أساليب الإختراق

تقدم رهيب شهده علم الأمن والإختراق بمختلف أساليبه في الألفية الأخيرة. تجلت فيه ذئاب الكترونية داخل شوارع الأنترنت. 

يخططون يحيطون بالفريسة يتركونها على مرآهم، يولدون شعورا بالطمأنينة لديها، يعزلونها، ثم لينقضون عليها. لتكتمل رحلة القنص الناجحة من صياد محترف يعرف كيف ينسج شباك فريسته، وينسحب في صمت، باحثاً عن طريدة أخرى.

هذا ما يسمى بعلم الصيد الالكتروني، او ما يعرف علميا بالهندسة الاجتماعية.

علم الهندسة الاجتماعية

هي آلية مدروسة يتم خلالها الإستغلال الأمثل للهفوات و الأخطاء البشرية، للبحث و الوصول إلى معلومات شخصية أو سرية ثمينة بالنسبة للمهاجم.

تعتبر علما قائما بنفسه يطلق عليه بعض الأخصائيون بالقرصنة البشرية، عبر إغواء المستخدم المتواجد في محيط الراحة. ثم التسلل الى خصوصياته بشكل سلس بعيدا عن إصدار أي صدى قد يؤثر على سير العملية، باستعمال وسائل مختلفة.

يكون المهاجم أو المهندس بشكل أنسب سابقا لضحيته بخطوات، و ذلك عبر دراستها و جلب المعلومات الممكنة عنها، من عمل، إقامة، أقارب و أصدقائه، الأمور التي يحبها....، الى أبسط الأمور التي قد لايعيرها الشخص العادي اهتماما. لكنها تكون مصدرا و سببا لتحفيز تصرفات المستخدم و استدراجه.

أساس القرصنة البشرية هو استدراج الفريسة الى شوارع خالية يسهل فيها القنص، لذلك هي فن التفكير الشامل و العميق لسلوكيات الأفراد و أفكارهم و العمل حسب متطلبات ذلك بكل الطرق المتاحة و الممكنة.

 كيف تعمل ؟

في عالم التكنولوجيا المتقدمة لا يوجد شكل من أشكال الفوضى و التهديد (نادرا)، لذا فكل شيئ يكون مدروسا بعناية، لمحاولة تعريض المستخدم للخطر، و جذبه للفخ و هذا طبعا باتباع بعض الخطوات الأساسية:

• التحضير الجيد عبر جمع المعلومات الممكنة عن الضحية لوحدها و وسط محيطها

•  بناء روابط تبدأ بتفاعلات بسيطة و مؤثرة كبداية للحصول على الثقة

• تطور التدريجي للهجوم بعد اكتساب الثقة اللازمة

• الانسحاب الفوري و الشبحي بعد تمام العملية

تختلف أساليب العملية حسب الظرف و نوعية المستخدم، من اتصال هاتفي أو بريد الكتروني، الى التنكر على هيئة أحد المستخدمين أو الموظفين لجهة ما. مع اختلاف المدة طبعا، فقد تطول العملية لأشهر لكن يبقى الأهم و الهدف النهائي هو الوصول للبيانات. 

لذا تصرف المؤسسات و الأفراد المبالغ الكبيرة على مجال الحماية و الأمن السيبيراني ضد هذه العمليات المتكررة.

لنكون صرحاء أولا، أن المستخدم هنا هو العدو الأول لنفسه، حين يتم تعريضه لمختلف التقلبات النفسية التي عليه الابتعاد عنها و عن أي شبهة قد تهدد أمنه المعلوماتي. فقد تطورت التكتيكات التي تعتمد على سلوكيات تميل للجانب النفسي بشكل أكبر.

 مثلا العواطف عامل أول يتم استهدافه، كانتحال المهاجم شخصية قديمة صديقة أو عدوة للمستخدم، أو التقدم نحوه بصفة فتاة جميلة قد يكون يعرفها مسبقا...، ثم محاولة التأثير عليه بايقاض مشاعره المختلفة من غضب ، حزن، حب.... و ادخاله في دوامة تضعف من مأمورية عقله الواعي في اتخاذ القرار المناسب. 

يلعب المهاجمون على عامل الوقت، و يعتبر أحد مفاتيحهم المهمة، حين يصطنعون الشعور بالقلق عند إيهامهم بحصرية أو مناسبة ما مقترنة لمجالك، ليفتتح رسميا معرض الأخطاء التي قد لا تغتفر نظرا لعامل الوقت كما ذكرنا، و ثقة المؤسسة المقترحة لديهم.

بعض أساليب المخترقين بالهندسة الاجتماعية

• "عزيزي العميل، يوم موفق، سيدي أو سيدتي" هي علامات قد تبدو طبيعية، لكنها من أهم أسس بداية عملية الاحتيال.

• التقدم بعبارات رسمية مطابقة للموقع أو البرنامج الرسمي. روابط تحولك للموقع المستهدف أين تتم العملية.

• قد تكون اتصالات من مهاجم أو رسائل نصية منتحلين صفات احدى الشركات الموثوقة، التي يتعامل معها الضحية بعناية يطالبونه بتسليم بياناته من اجل الاصلاح و التحديث. أحيانا ببعض الإلحاح الذي قد يزعجك و يشجعك على ذلك من أجل التخلص منه.

• يمكن ايضا عبر التواصل الجسدي و اقتدائك للولوج لبياناتك في احدى مقاهي الانترنت المخطط لها مسبقا و إيهامك باضطرارية ذلك بكلام مقنع عن وجود شيئ ما,

•  كما يستعمل هؤلاء الصيادون روابط مختصر، قد تخفي جانبا من الرسمية، و بناء صفحات متعددة مع استعجالية التعامل معها. غالبا ما يستغلون الظروف النفسية و الخارجية من علاقات و توترات و مشاكل البلدان و الأزمات التي تكون فرصا بنسب صيد أكبر.

Social engineering

لماذا تستعمل الهندسة الإجتماعية و الإختراق ؟ 

العالم اليوم مدين للمعلومة، فقد أصبحت أقوى من الأسلحة. حيث يعمل المهندسون الاجتماعيون بشكل مكثف للحصول عليها، بهدف اما تحصيل أموال، أو استهداف المؤسسات والشركات.

إما لتقزيم صورتها أمام المنافسين والرأي العام، أو اللف حول الشخصيات المشهورة والمؤثرة و التلاعب بها و بمتابعيها.

أو عبر كشف أسرارها للصحافة. جلب أدلة لقضايا مهمة أو التهديد بها. التدخل في قضايا سياسة و اقتصادية كبرى، و ترشح أيضا أن تكون سببا في نزول الأسهم و البورصة.

" المعرفة نوعان: أن نعرف الشيء بأنفسنا أو أن نعرف كيف نأتي بالمعلومات عن هذا الشيء", – بيل غيتس 

كيفية تجنب هجمات المهندسين الاجتماعيين

• السؤال عن هوية العملاء و المرسلين، خاصة من أشخاص غير معرفين.

• محاولة الولوج الى حساباتك من المواقع الرسمية و تجنب تلك الصفحات المنبثقة قصد تسجيل الدخول. اعمل نسخة احتياطية لبيانات، و استعمل حواسيب أخرى للترفيه.

•  تأكد من عنوان url و الروابط عبر رمز القفل فيها https الخصوصية تكون مع أشخاص موثوقين جدا بعيدا عن كل ماهو غريب و خارج عن المألوف، كأفراد جدد.

• اي استفسار أو سؤال عن الاصلاح أو التحديث حاول تواصل مباشرة مع الشركة الأم, الشك في الاتصالات الرسائل البريدية المتمحورة حول البيانات الشخصية و المالية مع معاينتها جيدا خاصة في فترات محددة.

• ابحث عن الخدمات المدفوعة الموثوقة ستوفر لك حماية مضاعفة, تفعيل و تحديث برامج الأمن و جدران الحماية قدر الإمكان، مع الفحص الدوري لملفاتك.

• تغيير الكلمات السرية و رموز pin لجميع حساباتك بصفة دورية، اجعلها غير متشابهة، طويلة، و متعددة الأشكال ( حروف كبيرة و صغيرة، أعداد، رموز ...).

 الشك أنك ضحية للقرصنة اجتماعية

إن راودتك شكوك حول الإختراق، فسارع لتغيير كلمات مرورك فوريا و ابتعد عن المستعمل منها.

راجع آخر ما قمت بعمله، ثم حاول الإتصال مباشرة بشركات و المؤسسات المعنية بما تشك حوله ( بنوك مثلا ...)، و إن تطلب الأمر توجه لمصالح الشرطة و اترك بلاغا لديهم.

"لا توجد تكنولوجيا اليوم، لا يمكن هزيمتها من خلال الهندسة الاجتماعية", – فرانك أبانيال 

الأنترنت اليوم مدمج في حياتنا من حواسيب، أجهزة لوحية، ألعاب، و هواتف تربطنا بها في جميع أماكن تواجدنا. وهنا يبدأ منطلق الهندسة الاجتماعية، في استغلال الأنترنت و اتخاذها فن لاختراق العقول. 

وهذا بمحاكات التفكير، تشتيت الانتباه لدرجات متعبة،  توقع الخطوات، مما يصنع نظرة عامة عن الضحية. 

تساهم هذه اللمحة في انتهاج نوعية خطة حذر ومحكم يواكب الشخصية المدروسة. مما يزيد من نسب نجاح العملية، و تقبل المستخدم لهذه التأثيرات ينتهي به في الدركِ مظلم.

المصدر 

↚

↱2     ↱1