ما هي الهندسة الاجتماعية Social Engineering؟ وما هي أساليب الهجوم المستخدمة فيها؟

ليس لمصطلح الهندسة الاجتماعية (Social Engineering) معنى متفق عليه، ولكن من أقرب التعريفات أن نقول إنها استخدام المهاجم حيلا نفسية كي يخدع بها مستخدمي الحاسوب ليمكنوه من الوصول إلى أجهزة الحاسوب أو المعلومات المخزنة فيها.

وخلافا لما قد يتوهم بعض الناس، فإن الهندسة الاجتماعية يجب أن تكون على رأس قائمة وسائل الهجوم التي يجب أن نحاول حماية المعلومات منها، والسبب في ذلك يرجع إلى الآتي:

أ- إن الهندسة الاجتماعية من أنجح الوسائل التي يستخدمها المهاجم لسهولتها مقارنة بالوسائل التقنية الأخرى.

ب- إن المتخصصين في مجال أمن المعلومات، وكذلك مستخدمي الحاسوب لا يعيرون خطر الهندسة الاجتماعية من اهتمامهم سوى النزر اليسير.

جوانب الهجمات بأسلوب الهندسة الاجتماعية

يرى بعض الباحثين أن الهجمات باستخدام أسلوب الهندسة الاجتماعية يمكن أن تشن على عدة أصعدة، هي:

أ- الصعيد الحسي

يكون التركيز على موضع الهجوم والبيئة المحيطة به؛ ويدخل ضمن هذا:

(1) مكان العمل

يدخل المهاجم مكان العمل متظاهرا بأنه أحد الموظفين، أو المتعاقدين من جهة العمل، أو عمال النظافة أو الصيانة، وإذا تمكن المهاجم من الدخول فإنه يطوف بالمكاتب لجمع ما يمكنه جمعه من كلمات المرور التي قد تكون مكتوبة على أوراق ملصقة بشاشة الحاسوب ، أو لوحة المفاتيح.

(2) الهاتف

يستخدم بعض المهاجمين الهاتف لشن هجمات بأسلوب الهندسية الاجتماعية ، وأكثر الأشخاص تعرضاً لهذا النوع من الهجمات هم العاملون في مراكز تقديم الدعم الفني (Help Desk) ، فالمهاجم مثلاً قد يتصل بمركز تقديم الدعم الفني هاتفيا ويطلب منه بعض المعلومات الفنية ، وتدريجياً يحصل على ما يريده من معلومات ، ككلمات المرور وغيرها ، وبعد ذلك يستخدم هذه المعلومات التي يحصل عليها لشن هجمات على حواسيب المنشأة ، ويرى الكاتبان أن هذا النوع من السهل تنفيذه ضد البنوك ، و الشركات والمؤسسات في مجتمعنا ، بسبب تركيبتنا النفسية والاجتماعية التي تجعل عدداً منا يولي ثقته بسهولة لكل أحد.

(3) النفايات

قد يستغرب بعضنا إذا علم أن هذه الطريقة من أكثر الطرق شعبية بين المهاجمين الذين يستخدمون الهندسة الاجتماعية ، والسر في شعبيتها أن المهاجم يستطيع جمع معلومات كثيرة ومهمة دون ان يلفت انتباه أحد.

ومن المعلومات التي توجد في النفايات كلمات المرور والهيكل التنظيمي للشركة ، ودليل هواتف الشركة ، وأسماء العاملين فيها ومواعيد اجتماعات الموظفين: وفواتير الشراء… الخ. 

ولندلل على ما نقول نود من القارئ أن يتخيل ما يمكن أن يحدث عندما يحصل المهاجم على تقويم العام المنصرم الذي يحوي مواعيد اجتماعات موظف ما وأماكن انعقادها ومواضيع الاجتماعات ، والأطراف المشاركة فيها.

إن هذه المعلومات تضفي على المهاجم نوعا من الشرعية. فقد يتصل ، مثلاً بسكرتير أحد الأشخاص المهمين المشاركين في أحد هذه الاجتماعات متظاهراً بأنه سكرتير مشارك آخر ويطلب منه إرسال نسخة من التوصيات أو القرارات التي خرج بها المجتمعون إلى بريده الإلكتروني ، ولاشك أن المهاجم عندما يذكر للسكرتير مكان الاجتماع ، وموعد انعقاده وأسماء بعض من حضروه ، فإن السكرتير سيظن أن المهاجم هو حقاً سكرتير موظف آخر مشارك في الاجتماع ، وإلا كيف عرف كل هذه التفاصيل عن الاجتماع ، وهذا يجعل السكرتير يرسل للمهاجم ما طلب ، ويمكن للمهاجم الاستفادة من هذه المعلومات الجديدة التي حصل عليها لشن المزيد من الهجمات للحصول على مزيد من المعلومات وهكذا.

(4) الإنترنت 

عندما يستخدم شخص ما عدة برامج أو تطبيقات يتطلب كل منها كلمة مرور مثل: Hotmail وYahoo‏ وغيرها ، غالبا ما يجنح إلى استخدام كلمة مرور واحدة لها جميعاً ليسهل على نفسه تذكرها. لكن المشكلة هي أنه عندما يستطيع مهاجم ما معرفة كلمة المرور هذه فإنه يصبح من السهل عليه اختراق كل التطبيقات التي يتعامل معها صاحب كلمة المرور الأصلي. ومن وسائل المهاجمين في الحصول على كلمة المرور إلى الإنترنت، أن ينشئ المهاجم المتربص موقعا على شبكة الإنترنت يقدم خدمات معينة ، مثل: تنزيل البرامج الجانية ، ولكنه يشترط على الراغب في تنزيل هذه البرامج أن يدخل رقم المستخدم وكلمة المرور، ونتيجة لما أشرنا إليه أنفا من أن بعض مستخدمي الحاسوب يفضل استخدام كلمة مرور واحدة لكل التطبيقات التي يتعامل معها فإن كلمة المرور التي يدخلها في ذلك الموقع غالبا ما تكون هي كلمة المرور نفسها التي يستخدمها في تطبيقاته الأخرى، ومن هنا يحصل المهاجم على كلمة المرور للدخول على معلومات المستهدف المخزنة في التطبيقات الأخرى.

ومن الحيل التي غالبا ما تستخدم بعد نجاح المهاجم في اختراق شبكة الشركة ، أو المؤسسة: أن يقوم المهاجم بإرسال رسالة إلى جهاز الشخص المستهدف بحيث تظهر هذه الرسالة في صورة صندوق حواري (Dialog Box) ، كأنها رسالة قادمة من إداري الشبكة يطلب فيها من الشخص المستهدف أن يعيد إدخال اسم المستخدم ، وكلمة المرور مبررا ذلك بوجود تحديث في الشبكة ، أو وجود مشاكل فنية تستلزم ذلك. و إذا انطلت الحيلة على الشخص المستهدف يحصل المهاجم على كل ما يلزمه للوصول للمعلومات الخاصة بذلك الشخص.

ب- الصعيد النفسي

هذا المستوى يعنى بالمناخ النفسي المحيط بالطريقة التي ينفذ يها البجوم. فالمهاجم يسعى إلى خلق الأجواء النفسية المناسبة لإيهام الضحية بأن المهاجم شخص موثوق بهء ولديه صلاحية الاطلاع على المعلومات الحساسة للشخص المستهدف أو المنشأة المستهدفة.

أساليب الهجوم باستخدام الهندسة الاجتماعية

هناك عدة أساليب للهجوم باستخدام البندسة الاجتماعية: ولكن أشهرها ما يلي:

أ- أسلوب الإقناع (Persuasion)

هذا هو أهم أساليب هذه الطريقة ، ولذلك سنفصل الكلام فيه. وبادئ ذي بدء نقول إن سيكولوجية الإقناع لها جوانب متعددة أهمها:

(1) طرق الإقناع

تدل الدراسات التي أجريت في علم النفس الاجتماعي (‎(Social Psychology‏ أن هناك طريقتين لإقناع شخص لعمل شيء ما:

(أ) طريقة الإقناع المباشرة: في هذه الطريقة يتذرع المهاجم بالحجج المنطقية والبراهين ‎لحفزالمستمع – في هذه الحالة الضحية – على التفكير المنطقي والوصول إلى نتيجة يرغب المهاجم في جر الضحية إليها.

‏(ب) الطريقة غير المباشرة: هنا يعتمد المهاجم على الإيماءات النفسية ، والقفز فوق المنطق ، وتحاشي استنفار قدرة التفكير المنطقي لدى الضحية، وحث الضحية على قبول مبررات المهاجم دون تحليلها والتفكير فيها جدياً.

‏ومن الواضح أن المهاجم لا يملك ، غالباء مبررات وحججاً منطقية لإقناع الشخص المستهدف بعمل ما يرغبه. ولذلك فإنه يلجأ غالبا للطريقة الثانية، أي: الطريقة غير المباشرة فيعمد في بداية لقائه بالضحية إلى إطلاق عبارات تسكثير الشخص المستهدف نفسياً إما ببث مشاعر الخوف ، أو مشاعر الحماس في نفسه. وهذه الموجة من المشاعر النفسية تعمل على تشتيت ذهن المستهدف ، وتشوش نظرته للأمور ، فتضعف قدراته على التفكير والتحليل المنطقي ، فيصعب عليه -تبعاً لذلك – مواجهة حجج المهاجم ومبرراته وإن كانت ضعيفة.

(2) أساليب التأثير المستخدمة في طريقة الإقناع غير المباشرة

فيما يلي نعرض أنجح الأساليب التي يُعْمِلها المهاجم ضد خصمه عندما يستخدم الأول طريقة الإقناع غير المباشرة:

(أ) التزيي بمظهر صاحب السلطة 

إن الغالب على الناس سرعة تلبية طلبات ذي السلطة حتى وإن لم يكن موجودا بشخصه. وقد أجريت تجربة في ثلاثة مستشفيات بالولايات المتحدة حيث ادعى الشخص الذي أجرى التجربة أنه طبيب ، واتصل هاتفياً بائنتين وعشرين مكتباً من مكاتب الممرضات بالمستشفيات الثلاثة ، وفي كل مرة كان يطلب من الممرضة التي ترد على مكالمته أن تصرف 20 مللجراما من دواء معين لمريض معين موجود في الجناح الذي يشرف عليه مكتب الممرضات الذي اتصل به الباحث. 

وفي هذه التجربة عدة أمور يجب أن يُنتبه إليها:

أولاً: إن الممرضة لم يسبق لها رؤية الطبيب المزعوم ، أو حتى الحديث إليه هاتفياً.

ثانيًا: إن هذا الطبيب كان يعطيها الوصفة هاتفيأ بدلاً من الحضور شخصياً لإعطاء الوصفة كما تنص على ذلك قواعد العمل في المستشفيات التي أجريت التجارب فيها.

ثالثا: إن العلاج الذي وصفه الطبيب المزعوم ، لم يكن استخدامه مسموحا بهداخل ذلك الجناج.

رابعا: إن الجرعة التي وصفها ذلك الطبيب كانت ضعف الحد الأقصى المسموح به في الأجنحة التي يسمح فيها بوصف ذلك الدواء.

ومع كل هذا فإن 95 في المئة من الممرضات التي جرى الاتصال بهن كن في طريقهن لتنفيذ طلبات الطبيب ، لكن المراقبين المشاركين في التجربة أوقفوهن قبل تنفيذ ذلك.

(ب) الإغراء بامتلاك شيء نادر

إن الناس في مجملهم لديهم الرغبة في امتلاك أي شيء مهما كان إذا أحسوا أن ذلك الشيء أصبح شحيحاً ، أو أنه متوفر لفترة محدودة ، وهذا أمر يدل عليه الواقع المعيش ، كما دلت عليه الدراسات التي أجريت في مجال علم النفس الاجتماعي، كما أن رغبتهم تزداد في امتلاك ذلك الشيء متى ما أشعروا أن قدرتهم على امتلاكه ستصبح محدودة في المستقبل.

إن هذا السلوك يمكن أن يستغله المهاجم فيعرض في موقعه مثلا شاشات توقف (Screen Savers) فيها صور مغرية، ويعطي إمكانية تحميلها من موقعه ، ثم يعلن أن هذا العرض يسري لمدة محدودة فقط ، الشخص الراغب في تحميلها أن يشترك في الموقع ولا يحتاج الاشتراك إلى أكثر من اختيار رقم مستخدم وكلمة مرور.

وهنا قد يقع الشخص المستهدف في الفخ لحرصه على تنزيل هذه الشاشات ، فيدخل رقما مستخدما ، وكلمة المرور قد تكون هي نفس ما يستخدمه في تطبيقات أخرى مثل البريد الإلكتروني أو قاعدة بيانات الشركة. وفي هذه الحالة يمكن للمهاجم المتستر وراء هذا الموقع الدخول إلى البريد الإلكتروني ، الخاص بالضحية ، أو دخول قاعدة بيانات الشركة التي يعمل فيها.

(ج) إبراز أوجه التشابه مع الشخص المستهدف 

إن من خصائص التفس البشرية الميل إلى من يشبهها في العرق ، أو اللون ، أو الاهتمامات والطباع، وإحساسنا بوجود اوجه شبه مع شخص ما يجعلنا اقل حذرا عند التعامل معه لأننا لا إراديا نعطل بعض قدراتنا على التحليل والتفكير المنطقي، وقد يوظف المهاجم هذه الخاصية البشرية الصلحته ، فقبل أن يطلب من الشخص المستهدف معلومات مهمة يجمع المهاجم معلومات عن الشخص المستهدف: كمكان ميلاده ، أو البوايات التي يمارسها أو نحوذلك ، ثم يبدأ حواراً مع المستهدف حول هذه الأمور ويوهم المستهدف بأنه ولد في المدينة نفسها أو أنه يمارس الهوايات نفسها.

وهذا يشعر المستهدف بوجود أوجه شبه بينه وبين المهاجم المتربص ، فتنبني بينهما علاقة ثقة لا أصل لها فيسترخي المستهدف ذهنيا، بعدها يبدأ المهاجم باستدراج المستهدف لإعطائه المعلومات التي يرغب الحصول عليها.

(د) رد الجميل

إن من خصائص النفس السوية رغبتها في رد الجميل إلى من أحسن إليها. وتزداد هذه الخاصية رسوخاً في امجتمعات ذات الصبغة القبلية والأسرية، فمن قواعد التعامل أن من أسدى إليك معروفاً – ولو لم تطلب منه ذلك ابتداءا – قإنك ملزم أدبياً بمقابله ذلك المعروف بمثله أو أحسن منه وهذا خلق حسن، غيرأن المهاجم قد يستغله فيقدم خدمة للشخص المستهدف ، وقد تأتي هذه الخدمة في صورة مساعدة في حل مشكلة فنية ، أو استرجاع ملف مهم حذف فيتولد عند المستهدف شعور أنه مدين لمن ساعده. وقد يستغل المهاجم هذا الشعور فيطلب من المستهدف مساعدته بإعطائه بعض المعلومات ، أو السماح له باستخدام جهازه – لطباعة بعض الملفات ‎مثلا ، ‏ فلا يجد المستهدف بدا من رد الجميل ، مما يمكن المهاجم من زرع بعض البرامج الخبيثة، أو الحصول على معلومات لم يكن سائغاً أن يحصل عليها.

ب- أسلوب انتحال الشخصية (impersonation)‏

‏وتعني تقمص إنسان ما شخصية إنسان آخر. وقد يكون هذا الآخر شخصا حقيقيا او متوهما، ومن الشخصيات التي يكثرإنحالها في مجال الهندسة الإجتماعية شخصية فني صيانة معدات الحاسوب والشبكات ، وعامل النظافة ، والمديرء والسكرتير. كما يكثر انتحال شخصية طرف ثالث مخول من قبل الإدارة العليا في الشركة أو المؤسسة.

ولتوضيح ذلك قد يحصل المهاجم على اسم المستخدم الخاص بالبريد الإلكتروني لمدير الشركة ، وهذه مسألة سهلة لأن هذا الاسم ليس سرياً. بعدها يتصل المهاجم بأفراد مركز تقديم الدعم الفني بالشركة مقدما نفسه على أنه سكرتير المدير مدعيا أن المدير قد كلفه بالاتصال بهم ليطلب كلمة مرور جديدة، نظراً لأن المدير قد نسي كلمة المرور السابقة ، وأنه يجب إصدار كلمة المرور الجديدة فورا لأن المدير لديه اجتماع بعد ساعة، ويرغب في مراجعة بعض الوثائق المهمة التي أرسلها أحد المشاركين في الاجتماع إليه عن طريق البريد الإلكتروني. وإذا كان المهاجم بارعاً في تقمص شخصية السكرتير فإن أفراد مركز تقديم الدعم الفني قد يصدرون كلمة مرور جديدة للمدير ويعطونها للمهاجم المنتحل شخصية سكرتير المدير، وبذا يستطيع المهاجم الدخول إلى البريد الخاص بمدير الشركة.

ج— أسلوب المداهنة

عند التأمل في الشخصيات التي يكثر انتحالها وذكرناها في الفقرة السابقة ، يتضح للعيان أنها في الأعم لأناس تدعمهم سلطة قوية داخل الشركة أو التجمع . والمهاجم المنتحل لإحدى هذه الشخصيات يعلم يقيناً أن كثيراً من موظفي الشركة أو أعضاء التجمع يسعون بشتى السبل خلق صورة حسنة عن أنفسهم عند رؤسائهم، ولذلك فإن بعضهم لن يتردد في تقديم المعلومات التي يطلبها المهاجم الذي ينتحل شخصية إنسان ذي سلطة أو ذي صلة بصاحب سلطة داخل الشركة أو المؤسسة.

د- أسلوب مسايرة الركب

هذا مسلك اجتماعي يملي على الإنسان ألا يتخذ موقفاً مغايراً لما عليه الآخرون تجاه مسألة ما. والمهاجم إذ يدرك هذا فإنه سيسعى جاهداً لاستغلاله. فعلى سبيل المثال يمكن أن يقدم المهاجم نفسه للمستهدف على أنه إداري شبكة تابع لشركة تقدم الدعم الفني لمؤسسة ما ونظراً لوجود نسخة جديدة من برنامج ما فإنه قد قام بتثبيت النسخة الجديدة في أجهزة باقي الموظفين في الشركة، ثم يطلب من الموظف المستهدف السماح له بثبيت النسخة الجديدة لديه. إن هذه القصة تولد شعورا خفيا لدى المستهدف أنه مادام قد قام بتركيب النسخة الجديدة لدى بقية الموظفين فَلِم أمنعه أنا من ذلك ٠ وهذا يتيح للمهاجم فرصة تثبيت برامج خبيثة في جهاز المستهدف.

الخلاصة

الهندسة الاجتماعية هي إعمال الحيل النفسية لخداع مستخدمي الحاسوب للوصول إلى المعلومات المخزنة فيها وهي أسهل الأساليب و أكثرها فعالية لأنها تهاجم العنصر البشري الذي هو أضعف نقطة في منظومة حماية المعلومات، ولذا يجب أن تكون على رأس قائمة المعنيين بحماية المعلومات.