الهندسة الاجتماعيّة: التّهديد الأكبر للأمن على الإنترنت

عندما تسمع عن عمليّات الاحتيال، أو خداع النّاس وسرقة أموالهم باستخدام بطاقات ائتمان وهميّة، أو اقتحام مواقع حكوميّة أو مواقع خاصة بوسائل التّواصل الاجتماعيّ، لا يمكنك أن تشعر بالأمان، فقد تتساءل، كيف يفعل هؤلاء النّاس ذلك مع انتشار استخدام وسائل الحفاظ على أمن تكنولوجيا المعلومات؟ من هن يمكنك معرفة ماهيّة "الهندسة الاجتماعيّة". 

قد يعني مصطلح "الهندسة الاجتماعيّة" للشّخص العاديّ شيئًا مفيدًا، بمعنى أن تفعل شيئًا في الجانب الاجتماعيّ للهندسة، مثل الهندسة الكهربائيّة والميكانيكيّة أو الكيميائيّة، ولكنّها في الحقيقة لها معنى آخر يشير إلى الأساليب المختلفة المستخدمة للتّلاعب بالنّاس للوصول إلى المباني ونظم تبادل المعلومات السّريّة، أو لارتكاب عمليّات الاحتيال، ويعدّ من الطّرق غير الضّارّة في استخدام الهندسة الاجتماعيّة ما نراه في أيّ منزل، مثلًا: طفلة تحصل على أموال من والدها بطريقتها لشراء لعبتها المفضّلة، ويتمّ تطبيق ذات مبدأ التّلاعب في مواقف مختلفة ومع أفراد مختلفين. 

• يقول كيفن ميتنك المحتال السّابق في مجال الحاسوب والّذي تمّ تأهيله، ويعمل الآن مستشارًا للأمن، أنّ: "العنصر البشريّ يعدّ أضعف حلقة في سلسلة الأمن" وهذا يعزّز الغرض الوحيد للمهندّس الاجتماعيّ وهو كسب ثقة الفرد للحصول على معلومات مهمّة لتحقيق مكاسب ماليّة أو سرقة الهويّة أو الاستعداد لهجوم أكبر. 

• 98% من الهجمات الإلكترونيّة تعتمد على الهندسة الاجتماعيّة.   

وبعد أن بسطت تقنية المعلومات نفوذها على جميع جوانب التّفاعل البشريّ في مجالات التّعليم، والخدمات المصرفيّة والتّسوّق، ووسائل التّواصل الاجتماعيّ وغيرها، فإنّ تهديد الهندسة الاجتماعيّة يتزايد أيضًا، حيث يحاول المهندس الاجتماعيّ بناء الثّقة وجمع المعلومات من خلال وسائل مختلفة أو حتّى إقامة علاقات، بحيث يمكنه استغلالها لتنفيذ الإجراءات الّتي يمكن أن تخدم غرضه. 

من الطّرق المختلفة للحيل الّتي يستخدمها المهندس الاجتماعيّ في خداع الآخرين: 

• التّستر هو الأسلوب الأكثر استخدامًا حيث يتخفّى الشّخص وراء هويّة مزوّرة أو وهميّة لجمع المعلومات الشّخصيّة. 

• اختلاس النّظر إلى المعلومات الشّخصيّة يحدث غالبًا عندما يراقب شخص ما شخصًا آخر من وراء كتفه ليطّلع على كلمة المرور الّتي يكتبها على الحاسوب أو عند المعاملات المصرفيّة أو استخدام بطاقة أجهزة الصّراف الآليّ، إلخ. 

• سرقة التّحويل والمعروفة أيضًا باسم لعبة الزّاوية، وتحدث عندما ينجح الشّخص في إقناع شركة البريد السّريع أو النّقل أنّه الشّخص الفعليّ المقصود للحصول على الإيداع. 

• الغوص في القمامة، وهي عندما يفتّش شخص ما في القمامة للحصول على معلومات عبر قصاصات من الورق تحتوي على كلمات المرور أو العنوان أو معرّف البريد الإلكترونيّ. 

• التّصيّد الاحتياليّ، وهو الخداع على الإنترنت، حيث يظهر أنّ البريد الإلكترونيّ يأتي من شركة تجاريّة مشروعة، ويطلب البنك أو الشركة بطاقة الائتمان "التّحقّق" من المعلومات الشّخصيّة والتّحذير من عواقب وخيمة إذا لم يتمّ توفير ذلك. 

• اتّباع الخطى بقصد الاستغلال وهو عندما يستطيع الشّخص الوصول إلى مبنى من خلال الخداع أو الاحتيال على شخص آخر مصرّح له بالدّخول إلى هذا المبنى. 

• الإغواء، وهو استخدام اسطوانة مدمجة أو جهاز مصاب بالفيروسات وتركه دون معالجة في مكان ما لإثارة فضول أي شخص للتّحقّق من المحتويات الموجودة عليه، وبالتّالي سرقة النّظام. 

• "شيء مقابل شيء" والمعروف أيضًا باسم "سياسة الأخذ والعطاء" ويقال أنّه يُستخدم عندما يقدّم الشّخص المساعدة في صورة هديّة مجانيّة أو دعم فنيّ في مقابل الحصول على المعلومات الشّخصيّة. 

• النّوافذ المنبثقة الوهميّة وهي الّتي تظهر في البرامج أثناء العمل، لتطلب من الشّخص إعادة إدخال هويّته وكلمة المرور لاستئناف العمل، وبالتّالي يتمّ الاستيلاء على المعلومات الشّخصيّة. 

يتمّ استخدام الأساليب المذكورة أعلاه للحصول على التّفاصيل الشّخصيّة الخاصّة بك، والّتي لا تقوم بالكشف عنها في ظلّ الظّروف العاديّة، وإذا كانت شركات مثل (جوجل) ومواقع التّواصل الاجتماعيّ مثل (فيسبوك) لم تنج من هجمات الهندسة الاجتماعيّة، فسوف نجد كثيرًا من النّاس أقلّ قدرة على مواجهة ذلك، والحذر من "الهندسة الاجتماعيّة" لا يعني الانتباه للمخطّطات الّتي يستخدمها الأشخاص الّذين لديهم أغراض سيّئة فقط، ولكن يجب أن تحاول التّصدّي لما يريدون القيام به. 

كما يقول ميغيل دي سرفانتس "مُحذّرًا، مُساعدًا، أن تكون مستعدّا هو نصف النّصر