ليس لمصطلــح الهندسة الاجتماعية (Social Engineering) معنى متفق عليـه، ولكن من أقرب التعريفات أن نقول إنها استخدام المهاجم لحيل نفسية كي يخدع مستخدمي الحاسوب ليمكنوه من الوصول إلى أجهزة الحاسوب أو المعلومات المخزنة فيها. وخلافـاً لما قـد يتوهم بعض الناس، فإن الهندسة الاجتماعية يجب أن تكون على رأس قائمة وسائل الهجوم التي يجب أن نحاول حماية المعلومات منها، والسبب في ذلك يرجع إلى الآتي:
-
أن الهندسة الاجتماعية من أنجح الوسائل التي يستخدمها المهاجم لسهولتها مقارنة بالوسائل التقنية الأخرى.
-
أن المتخصصين في مجال أمن المعلومات وكذلك مستخدمي الحاسوب لا يعيرون خطر الهندسة الاجتماعية من اهتمامهم سوى النزر اليسير.
جوانب الهجمات بأسلوب الهندسية الاجتماعية:
يرى بعض الباحثين أن الهجمات باستخدام أسلوب الهندسية الاجتماعية يمكن أن تشن على عدة أصعدة:
أ- الصعيد الحسي
يكون التركيز على موضع الهجوم والبيئة المحيطة به ويدخل ضمن هذا:
-
مكان العمل : يدخل المهاجم مكان العمل متظاهراً بأنه أحد الموظفين أو المتعاقدين مع جهة العمل أو عمال النظافة أو الصيانة. وإذا تمكن المهاجم من الدخول فإنه يطوف بالمكاتب لجمع ما يمكنه جمعه من كلمات المرور التي قد تكون مكتوبة على أوراق ملصقة بشاشة الحاسوب أو لوحة المفاتيح.
-
الهاتف: يستخدم بعض المهاجمين الهاتف لشن هجمات بأسلوب الهندسية الاجتماعية وأكثر الأشخاص تعرضاً لهذا النوع من الهجمات هم العاملــون في مراكز تقديم الدعم الفني (Help Desk)، فالمهاجم مثلاً قد يتصل بمركز تقديم الدعم الفني هاتفياً ويطلب منه بعض المعلومات الفنية، وتدريجياً يحصل على ما يريده من معلومات ككلمات المرور وغيرها، وبعد ذلك يستخدم هذه المعلومات التي يحصل عليها لشن هجمات على حواسيب المنشأة. ويرى الكاتبان أن هذا النوع من السهل تنفيذه ضد البنوك و الشركات والمؤسسات في مجتمعنا؛ بسبب تركيبتنا النفسية والاجتماعية التي تجعل عدداً منا يولي ثقته بسهولة لكل أحد.
-
النفايات: قد يستغرب بعضنا إذا علم أن هذه الطريقة من أكثر الطرق شعبية بين المهاجمين الذين يستخدمون الهندسة الاجتماعية، والسر في شعبيتها أن المهاجم يستطيع جمع معلومات كثيرة ومهمة دون أن يلفت انتباه أحد. ومن المعلومات التي توجد في النفايات كلمات المرور، والهيكل التنظيمي للشركة، ودليل هواتف الشركة، وأسماء العملين فيها، ومواعيد اجتماعات الموظفين، وفواتير الشراء… الخ. ولندلل على ما نقول نود من القارئ أن يتخيل ما يمكن أن يحدث عندما يحصل المهاجم على تقويم العام المنصرم الذي يحوي مواعيد اجتماعات موظف ما وأماكن انعقادها ومواضيع الاجتماعات والأطراف المشاركة فيها. إن هذه المعلومات تضفي على المهاجم نوعاً من الشرعية، فقد يتصل مثلاً بسكرتير أحد الأشخاص المهمين المشاركين في أحد هذه الاجتماعات متظاهراً بأنه سكرتير مشارك آخر، ويطلب منه إرسال نسخة من التوصيات أو القرارات التي خرج بها المجتمعون إلى بريده الإلكتروني. ولاشك أن المهاجم عندما يذكر للسكرتير مكان الاجتماع وموعد انعقاده وأسماء بعض من حضروه، فإن السكرتير سيظن أن المهاجم هو حقاً سكرتير موظف آخر مشارك في الاجتماع، وإلا كيف عرف كل هذه التفاصيل عن الاجتماع، وهذا يجعل السكرتير يرسل للمهاجم ما طلب، ويمكن للمهاجم الاستفادة من هذه المعلومات الجديدة التي حصل عليها لشن المزيد من الهجمات للحصول على مزيد من المعلومات وهكذا.
-
الإنترنت: عندما يستخدم شخص ما عدة برامج أو تطبيقات يتطلب كل منها كلمة مرور مثل: (Yahoo) و(Hotmail) وغيرها فإنه غالباً ما يجنح إلى استخدام كلمة مرور واحدة لها جميعاً ليسهل على نفسه تذكرها، لكن المشكلة أنه عندما يستطيع مهاجم ما معرفة كلمة المرور هذه فإنه يصبح من السهل عليه اختراق كل التطبيقات التي يتعامل معها صاحب كلمة المرور الأصلي. ومن وسائل المهاجمين في الحصول على كلمة المرور الإنترنت، فمثلاً يقيم المهاجم المتربص موقعاً على شبكة الإنترنت يقدم خدمات معينة، مثل: تنزيل البرامج المجانية، ولكنه يشترط على الراغب في تنزيل هذه البرامج أن يدخل رقم المستخدم وكلمة المرور. ونتيجة لما أشرنا إليه آنفاً من أن بعض مستخدمي الحاسوب يفضل استخدام كلمة مرور واحدة لكل التطبيقات التي يتعامل معها فإن كلمة المرور التي يدخلها في ذلك الموقع غالباً ما تكون هي كلمة المرور نفسها التي يستخدمها في تطبيقاته الأخرى. ومن هنا يحصل المهاجم على كلمة المرور للدخول على معلومات المستهدف المخزنة في التطبيقات الأخرى.
ومن الحيل التي غالبا ما تستخدم بعد نجاح المهاجم في اختراق شبكة الشركة أو المؤسسة: أن يقوم المهاجم بإرسال رسالة إلى جهاز الشخص المستهدف بحيث تظهــر هـــــــذه الرسالة في صـورة صندوق حـــواري (Dialog Box) كأنها رسالة قادمة من إداري الشبكة يطلب فيها من الشخص المستهدف أن يعيد إدخال اسم المستخدم وكلمة المرور مبررا ذلك بوجود تحديث في الشبكة أو وجود مشاكل فنية تستلزم ذلك. و إذا انطلت الحيلة على الشخص المستهدف يحصل المهاجم على كل ما يلزمه للوصول للمعلومات الخاصة بذلك الشخص.
ب- الصعيد النفسي
هذا المستوى يعنى بالمناخ النفسي المحيط بالطريقة التي ينفذ بها الهجوم, فالمهاجم يسعى إلى خلق الأجواء النفسية المناسبة لإيهام الضحية بأن المهاجم شخص موثوق به ولديه صلاحية الاطلاع على المعلومات الحساسة للشخص المستهدف أو المنشأة المستهدفة.
الهندسة الإجتماعية (Social Engineering) وحلقة جمع المعلومات. الموضوع هذا طرح في جامعتي ضمن محاضرة تهتم في احد فروع علم النفس البشري وهي اهمية جمع المعلومات في الكشف عن بعض الخفايا التي توجد عند الشخص المستهدف.
عند الرغبة في التبحر في معرفة امن منظومة ما فهنالك الكثير من النقاط التي يتم من خلالها قياس المستوى الامني وان اردنا التحدث عن الجانب التقني فلاغلب على اطلاع تام بالاسلوب المتبع وان اردنا ان نتطرق للجانب البشري وهو محور حديثنا فهذا الجانب يمر بمراحل عديدة وهي ما نسميها مراحل بناء الثقة. التقاط المعلومات بشكل خفي, رفع مستوى الأمان والثقة, التقاط المعلومات بشكل طبيعي.
في بداية الهجمة يبدا المهاجم بجمع المعلومات بطريقة غير مباشرة بعيدة تماما عن اي احتكاك مع الهدف وهذا ما نسميه التقاط جزئي. فيبدا بالبحث عن اسمه ومجموعة المواقع التي يقوم بزيارتها وان كان يملك موقع او ما شابه ذلك من دومين يحاول بمتابعة معلومات التسجيل لمعرفة طرق الاتصال به ولهذا السبب نشاهد ان كبرى الشركات الامنية تحصر علاقات موظفيها ضمن نطاق التذاكر فقط لاغير ويبتعدون تمام البعد عن علاقات تتم خارج هذا النطاق.
فالعلاقات من هذ النوع تعتبر علاقات تهدد امن هذه المنظومة وعند البدء بالوصل الى طرف الخيط. في الوصول الى طريقة ما للتواصل معه ولنفترض انها بريد خاص بمدير هذه المنظومة.
يتم الانتقال هنا لمرحلة تسمى ( الماسك ) فلابد من ان يكون هنالك سبب لوصولك لبيانات هذا المدير وان يكون هذا التواصل تم بشكل طبيعي وتقليدي دون ان يسبب ادنى شك او ريبة في نفس الهدف.
ان الشك والريبة للوهلة الأولى في علم الهندسة الاجتماعية هو انطباع دائم ومستمر ومن الصعب جدا تعديله فاللقاء الأول هو الذي يكشف ماهي العلاقة (سطحية, قوية, متوتره…). فهنالك تستخدم الأساليب العديدة والحيل لأوهام الهدف ان التعارف حصل بطريقة ما تجعل منه مقتنعاً تماما بما تقوله.
فلا ينفع ان تقوم بأضافتة مثلا على البريد الخاص وتقول له شاهدت بريدك في توقيع لك في احد المنتديات فهذه احد الحلقات الضعيفة في جمع المعلومات وهي عدم استعمال الماسك بشكل صحيح فبعد التأكد من ان مجرى المرحلة الأولى تم بشكله الصحيح دون ادنى مشاكل. يتم التقاط المعلومات الاكثر اهمية التي تبحث عنها واحذر ان تكون عملية الاتقاط تتم عن طريق السؤال والجواب.
إلى أي مدى وصل تعقيد فكر الإنسان والى أي مدى قد يصل ذكاء المهاجم الذي يعتمد على الهندسة الاجتماعية لفك هذا التعقيد؟
أنا لاأتحدث هنا عن شخص يتمتع ببعض مهارات الاحتيال من خلال خبرة اكتسبها مع مرور الوقت والتعامل مع المجتمع لابالطبع فشخص كهذا مع احترامي اعتبره ساذج بل ساذج جدا بل لايوجد مقارنة أصلا بين شخص يعتمد على الخبرة فقط وشخص يعتمد على العلم والخبرة معا لاختراق الانظمة البشرية.
إنني أتحدث هنا عن شخص بنظرة في عينيك يعرف ماهو شعورك ومالذي تفكر فيه شخص يملك من الذكاء مايكفي لابقاءك تحت السيطرة ودون ان تشعر تماما .
سوف نتحدث اليوم عن اساليب للتخطيط واستخراج المعلومات وقراءة الافكار وزراعتها أيضا في عقل الهدف!!
كيف يعمل نظام الإنسان؟
نظام وتركيب وطريقة عمل الانسان مشابهة جدا لعمل الحاسوب لكن طبعا انظمة البشر معقدة جدا ومتطورة اكثر بكثير من الحاسب. فالحاسب يحتاج للغة خاصة “لغة الآلة” ليفهم ماتريده منه وكذلك نظام الانسان فنظام الانسان لايفهم إلا مايسمى بالاكواد او الاشارات العصبية Neuronal code هذا مثال بسيط على وجه التشابه بين الحاسوب والإنسان.
يتكون نظام الإنسان من 5 طبقات :
أولا: طبقة المستقبلات العصبية : “طبقة الوعي”
هذه الطبقة هي المسؤولة عن استقبال جميع المؤثرات من البيئة الخارجية والتي تشمل المؤثرات الفزيائية كالسمعية والبصرية اوالمؤثرات الحسية كاللمس ودرجة الحرارة أو الكيميائية كالرائحة وغيرها من المؤثرات التي تحيط بنا. جميع هذه المؤثرات والتي تستقبلها المستقبلات الخاصة بها تشكل بالنسبة لنا مايسمى بالوعي والوعي هو جميع البينات الداخلة لنا عبر هذه المستقبلات . مشكلة هذه الطبقة أنها تعتبر وسيلة اتصال مع من حولنا من الاشخاص وهذا يعني ان اي شخص يستطيع ارسال بينات لنا وبغض النظر عن هيئة البينات يمكننا تمرير مانريد من افكار من خلالها للتلاعب بعقل من أمامنا عموما لاحقا سيتضح ماأقصده أكثر.
ثانيا: طبقة الألياف العصبية: “أنابيب الطاقة “
هذه الطبقة هي حلقة الوصل بين الطبقة الأولى والثالثة حيث يتم ارسال الأوامر من خلالها.
ثالثا: طبقة النواة المركزية: “الجهاز العصبي المركزي”
هذه الطبقة تشبه في عملها طبقة kernel في انظمة الحاسوب وهي الطبقة التي تربط بين الطبقة الاخيرة في أنظم التحكم الانسانية وبين باقي الطبقات الأخرى . اهم عضو في هذه الطبقة بالطبع هو العقل والذي ينقسم من حيث تعامله مع الواقع الى قسمين العقل الواعي والعقل الباطن (subconious) حيث العقل الواعي هو الذي يتصل مع واقعنا الملموس حيث يقوم بفلترة جميع الافكار ومن ثم يمررها للعقل الباطن حيث يقوم بتخزين تلك الأفكار هناك.
تناسق وتناسب عمل الطبقات معا
تقوم جميع الطبقات التي تحدثت عنها بالعمل جنبا الى جنب بشكل متناسق و حتى تضح الصورة اكثر سوف اعطي مثال بسيط وليكن المثال على المحادثات التي نجريهها فيما بيننا طوال الوقت . اولا نسأل انفسنا مالذي يحدث عندما نتحدث مع احدهم؟
طبعا مايحدث هو انك تمرر بينات بانواع مختلفة فانت تمرر بينات صوتية”الكلام”وبصرية أيضا الا اذا كان اللي تتحدث معه أعمى وتستقبل هذه البينات الطبقة الأولى طبقة المستقبلات العصبية ثم تقوم هذه المستقبلات بتحويل هذه البينات الى اشارات واكواد عصبية يتم نقلها عبر الطبقة الثانية طبقة الالياف العصبية ثم تصل البينات الى طبقة الجهاز العصبي المركزي”المخ والحبل الشوكي”والذي يقوم بترجمة هذه الاشارات البينات مثلا في العقل الباطن “لاتقلق سنتحدث لاحقا عن العقل الباطن”.
العقل الباطن
ماهو العقل الباطن؟
تستطيع أن تقول العقل الباطن او اللاواعي هو مجموعة من البينات المترسبة في اللاوعي للانسان وتشمل هذه البينات الكثير من الأمور كأحداث معينة قد تكون محزنة مثلا اوحتى مشاعر معينة تجاه اشخاص آخرين والعادات والتقاليد التي تربيت عليها بمعنى اخر نستطيع أن نقول الامور التي اصبحت تلقائيا تقوم بعملها دون أن تشعر ومجموع هذه البينات تشكل بالطبع شخصيتك وخبراتك في هذه الحياة.
الاساليب الرئيسية لاقتحام عقل الهدف
أولا:استخراج المعلومات
أول خطوة نقوم بها لاختبار اختراق أنظمة الحاسوب هي جمع واستخراج المعلومات وكذلك انظمة البشر لابد أن نجمع عن نظام الشخص المستهدف أكبر قدر من المعلومات المتاحة لنا حتى نجد المنفذ المناسب الذي نستطيع من خلاله الدخول لعقل النظام الهدف. و لكن كيف نحلل الشخص المستهدف؟
هناك اساليب عديدة لتحليل شخصية الهدف وقراءة عقليته والتعرف على كيفية تعامله مع الامور طبعا هذه الاساليب تعتمد بشكل اساسي على فكرة اساسية وهي ان رغم تنوع عقليات البشر الا اننا جميعا نشترك في صفات مشتركة جميعنا نمرض جميعنا نحزن جميعا نغضب جميعنا نحب ونكره لكن السؤال المهم مالذي نستطيع استخراجه من هذه الصفات ان هذه الصفات هي بمثابة المنافذ التي من خلالها نستطيع ايجاد ثغرة في نظام الشخص المستهدف عموما سوف نتطرق الآن لبعض اساليب التحليل:
* التحليل بالاعتماد على الهيئة الفزيائية للشخص: “شكل الشخص ”
إن الهيئة الخارجية للشخص تعطينا كثير من المعلومات ولكن هذا يعتمدبشكل كبير على خبرتك العلمية بشكل كبير نعم واخصص كلامي واقول علمية فمثلا اذا كانت لديك معلومات جيدة في المجال الطبي فهذا سيمكنك مثلا من تشخيص بعض الامراض التي قد تكون مصيبة لهذا الشخص مثلا قد تستطيع من خلال نظرة ان تعرف ان هذا الشخص عنده مشكلة في هرمونات الغدة الدرقية ولنفرض ان هذه الهرمونات زائدة عن حدها الطبيعي هذا سوف يعطينا كثير من المعلومات فزيادة هذه الهرمونات هي السبب الرئيسي الذي تجعل هذا الشخص نحيف وايضا زيادتها تؤدي لزيادة انتاج الطاقة بسبب زيادة عمليات الايض في الخلايا وهذه الطاقة الزائدة تجعل هذا الشخص نشيط زيادة عن الحد مما يجعله عصبي نوعا ما, هل رأيت كم المعلومات التي قد تستخرجها بسهولة من شكل الشخص فقد عرفت من شكل الشخص وبنظرة انه عصبي وكثير من المعلومات الفسيولوجية عنه مما سيجعلك عندما تتعامل معه ستاخذ حذرك من هذه الامور وتضعها في الحسبان. حسنا انا اعلم أنك تقول ولكن هكذا سوف اضطر لان اتعلم الكثير والكثير والامر ليس بالسهل كما ذكرت. سوف اقول لك نعم ومن قال ان الموضوع سهل بالتأكيد فن السيطرة على الارادة للبشر هو فن صعب وهذا ماقلته في البداية فلاتنسى انك لاتتعامل هنا مع نظام وندوز او لينكس او اي نظام حاسوب انت تتعامل مع نظام متطور جدا يحوي احدث التقنيات التي وجدت في هذا الكون.
* التحليل من خلال التلاعب في النمط اللغوي: “hypnotic language”
إن اللغة ماهي إلا اداة ووسيلة للتعبير عن افكارنا بشكل مفهوم وهذه اللغة مكونة من كلمات وهذه الكلمات ماهي إلا اوامر تفهمها عقولنا جيدا وهي في النهاية ايضا مجرد بينات تصل الى النواة المركزية بنظامنا على شكل اشارات عصبية وتقوم طبقة النواة المركزية بترجمتها ومن الطبيعي انه اذا تلاعبنا في هذه البينات سنتلاعب في الاستجابة التي ستحدث نتيجة لترجمة هذه الاوامر!! ولكن كيف؟
حتى يتوضح أكثر ما أقصده ربما يجدر بي اعطاء مثال والحقيقة ان الامثلة في حياتنا اليومية كثيرة جدا مثلا يمكنني بكل سهولة أن اقترح على احد اصدقائي الذهاب الى العشاء وفي هذه الحالة سوف يفكر هل سوف اذهب للعشاء أم لا ؟ بينما ان صغت الجملة بطريقة اخرى مثلا هكذا: “هل تريد العشاء قبل ان نذهب للسينما او بعد؟”. الحقيقة تبدوا الجملتين متشابهتين فكلاهما الهدف منهم ان أتعشى مع صديقي لكن في الحقيقة هناك اختلاف واضح اذا دققت جيدا في الجملة الأولى سألته إن كان يريد أن يتعشى في هذه الحالة عقل صديقي سوف يأخذ هذه المسألة على أنها سؤال إن كان فعلا يريد أن يتعشى ام لا ؟بينما في السؤال الآخر انا لم اعطيه الخيار لكي يتعشى وان كان ظاهر من السؤال انه كذلك لكن في الحقيقة اعطيته خيار آخر وهو انه سيتعشى فعلا لكن هل تريدها قبل او بعد أن ندخل للسينما؟! بمعنى آخر العشاء لم يصبح قضية اختيارية الآن.
بالطبع هذا المثال بسيط وانا واثق انك تحدث نفسك الآن قائلا في الحقيقة نحن احيانا نستخدم هذه الاساليب كثيرا في حياتناوسوف اجيبك قائلا نعم نحن نستخدم اساليب متشابهة للتلاعب بالكلام تلقائيا ودون شعور ولكن الفرق هنا انك في الحالة الأولى لم تكن تعلم مدى قوة هذا الاسلوب اما الآن فنحن نعرف.
طبعا في المثال الذي ذكرته بامكان صديقي رغم تلاعبي بالكلام ان يرفض فكرة العشاء من الأساس ولكن ماتزال محاولتي محاولة ناجحة حيث اني قدمت قضية خيارية اخرى بدل قضية العشاء لصديقي لكي يفكر بها طبعا هذا مثال بسيط جدا لحقن الافكار داخل الكلام والتأثير على الإرادة.
* تحليل حركة العين:
العين تلك الشيء الفريد والذي بمجرد النظر اليها تعطينا ايحاء عن الشخص الذي أمامنا فكم مرة نظرت الى شخص اول مرة تراه وينتابك هذا الشعور الغير مبرر ان عيون هذا الشخص تخفي من الاشياء مايجعلك تكون حذرا معه حقا, ان العيون هي بوابة العقل والروح. الحقيقة اجريت كثير من الدراسات للعيون وربما ابرز الدراسات التي تهمنا في هذا المقال الدراسات والنظريات التي تطرحها البرمجة اللغوية العصبية NLP. انظر للصورة التالية:
الصورة السابقة توضح بعض التفسيرات التي وضعت بناء على دراسة فسيولوجية لحركة العين ووضع تفسيرات لها. هذا الاسلوب يستخدم في كثير من الامور ولعل اشهر الامثلة على استخدام هذه الاساليب الاستجوابات التي تجريها المباحث الفدرالية FBI .
ومن النموذج الموضوح بالصورة نرى مثلا ان الشخص الذي ينظر للاعلى تجاه اليمين نجد ان الصورة توضح انه في هذه الحالة غالبا الاشياءالتي يقولها شخص هي من تأليف خياله أي أنه يكذب واذا كان ينظر للاعلى في اتجاه اليسار معنى هذا انه يتذكر ذكريات ويتخيلها بشكل مرئي وهذا مانسميه visual memory .
عموما هذا الاسلوب كما ذكرت يستخدم في كثير من الامور كالتحقيقات والاستجوبات الجنائية او في العلاج النفسي حتى وهو مفيد جدا في التحليل وتحديد مصداقية الشخص بدرجة عالية من الدقة.
أمثلة على أساليب الهجوم :
أولا:التأثير على الإرادة بالإيحاء:
ماهو الايحاء؟
الايحاء ببساطة هو تمرير اقتراح او فكرة معينة للعقل الواعي باسلوب معين ليقوم بتصديقها العقل اللاواعي subconcious.
* التأثيرعلى الإراداة بالضغط النفسي:
حتى يتوضح مقصدي في هذه الفقرة يجدر بي أن أسألك سؤال كم مرة كنت تعتقد أنك على صواب في نقاش معين ومع ذلك تجد ان الذين يناقشوك يحاولون اقناعك بأنك مخطئ لدرجة أنك شعرت أنك بالفعل مخطئ رغم ان الحجج التي يتكلمون بها ليست قوية ولاتدعم رأيهم ؟ هذا مايسمى بالضغط النفسي فالذين يناقشوك يحاولون من خلال الضغط عليك بانهم جميعامتفقون على انهم صواب وانك انت المخطئ وبالتالي تشعر انت بانك شاذ عن المجموعة وهذا لأن العقل الواعي قام بتصديق انهم على صواب وبالتالي قام العقل الواعي بتمرير هذه الفكرة الى عقلك اللاواعي وترسيخها هناك .
* السؤال الإيحائي:”leading question”
السؤال الايحائي هوببساطة سؤال يحتوي الاجابة! كيف؟! لاجابة هذا السؤال اليك المثال التالي:
احد اصدقائي قريبه التحق معنا بكلية الطب هذه السنة وكان قريبه يريد شراء جمجمة طبعا تستطيع في الكلية شراء جمجمة طبيعية او جمجمة مصنوعة من البلاستيك وبالطبع الجمجمة الطبيعة افضل للدراسة ولكنها غالية. صديقي كان يريد اقناع قريبه بشراء الجمجمة البلاستيكية فسأل قريبه هذا السؤال: “هل تريد شراء الجمجمة البلاستيكية او جمجمة طبيعية مع العلم ان الجمجمة الطبيعية افضل للدراسة ولكنها اغلى ومع الوقت تخرج رائحة و البلاستسيكية اقل في الجودة ولكن جيدة للدراسة واقل في السعر فايهم تريد شرائه ؟”
أعتقد الاجابة منطقيا واضحة سوف يشتري قريبه الجمجمة البلاستيكية . بالطبع ماقاله صديقي عن الجمجمة البلاستيكية والجمجمة الطبيعية صحيح ولكن الجمجمة الطبيعة لاتخرج رائحة مع الوقت!
عندما تركز في المثال سوف تلاحظ ان صديقي يبدوا ظاهريا قام باعطاء قريبه سؤال وهو حر في مايشتري لكن بالتأكيد صديقي لم يعطي قريبه سؤال بل أعطاه الإجابة وهذا مانسميه بالسؤال الإيحائي.
* التنويم الايحائي:
هو إيصال الذهن إلى حالة من الهدوء والاسترخاء بحيث يكون الذهن فيها قابل بشكل كبير للإقتراحات والإيحاءات. يستخدم التنويم الايحائي في كثير من الأمور كالعلاج بخط الزمن وتحسين الحالة النفسية للإنسان وتحسين النواحي الإبداعية في الشخصية. عموما اذا ركزت أخي في التعريف الذي وضعته للتنويم الإيحائي يجب أن يكون ذهن الإنسان فيها قابل أصلا للتنويم او إرخاء الوعي أي أننا لن نجبره لابد أن يكون مقتنع بما يفعله وبالتالي اذا استطعنا أن نقنعه بطريقة واسلوب ماسوف ينفذ بالفعل مانطلبه و الحقيقة أن هناك أساليب كثيرة للإقناع ولعل أغلب من قرأ أو شاهد تجربة للتنويم الإيحائي يجد مثلا أن الشخص الذي يقوم بالتنويم الإيحائي يستخدم موسيقى اثناء التنويم وذلك لأن الموسيقى لها تأثير على الحالة للنفسية للإنسان , فكم مرة تسمع موسيقى معينة وتشرع بالحزن وأخرى تشعر بالتفاؤل والحماس وإذا استطعنا التأثير في الحالة النفسية للإنسان عندها سنؤثر في طريقة تفكيره وبالتالي من السهل اقناعه والتأثير على إقناعه.
والحقيقة إني استخدم هذا الأسلوب عندما اريد اقناع احد الاشخاص بشئ ما أحيانا فإخذه لمكان يقوم بتشغيل موسيقى مناسبة للموضوع الذي نتكلم فيه. عموما لن أتعمق اكثر من هذا في فقرة التنويم الايحائي او في أساليب الإيحاء بشكل عام لأن الإيحاء موضوع كبير ولايكفي مقال مكون من عدة سطور وصفحات لتفصيله.
ثانيا: زراعة الأفكار
هو ادخال فكرة للاوعي للشخص بحيث تكون فكرة ثابتة عنده يتعامل من خلالها . الحقيقة زراعة الإفكار تعد أحد أخبث الأساليب لاختراق العقول والسيطرة عليها ومن الامثلة الواضحة التي نشاهدها في عالمنا هو ماتشنه التيارات الفكرية المختلفة في يومنا هذا من حرب نفسية على المجتمع البشري للتحكم في مصيره وزراعة الأفكار في اذهان المجتمع الانساني بشتى الطرق والوسائل لسلبهم حرية التحكم في قراراتهم دون أن يشعروا. ولكن كيف نقوم بزراعة فكرة معينة وماهي الأساس التي تقوم عليه؟!
أولا عزيزي القارئ ضع في ذهنك قاعدة مهمة وهي أن جسد الإنسان بني على الحماية بمعنى أن أي شيء غريب عليه يقوم بمقاومته فمثلا عندما نقوم بعمل تبرع بالدم لابد من التحقق من فصيلة الدم لضمان التوافق وكذلك عند زراعة الاعضاء , كذلك عقل الانسان حيث اللاوعي للإنسان مليء بالأفكار كالمعتقدات الدينية والعادات والتقاليد والمبادئ وجميع ماتعلمته منذ أن ولدت كل هذه الأفكار عندما تدخل عليها فكرة غريبة ستقاوم هذه الفكرة إن لم تكن متوافقة مع الافكار الموجودة.
وحتى أوضح كلامي ساذكر مثال بسيط: ماذا لو أتيت لأحد الأشخاص وحاولت إقناعه بشكل مباشر بأن معتقده الديني خاطئ ماذا سيحدث غالبا ماستجد ردة فعل قوية والسبب أن المعتقد الديني فكرة اساسية وعميقة واغلب افكاره مرتبطة بهذا المعتقد بل أن جميع قراراته في الأصل يأخذها على أساسه فيرى الصواب والخطأ من خلال هذا المعتقد و بالتالي بمجرد أن تلقي عليه فكرة أن معتقده خاطئ يجب أن تتوقع ردة فعل قوية لأنك تهدد كيان فكري عميق في ذهنه. اذا من يستخدم هذا الأسلوب عليه أن يعي جيدا مدى عمق الفكرة الرئيسية المضادة للفكرة التي سيسزرعها ومدى تأثيرة هذه الفكرة المضادة لفكرتنا على الأفكار الأخرى في ذهن المتلقي .
كيف أحمي نفسي من اساليب الاختراق المختلفة؟
ماذا أقول؟فنحن نعيش في عالم صعب مليء بالمخاطر وأراهن ان أعظم خطر يهدد البشرية هو اختراق عقولنا وقمع حريتها هناك من درس جيدا كيف تفكر اخي الإنسان ودرس كل إنش فيك عرف نقاط ضعفك جيدا وتأكد أنه سيتأكد دائما أنه سيبقيك تحت السيطرة. فماذا تعتقد النصيحة التي سأقدمها لك سوى أني سأقول لك أدرس وتعلم من كتاب الكون العظيم الذي نعيش فيه والمليء بالأسرار والتي كلما تعمقنا فيها بالتأكيد ستكون هذه الحماية القصوى لك.
ماذكرته في هذه المقالة ليس إلا جزء من فيض من الأساليب النفسية الحديثة لقمع عقول البشرية و إن شاء الله ستكون هذه المقالة بداية سلسة فانتظروا القادم.
الهندسة الإجتماعية هجوم Evil Twin
مقال يتكلم عن هجوم Evil Twin وأساليب جمع المعلومات في الهندسة الإجتماعية Social Engineering التي تعتبر من أخطر الهجمات التي يصعب التصدي لها حيث الطريقة لا تعتمد على ثغرة تقنية مثلا يمكن ترقيعها بل تعتمد على ثغرات في نظام الانسان نفسه!
كثير ماتذكرني هذه الهجمات بفيلم Face Off عندما تضطر الـ FBI لعمل عملية جراحية لاحد FBI Agents للحصول على وجه مشابه للمجرم وبالتالي سيمكنهم من الوصول للمعلومات التي يريدونها. طبعا هجمة Evil Twin واحدة من اخطر الهجمات التي تعتمد على الـ Social Engineering خاصة ان مثل هذه الهجمات تحتاج خبرة اجتماعية وعلمية وذكاء شديد وطرق مدروسة وغير متوقعة من طرف المهاجم هذا غير صعوبة التصدي لها حيث الطريقة لاتعتمد على ثغرة تقنية مثلا يمكن ترقيعها بل تعتمد على ثغرات في نظام الانسان نفسه!!
عموما في هذا الموضوع سوف القي الضوء على بعض النقاط والتقنيات التي يمكن استخدامها في هذه الهجمات.
مقدمة:
تطور الانترنت بشكل كبير وأصبحت التقنية الاكثر اختراقا لحياتنا اليومية واصبحنا نعتمد عليها في كل صغيرة وكبيرة واصبحت الشبكة اليوم عبارة عن مركز هام لتدوين افكار وثقافات الشعوب المختلفة ولكن كما نعلم لكل شيئ عيوبه ومزاياه فأنت تسخدم الانترنت لغرض التواصل وتبادل الافكار لكن ألآف غيرك يستخدمون الانترنت لاصطياد الكثير من المستخدمين امثالك اثناء تصفحهم عبر الشبكة.بمعنى آخر مااريد قوله ماتقدمه انت من معلومات على الانترنت بحسن نية لغرض التعارف والتواصل وتبادل الأفكار قد يستخدمه اخر ضدك مثلا قد يستخدم معلوماتك لانتحال شخصيتك مثلا والذي قد يؤدي الى الوصول لمعلومات حساسة فمثلا قد تكون مدير شبكة لشركة وبالتالي تعرض بينات الشركة للاختراق .عموما سوف اقوم الآن بشرح بعض الخطوات والTechniqes البسيطة والتي يمكن استخدامها في تنفيذ هذه الهجمات.
أولا: حدد هدفك واعرف من الذي تتعامل معه
قبل ان يقوم المهاجم بتنفيذمثل هذه الهجمات عليه أن يعرف من يتعامل معه مثلا فلو كان الهدف شركة كبيرة فعليه أن يتوقع اجراءات أمنية صارمة وان الهدف لن يكون سهل لو كان الهدف افراد عاديين مثلا فقد يكون نسبة كبيرة منهم سذج نوعا ما وبالتالي ارتفاع معدل نجاح الهجمة ماأقصده كل ماكانت معرفتك بالخصم دقيقة كلما اقتربت للهدف اكثر ايضاعليك أن تضع اهداف واضحة في مهمتك لكي تستطيع رسم خطتك بوضوح وعلى اساس متين فمثلا لو كان هدفك مدير الشبكة الذي يملك الباسوردالخاصة بخدمة معينة لسرفر الشركة المستهدفة فأي شيء او اي شخص يمكن من خلاله الوصول لمدير الشبكة هو هدف لنا أيضا.
ثانيا: Information gathering about our goals
كما نعلم أن أي عملية Pen test أو اختراق مدروسة تكون أول خطوة فيها هي خطوة جمع المعلومات وهي التي ستحدد مصير الهجمة فيما بعد فان كانت المعلومات التي قمت بجمعها صحيحة هذا سيرفع نسبة نجاح هجومك عموما سنتستعرض هنا بعض الخطوات والتقنيات التي من خلالها نستطيع جمع بينات عن اهدافنا المختلفة والتي ستساعدنا في بناء توأم شرير Evil Twin فلنبدأ:
* جمع البيانات من خلال الاحتكاك الفزيائي:
اذا كان الهدف أهداف قريب منك وتستطيع الاحتكاك به فزيائيا اي تستطيع الوصول له بشكل مادي فهذا يسهل بالتأكيد المهمة عليك فابمكانك جمع معلومات عن اهدافك من البيئة المحيطة بهم او بالاحتكاك معهم مباشرة من خلال الحديث معهم مثلا اذا كان الهدف شركة مثلا فبامكانك الذهاب الى موقع هذه الشركة والبدأ بجمع البينات عن الاشخاص المستهدفين بهذه الشركة
-
كمواعيد الدوام الخاصة بعملهم.
-
العلاقة بينهم وبين زملائهم في العمل.
-
او مثلا جمع البينات عن عائلة كاسمه واسم اولاده مثلا.
-
او حتى معرفة الاماكن التي يفضلها.
-
او جمع معلومات عن المنتجات الخاصة بالشركة المستهدفة مثلا.
باختصار جمع البينات بهذه الطريقة تعني ان الاهداف ستكون تحت المراقبة بشكل مباشر مما سعيطينا كم هائل من المعلومات عن اهدافنا ويرفع نسبة نجاح هجومنا ايضا!
* جمع البيانات باستخدام البيانات المتاحة لنا على الشبكة:
كما ذكرت بالمقدمة شبكة الانترنت الان اصبحت مركز هام لتدوين ثقافات وافكار الشعوب وان ماتكتبه وتضعه من معلومات عنك في هذه الشبكة قد يصبح مصدر معلومات جيد عن طريقة حياتك وافكارك لاحد عديمي الضميرليقومون بانتحال شخصيتك مثلا.
ربما قد يظن البعض ان جمع بينات عن شخص ما عبر الشبكة قد يكون صعب لكن اؤكد لك انه لم يعد كذلك الآن بفضل محركات البحث والشبكات الاجتماعية عموما سوف اقوم بشرح بوضع بعض الطرق التي يمكن استخدامها من محركات البحث او الشبكات الاجتماعية او حتى باستخدام ادوات وسكربتات تم برمجتها لهذا الغرض.
جمع المعلومات باستخدام محركات البحث:
من منا لايستخدم محرك البحث جوجل! هل سبق وسألت جوجل عن اسمك إن لم تفعل فيجدر بك ذلك لأنه سوف يجيب بالتأكيد؟!
طبعا اتحدث عن جوجل هنا بحكم انه محرك البحث الاكثر شعبية والاكثر استخداما على الاطلاق حيث يشكل تقريبا مايزيد عن 80% من محركات البحث في الشبكة العنكبوتية. افضل مايعجبني في محرك البحث جوجل انه يعطيك ماتبحث عنه وماتريده بالظبط وبشكل مرتب ايضا طبعا ليس كل مانريده نحن البشر دائما جيد وبالتالي كنت اتمنى لو كان عمو جوجل سوف يقول للطلبات السيئة كلمة “لا” للاسف هذه الكلمة الوحيدة الغير مدونة في سجلات جوجل!
الاف من الاشخاص يتصفحون جوجل لعمل access على البينات المنشورة على الشبكة على هيئة نتائج مرتبة بشكل منظم قد يكون ماتريده الوصول لملف معين كتاب مثلا وقد يكون مااريده انا ايضا ملف لكن ماذا لو كان لملف يحتوي على معلومات حساسة قد يكون ماتريد الوصول اليه صفحة في موقع معين وقد اكون ايضا اريد الوصول الى رابط صفحة معينة ايضا لكنها صفحة لـ Network Device تابع لشبكة معينة قد يؤدي لاختراقها. باختصار اذا كنت تريد اداة جبارة لجمع البينات عن اي شيء تريده فجوجل هو الخيار الامثل بالتأكيد خاصة ايضا ان جوجل لم يكتفي بكل هذا فحسب بل جوجل يوفر لنا Advanced operators لتسهيل الوصول للمعلومات التي نريدها وتنظيمها بشكل افضل وسوف اقوم باعطاء نبذة عنها الآن في الفقرة التالية بعنوان Google Hacking techniqe.
Google Hacking techniqe:
ماهي الـ Advanced operators؟ هي مصطلحات خاصة يقدمها لنا محرك البحث جوجل للوصول للمعلومات التي نريدها بشكل اسرع وادق. طبعا كما قلت بالمقدمة ان جوجل سلاح ذو حدين هذه الـ operators قد توفر علينا الوصول للصفحات والمعلومات التي نريدها بشكل اسرع وتجعل التصفح عبر جوجل اكثر كفائة ودقة لكنها ايضا توفر الوقت بشكل ممتاز بنفس الكفائة والدقة للمخترقين للوصول لمايريدون عموما هناك الكثير من operators يقدمها لنا جوجل وقد وضعت جدول كما ترون يوجد الأمثلة ووصف لعمل كل operator.
انظر للصورة ولاحظ جيدا الصيغة التي يجب أن تكون عليها الـ operators syntax بشكل صحيح. عموما اذا كنت ترغب في الاطلاع على اساسيات google hacking والتعمق فيه فهناك الكثير من المقالات والكتب المتوفرة مثل كتاب Google Hacking For Penteration Testers من شركة Syngress. المهم ما اريد قوله في هذه الفقرة يمكنك استخدام هذه الـ operator لتحديد المعلومات المتوفرة في سجلات جوجل عن الهدف بدقة ومن الامثلة التي يمكن استخدامها:
site:www.facebook.com “victim”-1
بامكاننا من خلال الـ operator الموضح في المثال البحث عن الصفحات التي ذكر فيها اسم victim في موقع معين كالفيس بوك مثلا.
Intitle:”victim”-2
يقوم intitle operator بارجاع الصفحات الذي يوجد فيها الاسم الذي نبحث عنه في الـ intitle tag الخاص بها.
Filetype:ctt “msn”-3
بامكاننا مثلا البحث من خلال هذا الـ operator عن جميع الـ contact list بامتداد ctt لشركة او موقع معين مثلا وفي مثالنا هذا سوف تلاحظ اني قمت بالبحث عن الـ contact list المتوفرة على جوجل للـ MSN.
عموما الـ operators المتوفرة لنا والتي ستساعدنا في جمع معلومات وبناء توأمنا الشرير كثيرة وكما ذكرت منذ قليل يمكنك بالاطلاع على مقالات او كتب تتكلم عن google hacking بشكل مفصل إن اردت لانه لو احببت أن أفصل هنا سوف يطول الموضوع بنا جدا.
جمع البيانات عن طريق الشبكات الاجتماعية:
تطورت الشبكات الاجتماعية بشكل كبير اليوم واصبحت تحتل حيز كبير من نشاطنا عبر الانترنت وأصبح من النادر أن تجد شخص ليس له حساب على شبكة اجتماعية اوكثر مثل facebook و twitteer…
اليوم لم تعد تحتاج الكثير من العناء للحصول على بينات البطاقة الشخصية لهدفك لان الشبكات الاجتماعية توفر لك ذلك الآن على طبق من ذهب. يمكنك أن تتسأل كم شخص يضع صور له وبينات حقيقية خاصة به على الـ facebook مثلا وماذا يمكن أن تفعل بهذه البينات؟ عموما بالطبع الشبكات الاجتماعية مصدر ومكان مناسب جدا لتنفيذ هجمات Evil Twin.
جمع البيانات باستخدام اداوات مساعدة:
في هذه الفقرة سوف نقوم باستخدام اداوات اعددت خصيصا لجمع المعلومات عن الهدف خاص المعلومات الاجتماعية والادوات التي سنتحدث عنها هي:
أداة Maltego: لاأعتقد ان هناك شخص متعمق في طرق جمع البيانات Information gathering ولم يمر عليه هذا البرنامج الجبار في جمع البينات وتحليلها البرنامج بصراحة مذهل ويعمل بكفائة عالية جدا في استخراج جميع البينات الممكنة عن الهدف سواء كان الهدف ip مثلا لسرفر معين او حتى موقع معين او شبكة او حتى اسم شخص او E-mail مثلا. عندما تقوم بفتح برنامج maltego ستجد انه يقسم انواع البينات التي يتم جمعها الى ثلاثة اقسام.
أعتقد الصور الموضح فيها أقسام البينات لاتحتاج لشرح ماهية البينات التي سوف يتم استخراجها بالنسبة لطريقة الاستخدام فهناك ملف pdf رائع في الموقع الخاص بالرنامج نفسه يقوم شرح استخدام البرنامج بالكامل. maltego برنامج اكثر من رائع يكفي فقط مميزاته والبينات التي يستخرجها كالاميلات والحسابات على الشبكات الاجتماعية وارقام الهاتف وحتى مكان الاقامة ومعلومات عن السيرة الشخصية ان وجدت عن الهدف فإن كنت تريد اداة جبارة خاصة في الهندسة الاجتماعية maltego هي خيارك الامثل بالتأكيد. صفحة التحميل
اداة fbextract.php لاستخراج اسماء الـ facebook: قام Atul Agarwal باكتشاف مشكلة في facebook وهي عند دخولك وتسجيلك باميل له حساب على facebook وادخلت الباسورد مثلا بطريقة خاطئة فسوف يظهر لك الـ profile الخاص بالحساب الخاص بالاميل فقام ببرمجة php script بسيط لتسهيل هذه العملية من خلاله نستطيع استخراج اسماء الـ facebook من مجموعة من الاميلات.
ما هي الهندسة الاجتماعية ؟ - بسمه بنت عمر بن صالح العبداللطيف
الهندسة الاجتماعية هي القدرة على الحصول على معلومات حساسة وسرية عن طريق التلاعب بعقول الأشخاص بأساليب انتحال الشخصية أو الحصول على ثقة الضحية بشكل تدريجي .
بمعنى أنها تساعد على اختراق الأنظمة من خلال التلاعب بالبشر وليس من خلال التلاعب بالآلات.
ما هي المشكلة ؟
الهندسة الاجتماعية من اقصر وابسط الطرق لاختراق الأنظمة حتى أنها تشكل المدخل لأكثر من 70 % من الاختراقات التي تحدث في العالم.
وقد انتشر استخدامها مؤخرا بشكل كبير وارتفعت معدلات حدوثها بل أن الإحصائيات تشير إلى الارتفاع الصاروخي في عدد ضحايا جرائم انتحال الشخصية في الولايات المتحدة حيث أن أمريكي واحد من أصل كل ثلاثة وقع ضحية لعملية احتيال بطريقة الهندسة الاجتماعية والتي طبقاً لإحصائيات مكتب التحقيقات الفيدرالي ، تحدث مثل هذه الجريمة كل دقيقتين في الولايات المتحدة.
عند إجراء مقابله مع كيفن ميتنك _ وهو احد اكبر المخترقين في العالم سابقاً ومختص في الهندسة الاجتماعية أما الآن فهو مستشار امني _ وضّح خلال المقابلة أن 50% من الاختراقات التي قام بها كانت بسبب أنه استطاع سحب معلومات سرية وخطيرة من المسئولين في مراكز حساسة.
يقول كيفن ميتنك: " الناس متعودون على الحصول على حلول تكنولوجية الا أن الهندسة الاجتماعية تتخطى هذه الحلول وتتجاوزها، حتى أنها تتجاوز جدران النار الحماية ".
بمعنى انه لا يكفي تأمين المعدات المادية والآلات بمضادات الفيروسات والجدران النارية، ولا حتى تأمين المباني بحساسات الحركة او كاميرات المراقبة. يمكن اختراق النظام وتخطي كل هذه المعدات باستعمال الهندسة الاجتماعية.
كيف يعمل المهندس الاجتماعي ؟
المهندس الاجتماعي هو ممثل موهوب كما انه يتمتع بالقدرة على دراسة شخصية الأشخاص الذين أمامه لمعرفة ما الحيل التي من الممكن أن تنطلي عليهم فيركز على تهيئة البيئة المثالية نفسياً للهجوم.
الطرق الأساسية للاستخراج المعلومات الحساسة تشمل: إثارة انطباع جيد لدى الضحية, التملق, التكيف, تفريق المسؤوليات وادعاء وجود معرفة قديمة.
و من الممكن أن يعمل المهندس الاجتماعي داخل الشركة الضحية أو خارجها
• داخلها كأن ينتحل شخصية مندوب مبيعات أو أن يعمل بشكل مؤقت ليحصل على فرصة الدخول إلى الشركة وبالتالي الدخول إلى نظام الشركة.
• أو خارجها بحيث يصل إلى معلومات هامة عن الشركة دون أن يضطر إلى دخوله مبنى الشركة، كالاحتيال باستخدام الهاتف أو البريد الالكتروني وغيرها.
كيف نؤَمّن أنفسنا ضد الهندسة الاجتماعية ؟
يقول كيفن ميتنك " التدريب الجيد للعاملين، وليس التكنولوجيا، هو مفتاح النجاح وأفضل طريقة للوقاية ضد ظاهرة الهجمات التي توظف فيها «الهندسة الاجتماعية» لسرقة البيانات الحساسة "
• على المستوى الفردي :
حدود الثقة:
لا تثق بأي رسالة أو أي شخص يطلب منك معلومات شخصية ، حتى لو وصلتك رسالة من بريد إلكتروني يبدو واضحا أنه بريد الكتروني رسمي من الجهة التي تطلب المعلومات. وهذا لأنه ليس لديك ما يثبت تماما ان المرسل هو حقاً من يدعي انه هو كـ ختم أو توقيع أو شفرة معينة أو خلافه.
حافظ على سريّة معلوماتك:
لا تعطي معلوماتك الشخصية الحقيقة لأي شخص كان على الإنترنت. لأن الإنترنت مجال خصب للاحتيال، حيث تزول رهبة اللقاء الشخصي لدى الشخص المحتال وتختفي المؤشرات التي تدل على الاحتيال كالنظرات وطريقة الكلام ولغة الجسد بشكل عام. ولا تعلم ما قد تؤدي إليه معلومات بسيطة قد تستهين بها وترى أنها لا تنفع ولا تضر ، ولكن من جهة أخرى فإن المحتال يراها كنزاً غالياً.
لا تندفع وراء العروض المغرية:
احذف فورا أي رسالة تعدك بأنها جهة ستقدم لك جائزة أو أنها تعرض عليك وظيفة مقابل اشتراطات معينه ! , فإن مثل هذه الرسائل تطمّعك في ما تعدك به وتستدرجك لإعطاء معلومات قد تكون سرّيه للغاية أو قد تستخدم لكشف معلومات سريّه وإن لم تكن هي بذاتها سريّه. أو قد تطلب منك دفع مبالغ ماليه بسيطة لكي تحصل على الجائزة الثمينة أو تدخل اختبار القبول في وظيفة معينه وتبدأ تأخذ منك المبالغ شيئاً فشيئاً .
احذر من ان تكون فريسة سهله:
عند إدخال معلومات حساسة على الانترنت تأكد من انك لا تتعرض للـ fishing وال fishing يعني حرفيّاً الاصطياد وسمّي بذلك لأنه يعتمد على تصيّد المعلومات السرية عن طريق طعم معيّن مثل نموذج لتعبئة البيانات الشخصية مطابق تماما لنموذج البنك أو أي موقع يطلب معلومات سريّه. ولكي تتأكد من الموقع الذي سوف تدخل فيه معلومات حساسة احرص على تكتب عنوان الموقع بنفسك ولا تبحث عنه في محركات البحث وتدخل إليه من الروابط التي تظهر لك، وإذا لم تكن تعرف عنوان الموقع حاول أن تأخذه من مصدر مضمون على سبيل المثال خلف بطاقة الصرف الآلي يوجد عنوان موقع البنك أو أي سبيل مضمون. ولا تعتمد على العنوان الذي يظهر لك في شريط العنوان إذا كان صحيحاً لأنه قد يكون عنوان مضلل وهذه طريقة للتأكد :
لا تكن فضوليّاً:
لا تكن فضولياً لكي لا تنطلي عليك الألاعيب المهندسين الاجتماعيين التي تستغل هذه النقطة لجعلك تفعل ما يريدونك ان تفعله. كأن يصلك بريد اليكتروني يدعوك لتحميل المرفقات لترى مقاطع فكاهية أو برنامج جميل يقدم مجموعه من الخدمات أو غيره ، او قد يستغل فضولك من ناحية أخرى باستخدام "الهندسة الاجتماعية المعاكسة" وهي طريقة متقدمة جداً للحصول على المعلومات المحظورة. بأن يدعي المهاجم بأنه شخص ذو صلاحيات عالية وعنده معلومات معينه مما يدفع الضحية إلى طلب المعلومات منه.إذا تم الأمر كما خطط له فقد يحصل المهاجم على فرصة أكبر للحصول على معلومات ذات قيمة كبيرة من الضحية .و هذه الطريقة تتطلب من المهاجم التحضير المسبق بشكل كبير و الكثير من الأبحاث مع القدرة على الهروب في الوقت المناسب.
• على مستوى الشركات:
-
وضع سياسات أمنية واضحة للشركة وذلك بأن تقوم الشركة بالتوضيح للعاملين فيها قوانين الأمن المتبعة في الشركة و التي يجب على العاملين تطبيقها. وإن أمكن برمجتها إلكترونياً لضمان تطبيقها (مثل فرض تسجيل دخول وتسجيل خروج إلكتروني لكل من يدخل إلى الشركة).وضمن هذه السياسات توضّح الشركة العقوبات التي تترتب على الموظفين عند عدم تطبيق القوانين الأمنية المفروضة عليهم.
-
تأمين مبنى المنظمة بحيث يتعذر الدخول والخروج من وإلى الشركة إلا تحت رقابة حراس الأمن. ويمنع دخول غير العاملين في الشركة إلا بمعرفة سابقة لحراس الأمن في المنظمة وتحت مراقبة منهم وإعطاء بطاقات دخول أو كلمات مرور تمكّن الأمن من التعرف على المخوّل لهم بالدخول للشركة وتفعيلها.
-
السيطرة على المكالمات الهاتفية وذلك بوضع نظام امني حازم للمكالمات مع قدرة على التحكم في من يستطيع مكالمة من ومنع المكالمات الخاصة كما يجب عدم إظهار مدخل للخط الهاتفي للمنظمة لأنه قد يستخدم من شخص خارج المنظمة باسم المنظمة فيقوم بالتعامل مع عملاء المنظمة على انه احد موظفيها ويكسب ثقة العملاء بسبب خط الهاتف المطابق لخط المنظمة.
-
تثقيف جميع مستويات الموظفين داخل المنظمة بمجال أمن المعلومات و الاختراقات التي من الممكن حصولها وتدريبهم على عدم إعطاء معلومات ذات سرية عالية إلا بعد التأكد من هوية الشخص و وفقاً للحد المسموح به. وتدريبهم أيضاً على كيفية رفض إعطاء المعلومات عند عدم الإمكانية بأسلوب لبق.
ويرى ميتنك أن الوسيلة الفعالة لصد هجمات الهندسة الاجتماعية تتمثل في خلق جدران نار بشرية، أي توعية العاملين لعدم الانصياع للمتسللين من دون علمهم.
ومن المهم هنا الانتباه إلى أن توعية صغار الموظفين وكبارهم هي في نفس مستوى الأهمية، فيجب توعية حراس الأمن مثلا بعدم إدخال غير المصرح لهم والتأكد من بطاقات الموظفين والتأكد من صحة أعذار أي شخص قبل أن يدخله، كأن يقول له احدهم أنا مندوب من الشركة الفلانية وعندي موعد مع المدير أو يقول آخر أنا عامل الصيانة. وكذلك يجب توعية المدير بأنه وإن كان مدير يجب عليه الانصياع لقوانين الأمن .
إتلاف المستندات و الأجهزة غير المستخدمة داخل المنظمة كي لا يمكن استخدام المعلومات الحساسة التي تحويها. وإتلاف أجهزة الكمبيوتر القديمة كي لا تستعمل باستخراج معلومات سرية منها. فالمهاجم قد يحصل على معلوماته من مخلفات المنظمة كأن يعرف أنواع أنظمة التشغيل التي تستخدمها المنظمة وأنواع برامج الحماية وذلك من بقايا صناديق الأقراص التي كانت تحتوي على هذه البرامج وتخلص منها موظفو الشركة دون إتلافها. وقد يجد في سلال المهملات أيضاً قوائم بأسماء الموظفين ومعلوماتهم السرية مثل رواتبهم أو كلمات المرور الخاصة بهم. وهذه الطريقة من أكثر الطرق شعبية بين المهاجمين الذين يستخدمون الهندسة الاجتماعية، والسر في شعبيتها أن المهاجم يستطيع جمع معلومات كثيرة ومهمة دون أن يلفت انتباه أحد.
توفير الأجهزة والمعدات العالية الجودة التي تضمن الأمن مثل أجهزة تسجيل الدخول وتسجيل الخروج وأجهزة إتلاف الورق وأجهزة إظهار رقم المتّصل وغيرها من الأجهزة والأدوات التي تساعد في إتمام العمل بحسب النظم والقواعد المفروضة من الشركة لضمان أعلى مستويات الأمن مع الاحتفاظ بجودة سير العمل.
أخيراً، رغم اقتناع الناس بأن خطورة اختراق الأنظمة تأتي من ذوي الخبرة التقنية العالية، إلا أن الخطورة الأكبر تأتي من ذوي الخبرة في الطبيعة البشرية.
المراجع:
The Art of Deception: Controlling the Human Element of Security by Mitnick, Kevin D.
http://www.tech2click.net/archives/466 التقنية بضغطة زر ( الهندسة الاجتماعية )
http://nanoksa.com/?p=18 الهندسة الإجتماعية و جرائم الإحتيال الإلكترونية
الهندسة الاجتماعية للكاتب ايمن الرويلي http://coeia.edu.sa/index.php/ar/asuurance-awarness/articles/43-malware-attacks-n-threats/266-social-engineering.html
|