الجمعة, 16 نوفمبر 2018

استخدام أساليب مبتكرة مع الضحية ليدلي ببياناته برضاه أو دون أن يشعر

الهندسة الاجتماعية.. أحدث تقنيات الاحتيال للوصول إلى المعلومات السرية

الأربعاء 27 يونيو 2018 06:18 م بتوقيت مسقط

الهندسة الاجتماعية.. أحدث تقنيات الاحتيال للوصول إلى المعلومات السرية

مسقط - الرؤية

باتت أشكالُ اختراق الخصوصيات والمعلومات التي يفترض أنها محمية، أو يجب عدم الإفصاح عنها لأشخاص غرباء، خطراً وتهديداً على أمن معلومات الأفراد والمؤسسات والشركات، ويعرف هذا النمط من الاحتيال، والذي يقوم على مبدأ استغلال نقاط الضعف في ذهن الضحية بالهندسة الاجتماعية، والتي تجعل من الأشخاص ومستخدمي الشبكة العنكبوتية وتطبيقاتها يقعون بشكل لا إرادي في فخها.

وفي هذا الصدد، قال الرائد يحيى بن عامر الهميمي من الإدارة العامة لتقنية المعلومات بشرطة عمان السلطانية، إن البعض يسميها فن اختراق العقول، وهي مهارة استخدام الأساليب الكلامية أو النفسية الإيحائية أو الإعلانية لتوجيه عقل وتفكير الضحية إلى ما يريد الجاني والاستفادة أكبر قدر منه والحصول على معلومات وبيانات سرية دون أن يشعر وبرضا تام منه. أما في عالم التقنية والحواسيب، فالهندسة الاجتماعية تعرف بأنها عبارة عن مجموعة من التقنيات المستخدمة لجعل المستخدم يقوم بعمل ما أو الإفصاح عن معلومات سرية عن حساباته الإلكترونية، أو البيانات المتعلقة بحساباته البنكية لتحقيق الغرض المنشود من الضحية.

وأوضح الرائد يحيى الهميمي أن هناك العديد من أساليب الهندسة الاجتماعية (الاحتيال) التي يعتمد عليها المهاجمون لإيقاع ضحاياهم. ولا يمكن حصرها لأن المهاجمون يفكرون أيضاً بشكل مستمر بأساليب جديدة ومبتكرة لخداع الضحايا.. ومن تلك الأساليب: استغلال الشائعات؛ حيث تعتمد أغلب عمليات الاحتيال للحصول على كلمات السر أو للسيطرة على الحواسيب على تغليف البرامج الخبيثة أو الرابط الخبيث في غلاف جذاب يغوي الضحية إلى تشغيله أو فتحه. ففي كثير من الأحيان يستغل المهاجمون الشائعات والتي تنتشر بشكل سريع جدا ضمن شبكات التواصل الاجتماعي كغلاف جذاب لتمرير المحتوى الخبيث. فيضعون خبرا معينا أو قضية معينة ويرفقون معها رابط "لقراءة المزيد" أو "لمعرفة التفاصيل انقر هنا" أو "قم بالتسجيل للاطلاع أكثر"؛ فيتم من خلال ذلك تنزيل برمجيات خبيثة أو سرقة البيانات الشخصية وخاصة إذا ما تم طلب البريد الإلكتروني وكلمة المرور في صفحة التسجيل في موقع المهاجمين المعد لمثل تلك الأمور.

وأضاف: من ضمن الأساليب كذلك استغلال العواطف من خلال استخدام نصوص أو صور تخاطب عاطفة الضحية وتؤدي إلى سقوطه في فخ فتح وتشغيل الملف الخبيث أو فتح رابط خبيث أو ملئ صفحة خاصة بكافة بياناته الشخصية. يمكن أيضا للمهاجم استغلال فضول المستهدف أو غروره أو بحثه عن علاقة عاطفية مشروعة أو غير مشروعة وهكذا يتم استدراج الضحية للقيام بما يريد منه المهاجم كتنزيل برمجيات خبيثة أو إعطاء بيانات شخصية كاسمه وموقع سكنه وحتى صورته أو بيانات حسابات تطبيقات التواصل الاجتماعي ورقم هاتفه...وغيرها، وقد يؤدي ذلك إلى ابتزازه إلكترونيا في وقت لاحق، خاصة إذا ما تم تهديده بفضح بياناته أو نشرها.

وبشكل مشابه لاستغلال الشائعات، يستغل المهاجمون المواضيع والقضايا الساخنة على الساحة المحلية أو الإقليمية أو حتى الدولية لتمرير عمليات احتيالهم. وبعكس الشائعات، المواضيع الساخنة أخبار حقيقية ولا تحتوي على تضخيم أو افتراء. تنتشر عادة بسرعة على وسائل الإعلام ذات المصداقية العالية بشكل أخبار عاجلة فيتعطش الضحية لمعرفة المزيد أو المشاركة في تحليلها أو دراستها.

وأشار الرائد يحيى الهميمي إلى أن استغلال موضوع الأمن الرقمي وضعف الخبرة التقنية للضحية هو أحد أشهر الاساليب في الاحتيال على الشبكة العالمية للمعلومات الإنترنت. في هذا النوع من الهندسة الاجتماعية يدعي المهاجم أن رابطا ما أو ملفا ما سيسهم بحماية جهاز الضحية أو أن برامج جهاز الضحية تحتاج لتحديث او توجد ملفات ناقصة أو تالفة وتحتاج للتجديد. في حين أنه في الحقيقة الملف ملف خبيث أو الرابط سيقوم بطلب بياناته او يتم استدراج الضحية لاستخدام بطاقة البنكية في الدفع لشراء تلك البرامج أو إجراء التحديثات وهنا يقع الضحية في فخ استغلال بطاقته البنكية أو بريده الإلكتروني.

وحول الطرق والوسائل الاحتيالية الأخرى، قال الرائد يحيى الهميمي أن بعض المهاجمين يقومون بإنشاء حساب على فيسبوك، أو حساب بريد إلكتروني، أو حساب سكايب، باسم مستعار أو باسم مطابق لاسم صديق لك أو لاسم شخص تعرفه بنية انتحال الشخصية. ومن ثم استغلال الثقة للحصول على معلومات ما أو لاستجرارك لإضافته إلى مجموعات التواصل الاجتماعي معينة وما إلى ذلك.

ويعمد بعض المهاجمين إلى إيهام الشخص المستهدف بأنه على الموقع الصحيح المعتاد؛ حيث يدخل كلمة سر للدخول إلى حسابه على الموقع، كموقع البريد الالكتروني، لكن في الحقيقة يكون الموقع موقعا "شريرا" يديره أحد لصوص كلمات السر. وبالتالي إذا خدع المستخدم وأدخل كلمة سره في ذلك الموقع تصل كلمة السر بكل بساطة إلى اللص. وتكثر هذه الطريقة في كثير من المواقع على الإنترنت حيث يطلب من الضحية ادخال اسمه وبريد إلكترونه وكلمة السر للبريد الإلكتروني للدخول على حسابه وتقع الضحية في الفخ إذا لم يتأكد من أن عنوان الموقع في تلك الصفحة مختلف عن عنوان الموقع الحقيقي للحساب.

وعن طرق الوقاية من هجمات الهندسة الاجتماعية، قال الرائد يحيى الهميمي إن العنصر البشري هو العامل الأهم في أي منظومة أمنية، وهو في الوقت نفسه العامل الأضعف فيها، إذ لا يمكن "برمجته"، وضمان عدم ارتكابه للأخطاء. ولكن يمكن تدريبه وتوعيته وضخ حس الأمن المعلوماتي والإلكتروني فيه. فعلى صعيد الأفراد ومستخدمي الحواسيب وتطبيقات الإنترنت يجب عليهم الحرص على الخصوصية وعدم نشر معلومات شخصية عنهم؛ لأن المهاجم قد يستخدمها لانتحال شخصياتهم، والنظر بعين الحذر إلى كل بريد الكتروني أو رسالة ما تصل أو تظهر على الحاسب أو التطبيق أو الصفحة التي يتصفحها وتحتوي على ملفات أو روابط مرفقة، وفي حالة اختراق البريد الإلكتروني يجب إبلاغ الأصدقاء بكل صراحة أنك وقعت ضحية لاختراق حسابك كي يكونوا حذرين بدورهم في حال حاول المهاجم انتحال شخصيتك، كما يجب عدم إعطاء كلمة السر للحاسوب أو أي تطبيق لأي شخص حتى من تثق فيه. ولا اسم حسابك وكلمة مروره لأي شخص كان.

أما أنجع طريقة لحماية المؤسسات والشركات، فهي التوعية والتدريب، فتوعية الموظفين بالأساليب التي يمكن أن يستخدمها المهندس الاجتماعي لاستخراج المعلومات منهم، وتنبيههم إلى عدم إعطاء أي كلمة سرٍّ أو معلومة لأي شخص، مهما ادعى علو مرتبته في المؤسسة أو الشركة، إلا بعد التثبت بشكل عملي من هويته، إضافة إلى حثهم على الحذر والتقليل من تداول المعلومات الشخصية في وسائل التواصل الاجتماعي وعدم التعريف بوظائفهم ومراكزهم في تلك المؤسسات في اي موقع أو أمام شخص غير موثوق فيه، كما يمكن السؤال والتقصي عن الشخص الذي يتم توظيفه بشكل دائم أو بعقد مؤقت أو من خلال شركة ثالثه بشكل دقيق، لضمان خلو تاريخه مما يثير الريبة حتى لا يكون مفتاحا لتسهيل وهدفا سهلا للمهندسين الاجتماعين.

واختتم الرائد يحيى بن عامر الهميمي، بالقول: رغم كل الإجراءات التي يمكن اتباعها لحماية الأمن المعلوماتي فإنه لا توجد هناك حصانة تامة. سيظل المجرمون يبتكرون طرقاً جديدة للاختراق، وسيظل الطرف الآخر، يحاول استباق هجماتهم بالتحصين، فالعلاقة بينهما طردية. لكن الوقاية تبقى دائماً خير من العلاج وذلك بالوعي المعلوماتي والتدريب والتثقيف الإلكتروني.