أخطر أنواع الاختراق : الهندسة الإجتماعية

عندما نتحدث عن عمليات القرصنة والاختراق الإلكتروني، يتحول تفكيرنا باتجاه حماية الهواتف الذكية والحواسيب المحمولة واللوحية وحساباتنا على مواقع التواصل الإجتماعي وكيفية المحافظة عليها بعيداً عن المخترقين والبرمجيات الخبيثة.

وبطبيعة الحال يجب الحرص على هذا التفكير وتعزيزه ومتابعة الإرشادات الأمنية المتعلقة به، لكن مع ذلك فإن هذا الجزء لا يُمثل سوى نصف القصة.

فالجانب الآخر للأمن عبر الإنترنت يُمثل أهمية أكبر بكثير وهو العنصر الأكثر فاعلية في الحماية الأمنية ألا وهو العنصر البشري.

فحتى لو ابتكر مطورو النظم الأمنية نظاما معصوما من البرمجيات الخبيثة (نظام متكامل) ولا يمكن اختراقه، فإن هذا النظام سيظل مع ذلك مرهوناً بطريقة تعاطي المستخدم معه. ولأن كل شيء يتمحور حول المستخدم يعتمد الكثير من المخترقين والقراصنة حول العالم على العنصر البشري فقط (المستخدم) لاختراق الأجهزة، وهو ما بات يعرف بالهندسة الاجتماعية.

ما هي الهندسة الاجتماعية؟

وباختصار يُمكن تعريف الهندسة الاجتماعية على أنها التلاعب بالبشر وخداعهم بهدف الحصول على بيانات أو معلومات أو أموال كانت ستظل خاصة وآمنة ولا يُمكن الوصول إليها.

ومن هنا يستخدم المخترق المتحايل “المهندس الاجتماعي” مهاراته لاستهداف نقاط الضعف البشرية في محاولة للتحايل على الضوابط والإجراءات التي من شأنها أن تمنعه من الحصول على المعلومات التي يحتاجها.

ما هي نوعية المعلومات التي يُمكن خسارتها؟

الإجابة باختصار “كل شيء”، ففي عصر المعلومات يمكن أن يكون لأي معلومة قيمة، الشخص الذي يستهدفك أيضاً له دوافع معينة وبالتالي لا يُمكن الاستهتار بأي معلومة تخسرها.

وبالطبع فإن المخترقين الذين يعتمدون على الهندسة الاجتماعية يركزون بصورة أساسية على الخدمات المالية مثل الحسابات البنكية على الإنترنت أو أي معلومات تساعدهم في الحصول على أموال.

كيف أحمي نفسي؟

• أولاً: النصيحة الأساسية التي تجنبك الكثير من المشاكل الأمنية، هي “لا تُشارك أبداً أي معلومات أو أي بيانات شخصية مع أي جهة كانت” وعلى الرغم من سهولة القيام بهذا الأمر إلا أن الكثير من المستخدمين يغفلون عن هذه النصيحة.
• ثانياً: تحقق دائماً من الأشخاص الذين تتحدث إليهم سواءً عبر الهاتف أو عبر البريد الإلكتروني أو خدمات التواصل الفوري وغيرها، مثلاً لو كان المتصل من شركة رسمية فلا تجد حرجاً أن تطلب منه معلوماته الكاملة وأن يقوم بالاتصال من رقم هاتف رسمي يُمكن التحقق منه.
• ثالثاً: لا تفتح مرفقات البريد الإلكتروني من أشخاص غير معروفين، فلغاية الآن يتم استخدام هذه الطريقة على نطاق واسع لنشر البرمجيات الخبيثة والحصول على المعلومات الشخصية، وذلك من خلال انتحال هوية شركات كبرى وإرفاق بعض الملفات في البريد.
• رابعاً: اعمل على تأمين هاتفك الذكي أو حاسبك المحمول، يُمكن أن تعتمد على فلترة البريد المزعج بالاعتماد على أدوات خاصة، كذلك اعتمد على برامج قوية لمكافحة الفيروسات تتضمن أدوات لمكافحة رسائل وصفحات التصيد.
• خامساً: يتوجب أن تكون كلمة السر الخاصة بك صعبة التخمين حتى على من يعرفونك شخصياً، و أن يتطلب استنتاجها من خلال برامج الإختراق فترة طويلة، فالمطلوب هو تصعيب ذلك بقدر الإمكان بما يتلائم مع قدر سرية البيانات والمعلومات الموجودة لديك.
• سادساً: فعِل ميزة التحقق بخطوتين أينما توفرت.

لماذا تنجح الهندسة الاجتماعية بالرغم من حذر المستخدم أحياناً؟

الموضوع ببساطة يعتمد على استهداف الناحية النفسية للإنسان، حيث يستخدم المخترقون بعض المحفزات الأساسية للسلوك البشري مثل زرع الخوف والفضول والإلهاء والحماسة وغيرها.

فيمكن لصورة عبر البريد الإلكتروني أن تثير عواطفك للتبرع لجهة خيرية معينة بشكل مخادع، أو من خلال إثارة الخوف داخلك عبر إعلامك باختراق إحدى حساباتك وأنه يجب إعادة تعيين كلمة المرور، أو يُمكن أن يدفعك الفضول لمشاهدة هذه الصورة المضحكة أو قراءة خبر مثير للاهتمام.

أو يمكن أن يفاجئك اتصال من أحدهم ويقول لقد حولت لك رصيد عن طريق الخطأ هل يمكن أن ترجعه لي ؟ عندها ستتفاجئ أكثر عندما تفتح هاتفك وترى رسالة محتواها “لقد أستلمت 2000$ من الرقم …” .

حسناً, من الناحية النظرية فسوف تقول اذاٌ كلام الشخص المتصل صحيح ولكن عليك ألا تستعجل حاول فقط أن تنظر الى الرقم الذي أرسل لك الرسالة فدائماً عندما يتم تحويل رصيد الهاتف بين المستخدمين فأن الرسالة تأتي عن طريق الشركة ولكن عندما ستنظر الى المرسل ستجد رقم مستخدم عادي .

هذه أيضاً احدى اساليب الهندسة الاجتماعية والتي استخدمت بكثرة في الفترة الماضية وما زالت تستخدم.

هل أنت حريص بما فيه الكفاية؟

حسناً، قد يدور في ذهنك الآن أنه لا يُمكن أن أنخدع بمثل هذه الأساليب الاجتماعية، لكن يجب عليك أن تعلم أن بعض المسؤولين الكبار في الشركات العالمية قد تعرضوا لمثل هذه الأنواع، فهناك طرق يتم استخدامها تفوق عمليات النصب التي يتم استخدامها في أقوى أفلام الجريمة لذا لا تعتمد فقط على حرصك وذكائك بل تأكد من اتباعك للممارسات الأمنية الصحيحة في كل الأحوال.

ماذا عن الشركات؟

أظهرت دراسة أجرتها شركة فيريزون Verizon مؤخراً أن الكثير من هجمات الاحتيال والتصيد تستهدف موظفي الإدارة المالية داخل الشركات، نظراً لكونهم المشرفين على عمليات تحويل الأموال.

وربما يكفيك تأكيد شركتي جوجل وفيس بوك تعرضهم لمحاولة احتيال بقيمة 100 مليون دولار قبل أشهر، لتعلم كيف يقوم هؤلاء المخترقين بأعمالهم على درجة عالية من الاحترافية.

لذا ينبغي على الشركات العمل على تدريب الموظفين، خصوصاً موظفي القطاع المالي، على اتخاذ التدابير الأمنية السليمة، فالعامل البشري هو الجزء الأهم في أي نظام تتبعه مهما كان هذا النظام آمن.