مدرسة جواكاديمي

هنا يمكنك تصفح مدرسة جو اكاديمي، المنهاج، اسئلة، شروحات، والكثير أيضاً

الهندسة الاجتماعية

الحاسوب - الصف المواد المشتركة توجيهي

الوحدة الرابعة 

أمن المعلومات والتشفير

Information   Security   and  Crypotography

الفصل الأول   : 

ثانياً :   الهندسة الاجتماعية

   يُعدّ العنصر البشري من أهم مكونات أنظمة المعلومات  و  الاهتمام ابه من اهم المجالات للحفاظ على أمن المعلومات

 و عليه فإنّ اختيار الكادر البشري المسؤول عن حماية الأنظمة يعتمد على 

  • الكفاية العلمية
  • اختبارات شفوية  وورقية
  • مقابلات
  • اخضاع الكادر البشري  لضغوط  نفسية  حسب موقعهم

و كل ذلك للتأكد من قدرتهم على حماية النظام 

فمن أخطر ما يُهدد نظم المعلومات ما يُسمّى الهندسة الاجتماعية  ، فما المقصود  بها ؟ 

1 - مفهوم الهندسة الاجتماعية 

هي الوسائل والأساليب التي يستخدمها المعتدي الالكتروني لجعل مستخدم الحاسوب يعطي معلومات سرية   أو   يقوم  بعمل ما يسهّل عليه الوصول لأجهزة الحاسوب أو المعلومات المخزنة  فيها

و تعد الهندسة الاجتماعية من أنجح الوسائل وأسهلها التي تستخدم للحصول على المعلومات غير المصرح بالاطلاع عليها  وذلك بسبب 

1-  قلة اهتمام المتخصصين في مجال أمن المعلومات 

2 - عدم وعي مستخدمي الحاسوب بالمخاطر المترتبة عليها

 

2 -  مجالات الهندسة الاجتماعية 

تتركز الهندسة الاجتماعية في مجالين هما : 

            أ  -  البيئة المحيطة

            ب - الجانب النفسي

وفيما يأتي توضيح لكل منهما  : 

أ -  البيئة المحيطة

وتشمل ما يأتي : 

  • مكان العمل : 

يكتب بعض الموظفين  كلمات المرور  على أوراق ملصقة بشاشة الحاسوب  عند دخول الشخص غير المخول له الاستخدام  كزبون أو عامل نظافة  او عامل صيانة  يستطيع معرفة كلمات المرور  ،  ومن ثم يتمكن  من الدخول للنظام بسهولة ليحصل على المعلومات التي يريدها

  • الهاتف : 

يتصل الشخص غير المخول  بمر كز الدعم الفني هاتفياً  ويطلب إليه بعض  المعلومات الفنية  ويستدرجه للحصول على كلمات المرور وغيرها من المعلومات لاستخدامها فيما بعد  .

  • النفايات الورقية  : 

يدخل الأشخاص غير المخولين إلى مكان العمل ويجمعون النفايات  التي قد تحتوي كلمات المرور  و  معلومات تخص الموظفين وأرقام هواتفهم وبياناتهم الشخصية  وقد تحتوي  تقويم العام السابق وكل ما تحويه من معلومات   يمكن استغلالها في تتبع الموظفين والحصول على المعلومات المرغوبة

  • الإنترنت

 من أكثر الوسائل شيوعا وذلك بسبب استخدام الموظفين  أو مستخدمي الحاسوب عادة  كلمة المرور نفسها للتطبيقات جميعها  ، حيث ينشئ المعتدي الالكتروني موقعاً على الشبكة يقدم خدمات معينة ويشترط التسجيل فيه للحصول على هذه الخدمات ويتطلب التسجيل في الموقع  اسم المستخدم  و كلمة المرور  وهي التي يستخدمها الشخص عادة و بهذه الطريقة يتمكن المعتدي  الاكتروني من الحصول عليها

 

ب -   الجانب النفسي

يسعى المعتدي هنا لكسب ثقة مستخدم الحاسوب ومن ثم الحصول على المعلومات التي يرغب بها ومن أشهر الأساليب التي يستخدمها 

                       1- الاقناع

                      2- انتحال الشخصية والمداهنة

                      3- مسايرة الركب

وفيما يأتي توضيح لكل منهما :

                       1- الاقناع

 يستطيع المعتدي اقناع الموظف أو مستخدم الحاسوب بتقديم الحجج والبراهين و قد يستخدم طريقة غير مباشرة مثل الايحاءات النفسية  المتعمدة لحث المستخدم من قبول المبررات دون تحليلها أو التفكير بها   ويحاول التأثير بهذه الطريقة عن طريق  اظهار  نفسه بمظهر صاحب السلطة أو إغراء المستخدم بامتلاك خدمة نادرة  حيث يقدم له  عرضاً معيناً من خلال  الموقع الالكتروني لمدة محددة يمكّنه ذلك من الحصول على كلمة المرور

وقد يلجأ إلى إبراز أوجه التشابه مع الشخص المستهدف لإقناعه بأنه يحمل نفس الصفات  والاهتمامات فيصبح الشخص أكثر ارتياحا وأقل حذرا للتعامل معه فيقدّم له المعلومات التي يريدها

             2- انتحال الشخصية والمداهنة

حيث يتقمص شخص  شخصية آخر ( حقيقي أو وهمي) مثل فني صيانة معدات الحاسوب أو عامل نظافة أو مدير أو سكرتير   و هذه  الشخصية المنتحلة غالباً تكون ذات سلطة ؛  لذا يبدي الموظفين خدماتهم وعدم التردد بتقديم المعلومات لهذا الشخص المسؤول

           3- مسايرة الركب

حيث يرى الموظف بأنه إذا قام زملاؤه جميعهم بأمر ما فمن غير اللائق ان يأخذ موقفاً مغايراً   ، فعندما يقدم شخص نفسه بأنه  اداري من فريق الدعم الفني ويرغب بعمل تحديثات للأجهزة  فإذا سمح أحد الموظفين بعمل تحديثات فإن باقي الزملاء يقومون بمسايرة زميلهم غالباً  والسماح للمعتدي باستخدام أجهزتهم وتحديثها  ومن ثم يتمكن من لاطلاع  على المعلومات التي يريدها والمخزنة على الأجهزة