الهندسة الاجتماعية

1.    الكلمات المفتاحية

الهندسة الاجتماعية,  الاحتيال الالكتروني, المهندس الاجتماعي, الاحتيال الصوتي , الخدع الاجتماعية

 

2.    الملخص

كثيراً من الأمن البشري, أجهزة وبرامج لحماية النظام, أقفال مقفلة بمئة قفل وشبكات محمية بمئة طريقة, هذا كل ما تعرفه الشركة عن الحماية ولكنها بعد كل ذلك لم تزل غير مؤمنه, لم يزل هناك الخيط الأضعف لم يحمى ومازالت هناك ثغرة تستطيع هجمات الهندسة الاجتماعية اختراقها , ذلك الخيط هو الإنسان بمشاعره وعواطفه, هو الإنسان المحب  للخير وللناس بطبعه والذي استخدمته الهندسة الاجتماعية لأغراضها الخاصة فقد عُرفت الهندسة الاجتماعية على أنها الجريمة المعتمدة على الانتحال والتلاعب بالأشخاص من خلال عواطفهم وطباعهم الفطرية كالصداقة والوفاء وحب الخير للوصول لمعلومات حساسة وتنفيذ جرائم هائلة. قد نراها سهله ولا تحتمل الحذر لكنها في الحقيقة تسبب الكثير من الكوارث لقلة الوعي الكبير لها فمعظم الشركات تهتم بالتأمين المادي والبشري ولكنها تجهل وعي الموظف الذي قد يسبب دمار لتلك الشركة دون قصد منه فحين تواجه موظف محمل بالكثير من الكتب, يداه مشغولتان و وجهه متعب حينها ستبادر فورا بفتح الباب له لأنك تعلم أنه موظف قديم في الشركة  ولكن ماذا أن كان هذا الموظف قد انفصل من العمل لسبب غير أخلاقي وبطاقته دخوله قد سحبت منه هل لك أن تتخيل حينها ماذا ينوي وكيف سيصبح حال الشركة بعد خروجه.
هذه المقالة ستتحدث عن الكثير عن الهندسة الاجتماعية أسبابها وكيف نتجنبها وأنواعها مع ذكر أمثله لكل نوع منها.

1.    المقدمة

ربما أول ما يتبادر إلى أذهاننا حين نسمع بجريمة أو سرقة هو الكم الهائل من الكسر والتخريب والضرر المادي و البشري الذي لم نعد نراه اليوم وخاصة في العالم المرتبط بتقنية المعلومات. العالم الذي تكون فيه المعلومة هي المحور الأهم وحمايتها هي القضية العظمى فكثير من البرامج والتقنيات والأقفال المادية والتقنية وكم كبير من الأمن البشري يحيط بالشركة وذلك لتحقيق الأمن المعلوماتي لها ولكنها بالرغم من كل ذلك مازالت غير آمنه, مازال ذاك الأمن المحيط بها وهم بإمكانهم اجتيازه عن طريق الخيط الأضعف في أمن المعلومات “الإنسان” عن طريق التحايل عليه واستغلال طبيعته البشرية التعاونية لأغراضنا الخاصة, وهو ما يسمى بالهندسة الاجتماعية, التي باتت اليوم أساسا لمعظم الهجمات الالكترونية المجهولة المصدر والمعقدة التعقيب فما هي الهندسة الاجتماعية ولماذا لجاء الهاكر لها, وما أنواعها وكيف للشركات حماية نفسها منها مع ذكر أمثله توضيحية لكل جزء هي ما ستتطرق له هذه المقالة التي تهدف لخدمة المؤسسات والأفراد المهتمين بالأمن المعلوماتي.أهمية المقالة تكمن في توعية الشركات وأصحاب المعلومات الحساسة للأساليب الاحتيال التي صنعها البشر للبشر.

2.    ما هي الهندسة الاجتماعية:

الهندسة الاجتماعية هي القدرة على الحصول على معلومات حساسة وسرية عن طريق التلاعب على الأشخاص بالنقاط الأضعف لهم كالصداقة والجيرة والديانة وغيرها(1). بدأت الهندسة الاجتماعية كوسيلة لسرقة البيانات عن طريق أكبر هاكر في التاريخ كيفين مينك منذ سنوات طفولته الأولى فبعد غياب والده عنه وعنده ثلاث سنوات وانشغال والدته بعملها كنادلة في أحد المطاعم  لتعينهم على الحياة أكتشف كيفين طريقة غير شرعيه لركوب الحافلة مجانا في لوس أنجلوس عن طريق أسئلة ومناقشات تبدو بريئة من طفل صغير لموظف التذاكر وكبر كيفين وكبر معه حبه لهذه الهندسة مع التقنية حتى أصبح اليوم من أكبر هاكر في التاريخ ومؤلف الكتاب المشهور The Art of Deception (2).

3.    لماذا الهندسة الاجتماعية:

يلجاء معظم الهاكر للهندسة الاجتماعية لعدة أسباب منها :
1.    سهله الأعداد والتنفيذ
بالرغم من صعوبة اختراق نظام واكتشاف ثغراته وخاصة أن كان ذلك النظام محمي جيدا من قبل أصحابه إلا أن كل تلك المصاعب تزول إن وجدت شخص يوصلك لها فإن وجدت ذالك سهل اختراقه. علاوة على ذالك الهندسة الاجتماعية لا تتطلب كثيرا من الهاكر سوى أن يتحلى بالود وحسن الأسلوب والثقة  والتحليل الجيد للضحية ليسهل عليه إقناعها وكل ذالك لايحتاج لتعليم وتدريب مطول.
2.    قله الحماية والوعي لها
كثير من الشركات والمؤسسات تهتم وتحرص على الحماية المادية للشركة من أقفال وأمن البشري وتدريب موظفيها وفي المقابل  تجهل كثيرا الحماية من الهندسة الاجتماعية فتعتقد معظم الشركات أن الأمن مسؤولية القسم الخاص بها ولكنها في الحقيقة مسئولية كل موظف فالمعلومات التي تبدو صغيرة وغير مهمة قد تكون نقطة هجوم الهاكر ومفتاحه الرئيسي.
3.    صعبة الكشف والتعقب
جرائم الهندسة الاجتماعية جرائم نظيفة لا يوجد لها أدلة ولا أجهزة فهي تعتمد كليا على البشر ولذلك نجد أن من الصعب جداً كشفها.(3)

4.    أقسام الهندسة الاجتماعية(4):

تصنف جرائم  الهندسة الاجتماعية إلى صنفين :
1.4 هندسة قائمة على أساس تقني.
هي برامج وتقنيات تساعد الهاكر للوصول  للمعلومة  ومن أمثله ذلك :
1.    الاحتيال الالكتروني ( (phishing
يعكس هذا المصطلح على رسالة بريد الكتروني من شركة ائتمان أو بنك وصلتك وتطلب التحقق من معلوماتك  وتحتوي هذه الرسالة على وصلة لصفحة ويب احتياله تظهر مشابهه  تماماً للموقع الرسمي للشركة, هذه الصفحة تطلب منك إدخال كلمة السر واسم المستخدم ومن ثم توجهك للصفحة الصحيحة بعد أن حصلت على كافة بياناتك السرية .
2.    الاحتيال الصوتي (Vising )
يعتمد هذا النوع على برنامجwar Dialler  وهو برنامج يقوم بالاتصال بالعديد من أرقام الهواتف المختلفة في المنطقة وبعد الاتصال يقوم الهاكر بانتظار ضحاياه, ويبدأ الخطر من لحظة رفع السماعة والإجابة على الرسالة الآلية التي تخبره أن بطاقته الائتمانية تخصغ لسرقه وعمليات احتيالية طالب منك رقم البطاقة وبعض البيانات السرية وحينها يحصل الهاكر على ما يريد.
3.    الرسائل الاقتحامية المزعجة (Spam)
هي رسائل الكترونية بعناوين مشوقة للقراءة مثل تهنئة من صديق أو تأكيد بيع أو غيرها وبداخل تلك الرسائل ما يسبب تدمير الجهاز وسرقة معلوماته.
4.    برامج مهمة
وهي مانشهده في بعض المواقع من روابط تحميل برامج ولكنها تكون مدعومة بكلمات اقناعية عن أهمية ذاك البرنامج المكر للجهاز والسارق للمعلومات الحساسة .

2.4   هندسة قائمة على أساس بشري أو أنساني.
جرائم تعتمد على الإنسان وأن صح الوصف فهي جرائم من الإنسان وللإنسان دون تدخل التقنية بينهم ومن أمثلة ذالك:
1.    الانتحال
و ذلك عن طريق وضع سيناريوهات مختلفة تستهدف شي ما, وغالبا ما تكون عبر الهاتف فهي لا تتطلب الحضور وجها لوجه ولكنها تتطلب بعض المعلومات مثل الاسم أو تاريخ الميلاد وغيرها. لعل  قصة الشاب الصغير Stanley Mark اقرب مثال فقد كان ذاك الشاب يعمل في أحد البنوك مسئولا عن عمل النسخ الأحتياطيه لقسم التحويل في ذاك البنك ولأن المعلومات ذات أهمية فسياسة البنك تمنع غير الموظفين بالدخول ولذلك أستغل ستانلي قدرة على الدخول لدخول لمكاتب الموظفين الذين اعتادوا وضع أرقام السرية المتغيرة يوميا لزيادة الحماية أمامهم فقام ستانلي بتدوينها أثناء تظاهره بتدوين ملاحظات لمتابعة سير العمل وبعد خروجه أتصل على القسم متحايلا لشخصية مستشار البنك  هانسن واستطاع إقناع البنك بها وكسب مبلغ من المال يزيد عن 8 ملايين دولار المبلغ كبير جدا والتخطيط للحصول علية  لم يتجاوز ساعات معدودة.
2.    الغوص في سله المهملات
من الخطأ الشائع رمي البريد أو ورقة غير مرغوب فيها في سله المهملات دون تمزيق أو إزالة بياناتها فقد تكون سلة المهملات جسر الهاكر الأقوى  لسرقة الهوية وبالتالي يستطيع إقناع ضحيته, وكذلك الأقراص فمعظم الشركات تعتقد أن مسح بيانات القرص كفيله بإزالتها تماما ولكن هناك طرق تقنية عديدة لاستعادتها حتى بعد مسحها.
3.    التجسس والتصنت
يمكن للهاكر سرقة كلمة المرور ومعلومات مهمة عن طريق مراقبة الضحية حين كتابتها أو التصنت والاستماع لمحادثة هاتفية لذلك ينصح دائما بتجنب كتابة كلمات السر والمعلومات المهمة على ورق تحت لوحة المفاتيح أو حتى تبادلها.

5.    الحماية من الهندسة الاجتماعية (2)

الحماية من هجمات الهندسة الاجتماعية  تشمل ثلاث مراحل :
1.    السياسات والقوانين:
بمعنى وضع سياسات فعالة تضمن وعي الموظفين مثل الابتعاد عن تبادل كلمة السر وتحديد إستراتيجية لإجابة عن تساؤلات الموظفين أو أي سؤال من خارج الشركة.
2.    الموظفون:
وذلك عن طريق التعلم والتعلم والتعلم ثم التدريب لأن الكل منا عرضة لأن ينسى ومن سجايا النفس البشرية الثقة والتعاون مع الآخرين. كذلك يجب أن تحرص الشركة على توظيف  الموظفون اليقظون وأن يكونوا  من أهل الثقة والمسؤولية .
3.    البنية التحتية :
من حيث الحماية من الفيروسات والتأكد من الهويات عند الدخول للشركة .

6.    الخلاصة

تعد جرائم الهندسة الاجتماعية الأذكى والأسهل بين الجرائم ولذلك لابد للشركات الاهتمام بها ونشر التوعية بين موظفيها لأنها جريمة  تبدأ من كل موظف في الشركة فهي ليست مقيدة بقسم عن الآخر ولا بموظف عن الآخر و المعلومات التي نراها بريئة وغير مهمة قد تفتح للهاكر أفاق تؤدي لخسائر فادحة لا يمكننا حصرها.فلنبتعد بعملنا عن عالمنا وطبيعتنا العاطفية وأهمها الثقة لأنها أساس الخداع ولنحرص على التوعية وسن القوانين المناسبة فلا نرسم لمعلوماتنا حياة وردية حتى تحدث الكارثة.

الكاتب ayman

ayman

مواضيع متعلقة