لقد أصبحت الهندسة الاجتماعية، التي يُطلَق عليها أحيانًا إسم: علم أو فن اختراق العقول، ذات شعبية كبيرة في السنوات الأخيرة نظرًا للنمو الهائل والمتسارع لشبكات التواصل الاجتماعي والبريد الإلكتروني والأشكال الأخرى للاتصالات الإلكترونية. وفي مجال أمن المعلومات، أصبح هذا المصطلح مستخدمًا على نطاق واسع للإشارة إلى مجموعة من الأساليب التي يستخدمها المجرمون في الحصول على المعلومات الحساسة أو إقناع الضحايا المستهدفَة بتنفيذ بعض الإجراءات التي تساعد على اختراق أنظمتهم والإضرار بها.
ومع توفُّر العديد من المنتجات الأمنية المتاحة اليوم، أصبح المستخدم النهائي مُحَصَّنًا ومحميًا إلى حدٍ كبير، وتتمَثَّل هذه الحماية في مجموعة من بيانات اعتماد تسجيل الدخول (اسم المستخدم وكلمة المرور)، أو رقم بطاقة الائتمان أو الحساب المصرفي، وغالبًا لا تكون التكنولوجيا هي الحلقة الأضعف في هذه السلسلة الأمنية، بل هي: الإنسان ذاته. ويرجع ذلك إلى التلاعب النفسي، ولهذا السبب يصبح من المهم للغاية معرفة أنواع الحيل والخدع المُستَخدَمَة في هذا الأمر، وكيفية الوقاية منها.
ولا تُعَد الهندسة الاجتماعية شيئًا جديدًا
فقد كانت موجودة منذ الأزل، ومن أشهر المهندسين الاجتماعيين كيفين ميتنيك وفرانك أباجنيل، وقد أصبحا الآن مستشارين أمنيين مشهورين، ومن خلال هذا المثال يمكننا أن نرى كيف أصبح التحوُّل من مجرم إلى خبير أمني أمرًا ممكنًا.
على سبيل المثال، فرانك أباجنيل، كان واحدًا من المحتالين الأكثر شهرة؛ حيث انتحل هويات متعددة وقام بتزوير شيكات وخدع الكثير من الناس من أجل أن يفصحوا عن المعلومات التي يحتاجها لمواصلة عمليات احتياله. إذا كنت قد شاهدت فيلم Catch Me If You Can سوف يصبح لديك خلفية عمَّا يمكنه أن يفعل المهندس الاجتماعي عندما يكون لديه هدف واضح.
تَذَكَّر فقط أن المهندس الاجتماعي قد لا يعتمد فقط على الحيل التكنولوجية أو الكمبيوتر للحصول على معلوماتك. لذلك ينبغي عليك أن تكون حذرًا بشأن الأنشطة اليومية التي قد تبدو مشبوهة ومريبة. على سبيل المثال، إمكانية الإفصاح عن كلمة المرور في مكالمة هاتفية؛ حيث يبدو هذا الأمر غير حكيم. ومع ذلك، تتغَيَّر وجهة النظر هذه عندما تتلَقَّى مكالمة هاتفية من “قسم الدعم الفني” التابع لشركتك في وقت مبكر من صباح يوم الأحد ليطلب منك أن تزور المكتب للقيام ببعض التحديثات التقنية البسيطة على جهاز الكمبيوتر الخاص بك.
في هذه الحالة سوف تخبر “مسؤول شبكة الاتصال” بكلمة مرورك، وبالإضافة إلى ذلك، ستقول: “شكرًا”! أو ربما تكون حذرًا للغاية بالنسبة لهذا الأمر، إلا أن العديد من زملائك ليسوا كذلك.
“تُنفِق الشركة مئات الآلاف من الدولارات على جدران الحماية والتشفير والتقنيات الأمنية الأخرى، ولكن إذا استطاع المهاجم أن يتصل بأحد الأشخاص الموثوق بهم داخل الشركة، واستجاب له هذا الشخص، ومن ثَمَّ استطاع المهاجم التسلل إلى نظام الشركة، فإن ذلك يعني ضياع كل هذه الأموال التي تم إنفاقها على التكنولوجيا.”
كيفين ميتنيك
إن معظم مجرمي الإنترنت لا ينفقون الكثير من الوقت في محاولة القيام باختراقات تكنولوجية معقدة عندما يعلمون أنه من الأسهل بكثير أن يستخدموا الهندسة الاجتماعية من أجل تحقيق أغراضهم. وبالإضافة إلى ذلك، هناك العديد من المواقع الإلكترونية التي تحتوي على معلومات قيمة تفيد في معرفة المزيد عن هذه الأنواع من التقنيات ولماذا تُعَد ناجحة للغاية عند استخدامها لخداع الناس.
ومن أشهر هذه المواقع: SocialEngineer.org الذي يوفر إطارًا ونظامًا لمعرفة النظرية وراء سبب كل نوع من أنواع الهجمات، بالإضافة إلى العديد من الأمثلة المأخوذة من العالم الحقيقي التي تدعم التعاريف والمفاهيم التي سبق ذكرها.
نحن نستخدم اللغة البسيطة المتداولة يوميًا للتأثير على بعضنا البعض دون أن نكون على علم بهذا. إلا أن هذه اللغة تصبح لديها بعض السلبيات عندما يُنظَر إليها من وجهة نظر المهندس الاجتماعي؛ لأنها مرتبطة بتجاربنا الذاتية.
على الرغم من ذلك، تعتبر البرمجة اللغوية العصبية المُختَرَعَة لأغراض علاجية شكلاً متطورًا للتنويم المغناطيسي المُستَخدَم من قِبَل العديد من المهندسين الاجتماعيين كأداة للتأثير على الضحايا والتلاعب بهم من أجل حثِّهم على القيام بالإجراءات اللازمة لشن هجوم ناجح. وقد تشتمل هذه الإجراءات على الإفصاح عن كلمة المرور أو الإدلاء بمعلومات سرية أو تعطيل إجراء أمني أو أي شيء يمكن أن تتخيله يصلح لأن يكون نقطة انطلاق لمزيد من تطوير عملية التسلل والاختراق.
وعلى الرغم من أن العلاقة بين علم النفس والقرصنة تبدو غير وثيقة؛ نظرًا لبعد المسافة بين المجالين، إلا أن الحقيقة الصادمة هي أن الهجمات التي تُشَن عبر الإنترنت تقوم على نفس المباديء الخاصة بعمليات الاحتيال التي تتم على أرض الواقع. وتتمثل هذه المباديء في: رغبة كل شخص في تبادل المجاملات (إذا فعلت من أجلك معروفًا من المفترض أنك ستفعل أيضًا نفس الأمر معي) والعقل الجمعي (الإيمان برأي الأغلبية والاعتقاد بأنه الأصح)، السلطة (أي الثقة في ضابط الشرطة والطبيب وعامل الدعم الفني)، وغير ذلك، حيث تُعَد كل هذه الأمور وسائل عامة لبناء علاقة مع شخص ما ولتلبية احتياجتنا الإنسانية الأساسية.
ويعرف المهندس الاجتماعي ما هي الأزرار التي يجب أن يضغط عليها ليحصل على الاستجابة المطلوبة من قِبَلنا، وذلك من خلال إنشاء سياق (إطار) يجعل تاريخه المُختَرَع معقولاً وقابلاً للتصديق، ويُعَد خداع عملية تفكيرنا العقلاني أمر غير صعب بالنسبة للأفراد ذوي المهارات العالية؛ حيث يستغرق هذا الأمر جزءًا من الثانية ليصبح لديهم – بعد ذلك – ما يحتاجون إليه للحصول على ما يريدونه.
ومع ذلك، سوف نُرَكِّز بشكل رئيسي في هذا المقال على التقنيات المختلفة التي يستخدمها مجرمو الإنترنت لأداء أنشطتهم التي تهدف إلى الحصول على المعلومات والأرباح غير القانونية من ضحاياهم. وكما ذكرنا سابقًا، تعتبر المباديء المستخدمة في الاحتيال على الإنترنت هي ذاتها المباديء التي تعتمد عليها عمليات الاحتيال في الحياة الواقعية.
ولكن، لأن شبكة الإنترنت تُعَد وسيلة ضخمة لتوزيع المعلومات؛ فإن ذلك يعني، على سبيل المثال، إمكانية إرسال رسالة تصيد واحدة إلى ملايين من المستلمين خلال فترة وجيزة من الزمن مما يجعل هذا النوع من الهجوم لعبة أرقام، وحتى إذا انطلت هذه الحيلة على عدد قليل من الأهداف المقصودة فإن ذلك يؤدي إلى جَني أرباح هائلة بالنسبة للعصابة الإجرامية أو الشخص المسؤول عن ذلك.
“ما فعلته في شبابي أصبح اليوم أسهل مائة مرة، إن التكنولوجيا تُوَلِّد الجريمة.” فرانك ويليام أباجنيل
اليوم، تعتبر رسائل التصيد الاحتيالي واحدة من الأساليب الأكثر شيوعًا للحصول على المعلومات السرية (تساعد كلمات المرور المختصرة على نجاح عمليات التصيد)
من الممكن وصف عملية التصيد بصفتها نوعًا من الاعتداء على جهاز الكمبيوتر أو الاحتيال عليه، والذي يُعَزِّز من مباديء الهندسة الاجتماعية بهدف الحصول على معلومات خاصة من الضحية. وعادة ما يعتمد مجرمو الإنترنت على البريد الإلكتروني أو الرسائل الفورية أو الرسائل القصيرة من أجل توصيل رسالة التصيد التي ستقنع الضحية إما بالإفصاح المباشر عن المعلومات أو القيام بإجراء (مثل الدخول إلى موقع وهمي على شبكة الإنترنت أو النقر فوق رابط تحميل لأحد البرامج الخبيثة، .. إلخ) يسمح للمهاجم – دون علم الضحية – بالاستمرار في خطته ذات النية السيئة.
لقد شهدنا تطورًا في مجال البرامج الخبيثة بالتزامن مع الهندسة الاجتماعية. في الماضي، كان الفيروس الذي يصيب الكمبيوتر واضحًا تمامًا للمستخدم وكان يعرض صناديق رسائل وهمية ورموز وصور أو أي شيء من شأنه أن يُقِر بالجميل للمصمم مقابل إبداعه. في الوقت الحاضر، أصبح من المألوف أن تجد برنامجًا خبيثًا يشق طريقه إلى نظام الضحية عن طريق حيل وخدع الهندسة الاجتماعية ويظل مختبئًا حتى يحتاج إلى تفعيل حمولته الخبيثة. وهكذا لا تنتهي أبدًا لعبة القط والفأر بين المجرمين وشركات الأمن والتي ينتج عنها إبداع واحدة من آليات الدفاع الأساسية لكل مستخدم.
من الممكن العثور على العديد من عينات البرامج الخبيثة المثيرة للاهتمام والتي تعتمد على الهندسة الاجتماعية من أجل توصيل هجومها إلى الضحية بشكل فعال، ومن أشهر الوسائل المستخدمة في عملية التوصيل هو ما يُسَمَّى بالتحديثات الوهمية لبرنامج Flash Player، والملفات المدمجة في وثائق وورد، ونسخ المتصفحات المشروعة ذات الجودة المنخفضة مثل إنترنت إكسبلورر غيرها.
صورة لأحد المواقع الإلكترونية التي توزع البرامج الخبيثة والتي تستخدم التحديث الوهمي لبرنامج Flash Player لخداع المستخدمين ودعوتهم إلى تثبيت البرنامج
تستهدف معظم الهجمات المذكورة في المثال جماهير أميركا اللاتينية بشكل أساسي؛ وذلك لأن هذه الأنواع من التهديدات التكنولوجية غير معروفة أو مفهومة في المنطقة. وبالإضافة إلى ذلك، فإن معظم أنظمة الكمبيوتر في هذه المنطقة تعمل ببرامج قديمة مما يعطي لمجرمي الإنترنت فرصة تجارية كبيرة. وحتى وقت قريب لم تكن هناك أي تعزيزات لبعض التدابير الأمنية الخاصة بالخدمات المصرفية، وعلى الرغم من اتخاذ بعض من هذه الإجراءات، إلا أنه لا يزال هناك العديد من الثغرات التي تستطيع أن تساعد على شن هجوم ناجح للهندسة الاجتماعية في أمريكا الجنوبية.
هناك أيضًا هجمات أخرى هي الأكثر شعبية في المنطقة حتى وإن كانت لا تقع بالكامل ضمن فئة الاحتيال الإلكتروني، وهي عملية الاحتيال المُسَمَّاة بـ “الاختطاف الافتراضي” التي تستخدم تكتيكات التسويق عبر الهاتف القائمة على الهندسة الاجتماعية من خلال الزعم بأن أحد أفراد عائلة الضحية قد تم اختطافه ويجب أن يتم دفع فدية دون مزيد من التأخير لضمان سلامته وحريته. وعن طريق الاستفادة من شعور الضحية بالاستعجال والخوف يتم الامتثال لمطالب المهاجم دون حتى معرفة ما إذا كان هناك أصلاً شخص مختطف ليساوم عليه. في أمريكا اللاتينية حيث ينتشر هذا النوع من الجرائم مما يساعد المجرمون هناك على الحصول على أرباح ضخمة من خلال استخدام مثل هذه الخطط التي تستغل الصفات المميزة للسلوك الإنساني.
“لا تستطيع الشرطة أن تحمي المستهلكين، بل يحتاج الناس إلى أن يكونوا أكثر وعيًا وتعليمًا بشأن حوادث سرقة الهوية. لذلك ينبغي عليك أن تكون أكثر حكمة وذكاء، وليس هناك شيء خطأ إذا كنت متشككًا؛ لأننا نعيش في زمن إذا استطاع فيه أحد الأشخاص أن يسرقك، سوف يسرقك.”
فرانك ويليام أباجنيل
بالإضافة إلى ذلك، فإنه من المهم أن نأخذ في الاعتبار أن أي معلومات تقوم بنشرها علنًا على الإنترنت (فيس بوك، تويتر، فورسكوير، .. إلخ) قد يعطي للمجرمين فكرة عن كيفية الربط بين النقاط التي تتواجد عليها أنت وهويتك الحقيقية. لا تُعَد الهجمات الموجهة (التصيد الاحتيالي) شائعة، ولكن إذا قمت بتوفير معلومات قيمة دون إعادة النظر والتفكير فيها فأنت بذلك تساهم في جعل حياة مجرمي الإنترنت تسير على نحو أسهل. حتى وإن كانت تلك المعلومات قائمة الأمنيات للأمازون (Amazon wish list) فإنها بذلك قد تكون بوابة لعملية اختراق ملحمي للهندسة الاجتماعية
وكما ذُكِرَ سابقًا، يُعَد تثبيت مجموعة الأمن الكاملة أمرًا إلزاميًا وإجباريًا في هذه الأيام وذلك إذا كنت تقوم بأي نوع من النشاطات على شبكة الإنترنت (وغالبًا ما تقوم بذلك)، وبالإضافة إلى ذلك، من المهم أن تُحَدِّث معلوماتك حول آخر التهديدات وحيل وخدع الهندسة الاجتماعية لأن ذلك يعطيك أفضلية تحتاج إليها لتجنب الوقوع كضحية لهذا النوع من الهجمات (على الإنترنت أو دون ذلك). تذكر أن جميع الأدوات التكنولوجية وآليات الدفاع تعني لا شيء تقريبًا إذا كنت لا تعرف كيفية استخدامها ومعرفة ما يمكن للأشرار الوصول إليه في الوقت الحالي. لذلك ينبغي عليك أن تُطَوِّر نفسك مثلما تتطوَّر الجريمة.