الهندسة الاجتماعية فن اختراق العقول
تقام في أمريكا في مدينة لاس فيغاس مسابقة هدفها زيادة الوعي الأمني بشكل سنوي، بحيث يتبارى فيها الهاكرز ممن يعتمدون الأدوات التقنية فقط ومن يستخدمون الهندسة الاجتماعية، وذلك لاختراق الشركات أو المؤسسات الحكومية، ويعطى هؤلاء اسم الهدف قبل المسابقة بفترة وجيزة، لكنها كافية لجمع المعلومات الضرورية عنه، كما تتم دعوة رؤساء هذه الشركات أو الأشخاص المسؤولين عن الأمن المعلوماتي فيها ليكونوا حاضرين وقت قيام الهاكرز باختراق دفاعاتهم أمام أعينهم وعن بعد ويلاحظ بأنه غالبا ما ينجح المهندس الاجتماعي في مهمته بشكل أسرع من التقني.
لنكتشف ذلك !
ما هي الهندسة الاجتماعية Social Engineering ؟
قررنا أن نعرف الأشخاص الذين لا يعرفون معنى الهندسة الاجتماعية أولا، وتعرف الهندسة الاجتماعية بكونها الاسم الذي يطلق على نمط من الاحتيال بحيث يقوم على استغلال نقاط الضعف في ذهن الضحية، بحيث أصبح هذا الشكل من اختراق الخصوصيات والمعلومات التي يفترض فيها أن تكون محمية موضع دراسات علمية تحاول الكشف عن وسائله وأسلحته، لما يتضمنه من مخاطر على أمن الشركات والأعمال خاصة، حتى إن البعض يرى أن خطورة المهندسين الاجتماعيين باتت تفوق خطورة قراصنة المعلومات الإلكترونية على الويب.
الهندسة الاجتماعية Social Engineering تقوم على مجموعة من التقنيات المستخدمة لجعل الناس يؤدون عملا يفتح ثغرة أمنية أو يفضون بمعلومات سرية كما أنها تستعمل الكثير من التقنيات من بينها
- قد تستخدم في عمليات احتيال عبر الإنترنت أو على أرض الواقع.
- تركز بشكل أساسي على مهاجمة الإنسان.
- استغلال نقاط ضعفه للحصول على المعلومات المهمة التي تمكن المهندس الاجتماعي من اختراق المباني أو الأنظمة أو الحسابات لتحقيق منافع معنوية أو مادية أو أمنية.
- لا يحتاج المهاجم إلى مهارات تقنية عالية كما هي الحال في الهاكرز والكراكرز الذين غالبا ما يتميزون بمهارات برمجية ولديهم معرفة حاسوبية واسعة بالعتاد وأنظمة التشغيل والشبكات وثغراتها الأمنية المرتبطة بالتقنية.
- ما يحتاجه المهاجم هنا ليست المعرفة التقنية وإنما المهارات الاجتماعية أي الذكاء الاجتماعي ومهارات التسويق والإقناع لخداع الضحية بحيث يأخذ منها ما يريده دون إثارة الشبهات.
- إن حصول المهندس على المعلومات في حد ذاته بهذه الطريقة لا يعد عملا غير قانوني، إذ لا يوجد تشريع يمنع الأشخاص من إفشاء أسرارهم الشخصية ولكن الأمر مختلف بالنسبة لأسرار العمل.
- الأهم من ذلك هو أنه لا يوجد تشريع ولا قانون يجرم الاستماع لشخص يختار أن يكشف لك عن معلوماته.
كيف تعمل الهندسة الاجتماعية Social Engineering؟
يعتبر اختراق العقول البشرية أسهل بكثير من اختراق الأنظمة الإلكترونية، كيف ذلك؟ إن اللعب على نقاط ضعف الإنسان مثل
- رغبات الإنسان
- شهوات الإنسان
- حب الإنسان لمساعدة الآخرين.
- الميل إلى الظهور بمظهر العالم وصاحب السلطة أو المعرفة.
إن فلسفة الهندسة الاجتماعية تقوم على تجريدنا لبعض الوقت من تفكيرنا المنطقي الحذر الذي نواجه به العالم فنحمي به أنفسنا وممتلكاتنا وأسرنا، وخاصة حينما نكون مشغولين عقليا بإحدى الأشياء مثل
- الإقناع أو التملق
- الإيحاء أو الدعابة
- التحفيز أو الإغراء
- متعبين أو انتباهنا مشتت
وغيرها من المهارات الاجتماعية، فإن ذلك يمنعنا من رؤية المخاطر المحتملة بشكل كبير ما يجعلنا نغرق بكل سهولة.
إن عمل الهندسة الإجتماعية يعمل بشكل كبير على بعض الأساسيات والمراحل الضرورية التي يقوم بها المهندس الاجتماعي أو المهاجم، أهمها فيما يلي:
- جمع المعلومات تعتبر هذه هي المرحلة الأولى، من أجل الحصول على معلومات أكثر عن الضحية المقصودة، ويتم جمع المعلومات من مواقع الشركة ومنشورات أخرى.
- استخدام المعرفة المكستبة المعلومات التي تم تحصيلها من الأفراد أو المؤسسات.
- خطة الهجوم في هاته المرحلة يحدد المهاجمون كيفية تنفيذ الهجوم، والأدوات والوسائل التي يمكن استخدامها.
- أدوات الاستحواذ برامج الكمبيوتر التي يستخدمها المهاجم عند بدء الهجوم.
- الهجوم استغلال نقاط الضعف في النظام المستهدف فردا كان أو شركة.
أقسام الهندسة الاجتماعية Social Engineering
بعد التعرف على الهندسة الاجتماعية سنستعرض الآن بعض الأقسام التي تعتمد عليها الهندسة الإجتماعية، بحيث يمكن تصنيفها الى قسمان، الأولى الهندسة القائمة على أساس بشري أو إنساني، والثانية الهندسة القائمة على أساس تقني كالبرامج والتقنيات التي تساعد الأشخاص الذين يسعون للحصول على المعلومات وبث الإشاعات للوصول إلى المعلومة التي يريدون استغلالها وأبرز الأمثلة على ذلك ما يلي
الاحتيال الصوتي Vising
يعتمد هذا النوع على برنامج War Dialler الذي يقوم بالاتصال بالعديد من أرقام الهواتف المختلفة في المنطقة، ويبدأ الخطر من لحظة رفع السماعة والإجابة على الرسالة الآلية التي تخبره أن بطاقته الائتمانية تخضع للسرقة وعمليات احتيالية وطلب رقم البطاقة، وبعض البيانات السرية وحينها يحصل الهاكر على ما يريد.
الرسائل الاقتحامية المزعجة Spam
ُاستخدام الرسائل الاقتحامية الأسلوب الأكثر شيوعا حيث يتم إرسال نفس البريد الإلكتروني لملايين المستخدمين مع طلب لتعبئة التفاصيل الشخصية، ويطلب من المستخدم إدخال بيانات الاعتماد لتحديث معلومات الحساب أو تغيير التفاصيل أو التحقق من الحسابات.
الاحتيال الإلكتروني phishing
محاولة الحصول على معلومات حساسة، مثل أسماء المستخدمين وكلمات المرور وتفاصيل بطاقة الائتمان باستخدام البريد الإلكتروني، ومواقع البيع بالمزاد أو غيرها
برامج مهمة
روابط تحميل برامج بحيث تكون مدعومة بكلمات إقناعية عن أهمية ذلك البرنامج المهكر للجهاز والسارق للمعلومات الحساسة.
أساليب الهندسة الاجتماعية Social Engineering
كيف يقوم المهندس الاجتماعي باختراقك؟ إنه الأمر الذي سنتناوله في الفقرات التالية، بحيث سنستعرض بعض الأساليب التي يعتمد عليها المهاجم في اختراق المحتوى الخاص بك أو بشركتك بستدراجك بالاعتماد عل الكثير من الأساليب أهمها
التصيد الاحتيالي
النوع الأكثر شيوعا من هجوم الهندسة الاجتماعية حيث يقوم المهاجم بإعادة إنشاء بوابة موقع على شبكة الإنترنت أو يحصل على دعم من شركة مشهورة ويرسل الرابط للضحايا عبر رسائل البريد الإلكتروني أو المنابر الإعلامية والاجتماعية.
انتحال الشخصية
يمكن للمهاجم أن ينشئ مثلا حسابا على فيسبوك، أو بريد إلكتروني، باسم مطابق لاسم صديق لك أو لاسم شخص تعرفه بنية انتحال الشخصية، وهو مثال على الهندسة الاجتماعية بهدف الحصول على كلمة سر لحساب شخص ما في فيسبوك واستغلاله لانتحال شخصيته.
استغلال الشائعات
من اامعروف أن شبكات التواصل الاجتماعي ومنها فيسبوك مصدرا من مصادر انتشار الشائعات وبشكل سريع جدا، بالتالي باتت المساهم الأكبر في نشر الشائعات بشكل أو بآخر مصدر تسهيل عمل من ينوي استغلال الشائعات لتغليف روابطهم الخبيثة بها.
استغلال عواطف الضحية وطباعه الشخصية
يقصد بها استخدام نصوص أو صور تخاطب عاطفة الضحية وتؤدي إلى سقوطه في فخ فتح وتشغيل الملف الخبيث أو فتح رابط خبيث، ويمكن أن تكون العواطف سلبية كالحقد الانتقام … أو عواطف إيجابية كالحب والإعجاب … ويمكن استغلال فضول المستهدف أو بحثه عن علاقة عاطفية …
استغلال المواضيع الساخنة
يستغل المهاجمون المواضيع الساخنة لتمرير عمليات احتيالهم بعكس الشائعات، وتنتشر المواضيع الساخنة على وسائل الإعلام ذات المصداقية العالية على شكل أخبار عاجلة عادة بسرعة، وعلى وسائل التواصل الاجتماعي بشكل أسرع.
استغلال موضوع الأمن الرقمي وضعف الخبرة التقنية للضحية
هذا النوع من الهندسة الاجتماعية يدعي المهاجم أن رابطا ما أو ملفا ما سيسهم في حماية جهاز الضحية، في حين أنه في حقيقة الأمر الملف أو الرابط خبيث، ويسهم في تدمير الجهاز.
استغلال السمعة الجيدة لتطبيقات معينة
يدعي المهاجم أن رابطا أو ملفا هو نفسه النسخة المحدثة من تطبيق معين، لكنه في الحقيقة يتضمن ملفا خبيثا، أو يقوم فيها الرابط بتحميل الملف الخبيث وتنصيبه ثم تحميل التطبيق الحميد الحقيقي وتنصيبه بحيث يعتقد الضحية أنه قام بتنصيب التطبيق الحميد.
الاحتيال عبر مكالمات هاتفية
يزعم المهندس الاجتماعي بأنه مندوب شركة ما تقوم بعمل استبيانات لأهداف بحثية، أو حتى مندوب حكومي يهدف إلى جمع الإحصاءات، أو مندوب مبيعات يحاول إقناع الضحية بشراء منتج ما عبر أسئلة تبدو بريئة للضحية.
الهندسة الاجتماعية المعاكسة
تستخدم الهاتف غالبا والوضع هنا أخطر، إذ يدعي المهاجم بأنه شخص ذو منصب وصلاحية في المؤسسة نفسها، مما يجعل الموظف الأصغر مرتبة يرتبك ويخبره بما يريد، الا أنه يعتمد على مدى التحضير المسبق وحجم المعلومات التي بحوزة المهاجم، وكذا ارتباك وذكاء الضحية.
البحث في المهملات
توجد الكثير من المعلومات الهامة التي يمكن الحصول عليها من سلة مهملات الشخص أو الضحية، التي يمكن للمهاجم استغلالها للحصول على بعض معلومات الضحية.
الهندسة الاجتماعية
يمكن أن تكون في أي مكان على شبكة الإنترنت، ويعرف هذا النوع من هجوم الهندسة الاجتماعية على أنها إعادة نظام الرد الآلي من خلال الرقم المجاني وخداع الناس بالاتصال برقم الهاتف وإدخال التفاصيل الخاصة بهم.
رسائل البريد الإلكتروني
قد تصل إلى الضحية رسالة تدعي الفوز بجائزة ما، أو تدعي أنها من جهة أهلية مثل البنك أو حكومية، وتطلب إدخال البيانات بشكل مباشر، عبر صفحة تبدو للمستخدم العادي وكأنها غير مزورة.
الإنترنت بشكل عام
تشكل الشبكة العنكبوتية منجما ضخما للمعلومات، وقد تضاعف حجم هذا المنجم مع ظهور الشبكات الاجتماعية التي أسرف كثير من مستخدميها في عرض معلوماتهم الشخصية ومشاركتها مع الآخرين من خلالها، مما يسهل كثيرا عمل المهندس الاجتماعي.
لماذا يلجأ معظم الهاكر لاستخدام الهندسة الاجتماعية
يلجأ معظم الهاكر لاستخدام الهندسة الاجتماعية للعديد من الأسباب التي سنذكر بعضها فيما يلي، ما عليك هو اتباع الموضوع لمعرفة ماهية لجوء الهكرز الى استخدام الهندسة الاجتماعية وهذه أبرزها
سهولة الإعداد والتنفيذ
أصبح من الصعب اختراق النظام واكتشاف ثغراته، وخاصة إذا كان ذلك النظام محميا من قبل أصحابه، إلا أن كل تلك المصاعب تزول إن وجدت شخصا يوصلك لها، فالهندسة الاجتماعية لا تتطلب كثيرا من الهاكر سوى أن يتحلى ببعض الأمور مثل الود وحسن الأسلوب والثقة والتحليل الجيد للضحية ليسهل عليه إقناعها، وهو أمر لا يحتاج إلى تعليم أو تدريب.
صعوبة الكشف والتعقب
تعتبر جرائم الهندسة الاجتماعية من الجرائم النظيفة التي لا يوجد لها أدلة، أو أجهزة، فهي تعتمد كليا على البشرولذلك نجد أن من الصعب جدا كشفها.
قله الحماية والوعي لها
الكثير من الشركات تحرص على الحماية المادية للشركة، سواء ما يتعلق بالأقفال والأمن البشري أو بتدريب موظفيها، وفي المقابل ربما تجهل كثيرا عن الحماية من الهندسة الاجتماعية، فتعتقد معظم الشركات أن الأمن مسؤولية القسم الخاص بها، ولكنها في الحقيقة على كل موظف مسؤولية حماية نفسه وحماية المؤسسة، فالمعلومات التي تبدو صغيرة وغير مهمة، قد تكون نقطة هجوم الهاكر ومفتاحه الرئيسي وثغرة يقتنيها.
أخطر مستخدمي الاختراق بالهندسة الاجتماعية
هناك الكثير من مستخدمي الاختراق بالهندسة الاجتماعية المعروفين بشكل كبير ورلما يعرفهم البعض بالإسم فقط ولا يعرف عن شظاياهم إلا القليل من شهرتهم، ولهذا قررنا استدراج بعض أخطر مستخدمي الاختراق بالهندسة الاجتماعية الذين سنذكرهم فيما يلي
كيفين ميتنك Kevin Mitnick
كيفين ميتنك Kevin Mitnick هو أمريكي الجنسية من أخطر القراصنة الذين عرفهم الأنترنت، بحيث كان معروف بنشاطاته في السبعينات من القرن الماضي، واشتهر كيفين بالمهارات التي يتوفر عليها في التحايل وخداع البشر لدىجة أنه بعد القبض عليه من طرف FBI وقضاء خمس ينوات في السجن منع من استخدام أي وسيلة إلكترونية باستثناء الهاتف الأرضي، كما أن Kivin Mitnick معروف بقولته الشهيرة
الهاكرز يجندون الهندسة الاجتماعية ﻷنها تنطوي على أذنى درجات التكلفة والمخاطرة وأعلى مستويات الربح والفائدة
كريس نبكرسون Chris Nickerson
كريس نبكرسون Chris Nickerson هو رائد الأمن المعلوماتي والهندسة الاجتماعية، وهو ليس هاكر بالمعنى الشائغ ولكنه خبير أمنب ومؤسس لشركة LARES Consulting ويتم توظيفه من أجل إجراء اختبارات أمنية في الشركات والمؤسسات الكبرى للتعرف للتعرف على جوانب الضعف لهاته ااشركات في هذا المجال، وقد اشتهر Chris Nickerson بظهوره في برنامج TruTV وكان يظهر نقاط الضعف في بعض الشركات وكيفية قيام الهاكرز باستخدام التقنية في اختراق المؤسسات.
مارك زوكربيرج Mark Zuckerberg
مارك زوكربيرج Mark Zuckerberg هو الأشهر في العالم وذلك بإنتاجه ﻷكبر شبكة تواصل اجتماعي فايسبوك وكذا حيازته وشرائه لباقي وسائل التواصل الاجتماعي كالواتساب والإنستاغرام، ويعتبر مارك أفضل شخص نجح في استخدام الهندسة الاجتماعية واستغلالها بطريقة مشروعة، فإذا عدنا الى تعريف Social Engineering ستجد أنها عملية خداع للمستخدمين لجمع معلومات حساسة، فيقوم فايسبوك بخداع أكثر من 2 مليار مستخدم والظهور كشبكة تواصل بينما يقوم حقيقة في جمع معلومات الأشخاص وعن حياتهم الشخصية دون إذنهم، ولا تعرف حق المعرفة المعلومات التي يجمعها عنك فايسبوك ونستشهد بقولة أحد أشهر الخبراء الأمني إدوارد سنودن ومن لا يعرفه ولو من فيلم الهاكر الأمريكي Snowden التي يقول فيها ما يلي
** الفايسبوك هي شبكة تجسس في شكل مواقع تواصل اجتماعي **
كيف تحمي نفسك من هجمات الهندسة الاجتماعية ؟
يمكنك الاعتماد على الكثير من التقنيات البسيطة لحماية نفسك من هجمات الهندسة الاجتماعية سنذكر لك بعضها لاحقا للوقاية من هجمات الهندسة الاجتماعية
- يجب أن تكون دائم الشك والارتياب في كل ما يخص التقنيات ﻷنها وسيلة النجاة من الاختراق.
- عدم مشاركة أي معلومات أو أي بيانات شخصية مع أي جهة كانت.
- لا تضغط على الروابط التي تصلك من رسائل مجهولة.
- التحقق دائما من الأشخاص الذين تتحدث إليهم، سواء عبر الهاتف أو عبر البريد الإلكتروني أو خدمات التواصل الفوري وغيرها.
- احرص على تنمية معلوماتك الاكترونية وكن دائم الاطلاع.
- عدم فتح مرفقات البريد الإلكتروني من أشخاص غير معروفين، نظرا لكون هذه الطريقة مستعملة على نطاق واسع لنشر البرمجيات الخبيثة، أو الحصول على المعلومات الشخصية.
- تجنب استخدام معلوماتك الشخصية في كلمات المرور، وهو الشيء الذي يقوم به الكثير من الأشخاص مع الأسف.
- العمل على تأمين الهاتف الذكي أو الحاسب المحمول.
- كن محترس فيما يخص الرسائل المزعجة Spam وعدم فتحها ﻷن معظمها ملغم.
- فلترة البريد المزعج من خلال الاعتماد على أدوات خاصة.
- لا تحمل أي ملفات تصلك عبر الايميل من أشخاص مجهولين.
- تثبيت أحد أفضل برامج مكافحة الفيروسات واحذر من رسائل وصفحات التصيد.
- لا تستخدم معلوماتك الحقيقية على مواقع التواصل الاجتماعي فيمكن مثلا لفايس بوك من تتبع موقعك.
- كن متأكد دائما من استخدام الموقع الرسمي لكل شيء على الأنترنت.
- لا تقم بالضغط على منشورات الهدايا والفضائح فمعظمه يكون هدفه اصطياد الضحايا والتحايل عليهم.
فن اختراق العقول كتاب الهندسة الاجتماعية Social Engineering
☆☆☆ وإلى هنا نتمنى أن نكون قد عرفناكم حق المعرفة بالهندسة الاجتماعية وسبلها في اختيار الضحايا والتحايل عليهم واختراق عقولهم، عملنا ولله الحمد على استدراج كل ما يخص الهندسة الاجتماعية ﻹرضائكم، ونتمنى في الأخير أن يعجبكم الموضوع وتضعو بصمتكم وتشاركونا آرائكم ☆☆☆