الهندسة الاجتماعية: التهديد الأكبر للأمن على الإنترنت

الهندسة الاجتماعية: التهديد الأكبر للأمن على الإنترنت

عندما تسمع عن عمليات الاحتيال، أو خداع الناس وسرقة أموالهم باستخدام بطاقات ائتمان وهمية، أو اقتحام مواقع حكومية أو مواقع خاصة بوسائل الإعلام الاجتماعي، لا يمكنك أن تشعر بالأمان، فقد تتساءل كيف يفعل هؤلاء الناس ذلك مع انتشار استخدام وسائل الحفاظ على أمن تكنولوجيا المعلومات؟ وهنا تعرف ماهية "الهندسة الاجتماعية".

قد يعني مصطلح "الهندسة الاجتماعية" للشخص العادي شيئاً مفيداً، بمعنى أن تفعل شيئاً في الجانب 'الاجتماعي' للهندسة، مثل الهندسة الكهربائية والميكانيكية أو الكيميائية، ولكن لها معنى آخر يشير إلى الأساليب المختلفة المستخدمة للتلاعب بالناس للوصول إلى المباني ونظم تبادل المعلومات السرية، أو لارتكاب عمليات الاحتيال، ويعتبر من الطرق غير الضارة في استخدام الهندسة الاجتماعية ما نراه في أي منزل، مثلاً: طفلة تحصل على أموال من والدها بطريقتها لشراء لعبتها المفضلة، ويتم تطبيق ذات مبدأ التلاعب في مواقف مختلفة ومع أفراد مختلفين.

يقول كيفن ميتنك[1]المجرم السابق في مجال الكمبيوتر والذي تم تأهيله، ويعمل الآن مستشاراً للأمن، أن: "العنصر البشري يعتبر أضعف حلقة في سلسلة الأمن" والغرض الوحيد للمهندس الاجتماعي هو كسب ثقة الفرد للحصول على معلومات هامة لتحقيق مكاسب مالية أو سرقة الهوية أو الاستعداد لهجوم أكبر.

وبعد أن بسطت تقنية المعلومات نفوذها على جميع جوانب التفاعل البشري في مجالات التعليم، والخدمات المصرفية والتسوق، ووسائل التواصل الاجتماعي وغيرها، فإن تهديد الهندسة الاجتماعية يتزايد أيضا، حيث يحاول المهندس الاجتماعي بناء الثقة وجمع المعلومات من خلال وسائل مختلفة أو حتى إقامة علاقات، بحيث يمكنه استغلالها لتنفيذ الإجراءات التي يمكن أن تخدم غرضه.

من الطرق المختلفة للحيل التي يستخدمها المهندس الاجتماعي في خداع الآخرين:

  • التستر هو الأسلوب الأكثر استخداماً حيث يتخفى الشخص وراء هوية مزورة أو وهمية لجمع المعلومات الشخصية.
  • اختلاس النظر إلى المعلومات الشخصية يحدث غالباً عندما يراقب شخص ما شخصاً آخر من وراء كتفه ليطّلع على كلمة المرور التي يكتبها على الكمبيوتر المحمول/ المعاملات المصرفية/ استخدام بطاقة أجهزة الصراف الآلي، إلخ.
  • سرقة التحويل والمعروفة أيضاً باسم لعبة الزاوية، وتحدث عندما ينجح الشخص في إقناع شركة البريد السريع أو النقل أنه الشخص الفعلي المقصود للحصول على الإيداع.
  • الغوص في القمامة، وهي عندما يفتش شخص ما في القمامة للحصول على معلومات عبر قصاصات من الورق تحتوي على كلمات المرور أو العنوان أو معرف البريد الإلكتروني.
  • التصيد الاحتيالي، وهو الخداع على الإنترنت حيث يظهر أن البريد الإلكتروني يأتي من شركة تجارية مشروعة، ويطلب البنك أو شركة بطاقة الائتمان "التحقق" من المعلومات الشخصية والتحذير من عواقب وخيمة إذا لم يتم توفير ذلك.
  • اتباع الخطى بقصد الاستغلال وهو عندما يستطيع الشخص الوصول إلى مبنى من خلال الخداع أو الاحتيال على شخص آخر مصرح له بالدخول إلى هذا المبنى.
  • الإغواء، وهو استخدام اسطوانة مدمجة أو جهاز مصاب بالفيروسات وتركه دون معالجة في مكان ما لإثارة فضول أي شخص للتحقق من المحتويات الموجودة عليه، وبالتالي سرقة النظام.
  • "شيء مقابل شيء" والمعروف أيضاً باسم "سياسة الأخذ والعطاء" ويقال أنه يُستخدم عندما يقدم الشخص المساعدة في صورة هدية مجانية أو دعم فني في مقابل الحصول على المعلومات الشخصية.
  • النوافذ المنبثقة الوهمية وهي التي تظهر في البرامج أثناء العمل، لتطلب من الشخص إعادة إدخال هويته وكلمة المرور لاستئناف العمل، وبالتالي يتم الاستيلاء على المعلومات الشخصية.

يتم استخدام الأساليب المذكورة أعلاه للحصول على التفاصيل الشخصية الخاصة بك، والتي لا تقوم بالكشف عنها في ظل الظروف العادية، وإذا كانت شركات مثل جوجل، ومواقع التواصل الاجتماعي مثل فيسبوك لم تنج من هجمات الهندسة الاجتماعية، فسوف نجد كثيراً من الناس أقل قدرة على مواجهة ذلك، والحذر من "الهندسة الاجتماعية" لا يعني الانتباه للمخططات التي يستخدمها الأشخاص الذين لديهم أغراض سيئة فقط، ولكن يجب أن تحاول التصدي لما يريدون القيام به.

التعليقات
اترك تعليقا