"مرحبا أنا مدير شركة أمازون".. ما هي هجمات الهندسة الاجتماعية؟ وكيف تقي نفسك منها؟
تستيقظ صباحا من نومك، يغمرك النشاط وتستعد لبدء يوم جديد، ثم تمسك بهاتفك وتجد رسالة نصية جديدة تخبرك: "مرحبا، أنا مدير توظيف في أمازون، ونبحث حاليا عن 80 موظفا عبر الإنترنت بدوام جزئي، بالعمل من المنزل باستخدام الهاتف المحمول، يمكنك بسهولة كسب 1000-3000 جنيه مصري في اليوم، ويُدفع الراتب في اليوم نفسه"، وفي نهايتها رابط يطلب منك الضغط عليه للتواصل معهم والتقدم لهذه الوظيفة.
تتوقف لحظة وتفكر كم أنا محظوظ حقا! مدير توظيف في شركة أمازون العالمية يراسلني على رقم هاتفي، ويخبرني بأن هناك وظائف متاحة، والأجمل أنها بدوام جزئي ومن المنزل وباستخدام هاتفي المحمول، والأكثر روعة أنني سأحصل على 3000 جنيه مصري يوميا، وفي يوم العمل نفسه. يبدو أن وظيفة الأحلام وصلت أخيرا!
لكننا نعرف بالطبع أن هذه مجرد رسالة مضللة، الغرض منها أن نضغط على الرابط المُرسل. لا نعرف الخطوة التالية، لأننا لم نجرب الضغط على ذلك الرابط، لكنها بنسبة كبيرة ستكون عملية احتيال هدفها اختراق هاتفك وسرقة بياناتك الخاصة. حسنا، هذه الرسالة، حتى وإن بدت ساذجة، هي واحدة من طرق الاختراق الشهيرة التي تُعرف باسم الهندسة الاجتماعية.
حصان طروادة الرقمي
من المؤكد أنك سمعت بقصة حصان طروادة، وهي واحدة من أشهر قصص أساطير الإغريق القديمة. بعد أن دام حصار الإغريق لطروادة عشر سنوات كاملة، لم يُفلح جيشهم في اقتحام أسوار الحصن المنيع للمدينة. هنا قرر الإغريق اللجوء إلى حيلة ماكرة؛ صنعوا حصانا خشبيا عملاقا وتركوه أمام بوابات مدينة طروادة، وأقنعوا سكان المدينة أنه هدية سلام، وأن هذا إعلان لانتهاء الحرب.
لكن كما نعرف، كان الحصان الخشبي يمتلئ بالجنود الإغريق، ونعرف أيضا أن أهل طروادة قبلوا الهدية وجلبوا الحصان داخل أسوار مدينتهم. وأثناء احتفالاتهم بالنصر، خرج الجنود الإغريق من داخل الحصان، وفتحوا بوابات المدينة الحصينة ليخترقها جيشهم، ويكسبوا الحرب في النهاية. تملك هذه القصة الشهيرة تأثيرا هائلا على ثقافتنا الإنسانية، حتى إنها أصبحت مرادفا للخداع والاحتيال على شخص بعد اكتساب ثقته، وربما تكون من أقدم خدع الهندسة الاجتماعية التي نعرفها.
تلك الأساليب الاحتيالية موجودة منذ قرون، ولا تزال أفكار ومبادئ العصور القديمة تصلح في عالمنا الرقمي، ما تغير هي التقنيات والقنوات التي يستخدمها المخترق للوصول إلى ضحاياه، التي تتكيف وتتطور مع التقدم العلمي والتقني، خاصة في السنوات الأخيرة. عمليات الاحتيال الكلاسيكية أفسحت المجال لتقنيات أكثر تعقيدا تجمع بين امتلاك المعرفة بعلم النفس وعلم الاجتماع مع استخدام التقنيات الرقمية.
تُعرِّف جامعة كارنيغي ميلون الهندسة الاجتماعية بأنها: "تكتيك يُستخدم للتلاعب بالضحية أو التأثير عليها أو خداعها بغرض التحكم في نظام تشغيل الحاسب أو سرقة المعلومات الشخصية والمالية. يشمل التكتيك استخدام التلاعب النفسي لخداع المستخدم ليرتكب أخطاء أمنية أو يكشف عن معلوماته الحساسة". (1) ويمكننا اعتبارها مجموعة من الإستراتيجيات والخطط المرتبطة غالبا بإدراك السلوك البشري وكيفية عمل العالم الرقمي.
في حالتنا هذه، يلجأ المخترق إلى الأجهزة الرقمية بوصفها قناة يصل بها إلى ضحاياه، سواء كانت تلك الأجهزة هواتف محمولة من خلال المكالمات والرسائل القصيرة، أو رسائل البريد الإلكتروني، أو عبر شبكات وسائل التواصل الاجتماعي، أو أجهزة الحاسوب الشخصي، وغيرها من الأجهزة الرقمية التي نستخدمها في حياتنا اليومية.
المفتاح الرئيسي لنجاح هذه الهجمات غالبا هو اكتساب ثقة المستخدم، وهو ما يدفعه إلى تنفيذ ما يريده المخترق بالضبط، وتقديم بياناته الشخصية مثل كلمات المرور أو أرقام الحسابات المصرفية أو الضغط على رابط يؤدي إلى تشغيل برمجية خبيثة، لا تبدو كذلك بالطبع، على أحد أجهزته الشخصية، حتى إن هذا النوع من البرمجيات يُطلق عليه اسم "حصان طروادة". ببساطة، هدف المهندس الاجتماعي هو دفعك لاتخاذ قرار متسرع دون تفكير؛ لذا كلما فكرت بمنطقية أكثر زادت نسبة إدراكك أن هناك مَن يتلاعب بك، وهو أمر لا يخدم المخترق بالطبع.
الحلقة الأضعف
إذا قررنا التمهًُل قليلا والتفكير ولو للحظة في هذا النوع من الهجمات، سوف نجد أنها لا تعتمد على نقاط الضعف التقليدية في هواتفنا أو سائر المعدات التقنية التي نستخدمها، وعلى العكس، سوف نجد أن العنصر البشري هو أهم ركيزة لهذا النوع من الجرائم الإلكترونية، على خلاف أنواع أخرى من الجرائم الأكثر تعقيدا في أبعادها التقنية.
هذا ما يجعل هجمات الهندسة الاجتماعية تغير منهجية الجرائم الإلكترونية بالكامل؛ أنت لا تحتاج إلى أن تهاجم الحصن نفسه (نظام الحماية الأمنية ضد الهجمات الإلكترونية مثلا)، كما استنتج الإغريق بعد عشر سنوات، ولكن يجب أن تهاجم الأشخاص الذين يقفون خلف ذلك الحصن، أن تجعلهم يوافقون بكامل إرادتهم على دخولك لتفتح بوابات الحصن بنفسك من الداخل.
هجمات الهندسة الاجتماعية تعتمد بالأساس على فكرة أن الحلقة الأضعف في عالمنا الرقمي الحالي هم البشر، وليست الآلات والروبوتات والخوارزميات التي يعمل بها هذا العالم، لهذا يجب أن يحتل علم النفس وعلم الاجتماع حيزا كبيرا في تصميم وتنفيذ تلك الهجمات. (2) يصطدم هذا بالتصور الشعبي الراسخ حول الجرائم الإلكترونية، خاصة ما نراه في أفلام هوليوود، لأننا غالبا ما نتخيل أن وراء تلك الجرائم مجموعات من المخترقين ممن يتمتعون بمهارات خارقة في استخدام أجهزة الحاسوب تُمكِّنهم من اختراق أقوى الأنظمة والأجهزة الأمنية. لكن الواقع لا يكون دائما بتلك الصورة النمطية، لدرجة أن يتمكن مراهق، يبلغ من العمر 18 عاما، من اختراق أنظمة شركة عالمية مثل أوبر، من خلال استهداف أحد موظفيها مستخدما أحد تكتيكات الهندسة الاجتماعية.
هذا الأمر يتطلب معرفة بعلم النفس وعلم الاجتماع وبأساليب التواصل المختلفة، لأن هذه المجالات المعرفية تسمح للمخترق بفهم كيف يفكر الضحية، وكيف يتصرف البشر عندما يوضعون في سيناريوهات مختلفة، وما أفضل أسلوب للتواصل مع الضحية حتى تقع في فخ الاحتيال، هذه المعرفة المُسبقة لأنماط سلوكيات البشر وردود أفعالهم تجاه أمور حياتية معينة هي نقطة انطلاق المخترق؛ مثلا كيف يستجيب الشخص عندما يتلقى رسالة من شركة الاتصالات تخبره فيها أنها ستقطع عنه الخدمة لأنها لا تملك تفاصيل حسابه البنكي، ويجب أن يضغط على الرابط المرفق ويكتب تفاصيل بطاقة الائتمان؟
قد يكتشف الكثيرون هذه الخدعة ببساطة، لكن نسبة منهم قد يصيبهم الذعر ويستجيبون، مثلما قال عادل إمام في مسرحية "شاهد مشافش حاجة" متحدثا مع الأرانب: "يا تدفع 10 جنيه غرامة، يا إمّا نشيل العدّة. بيني وبينكم أنا خفت على العدّة بصراحة، روحت دافع ولا هاممني حاجة". هؤلاء قد يرتكبون الخطأ ويضغطون على الرابط المرسل، ويقدمون معلومات بطاقتهم البنكية للمخترق على طبق من فضة، خوفا من أن تقطع عنهم شركة الاتصالات الخدمة!
عادل امام دفع فاتورة التليفون مع ان معندوش تليفون
هجمات من كل مكان!
ربما من أشهر الأفلام الكلاسيكية التي تجري معظم أحداثها في موقع تصوير واحد هو فيلم "12 رجلا غاضبا" (12 Angry Men)، حيث تدور الأحداث بالكامل تقريبا داخل غرفة هيئة المحلفين في محكمة بمدينة نيويورك. في تلك الغرفة يجلس 12 عضوا في هيئة المحلفين، ويجب أن يصلوا إلى قرار بالإجماع حول جريمة قتل، المتهم فيها شاب بقتل والده العجوز. أول تصويت لهم نتج عنه 11 صوتا يعتقدون أن المتهم مذنب، لكن العضو الثاني عشر لم يكن متأكدا من هذا الاختيار. فرغم عدم اقتناعه الكامل بأن الشاب بريء من التهمة، فإنه كان يرى أهمية أن تكون هناك مناقشة عادلة بينهم قبل أن يُحكم على الرجل بالإعدام، ويحاول معها أن يقنع باقي الأعضاء بوجهة نظره. فيلم جميل ننصح بمشاهدته، لكن ما علاقته بحديثا اليوم تحديدا؟
حسنا، في حالة هجمات الهندسة الاجتماعية، وعلى عكس أحداث الفيلم التي تدور في مكان واحد، قد تدور الأحداث في أماكن باتساع شبكة الإنترنت ذاتها! يمكن أن تُرتكب تلك الهجمات الإلكترونية في كل مكان، ربما عبر شبكات التواصل الاجتماعي، مثلا رابط في منشور على فيسبوك أو في تغريدة على تويتر، أو حتى من خلال رسالة مباشرة على ماسنجر، دون أن ننسى طبعا تطبيقات المراسلة الفورية، مثل واتساب وتلغرام، التي يمكن أن يُرسل عبرها سيل من الرسائل الخبيثة. مثل الفيلم، هناك دائما احتمال بأن إحدى الضحايا ستستجيب مهما كانت الرسالة ساذجة، أحدهم ستغلبه مخاوفه.
هذا بجانب المكالمات الهاتفية والرسائل النصية القصيرة مثل حالة "مدير توظيف أمازون" التي ذكرناها، ولكن ربما الوسيلة الأهم والأكثر استخداما في تلك الهجمات هي البريد الإلكتروني، الذي قد يصبح بوابة مثالية لانتهاك المعلومات الشخصية وبيانات العمل الحساسة. لكن مع كل تلك الوسائل المستخدمة، ما الأهداف التي قد يسعى لها المخترق من وراء هجمات الهندسة الاجتماعية؟
أهداف مختلفة
في كثير من الأحيان، تهدف هجمات الهندسة الاجتماعية المتطورة تقنيا إلى تشغيل برمجية خبيثة للتحكم في جهاز معين أو التسلل إلى شبكة داخلية بأكملها، وهناك كثير من تلك البرمجيات الضارة المنتشرة، وأشهرها برمجية "حصان طروادة" التي ذكرناها. تكمن الفكرة هنا في استدراج الضحية وإقناعه بالضغط على رابط يفتح البوابات أمام تلك البرمجية الخبيثة. مجرد الضغط على الرابط قد يؤدي إلى نشوب أزمة أمنية، يمكن للمخترق من خلالها أن يحصل على كل المعلومات المتاحة على الجهاز المُصاب؛ ثروة من البيانات القيمة التي قد تسبب ضررا للشخص أو للشركة في حال تسريبها.
الهدف الثاني هو الاستيلاء على الكلمات السرية للحسابات الشخصية، وهو يرتبط بالتلاعب النفسي بالضحية نظرا لأنه يتطلب من الشخص تقديم كلمات المرور بمحض إرادته. قد تكون كلمة المرور لبريده الإلكتروني، أو كلمة مرور لحساباته المصرفية عبر الإنترنت. (3)
حسابات البريد الإلكتروني تحديدا أحد أهم أهداف المخترقين، ببساطة لأنها بوابة رئيسية تفتح معها المزيد من البوابات الخاصة. الحصول على مفاتيح بوابة حساب بريد إلكتروني يعني الوصول إلى كمية هائلة من المعلومات الشخصية وكذلك التي تخص العمل مما يسهل عملية الاحتيال أكثر. كما يمكن لهجمات الهندسة الاجتماعية أن تورط الضحية في معاملات مالية احتيالية، مثل شراء منتج أو خدمة غير موجودة أو إرسال أموال إلى حساب آخر وانتظار شيء في المقابل دون الحصول عليه.
هجمات الهندسة الاجتماعية ليست واحدة؛ بعض الأهداف تكون أكثر أهمية من غيرها، سيناريوهات الهجوم نفسها تتنوع وتختلف حسب كل نوع، وبالتالي فإن الخطوات تختلف كذلك. لا يكتفي المخترق بكتابة رسالة احتيال، ثم إرسالها وانتظار مَن سيقع في الفخ مثل سيناريو فيلم "12 رجلا غاضبا"، لكن هناك سيناريو لكل حالة، ولكل رد من الضحية، وهناك أساليب مختلفة للتعامل مع تغييرات هذا السيناريو.
لنفهم تلك الأنواع ببساطة يمكن أن نصنفها وفقا لعدد مرات التواصل بين المخترق والضحية، كلما زادت مرات التواصل زاد تعقيد الخطوات وصعوبة تنفيذها، وهذا لا يحدث بالطبع إلا إن كان الهدف مهما وكبيرا.
الصيد والزراعة
التصنيف الأول هو الصيد (Hunting)، وفي هذا النوع من الهجمات يكون هناك اتصال واحد بين المخترق والضحية، ما يعني أن الهدف هو مهاجمة أكبر عدد ممكن من المستخدمين، يُستهدف مثلا جمهور عام، عبر رسائل البريد الإلكتروني الاحتيالية أو الرسائل النصية التي تُرسل إلى آلاف الأشخاص دفعة واحدة، أو تُستهدف فئة عمرية محددة، غالبا تكون من كبار السن. هنا يكون الاعتماد على تصميم رسائل مقنعة قدر الإمكان، لأنها ستكون الوسيلة الأساسية للتواصل مع الضحية، والسبيل الوحيد لإقناعه بالضغط على رابط يحمل برمجية خبيثة مثلا. الهدف هو الحصول على أقصى استفادة بمحاولة واحدة فحسب، لكنها لن تفيد كثيرا إن كان الهدف هو الحصول على معلومات سرية، مثل كلمات المرور أو أرقام الحسابات البنكية. (4)
من أشهر أنواع الهجمات التي تنتمي لهذا التصنيف هي التصيّد (phishing)، وكما يشير الاسم، يعتمد هذا الأسلوب على صيد الضحايا كصيد الأسماك في البحر بالشبكة، ويُستخدم فيه البريد الإلكتروني غالبا بوصفه أداة تواصل وموقعا لتنفيذ سيناريو الاحتيال. (5)
تشمل الرسالة ملفا مرفقا به فيروس أو برمجية خبيثة، أو رابطا ينقلك إلى صفحات احتيالية مزورة. الهدف هنا هو إصابة الجهاز الذي ضغطت منه على هذا الرابط أو الملف، ومن ثم السيطرة عليه بغرض سرقة معلومات وبيانات سرية ومهمة على الجهاز، ربما تخص العمل أو حسابك البنكي. هناك مشتقات أخرى يتغير فيها نوع وسيلة التواصل، مثل استخدام المكالمات الهاتفية أو الرسائل النصية كما في حالة رسالة التوظيف الوهمية من شركة أمازون.
التصيّد هو نوع من الهجوم العام، مثل فكرة صيد الأسماك بالشبكة، بعدما يُلقي المخترق بشباكه ينتظر مَن سيقع فيها من الضحايا، أي إنه لا يصلح إن كان الهدف هو ضحية بعينها. بينما النوع الأكثر تخصصا وتطورا هو الصيد بالرمح (Spear phishing)، هنا يركز محتوى البريد الإلكتروني على شخص محدد يستهدفه المخترق، ليحصل منه على نوع محدد من المعلومات. (5)
مثلا يمكن للمخترق إرسال بريد إلكتروني احتيالي إلى كل الموظفين في شركة ما، وينتظر أي واحد منهم ليقع في الفخ ويحمّل الملف أو يضغط على الرابط. ولكن في حالة الصيد بالرمح يمكنه استهداف موظف معين، من خلال إضفاء طابع شخصي على الرسالة بهدف بناء الثقة معه حتى يضغط على الرابط أو يحمّل الملف الذي يحمل البرمجية الخبيثة.
إذا تطور الأمر، وزاد عدد مرات التواصل بين المخترق والضحية، لسرقة أكبر قدر من المعلومات الشخصية أو التي تخص العمل، فهنا سندخل في التصنيف الثاني وهو يُعرف بالزراعة (Farming)، لأنها تعتمد على عدّة إجراءات وخطوات مسبقة، بعدها يحصد المخترق مكاسبه. (4)
التخطيط لهذا النوع من الهجمات أكثر تعقيدا، لأن المخترق يحتاج إلى التفكير في السيناريوهات المختلفة التي قد تحدث أثناء تواصله مع الضحية، ويحتاج إلى البحث جيدا قبل التنفيذ ومعرفة أكبر قدر من المعلومات عن هوية الشخص المستهدف، ليستخدمها ضده عند التواصل معه، ولتساعده في تصميم إستراتيجية الهجوم.
من الممكن أن ينتحل المخترق صفة شخص آخر يملك سلطة، مثلما حدث في حالة اختراق المراهق لأنظمة شركة أوبر، عبر استهداف أحد الموظفين داخلها، بعدما أرسل إليه عدّة إشعارات لتسجيل الدخول إلى النظام بالمصادقة متعددة العوامل (Multi-Factor Authentication). بعد أكثر من ساعة، تواصل المخترق بنفسه مع الموظف على تطبيق واتساب متظاهرا بأنه يعمل في القسم الفني "IT" لأوبر، وأخبره أن تلك الإشعارات ستتوقف بمجرد موافقة الموظف على تسجيل الدخول. (6)
السؤال الآن: كيف يمكنك حماية نفسك أمام هجمات الهندسة الاجتماعية؟
كيف تحمي نفسك؟
قد يبدو الأمر بديهيا، لكننا بحاجة إلى تذكُّره دائما، من الواجب علينا الآن أن نتوخى الحذر في كل تعاملاتنا الرقمية. إذا أثارت رسالة ما أو مكالمة هاتفية أي ذرة شك لدينا، فيجب ألا نضغط على أي رابط فيها أو نحمل أي ملف بها، ناهيك طبعا بتقديم أي معلومات شخصية أو سرية لأي شخص يتواصل معك، مهما ادّعى ومهما كانت صفته.
وهذا النهج يُعرف باسم "نموذج أمان انعدام الثقة" (Zero trust security model)، وكما يشير اسمه يعني ألا نفترض الثقة في أي شيء أو أي شخص، وأن نتحقق ونتأكد من موثوقية كل جهاز أو مستخدم أو خدمة أو أي شيء آخر قبل منحه حق الوصول إلى بياناتنا، بل يجب إعادة التحقق من تلك الموثوقية بصورة متكررة للتأكد من عدم تعرض أيٍّ من تلك الأشياء للاختراق أثناء الاستخدام. (7)
علينا أن نتأكد دائما من مصدر أي شيء يصل إلينا، وأن نفكر قليلا في منطقية الأمور، لأنه كما عرفنا يعتمد المخترق في هذه الهجمات على عدم تفكير الضحية في قرارها، لهذا سنجد أن قليلا من التفكير المنطقي سيقتل الأمر في مهده.
النقطة الثانية هنا هي حاجتنا المستمرة إلى زيادة وعينا ومعرفتنا بما يحدث من حولنا؛ إذا كانت أضعف حلقة في هجمات الهندسة الاجتماعية هي الشخص نفسه، فعليه أن يغير هذه القاعدة، يجب أن يسعى دائما ليصبح الحلقة الأقوى، ولا يتعرض للخداع أو الاحتيال بسهولة.
في هذا النوع من الهجمات، يستهدف العديد من المخترقين عدم معرفتنا ببعض أساسيات العالم الرقمي، خاصة كبار السن. بالنسبة لشخص يعرف تلك الأساسيات، ويتعامل مع الإنترنت والتقنيات المختلفة بسهولة، يمكن اكتشاف أن البريد الإلكتروني الذي يعلن أن "أرملة تنتظره في جنوب القارة الأفريقية، بعد موت زوجها، وهو للمصادفة أحد أثرياء القارة، الذي ترك لها ملايين الدولارات، وتحتاج إليك أنت تحديدا لكي تهرّب تلك الأموال من بلدها" هو مجرد احتيال لا أكثر.
بالطبع قد يبدو هذا المثال ساذجا للغاية، لكن هناك رسائل قد تكون أكثر إقناعا، وحتى إن اكتشفتها بنفسك فربما لن يكتشفها غيرك، ممن لا يعرف عنها شيئا أو لم تمر عليه سابقا. لذا فإن هذا النوع من الهجمات يحتاج دائما إلى متابعة آخر صيحات الاحتيال، ويحتاج إلى أن تثقف نفسك عنها باستمرار.
في النهاية، لم يولد أي شخص وهو يملك المعرفة أو العلم، وبغض النظر عن مدى ذكاء أي منا، فإننا جميعا معرَّضون أن نقع ضحية للاحتيال، خاصة في عالمنا الرقمي الحالي. قادة مدينة طروادة صمدوا أمام الحصار والحرب لعشر سنوات كاملة، وأثبتوا ذكاءهم ومعرفتهم بفنون الحرب، لكنهم في النهاية سقطوا في فخ الإغريق بالخدعة والحيلة، بحصان خشبي اعتقدوا أنه هدية بدون أي مبررات منطقية. لهذا علينا أن نتشكك دائما في كل شيء، كما فعل البطل في فيلم "12 رجلا غاضبا"، علينا الاستمرار في التعلم وزيادة حصيلتنا من المعلومات والمعارف المختلفة ومتابعة ما يحدث في هذا العالم الإلكتروني، حتى لا نبني لأنفسنا حصان طروادة الرقمي.
————————————————————————
المصادر:
2) What is social engineering?
4) Hacking the Human Operating System
6) أكبر اختراق لـ"أوبر".. كيف تمكن مراهق من التحكم في شركة بمليارات الدولارات؟