تعرف على "الهندسة الاجتماعية" وكيف يتم التلاعب بالعقول

منوعات | 9-03-2023, 17:40 |

+A -A

بغداد اليوم - متابعات

هل خطر في بالك يوماً أن تتم سرقة بياناتك طوعاً بكامل إرادتك، كأن تعطي أكواد التحقق الخاصة بإجراءات مصرفية تصل إلى هاتفك إلى شخص أخبرك أنه موظف البنك؟

ربما تجهل الغالبية العظمى مدى خطورة التسهيلات التكنولوجية التي أصبحت في متناول أيدينا الآن، وكيف يمكن لها أن تكون سلاحاً ذا حدين في حال لم يكن لدينا ثقافة أمن المعلومات.

لذا يجب الإحاطة بمجموعة من المفاهيم ومعرفة الحيل المستخدمة، حتى لا نقع فريسة احتيال أثناء نشاط بشري ربما يبدو طبيعياً أو حتى لصالحنا، فبدلاً من محاولة الجاني العثور على ثغرة أمنية قد يتصل بالضحية ويتظاهر بأنه مسؤول دعم تكنولوجيا المعلومات، في محاولة لخداع الضحية لإفشاء كلمة المرور الخاصة به.

إنها الهندسة الاجتماعية أذكى طرق الاحتيال المنتشرة اليوم، فما هي؟ وما مدى خطورتها؟ وهل هناك طرق ناجعة لتجنب الوقوع ضحية الاحتيال؟

تقنية تلاعب

تعرف الهندسة الاجتماعية بأنها فن استغلال علم النفس واستثمار الخطأ البشري للوصول إلى الأنظمة أو الحصول على معلومات خاصة بدلاً من استخدام تقنيات القرصنة التقنية، وينطبق المصطلح على مجموعة واسعة من الأنشطة الخبيثة التي تتم من خلال التفاعلات البشرية والتلاعب النفسي لخداع المستخدمين ودفعهم إلى ارتكاب أخطاء أمنية أو الكشف عن معلومات حساسة.

وتشمل عبارة "الهندسة الاجتماعية" نطاقاً واسعاً من سلوكيات يعد القاسم المشترك بينها جميعاً هو استغلالها بعض الصفات الإنسانية المشتركة مثل الخوف والجشع والفضول واللطف واحترام السلطة وما إلى ذلك، لجذب الضحايا وتنفيذ المخططات.

وتكمن خطورة الهندسة الاجتماعية في اعتمادها على الخطأ البشري بدلاً من استغلال نقاط ضعف البرامج وأنظمة التشغيل، مما يجعل التعرف إليها وإحباطها أكثر صعوبة، وكانت قد ذكرت أحدث تطبيقاتها أخيراً في قضية اختراق حسابات "تويتر" وتسريب بيانات مئات الملايين من المستخدمين وأرقامهم السرية، فقد نوه بأنه قد يقع بعض المستخدمين ضحية الاحتيال عبر اتباع المخترقين أسلوب الهندسة الاجتماعية.

أشكال عدة

تأتي هجمات الهندسة الاجتماعية في أشكال عدة، مثل الاصطياد أو الطعم، وتماماً كما يوحي اسمها تستخدم عنواناً أو وعداً كاذباً لإثارة جشع الضحية أو فضولها واستدراجها إلى الفخ، كأن يترك المهاجمون مثلاً قرص تخزين "يو أس بي" (flash) مصاباً بالبرامج الضارة كطعم، ويتركونها في مناطق ظاهرة من السهل رؤيتها من قبل الضحايا المحتملين.

ويمتلك الطعم مظهراً يوحي بالصدق والموثوقية، مثل ملصق مكتوب عليه قائمة كشوف رواتب الشركة، فيلتقط الضحايا الطعم بدافع الفضول ويدرجونه في كمبيوتر العمل أو المنزل، مما يؤدي إلى تثبيت البرامج الضارة تلقائياً على النظام.

وأكثر أنواع هجمات الهندسة الاجتماعية شيوعاً بشكل عام عمليات "التصيد الاحتيالي"، وهي حملات تشن عبر البريد الإلكتروني والرسائل النصية وتهدف إلى خلق شعور بالفضول أو الخوف لدى الضحايا أو الإيحاء بوجود مطلب ملح، الأمر الذي يدفعهم إلى الكشف عن معلومات حساسة أو فتح مرفقات تحتوي على برمجيات ضارة أو النقر فوق روابط موقع ويب غير شرعي (مطابق تقريباً في مظهره لإصداره الشرعي) يدفع المستخدم إلى إدخال بيانات الاعتماد الحالية وكلمة المرور الجديدة، التي يتم إرسالها إلى المهاجم مباشرة.

التصرف كمسؤول

لكن أكثر أشكال الهندسة الاجتماعية انتشاراً في عالمنا العربي اليوم هو ما يسمى "الذريعة"، ومن خلالها يحصل المهاجم على معلومات عبر سلسلة من الأكاذيب المصوغة بذكاء، غالباً ما يبدأ الاحتيال من قبل الجاني الذي يتظاهر بالحاجة إلى معلومات حساسة من الضحية لأداء مهمة حرجة تحتاج إلى معالجة سريعة.

ويبدأ المهاجم عادة بتأسيس الثقة مع ضحيته من خلال انتحال صفة زميل في العمل أو عنصر شرطة أو مسؤول بنك وضرائب، أو غيرهم من الأشخاص الذين لديهم حق المعرفة ثم يطرح مجوعة أسئلة توصله في النهاية إلى تأكيد هوية الضحية، التي من خلالها يجمع بيانات شخصية مهمة.

واحدة من هذه الطرق تحدث الآن بشكل بسيط جداً وهي تحويل الأموال إلى محفظة اتصالات كاش، وهي عبارة عن محفظة إلكترونية توفرها شركات الاتصالات لعملائها لإنجاز جميع معاملاتهم المالية بسهولة من تحويل وسحب وإيداع للأموال من أي مكان وفي أي وقت من خلال الهاتف المحمول.

والطريقة كالتالي، يبدأ الاحتيال بأن تصل رسالة للضحية مفادها "تم إيقاف الفيزا كارد الخاصة بك الرجاء الاتصال لتفعيلها"، القلق يدفع الضحية إلى الاتصال مباشرة ومن دون تفكير مع المخترق الذي ينتحل صفة وظيفية في البنك لإيهامه بأن لديه مشكلة في حسابه يمكن أن تعرضه للاختراق وهو هنا لمساعدته.

وفعلاً قد يستجيب الضحية وتبدأ العملية الاحتيالية بطلب بيانات البطاقة والرقم السري، بخطوات دقيقة توصل الضحية إلى مكان يسلم فيه طوعاً جميع بياناته وحتى رمز التحقق السري للغاية، الذي لا يجوز مشاركته مع أي شخص حتى موظفي البنك أنفسهم.

ومن داخل تطبيق المحفظة تبدأ عملية الاحتيال باتباع خيار (شحن المحفظة باستخدام فيزا كارد) وفيه يدخل بيانات الضحية كاملة، ثم يبدأ بسلاسة بسحب الأموال دفعة تلو الأخرى مستخدماً رمز التحقق السري الذي يزوده به الضحية مباشرة على الهاتف.

التأكد من المصدر

إذاً، الهدف هو المعلومات والبيانات الخاصة بالضحية، وطريقة الخداع وزرع الخوف للإيهام بوجود مشكلة، توصل إلى إعطاء شخص بياناته الخاصة إلى شخص يوهمه أنه يحاول مساعدته في تلك اللحظة، وتحدث الهجمات بخطوة واحدة أو أكثر، إذ يقوم الجاني أولاً بجمع المعلومات الأساسية الضرورية واللازمة للشروع في الهجوم على الضحية المستهدفة، وبعد ذلك يتحرك لكسب ثقة الضحية وتوفير المحفزات للإجراءات اللاحقة التي تكسر ممارسات الأمان، مثل الكشف عن معلومات حساسة أو منح الوصول إلى الموارد المهمة.

لذا يجب البقاء يقظاً والحذر عند وصول رسائل هاتفية والتحقق من الرقم المرسل منه أولاً، والامتناع عن تزويد أي شخص أياً كان بياناتك الخاصة على الهاتف، والأمر ذاته عند وصول بريد إلكتروني تشعر بالقلق حياله.

وينصح ألا تفتح رسائل البريد الإلكتروني والمرفقات من مصادر مشبوهة أو من جهة اتصال غير معروفة، وحتى في حال معرفتك بالشخص وشكك في رسالته، يجب القيام بمراجعة وتأكيد الأخبار من مصادر أخرى قبل اتخاذ أي إجراء، بخاصة أن عناوين البريد الإلكتروني تنتحل طوال الوقت، حتى الذي يزعم أنه قادم من مصدر موثوق قد يكون صنيعة مهاجم بالفعل.

وكذلك الحذر من الانجذاب إلى عروض خادعة على الإنترنت، بخاصة العروض التي تبدو مغرية للغاية، وهنا يمكن أن يساعدك البحث عن الموضوع على محركات البحث، لتحديد ما إذا كنت تتعامل مع عرض مشروع أم فخ.

كما يساعد استخدام المصادقة المتعددة أو تأكيد هوية المستخدم باتباع عوامل عدة، على ضمان حماية حسابك في حالة الاختراق، ومن المهم أيضاً المحافظة على تحديث برنامج مكافحة الفيروسات والبرامج الضارة.