أحيانا نجد انفسنا نفكر في اتجاه محدد، ربما لم نكن نفكر به من قبل، أو نجد مجموعة من الشباب لها تفكير واحد في اتجاه معين، بحيث تكون أفكارهم موحدة ومتفقة مع بعضها البعض، هذا ما يسمى بعالم "الهندسة الاجتماعية"..
وتعتبر الهندسة الاجتماعية فنًا يهدف إلى فهم الطرق التي يفكر بها الناس ويتصرفون بها، ثم استغلال هذا الفهم لتوجيه سلوكهم باتجاه معين أو لتحقيق أهداف محددة، وتشمل هذه الطريقة مجموعة واسعة من الأساليب والتقنيات، بما في ذلك الاستخدام الذكي للغة، والتلاعب بالعواطف، وتوظيف التكنولوجيا لتحقيق أهداف معينة.
واحدة من فروع الهندسة الاجتماعية المثيرة للاهتمام هي "فن اختراق عقول البشر". يهدف هذا الفن إلى التأثير على تفكير الأفراد واتخاذ قراراتهم دون أن يكونوا على علم بهذا التأثير، يعتمد هذا الفن على فهم عميق لعلم النفس البشري وديناميات السلوك، مع استخدام أدوات متنوعة للتأثير على العقل البشري، مثل التلاعب بالرغبات والمخاوف والاحتياجات.
في السطور التالية سنصحبكم إلي رحلة مثيرة نغوص بها في عالم الهندسة الاجتماعية وفن اختراق عقول البشر و أساليب الاختراق وتأثيرها على المجتمع والفرد، و سنتناول أيضًا بعض الأمثلة التطبيقية لهذه الحيل، وكيف يمكن للأفراد حماية أنفسهم من تلك التأثيرات، وسيكشف الدكتور محمد محسن رمضان مستشار الأمن السيبراني ومكافحة الجرائم الالكترونية، ورئيس وحدة الذكاء الاصطناعي والأمن السيبراني بمركز العرب للأبحاث، في حديث خاص عن سر القوة الخفية وراء فنون الهندسة الاجتماعية واختراق العقول للوصول الى بيانات ومعلومات كانت ستظل آمنة.
ويقول د. محمد محسن رمضان: في ظل انفجار ثورة المعلومات وعالم متغير بوتيرة أكبر مما نتصور أصبح نادرا أن تجد منشأة أو شركة لا تعتمد على التكنولوجيا الحديثة في أدارتها أو استخدام الأنترنت وخصوصا إنترنت الأشياء (IoT) والذكاء الاصطناعي (AI) والتحول الرقمي أصبح العالم الرقمي عالما واسعا يتسع لكافة البشر أينما كانوا ومهما كانوا، فلم تعد ثورة الاتصالات حكراً على أحد بل تعدت في حدودها من لديه معرفة بها أو من هو بدون معرفة بها فحينما نسمع بجريمة ما أو سرقة فإننا ننظر إلى صورة الكم الهائل من الكسر والتخريب والضرر المادي والبشري الذي لم يعد من السهل رؤيته اليوم وخاصة في العالم المُرتبط بتقنية المعلومات، وثورة الاتصالات والتحول الرقمي.
استغلال العنصر البشري
لقد أصبح العالم اليوم هو العالم الذي تكون فيه المعلومات هي المحورَ الأهم، وحمايتها هي القضية العظمى لهذا أصبحنا نجد كثيرا من البرامج والتقنيات والأجهزة المادية والتقنية الذكية وكما كبيرا من أدوات وبرامج الحماية بالشركات، لتحقيق الأمن المعلوماتي لها ولكنها بالرغم من كل ذلك مازالت غير آمنه، ومازالت هذه الأساليب التكنولوجية الأمنُية المُحيطة بها وهما يمكن اجتيازها في أي وقت وزمن وهذا ليس بسبب ضعفها ولكن بسبب العنصر البشرى الذى يقع أحيانا ضحية لأساليب وطرق الهندسة الاجتماعية.
واليوم، وفى ظل انتشار شبكات التواصل الاجتماعي واختلاف أنماطها من مُحادثات سواء كانت كتابية، أو صوتية أو فيديو، أو بث مباشر وغيرها الكثير، والتي تهدف إلى اقتحام الخصوصية وسحب أكبر قدر من المعلومات، والتي قد يعتبرها البعض أمراً غير مُهم، ظهر شكل جديد من الاختراق يُعرف باسم الهندسة الاجتماعية (social engineering) والتي لا تعتمد على دراسة أو أساسيات برمجية أو أكاديمية لمفاهيم الاختراق الإلكتروني، لكنها تحتاج إلى مهارة وفن لاختراق عقول البشر وجمع أكبر قدر من المعلومات عن الضحايا من أجل أغراض لا أخلاقية مثل: السرقة أو التشهير أو نشر الرذائل.
والركيزة التي انطلقت منها هي اختراق الحلقة الأضعف في سلسلة أمن المعلومات، ألا وهي العنصر البشري من خلال مجموعة من التقنيات المستخدمة لجعل المستخدمين يقومون بعمل ما أو يفصحون عن معلومات سرية وشخصية؛ وصاحب هذه التقنيات هدفه الحصول على غايته ومن هنا يدور الحديث أن الهندسة الاجتماعية تعتبر جريمة إلكترونية ضمن الجرائم المعلوماتية ؛ عملية سرقة المعلومات من البشر التي ليس لديها أي تفاعل مع النظام المستهدف أو الشبكة، فهو يعتبر بمثابة هجوم غير فني، لذا تعتبر الهندسة الاجتماعية فن إقناع الهدف بالكشف عن المعلومات، وقد يكون بشكل شخصي بالتفاعل مع الهدف مباشرة أو إلكترونياً لإقناع الهدف وتعتبر منصات التواصل الاجتماعي المجال الأكبر للهندسة الاجتماعية، هذه هي الحقيقة التي لا يهتم بها الكثير من المستخدمون أو أنهم غير مدركين لها، حيث تعتبر بيانات معلومات التواصل الاجتماعي الخاصة بهم ذات الأهمية الكبرى.
ومن هنا نستطيع وصف الهندسة الاجتماعية أنها مصطلح واسع النطاق لمجموعة واسعة من التقنيات المُستخدمة من قبل الهجمات الإجرامية التي تستغل العنصر البشري.
أساليب تجعلك ضحية لهجمات الهندسة الاجتماعية:
وأشار د. محمد إن واحدة من نقاط الضعف الرئيسية فينا التي تؤدي إلى هذا النوع من الهجوم هو "الثقة"، يثق المستخدم بمستخدم آخر ولا يحمي بياناته منه، هذا قد يؤدي إلى هجوم من قبل المستخدم.
والمنظمات والشركات عرضة لهذا الهجوم أيضاً لأنها غير مدركة لهجمات الهندسة الاجتماعية، وتهمل كثيراً الإجراءات المضادة لها وقد يقع بعض الموظفون والمستخدمون بشكل عام، للإفصاح عن أي معلومة قد تخلق ثغرة أمنية تؤدي إلى سرقة بياناتهم، لذا يجب على كل منظمة تدريب موظفيها ليكونوا على دراية ب الهندسة الاجتماعية وعلى كل منظمة تأمين بنيتها التحتية ماديًا أيضاً.
مراحل هجوم الهندسة الاجتماعية
وأوضح د. محمد إن هجمات الهندسة الاجتماعية لتنفيذ الجريمة الإلكترونية ليست معقدة تتطلب معرفة تقنية قوية، قد يكون المهاجم شخصية غير تقنية لكن ينجح بسرقة المعلومات من الناس، ويتم تنفيذ الهجمات عبر عدة مراحل:
أولاً: البحث
تتضمن مرحلة البحث جمع أكبر كمية من المعلومات حول الهدف أو المنظمة، مثلاً قد يتم جمعها عن طريق المستندات من صندوق القمامة، أو المسح الضوئي ومواقع الويب الخاصة بالمنظمة، وإيجاد المعلومات على الإنترنت، وجمع المعلومات عن الشخص المستهدف أو المؤسسة المستهدفة من الموظفين بشكل غير مباشر.
ثانياً: اختيار الهدف
في مرحلة اختيار الهدف يقوم المهاجم بتحديد الهدف واختيار الشخص أو الموظف الأفضل لتنفيذ الهجمات الذي يكون من السهل جلب المعلومات منه.
ثالثاً: بناء العلاقة بين المهاجم والهدف
هي من أكثر المراحل أهمية؛ لأنها تتضمن بناء علاقة مع الهدف وبناء الثقة يجعل الهدف يعطي معلومات أكثر تفيد المهاجم.
رابعاً: التنفيذ والاستغلال
من خلال المعلومات التي تم جلبها من الهدف بناء على المراحل السابقة؛ يتم وضع الخطة التي عليها سيسر الهجوم لتنفيذ الجريمة الإلكترونية والبدء بالتنفيذ.
أنواع وأساليب هجمات الهندسة الاجتماعية:
وأعلن الدكتور محمد محسن رمضان إن هناك أنواع وأساليب لهجمات الهندسة الاجتماعية منها:
التصيد الاحتيالي
النوع الأكثر شيوعا من هجوم الهندسة الاجتماعية حيث يقوم المهاجم بإعادة إنشاء بوابة موقع على شبكة الإنترنت أو يحصل على دعم من شركة مشهورة ويرسل الرابط للضحايا عبر رسائل البريد الإلكتروني أو المنابر الإعلامية والاجتماعية.
انتحال الشخصية:
يمكن للمهاجم أن ينشئ مثلا حسابا على فيسبوك، أو بريد إلكتروني، باسم مطابق لاسم صديق لك أو لاسم شخص تعرفه بنية انتحال الشخصية، وهو مثال على الهندسة الاجتماعية بهدف الحصول على كلمة سر لحساب شخص ما في فيسبوك واستغلاله لانتحال شخصيته.
استغلال الشائعات:
من المعروف أن شبكات التواصل الاجتماعي ومنها عملاق التواصل الاجتماعى "فيسبوك" مصدرا من مصادر انتشار الشائعات وبشكل سريع جدا، بالتالي باتت المساهم الأكبر في نشر الشائعات بشكل أو بآخر مصدر تسهيل عمل من ينوي استغلال الشائعات لتغليف روابطهم الخبيثة بها.
استغلال عواطف الضحية وطباعه الشخصية:
يقصد بها استخدام نصوص أو صور تخاطب عاطفة الضحية وتؤدي إلى سقوطه في فخ فتح وتشغيل الملف الخبيث أو فتح رابط خبيث، ويمكن أن تكون العواطف سلبية كالحقد الانتقام … أو عواطف إيجابية كالحب والإعجاب … ويمكن استغلال فضول المستهدف أو بحثه عن علاقة عاطفية…
استغلال المواضيع الساخنة:
يستغل المهاجمون المواضيع الساخنة لتمرير عمليات احتيالهم بعكس الشائعات، وتنتشر المواضيع الساخنة على وسائل الإعلام ذات المصداقية العالية على شكل أخبار عاجلة عادة بسرعة، وعلى وسائل التواصل الاجتماعي بشكل أسرع.
استغلال موضوع الأمن الرقمي وضعف الخبرة التقنية للضحية
هذا النوع من الهندسة الاجتماعية يدعي المهاجم أن رابطا ما أو ملفا ما سيسهم في حماية جهاز الضحية، في حين أنه في حقيقة الأمر الملف أو الرابط خبيث، ويسهم في تدمير الجهاز.
استغلال السمعة الجيدة لتطبيقات معينة:
يدعي المهاجم أن رابطا أو ملفا هو نفسه النسخة المحدثة من تطبيق معين، لكنه في الحقيقة يتضمن ملفا خبيثا، أو يقوم فيها الرابط بتحميل الملف الخبيث وتنصيبه ثم تحميل التطبيق الحميد الحقيقي وتنصيبه بحيث يعتقد الضحية أنه قام بتنصيب التطبيق الحميد.
الاحتيال عبر مكالمات هاتفية:
يزعم المهندس الاجتماعي بأنه مندوب شركة ما تقوم بعمل استبيانات لأهداف بحثية، أو حتى مندوب حكومي يهدف إلى جمع الإحصاءات، أو مندوب مبيعات يحاول إقناع الضحية بشراء منتج ما عبر أسئلة تبدو بريئة للضحية.
الهندسة الاجتماعية المعاكسة:
وهنا تستخدم الهاتف غالبا والوضع هنا أخطر، إذ يدعي المهاجم بأنه شخص ذو منصب وصلاحية في المؤسسة نفسها، مما يجعل الموظف الأصغر مرتبة يرتبك ويخبره بما يريد، الا أنه يعتمد على مدى التحضير المسبق وحجم المعلومات التي بحوزة المهاجم، وكذا ارتباك وذكاء الضحية.
البحث في المهملات
توجد الكثير من المعلومات الهامة التي يمكن الحصول عليها من سلة مهملات الشخص أو الضحية، التي يمكن للمهاجم استغلالها للحصول على بعض معلومات الضحية.
وأكد د. محمد إن الهندسة الاجتماعية يمكن أن تكون في أي مكان على شبكة الإنترنت، ويعرف هذا النوع من هجوم الهندسة الاجتماعية على أنها إعادة نظام الرد الآلي من خلال الرقم المجاني وخداع الناس بالاتصال برقم الهاتف وإدخال التفاصيل الخاصة بهم.
رسائل البريد الإلكتروني:
قد تصل إلى الضحية رسالة تدعي الفوز بجائزة ما، أو تدعي أنها من جهة أهلية مثل البنك أو حكومية، وتطلب إدخال البيانات بشكل مباشر، عبر صفحة تبدو للمستخدم العادي وكأنها غير مزورة.
الإنترنت بشكل عام:
تشكل الشبكة العنكبوتية منجما ضخما للمعلومات، وقد تضاعف حجم هذا المنجم مع ظهور الشبكات الاجتماعية التي أسرف كثير من مستخدميها في عرض معلوماتهم الشخصية ومشاركتها مع الآخرين من خلالها، مما يسهل كثيرا عمل المهندس الاجتماعي.
أسباب تجعل الهاكر يستخدم الهندسة الاجتماعية
وأوضح د. محمد إنه قد يلجأ معظم الهاكر لاستخدام الهندسة الاجتماعية للعديد من الأسباب التي سنذكر بعضها فيما يلي:
سهولة الإعداد والتنفيذ:
أصبح من الصعب اختراق النظام واكتشاف ثغراته، وخاصة إذا كان ذلك النظام محميا من قبل أصحابه، إلا أن كل تلك المصاعب تزول إن وجدت شخصا يوصلك لها، ف الهندسة الاجتماعية لا تتطلب كثيرا من الهاكر سوى أن يتحلى ببعض الأمور مثل الود وحسن الأسلوب والثقة والتحليل الجيد للضحية ليسهل عليه إقناعها، وهو أمر لا يحتاج إلى تعليم أو تدريب.
صعوبة الكشف والتعقب:
تعتبر جرائم الهندسة الاجتماعية من الجرائم النظيفة التي لا يوجد لها أدلة، أو أجهزة، فهي تعتمد كليا على البشر ولذلك نجد أن من الصعب جدا كشفها.
قلة الحماية والوعي لها:
الكثير من الشركات تحرص على الحماية المادية للشركة، سواء ما يتعلق بالأقفال والأمن البشري أو بتدريب موظفيها، وفي المقابل ربما تجهل كثيرا عن الحماية من الهندسة الاجتماعية، فتعتقد معظم الشركات أن الأمن مسؤولية القسم الخاص بها، ولكنها في الحقيقة على كل موظف مسؤولية حماية نفسه وحماية المؤسسة، فالمعلومات التي تبدو صغيرة وغير مهمة، قد تكون نقطة هجوم الهاكر ومفتاحه الرئيسي وثغرة يقتنيها.
الحماية من هجمات الهندسة الاجتماعية:
إلي ذلك، وتحدث د. محمد عن طرق الحماية قائلا: من الملاحظ أن مُعدل نجاح الجرائم الحاسوبية يرتفع بشكل مُطرد، وهو أمر راجع إلى زيادة مُستوى الهندسة الاجتماعية، والعروض التي يتم تقديمها من طرف جهات خبيثة.
لهذا على الشركات أن تظل مُدركة للتهديد الذي يتربص بها، بحيث تكون قادرة على الاستجابة للهجمات، عبر توفير الضمانات التقنية وغير التقنية التي يُمكن تنفيذها لخفض المخاطر المُرتبطة ب الهندسة الاجتماعية إلى مسُتوى مقبول، وهنا تلجأُ بعض شركات إلى إضافة طبقات مُتعددة لمُخططاتها الأمنية حتى إذا فشلت الآلية في الطبقة الخارجية، وهناك آليه واحدة في الطبقة الداخلية يمكن أن يُساعد في منع تهديد قد يتحول إلى كارثة (التخفيف من حدة المخاطر)، وهذا المفهوم المعروف بالدفاع متُعدد الطبقات أو الدفاع في العمق.
وهذه عناصر تتضمن مزيجاً من التدابير الاحترازية:
-أنشاء برنامج وعي أمني بخطورة هجمات الهندسة الاجتماعية.
-إدراك قيمة المعلومات التي يتم السؤال عنها.
-عدم استقبال ملفات عبر البريد الإلكتروني إلا من أشخاص موثوق منهم وفحصها جيداً قبل فتحها أيضاً.
-عدم فتح أي روابط الكترونية قبل فحصها.
-الحفاظ على تحديث البرامج المتوفرة على النظام.
-التفكير قبل الرد والتفكير عند الحديث مع أي شخص.
-وضع صلاحيات على الموظفين في الشركة.
-إضافة برمجيات على المتصفحات لكشف الروابط الخبيثة.
-التبليغ الفوري عن أي هجوم تتعرض له، ويمكن الاستعانة برابط التبليغ لإزالة المحتوى المخالف في فيسبوك Facebook.