباع فضولهم، أو السامري الصالح قد تجد أنه وتحويلها إلى شركة. في كلتا الحالتين نتيجة لإدراج القرص في مجرد جهاز كمبيوتر لمشاهدة محتويات، فإن المستخدم تثبيت تدري البرمجيات الخبيثة على ذلك، من المرجح إعطاء وصول المهاجم غير المقيد إلى PC الضحية وربما، فإن الشركة تستهدف الداخلية شبكة الكمبيوتر. ما لم ضوابط منع العدوى الكمبيوتر، أجهزة الكمبيوتر المدرجة لتعيين "التشغيل التلقائي" قد يؤثر سلبا وسائل الإعلام بمجرد إدراج قرص المارقة. أكثر جاذبية من الذاكرة، ويمكن أيضا أن تستخدم أجهزة معادية. [ 8 ] على سبيل المثال، يتم إرسال "الفائز" حرة لاعب السمعية الرقمية التي يقوض في الواقع أي جهاز كمبيوتر موصول بها. شركة أمن تكنولوجيا HBGary باعت هذه الأجهزة لحكومة الولايات المتحدة. [ 9 ] [ تحرير ] تقابل تقابل يعني شيئا لشيء : مهاجم يدعو أرقام عشوائية في شركة تدعي أنها تدعو مرة أخرى من الدعم التقني. في نهاية المطاف سوف تصل إلى شخص مع مشكلة المشروعة، بالامتنان أن شخصا ما يدعو إلى مساعدتهم. سوف المهاجم "مساعدة" في حل المشكلة ويكون في عملية الأوامر نوع المستخدم التي تعطي وصول المهاجم أو إطلاق البرمجيات الخبيثة. في عام 2003 في المعلومات الأمنية المسح، 90٪ من العاملين في المكتب أعطى الباحثون ما زعموا كان لهم كلمة في الإجابة على سؤال الاستطلاع في مقابل رخيصة القلم. [ 10 ] الحصول على الدراسات الاستقصائية مشابهة في سنوات لاحقة نتائج مماثلة باستخدام الشوكولاتة وغيرها من السحر رخيصة، على الرغم من أنها قدمت أي محاولة للتحقق من صحة كلمات السر. [ 11 ] [ تحرير ] ذيل المقال الرئيسي: حمل مركبة (الأمن) مهاجم، الذين يحاولون الدخول إلى منطقة محظورة مضمونة غير المراقب، والإلكترونية التحكم في الوصول، على سبيل المثال عن طريق RFID بطاقة، يمشي وراء ببساطة في الشخص الذي لديه حق الوصول المشروعة. بعد مجاملة المشتركة، فإن الشخص عادة المشروعة عقد الباب مفتوحا أمام المهاجم. يجوز للشخص أن تفشل المشروعة لطلب تحديد هوية أي من عدة أسباب، أو أن تقبل وتأكيد علي أن المهاجم قد نسي أو فقدت رمز الهوية المناسبة. قد مهاجم وهمية أيضا عمل عرض رمز الهوية. [ عدل ] أنواع أخرى المشترك المحتالون الثقة أو المحتالين يمكن أيضا اعتبارها "المهندسين الاجتماعية" في أوسع معانيها، لأنها تعمد خداع الناس والتلاعب واستغلال نقاط الضعف البشرية للحصول على منافع شخصية. ويجوز لهم، على سبيل المثال، استخدام تقنيات الهندسة الاجتماعية كجزء من الاحتيال IT. وهناك نوع حديث جدا من تقنية الهندسة الاجتماعية تتضمن خداع أو معرفات تكسير أشخاص لديهم شعبية البريد الإلكتروني معرفات مثل ياهو، بريد جوجل، هوتميل، وما بين دوافع كثيرة لخداع و: التصيد أرقام الحسابات بطاقات الائتمان وكلمات السر الخاصة بهم. تكسير خاصة رسائل البريد الإلكتروني والدردشة وتاريخها، والتلاعب بها باستخدام تقنيات التحرير المشترك قبل استخدامها لابتزاز الأموال وخلق عدم الثقة بين الأفراد. تكسير مواقع الشركات أو المنظمات وتدمير سمعتها. الكمبيوتر الخدع فيروس [ تحرير ] المضادة يجب على المنظمات، على مستوى الأفراد الموظف /، ووضع أطر للثقة. (أي متى / أين / لماذا / كيف يجب أن يتم التعامل معها المعلومات الحساسة؟) يجب على المنظمات تحديد أي معلومات حساسة والسؤال سلامتها في جميع النماذج. (أي الهندسة الاجتماعية، وبناء الأمن، وأمن الحاسوب، الخ.) يجب على المنظمات وضع بروتوكولات الأمن للشعب الذين يتعاملون مع معلومات حساسة. (أي الورق مسارات لكشف المعلومات و/ أو الفتات الطب الشرعي) يجب تدريب العاملين في البروتوكولات الأمنية ذات الصلة لموقفهم. (على سبيل المثال، يجب على الموظفين تحديد الأشخاص الذين توجيه نحو المعلومات الحساسة.) (أيضا: في مثل هذه الحالات كما ذيل، إذا لا يمكن أن هوية الشخص يمكن التحقق، ثم يجب تدريب العاملين في رفض بأدب) يجب أن يتم اختبار إطار المنظمة بشكل دوري، ويجب أن تكون هذه الاختبارات لم يعلن عنها مسبقا. إدراج بعين ناقدة إلى أي من الخطوات أعلاه: لا يوجد حل مثالي لسلامة المعلومات. [ 12 ] تقتصر القمامة الأمن باستخدام خدمة إدارة النفايات لديها مع تأمين حاويات عليها، مع مفاتيح لهم فقط على شركة لإدارة النفايات والموظفين التنظيف. أيضا التأكد من القمامة يقع في مكان ليس من الرأي، ومحاولة للوصول إلى أنها سوف تحمل خطرا على القبض أو ينظر أو خلف بوابة الجدار المغلقة أو التي يكون فيها الشخص يجب التعدي قبل أن يتمكنوا من محاولة الوصول القمامة.طرق الحماية من الهندسة الاجتماعية:
وضع قوانين للحماية الأمنية للمنظمة: تقوم المنظمة بالتوضيح للعاملين فيها قوانين الحماية الأمنية المتبعة و التي على العاملين تطبيقها.على سبيل المثال: يقدم الدعم الفني المساعدة ضمن أمور معرفة و محددة مسبقاً.
وضع حماية أمنية لمبنى المنظمة: يمنع دخول الأشخاص غير العاملين في المنظمة.
و تحدد الزيارات في حدود الأعمال بمعرفة سابقة لحراس الأمن في المنظمة وتحت مراقبة منهم.
التحكم بالمكالمات الهاتفية: وذلك بوضع نظام امني للمكالمات مع قدرة على التحكم في من يستطيع مكالمة من.
منع المكالمات الخاصة و حضر المكالمات الدولية و بعيدة المدى إلا للضرورة و بإذن المسئول عن المكالمات.
عدم إظهار مدخل للخط الهاتفي للمنظمة لتجنب استخدام الهاتف من قبل شخص خارج المنظمة.
التعليم و التدريب: تثقيف الموظفين داخل المنظمة بمجال أمن المعلومات و الاختراقات التي من الممكن حصولها.
تدريب الموظفين في مركز الدعم الفني و تثقيفهم على مستوى جيد من الناحية الأمنية و توضيح أساليب المهاجمين و تدريسها لهم .
تدريبهم على عدم إعطاء معلومات ذات سرية عالية إلا بعد التأكد من هوية الشخص و وفقاً للحد المسموح بيه.
تدريبهم على كيفية رفض إعطاء المعلومات عند عدم الإمكانية بأسلوب لبق.
0 التعليقات:
إرسال تعليق