الهندسة الاجتماعية.. احتيال تقني بأساليب أبسط
19/02/2007

الوعي والتدريب الجيد وليس التقنية هما مفتاح الوقاية والحماية ضد هجمات الهندسة الاجتماعية
يتم تداول مصطلح (الهندسة الاجتماعية) كأحد نتائج التقنية الحديثة، سواء بمضمون سلبي أو إيجابي، وإن طغى عليها الجانب السلبي لحرص وسائل الإعلام على نشر الفضائح والاختراقات والنصب، والتي تتم غالباً بفضل (الهندسة الاجتماعية)، فما هي إذن هذه الهندسة الاجتماعية؟! نستطيع تبسيطها بقولنا "طريقة تقنية لوصف خداع الناس" إذ تعتمد على الثقة المفرطة بالاشخاص الآخرين، خصوصاً في حال معرفتنا المسبقة بهم أو بما يوحي على انتمائهم، على سبيل المثال: بريد من أحد الأصدقاء، موظف يرتدي زي الشركة، أو غريب يتصرف بثقة ويتجول داخل أروقة الشركة، فالهندسة الاجتماعية هي أن يحصل طرف غريب أو غير مخوّل على معلومات سرية أو خاصة أو يتمتع بخاصية وصول بناءً على إقامته علاقات ثقة مع أشخاص من داخل الشركة أو مع الضحية مباشرة، وهناك نماذج كثيرة للهندسة الاجتماعية لسرقة الهويات والبيانات والمعلومات لعل أشهرها هي رسائل البريد الإلكتروني الخادعة، والتي توهم المستقبل الضحية على أنها صادرة من مؤسسة شرعية أو مصدر رسمي بالفعل.
الخداع والتصيّد
الخداع هو إنشاء نسخة مزيفة من موقع ويب أو عنوان بريد إلكتروني على سبيل المثال، بحيث ينشئ اللصوص موقعاً شبيهاً بالموقع الضحية يبدو مطابقة له ويخدعون المستخدمين للدخول إليها وتسجيل اسم المستخدم وكلمة المرور، فيجمعها المجرمون ويستخدمونها للوصول إلى الموقع الحقيقي، وأما التصيّد فيبدو متشابهاً بشكل عام متضمناً ارتباطاً إلى صفحة تسجيل الدخول لموقع ويب مزيف، وأحياناً كثيرة يتضمن ارتباطاً إلى صفحة تسجيل دخول مزيفة عبارة عن نسخة كاملة مطابقة للموقع الحقيقي الضحية وغالباً مايكون مستضافاً لديهم ايضاً، وأحياناً أخرى يتم التلاعب بنظام العناوين وإعادة التوجيه لموقع جديد.
هناك أيضاً هجوم من نوع جديد ومثير للقلق، حيث يتم زرع شيفرات خبيثة داخل مواقع الويب النظامية من قبل الهاكرز بحيث يتم جمع المعلومات المدخلة وتزويدهم بها، وتتطلب حرفية عالية ومستوى مرتفعاً من المهارة التقنية، ولعل اتجاه بعض البنوك المحلية في اعتماد لوحة المفاتيح الافتراضية تفادياً لمسجلات ضربات المفاتيح، حيث توجد برامج تعقب وتسجيل لجميع ضربات المفاتيح بحيث يتم ارسالها إلى الهاكرز، وتعتبر جيدة كذلك في زيادة مستوى الحماية.
بالنظر إلى الصور المرفقة فالصورة الأولى لرسالة احتيال تمت باستخدام صيغ الرسائل والخطابات وشعار بنك دبي الوطني، حيث يوهم العميل بأنه يواجه مشاكل في الدخول للخدمات المصرفية على الإنترنت ونتيجة ذلك تم تجميد ملفه الشخصي، داعياً إياه إلى تحديث بياناته، الصورة الثانية لرسالة احتيال أخرى مستخدمين شركة (باي بال) الشهيرة مع وضع تنبيه بأن آخر موعد لتحديث البيانات هو 25فبراير لتتم سرقة المعلومات والرصيد بكل سهولة، في هذين الرسالتين يكون الضحية كمن يقدم محفظته الشخصية بكل أريحية إلى اللص لمجرد أن شكله (أعجبه) أو (مدعاة للثقة)!! الطريف أني شخصياً لا اتعامل مع كل من بنك دبي الوطني أو باي بال!! فمن الطبيعي ألا أكون عميلاً لهما، ولكن المصيبة حين تصل لعميل ويقوم بتصديقها فعلاً!، الصورة الثالثة والأخيرة هي لنموذج المرشح والذي قام آلياً بحجب رسالة (باي بال) في بريد الويندوز لايف ميل بنسخته التجريبية.
لماذا تبدو الهندسة الاجتماعية خطيرة؟ لأنها ببساطة تعتمد على (سذاجة) الناس، فهم تعودوا الحصول على حلول تقنية لحمايتهم، ولكن الاختراق بواسطة الهندسة الاجتماعية يتخطى ذلك وحتى جدران الحماية، وبالنظر إلى حلقات الحماية في أي منشأة فإن الحلقة الأضعف دائماً هم الناس العاديون أي المستخدمون، ويلزم لذلك الحرص على التوعية والتدريب، وإقامة جدران نار بشرية لصد هذه الهجمات.
القريةنت