الهندسة الإجتماعية Social Engineering
مقدمة
الهندسة الاجتماعية او ما يعرف بفن اختراق العقول هي عبارة عن
مجموعة من التقنيات المستخدمة لجعل الناس يقومون بعمل ما أو يفضون بمعلومات
سرية. تـُستخدم الهندسة الاجتماعية أحياناً ضمن احتيال الانترنت لتحقيق الغرض المنشود من الضحية، حيث أن الهدف الأساسي للهندسة الاجتماعية هو طرح أسئلة بسيطة أو تافهة (عن طريق الهاتف أو البريد الالكتروني مع انتحال شخصية ذي سلطة أو ذات عمل يسمح له بطرح هكذا أسئلة دون إثارة الشبهات)
أولاً : الهندسة الإجتماعية ، ما هي ؟
قد تكون كلمة الهندسة الإجتماعية لا تدل على معناها ابداً ، معناها ببساطه متناهية ، هي فن الحصول على معلومات من الضحية بأساليب انتحال الشخصية أو عن طريق الحصول على ثقة الضحية بشكل تدريجي و تجميع المعلومات التي تساهم في الوصول للمعلومة الأساسية المطلوبة ، و كمثال على الهندسة الإجتماعية : شخص يتصل على جوالك و يدعي أنه من موظفي البنك الذي تتعامل معه ، و يبلغك بوجود حواله مالية قد وصلت اليك للتو تبلغ قيمتها كذا الف من الريالات ، ولكن لإستكمال إجراء تحويل المبلغ اليك يتطلب ذلك منك بعض الإجراءات الأمنية لمكافة عمليات غسيل الأموال ، مثلا ، هل تعرف من قام بتحويل الحواله ؟ (طبعا ستكون إجابتك لا .. لأنه لا حوالة أصلا وصلت !) ، سيتابع بطرح الأسئلة عليك و ستقوم أنت بالإجابة عليها كلها طمعا منك في الحصول على المبلغ الذي وصل اليك ! هذه المعلومات سيتخدمها هذا الشخص بسرقة حسابك إلكترونيا حيث أن لديه كافة المعلومات التي تمكنه من الإتصال بالبنك و الإدعاء بأنه أنت ! في العمل ، قد تواجه مثل هذه العمليات ، حيث قد يتصل بك أحدهم ليطرح عليك أسأله عامه ، يستطيع و بطريقة ما من خلالها إستنتاج بعض أسرار العمل لديك ، تذكر أن معلومة واحد تكفي للمحتال بأن يتعرف من خلالها على سلسلة من المعلومات عنك !ثانياً : أنواع عمليات الإحتيال الإلكترونية .
هناك الكثير من أنواع الإحتيال الإلكتروني ، غالبا ما تكتسي هذه الحيل على صبغة تقنية تتطلب من المخترق إستخدام تقنيات معينة للحصول على معلومات عنك ، أحد أشهر أمثلتها رسائل البريد الإلكتروني التي تصلك و تخبرك بأنك ربحت مبلغا ضخما من المال و يتوجب عليك تعبئة النموذج الفلاني لكي يتم ارسال المبلغ اليك ، هذه الطريقة هدفها الحصول على معلوماتك الشخصية ليس الا . سأذكر هنا أمثلة سريعة على أفكار عمليات الإحتيال الإلكترونية ، تذكر هذه مجرد أمثله و هناك الاف الأفكار التي تظهر بشكل دائم للإحتيال ، كن حذراً :1- رسالة بريد الكتروني تخبرك بأنه يتوجب عليك تحديث بياناتك في موقع ما مشترك فيه انت (مثل خدمة البريد الإلكتروني أو مواقع التجمعات الإلكترونية مثل الفيس بوك و غيرها … ) ، تقوم هذه الرسالة بأخذك إلى موقع مشابه تماما في التصميم بالموقع الذي تشترك فيه ، حيث يعرض عليك نموذج يجب أن تكتب فيه بريدك الإلكتروني و رقمك السري و بعض المعلومات عنك ، طبعا الحجه وراء طلب هذه المعلومات هو تفاديا لإغلاق حسابك في هذا الموقع ، مبروك ، بعد ضغطك لزر الإرسال تكون بياناتك قد وصلت للمحتال ، تخيل لو أن هذه البيانات هي لحسابك الإلكتروني في موقع البنك الذي تتعامل معه ؟
2- رسالة تبلغك بتحديث لأحد برامج الويندوز الذي يتوجب عليك تحميله تفاديا لتعرض جهازك للإختراق ، تقوم بتحميل البرنامج الذي ما هو إلا برنامج تجسس ينقل كل صغيرة و كبير تكتبها في الجهاز إلى المحتال !
3- الرسائل العاطفية أو المليئة بالكثير من الإثارة الجنسية و التشويق ، تستدرج هذه الفئة من الرسائل الشباب و الفتيات الذين يميلون لهذه الأمور ، إما للإشتراك في خدمة ما (الهدف سرقة البيانات الشخصية) ، أو التواصل الإلكتروني في مجموعة إلكترونية وهمية بغرض إصطياد الفتيات على وجه التحديد ، تكثر هذه النوعية من الرسائل في التجمعات الإلكترونية الضخمة ، مثل Facebook و Tagged و MySpace و غيرها ، خطورة هذه الرسائل تكمن في إصطيادها لذات الأشخاص وليس لبياناتهم و معلوماتهم فقط ! و يكون الإصطياد إما لغرض التشهير أو لغرض الإستغلال العاطفي أو الجنسي .
4- رسائل الجوائز الوهمية ، حيث يتم إيهام الضحية بأن هناك مبلغ من المال ينتظره ، أو جائزة معينه تنتظره ، و يشترط لاستلام هذه الجائزة إما الإشتراك في موقع ما بكامل البيانات (أرقام الهواتف رقم البطاقة الشخصية رقم البطاقة الإئتمانية أرقام الحسابات) أو يشترط تحويل مبلغ معين لإنهاء إجراءات الأمور الإدارية لتسليم الجائزة !!!
5- المحادثات الإلكترونية المطوله بغرض التعارف ، و هذه النوعية من عمليات الإحتيال تتسم بطول مدتها لكنها تبنى على الثقة الطويلة المدى ايضاً ، حيث يقوم المحتال ببناء علاقة الكترونية قوية بالضحية ، و ذلك من خلال إظهار حسن النوايا للطرف الآخر ، و مع مرور الوقت يحاول المحتال تمرير بعض الأسئلة التي يستطيع من خلالها جمع أكبر قدر من المعلومات المطلوبة عن الضحية ، قد تكون هذه الطريقة أقل الطرق إستخداما لصعوبتها و لحاجتها لوقت طويل لكي تأثي ثمارها !!
6- رسائل الكذب الإلكتروني Hoax Mail ، و هي ليست بالخطورة الكبيرة ، ولكنها قد تلحق اضرار بجهازك الشخصي أو معلوماتك الشخصية ، على سبيل المثال ، تنتشر بين الحين و الآخر رسائل تخبر بأن هناك ملف محدد في الويندوز اذا وجدته قم بحذفه فهو فايروس خطير و إسرائيلي الصنع و و و و ، و في الحقيقة فإن ذلك الملف ما هو إلا ملف أساسي من ملفات نظام الويندوز و الذي بدونه قد يتعرض جهازك للعديد من المشاكل التقنية ! قد تاخذ هذه الرسائل صبغة أخرى أشد خطورة لإلحاق الضرر المادي أو المعنوي بك عن طريق إثارة الرعب و الخوف !
7 – دمج ملفات التجسس مع الألعاب و البرامج ، عند تحميلك للبرامج من غير مصادرها الرسمية فتذكر أن هناك نسبة احتمال كبير أن يكون هذا البرنامج مصاب بفايروس أو ملف تجسس ، فقد أظهرت إحصائيات الشركات الأمنية أن ما نسبته 40 بالمائة من الملفات المتداولة لبرنامج ماسنجر بلس على سبيل المثال تحتوي على ملفات تجسس !!! و هناك نسب أعلى لبعض البرامج مثل الأي سي كيو و غيرها من البرامج !
8 – إعلانات الشركات الوهمية ، إنتشرت في الأونة الأخيرة ظاهرة إعلانات الإحتيال للشركات الوهمية ، و يختلف المقصد من كل إعلان حسب رغبة الشخص المحتال ، على سبيل المثال في التجمعات الإلكترونية تنتشر رسائل و إعلانات الكترونية للحصول على موظفين في مجال معين ، غالبا ما تكون هذه الإعلانات وهمية الغرض منها إصطياد الفتيات أو تجميع معلومات شخصية عن أشخاص محددين ، أحيانا تنتشر إعلانات الكترونية ايضا للمشاركة في مساهمة عقارية أو نظام توصيات للأسهم وما إلى ذلك … غالبية هذه الإعلانات الإلكترونية هي إعلانات وهمية.
ثالثاً : كيف تتجنب الوقوع في شباك عمليات الإحتيال ؟
1- لا تثق بأي رسالة أو أي شخص يطلب منك معلومات شخصية ، حتى لو وصلتك رسالة من بريد إلكتروني يبدو واضحا أنه بريد الكتروني رسمي من الجهة التي تطلب المعلومات ، قم بحذف البريد فورا ولا تجب عنه ، تذكر جيدا أن الشركات الكبرى و البنوك و المواقع الرسمية لا تطلب ابدا منك أن تقدم لها بيانات الخاصة تحت اي ذريعة كانت ، ولا تطلب منك أن تعيد تفعيل حسابك أو تجدد بياناتك !2- اذا احتجت برنامج ، فلا تقم بتحميله الا من مصدره الرئيسي ، حتى لو كان الموقع الذي يوفر هذا البرنامج موقع مشهور و مئات الألاف من الزوار قامو بتحميله ، لا تقم بتحميله ما دام متوفرا في الموقع الرسمي !3- احرص على تحديث مضاد الفايروسات في جهازك بشكل يومي ، كذلك قم بتركيب برنامج آخر مخصص لمحاربة البرامج الإعلانية المزعجة Adware و برامج التجسس Spyware .4- لا تفتح المرفقات التي تأتي من رسائل البريد الإلكتروني ، حتى لو كانت من أصدقائك ، لا تفتحها الا بعد أن تقوم بفحصها بمضاد الفايروسات في جهازك ، و اذا كانت امتدادات الملفات هي exe او vbs ، فلا تقم بفتحها نهائيا حتى لو فحصتها بمضاد الفايروسات ، فمضادات الفايروسات لديها هامش كبير في نسبة الخطأ التي قد ترتكبها في التشخيص !5- دائما و ابداً ، لا تعطي معلوماتك الشخصية الحقيقية لاي شخص كان على الإنترنت ، حتى لو ظهر لك أنه شخص تعرفه في الحقيقة و بدأ يحادثك على الإنترنت ، تأكد من هويته ، اتصل به هاتفيا لتتأكد فعلا انه هو الشخص الذي يحادثك الأن على الإنترنت وليس شخصا غيره . تذكر ايضا ان تستخدم معلومات وهمية اذا احتجت ان تسجل في احد المواقع الإلكترونية مثل المنتديات أو مواقع المجتمعات الإلكترونية ، لست مضطرا ابدا في مثل هذه المواقع لإعطاء معلوماتك الحقيقية !6- احذف فورا أي رسالة تعدك بأنها جهة ستقدم لك جائزة أو انها تعرض عليك وظيفه مقابل إشتراطات معينه !7- للفتيات ، تجنبي الإنقاد وراء الرسائل التي تحمل الكثير من المشاعر العاطفية الجياشة ، تجنبي ايضا استخدام المواقع المنتشره التي تعرض عليكي خدمة معرفة نسبة التوافق بينك و بين الشخص الذي تحبين ، هذه المواقع عادة مصممه لكشف معلومات عن علاقاتك الشخصية و العاطفية ، و سيرسل كل ما تكتبينه هناك لأحد أصدقائك الذين يرغبون بمعرفة أسراراك !8- بشكل عام ، كن يقظاً ، لا تصدق أي شيء على الإنترنت ، هذا العالم الإفتراضي مليء بالمحتالين و متجدد دائما بأساليب الإحتيال ، تأكد أنك خرجت من الإنترنت كما دخلت ، دون أن تترك ورائك اي اثر لأي معلومه شخصية مهما كنت صغيره !من مفهومي عن الهندسة الاجتماعية
ان الهندسة الاجتماعية نوع من انواع الاختراقات الذكية الذي تعتمد على النفسية او معرفة خداع او استخراج معلومات من الشخص المقابل فهي تعتمد على الذكاء وإستخدام طرق لإستدراج والأستحواذ على المعلومات السريه او الهامه وهناك طرق كثيره مثل تتبع الشخص وتتبع الأيميل الخاص فيه للحصول على المعلومات المطلوبه ومن الطرق المتعدده ايضا ارسال الروابط المصغره او المخدوعه وكأنها روابط مواقع رسمية ولابد معرفة كل شيء عن الشخص الذي تريد ان تتبعه كعنوان بيته ورقم الجوال وأشياء شخصيه من اجل الحصول على اسرع الطرق للحصول على المعلومات المطلوبه
الخاتمه
في الختام أتمنى من الله ان أكون أوضحت المعلومه بالشكل الصحيح وما كان فيه من صواب فمن الله وحده وما كان فيه من خطأ فمني ومن الشيطان وصلى الله على نبينا محمد وعلى آله وصحبه آجمعين .
المصادر:
http://ar.wikipedia.org/wiki/%D9%87%D9%86%D8%AF%D8%B3%D8%A9_%D8%A7%D8%AC%D8%AA%D9%85%D8%A7%D8%B9%D9%8A%D8%A9_%28%D8%A3%D9%85%D9%86%29
http://starmaroc-b.com/2010/03/02/social-engineer-and-fraud/
