الهندسة الاجتماعية عبارة عن مجموعة من التقنيات المستخدمة لجعل الناس يقومون بعمل ما أو يفصحون عن معلومات سرية وشخصية. تـُستخدم الهندسة الاجتماعية أحياناً ضمن احتيال الإنترنت – إختراق الحسابات – … لتحقيق الغرض المنشود من الضحية، حيث أن الهدف الأساسي للهندسة الاجتماعية هو طرح أسئلة بسيطة التي قد يظن الضحية أنها تافهة (عن طريق الهاتف أو البريد الإلكتروني مع انتحال شخصية ذي سلطة أو فتاة جميلة على مواقع التواصل الإجتماعي أو ذات عمل يسمح له بطرح هكذا أسئلة دون إثارة الشبهات).
عنما يُطلب من المستخدمين التفكير في أمنهم وسلامتهم على الإنترنت، فإن أفكارهم تتحول باتجاه الهواتف الذكية والحواسيب المحمولة واللوحية وكيفية المحافظة عليها بعيداً عن المخترقين والبرمجيات الخبيثة.
وبطبيعة الحال يجب الحرص على هذا التفكير وتعزيزه ومتابعة الإرشادات الأمنية المتعلقة به، لكن مع ذلك فإن هذا الجزء لا يُمثل سوى نصف القصة.
فالجانب الآخر للأمن عبر الإنترنت يُمثل أهمية أكبر بكثير وهو العنصر الأكثر فاعلية في الحماية الأمنية ألا وهو العنصر البشري.
فحتى لو استطاع مطورو النظم الأمنية الوصول إلى نظام معصوم من البرمجيات الخبيثة ولا يُمكن اختراقه، وهذا لن يحدث على الأقل حالياً، إلا أن هذه النظم تبقى مرهونة بالتفاعل البشري وبطريقة تعاطي المستخدم مع النظام، لذا فكل شيء يتمحور حول المستخدم نفسه “البشر”.
الهندسة الاجتماعية
لذا يعتمد الكثير من المخترقين والقراصنة حول العالم على العنصر البشري فقط وبعيداً عن التفاعل بينه وبين الأجهزة، وهو ما يُعرف بالهندسة الاجتماعية.
وباختصار يُمكن تعريف الهندسة الاجتماعية على أنها التلاعب بالبشر وخداعهم بهدف الحصول على بيانات أو معلومات أو أموال كانت ستظل خاصة وآمنة ولا يُمكن الوصول إليها.
ومن هنا يستخدم المخترق المتحايل “المهندس الاجتماعي” مهاراته لاستهداف نقاط الضعف البشرية في محاولة للتحايل على الضوابط والإجراءات التي من شأنها أن تمنعه من الحصول على المعلومات التي يحتاجها.
ما هي نوعية المعلومات التي يُمكن خسارتها؟
الإجابة باختصار “كل شيء”، ففي عصر المعلومات يمكن أن يكون لأي معلومة قيمة، الشخص الذي يستهدفك أيضاً له دوافع معينة وبالتالي لا يُمكن الاستهتار بأي معلومة تخسرها.
وبالطبع فإن المخترقين الذين يعتمدون على الهندسة الاجتماعية يركزون بصورة أساسية على الخدمات المالية مثل الحسابات البنكية على الإنترنت أو أي معلومات تساعدهم في الحصول على أموال.
احمِ نفسك
أولاً: النصيحة الأساسية التي تجنبك الكثير من المشاكل الأمنية، هي “لا تُشارك أبداً أي معلومات أو أي بيانات شخصية مع أي جهة كانت” وعلى الرغم من سهولة القيام بهذا الأمر إلا أن الكثير من المستخدمين يغفلون عن هذه النصيحة.
ثانياً: تحقق دائماً من الأشخاص الذين تتحدث إليهم سواءً عبر الهاتف أو عبر البريد الإلكتروني أو خدمات التواصل الفوري وغيرها، مثلاً لو كان المتصل من شركة رسمية فلا تجد حرجاً أن تطلب منه معلوماته الكاملة وأن يقوم بالاتصال من رقم هاتف رسمي يُمكن التحقق منه.
ثالثاً: لا تفتح مرفقات البريد الإلكتروني من أشخاص غير معروفين، فلغاية الآن يتم استخدام هذه الطريقة على نطاق واسع لنشر البرمجيات الخبيثة والحصول على المعلومات الشخصية، وذلك من خلال انتحال هوية شركات كبرى وإرفاق بعض الملفات في البريد.
رابعاً: اعمل على تأمين هاتفك الذكي أو حاسبك المحمول، يُمكن أن تعتمد على فلترة البريد المزعج بالاعتماد على أدوات خاصة، كذلك اعتمد على برامج قوية لمكافحة الفيروسات تتضمن أدوات لمكافحة رسائل وصفحات التصيد.
نجاح الهندسة الاجتماعية
الموضوع ببساطة يعتمد على استهداف الناحية النفسية للإنسان، حيث يستخدم المخترقون بعض المحفزات الأساسية للسلوك البشري مثل زرع الخوف والفضول والإلهاء والحماسة وغيرها.
فيمكن لصورة عبر البريد الإلكتروني أن تثير عواطفك للتبرع لجهة خيرية معينة بشكل مخادع، أو من خلال إثارة الخوف داخلك عبر إعلامك باختراق إحدى حساباتك وأنه يجب إعادة تعيين كلمة المرور، أو يُمكن أن يدفعك الفضول لمشاهدة هذه الصورة المضحكة أو قراءة خبر مثير للاهتمام.
الحرص
حسناً، قد يدور في ذهنك الآن أنه لا يُمكن أن أنخدع بمثل هذه الأساليب الاجتماعية، لكن يجب عليك أن تعلم أن بعض المسؤولين الكبار في الشركات العالمية قد تعرضوا لمثل هذه الأنواع، فهناك طرق يتم استخدامها تفوق عمليات النصب التي يتم استخدامها في أقوى أفلام الجريمة لذا لا تعتمد فقط على حرصك وذكائك بل تأكد من اتباعك للممارسات الأمنية الصحيحة في كل الأحوال.
الشركات
أظهرت دراسة أجرتها شركة فيريزون Verizon مؤخراً أن الكثير من هجمات الاحتيال والتصيد تستهدف موظفي الإدارة المالية داخل الشركات، نظراً لكونهم المشرفين على عمليات تحويل الأموال.
وربما يكفيك تأكيد شركتي جوجل وفيس بوك تعرضهم لمحاولة احتيال بقيمة 100 مليون دولار قبل أيام، لتعلم كيف يقوم هؤلاء المخترقين بأعمالهم على درجة عالية من الاحترافية.
لذا ينبغي على الشركات العمل على تدريب الموظفين، خصوصاً موظفي القطاع المالي، على اتخاذ التدابير الأمنية السليمة، فالعامل البشري هو الجزء الأهم في أي نظام تتبعه مهما كان هذا النظام آمن.
أشهر المهندسين الاجتماعيين
من بين المهندسين الاجتماعيين المشهورين:
فرانك أباغنال (Frank Abagnale)
دايفيد بانون (David Bannon)
ستيفن جاي راسل (Steven Jay Russell)
بيتر فوستر (Peter Foster)
ديفيد كينيدي David Kennedy) وهو من أنشأ ما يعرف بـ ((Social-Engineering Toolkit (SET)
ابو مسلم abu muslim) in IQ)
حسن البغدادي Hassin) in IQ)
مليكا malika) in IQ)
قاسم حسين qassim) in IQ)
كيفين ميتنيك the profissor