الهندسة الاجتماعية: فن اختراق العقول!
كيف يمكن لشخص أن يقرِّر اقتحام شركة شحن، وينجح بطريقة سلمية وباستخدام الحدِّ الأدنى من المهارات التقنية؟ بدأ الأمر بإجراء بحث عن الشركة عبر الإنترنت، عرف اللص من خلاله رقم المسؤول عن الموارد البشرية. وبعد مكالمة هاتفية عرف منه أسماء الأشخاص الأهم في الشركة، وبعض أسماء الموظفين في أقسام معيَّنة، وأن أحد المديرين التنفيذيين في إجازة. وصل إلى مقر الشركة، وبلغة الواثق وبأسلوب لطيف وهو يحمل بطاقة عمل مزورة، ادَّعى نسيان مفتاحه. فسمح له الحارس بالدخول. وعند وصوله إلى الدور الذي يعمل فيه الموظفون ادَّعى نسيان بطاقات العمل تلك، الزملاء اللطفاء أدخلوه. وجد مكتب المدير المجاز غير مغلق لغرض التنظيف، فاتصل من تحويلة هذا المكتب بالقسم التقني، وقال لموظف لم يسبق له التعامل مع المدير إنه يواجه مشكلة في نسيان كلمة المرور، سرَّ الموظف الصغير لمساعدة المدير، وساعده في الحصول على كلمة سرٍّ جديدة، شكره المدير (المهاجم)، وقام بجمع ما يحتاجه من معلومات، قبل أن يغادر بكل هدوء ودون إثارة الريبة بعد تحقيق هدفه. مرحباً بكم في عالمالهندسة الاجتماعية!
الهندسة الاجتماعية.. ما هي؟
حين يأتي الحديث عن منظومة أمن المعلومات فإن أول ما يتبادر إلى أذهان كثيرين هي البرامج والأنظمة الإلكترونية الخاصة بها: برامج الحماية من الاختراق والفيروسات والجدران النارية وغيرها. متناسين أن العامل الأهم في أي منظومة أمنية، إلكترونية أو غيرها، هو العنصر البشري، وهو في الوقت نفسه العامل الأضعف فيها، إذ لا يمكن «برمجته» وضمان عدم ارتكابه للأخطاء.
link2تقوم الهندسة الاجتماعية (Social Engineering) على مجموعة من التقنيات المستخدمة لجعل الناس يؤدون عملاً ما يفتح ثغرة أمنية أو يفضون بمعلومات سرية. وقد تستخدم في عمليات احتيال عبر الإنترنت أو على أرض الواقع، وتركز بشكل أساسي على مهاجمة الإنسان، واستغلال نقاط ضعفه للحصول على المعلومات المهمة، التي تمكن المهندس الاجتماعي (المهاجم) من اختراق المباني أو الأنظمة أو الحسابات لتحقيق منافع معنوية أو مادية أو أمنية. وذلك دون الحاجة إلى مهارات تقنية عالية كما هي الحال في «الهاكرز» و«الكراكرز» الذين غالباً ما يتميزون بمهارات برمجية ولديهم معرفة حاسوبية واسعة بالعتاد وأنظمة التشغيل والشبكات وثغراتها الأمنية المرتبطة بالتقنية. فما يحتاجه المهاجم هنا ليست المعرفة التقنية وإنما المهارات الاجتماعية (الذكاء الاجتماعي) ومهارات التسويق والإقناع لخداع الضحية بحيث يأخذ منها ما يريده دون إثارة الشبهات. بل إن حصوله على المعلومات في حدِّ ذاته بهذه الطريقة لا يُعدّ عملاً غير قانوني، إذ لا يوجد تشريع يمنع الأشخاص من إفشاء أسرارهم الشخصية (الأمر مختلف بالنسبة لأسرار العمل). والأهم من ذلك هو أنه لا يوجد تشريع ولا قانون يجرِّم الاستماع لشخص يختار أن يكشف لك عن معلوماته!.
في أمريكا تقام في مدينة لاس فيغاس سنوياً مسابقة هدفها زيادة الوعي الأمني، يتبارى فيها الهاكرز ممن يعتمدون الأدوات التقنية فقط ومن يستخدمون الهندسة الاجتماعية، وذلك لاختراق الشركات أو المؤسسات الحكومية، ويعطى هؤلاء اسم الهدف قبل المسابقة بفترة وجيزة، لكنها كافية لجمع المعلومات الضرورية عنه. وتتم دعوة رؤساء هذه الشركات أو الأشخاص المسؤولين عن الأمن المعلوماتي فيها ليكونوا حاضرين وقت قيام الهاكرز باختراق دفاعاتهم أمام أعينهم وعن بُعد. ويلاحظ بأنه غالباً ما ينجح المهندس الاجتماعي في مهمته بشكل أسرع من التقني. ومن أشهر المهندسين الاجتماعيين: فرانك أباغنال، ودايفيد بانون، وبيتر فوستر، وخالد الفيومي.
كيف تعمل؟
قد يستغرق اكتساب المهاجم الثقة المرجوة من الضحية ساعات أو أياماً أو أسابيع أو أشهراً متواصلة للتخطيط لهذه الهجمات، وفق درجة وعي الضحية وحساسية الهدف الذي يراد مهاجمته. وقد يتم ذلك بطرق عدة إما شخصياً وإما عن طريق الهاتف أو من خلال المواقع الإلكترونية.
يقول كيفن ميتنك وهو من أشهر المخترقين للأنظمة، الذي نجح ذات مرة في اختراق وزارة الدفاع الأمريكية (البنتاغون)، وله كتاب شهير بعنوان فن الخداع (The Art of Deception): «إن اختراق العقول البشرية أسهل بكثير من اختراق الأنظمة الإلكترونية. فاللعب على نقاط ضعف الإنسان مثل رغباته وشهواته وحبه لمساعدة الآخرين، وميله إلى الظهور بمظهر العالم وصاحب السلطة أو المعرفة. ففلسفة الهندسة الاجتماعية تقوم على تجريدنا – ولبضع دقائق – من تفكيرنا المنطقي الحذر الذي نواجه به العالم فنحمي به أنفسنا وممتلكاتنا وأسرنا. وحين نكون متعبين أو حين يتم تشتيت انتباهنا عن طريق الإقناع أو التملق أو الإيحاء أو الدعابة أو التحفيز أو الإغراء وغيرها من المهارات الاجتماعية، فإن ذلك يمنعنا من رؤية المخاطر المحتملة.
أهم أساليبها
• الاحتيال عبر مكالمات هاتفية. وهكذا تتم النسبة الأعلى من هذه الهجمات، فيزعم المهندس الاجتماعي بأنه مندوب شركة ما تقوم بعمل استبيانات لأهداف بحثية، أو حتى مندوب حكومي يهدف إلى جمع الإحصاءات، أو مندوب مبيعات يحاول إقناع الضحية بشراء منتج ما عبر أسئلة تبدو ظاهرياً بريئة.
• الهندسة الاجتماعية المعاكسة وهي تستخدم الهاتف غالباً. والوضع هنا أخطر، إذ يدعي المهاجم بأنه شخص ذو منصب وصلاحية في المؤسسة نفسها، مما يجعل الموظف الأصغر مرتبة يرتبك ويخبره بما يريد. وإذا نجح الأمر وسارت الأمور كما خُطط لها، فقد يحصل المهاجم على فرصة أكبر للحصول على معلومات ذات قيمة كبيرة من الضحية. وهذا الأسلوب معقد نسبياً لكونه يعتمد على مدى التحضير المسبق وحجم المعلومات التي بحوزة المهاجم.
• استغلال المعلومات الموجودة في سلة المهملات في غرف التصوير أو الطباعة أو السكرتارية. والاحتيال في هذه الحالة قد يتمثل في الدخول إلى هذه المباني المحصنة، وذلك كما نشاهد في كثير من الأفلام عبر الادعاء بأنه عامل صيانة أو تنظيف. وإذا كان الهدف يستحق العناء، فقد يسعى المهاجم إلى الحصول على مثل هذه الوظائف بشكل رسمي بحيث تتاح له فرصة جمع المعلومات عن طريق البحث في سلة المهملات، أو عبر التنصت على المكالمات أو الاجتماعات دون إثارة أية شبهة.
• رسائل البريد الإلكتروني. تصل إلى الضحية رسالة تدعي الفوز بجائزة ما، أو تدعي أنها من جهة أهلية (البنك) أو حكومية، وتطلب إدخال البيانات بشكل مباشر، عبر صفحة تبدو للمستخدم العادي وكأنها غير مزورة. وتعرف هذه العملية بالتصيد (Phishing)، وتندرج تحتها أنواع مختلفة من الهجمات.
• الإنترنت بشكل عام. تشكل الشبكة العنكبوتية منجماً ضخماً للمعلومات، وقد تضاعف حجم هذا المنجم مع ظهور الشبكات الاجتماعية التي أسرف كثير من مستخدميها في عرض معلوماتهم الشخصية ومشاركتها مع الآخرين من خلالها، مما يسهل كثيراً عمل المهندس الاجتماعي. فحين يتصل بك شخص ويدعي أنه من طرف رئيسك أو أحد أفراد عائلتك، ويخبرك بأنه يعرف أنك تقضي حالياً إجازتك في تركيا مثلاً، ويذكر اسم أحد زملائك، ستثق به، وسيدور الحديث حول أمور تهتم بها كالرياضة والسياحة، ووسط هذه المحادثة ستنسى تحفظك الفطري، وتتخلى عن حذرك، فتصبح الفرصة مواتية للهجوم واستخراج المعلومات التي ما كنت لتدلي بها لو سئلت عنها بشكل مباشر من قبل غريب.
وهناك نوع من الهندسة الاجتماعية ليست ذات أهداف مادية ملموسة، ولكن الشخص قد يسعى للحصول على الحُب أو التعاطف اللذين يفتقدهما في حياته الواقعية عن طريق خداع الآخرين بأنه شخص آخر. فليس من الغريب وجود عدد كبير من الحسابات الوهمية على شبكات التواصل الاجتماعي التي يتستر خلفها أشخاص هدفهم إقامة علاقة مع الآخرين. تعرف هذه العملية بصيد القط (Catfishing). وفي الفِلم الوثائقي الذي يحمل الاسم نفسه (catfish) يقوم شيلمن وهو مصور فوتوغرافي بتوثيق قصة وقوعه في حُب فتاة ليكتشف لاحقاً بأنها شخصية وهمية، اخترعتها والدة الفتاة المزعومة لتهرب من واقعها الذي ترعى فيه طفلين معاقين إعاقة شديدة.
• الهندسة الاجتماعية المعاكسة وهي تستخدم الهاتف غالباً. والوضع هنا أخطر، إذ يدعي المهاجم بأنه شخص ذو منصب وصلاحية في المؤسسة نفسها، مما يجعل الموظف الأصغر مرتبة يرتبك ويخبره بما يريد. وإذا نجح الأمر وسارت الأمور كما خُطط لها، فقد يحصل المهاجم على فرصة أكبر للحصول على معلومات ذات قيمة كبيرة من الضحية. وهذا الأسلوب معقد نسبياً لكونه يعتمد على مدى التحضير المسبق وحجم المعلومات التي بحوزة المهاجم.
• استغلال المعلومات الموجودة في سلة المهملات في غرف التصوير أو الطباعة أو السكرتارية. والاحتيال في هذه الحالة قد يتمثل في الدخول إلى هذه المباني المحصنة، وذلك كما نشاهد في كثير من الأفلام عبر الادعاء بأنه عامل صيانة أو تنظيف. وإذا كان الهدف يستحق العناء، فقد يسعى المهاجم إلى الحصول على مثل هذه الوظائف بشكل رسمي بحيث تتاح له فرصة جمع المعلومات عن طريق البحث في سلة المهملات، أو عبر التنصت على المكالمات أو الاجتماعات دون إثارة أية شبهة.
• رسائل البريد الإلكتروني. تصل إلى الضحية رسالة تدعي الفوز بجائزة ما، أو تدعي أنها من جهة أهلية (البنك) أو حكومية، وتطلب إدخال البيانات بشكل مباشر، عبر صفحة تبدو للمستخدم العادي وكأنها غير مزورة. وتعرف هذه العملية بالتصيد (Phishing)، وتندرج تحتها أنواع مختلفة من الهجمات.
• الإنترنت بشكل عام. تشكل الشبكة العنكبوتية منجماً ضخماً للمعلومات، وقد تضاعف حجم هذا المنجم مع ظهور الشبكات الاجتماعية التي أسرف كثير من مستخدميها في عرض معلوماتهم الشخصية ومشاركتها مع الآخرين من خلالها، مما يسهل كثيراً عمل المهندس الاجتماعي. فحين يتصل بك شخص ويدعي أنه من طرف رئيسك أو أحد أفراد عائلتك، ويخبرك بأنه يعرف أنك تقضي حالياً إجازتك في تركيا مثلاً، ويذكر اسم أحد زملائك، ستثق به، وسيدور الحديث حول أمور تهتم بها كالرياضة والسياحة، ووسط هذه المحادثة ستنسى تحفظك الفطري، وتتخلى عن حذرك، فتصبح الفرصة مواتية للهجوم واستخراج المعلومات التي ما كنت لتدلي بها لو سئلت عنها بشكل مباشر من قبل غريب.
وهناك نوع من الهندسة الاجتماعية ليست ذات أهداف مادية ملموسة، ولكن الشخص قد يسعى للحصول على الحُب أو التعاطف اللذين يفتقدهما في حياته الواقعية عن طريق خداع الآخرين بأنه شخص آخر. فليس من الغريب وجود عدد كبير من الحسابات الوهمية على شبكات التواصل الاجتماعي التي يتستر خلفها أشخاص هدفهم إقامة علاقة مع الآخرين. تعرف هذه العملية بصيد القط (Catfishing). وفي الفِلم الوثائقي الذي يحمل الاسم نفسه (catfish) يقوم شيلمن وهو مصور فوتوغرافي بتوثيق قصة وقوعه في حُب فتاة ليكتشف لاحقاً بأنها شخصية وهمية، اخترعتها والدة الفتاة المزعومة لتهرب من واقعها الذي ترعى فيه طفلين معاقين إعاقة شديدة.
وللفن حضور
social3لم يكن الفن السابع بعيداً عن تناول هذا الموضوع المثير وتنبيه العالم لخطورته. نذكر هنا مثالين شهيرين. أولهما، فِلم «امسك بي إن استطعت» (!Catch me if you can) من بطولة ليونارديو ديكابريو، الذي يحكي قصة فرانك أباغنال، أحد أشهر المهندسين الاجتماعيين، الذي يبدأ كمراهق يهرب من منزله وينجح في ادعاء العمل كقبطان طائرة، ويجمع الأموال الطائلة من خلال هذا الدور ومن تنقله حول العالم، وينجح في التخفي من الشرطة كمعلم وطبيب، وبادعائه ممارسة هذه المهن الصعبة يخدع من حوله، قبل أن تتمكن الشرطة من الإيقاع به. والفِلم الثاني هو «قضية توماس كراون» The Thomas Crown Affair من بطولة بيرس بروسنن، الذي يلعب دور مليونير ملول فيقرِّر سرقة لوحة نادرة من متحف نيويورك، وكان قد بدأ التخطيط لعمليته عن طريق الحضور إلى المتحف بشكل يومي بحيث صار وجهاً مألوفاً للحراس والمسؤولين فيه، كما ينجح في جمع ما يحتاجه من المعلومات عن الأمن والحماية وغيرها عبر زياراته المتكررة، وبالتالي تنجح مهاراته في الهندسة الاجتماعية في تحقيق ما يريد.
كيفية التصدي لها؟
تُعدّ الهندسة الاجتماعية من أكبر المشكلات التي تواجهها الشركات حالياً، لأنه ما من طريقة يمكن من خلالها اختبار وضمان عدم قيام الإنسان بارتكاب خطأ كما هو الحال مع البرمجيات وجدران الحماية. كما أن من المشكلات الكبرى في عالم الأمن الإلكتروني بشكل عام حالياً، كثرة تغير الموظفين في الشركة مقارنة بالسابق، فالحاجة المستمرة للدماء الشابة والمهارات الجديدة وللخبرات المتنوعة، لا سيما في المجالات التقنية، تجعل الناس ينتقلون من شركة إلى أخرى بسرعة كبيرة، وللشركة الواحدة عدة فروع قد لا يعرف أفرادها بعضهم بعضاً أبداً، أو يعرفون بعضهم فقط من خلال تواصل إلكتروني لا يصعب معه إخفاء الهويات. ولا تقوم كل الشركات بالتحري الدقيق عن الشخص المتقدم للوظيفة، وبالتالي لا يصعب أن يدخل المهاجم إلى قلب الشركة، وإلى مخزن البيانات الحساسة دون أن يثير أي ريبة، لأنه ببساطة موظف فيها! ففي حالات كثيرة تنجح الهجمات الإلكترونية بمساعدة شخص من داخل الشركة أو المؤسسة، إما عن طريق التعاون المباشر (عميل داخلي)، أو عن طريق الخطأ كما هو الحال في ضحاياالهندسة الاجتماعية.
ولذلك فإن أنجع طريقة لحماية المؤسسات والشركات، التي تكون صواريخ المهندس الاجتماعي موجهة إليها، هي في التوعية والتدريب. فتوعية الموظفين بالأساليب التي يمكن أن يستخدمها المهندس الاجتماعي لاستخراج المعلومات منهم، وتنبيههم إلى عدم إعطاء أي كلمة سرٍّ أو معلومة لأي شخص، مهما ادعى علو مرتبته في الشركة، إلا بعد التثبت بشكل عملي من هويته، وحثهم على الاقتصاد في تداول المعلومات الشخصية في وسائل التواصل الاجتماعي. ويمكن إجراء اختبارات دورية تشبه تلك التي تجرى باستمرار لاختبار متانة أجهزة الكشف عن الحرائق.
الأمر الآخر، حينما يتم توظيف أشخاص جدد سواء بشكل دائم أو بعقود مؤقتة أو عبر شركة ثالثة، فلا بدَّ من السؤال والتقصي عن الشخص بشكل دقيق، لضمان خلو تاريخه مما يثير الريبة.
وهذا لا يعني بأنه ستكون هناك حصانة تامة. فحين يتعلق الأمر بأمن المعلومات، سيظل المجرمون يبتكرون طرقاً جديدة للاختراق، وسيظل الطرف الآخر، يحاول استباق هجماتهم بالتحصين، فالعلاقة بينهما طردية. لكن الوقاية تبقى دائماً خير من العلاج.
ولذلك فإن أنجع طريقة لحماية المؤسسات والشركات، التي تكون صواريخ المهندس الاجتماعي موجهة إليها، هي في التوعية والتدريب. فتوعية الموظفين بالأساليب التي يمكن أن يستخدمها المهندس الاجتماعي لاستخراج المعلومات منهم، وتنبيههم إلى عدم إعطاء أي كلمة سرٍّ أو معلومة لأي شخص، مهما ادعى علو مرتبته في الشركة، إلا بعد التثبت بشكل عملي من هويته، وحثهم على الاقتصاد في تداول المعلومات الشخصية في وسائل التواصل الاجتماعي. ويمكن إجراء اختبارات دورية تشبه تلك التي تجرى باستمرار لاختبار متانة أجهزة الكشف عن الحرائق.
الأمر الآخر، حينما يتم توظيف أشخاص جدد سواء بشكل دائم أو بعقود مؤقتة أو عبر شركة ثالثة، فلا بدَّ من السؤال والتقصي عن الشخص بشكل دقيق، لضمان خلو تاريخه مما يثير الريبة.
وهذا لا يعني بأنه ستكون هناك حصانة تامة. فحين يتعلق الأمر بأمن المعلومات، سيظل المجرمون يبتكرون طرقاً جديدة للاختراق، وسيظل الطرف الآخر، يحاول استباق هجماتهم بالتحصين، فالعلاقة بينهما طردية. لكن الوقاية تبقى دائماً خير من العلاج.