الهندسة الاجتماعية: فن اختراق البشر

بقلم : د. أماني ألبرت

’’اقرأ أحدث وثيقة مسربة من المخابرات الأمريكية‘‘ ’’ربحت 100 ألف دولار اضغط هنا‘‘ ’’رصيد مجاني بقيمة 1000 جنيه من شبكات الاتصال فقط اضغط الرابط التالي‘‘

بعد قراءة مثل هذه الرسائل يتجاوب بعض الأشخاص، فيضغطون على الرابط ليتم تنزيل ملف وفورًا يجدون أن هناك هجوما على حساباتهم! أو يقومون بتعبئة بياناتهم للفوز وفجأة يجدون أنهم وقعوا في الفخ وهناك من استولى على حساباتهم التي أدخلوا للتو أرقامها السرية!.

وللأسف رغم اهتمام الأشخاص بحماية أجهزتهم من الفيروسات والمخترقين فهناك جانب آخر من أمنهم يمكن اختراقه بسهولة وهذا الجانب يتوقف على تفاعلهم الشخصي عبر الإنترنت. إذ هناك مئات الموضوعات التي يمكن من خلالها اختراقهم.

هذا ما يسمى بالهندسة الاجتماعية Social Engineering والتي يمكن تعريفها على أنها عمليات احتيال وتلاعب بالبشر، بهدف دفع الأشخاص للإفصاح عن معلوماتهم الشخصية أو بياناتهم السرية من خلال الإجابة عن بعض الأسئلة التي قد تبدو بسيطة أو تافهة.

وتأخذ الهندسة الاجتماعية عدة أشكال بهدف استغلال فضول الأشخاص ودفعهم للتواصل أو منح معلوماتهم الشخصية. ويستهدف المهندسون الاجتماعيون دراسة النواحي النفسية للضحية، وقد يستغلون عواطفهم للتبرع مثلا، أو ببث الكراهية نحو فئة معينة أو بتخويفهم بأن حساباتهم اخترقت ليعينوا كلمة مرور جديدة.

كما قد يستغلون فضولهم بالرغبة في معرفة ما يحدث في القضايا الساخنة بنشر شائعات وموضوعات فيها تضخيم وافتراء وفي رحلة البحث عن الحقيقة يقوم الأفراد بتنزيل الملف المسموم.

كما يقومون بعملية انتحال الشخصية Identity Theft إذ تقوم شخصية ما بالتواصل مع الضحايا وتحظى بثقتهم لسحب بياناتهم ومعلوماتهم. لذلك يتم التحذير من التحدث مع الغرباء على الإنترنت خاصة أن هؤلاء الغرباء قد يكونون برامج تجسس تخترق نظام الأمان الخاص بالضحية أي قد يكونون شخصيات افتراضية تحاول توطيد علاقتها بالضحية ثم يخدعونها لتزور موقعا معينا أو تحمل ملفا ما وهذا الملف كفيل ليقوم بالباقي من حيث اختراق الحسابات.

وقد يكون الغرباء بشرا يتلصصون على حسابات عبر وسائل التواصل الاجتماعي لمعرفة النواحي النفسية للضحية، ويمكن لشعب دولة معينة إنشاء آلاف الحسابات الوهمية لتدخل في نقاش مع المستخدمين من دولة مستهدفة بغرض الترويج لشائعات أو لنشر أخبار مضللة.

يستخدم المهندسون الاجتماعيون الحيلة والخداع لدرجة أنهم يقدمون تحديثا لبرامج معروفة وموثوق بها ويأخذ التحديث نفس شكل أيقونات البرامج الشهيرة ولكن يكون بها ملف خبيث. كما يسعون لاصطياد كلمات السرّ Passwords Fishing من خلال تقديم واجهة موقع صحيح مثل فيسبوك أو بريد إليكتروني يحمل نفس الشكل والصورة والواجهة للصفحة الرئيسية ولكن بعنوان رابط مختلف وبعد أن يكتب الشخص بياناته يكون قد فات الأوان. إذ يتعرض الشخص للاصطياد fishing حين يقوم بتعبئة بياناته السرية بمحض إرادته.

والحقيقة ليس شرطا أن تكون لدى المهندس الاجتماعي معرفة تقنية وفنية عالية، ولكن لابد أن يتوافر لديه الذكاء لخداع الضحية. إذ يتم بيع الوهم والخداع النفسي للأشخاص فبحجة تنزيل أفلام محظورة أو مقاطع كوميدية أو برامج يتطلب الأمر منهم إنشاء حساب بالإيميل وكلمة السر، ينخدع بعض الأشخاص فيكتبون كلمة السر الخاصة بالإيميل.

لقد سهلت علينا وسائل التواصل الحديثة الوصول للأشخاص والانتهاء من الأعمال بشكل أسرع، ولكن هذا لا يمنع من أنها قد تمثل خطرا على حياتنا. لذا علينا ألا ننساق وراء أي عروض مغرية وألا نشارك أي معلومات شخصية حتى لو كان في صورة مسابقات أو اختبارات للشخصية طالما لا نعرف مصدرها، وكذلك ألا نمنح بياناتنا لأي أشخاص لا نعرفهم.

المهندسون الاجتماعيون يسعون وراء البيانات الشخصية مثل رقم الهاتف، رقم هاتف المنزل، تاريخ الميلاد، أسماء أفراد الأسرة، أرقام الحسابات البنكية. لذا علينا الانتباه من استخدام نفس كلمة المرور لنفس الإيميلات، لأنه لو تم معرفة كلمة مرور أحد الإيميلات يمكنه الدخول إلى بقية الحسابات. وعند ملء البيانات الشخصية في أي استمارة موقع غير معروف ليس شرطا إدخالها كلها صحيحة، ومن الضروري عدم منح التطبيقات إذنا لاستخدام الكاميرا، كما يمكننا تغطية الكاميرا الخاصة باللاب توب كما يفعل مؤسس الفيسبوك نفسه!.