الهندسة الاجتماعية: ماذا تعرف عن فن اختراق العقول؟
مروة الاسدي
2021-03-24 03:00
عندما نتحدث عن عمليات القرصنة والاختراق الإلكتروني تتحوّل الأفكار نحو المحافظة على الأجهزة بأحدث برمجيات مكافحة الفيروسات والقرصنة وحمايتها من البرمجيات الخبيثة، لكن مع أهمية كل ذلك فإنه لا يمثل سوى جانب من القصة، وذلك أن الجانب الآخر الأكثر أهمية هو العنصر البشري.
فحتى لو ابتكر مطورو النظم الأمنية نظاما معصوما من البرمجيات الخبيثة ولا يمكن اختراقه، فإن هذا النظام سيظل مع ذلك مرهونا بطريقة تعاطي المستخدم معه. ولأن كل شيء يتمحور حول المستخدم يعتمد الكثير من المخترقين والقراصنة حول العالم على العنصر البشري فقط (المستخدم) لاختراق الأجهزة، وهو ما بات يعرف بالهندسة الاجتماعية.
فما هي الهندسة الاجتماعية؟ يمكن تعريف الهندسة الاجتماعية باختصار بأنها التلاعب بالبشر وخداعهم بهدف الحصول على بيانات أو معلومات، كانت ستظل خاصة وآمنة ولا يمكن الوصول إليها، بهدف اختراق النظام.
ومن هنا يستخدم المخترِق "المهندس الاجتماعي" مهاراته لاستهداف نقاط الضعف البشرية في محاولة للتحايل على الضوابط والإجراءات التي من شأنها أن تمنعه من الحصول على المعلومات التي يحتاجها.
ما نوعية المعلومات التي يمكن خسارتها؟ الإجابة باختصار "كل شيء"، ففي عصر المعلومات يمكن أن يكون لأي معلومة قيمة، فالشخص الذي يستهدفك له دوافع معينة، وبالتالي لا يمكن الاستهتار بأي معلومة تخسرها.
وبالطبع فإن المخترِقين الذين يعتمدون على الهندسة الاجتماعية يركزون بصورة أساسية على الخدمات المالية مثل الحسابات البنكية على الإنترنت أو أي معلومات تساعدهم في الحصول على أموال.
" تجنب مشاركة أي معلومات أو بيانات شخصية مع أي جهة كانت تحقق دائما من الأشخاص الذين تتحدث إليهم سواء عبر الهاتف أو البريد الإلكتروني أو خدمات التواصل الاجتماعي لا تفتح مرفقات البريد الإلكتروني من أشخاص غير معروفين اعمل على تأمين هاتفك الذكي أو حاسوبك المحمول".
كيف أحمي نفسي؟ أولاً وقبل كل شيء تجنب مشاركة أي معلومات أو بيانات شخصية مع أي جهة كانت، وعلى الرغم من سهولة القيام بهذا الأمر فإن الكثير من المستخدمين يغفلون عن هذه النصيحة.
ثانيا، تحقق دائما من الأشخاص الذين تتحدث إليهم سواء عبر الهاتف أو البريد الإلكتروني أو خدمات التواصل الفوري وغيرها، مثلا لو كان المتصل من شركة رسمية فلا تجد حرجاً في أن تطلب منه معلوماته الكاملة وأن يقوم بالاتصال من رقم هاتف رسمي يمكن التحقق منه.
ثالثا، لا تفتح مرفقات البريد الإلكتروني من أشخاص غير معروفين، فلغاية الآن يتم استخدام هذه الطريقة على نطاق واسع لنشر البرمجيات الخبيثة والحصول على المعلومات الشخصية، وذلك من خلال انتحال هوية شركات كبرى وإرفاق بعض الملفات في البريد.
رابعا، اعمل على تأمين هاتفك الذكي أو حاسوبك المحمول، يمكن أن تعتمد على فلترة البريد المزعج بالاعتماد على أدوات خاصة، كذلك اعتمد على برامج قوية لمكافحة الفيروسات تتضمن أدوات لمكافحة رسائل وصفحات التصيد.
لماذا تنجح الهندسة الاجتماعية رغم الحذر؟ يعتمد الموضوع ببساطة على استهداف الناحية النفسية للإنسان، حيث يستخدم المخترقون بعض المحفزات الأساسية للسلوك البشري مثل زرع الخوف والفضول والإلهاء والحماسة وغيرها.
فيمكن لصورة عبر البريد الإلكتروني أن تثير عواطفك للتبرع لجهة خيرية معينة بشكل مخادع، أو من خلال إثارة الخوف داخلك عبر إعلامك باختراق إحدى حساباتك وأنه يجب إعادة تعيين كلمة المرور، أو يمكن أن يدفعك الفضول لمشاهدة هذه الصورة المضحكة أو قراءة خبر مثير للاهتمام.
هل أنت حريص بما فيه الكفاية؟ قد يدور في ذهنك الآن أنه لا يمكن أن أُخدع بمثل هذه الأساليب الاجتماعية، لكن يجب عليك أن تعلم أن بعض المسؤولين الكبار في الشركات العالمية قد تعرضوا لمثل هذه الأنواع، فهناك طرق يتم استخدامها تفوق عمليات النصب التي يتم استخدامها في أقوى أفلام الجريمة، لذا لا تعتمد فقط على حرصك وذكائك بل تأكد من اتباعك للممارسات الأمنية الصحيحة في كل الأحوال.
ماذا عن الشركات؟ أظهرت دراسة أجرتها شركة فيرايزون الأميركية مؤخرا أن الكثير من هجمات الاحتيال والتصيد تستهدف موظفي الإدارات المالية داخل الشركات نظراً لكونهم المشرفين على عمليات تحويل الأموال.
وربما يكفي تأكيد شركتي غوغل وفيسبوك قبل أيام تعرضهما لعمليات احتيال بقيمة مئة مليون دولار لتعلم كيف يقوم هؤلاء المخترقون بأعمالهم بدرجة عالية من الاحترافية، لذا ينبغي على الشركات العمل على تدريب الموظفين، خصوصاً موظفي القطاع المالي، على اتخاذ التدابير الأمنية السليمة، فالعامل البشري هو الجزء الأهم في أي نظام تتبعه مهما كان هذا النظام آمنا.
تكشف معلوماتك السرية لقراصنة الإنترنت
حذر الباحث المتخصص في الأمن السيبراني بجامعة إمبريال كوليدج بلندن م. المثنى العقيل من خطورة تقنيات الهندسة الاجتماعية، موضحًا أنها عبارة عن مجموعة من الحيل والتقنيات المستخدمة في خداع الناس، وجعلهم يقومون بعمل ما أو الإفصاح عن معلومات سرية وشخصية، وقد تتبع طرقًا نفسية للتلاعب بالمستخدم لتنفيذ أمر ما، مثل: فتح رابط، أو إفشاء معلومات حساسة، كإعطاء تاريخ الميلاد أو رقم الهوية.
وأضاف: جاء في تقرير Sysgroup أن أكثر من 5 مليارات دولار تمت سرقتها عالميًّا بين عامي 2013 و2016 من خلال الهندسة الاجتماعية، وبينما تشير دراسة Symantec إلى أن 55% من الرسائل البريدية عبارة عن بريد ضار، وحسب شركة Mimecast، فإن 91% من الهجمات المعقدة تبدأ بالهندسة الاجتماعية Spear-Phishing.
وأوضح أن هناك عدة سيناريوهات محتملة بعد أن تتم الهجمة، مثل إرسال بريد مع رابط أو مرفق ضار، وتشفير جميع ملفاتك، وجعل جهازك منصة للهجوم على أجهزة أخرى من حيث لا تعلم، وأكثر الطرق شيوعًا الطريقة القديمة المعروفة عن أساليب المخترقين، وهي الوصول إلى جهازك وسرقة كلمات المرور، وتحميل الملفات وتسريب البيانات باستخدام برامج أخرى تُعرف ببرامج ما بعد الاختراق.
واستكمل حديثه قائلًا: ندخل بعد ذلك في مشكلة كبيرة من تسريب بيانات المنظمة، واستكشاف الأجهزة والموارد في الشبكة الداخلية، ومعرفة نقاط الضغط ورفع الصلاحيات، وهي من المخاطر المحتملة المعروفة عند منفذي الاختراقات.
وعن الهندسة الاجتماعية ذات الأساس المادي، قال إن من أهم أمثلتها البحث في المخلفات، كالبحث عن الأوراق الممزقة القابلة لإعادة اللصق، لذلك يجب إتلاف مثل هذه الأوراق بالطريقة الصحيحة باستخدام آلة تمزيق الورق، مشيرًا إلى أن هناك نوعًا آخر من تلك الهندسة، وهو الدخول بتصريح مزيف، وأفضل الطرق المتبعة لمنع ذلك استخدام عملية Mantrap، وهي عملية لتنظيم دخول الأفراد بشكل فردي.
وأشار إلى أن الهندسة الاجتماعية ذات الأساس الإنساني تعدُّ من أقدم الوسائل، ومن أهم أمثلتها: النظر خلسة إليك في أثناء كتابة كلمة المرور، والمحادثة معك بشكل ودي وانسياق الحديث لاهتماماتك وما تحبه من أفلام وتاريخ ميلادك وذكرياتك، ما يشكل خلفية للمخترق عن اختياراتك في كلمة المرور، لإرسال رسائل بريدية ذات محتوى ضار، وأضاف: النوع الأخير المنتشر هو التنصت، فمثلًا تتصل بالبنك ويطلب منك تاريخ الميلاد ورقم الهوية وزملاءك حولك أو تكون في مكان عام، وقد تستخدم هذه المعلومات لاختراق حسابك مثلًا أو لتخمين كلمات المرور وغيرها.
وأضاف: الهندسة الاجتماعية التقنية هي التي تهمنا في عام 2020، وهي التي تستخدم رسائل الجوال والواتساب ووسائل التواصل الاجتماعي، ومن أهمها أربعة أنواع:
1- التصيد العام: وتستهدف مجموعة عشوائية في منظمة ما أو عدة منظمات، وتعدُّ سهلة الاكتشاف عند المختصين بتقنية المعلومات.
2- الاصطياد المخصص: وتستهدف فئة محددة في المنظمة أو شخصًا معينًا، خاصة من يملكون صلاحيات المشتريات أو في تقنية المعلومات.
3- اصطياد الحيتان: طريقة تستهدف فقط القادة، مثل رئيس الشركة ونوابه وغيرهم من الشخصيات التي تمتلك معلومات المؤسسة.
4- الحصول على البيانات السرية في المنظمات التي لا يحق لأحد الاطلاع عليها سوى كبار المسؤولين.
وأضاف العقيل أنه من خلال دراسته وجد أكثر من 10 آلاف TLD متاحة للاستخدام، قائلًا: تخيل معي كم نطاقًا يمكن تقليده، وخداع المستخدم الذي لا ينتبه لذلك، وهناك أيضًا طريقة أخرى متداولة قد تصل إلينا في رسائل الجوال، وفي الواتساب، وأحيانًا في البريد الإلكتروني، وهي طريقة «الرابط المختصر»، إذ قد يستخدمها المهاجم كواجهة لإخفاء الرابط الضار، ولا يمكن حصر عدد الأدوات المجانية والمتاحة للجميع والمشروحة في اليوتيوب، والتي توفر للمخترقين أساليب متعددة لتصيد الضحايا، من أشهرها SEC و Black Eye، والهدف من إتاحة هذه الأساليب هو تقييم مستوى وعي المستخدمين في الشركات من قبل مختصي الأمن السيبراني، فالأداة Black Eye مشروحة في اليوتيوب، وتُمكِّن المخترق من تكوين صفحة مطابقة، من دون أي خبرة برمجية، لمواقع التواصل مثل تويتر وفيسبوك وإنستجرام، فيرسل لك موضوعًا يطلب منك قراءته مثلًا، ويكون هذا الموضوع هو الرابط المختصر حتى تظن أنه أمر طبيعي.
وأكد أن طرق الهندسة الاجتماعية التقنية تعمل بنفس طريقة هجمات التصيد، لكنها تُرسل بطريقة احترافية إلى الجوال، مثل وضع روابط موثوقة ثم رابط مختصر ضار يحمل الهجمة التي يريدها المخترق، ومن طرقها أن يأتي اتصال من شخص يعلم أنك قدمت طلبًا إلى جهة بطلب معين، قرض من البنك مثلًا، ثم يتصل مُدعيًا أنه يمثل الجهة نفسها، ويحاول الحصول على معلوماتك الخاصة، مثل رقم الهوية وتاريخ الميلاد وغيرها مما قد يستخدم في سلسلة هجمات أخرى، ومن أسباب وقوع المستخدمين في مثل هذه الهجمات أن بعض الموظفين في الشركات يستخدمون الجوال للتواصل مع العملاء، ما يجعل المستخدم لا يُفرِّق بين الاتصال القادم من الجهة والاتصال القادم من المهاجم، ولذلك يجب أن تتحقق بنفسك من حقيقة المتصل وتتبع طرق الحماية اللازمة.
وسيلة جديدة للاختراق
خلال السنوات الماضية حصل تطور رهيب في حياتنا، وأصبحنا نعتمد بشكل كامل على التقنية بشكل كبير، واستغنينا عن الوسائل التقليدية في حياتنا، فعلى سبيل المثال لا الحصر، أصبحت الأخبار تأتي من خلال شبكات التواصل الاجتماعي وابتعدنا بشكل كبير عن المجلات، والجرائد، وحتى أجهزة التلفاز، ولكن هذا التطور صاحبته مشكلات أمنية بسبب عدم إلمامنا بأساسيات كبيرة تخص الحماية وأمن معلوماتنا.
في هذه المقالة البسيطة سنحاول حصر أهم الأمور التي يجب على المستخدم الإلمام بها لحماية نفسه، وأجهزته من المخاطر التقنية التي تحيط به، إحدى أهم وسائل الاختراق التي تحدث للمستخدمين تكون من خلال الهندسة الاجتماعية، هذا المصطلح نسمع عنه كثيراً هذه الأيام، ولا نعي ما هي المشكلات التي تحيط بنا بسببه، والسبب أن شبكات التواصل الاجتماعي، والتطبيقات وصلت إلى درجة عالية من الحماية والأمان، وأغلب الاختراقات التي تحصل حالياً هي في الغالب تكون بسبب جهل المستخدم. لذلك يتم استغلال هذه الأمور من المخترقين من خلال عدة حيل لاختراق الحسابات، والحصول على بيانات المستخدمين، ومعلوماتهم. ومثال ذلك اختراق تطبيق "واتساب" الذي يتم بشكل كبير بالاحتيال على المستخدمين، وأشهر الطرق تكون من خلال إنشاء حساب وهمي في "تويتر" أو "إنستغرام" باسم شخص تثق به أو تتابعه، وتفاجأ برسالة عبر الرسائل الخاصة منه يطلب رقمك لإضافتك في مجموعة في التطبيق، فتعطيه الرقم، ويطلب منك رقم الأمان المؤقت لإضافتك في المجموعة، وهذا الرقم أساس للدخول على التطبيق، واستخدامه، ولكن يتحايل عليك أن هذا الرقم هو فقط لإضافتك في المجموعة، وللأسف تبادر بإعطائه الرقم فتقع ضحية لاختراق حسابك في "واتساب".
من الطرق الشائعة بشكل كبير، اختراق الحسابات في "سناب شات" بالاعتماد على الهندسة الاجتماعية، وذلك من خلال وضع رابط وإرساله للمستخدمين، على أنه رابط لتوثيق الحسابات في "سناب شات" أو زيادة الأمان لحسابك، وفي حال الدخول على الرابط تظهر لك صفحة تطلب منك الاسم، والرقم السري، وبمجرد إدخالهما تصل الأرقام إلى المخترق، ويتم اختراق حسابك. والمشكلة أنه يتم نشر صورة في حسابك المخترق لدعوة أصحابك لتوثيق حساباتهم، لزيادة الأمان فيها، ويبادر أصدقاؤك في "سناب شات" بالدخول على الرابط، ووضع أرقامهم السرية ومعلوماتهم، ومن ثم تُخترَق حساباتهم من خلال هذه الطريقة للأسف.
"إنستغرام" و"تويتر" ليسا بعيدين من هذه المشكلة. فعلى سبيل المثال في "تويتر" ينشر رابطاً، ويدعي أنك من خلاله تستطيع الاستمتاع بمميزات إضافية، مثلاً معرفة من قام بالدخول إلى حسابك من دون متابعتك، أو إمكانية تعديل التغريدات وغيرها من الأمور، ويقوم المستخدم البسيط بالدخول، ووضع حسابه ورقمه السري، ومن ثم يُخترَق حسابه للأسف. أيضاً من الأمور المنتشرة خدمات التغريد الآلي، التي تُستخدَم في نشر أدعية، أو أحاديث مثلاً، تُربط بحسابك، وتجد في البداية أن الخدمة تقوم بنشر التغريدات بشكل منتظم، ولكن بعد فتره تُنشر معلومات مغلوطة في حسابك، وتغريدات عشوائية لسرقة بيانات المستخدمين.
خدمات البريد الإلكتروني أيضاً ليست بعيدة من هذه الأمور، وهناك عدة طرق لاختراق الحسابات بكل سهولة، بالاعتماد على عدم الإلمام بالأمور الأساسية في الحماية، وللأسف هناك ضحايا لهذه المشكلات بشكل دوري. ولحماية نفسك، من المهم أن لا تستجيب للطلبات الغريبة من أي شخص، وأيضاً لا تضع رقمك السري أو حسابك في أي صفحة، ومن المهم تفعيل خاصية التحقق بخطوتين، التي من خلالها يتم ربط حسابك برقم هاتفك في حال حاول أي شخص الدخول إلى حسابك ستصلك رسالة نصية تشتمل على رقم سري مؤقت، هذا الرقم لا تعطيه لأي شخص مهما كان. ومن المهم أيضاً أن لا توحد رقمك السري نهائياً، ويجب أن يكون هناك رقم سري خاص، لكل منصة لحماية نفسك من الاختراقات قدر الإمكان، لأنه في حال تسريب رقمك السري في أي منصة سيتمكن المخترق من اختراق جميع حساباتك في كل مكان في حال كان رقمك السري موحداً.
تويتر تكشف بعض تفاصيل الاختراق الواسع
كشفت شركة تويتر، بعض تفاصيل الاختراق الذي طال عددا من حسابات مغرديها الموثقة، مساء الأربعاء، مشيرة إلى أن التحقيقات لا تزال جارية، إلا أنها تمكنت من التعرف على آثار "هجوم هندسي اجتماعي منسق"، وقالت الشركة إن تحقيقاتها الأولية حددت ما تعتقد أنها آثار "هجوم هندسي اجتماعي منسق شنه أشخاص تمكنوا بنجاح من استهداف بعض موظفي الشركة"، وأضافت أن الموظفين المستهدفين "كانت لديهم صلاحية الولوج إلى الأنظمة الداخلية وأدواتها"، مشيرة إلى أن البحث لا يزال جاريا عن أي خرق لمعلوماتها أو أي أنشطة خبيثة أخرى خلفها منفذو الهجوم الإلكتروني.
وذكرت الشركة أنه وفور علمها بالاختراق فإنها قامت باتخاذ "خطوات أساسية للحد من الدخول إلى الأنظمة الداخلية تزامنا مع استمرار التحقيقات"، وأكدت الشركة بأنها أغلقت الحسابات المهددة بالهجوم، وأنها لن تعيد الصلاحية الكاملة لأصحاب الحسابات بالنشر مجددا إلا إن تأكدت سلامتها أولا.
ويستخدم مصطلح "الهجمات الهندسية الاجتماعية" للتعبير عن التلاعب بسلوك الأشخاص لدفعهم إلى الإفصاح عن معلومات شخصية ومحمية، وعند الحصول عليها يقوم المهاجمون باستخدامها لتحقيق غايتهم النهائية، التي قد تتراوح من الحصول على معلومات حساسة أو الترويج لسلع معينة أو استهداف شخصيات عامة.
وتعرضت حسابات تعود لشخصيات بارزة على تويتر للاختراق، الأربعاء، منها حساب المرشح الرئاسي الأميركي جو بايدن ونجمة تلفزيون الواقع كيم كاردشيان والرئيس الأميركي السابق باراك أوباما، بالإضافة إلى الملياردير إيلون ماسك ومغني الراب الأميركي الشهير كاني ويست والعديد من الحسابات الأخرى.
وحد تويتر من قدرة بعض المستخدمين على التغريد وإعادة ضبط الرمز السري واستخدام بعض "وظائف الحساب" الأخرى، بعد اختراق عدد من الحسابات، واستخدامها من قبل المخترقين لطلب تحويل عملة رقمية.
انتشار الأخبار الكاذبة
من منا لم تصله رسالة تخبره بمعلومة صادمة أو مثيرة للاهتمام كدعاء يجزي صاحبه الثواب العظيم أو ظاهرة طبيعية غريبة أو خدمة مجانية… إلخ؟ ونرى الكاتب في هذه الرسائل يسرد تفاصيلًا مدهشة، إلى درجة تدفع القارئ إلى التصديق.
وقد تحوي رسائل أُخرى روابط، فما عليك إلا الضغط عليها لرؤية المحتوى أو لمعرفة المزيد من التفاصيل، فبمجرد الضغط على رابط منها توجَّه إلى موقع مزيف أو إلى مواقع أخرى غير متعلقة بالرسالة الأصلية لتكتشف في النهاية أنها كِذبة!
ويزداد انتشار الخرافات والأخبار الكاذبة في زمن الأزمات، فهي تعتبر تربة خصبة جدًا للمعلومات المغلوطة واستغلالًا لعواطف الشعوب، ولعل ما نراه ونسمعه من أكاذيب حول فيروس كورونا المستجد أكبر برهان وأوضح دليل على ذلك.
وسوف نذكر فيما يلي عدة أمثلة حصلت بالفعل، وهي متعلقة بالأزمة التي تسبب بها فيروس كورونا، ويمكنك رؤية أبرز الخرافات المتعلقة به من هنا فالأشخاص المخرّبون يستغلون الأزمات العالمية والمواضيع المنتشرة والرائجة والأكثر تداولًا لينشروا رسائلهم وبرمجياتهم الخبيثة وليستغلوا أكبر عدد ممكن من الناس التي تهتم بآخر المستجدات في فيروس كورونا الجديد وهي فرصة لا تفوّت بالنسبة لهم.
وقد قام عدد من الباحثين الأمنيين في الفترة الأخيرة برصد نحو 1000 موقع جديد له اسم متعلق بفيروس كورونا يتبع لمحتالين يستفيدون منه للقيام بأنشطة ضارّة، قد يقول أحدهم: لماذا تُضخّمون الموضوع؟! فكلّ ما في الأمر أنّني إذا فتحت الرابط ولم أجده صادقًا حذفت الرسالة وانتهى الأمر.
دعني يا صديقي أشرح الأمر أكثر وأبيّن لك خطورته مع ذكر بعض الأمثلة الواقعية التي حدثت بالفعل وأوقعت مستلمها بالشّرك الذي أنت تستهين به، فَلْيكن في علمك أنّ الأسلوب السابق هو أحد تطبيقات الهندسة الاجتماعية… فما المقصود بالهندسة الاجتماعية؟
الهندسة الاجتماعية ببساطة هي فن اختراق العقول ودفع الآخرين إلى فعل ما أريد بمجرد اللّعب بالكلمات أو المظهر بغية تحقيق هدف معين وبرضى وتصديق الضحية بشكل كامل.