ما هي الهندسة الاجتماعية؟ وكيف تُستخدم لاختراق نظام التشغيل البشري؟

مع نقش أُولى أساطير الأولين، والتوصل إلى طرق ومفاهيم جديدة لدراسة علم النفس البشري، تداخلت تلك المفاهيم مع التكنولوجيا وعوالمها تتالياً ووصلت إلى أصحاب قبعات لطالما كانت سوداء، هؤلاء السَحَرة وصلوا إلى طريقة لفهم الإنسان قبل الآلة واستطاعوا حينها استغلاله -الإنسان- لتحقيق غاياتهم المختلفة.

عملية الاستغلال إضافة إلى مراحل أخرى مرتبطة بها أُطلق عليها الهندسة الاجتماعية، وحينها بدأت تتحول الصبغة السوداء تلك (المرتبطة بالمخترقين) إلى فن من فنون التلاعب بالعقل البشري، وتطور الأمر لتصبح أحد المواضيع الشيّقة التي دخلت ضمن مجال الأمن المعلوماتي.

اختراق نظام التشغيل “البشري” في مرحلة مستمرة من التطور، عندما يتم الكشف عنها في المنتديات والمؤتمرات العالمية، سرعان ما تتحول إلى مادة سينمائية دسمة، ليس للتقليل من أهميتها، بل على العكس من ذلك تماماً حيث يُراد بها التوعيّة حول الحلقة الأضعف -البشر- في عملية الاختراق تلك.

 

ماذا تعني الهندسة الاجتماعية؟

الهندسة الاجتماعية تشير إلى تحقيق عملية اختراق مكانيّ كالأبنية والمقرات أو رقمي للأنظمة والبيانات من خلال استغلال علم النفس البشري على الضحايا بدلاً من اتباع طرق وخطوات الاختراق التقليدية للأنظمة. يستخدم خلال عملية الاختراق تلك مخطط مشهور جداً يُطلق عليه “دورة الهجوم في الهندسة الاجتماعية” حيث يبدأ بحيل نفسية بسيط وينتهي بتحقيق العملية لنتائجها المطلوبة.

الهندسة الاجتماعية أصبحت أحد الاختصاصات المطلوبة ضمن توجهات الأمن المعلوماتي نظراً لفاعليتها وسرعتها في تحقيق الأضرار، وكمفهوم برمجيّ تم إطلاق العديد من الادوات -على أنظمة التشغيل الأمنية- التي تعمل كطرف مساعد في تقنيات الاختراق المستخدمة في الهندسة الاجتماعية.

 

كيف يتم تنفيذ هجوم أو عملية اختراق باستخدام الهندسة الاجتماعية؟

تنفيذ الهندسة الاجتماعية ضمن عملية ما لن يكون أمراً بمنتهى البساطة مهما أوحت المخططات بذلك، يطلق على مخطط العملية بدورة الهجوم كما ذكرنا سابقاً، لكن تنفيذها قد يحتاج لعمليات اختراق أخرى فرعية حتى يصل المهاجم إلى هدفه النهائي.

مخطط الهندسة الاجتماعية

مراحل دورة الهجوم في الهندسة الاجتماعية

  1. جمع المعلومات: عملية تحدث في الخفاء غالباً، حيث يتم جمع أي معلومات قد يشكل استخدامها أهمية بالغة في عملية التلاعب النفسي القادمة. الهوايات والأماكن المفضلة وأسماء الأصدقاء إضافة إلى وسائل التواصل هي جميعها أهداف محتملة في هذه المرحلة.
  2. التواصل وتوطيد العلاقة: غالباً ما تكون أول عملية تواصل مع الضحية، يتم فيها التركيز على استخدام المعلومات التي تم جمعها بعناية لاستخدام بعض الحيل النفسية وكسب تعاطف الضحية أو غيرها بهدف اكتساب الثقة اللازمة. قد تكون سرعة البديهة هي العامل الحاسم في هذه المرحلة لإنجاز الأهداف بسرعة أكبر والانتقال إلى المرحلة التالية.
  3. الاستغلال: استخدام المعلومات إضافة للعلاقة الوطيدة مع الضحية سيسهل المهمة هنا، وهي المرحلة ما قبل الأخيرة قبل التنفيذ. الحذر من قبل المخترق في هذه النقطة سيكون في أعلى مستوياته نتيجة استغلال الضحية بشكل ممنهج للوصول إلى الهدف النهائي من العملية.
  4. التنفيذ: تحقيق الهدف النهائي دون إثارة الشكوك هو أهم عوامل نجاح هذه المرحلة، وضمان ذلك العامل يساهم في تحقيق عمليات اختراق مستقبلية بشكل أسهل بكثير من العملية الأولى التي تم تنفيذها بنجاح. عدم تحقيق العامل لا يعني فشل العملية إلا أنه أمر يتعلق بطبيعة عملية الاختراق والغاية المراد تحقيقها منها.

الأدوات البرمجية المستخدمة في الهندسة الاجتماعية

تكامل الأدوات البرمجية مع الفيزيائية ساهم بنجاح العديد من عمليات الهندسة الاجتماعية الموجهة والمنظمة، من جمع المعلومات وحتى تنفيذ الاختراق بشكل كامل. ومع ظهور أنظمة التشغيل المخصصة لخبراء الأمن المعلوماتي والمهتمين به، تم إدراج العديد من تلك الادوات بشكل افتراضي في تلك الانظمة، نتحدث عن توزيعات لينكس هنا بالطبع ومع ذلك فإن قسم من تلك الادوات يتوفر لأنظمة التشغيل الاخرى.

 

اداة Maltego

جمع المعلومات والربط فيما بينها للوصول إلى الهدف واحدة من أهم خطوات البداية في الهندسة الاجتماعية، أداة Maltego المفتوحة المصدر تقوم بذلك بفاعلية وكفاءة، ومن السهل ملاحظتها في معظم أنظمة التشغيل الأمنية كما أنها متاحة للتجربة على نظام ويندوز.

أداة maltego

الاداة موجهة لتوفير الوقت والجهد أثناء البحث عن المعلومات والعلاقة فيما بينها، حيث يمكن ملاحظة العلاقة بين بريد الكتروني واحد وعدة حسابات مختلفة على المواقع الالكترونية ببضع نقرات فقط! الامر ليس بالمستحيل تطبيقه باستخدام محرك بحث جوجل مع خدمات أخرى إلا أنها ستعمل بشكل حتمي على منحك ساعات إضافية للتخطيط أكثر للعملية نفسها.

 

اداة Social Engineering Toolkit

أفضل أدوات الهندسة الاجتماعية بلا منازع، لا يمكن اعتبارها أداة فقط، بل إطار عمل متكامل يشمل العديد من المهام المميزة لأي شخص مهتم بفعالية الاختراق. الأداة مجانية ومتوفرة بشكل افتراضي في أنظمة التشغيل الأمنية، ومن أبرز ميزاتها توفر العديد من خيارات الاحتيال والتصيد والتنصت وغيرها من تقنيات الأختراق الشهيرة، حتى أن ظهورها في المسلسل الشهير mr.robot لم يكن عبثياً على الإطلاق.

أداة SET

الأدوات البرمجية لا تقل أهمية عن أي أداة فيزيائية يتم استخدامها أثناء عمليات الهندسة الاجتماعية، ويبقى استخدامها محصوراً بالحالة أو الموقف الذي سيواجه المخترق. غالباً ما يتم الاعتماد على الأدوات البرمجية لجمع المعلومات بالدرجة الأولى وفي حالات قليلة يتم اللجوء إلى الطرق التقليدية في البحث لما يتطلبه ذلك من وقت وجهد طويلين للغاية.

 

لماذا يلجأ المخترقون إلى الهندسة الاجتماعية؟

على الرغم من أن الهندسة الاجتماعية قد تعرض المخترقين للمخاطر، إلا أن تنفيذها بإتقان واحترافية عالية سيوفر جهود ضخمة من الممكن أن تبذل أثناء عملية الاختراق، ومن أحد النقاط المهمة الاخرى التي تستحق الإضاءة عليها هو عدم وجود وقاية فعلية لطرق الهندسة الاجتماعية وفن التلاعب النفسي بالعقول.

غالباً ما يكون القسم الأمني في الشركات على دراية باستخدام البرامج والأنظمة الامنية، أما على الصعيد الشخصي فقد تكون بنية الموظف النفسية هشة للغاية، وحينها يمكن القول أنه تم إيجاد “باب خلفي” في البنية التحتية للشركة نفسها.

 

أبرز أنواع الهجمات باستخدام الهندسة الاجتماعية

تحليل هجمات الهندسة الاجتماعية يكشف عن تقنيات الاختراق التي تم استخدامها، وهي مصطلح عام يشمل الكثير من الأنشطة والتقنيات الضارة. لكن دائماً ما يبرز الأكثر شيوعاً منها ويطفو على السطح وهو ما سنتناوله هنا:

 

التصيّد الاحتيالي (Phishing)

أكثر الأنواع شيوعاً، وتستخدم بكثرة نتيجة عدم وجود خبرة مطلوبة لتنفيذ هذا النوع من الهجوم. فعلياً تنقسم هجمات التصيد الاحتيالي إلى أفرع أكثر توجهاً وبشكل عام فإنها ترتكز على سرقة البيانات الشخصية أو أي معلومات أخرى مهمة في عملية الاختراق.

يستخدم في هذه الطريقة الروابط الاحتيالية المختصرة والمقلّدة للنطاقات الشهيرة/ الصفحات المزيفة/ الرسائل الوهمية عبر البريد الالكتروني وغيرها الكثير، من الشائع أيضاً استخدام عناوين الكليك بيت سواء كان ذلك في الروابط أو الرسائل لإجبار المستخدم على الضغط عليها.

 

التملّص (Pretexting)

يعتمد مبدأ التملص ببساطة على انتحال صفة أي شخص لديه الحق في معرفة معلومات ما سواء كانت حساسة أو غير ذلك ومن أشهر الأمثلة حول ذلك انتحال صفات زملاء العمل/ موظفي الدعم الفني للشركات/ ضباط الشرطة و موظفي المصارف.

على المخترق في هذه الطريقة التحضير والإعداد جيداً لكافة سيناريوهات الحوار مع الضحية المستهدف، مثل الأسئلة وأجوبتها الشائعة والتي من الممكن أن يتطرق إليها الضحية، بشكل عام فإنه يتم اللجوء إلى هذه الطريقة بكثرة في مرحلة جمع المعلومات.

 

التصيّد عبر الطُعم (Baiting)

كثيراً ما يتم الخلط بينها وبين التصيد الاحتيالي، يتم التركيز في هذه الطريقة على الفضول البشري في الحصول على مقابل (طعم)، على سبيل المثال استغلال مواعيد صدور الأفلام أو المسلسلات ذائعة الصيت أو الألعاب وغيرها من المواد الرقمية الترفيهية.

لا تقتصر الطريقة على العنصر المادي، فعلياً فإن أي طُعم يمكن تقديمه للضحية بعد دراسة العامل النفسي جيداً، ستحقق بلا شك النتائج المطلوبة.

 

المقايضة (Quid Pro Quo)

مشابهة للطريقة السابقة من ناحية تقديم الطعم للضحية، لكن سيكلف ذلك المخترق دفع مقابل مادي أو رقمي مقابل الحصول على المعلومات أو خدمة معينة من الضحية. تنتشر المقايضة في الشركات والمجتمعات الفاسدة حيث يتم استغلال حاجة الموظفين إلى تلك “السلعة”.

قد تكون هجمات المقايضة عشوائية أو منظمة، وعند الوصول إلى نقطة ضعف معينة في أحد الضحايا المحتملين يتم حينها تطبيق أسلوب المقايضة عليه بشكل مباشر.

 

التذييل (Tailgating)

من أصعب الطرق المستخدمة في الهندسة الاجتماعية، حيث تكون فرص المخترق هنا قليلة وفعلياً لن تسنح له فرص أخرى في حال فشل في القيام بذلك منذ المرة الاولى. 

يعتمد مبدأ عملها على طلب حق الوصول من الموظفين الذين يملكون تصاريح الدخول إلى المناطق المحظورة، سواء كان ذلك بعد توطيد علاقات معينة أو استغلال حيل نفسية إضافة لسرعة البديهة.

 

وقاية نظام التشغيل البشري من هجمات الهندسة الاجتماعية

عند اكتشاف الحلقة الأضعف في البنية التحتية للشركات والمؤسسات، نُشر الذعر بين الموظفين في تلك المؤسسات، لكن على الجانب الأسود من العالم، كانت عمليات الترصد والتصيد تحاك على قدم وساق وأرقام الضحايا غالباً غير مهمة بقدر أهمية المعلومات التي يتم الحصول عليها

الاعتماد على النوع وليس الكمّ في هجمات الهندسة الاجتماعية أمر شائع، ومع ذلك من الصعب تجنبها نظراً للتلاعب في العامل النفسي في الكائن البشري الضعيف. والتساؤل الأبرز كيف تصلنا تحديثات الترقية الأمنية لعقولنا اليائسة حول ماهية الهجمات تلك قبل حدوثها.

الإجابة الصادمة هنا أن الهندسة الاجتماعية تعتمد على علوم لا تعرف حدودها بعد، ليست براءة اختراع لمخترق معين على آخر ولا يوجد نموذج واضح وفعلي يمكن كشفه بتلك السهولة، الأهداف نفسها متغيرة على مدار الساعة والدقيقة والثانية وهذا ما يزيد صعوبة الأمر بضبط حالات الاختراق من قبل المختصين في الهندسة الاجتماعية.

الترقيات الأمنية نحصل عليها بعد معاناة مع تجارب سابقة صادمة في المجال الأمني، يُكشف من خلالها قدرة التحايل لدى المخترق وكيف استغل “الفن النفسي” لصالحه ليتباهى بها حينها على منتديات القبعات السوداء المنتشرة على الجانب الآخر من شبكة الإنترنت.