الهندسة الاجتماعية .. أسلوب فعّال في اختراق الأنظمة الإلكترونية

د. ناجي شكري الظاظا*

الهندسة الاجتماعية تعتبر الهندسة الاجتماعية Social Engineering من أهم وسائل المهاجمين من الداخل والخارج. فهي تتيح للمهاجم الحصول على ما يحتاجه من معلومات مهمة لتنفيذ هجومه من خلال خداع الآخرين لكسر الإجراءات الأمنية العادية، والإفشاء عن معلومات يستخدمها المهاجم في بناء خطة الهجوم. وهي طريقة الهجوم المستخدمة من قبل العديد من المهاجمين, والتي تستفيد من طبيعة البشر ونقاط الضعف فيها, للتلاعب عليهم وخداعهم بكسب ثقتهم وذلك من أجل الحصول على المعلومات السرية، سواء كانت كلمات المرور الخاصة أو غيرها من حساسية المعلومات الشخصية وتوظيفها لشن الهجوم الإلكتروني.

وكعادة المصطلحات ذات الطابع الإنساني فلا يوجد تعريف متفق عليه للهندسة الاجتماعية إلاّ أنه يمكننا القول بأن الهندسة الاجتماعية هي استخدام المهاجم حيلاً نفسية للحصول على معلومات سرية أو خاصة من الضحية لتوظيفها في اختراق النظام إلكترونياً.

“فإن المهاجم من خلال المعلومات التي جمعها عن الضحية يستطيع بكل سهولة أن يهاجم تلك الحسابات والتطبيقات، ومن ثم الحصول على ما يريده بناء على طبيعة الضحية أو المؤسسة”

تبرز أهمية الهندسة الاجتماعية كونها من أنجح الوسائل التي يستخدمها المهاجمون لسهولتها ونجاعتها، كما أن أكثر المستخدمين لأنظمة المعلومات وحتى بعض العاملين في مجال أمن المعلومات لا يعيرون الاهتمام الكافي للوقاية والحماية من الحيل النفسية التي يستخدمها المهاجمون. وفي الغالب نجد أن المهاجمين باستخدام الهندسة الاجتماعية هم أشخاص لا يمتلكون الكثير من المهارات التقنية وإنما يستغلون الجانب البشري لأنه أضعف جزء في أمن الشركة أو المؤسسة، حيث يستخدمون مهارات التعامل مع البشر لاستدراجهم بالخداع النفسي واستغلال نقاط ضعفهم المعرفية.

ورغم أن الهندسة الاجتماعية تعتمد على الجانب النفسي والخداع مع المستخدم أو الشخص المستهدف (الضحية) من أجل الحصول على معلومات مهمة تمكن المهاجم من تنفيذ هجومه؛ إلا أن هناك عدة أساليب وحيل ترتبط بتعامل المهاجم مع البيئة المحيطة بالشخص المستهدف والتي قد توفر له بعض المعلومات المهمة التي قد لا يُلقى لها بالاً كقصاصة ورق مكتوب عليها اسم المستخدم وكلمة المرور، أو سلة نفايات تحتوي على مسودة التقرير المالي للمؤسسة. وهذه أربعة من أشهر الأساليب التي يستخدمها المهاجمون في البيئة المحيطة للضحية باستخدام الهندسة الاجتماعية:

1. جولة في مكان العمل: حيث يدخل المهاجم مكان العمل متظاهراً بأنه أحد الموظفين أو المتعاقدين مع المؤسسة، أو أحد عمال النظافة أو الصيانة؛ ومن خلال جولة بين المكاتب قد يستطيع الحصول على كلمات مرور مكتوبة على قصاصة ملاحظات ملصقة على شاشة الحاسوب، أو مثبتة على لوحة المفاتيح.

2. الاتصال الهاتفي: يقوم المهاجم بالاتصال هاتفياً على الأشخاص المستهدفين متظاهراً أنه يمثل مؤسسة رسمية أو مهمة مثل البنك الذي يتعامل معه المستهدف (الضحية) أو شركة الاتصالات نفسها أو يعرض نفسه كممثل لخدمة ما؛ يهتم الضحية بالتعامل معها ويوليها ثقة عالية، فيطلب منه معلومات وبيانات فنية لزوم تحديث البيانات الدوري أو الفحص الانتقائي للتأكد من جودة الخدمة وكل ذلك على سبيل الاستدراج ليحصل من خلال هذا الاتصال على المعلومات المهمة التي يحتاجها لتنفيذ هجومه.

3. البحث في النفايات: وهذه كانت من أكثر الطرق شعبية بين المهاجمين الذين يستخدمون الهندسة الاجتماعية، ويرجع ذلك كون المهاجم يستطيع جمع معلومات كثيرة ومهمة عن الضحية سواء كان شخصاً أو مؤسسة من دون أن يلفت الانتباه. وعلى غرار الطريقة التقليدية لمفهوم النفايات كسلة مهملات المكتب الشخصي أو المؤسسة فإن كثير من الأشخاص يضعون معلومات مهمة على مواقعهم الشخصية على شكل ملفات يتم رفعها بشكل مؤقت لكنهم ينسونها أو لا يقومون بالتأكد من الصلاحيات الممنوحة للزائرين ومحركات البحث التي تستطيع الدخول عليها وفهرستها وبالتالي تصبح متاحة للبحث والاسترجاع من قبل الآخرين، وبالتأكيد فإن المهاجم الذي يعنيه كثيراً معرفة تلك المعلومات سيكون أحد “الآخرين” أولئك.

4. تزوير صفحات الانترنت: بحيث تظهر صفحة الانترنت مطابقة للصفحة الرسمية لموقع آخر، وفي حال كانت الصفحة لمصرف مثلاً؛ فإن الهدف قد يدخل بيانات حسابه (اسم المستخدم وكلمة المرور) في الصفحة المزورة مما يؤدي إلى سرقة هذه المعلومات. وهذا الأسلوب من أشهر الأساليب في سرقة حسابات الشبكات الاجتماعية والبريد الإلكتروني، بحيث أن الضحية هو الذي يعطي بيانات الدخول لحسابه طواعية للمهاجم باستخدام هذا الأسلوب؛ وبالتالي يقوم المهاجم بالدخول للحساب مستخدماً اسم المستخدم وكلمة المرور التي حصل عليها من الضحية ومن ثم تعديل كلمة المرور وتعديل ما يلزم من بيانات لاسترجاع كلمة المرور في حال فقدانه.

وكون كثير من المستخدمين عادة ما يستخدمون نفس كلمة المرور لعدة حسابات بريد إلكتروني وحسابات الشبكات الاجتماعية وحتى الدخول على تطبيقات المؤسسة التي يعملون بها؛ فإن المهاجم من خلال المعلومات التي جمعها عن الضحية يستطيع بكل سهولة أن يهاجم تلك الحسابات والتطبيقات، ومن ثم الحصول على ما يريده بناء على طبيعة الضحية أو المؤسسة.


* كاتب وباحث فلسطيني

2 thoughts on “الهندسة الاجتماعية .. أسلوب فعّال في اختراق الأنظمة الإلكترونية

Leave a Reply أترك ملاحظتك

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

WordPress.com Logo

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   / تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   / تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   / تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   / تغيير )

Connecting to %s