تقنيات الهندسة الاجتماعية. كتاب مدرسي عن الهندسة الاجتماعية. خوارزمية التأثير النموذجية في القرصنة الاجتماعية

تقنيات الهندسة الاجتماعية إن العقل البشري عبارة عن قرص صلب كبير، وهو مستودع لكمية هائلة من المعلومات. ويمكن لكل من المالك وأي شخص آخر استخدام هذه المعلومات. كما يقولون، المتكلم هو هبة من السماء للجاسوس. لكي تتمكن من فهم معنى ما يلي بشكل أكبر، يجب أن تكون على الأقل على دراية بأساسيات علم النفس.
الهندسة الاجتماعية تسمح لنا "استخدم عقلك"شخص آخر باستخدام طرق مختلفة والحصول على المعلومات اللازمة منه.
يقول ويكي: "الهندسة الاجتماعية هي وسيلة للسيطرة على تصرفات الإنسان دون استخدام الوسائل التقنية"

هندسة اجتماعية- هذا نوع من العلم الشاب. هناك العديد من الأساليب والتقنيات للتلاعب بالوعي البشري. كان كيفن ميتنيك على حق عندما قال إنه في بعض الأحيان يكون الغش والحصول على المعلومات أسهل من اختراق الوصول إليها. إقرأ كتاب "فن الخداع" في وقت فراغك، سيعجبك.
موجود عكس الهندسة الاجتماعيةوالتي تهدف إلى الحصول على البيانات من الضحية نفسه. وبمساعدتها، يتحدث الضحية نفسه عن كلمات المرور والبيانات الخاصة به.

لا توجد إيماءات أو نغمات أو تعبيرات وجه على الإنترنت. تعتمد جميع الاتصالات على الرسائل النصية. ويعتمد نجاحك في موقف معين على مدى تأثير رسائلك على المحاور. ما هي التقنيات التي يمكن استخدامها للتلاعب بوعي الشخص سرًا؟

استفزاز
بالمعنى الدقيق للكلمة، هذا هو التصيد. مما يثير حنق الشخص، في معظم الحالات يعامل المعلومات دون انتقاد. في هذه الحالة، يمكنك فرض أو الحصول على المعلومات اللازمة.

حب
ربما تكون هذه هي التقنية الأكثر فعالية. في معظم الحالات، هذا ما استخدمته)). في حالة الحب، يرى الشخص القليل، وهذا هو بالضبط ما يحتاجه المناور.

لا مبالاة
وينشأ تأثير لامبالاة المتلاعب بموضوع معين، ويحاول المحاور بدوره إقناعه، وبالتالي الوقوع في الفخ والكشف عن المعلومات التي يحتاجها.

يسرع
غالبًا ما تنشأ المواقف عندما يكون المتلاعب في عجلة من أمره للوصول إلى مكان ما ويلمح إليه باستمرار، لكنه في الوقت نفسه يروج عمدًا للمعلومات التي يحتاجها.

اشتباه
طريقة الشك تشبه إلى حد ما طريقة اللامبالاة. في الحالة الأولى، يثبت الضحية العكس، وفي الثانية يحاول الضحية تبرير «شكوكه»، وبالتالي لا يدرك أنه يفصح عن كل المعلومات.

سخرية
على غرار تقنية الاستفزاز. المتلاعب يجعل الشخص غاضبًا من خلال السخرية. وهو بدوره غير قادر في حالة الغضب على تقييم المعلومات بشكل نقدي. ونتيجة لذلك، تتشكل فجوة في الحاجز النفسي، والتي يستغلها المتلاعب.

الصراحة
عندما يخبر المتلاعب المعلومات الصريحة للمحاور، فإن المحاور يطور نوعا من علاقة الثقة، مما يعني إضعاف حاجز الحماية. وهذا يخلق فجوة في الدفاع النفسي.

التقنيات الموضحة أعلاه لا تستنفد الإمكانات الكاملة للهندسة الاجتماعية. ويمكن الحديث عن هذه التقنيات والأساليب والحديث عنها. بعد قراءة هذه التقنيات، يجب أن تدرك أنك لست بحاجة إلى اتباع قيادة الجميع. تعلم كيفية التحكم في نفسك وغضبك ومن ثم سيكون دفاعك دائمًا في المستوى المناسب.
بلدنا مستمر. انتظروا مقالات جديدة))

هندسة اجتماعية - الوصول غير المصرح به إلى المعلومات السرية من خلال التلاعب بوعي الشخص. تعتمد أساليب الهندسة الاجتماعية على خصوصيات علم النفس وتهدف إلى استغلال نقاط الضعف البشرية (السذاجة، عدم الانتباه، الفضول، المصالح التجارية). يتم استخدامها بنشاط من قبل المتسللين الاجتماعيين على الإنترنت وخارجها.

ومع ذلك، فيما يتعلق بالتقنيات الرقمية، وموارد الويب، وأجهزة الكمبيوتر، والهواتف الذكية، فإن "ضباب الدماغ" لمستخدمي الشبكة يحدث بشكل مختلف إلى حد ما. يضع المحتالون الأفخاخ والفخاخ والحيل الأخرى في أي مكان وبأي طريقة، على الشبكات الاجتماعية، وعلى بوابات الألعاب، وصناديق البريد الإلكتروني والخدمات عبر الإنترنت. فيما يلي بعض الأمثلة على أساليب الهندسة الاجتماعية:

كهدية العيد...حصان طروادة

بغض النظر عن الشخصية والمهنة والملاءة المالية، يتطلع كل شخص إلى العطلات: رأس السنة الجديدة، 1 مايو، 8 مارس، عيد الحب، وما إلى ذلك، بالطبع، للاحتفال بهم، والاسترخاء، وملء هالتهم الروحية بالإيجابية. وفي نفس الوقت تبادل التهاني مع أصدقائك ورفاقك.

في هذه اللحظة، ينشط المتسللون الاجتماعيون بشكل خاص. في أيام العطل والأعياد، يرسلون بطاقات بريدية إلى حسابات خدمة البريد الإلكتروني: مشرقة وملونة، مع الموسيقى و... فيروس طروادة خطير. الضحية، الذي لا يعرف شيئًا عن هذا الخداع، أو في حالة نشوة من المرح أو ببساطة الفضول، ينقر على البطاقة البريدية. وفي نفس اللحظة، تصيب البرمجيات الخبيثة نظام التشغيل، ثم تنتظر اللحظة المناسبة لسرقة بيانات التسجيل، أو رقم بطاقة الدفع، أو استبدال صفحة الويب الخاصة بالمتجر عبر الإنترنت في المتصفح بصفحة مزيفة وسرقة الأموال من الحساب.

خصم مناسب والفيروسات "محملة"

مثال عظيم للهندسة الاجتماعية. إن الرغبة في "ادخار" أموالك التي كسبتها بشق الأنفس أمر مبرر ومفهوم تمامًا، ولكن ضمن حدود معقولة وفي ظل ظروف معينة. يتعلق الأمر بـ "ليس كل ما يلمع ذهباً".

المحتالون تحت ستار أكبر العلامات التجارية والمتاجر والخدمات عبر الإنترنت، في التصميم المناسب، يعرضون شراء البضائع بخصم لا يصدق، بالإضافة إلى الشراء، الحصول على هدية... يقومون بإعداد رسائل إخبارية مزيفة، وإنشاء مجموعات على الشبكات الاجتماعية و"المواضيع" المواضيعية في المنتديات.

الناس العاديون الساذجون ، كما يقولون ، "يقودهم" هذا الملصق التجاري المشرق: في عجلة من أمرهم يحسبون في رؤوسهم المبلغ المتبقي من رواتبهم والدفعة المقدمة وينقرون على الرابط "شراء" ، "انتقل إلى الموقع شراء "، الخ. وبعد ذلك، في 99 من أصل 100 حالة، بدلاً من الشراء المربح، يحصلون على فيروس على أجهزة الكمبيوتر الخاصة بهم أو يرسلون الأموال إلى المتسللين الاجتماعيين مجانًا.

تبرع اللاعب +300% لمهارات السرقة

في الألعاب عبر الإنترنت، وفي الألعاب متعددة اللاعبين بشكل عام، مع استثناءات نادرة، يبقى الأقوى على قيد الحياة: أولئك الذين لديهم درع أقوى، وضرر، وسحر أقوى، وصحة أكبر، ومانا، وما إلى ذلك.

وبالطبع، يريد كل لاعب الحصول بأي ثمن على هذه القطع الأثرية الثمينة لشخصيته ودبابته وطائرته ومن يدري ماذا أيضًا. في المعارك أو الحملات، بأيديك أو بأموال حقيقية (وظيفة التبرع) في المتجر الافتراضي للعبة. أن نكون الأفضل والأول... للوصول إلى المستوى الأخير من التطور.

يعرف المحتالون عن "نقاط الضعف في اللاعب" ويحاولون بكل الطرق الممكنة إغراء اللاعبين لاكتساب القطع الأثرية والمهارات الثمينة. أحيانًا مقابل المال، وأحيانًا مجانًا، لكن هذا لا يغير جوهر المخطط الشرير والغرض منه. العروض المغرية على المواقع المزيفة تبدو كالتالي: "قم بتنزيل هذا التطبيق"، "قم بتثبيت التصحيح"، "للحصول على عنصر، انتقل إلى اللعبة".

في مقابل المكافأة التي طال انتظارها، يتم سرقة حساب اللاعب. إذا تم ضخها بشكل جيد، يقوم اللصوص ببيعها أو استخراج معلومات الدفع منها (إن وجدت).

البرامج الضارة + الهندسة الاجتماعية = خليط متفجر من الخداع

أيقونات الحذر!

يقوم العديد من المستخدمين بتشغيل الماوس في نظام التشغيل على "الطيار الآلي": انقر هنا، هنا؛ اكتشف هذا، ذاك، ذاك. نادرًا ما يقوم أي منهم بإلقاء نظرة فاحصة على نوع الملفات وحجمها وخصائصها. ولكن عبثا. يقوم المتسللون بإخفاء الملفات القابلة للتنفيذ من البرامج الضارة كمجلدات Windows عادية أو صور أو تطبيقات موثوقة، أي لا يمكن تمييزها بصريًا. ينقر المستخدم على المجلد، وبطبيعة الحال، لا تفتح محتوياته، لأنه ليس مجلدًا على الإطلاق، ولكنه مثبت فيروسات بامتداد .exe. وتخترق البرامج الضارة نظام التشغيل "بهدوء".

"الترياق" المؤكد لمثل هذه الحيل هو مدير الملفات Total Commander. على عكس مستكشف Windows المدمج، فإنه يعرض كافة تفاصيل الملف: النوع والحجم وتاريخ الإنشاء. أكبر خطر محتمل على النظام هو الملفات غير المعروفة ذات الامتدادات: ".scr"، ".vbs"، ".bat"، ".exe".

الخوف يغذي الثقة

1. يفتح المستخدم "موقعًا لقصص الرعب" ويتم إخباره على الفور بأكثر الأخبار غير السارة، أو حتى الأخبار: "جهاز الكمبيوتر الخاص بك مصاب بفيروس طروادة خطير"، "تم اكتشاف 10، 20... 30 فيروسًا في نظام التشغيل الخاص بك"، "يتم إرسال البريد العشوائي من جهاز الكمبيوتر الخاص بك" وما إلى ذلك.
2. ويعرضون على الفور (أظهروا "الاهتمام") تثبيت برنامج مكافحة فيروسات، وبالتالي حل المشكلة الأمنية التي تم التعبير عنها على الموقع. والأهم من ذلك أنه مجاني تمامًا.
3. إذا تغلب على الزائر الخوف على جهاز الكمبيوتر الخاص به، فإنه يتبع الرابط ويقوم بالتنزيل... ليس مضاد فيروسات، بل مضاد فيروسات زائف - مزيف محشو بالفيروسات. عمليات التثبيت والتشغيل - العواقب مناسبة.

• أولاً، لا يمكن لموقع الويب فحص جهاز الكمبيوتر الخاص بالزائر على الفور وتحديد البرامج الضارة.
• ثانيًا، يقوم المطورون بتوزيع برامج مكافحة الفيروسات الخاصة بهم، سواء كانت مدفوعة أو مجانية، من خلال مواقعهم الإلكترونية الرسمية.
• وأخيرا، ثالثا، إذا كانت هناك شكوك ومخاوف حول ما إذا كان نظام التشغيل "نظيفا" أم لا، فمن الأفضل التحقق من قسم النظام بما هو متاح، أي برنامج مكافحة الفيروسات المثبت.

تلخيص لما سبق

يسير علم النفس والقرصنة جنبًا إلى جنب اليوم - جنبًا إلى جنب مع استغلال نقاط الضعف البشرية ونقاط ضعف البرامج. أثناء تواجدك على الإنترنت، في أيام العطلات وأيام الأسبوع، ليلاً أو نهارًا، وبغض النظر عن حالتك المزاجية، يجب أن تكون يقظًا، وتقمع السذاجة، وتبعد دوافع المكاسب التجارية والشيء "المجاني". لأنه، كما تعلمون، يتم إعطاء الجبن فقط مجانا، وفقط في مصيدة فئران. قم بإنشاء كلمات مرور فقط، وقم بتخزينها في أماكن معينة وابق معنا، لأنه، كما نعلم، لا يوجد شيء اسمه الكثير من الأمان.

أساليب الهندسة الاجتماعية - هذا بالضبط ما سيتم مناقشته في هذه المقالة، وكذلك كل ما يتعلق بالتلاعب بالأشخاص والتصيد الاحتيالي وسرقة قواعد بيانات العملاء والمزيد. تفضل أندريه سيريكوف بتزويدنا بالمعلومات التي هو مؤلفها، والتي نشكره عليها كثيرًا.

أ.سيريكوف

أب بوروفسكي

تقنيات المعلومات للقرصنة الاجتماعية

مقدمة

كانت رغبة البشرية في تحقيق الإنجاز الكامل للمهام الموكلة إليها بمثابة تطور لتكنولوجيا الكمبيوتر الحديثة، وأدت محاولات تلبية المتطلبات المتضاربة للناس إلى تطوير منتجات البرمجيات. لا تحافظ منتجات البرامج هذه على وظائف الأجهزة فحسب، بل تقوم أيضًا بإدارتها.

أدى تطور المعرفة حول الإنسان والكمبيوتر إلى ظهور نوع جديد من النظام بشكل أساسي - "الآلة البشرية"، حيث يمكن وضع الشخص كجهاز يعمل تحت سيطرة نظام تشغيل مستقر ووظيفي ومتعدد المهام. نظام يسمى "النفسية".

موضوع العمل هو اعتبار القرصنة الاجتماعية فرعًا من فروع البرمجة الاجتماعية، حيث يتم التلاعب بالشخص بمساعدة نقاط الضعف البشرية والأحكام المسبقة والصور النمطية في الهندسة الاجتماعية.

الهندسة الاجتماعية وأساليبها

إن أساليب التلاعب البشري معروفة منذ زمن طويل، وقد جاءت بشكل رئيسي إلى الهندسة الاجتماعية من ترسانة أجهزة المخابرات المختلفة.

تعود أول حالة معروفة للذكاء التنافسي إلى القرن السادس قبل الميلاد، وحدثت في الصين، عندما فقد الصينيون سر صناعة الحرير، الذي سرقه جواسيس رومان بطريقة احتيالية.

الهندسة الاجتماعية هي علم يتم تعريفه على أنه مجموعة من الأساليب للتلاعب بالسلوك البشري، تقوم على استغلال نقاط الضعف في العامل البشري، دون استخدام الوسائل التقنية.

وفقًا للعديد من الخبراء، فإن التهديد الأكبر لأمن المعلومات يكمن في أساليب الهندسة الاجتماعية، وذلك فقط لأن استخدام القرصنة الاجتماعية لا يتطلب استثمارات مالية كبيرة ومعرفة شاملة بتكنولوجيا الكمبيوتر، وأيضًا لأن الناس لديهم ميول سلوكية معينة يمكن تستخدم للتلاعب الدقيق.

وبغض النظر عن كيفية تحسين أنظمة الحماية الفنية، سيظل الناس أشخاصا مع نقاط ضعفهم، والتحيزات، والقوالب النمطية، بمساعدة الإدارة التي تتم. يعد إعداد "برنامج أمان" بشري هو المهمة الأكثر صعوبة ولا يؤدي دائمًا إلى نتائج مضمونة، حيث يجب تعديل هذا الفلتر باستمرار. وهنا، يبدو الشعار الرئيسي لجميع خبراء الأمن أكثر أهمية من أي وقت مضى: "الأمن عملية، وليس نتيجة".

مجالات تطبيق الهندسة الاجتماعية:

1. زعزعة الاستقرار العام لعمل المنظمة من أجل الحد من نفوذها وإمكانية التدمير الكامل اللاحق للمنظمة؛
2. الاحتيال المالي في المنظمات؛
3. التصيد الاحتيالي والأساليب الأخرى لسرقة كلمات المرور من أجل الوصول إلى البيانات المصرفية الشخصية للأفراد؛
4. سرقة قواعد بيانات العملاء؛
5. ذكاء تنافسي؛
6. معلومات عامة عن المنظمة ونقاط القوة والضعف فيها بهدف تدمير هذه المنظمة لاحقًا بطريقة أو بأخرى (غالبًا ما تستخدم لهجمات المغيرين)؛
7. معلومات حول الموظفين الواعدين بهدف "جذبهم" بشكل أكبر إلى مؤسستك؛

البرمجة الاجتماعية والقرصنة الاجتماعية

يمكن تسمية البرمجة الاجتماعية بنظام تطبيقي يتعامل مع التأثير المستهدف على شخص أو مجموعة من الأشخاص من أجل تغيير سلوكهم أو الحفاظ عليه في الاتجاه المطلوب. وهكذا يضع المبرمج الاجتماعي لنفسه هدفًا: إتقان فن إدارة الأشخاص. المفهوم الأساسي للبرمجة الاجتماعية هو أن تصرفات العديد من الأشخاص وردود أفعالهم تجاه تأثير خارجي أو آخر يمكن التنبؤ بها في كثير من الحالات.

تعد أساليب البرمجة الاجتماعية جذابة لأنه إما لن يعرف أحد عنها أبدًا، أو حتى إذا خمن شخص ما شيئًا ما، فمن الصعب جدًا تقديم مثل هذا الرقم إلى العدالة، وفي بعض الحالات من الممكن "برمجة" سلوك الناس، و شخص واحد، ومجموعة كبيرة. وتندرج هذه الفرص ضمن فئة القرصنة الاجتماعية على وجه التحديد لأنه في جميعها ينفذ الأشخاص إرادة شخص آخر، كما لو كانوا يطيعون "برنامجًا" كتبه أحد قراصنة الشبكات الاجتماعية.

القرصنة الاجتماعية حيث أن القدرة على اختراق شخص ما وبرمجته للقيام بالأفعال المطلوبة تأتي من البرمجة الاجتماعية - وهو نظام تطبيقي للهندسة الاجتماعية، حيث يستخدم المتخصصون في هذا المجال - الهاكرز الاجتماعيون - تقنيات التأثير النفسي والتمثيل، المستعارة من الترسانة من أجهزة المخابرات.

يتم استخدام القرصنة الاجتماعية في معظم الحالات عندما يتعلق الأمر بمهاجمة شخص يشكل جزءًا من نظام الكمبيوتر. نظام الكمبيوتر الذي تم اختراقه غير موجود في حد ذاته. أنه يحتوي على عنصر مهم - شخص. وللحصول على المعلومات، يحتاج المتسلل الاجتماعي إلى اختراق شخص يعمل مع جهاز كمبيوتر. في معظم الحالات، يكون القيام بذلك أسهل من اختراق جهاز الكمبيوتر الخاص بالضحية في محاولة لمعرفة كلمة المرور.

خوارزمية التأثير النموذجية في القرصنة الاجتماعية:

تتناسب جميع هجمات المتسللين الاجتماعيين مع مخطط واحد بسيط إلى حد ما:

1. يتم صياغة الغرض من التأثير على كائن معين؛
2. يتم جمع المعلومات حول الكائن من أجل اكتشاف الأهداف الأكثر ملائمة للتأثير؛
3. وبناء على المعلومات التي تم جمعها، يتم تنفيذ مرحلة يسميها علماء النفس بالانجذاب. الجذب (من اللاتينية Attrahere - لجذب، جذب) هو إنشاء الظروف اللازمة للتأثير على الكائن؛
4. وإجبار المتسلل الاجتماعي على اتخاذ الإجراءات اللازمة؛

ويتحقق الإكراه من خلال تنفيذ المراحل السابقة، أي بعد تحقيق الجذب يقوم الضحية بنفسه باتخاذ الإجراءات اللازمة للمهندس الاجتماعي.

بناءً على المعلومات التي تم جمعها، يتنبأ المتسللون الاجتماعيون بدقة تامة بالنمط النفسي والاجتماعي للضحية، ولا يحددون فقط الاحتياجات من الطعام والجنس وما إلى ذلك، ولكن أيضًا الحاجة إلى الحب والحاجة إلى المال والحاجة إلى الراحة وما إلى ذلك. .، إلخ.

وبالفعل، لماذا تحاول اختراق هذه الشركة أو تلك، واختراق أجهزة الكمبيوتر، وأجهزة الصراف الآلي، وتنظيم مجموعات معقدة، بينما يمكنك القيام بكل شيء أسهل: اجعل شخصًا يقع في حبك، والذي سيقوم، بمحض إرادته، بتحويل الأموال إلى حساب محدد أو مشاركة الأموال اللازمة في كل مرة المعلومات؟

واستنادًا إلى حقيقة أن تصرفات الأشخاص يمكن التنبؤ بها وتخضع أيضًا لقوانين معينة، يستخدم المتسللون الاجتماعيون والمبرمجون الاجتماعيون خطوات متعددة أصلية وتقنيات إيجابية وسلبية بسيطة تعتمد على سيكولوجية الوعي البشري والبرامج السلوكية واهتزازات الأعضاء الداخلية والمنطق المنطقي. التفكير والخيال والذاكرة والانتباه. تشمل هذه التقنيات ما يلي:

مولد الخشب - يولد تذبذبات بنفس التردد مثل تواتر تذبذبات الأعضاء الداخلية، وبعد ذلك يتم ملاحظة تأثير الرنين، ونتيجة لذلك يبدأ الناس في الشعور بعدم الراحة الشديدة وحالة الذعر؛

التأثير على جغرافية الحشد - من أجل التفكيك السلمي لمجموعات كبيرة من الناس العدوانية الخطيرة للغاية ؛

الأصوات عالية التردد ومنخفضة التردد - لإثارة الذعر وتأثيره العكسي، وكذلك التلاعبات الأخرى؛

برنامج التقليد الاجتماعي - يحدد الشخص صحة الإجراءات من خلال معرفة الإجراءات التي يعتبرها الآخرون صحيحة؛

برنامج Claquering - (على أساس التقليد الاجتماعي) تنظيم رد الفعل اللازم من الجمهور؛

تشكيل قوائم الانتظار - (على أساس التقليد الاجتماعي) خطوة إعلانية بسيطة ولكنها فعالة؛

برنامج المساعدة المتبادلة - يسعى الشخص إلى رد الجميل للأشخاص الذين فعلوا معه بعض اللطف. غالبًا ما تتجاوز الرغبة في تحقيق هذا البرنامج كل الأسباب؛

القرصنة الاجتماعية على شبكة الإنترنت

مع ظهور وتطور الإنترنت - بيئة افتراضية تتكون من الأشخاص وتفاعلاتهم، اتسعت بيئة التلاعب بالشخص للحصول على المعلومات اللازمة وتنفيذ الإجراءات اللازمة. في الوقت الحاضر، أصبحت الإنترنت وسيلة للبث العالمي، ووسيلة للتعاون والتواصل وتغطي العالم بأكمله. هذا هو بالضبط ما يستخدمه المهندسون الاجتماعيون لتحقيق أهدافهم.

طرق التلاعب بالشخص عبر الإنترنت:

في العالم الحديث، أدرك أصحاب كل شركة تقريبًا أن الإنترنت وسيلة فعالة جدًا ومريحة لتوسيع أعمالهم ومهمتها الرئيسية هي زيادة أرباح الشركة بأكملها. من المعروف أنه بدون معلومات تهدف إلى جذب الانتباه إلى الكائن المطلوب، أو توليد الاهتمام به أو الحفاظ عليه والترويج له في السوق، يتم استخدام الإعلان. فقط، نظرًا لحقيقة أن سوق الإعلانات منقسم منذ فترة طويلة، فإن معظم أنواع الإعلانات بالنسبة لمعظم رواد الأعمال تهدر الأموال. الإعلان عبر الإنترنت ليس مجرد أحد أنواع الإعلانات في وسائل الإعلام، بل هو أكثر من ذلك، حيث بمساعدة الإعلان عبر الإنترنت، يأتي الأشخاص المهتمون بالتعاون إلى موقع المنظمة على الويب.

الإعلان عبر الإنترنت، على عكس الإعلان في وسائل الإعلام، لديه العديد من الفرص والمعلمات لإدارة شركة إعلانية. أهم مؤشر للإعلان عبر الإنترنت هو ذلك يتم خصم رسوم الإعلان عبر الإنترنت فقط عند التبديلالمستخدم المهتم عبر رابط إعلاني، مما يجعل الإعلان على الإنترنت أكثر فعالية وأقل تكلفة من الإعلان في وسائل الإعلام. وبالتالي، بعد تقديم الإعلان على شاشة التلفزيون أو في وسائل الإعلام المطبوعة، فإنهم يدفعون ثمنها بالكامل وينتظرون ببساطة العملاء المحتملين، ولكن قد يستجيب العملاء للإعلان أم لا - كل هذا يتوقف على جودة الإنتاج وعرض الإعلانات على التلفزيون أو الصحف ومع ذلك، فقد تم إنفاق ميزانية الإعلان بالفعل في حالة عدم نجاح الإعلان، فقد تم إهدارها. وخلافًا لمثل هذه الإعلانات الإعلامية، فإن الإعلان عبر الإنترنت لديه القدرة على تتبع استجابة الجمهور وإدارة الإعلان عبر الإنترنت قبل إنفاق ميزانيته؛ علاوة على ذلك، يمكن تعليق الإعلان عبر الإنترنت عندما يزداد الطلب على المنتجات واستئنافه عندما يبدأ الطلب في الانخفاض.

طريقة أخرى للتأثير هي ما يسمى بـ "قتل المنتديات" حيث يقومون، بمساعدة البرمجة الاجتماعية، بإنشاء إعلانات مناهضة لمشروع معين. في هذه الحالة، يقوم المبرمج الاجتماعي، بمساعدة الإجراءات الاستفزازية الواضحة، بتدمير المنتدى وحده، باستخدام عدة أسماء مستعارة ( كنية) لتكوين مجموعة مناهضة للزعيم حول نفسها، وجذب زوار منتظمين للمشروع غير راضين عن سلوك الإدارة. وفي نهاية مثل هذه الأحداث، يصبح من المستحيل الترويج للمنتجات أو الأفكار في المنتدى. وهذا هو ما تم تطوير المنتدى من أجله في الأصل.

أساليب التأثير على الشخص عبر الإنترنت لغرض الهندسة الاجتماعية:

التصيد الاحتيالي هو نوع من الاحتيال عبر الإنترنت يهدف إلى الوصول إلى بيانات المستخدم السرية - تسجيلات الدخول وكلمات المرور. يتم تحقيق هذه العملية من خلال رسائل البريد الإلكتروني الجماعية نيابة عن العلامات التجارية الشهيرة، بالإضافة إلى الرسائل الشخصية داخل الخدمات المختلفة (Rambler) أو البنوك أو داخل الشبكات الاجتماعية (Facebook). غالبًا ما تحتوي الرسالة على رابط لموقع ويب لا يمكن تمييزه ظاهريًا عن الموقع الحقيقي. بعد وصول المستخدم إلى صفحة مزيفة، يستخدم المهندسون الاجتماعيون تقنيات مختلفة لتشجيع المستخدم على إدخال معلومات تسجيل الدخول وكلمة المرور الخاصة به على الصفحة، والتي يستخدمها للوصول إلى موقع معين، مما يسمح له بالوصول إلى الحسابات والحسابات المصرفية.

هناك نوع أكثر خطورة من الاحتيال من التصيد الاحتيالي وهو ما يسمى بالتصيد الاحتيالي.

التصيد الاحتيالي عبارة عن آلية لإعادة توجيه المستخدمين سرًا إلى مواقع التصيد الاحتيالي. يقوم المهندس الاجتماعي بتوزيع برامج ضارة خاصة على أجهزة الكمبيوتر الخاصة بالمستخدمين، والتي بمجرد إطلاقها على الكمبيوتر، تعيد توجيه الطلبات من المواقع الضرورية إلى مواقع مزيفة. وبالتالي، فإن الهجوم شديد السرية، ويتم تقليل مشاركة المستخدم إلى الحد الأدنى - يكفي الانتظار حتى يقرر المستخدم زيارة المواقع التي تهم المهندس الاجتماعي.

خاتمة

الهندسة الاجتماعية هي علم انبثق من علم الاجتماع ويدعي أنه مجموعة المعرفة التي توجه وترتب وتحسن عملية إنشاء وتحديث وإعادة إنتاج الحقائق الاجتماعية الجديدة ("المصطنعة"). بطريقة معينة، "يكمل" العلوم الاجتماعية، ويكملها في مرحلة تحويل المعرفة العلمية إلى نماذج ومشاريع وتصميمات للمؤسسات الاجتماعية والقيم والأعراف وخوارزميات النشاط والعلاقات والسلوك، وما إلى ذلك.

على الرغم من أن الهندسة الاجتماعية علم حديث العهد نسبيًا، إلا أنها تسبب ضررًا كبيرًا للعمليات التي تحدث في المجتمع.

وأبسط طرق الحماية من تأثيرات هذا العلم الهدام هي:

لفت انتباه الناس إلى قضايا السلامة.

فهم المستخدمين لخطورة المشكلة وقبول سياسة أمان النظام.

الأدب

1. ر. بيترسن لينكس: الدليل الكامل: Trans. من الانجليزية — الطبعة الثالثة. - ك.: مجموعة النشر BHV، 2000. – 800 ص.

2. من إنترنت غرودنيف في منزلك. - م: "ريبول كلاسيك"، 2001. -480 ص.

3. M. V. Kuznetsov الهندسة الاجتماعية والقرصنة الاجتماعية. سانت بطرسبرغ: BHV-بطرسبرغ، 2007. - 368 ص: مريض.

الجزء الأول (مقسم إلى أجزاء بسبب حجم المقال. بمجرد أن أحصل على 50 مشاهدة، أقوم بنشر الجزء الثاني).

العديد من المتسللين الحقيقيين الذين يشاركون باستمرار في القرصنة لديهم دائمًا بعض حيل SI في المخزون، لأنه عندما يكون من المستحيل العثور على ثغرة أمنية في الكود، غالبًا ما يمكن العثور عليها في أذهان خدمة الدعم أو مالك الموقع الإلكتروني. -البريد الإلكتروني أو ICQ أو الموقع الإلكتروني...

من النظرية إلى الممارسة
لقد قرأت بالفعل ما هي الهندسة الاجتماعية في أحد الإصدارات السابقة من مجلتك المفضلة، لذلك يمكننا أن نقول بأمان أنه تم إتقان الأجهزة بنجاح. الآن أقترح القيام برحلة تدريبية.

المهندسون الاجتماعيون أشخاص لطيفون جدًا للتحدث معهم: مثقفون وودودون ويتمتعون بروح الدعابة. لديهم عقل مرن بشكل لا يصدق، وتفكير مبتكر والعديد من الأفكار حول كيفية تحقيق أهدافهم بشكل أكثر فعالية. لقد لجأت إليهم طلبًا للمساعدة في إعداد المواد. سيكون مستشارونا هم: GoodGod - منشئ أحد أشهر المشاريع باللغة الروسية حول الهندسة الاجتماعية socialware.ru؛ ايومي (spylabs.org)؛ إيفان هو سيد آخر في اختراق العقول البشرية الذي يرغب في البقاء متخفيًا.

يذهب!

سرقة رقم ICQ (بدون البريد الإلكتروني الأساسي)
لاختطاف ICQ سوف تحتاج إلى:

• قائمة النطاقات التي تحتوي على عناوين بريد إلكتروني مسجلة عليها (كيفية الحصول عليها - اقرأ في عدد ديسمبر من ] [لعام 2009، فيديو "اختطاف النطاقات الجماعي" من GoodGod)؛
• رقم ICQ الذي سيحدث منه الهجوم الأولي؛
• رقم ICQ الصادر لمتخصص تحسين محركات البحث (مع البيانات والتفاصيل ذات الصلة في المعلومات).

إذن، هناك "سلاح"، فلننتقل إلى الهجوم. اجذب انتباه الضحية: على سبيل المثال، قد يكون من المناسب القيام بموقف مثل الخلط بينها وبين شخص آخر. بعد ذلك، يمكنك الاعتذار وبدء محادثة غير رسمية وبناء الثقة تدريجيًا. دع الأمر يستغرق بعض الوقت حتى تعتاد (الضحية) عليك. بعد ذلك، تنتقل المحادثة إلى موضوع كسب المال - فأنت تخبرهم بما تكسبه على الإنترنت (لا تقل بالضبط حتى الآن، حتى لا تخيف محاورك). بعد مرور بعض الوقت، أخبرهم أن صديقًا يروج لمواقع الويب قد عرض عليك وظيفة: لست بحاجة إلى القيام بأي شيء خاص، ولكن يأتي حوالي 200 روبل يوميًا. إذا لم تأخذ الضحية نفسها زمام المبادرة، فاتخذ الخطوة الأولى واعرض عليها مقابلة صديق.

إذا كنت لا ترغب في التعرف على الفور، أوقف هذه المحادثة لفترة من الوقت، لأنه إذا ضغطت بشدة، فقد يكون التأثير عكسيًا؛ من الأفضل العودة إلى هذا لاحقًا تحت ذريعة مختلفة.

بالمناسبة، إذا كان الضحية خجولا بطبيعته، فلن تجبره على الاتصال بشخص غريب، لذلك سيتعين عليك الانخراط في "القوادة" حتى يتم التعارف. وهكذا، يلجأ العميل إلى صديق SEO (أي إليك). أظهر عدم ثقة صحيًا في البداية من خلال طرح أسئلة مثل "أين سمعت عن المشروع؟ من ساشا؟ آه، ساشا... نعم، أتذكر. حسنًا، سأخبرك الآن بجوهر العمل.» بعد ذلك، أخبرنا عن مشروع بحث ICQ، والترويج لموقع الويب، ووصف خيارات الدفع (200 روبل في اليوم أو 1400 في الأسبوع - دعه يختار الخيار المناسب له). ركز انتباه "العميل" باستمرار على التفاصيل الواقعية، فتشتت انتباهه عن الأفكار غير الضرورية. كلما كان الهجوم أكثر حدة وزادت المعلومات الجديدة، قل الوقت المتاح له للتفكير فيما يحدث. أخيرًا، قم بوصف مخطط الربح: دعه يختار موقعًا من القائمة المعدة في البداية، وابحث في whois عن البريد الإلكتروني المرتبط به الموقع (دعه يفعل ذلك بنفسه) وأدخله في حقل "البريد الإلكتروني" في ملفه الشخصي في ICQ. تأكد من توضيح أنه إذا تمت الإشارة إلى نفس البريد الإلكتروني في ICQ وبيانات المجال، فكلما زاد عدد مرات البحث عن ICQ في البحث، ارتفع تصنيف الموقع في محرك البحث. بمجرد أن يكمل الضحية عملية الربط، يمكنك استعادة كلمة المرور إلى البريد الإلكتروني المحدد، ويصبح رقم UIN ملكك!

إذا لم تصل كلمة المرور عن طريق البريد الإلكتروني، فهذا يعني أن الرقم يحتوي بالفعل على بريد أساسي، ويجب تنظيم عملية الاختطاف بطريقة مختلفة.

اختراق البريد
تعرف على إجابة السؤال السري
عادةً ما تكون الأسئلة المتعلقة بخوادم البريد متشابهة تمامًا:

• إسم الأم الأوسط؛
• الطبق المفضل؛
• اسم الحيوان الأليف؛
• رقم جواز السفر؛
• سؤال شخصي (اسم المعلم الأول، الفهرس، الفيلم المفضل، المؤدي المفضل).

بالنسبة لأسئلة مثل "الطبق المفضل" أو "اسم الكلب"، يمكنك اختيار الإجابة بنفسك إذا كان لديك حدس جيد. إذا لم يكن الحدس هو نقطة قوتك الرئيسية، أو أن السؤال يتطلب معرفة أكثر تحديدا، فسيتعين عليك العمل بجد. أولاً، نقوم بجمع أكبر قدر ممكن من المعلومات عن صاحب الصندوق. يعد رقم ICQ أو صفحة VKontakte أمرًا مرغوبًا فيه للغاية. ثم نضيف الضحية إلى قائمة جهات الاتصال، ونتعرف تحت أي ذريعة (هنا جميع المعلومات التي تم جمعها ستكون مفيدة لنا) ونبدأ "الهجوم" لمعرفة الإجابة التي نحتاجها على السؤال السري. في هذه المرحلة، الشيء الرئيسي هو عدم التسرع، يجب أن يكون كل شيء ثابتا وطبيعيا، حتى لا يكون لدى الضحية أي شك.

ما هي المخططات العمل؟ اسم الأم قبل الزواج - ابدأ موضوعًا عن شجرة العائلة أو ما هو الاسم الأخير المضحك الذي كانت تحمله والدتك قبل الزواج. الطبق المفضل - كل شيء واضح هنا. اسم الحيوان - تحدث عن الحيوانات الأليفة: الماضي والحاضر والمستقبل، حيث أن كلمة الكود يمكن أن تكون اسم أول هامستر تم التبرع به. سيكون الأمر أكثر صعوبة مع رقم جواز السفر. هنا يمكن أن تميل إلى شراء منتج نادر وغير مكلف، على سبيل المثال، يتم تسليمه مع الدفع عند التسليم، ولكن لتقديم طلب، تحتاج إلى تفاصيل جواز السفر ورمز الهوية. يمكنك معرفة اسم المعلمة الأولى من زملاء الضحية، أو التحدث معها مباشرة عن معلميها المفضلين؛ من الأسهل الحصول على الفهرس عن طريق تنزيل قاعدة بيانات المدينة، ويمكنك ببساطة معرفة المنطقة التي يعيش فيها من الضحية. الشيء الرئيسي هنا هو البراعة والخيال والصبر.

هناك فارق بسيط صغير ولكنه مهم. في بعض الأحيان، عند سؤال "الطبق المفضل"، قد تكون الإجابة، على سبيل المثال، رقم هاتف، أي تناقض كامل بين السؤال والإجابة. هنا سيتعين عليك بدء محادثة حول المجموعات السخيفة وعدم معنى الأسئلة الأمنية، ثم البدء من جديد، ويفضل أن يكون ذلك تحت حساب مختلف.

الاتصال بدعم العملاء
هذه الطريقة أكثر كثافة في العمل ومخيفة، ولكنها ضرورية إذا كانت الضحية لا ترغب في "الحقن"، أو إذا كان الصندوق "ميتًا"، أي أن المالك لم يقم بزيارته لفترة طويلة. للقيام بذلك، انتقل إلى صفحة الدعم الخاصة بخدمة البريد الإلكتروني المطلوبة واكتب رسالة تطلب فيها استعادة كلمة المرور المسروقة. على الأرجح، سيُطلب منك اسمك الأول واسم العائلة (أو البيانات التي تم تحديدها أثناء التسجيل) وتاريخ الميلاد والتاريخ التقريبي لتسجيل الصندوق (على الأقل سنة). لذلك، حاول معرفة أكبر قدر ممكن من المعلومات حول الضحية وصندوقها. ستساعدك محركات البحث والشبكات الاجتماعية والمدونات في ذلك.

التصيد
واحدة من أكثر الطرق فعالية للحصول على كلمة المرور دون أن يعلم صاحبها بذلك. يُعرض على الضحية رابط للمتابعة وإدخال اسم المستخدم وكلمة المرور الخاصة به. يتم إرسال هذه البيانات إلى ملف تقرير أو قاعدة بيانات (إذا كانت السرقة ضخمة) أو عبر البريد الإلكتروني. الحيلة الرئيسية هي إجبار الضحية على النقر على هذا الرابط. يمكن أن يكون النموذج أي شيء:

• رسالة "من الإدارة" (اقرأ: من خدمة بريد بعنوان مخادع) حول البريد العشوائي من صندوق البريد هذا. مثال: "عزيزي المستخدم، (اسم المستخدم)! لقد تلقى حسابك شكاوى بشأن البريد العشوائي، وبالتالي يحق للإدارة تعليق تشغيله أو حظره مؤقتًا. من الممكن أن يكون المهاجمون قد تمكنوا من الوصول إليه. لتأكيد ملكية حسابك، قم بإعادة التفويض باستخدام هذا الرابط (ارتباط تشعبي مزيف). إذا لم يكن هناك تأكيد خلال 5 أيام، فسيتم حظر حساب البريد. مع خالص التقدير، خدمة الدعم (اسم خدمة البريد)." اللعب على الخوف من فقدان الصندوق.
• معرفة هوايات الضحية، يمكنك الاهتمام بها. على سبيل المثال، رسالة تحتوي على موضوع محل اهتمام، حيث يتم تغطية جزء فقط من المعلومات، ويتم تغطية الباقي من خلال النقر على الرابط. يؤدي الرابط إلى صفحة تسجيل دخول زائفة، ولا يمكنك قراءة بقية المعلومات إلا بعد تسجيل الدخول.

مثال: "فقط في الفترة من 15 إلى 17 أغسطس 2010 في (مدينة الضحية) يوجد تدريب عملي على بناء علاقات فعالة بين الجنسين بنسبة 100%! لأول مرة، سيتم الكشف عن الأسرار المؤكدة للحياة الجنسية والجاذبية، والتي يمكنك رؤية بعضها هنا (رابط تشعبي). والباقي في التدريب ولا تنس أن النظرية هي مجرد نظرية. يمكنك تعلم كل شيء من خلال الممارسة. يتم إجراء التدريب من قبل المؤلف إيجور آسين (ارتباط تشعبي). بالنسبة لأولئك الذين قاموا بالتسجيل قبل 10 أغسطس، فإن الدرس الأول مجاني. للتسجيل، املأ هذا النموذج (رابط تشعبي)."

الزراعة
ويحدث أيضًا أن يكون الضحية ذكيًا بدرجة كافية (أو غير مبالٍ) حتى لا ينقر على الروابط. في هذه الحالة، سيتعين عليك اللجوء إلى أحصنة طروادة/النجارات/البرامج النصية لمعالجة ملف HOSTS، أو اختراق خادم DNS أو DHCP الخاص بمزوده. وفي الوقت نفسه، عندما يذهب المستخدم إلى الموقع للتحقق من البريد الإلكتروني، تحدث عملية إعادة توجيه إلى نفس البريد الإلكتروني تمامًا، فقط عملية تصيد احتيالي. دون أن يشك المستخدم في أي شيء، يقوم بإدخال بياناته، وباستخدام برنامج نصي للتفويض الداخلي، يدخل إلى بريده الإلكتروني "الأصلي"، ويتم إرسال تسجيل الدخول وكلمة المرور إلى بريدك الإلكتروني. الجميل هو أن الضحية لا تعرف حتى ما حدث.

في السنوات الأخيرة، اعتمد مجرمو الإنترنت الذين يستخدمون تقنيات الهندسة الاجتماعية أساليب أكثر تقدمًا تزيد احتمالية وصولهم إلى المعلومات الضرورية، وذلك باستخدام علم النفس الحديث لموظفي المؤسسة والأشخاص بشكل عام. الخطوة الأولى في مواجهة هذا النوع من الحيل هي فهم تكتيكات المهاجمين أنفسهم. دعونا نلقي نظرة على ثمانية أساليب رئيسية للهندسة الاجتماعية.

مقدمة

في التسعينيات، صاغ مفهوم "الهندسة الاجتماعية" كيفن ميتنيك، وهو شخصية بارزة في مجال أمن المعلومات، وهو هاكر خطير سابق. ومع ذلك، استخدم المهاجمون مثل هذه الأساليب قبل وقت طويل من ظهور المصطلح نفسه. الخبراء مقتنعون بأن تكتيكات مجرمي الإنترنت المعاصرين مرتبطة بالسعي لتحقيق هدفين: سرقة كلمات المرور وتثبيت البرامج الضارة.

يحاول المهاجمون استخدام الهندسة الاجتماعية باستخدام الهاتف والبريد الإلكتروني والإنترنت. دعونا نتعرف على الطرق الرئيسية التي تساعد المجرمين في الحصول على المعلومات السرية التي يحتاجونها.

التكتيك 1. نظرية المصافحات العشر

الهدف الأساسي للمهاجم الذي يستخدم الهاتف لأغراض الهندسة الاجتماعية هو إقناع ضحيته بأحد أمرين:

1. يتلقى الضحية اتصالاً من أحد موظفي الشركة؛
2. يتصل ممثل عن هيئة معتمدة (على سبيل المثال، ضابط إنفاذ القانون أو مدقق الحسابات).

إذا كلف المجرم نفسه بمهمة جمع البيانات حول موظف معين، فيمكنه أولاً الاتصال بزملائه، محاولًا بكل طريقة ممكنة استخراج البيانات التي يحتاجها.

هل تتذكر النظرية القديمة المتمثلة في المصافحات الست؟ حسنًا، يقول خبراء الأمن أنه لا يمكن أن يكون هناك سوى عشر "مصافحات" بين مجرم الإنترنت وضحيته. يعتقد الخبراء أنه في الظروف الحديثة، تحتاج دائمًا إلى الشعور بجنون العظمة قليلاً، لأنك لا تعرف ما يريده هذا الموظف أو ذاك منك.

عادةً ما يستهدف المهاجمون سكرتيرًا (أو شخصًا يشغل منصبًا مشابهًا) لجمع معلومات عن الأشخاص في أعلى الهرم الوظيفي. يلاحظ الخبراء أن النغمة الودية تساعد المحتالين بشكل كبير. ببطء ولكن بثبات، يلتقط المجرمون مفتاحك، مما يؤدي قريبًا إلى مشاركة معلومات لم تكن لتكشف عنها من قبل.

التكتيك 2. تعلم لغة الشركة

كما تعلمون، كل صناعة لها تركيباتها الخاصة. تتمثل مهمة المهاجم الذي يحاول الحصول على المعلومات اللازمة في دراسة ميزات هذه اللغة من أجل استخدام تقنيات الهندسة الاجتماعية بمهارة أكبر.

كل التفاصيل تكمن في دراسة لغة الشركة وشروطها وميزاتها. إذا كان مجرم الإنترنت يتحدث لغة مألوفة ومألوفة ومفهومة لأغراضه، فسوف يكتسب الثقة بسهولة أكبر وسيكون قادرًا على الحصول بسرعة على المعلومات التي يحتاجها.

التكتيك 3: استعارة الموسيقى لتعليق المكالمات أثناء المكالمات

لتنفيذ هجوم ناجح، يحتاج المحتالون إلى ثلاثة عناصر: الوقت والمثابرة والصبر. في كثير من الأحيان، يتم تنفيذ الهجمات الإلكترونية باستخدام الهندسة الاجتماعية ببطء وبشكل منهجي، ولا يتم جمع البيانات عن الأشخاص المناسبين فحسب، بل أيضًا ما يسمى بـ "الإشارات الاجتماعية". ويتم ذلك من أجل كسب الثقة وخداع الهدف. على سبيل المثال، يمكن للمهاجمين إقناع الشخص الذي يتواصلون معه بأنهم زملاء.

ومن ميزات هذا الأسلوب تسجيل الموسيقى التي تستخدمها الشركة أثناء المكالمات، بينما ينتظر المتصل الرد. ينتظر المجرم مثل هذه الموسيقى أولاً، ثم يسجلها، ثم يستخدمها لصالحه.

وهكذا، عندما يكون هناك حوار مباشر مع الضحية، يقول المهاجمون في مرحلة ما: "انتظر لحظة، هناك مكالمة على الخط الآخر". ثم يسمع الضحية موسيقى مألوفة ولا يتبقى لديه أدنى شك في أن المتصل يمثل شركة معينة. في جوهرها، هذه مجرد خدعة نفسية ذكية.

التكتيك 4. انتحال (استبدال) رقم الهاتف

غالبًا ما يستخدم المجرمون انتحال رقم الهاتف، مما يساعدهم على انتحال رقم المتصل. على سبيل المثال، قد يكون المهاجم جالسًا في شقته ويتصل بشخص محل اهتمام، ولكن معرف المتصل سيعرض رقمًا مملوكًا للشركة، مما يخلق الوهم بأن المحتال يتصل باستخدام رقم الشركة.

وبطبيعة الحال، سيقوم الموظفون المطمئنون في معظم الحالات بإعطاء معلومات حساسة، بما في ذلك كلمات المرور، للمتصل إذا كان معرف المتصل ينتمي إلى شركتهم. يساعد هذا الأسلوب أيضًا المجرمين على تجنب التتبع لأنه إذا اتصلت مرة أخرى بهذا الرقم، فسيتم إعادة توجيهك إلى الخط الداخلي للشركة.

التكتيك الخامس: استخدام الأخبار ضدك

ومهما كانت عناوين الأخبار الحالية، يستخدم المهاجمون هذه المعلومات كطعم للبريد العشوائي والتصيد الاحتيالي والأنشطة الاحتيالية الأخرى. فلا عجب أن الخبراء لاحظوا مؤخرًا زيادة في عدد رسائل البريد الإلكتروني العشوائية، والتي تتعلق موضوعاتها بالحملات الرئاسية والأزمات الاقتصادية.

ومن الأمثلة على ذلك هجوم التصيد الاحتيالي على أحد البنوك. البريد الإلكتروني يقول شيئا من هذا القبيل:

"يقوم بنك آخر [اسم البنك] بالاستحواذ على البنك الذي تتعامل معه [اسم البنك]. انقر فوق هذا الرابط للتأكد من تحديث معلوماتك المصرفية حتى يتم إغلاق الصفقة."

وبطبيعة الحال، هذه محاولة للحصول على معلومات يمكن للمحتالين من خلالها تسجيل الدخول إلى حسابك أو سرقة أموالك أو بيع معلوماتك إلى طرف ثالث.

التكتيك 6: تعزيز الثقة في المنصات الاجتماعية

ليس سراً أن Facebook وMyspace وLinkedIn من مواقع التواصل الاجتماعي المشهورة للغاية. وفقا لأبحاث الخبراء، يميل الناس إلى الثقة في مثل هذه المنصات. تدعم حادثة التصيد الاحتيالي الأخيرة التي استهدفت مستخدمي LinkedIn هذه النظرية.

وبالتالي، فإن العديد من المستخدمين سوف يثقون في البريد الإلكتروني إذا كان يدعي أنه من الفيسبوك. أحد الأساليب الشائعة هو الادعاء بأن الشبكة الاجتماعية تخضع للصيانة وأنك بحاجة إلى "النقر هنا" لتحديث المعلومات. ولهذا السبب يوصي الخبراء بأن يقوم موظفو المؤسسة بإدخال عناوين الويب يدويًا لتجنب روابط التصيد الاحتيالي.

ومن الجدير بالذكر أيضًا أنه في حالات نادرة جدًا، ستطالب المواقع المستخدمين بتغيير كلمة المرور الخاصة بهم أو تحديث حساباتهم.

التكتيك 7. القرفصاء

تتميز هذه التقنية الخبيثة بحقيقة أن المهاجمين يستخدمون الأخطاء البشرية، أي الأخطاء عند إدخال عنوان URL في شريط العناوين. وبالتالي، من خلال ارتكاب خطأ يتكون من حرف واحد فقط، يمكن أن ينتهي الأمر بالمستخدم إلى موقع ويب تم إنشاؤه خصيصًا لهذا الغرض من قبل المهاجمين.

يقوم مجرمو الإنترنت بتحضير الأرضية بعناية لعملية السطو المطبعي، لذلك سيكون موقع الويب الخاص بهم مشابهًا تمامًا للموقع الشرعي الذي أردت زيارته في الأصل. وبالتالي، إذا أخطأت في كتابة عنوان الويب الخاص بك، فسينتهي بك الأمر إلى نسخة من موقع شرعي، والغرض منه إما بيع شيء ما، أو سرقة البيانات، أو توزيع البرامج الضارة.

التكتيك 8. استخدام FUD للتأثير على سوق الأوراق المالية

FUD هو أسلوب من أساليب التلاعب النفسي المستخدم في التسويق والدعاية بشكل عام، والذي يتكون من تقديم معلومات حول شيء ما (على وجه الخصوص، منتج أو مؤسسة) بطريقة تزرع عدم اليقين والشك لدى الجمهور حول صفاته وبالتالي تسبب الخوف منه.

وفقًا لأحدث الأبحاث التي أجرتها شركة Avert، فإن الأمان ونقاط الضعف في المنتجات وحتى الشركات بأكملها يمكن أن تؤثر على سوق الأوراق المالية. على سبيل المثال، قام الباحثون بدراسة تأثير أحداث مثل Microsoft Patch Tuesday على أسهم الشركة، ووجدوا تقلبًا ملحوظًا كل شهر بعد نشر المعلومات حول نقاط الضعف.

يمكنك أيضًا أن تتذكر كيف نشر المهاجمون في عام 2008 معلومات كاذبة حول صحة ستيف جوبز، مما أدى إلى انخفاض حاد في أسهم شركة Apple. هذا هو المثال الأكثر شيوعًا لاستخدام FUD لأغراض ضارة.

بالإضافة إلى ذلك، تجدر الإشارة إلى استخدام البريد الإلكتروني لتنفيذ تقنية "الضخ والتفريغ" (مخطط للتلاعب بسعر الصرف في سوق الأوراق المالية أو سوق العملات المشفرة مع انهيار لاحق). في هذه الحالة، يمكن للمهاجمين إرسال رسائل بريد إلكتروني تصف الإمكانات المذهلة للأسهم التي اشتروها مسبقًا.

وبالتالي، سيحاول الكثيرون شراء هذه الأسهم في أقرب وقت ممكن، وسوف يرتفع سعرها.

الاستنتاجات

غالبًا ما يكون مجرمو الإنترنت مبدعين للغاية في استخدامهم للهندسة الاجتماعية. وبعد التعرف على أساليبهم، يمكننا أن نستنتج أن الحيل النفسية المختلفة تساعد المهاجمين بشكل كبير على تحقيق أهدافهم. وبناءً على ذلك، يجب عليك الانتباه إلى أي شيء صغير يمكن أن يكشف عن غير قصد محتالًا، والتحقق من المعلومات المتعلقة بالأشخاص الذين يتصلون بك، خاصة إذا تمت مناقشة معلومات سرية.