ما هو اختبار اختراق الهندسة الاجتماعية؟
اختبار اختراق الهندسة الاجتماعية هو ممارسة نموذجية متعمدة هندسة اجتماعية عمليات احتيال على الموظفين للتأكد من مستوى تعرض المنظمة لهذا النوع من الاستغلال.
ما هي الهندسة الاجتماعية؟
الهندسة الاجتماعية هي نوع من الهجمات السيبرانية حيث ناقلات الهجوم تعتمد بشكل كبير على التفاعل البشري. يستخدم المهاجمون المشاعر والميول الإنسانية ضد ضحاياهم. قد يستخدم أحد المهاجمين الخوف لتحقيق أهدافه، وقد يستخدم آخر التملق، وقد يستخدمه ثالث أخبار مزيفة.
وفي كل هذه الحالات، يحاولون تجاوز التدابير الأمنية التقنية للمنظمة واستغلال ما يصعب التنبؤ به، بل ويصعب التحكم فيه: نقاط الضعف البشرية. الهدف عادة هو جعل الضحية (أو الضحايا) يتنازلون عن أموال المنظمة أو أموالها معلومات سرية.
بعض أساليب الهندسة الاجتماعية الشائعة والشائعة هي كما يلي:
- التصيد. باستخدام هذا التكتيك، يتم إرسال رسائل بريد إلكتروني مزيفة إلى الضحايا لتشجيعهم على النقر على الروابط الضارة أو تنزيل المرفقات الضارة.
- مخيف. مخيف يتم استخدامه لتخويف الضحية وحمله على تنزيل برامج ضارة.
- الاصطياد. يقدم هذا التكتيك وعودًا كاذبة لجذب الضحية إلى الفخ.
- مصائد العسل. يقوم المهاجم بإعداد ملف شخصي مزيف عبر الإنترنت لبناء علاقة مع الضحية لخداعه لدفع أموال أو معلومات شخصية.
- تسوية البريد الإلكتروني للأعمال. تسوية البريد الإلكتروني للأعمال يسمح للشخص بالتظاهر بأنه شخص جدير بالثقة لكسب ثقة الضحية وحمله على القيام بشيء لا يفعله عادة، مثل تحويل مبالغ كبيرة من المال إلى حساب مصرفي غير معروف (يخص المهاجم).
- تتبع. التتبع هو خرق مادي يتمكن فيه المهاجم من الوصول إلى منشأة مادية عن طريق متابعة أحد الموظفين أو مطالبته بمنحه حق الوصول (على سبيل المثال، عن طريق الإمساك بالباب أو عن طريق تمرير بطاقة الهوية الإلكترونية الخاصة به).
ما هو اختبار اختراق الهندسة الاجتماعية؟
اختبار اختراق الهندسة الاجتماعية (أو اختبار القلم) هو نوع محدد من القرصنة الأخلاقية تمرين يهدف إلى اختبار الأشخاص بدلاً من الأنظمة. فهو يقيم مدى تعرض موظفي المؤسسة لهجمات الهندسة الاجتماعية. قد يقوم جهاز اختبار القلم بإجراء أنواع مختلفة من الهجمات لتحديد الأماكن التي يكون الأشخاص عرضة للإصابة بها وتصميمها خطة المعالجة. ويهدف إلى تقليل احتمالية ومخاطر مثل هذه الهجمات على المنظمة.
ويهدف هذا التمرين أيضًا إلى اختبار مدى التزام الموظفين بالسياسات والممارسات الأمنية للمؤسسة، على سبيل المثال عدم فتح رسائل البريد الإلكتروني من مرسلين غير معروفين أو التحقق دائمًا من هوية أشخاص غير معروفين يدعون أنهم “زملاء” أو “من قسم تكنولوجيا المعلومات” أو “بائع”. قد يكشف اختبار قلم الهندسة الاجتماعية الشامل أن الموظفين كذلك لا الالتزام بهذه السياسات ويعرض المنظمة للخطر.
عملية اختبار اختراق الهندسة الاجتماعية
يتبع مختبرو قلم الهندسة الاجتماعية طريقة منهجية لتأليف وتنفيذ هجمات الهندسة الاجتماعية. يقومون أولاً بجمع معلومات حول الهدف، عادةً عبر نشط و الاستطلاع السلبي وباستخدام الاستخبارات مفتوحة المصدر (OSINT). كما أنهم يختارون “ضحاياهم” ثم يتعاملون معهم باستخدام العديد من نفس الأساليب والأدوات التي يستخدمها المهاجمون الحقيقيون.
بالإضافة إلى ذلك، يقوم المختبرون بتخطيط نطاق الاختبار وتحديد الأساليب التي سيستخدمونها أثناء الاختبار. سيقومون بتنفيذ الاختبارات وفقًا للنطاق المحدد، وتوثيق النتائج التي توصلوا إليها وإبلاغ الإدارة بالنتائج. يسلط تقرير اختبار القلم الضوء بوضوح على المخاطر المكتشفة والتأثير المحتمل لكل خطر ويتضمن توصيات المختبر لمعالجة تلك المخاطر.
فوائد اختبار الاختراق في الهندسة الاجتماعية
إلى جانب الكشف عن مدى تأثر الموظفين بمحاولات الهندسة الاجتماعية، يمكن أن يساعد اختبار قلم الهندسة الاجتماعية المؤسسات في ما يلي:
أنواع اختبارات الاختراق في الهندسة الاجتماعية
يمكن إجراء اختبار الهندسة الاجتماعية كجزء من اختبار القلم الأكثر شمولاً. كما هو الحال مع اختبارات القلم الأخرى، يستخدم مختبرو قلم الهندسة الاجتماعية نفس الأساليب والأدوات التي يستخدمها المتسللون في العالم الحقيقي لمهاجمة المنظمة.
الاختبار في الموقع
الاختبار في الموقع عادة ما يكون اختبارًا ماديًا. قد يتضمن ذلك قيام أحد المختبرين بمحاولة الدخول إلى مبنى آمن عندما يدخل العديد من الموظفين لمعرفة ما إذا كان شخص ما يبقي الباب مفتوحًا بدلاً من الالتزام بالإجراء المعتمد المتمثل في ترك الباب يغلق من بعده، لذا يجب على أي شخص يتبعه استخدام بطاقة الموظف أو شارة للدخول.
إن إبقاء الباب مفتوحًا يزيد من احتمالية حدوث ذلك ذيل، والتي يمكن أن تسمح لممثل التهديد بالقيام بمجموعة من الأشياء التي يمكن أن تلحق الضرر بالمؤسسة، مثل ما يلي:
- إجراء الاستطلاع.
- تثبيت البرامج الضارة على أنظمة الموظفين.
- سرقة الأجهزة غير المراقبة.
- الوصول إلى الملفات السرية عبر الإنترنت/المادية الموجودة دون حماية على أجهزة الكمبيوتر أو مكاتب الموظفين.
إلى جانب المتابعة، قد يستخدم المُختبر أيضًا أساليب هجوم أخرى في الموقع مثل التمثيل (التظاهر بأنه شخص جدير بالثقة أو معروف للضحية)، قائد متهور (الانتقال إلى سلة المهملات أو الملاحظات اللاصقة للحصول على معلومات مفيدة حول المؤسسة)، أو إسقاط USB (إسقاط جهاز USB مصاب ببرامج ضارة في منطقة مشتركة لجعل الضحية المحتملة تلتقطه وتوصيله بنظامه الخاص، وبالتالي إصابة هو – هي).
الاختبار عن بعد/خارج الموقع
يقوم القائمون على الاختبار عادة بإجراء الاختبار خارج الموقع عن بعد وعبر الوسائل الإلكترونية.
التصيد تُستخدم برمجيات استغلال الثغرات، وهي طريقة شائعة لاختبار الهندسة الاجتماعية خارج الموقع، لاختبار مدى تعرض الموظفين لرسائل البريد الإلكتروني المزيفة/الخبيثة. قد يرسل المختبرون بريدًا إلكترونيًا يُزعم أنه من شخص ما في الإدارة يطلب من الموظف فتح مرفق غير متوقع أو تقديم معلومات حساسة أو زيارة موقع ويب غير معتمد. أو قد يرسلون للضحية رسالة اختبارية لإغرائهم بالنقر على رابط موقع ويب ضار. وعندما يفعلون ذلك، سيُطلب منهم إما تنزيل برامج ضارة أو تقديم بيانات حساسة في نموذج عبر الإنترنت. يُعرف هذا النوع من هجمات الهندسة الاجتماعية باسم التصيد الاحتيالي (الرسائل النصية القصيرة والتصيد الاحتيالي) ويتم استخدامها بشكل متزايد من قبل مختبري القلم لتقييم مدى تعرض الموظفين لمثل هذه الرسائل عمليات الاحتيال الشائعة بشكل متزايد.
اختبارات اختراق الهندسة الاجتماعية أفضل الممارسات
يجب أن يزود اختبار قلم الهندسة الاجتماعية الشركة بمعلومات حول مدى سهولة قيام المتسلل بإقناع الموظفين بخرق قواعد الأمان أو الكشف (أو توفير الوصول) إلى المعلومات الحساسة. ال نتائج الإختبار يجب أيضًا أن يوفر فهمًا أفضل لمدى نجاح التدريب الأمني للشركة وكيفية تكديس المنظمة من الناحية الأمنية مقارنة بأقرانها. لتعزيز هذا الفهم، يعد تقرير اختبار القلم التفصيلي، المكتوب بلغة سهلة الاستخدام، أمرًا بالغ الأهمية.
ولكن حتى قبل بدء الاختبار، من المهم إجراء استطلاع شامل حول الهدف وجمع أكبر قدر ممكن من المعلومات عنه. تساعد هذه المعلومات في توضيح نطاق الاختبار والتأكد من تنفيذه بشكل صحيح.
أخيرًا، من المهم معالجة جميع نقاط الضعف التي تم تحديدها أثناء اختبار القلم وتنفيذ جميع التدابير المطلوبة لسد الثغرات ومنع الهجوم الفعلي. يمكن للمؤسسات أيضًا منع هجمات الهندسة الاجتماعية من خلال تطبيق عناصر التحكم التالية:
- التدريب المنتظم على الوعي الأمني.
- مسح سياسات كلمة المرور.
- مصادقة متعددة العوامل (وزارة الخارجية).
- تخطيط الاستجابة للحوادث.
- تقييمات أمنية منتظمة (بما في ذلك اختبارات القلم).
- أنظمة المراقبة الأمنية.
- إدارة الهوية والوصول (أنا أكون) ضوابط.
- الثقة صفر حماية.
- البرمجيات والأنظمة الترقيع.
أصبحت هجمات الهندسة الاجتماعية أكثر تعقيدًا وأكثر ضررًا. يعد اختبار الاختراق أحد أفضل الطرق لمعرفة كيفية حماية أنظمتك من الهجمات. تعلم المزيد عن كيف إجراء اختبار اختراق الهندسة الاجتماعية.
