في ظل انفجار ثورة المعلومات وعالم متغير بوتيرة أكبر مما نتصور أصبح نادرا أن تجد منشأة أو شركة لا تعتمد على التكنولوجيا الحديثة في إدارتها أو استخدام الإنترنت وخصوصا إنترنت الأشياء (IoT) والذكاء الاصطناعي (AI) والتحول الرقمي، أصبح العالم الرقمي عالما واسعا يتسع لكافة البشر أينما كانوا ومهما كانوا، فلم تعد ثورة الاتصالات حكراً على أحد، بل تعدت في حدودها من لديه معرفة بها أو من هو بدون معرفة بها، فحينما نسمع بجريمة ما أو سرقة فإننا ننظر إلى صورة الكم الهائل من الكسر والتخريب والضرر المادي والبشري الذي لم يعد من السهل رؤيته اليوم وخاصة في العالم المُرتبط بتقنية المعلومات، وثورة الاتصالات والتحول الرقمي.
- اقرأ أيضا: تسريب أرقام هواتف ما يقرب من (500) مليون مستخدم لتطبيق (WhatsApp) حول العالم وعرضها للبيع
لقد أصبح العالم اليوم هو العالم الذي تكون فيه المعلومات هي المحورَ الأهم، وحمايتها هي القضية العظمى، لهذا أصبحنا نجد كثيرا من البرامج والتقنيات والأجهزة المادية والتقنية الذكية وكما كبيرا من من أدوات وبرامج الحماية بالشركات، لتحقيق الأمن المعلوماتي لها، ولكنها بالرغم من كل ذلك ما زالت غير آمنه، وما زالت هذه الأساليب التكنولوجية الأمنُية المُحيطة بها وهماً يمكن اجتيازها في أي وقت وزمن، وهذا ليس بسبب ضعفها، ولكن بسبب العنصر البشرى الذي يقع أحيانا ضحية لأساليب وطرق الهندسة الاجتماعية.
واليوم، وفي ظل انتشار شبكات التواصل الاجتماعي واختلاف أنماطها من مُحادثات سواء كانت كتابية، أو صوتية أو فيديو، أو بثا مباشرا وغيرها الكثير، والتي تهدف إلى اقتحام الخصوصية وسحب أكبر قدر من المعلومات، والتي قد يعتبرها البعض أمراً غير مُهم، ظهر شكل جديد من الاختراق يُعرف باسم الهندسة الاجتماعية (social engineering) والتي لا تعتمد على دراسة أو أساسيات برمجية أو أكاديمية لمفاهيم الاختراق الإلكتروني، لكنها تحتاج إلى مهارة وفن لاختراق عقول البشر وجمع أكبر قدر من المعلومات عن الضحايا من أجل أغراض لا أخلاقية مثل: السرقة أو التشهير أو نشر الرذائل.
والركيزة التي انطلقت منها هي اختراق الحلقة الأضعف في سلسلة أمن المعلومات، ألا وهي العنصر البشري من خلال مجموعة من التقنيات المستخدمة لجعل المستخدمين يقومون بعمل ما أو يفصحون عن معلومات سرية وشخصية؛ وصاحب هذه التقنيات هدفه الحصول على غايته، ومن هنا يدور الحديث عن أن الهندسة الاجتماعية تعتبر جريمة إلكترونية ضمن الجرائم المعلوماتية؛ عملية سرقة المعلومات من البشر التي ليس لديها أي تفاعل مع النظام المستهدف أو الشبكة، فهو يعتبر بمثابة هجوم غير فني، لذا تعتبر الهندسة الاجتماعية فن إقناع الهدف بالكشف عن المعلومات، وقد يكون بشكل شخصي بالتفاعل مع الهدف مباشرة أو إلكترونياً لإقناع الهدف، وتعتبر منصات التواصل الاجتماعي المجال الأكبر للهندسة الاجتماعية، هذه هي الحقيقة التي لا يهتم بها الكثير من المستخدمين أو أنهم غير مدركين لها، حيث تعتبر بيانات معلومات التواصل الاجتماعي الخاصة بهم ذات الأهمية الكبرى.
ومن هنا نستطيع وصف الهندسة الاجتماعية أنها مصطلح واسع النطاق لمجموعة واسعة من التقنيات المُستخدمة من قبل الهجمات الإجرامية التي تستغل العنصر البشري.
أساليب تجعلك ضحية لهجمات الهندسة الاجتماعية:
واحدة من نقاط الضعف الرئيسية فينا التي تؤدي إلى هذا النوع من الهجوم هو “الثقة”، يثق المستخدم بمستخدم آخر ولا يحمي بياناته منه، هذا قد يؤدي إلى هجوم من قبل المستخدم.
المنظمات والشركات عرضة لهذا الهجوم أيضاً لأنها غير مدركة لهجمات الهندسة الاجتماعية، وتهمل كثيراً الإجراءات المضادة لها، وقد يقع بعض الموظفين والمستخدمين بشكل عام، للإفصاح عن أي معلومة قد تخلق ثغرة أمنية تؤدي إلى سرقة بياناتهم، لذا يجب على كل منظمة تدريب موظفيها ليكونوا على دراية بالهندسة الاجتماعية، وعلى كل منظمة تأمين بنيتها التحتية ماديًا أيضاً.
مراحل هجوم الهندسة الاجتماعية
هجمات الهندسة الاجتماعية لتنفيذ الجريمة الإلكترونية ليست معقدة تتطلب معرفة تقنية قوية، قد يكون المهاجم شخصية غير تقنية، لكنه ينجح بسرقة المعلومات من الناس، ويتم تنفيذ الهجمات عبر عدة مراحل:
أولاً: البحث
تتضمن مرحلة البحث جمع أكبر كمية من المعلومات حول الهدف أو المنظمة، مثلاً قد يتم جمعها عن طريق المستندات من صندوق القمامة، أو المسح الضوئي ومواقع الويب الخاصة بالمنظمة، وإيجاد المعلومات على الإنترنت، وجمع المعلومات عن الشخص المستهدف أو المؤسسة المستهدفة من الموظفين بشكل غير مباشر.
ثانياً: اختيار الهدف
في مرحلة اختيار الهدف يقوم المهاجم بتحديد الهدف واختيار الشخص أو الموظف الأفضل لتنفيذ الهجمات الذي يكون من السهل جلب المعلومات منه.
ثالثاً: بناء العلاقة بين المهاجم والهدف
هي من أكثر المراحل أهمية؛ لأنها تتضمن بناء علاقة مع الهدف، وبناء الثقة يجعل الهدف يعطي معلومات أكثر تفيد المهاجم.
رابعاً: التنفيذ والاستغلال
من خلال المعلومات التي تم جلبها من الهدف بناء على المراحل السابقة؛ يتم وضع الخطة التي عليها سيسر الهجوم لتنفيذ الجريمة الإلكترونية والبدء بالتنفيذ.
خامسا: أنواع وأساليب هجمات الهندسة الاجتماعية:
التصيد الاحتيالي
النوع الأكثر شيوعا من هجوم الهندسة الاجتماعية، حيث يقوم المهاجم بإعادة إنشاء بوابة موقع على شبكة الإنترنت أو يحصل على دعم من شركة مشهورة ويرسل الرابط للضحايا عبر رسائل البريد الإلكتروني أو المنابر الإعلامية والاجتماعية.
انتحال الشخصية
يمكن للمهاجم أن ينشئ مثلا حسابا على فيسبوك، أو بريدا إلكترونيا، باسم مطابق لاسم صديق لك أو لاسم شخص تعرفه بنية انتحال الشخصية، وهو مثال على الهندسة الاجتماعية بهدف الحصول على كلمة سر لحساب شخص ما في فيسبوك واستغلاله لانتحال شخصيته.
استغلال الشائعات
من المعروف أن شبكات التواصل الاجتماعي ومنها عملاق التواصل الاجتماعي فيسبوك مصدرا من مصادر انتشار الشائعات وبشكل سريع جدا، بالتالي باتت المساهم الأكبر في نشر الشائعات بشكل أو بآخر ومصدر تسهيل عمل من ينوي استغلال الشائعات لتغليف روابطهم الخبيثة بها.
استغلال عواطف الضحية وطباعه الشخصية
يقصد بها استخدام نصوص أو صور تخاطب عاطفة الضحية وتؤدي إلى سقوطه في فخ فتح وتشغيل الملف الخبيث أو فتح رابط خبيث، ويمكن أن تكون العواطف سلبية كالحقد، الانتقام، أو عواطف إيجابية كالحب والإعجاب، ويمكن استغلال فضول المستهدف أو بحثه عن علاقة عاطفية.
استغلال المواضيع الساخنة
يستغل المهاجمون المواضيع الساخنة لتمرير عمليات احتيالهم بعكس الشائعات، وتنتشر المواضيع الساخنة على وسائل الإعلام ذات المصداقية العالية على شكل أخبار عاجلة عادة بسرعة، وعلى وسائل التواصل الاجتماعي بشكل أسرع.
استغلال موضوع الأمن الرقمي وضعف الخبرة التقنية للضحية
هذا النوع من الهندسة الاجتماعية يدعي المهاجم أن رابطا ما أو ملفا ما سيسهم في حماية جهاز الضحية، في حين أنه في حقيقة الأمر الملف أو الرابط خبيث، ويسهم في تدمير الجهاز.
استغلال السمعة الجيدة لتطبيقات معينة
يدعي المهاجم أن رابطا أو ملفا هو نفسه النسخة المحدثة من تطبيق معين، لكنه في الحقيقة يتضمن ملفا خبيثا، أو يقوم فيها الرابط بتحميل الملف الخبيث وتنصيبه ثم تحميل التطبيق الحميد الحقيقي وتنصيبه بحيث يعتقد الضحية أنه قام بتنصيب التطبيق الحميد.
الاحتيال عبر مكالمات هاتفية
يزعم المهندس الاجتماعي بأنه مندوب شركة ما تقوم بعمل استبيانات لأهداف بحثية، أو حتى مندوب حكومي يهدف إلى جمع الإحصاءات، أو مندوب مبيعات يحاول إقناع الضحية بشراء منتج ما عبر أسئلة تبدو بريئة للضحية.
الهندسة الاجتماعية المعاكسة
تستخدم الهاتف غالبا والوضع هنا أخطر، إذ يدعي المهاجم بأنه شخص ذو منصب وصلاحية في المؤسسة نفسها، مما يجعل الموظف الأصغر مرتبة يرتبك ويخبره بما يريد، إلا أنه يعتمد على مدى التحضير المسبق وحجم المعلومات التي بحوزة المهاجم، وكذا ارتباك وذكاء الضحية.
البحث في المهملات
توجد الكثير من المعلومات الهامة التي يمكن الحصول عليها من سلة مهملات الشخص أو الضحية، التي يمكن للمهاجم استغلالها للحصول على بعض معلومات الضحية.
الهندسة الاجتماعية
يمكن أن تكون في أي مكان على شبكة الإنترنت، ويعرف هذا النوع من هجوم الهندسة الاجتماعية على أنها إعادة نظام الرد الآلي من خلال الرقم المجاني وخداع الناس بالاتصال برقم الهاتف وإدخال التفاصيل الخاصة بهم.
رسائل البريد الإلكتروني
قد تصل إلى الضحية رسالة تدعي الفوز بجائزة ما، أو تدعي أنها من جهة أهلية مثل البنك أو حكومية، وتطلب إدخال البيانات بشكل مباشر، عبر صفحة تبدو للمستخدم العادي وكأنها غير مزورة.
الإنترنت بشكل عام
تشكل الشبكة العنكبوتية منجما ضخما للمعلومات، وقد تضاعف حجم هذا المنجم مع ظهور الشبكات الاجتماعية التي أسرف كثير من مستخدميها في عرض معلوماتهم الشخصية ومشاركتها مع الآخرين من خلالها، مما يسهل كثيرا عمل المهندس الاجتماعي.
لماذا يلجأ معظم الهاكر لاستخدام الهندسة الاجتماعية
يلجأ معظم الهاكر لاستخدام الهندسة الاجتماعية للعديد من الأسباب التي سنذكر بعضها فيما يلي، ما عليك هو اتباع الموضوع لمعرفة ماهية لجوء الهاكرز إلى استخدام الهندسة الاجتماعية وهذه أبرزها:
سهولة الإعداد والتنفيذ
أصبح من الصعب اختراق النظام واكتشاف ثغراته، وخاصة إذا كان ذلك النظام محميا من قبل أصحابه، إلا أن كل تلك المصاعب تزول إن وجدت شخصا يوصلك لها، فالهندسة الاجتماعية لا تتطلب كثيرا من الهاكر سوى أن يتحلى ببعض الأمور مثل الود وحسن الأسلوب والثقة والتحليل الجيد للضحية ليسهل عليه إقناعها، وهو أمر لا يحتاج إلى تعليم أو تدريب.
صعوبة الكشف والتعقب
تعتبر جرائم الهندسة الاجتماعية من الجرائم النظيفة التي لا يوجد لها أدلة، أو أجهزة، فهي تعتمد كليا على البشر، ولذلك نجد أن من الصعب جدا كشفها.
قله الحماية والوعي لها
الكثير من الشركات تحرص على الحماية المادية للشركة، سواء ما يتعلق بالأقفال والأمن البشري أو بتدريب موظفيها، وفي المقابل ربما تجهل كثيرا عن الحماية من الهندسة الاجتماعية، فتعتقد معظم الشركات أن الأمن مسؤولية القسم الخاص به، ولكنها في الحقيقة على كل موظف مسؤولية حماية نفسه وحماية المؤسسة، فالمعلومات التي تبدو صغيرة وغير مهمة، قد تكون نقطة هجوم الهاكر ومفتاحه الرئيسي وثغرة يقتنيها.
سادسا: الحماية من هجمات الهندسة الاجتماعية
من الملاحظ أن مُعدل نجاح الجرائم الحاسوبية يرتفع بشكل مُطرد، وهو أمر راجع إلى زيادة مُستوى الهندسة الاجتماعية، والعروض التي يتم تقديمها من طرف جهات خبيثة. لهذا على الشركات أن تظل مُدركة للتهديد الذي يتربص بها، بحيث تكون قادرة على الاستجابة للهجمات، عبر توفير الضمانات التقنية وغير التقنية التي يُمكن تنفيذها لخفض المخاطر المُرتبطة بالهندسة الاجتماعية إلى مسُتوى مقبول، وهنا تلجأُ بعض الشركات إلى إضافة طبقات مُتعددة لمُخططاتها الأمنية حتى إذا فشلت الآلية في الطبقة الخارجية، هناك آلية واحدة في الطبقة الداخلية يمكن أن تُساعد في منع تهديد قد يتحول إلى كارثة (التخفيف من حدة المخاطر)، وهذا المفهوم المعروف بالدفاع متُعدد الطبقات أو الدفاع في العمق.
عناصر تتضمن مزيجاً من التدابير الاحترازية:
إنشاء برنامج وعي أمني بخطورة هجمات الهندسة الاجتماعية.
إدراك قيمة المعلومات التي يتم السؤال عنها.
عدم استقبال ملفات عبر البريد الإلكتروني إلا من أشخاص موثوق منهم وفحصها جيداً قبل فتحها أيضاً.
عدم فتح أي روابط إلكترونية قبل فحصها.
الحفاظ على تحديث البرامج المتوفرة على النظام.
التفكير قبل الرد والتفكير عند الحديث مع أي شخص.
وضع صلاحيات على الموظفين في الشركة.
إضافة برمجيات على المتصفحات لكشف الروابط الخبيثة.
التبليغ الفوري عن أي هجوم تتعرض له، ويمكن الاستعانة برابط التبليغ لإزالة المحتوى المخالف في فيسبوك Facebook.
