كل ما يجب عليك معرفته عن الهندسة الإجتماعية بالتفصيل

يحمل الكثير من الأشخاص مفهومًا خاطئ تمامًا عن "الهندسة الإجتماعية"، حيث تم طرح أسئلة بهذا الخصوص في مواقع التواصل الإجتماعي كتجربة معرفية على مجموعات تنتمي إلى مجال البرمجية والأمن المعلوماتي عربيًا وأجنبيًا. وكانت الإجابات حقًا صادمة، الشائعة منها: أنّ الهندسة الإجتماعية هي خداع الناس بأكاذيب للحصول على المعلومات، أو أن يُصبح خبيرها ممثلاً جيد، وعرفت أيضًا بأنها طريقة للحصول على الأشياء بشكل مجاني. هذه هي المفاهيم الخاطئة عن الهندسة الإجتماعية والتي يحملها أغلبية الناس، في هذا المقال سنساعدك في معرفة ماهية "الهندسة الإجتماعية" بالتفصيل مع بعض الأمثلة السينمائية وحتى الواقعية منها، ومجالاتها ولماذا تُعد الطريقة المفضلة والأهداف النموذجية لدى المُخترقين وأصحاب القبعات. جهز نفسك الآن لنُبحر في سفينة الهندسة الإجتماعية بالتفصيل..

الهندسة الإجتماعية، هي فن إختراق العقول أو الأفضل من ذلك، فهو علم ومجال خاص وشامل، فهو أيضًا مهارة للتلاعب بالبشر (الناس) في إتخاذ إجراءات في بعض جوانب حياتهم تخدم الشخص أو الطرف الآخر. هذه التعريفات تُوسع آفاق المُهندس الإجتماعي في كل مكان ومجال، حيث يتم إستخدام الهندسة الإجتماعية في الحياة اليومية في طريقة الطقل التي تجعل آباءهم يستسلمون لمطالبهم، يتم إستخدامه أيضًا في طريقة المعلمين في التفاعل مع طُلابهم، في طريقة الأطباء، والمُحامين، وعلماء النفس كالحصول على معلومات حساسة من مرضاهم أو عملائهم. يتم إستخدامه أيضًا في مجالات منافذ القانون، إنه يُستخدم في كلّ مجالات وآفاق التفاعل البشري بداية من الأطفال حتى السياسيين وبينها. فممّا سبق، نُعرف الهندسة الإجتماعية كعمل من أعمال التلاعب بالشخص لإتخاذ أمر قد يكون أو لا يكُون في مصلحة "الهدف". ويُمكن أن يشمل هذا الحصول على هذا الهدف لإتخاذ إجراءات وأهداف مُعينة.. عرف قاموس أوكسفورد Oxford الهندسة الإجتماعية على أنها تطبيقًا لمبادئ سوسيولوجيا لمشاكل اجتماعية محددة، ولكن هذا التعريف بعيد كل البعد عن الحياة الواقعية. لذلك تم تعريفه على أنه فنّ التلاعب بالسُلوك عندًا باستخدام تقنيات إتصال وضعت خصيصًا لهذا، أمّا معهد SAN قامت بوضع تفسير بديل آخر وهو أنّ الهندسة الإجتماعية هو "فن" الإستفادة من السلوك البشري دون الإخلال بأمن المستهدف (الضحية) حتى لا يدرك أنه قد تم التلاعب بهم. الجزء المهم في هذا التعريف هو السياق الذي يتم فيه تطبيق هذا المفهوم، حيث يُمكن تعريف الهندسة الإجتماعية على أنه التقنيات المستخدمة لإنتزاع المعلومات أو التلاعب بالسلوك ولكن بالنسبة لسياق أمن المعلومات. عندما يتعلق الأمر بتأمين المعلومات فتصبح الهندسة الإجتماعية فن إستخلاص معلومات حساسة والتلاعب بالأفراد في أداء الأعمال التي قد تُؤدي إلى خرق أمني.
على سبيل المثال، الأطباء وعلماء النفس والمعالجين غالبًا ما يستخدموا الھندسة الإجتماعیة للتلاعب بمرضاھم لإتخاذ الإجراءات التي ھي جیدة بالنسبة لھم أو المطلوبة منهم على أي حال، بینما یستخدم الرجل المُخادع الھندسة الإجتماعیة لإقناع ھدفه المعني. أخصائي نفسي قد یستخدم سلسلة من الأسئلة المدروسة لمُساعدة المریض للتّوصل إلى إستنتاج أن ھناك حاجة إلى التغيير. وبالمثل، فإن الرجل المخادع یستخدم الأسئلة التي وضعت بشكل جيد لتحريك ھدفه في موقف ضعيف. كل من ھذه الأمثلة ھي الھندسة الاجتماعیة في أصدق صورھا، ولكن لدیھم أھداف ونتائج مختلفة جدًا. الھندسة الإجتماعیة لیست مجرد خداع الناس أو الكذب أو التصرف جزءًا منھا. الھندسة الإجتماعیة ليست مجرد عمل واحد ولكّنھا مجموعة من المھارات المذكُورة في الإطار عندما توضع معًا يشكلون العمل، والمھارة، والعلم في نفس الطریق، نجد أن الوجبة الرائعة لیست عبارة عن عنصر واحد فقط، ولكنھا تتكون من عدة عناصر یتم الجمع بینھم، وخلطھم، وإضافة العديد من المكونات. ھذا ھو كيف أتصور أن تكون الھندسة الإجتماعیة، المُھندس الإجتماعي الجید ھو مثل الطاه الجید. بطبيعة الحال، ھذا المقال يناقش بعض ھذه الجوانب، ولكن التركيز الرئیسي ھو ما يمكنك أن تتعلمه لتحسين قدراتك للتدقیق ومن ثم تأمین نفسك. تحلیل كیف یمكن للطفل أن يتلاعب بأحد الوالدین بھذه السھولة ليعطي فكرة للمھندس الإجتماعي بالطريقة التي یعمل بھا العقل البشري. یُلاحظ كیف یمكن لطبيب نفساني إستخدام الأسئلة والتي تساعده في معرفة ما تحتويه الناس بسھولة. یُلاحظ كیف یُنفذ وكیل القانون إستجواب ناجح ليعطي طريقا واضحًا في كیفیة الحصول على المعلومات من الھدف. یُمكن رؤیة كیف یُمكن للحكومات و السیاسیین لإظھار أكبر قدر من التأثير ما يصلح وما لا یصلح.

وهذه بعض الأمثلة لأقسام الهندسة الإجتماعية والحيل والتلاعب وكيفية عملها:

أولا: هندسة The 419 Scam: 

The 419 Scam المعروفة بإسم "الغش النيجيري"، وفي الأساس هي عبارة بريد إلكتروني يأتي إلى الهدف يخبره بأنه قد خصّ لصفقة مُربحة للغاية وكل ما يحتاجه للقيام بهذه الصفقة هو تقديم القليل من المُساعدة، فإذا قرر الضحية مساعدة المُرسل، فإن المرسل يُرسل له رسالة بأنه سوف يستخرج مبلغ كبير من البنوك الأجنبية التي يملك بها نسبة معينة، فيصبح المُستهدف واثق ويوافق على هذا، هنا يظهر المرسل مشكلة وهي أنه يحتاج لبعض رسوم، بعض أن يتم دفع الرسوم تظهر مشكلة أخرى تحتاج رسوم أخرى وهكذا. وهذا يُمكن أن تمتد على مدى عدة أشهر، الضحية لا يرى أي أموال ويخسر من 10 آلاف إلى 50 ألف دولار أمريكي في العملية، ما يجعل هذه الضحية مدهش جدًا، حتى أنه من الممكن تقديم وثائق رسمية، وأوراق وحتى من الممكن أن يُقدم إجتماعات مع الضحية.. مؤخرًا قد برزت بعض الأساليب الأخرى حیث یقوم بإرسال شيك مصرفي للضحية. حیث أنّ المحتالین یقُومون بتقدیم وعود للضحیة بمبلغ ضخم من المال ویرید في المقابل سوى جزء صغير لما بذلوه من جھود. حیث أن الھدف ھو نقل مبلغ صغیر مثلاً 10 آلاف دولار مقارنة بما سوف يأخذه، ولكن المشكلة ھنا أن ھذا الشيك الذي يأتي مغشوش وعندما یذھب الضحیة الصرفة قد يلاقي اتھامات بالإحتیال والغرامات في بعض الحالات.

ثانيًا: هندسة The Dalai Lama and Social Engineering:

أرادت مجموعة من القراصنة الصينيين الوصول إلى الخوادم والملفات على الشبكات المملوكة الدالاي لاما. فما هي الطرق المستخدمة في هذا الهُجوم الناجح؟ - حيث قام المُهاجمون بإقناع موظفي المكاتب في مكتب الدالاي لاما لتحميل وفتح البرامج الضارة على أجهزتهم. هذا الهجوم مثير للإهتمام لانه يمزج كل من تكنولوجيا القرصنة والهندسة الإجتماعية، هكذا تضمن القراصنة نسبة أكبر لنجاح خطتهم والوصول إلى الهدف المخطط له وربما بأقل الجهود.
ثالثًا: أمثلة من السينما:
أي فیلم سواء كان من سلسلة أفلام الرعب أو الحركة أو الإثارة، قد یراه أي أحد من المتخصصين في مجال تكنولوجيا المعلومات كومیدیًا في إحدى لحظاته وذلك عندما تحدث أي عمليات قرصنة مركزية أو ھجوم فيروسي أو أية أحداث متعلقة بالكمبيوتر. یعرض المخرجون الأذكياء ھذا الجزء من الأحداث لفترة وجيزة جدًا، مع تجنب أي إظھار لشاشة الكمبيوتر والذي قد يتسبب في تشتيت الجمھور وإبعادھم عن حبكة الفیلم الدرامية. وعلى الرغم من حقیقة أن عملیات القرصنة عادةً ما تكون بشعة وقد تستغرق ًأیاما أو حتى أسابیع لیتم انجازھا، وھذا ما یدفعنا إلى أن نولي ًاحتراما أكثر لمنتجي تلك الأفلام الذین استطاعوا أن یصنعوا ًأفلاما تعتمد ٍبشكل ٍكامل على المواضیع المتعلقة بالكمبیوتر والشبكات، ویخرجونھا بمظھر جید، مع تجنب الكثیر جدًا من الانتقادات الموجھة من المحترفین في ھذا المجال.

• المتسللون: ھذا الفیلم تم عرضه سنة 1992 للمخرج فیل ألدن روبنسون وھو یعتبر مثال ممتاز لتقنیات الھندسة الاجتماعیة. الشخصیة الرئیسیة مارتن بیشوب یدیر شركة style Team2 Tiger المتخصصة في كسر النظم الأمنیة، وذلك بھدف مساعدة العملاء على نحو أفضل للدفاع ضد الھجمات المماثلة. الفریق تم تعینه من قبل مسؤولي الحكومة وذلك لاسترجاع جھاز غامض "الصندوق الاسود" من عالم الریاضیات الشھیر الدكتور غونتر یانیك. حیث یعتقدون ان الجھاز بني للحكومة السوفیتیة السابقة والولایات المتحدة تشعر بالقلق بأنھا قد تكون قضیة أمن قومي. مارتن وفریقه استرداد الجھاز، حیث اكتشفوا أنه قادر على كسر أي نظام التشفیر للولایات المتحدة. مارتن أعطى الجھاز الى مسؤولي الحكومة ولكن سرعان ما أدرك أنھم كانوا في حقیقة محتالین وأصبح ھو وفریقه امام مھمه صعبة وھي الحصول على الجھاز مرة أخرى ووضعه في ید أمنة وندع التشويق الباقي بعد مشاهدتك للفلم.
• قراصنة الانترنت: فیلم من إنتاج سنة 1995 للمخرج إیان سوفتلي. تجنب صانعو ھذا الفیلم عرض عملیات القرصنة في معظم الوقت. فقد قاموا بعرض الكثير من المشاھد التي تحاكي لعبة إطلاق النار السریع fire-rapid عن طریق الضغط على لوحة المفاتیح وبعض الصور المجردة، ولا شيء أكثر من ذلك. تم عرض الكثیر من عملیات القرصنة بصورة ممكن حدوثھا وجاءت لغة القرصنة واقعیة بشك ٍل كبیر: إن وجود كتب أنظمة یونكس، وكلمات مرور ضعیفة ومواضیع مماثلة، تظھر بوضوح أن مخرج العمل ومؤلفه قد قضوا الكثیر من الوقت للتعرف على الطرق التي تتم بھا عملیات القرصنة. یبدو أنھم اعتقدوا أن تقدیم عملیات القرصنة بصورة واقعیة قد یكون ًأمرا مملاً. تبدأ قصة الفیلم مع اعتقال دید میرفي البالغ من العمر 11 عاما (الملقب ب Cool Zero aka). إتھم دید بكتابة فیروس للكمبیوتر تسبب في تعطیل 1507 من أجھزة الكمبیوتر وانخفاض سبع نقاط في بورصة نیویورك. بعد اعتقاله حظر دید من استخدام الكمبیوتر حتى عید میلاده 18. انه مع مجموعة من المتسللین اكتشفوا مؤامرة لإطلاق سراح فیروس كمبیوتر خطیر للغایة. عبقریة الكمبیوتر وراء ھذه المؤامرة الشریرة لوضع التھمھم على القراصنة حیث أنھم قاموا بجمع الأدلة لتبرئة ساحتھم. فیلم "القراصنة" ھو منمق بالتأكید، والتي تبین سیناریوهات غیر واقعیة بعنف مع أخطاء فنیة لا تعد ولا تحصى ومبالغات. ومع ذلك، فإن الفیلم یحتوي على بعض الأمثلة الرائعة لمنھجیات الھندسة الاجتماعیة لمساعدة الھجمات ضد النظم التقنية، الباقي بعد المُشاهدة.
• Skyfall: ھو الفیلم الثالث والعشرون لسلسلة أفلام جیمس بوند اصدار عام 2012 للمخرج سام میندیز. من وجھة نظر مھوسي الكمبیوتر، فإن ھذا الفیلم لا یمكن نسیانه بفضل ما قدّمه من تفجیرات صعبة التنفیذ والتي یتم التحكم فیھا باستخدام شبكة الانترنت، وعامةً بسبب الفكرة الصحیحة عن أن سرقة المعلومات شدیدة السریة تحدث عبر الانترنت، ولیس عن طریق السلالم التي یتخفى وراءھا الجواسیس من موظفي الأمن. كما یحتوي الفیلم على مشاھد أخرى مسلیة مثل مقرات عملیات القرصنة المصممة بشكل مضحك في جزیرة مقفرة. ففي الحقیقة، لا توجد فائدة من بناء مركز للبیانات على جزیرة معزولة في آسیا، حیث یمكن تتبعھا بسھولة، كما أن توفیر نطاق ومدى واسع من الترددات لھا یكون ًأمرا صعبًا. فالقراصنة الحقیقیون یقومون بتأجیر مراكز الحوسبة اللازمة في المدن الكبیرة، خاصةً في أسیا. إن العزلة المادیة لیست ًأمرا ضروریًا وذلك لأن عملیات الحمایة المھمة یتم توفیرھا عن طریق عملیات التشفیر.

فئات الهندسة الإجتماعية:

الهندسة الإجتماعية أولئك الذي يستخدمونها يُمكن تقسمهم إلى عدة فئات، حيث نبدأ بمجموعة من الجواسيس والمتسللين حتى مندوبي المبيعات والأشخاص العاديين:

1. القراصنة (hackers): القراصنة يستفيدون من الھندسة الاجتماعیة مرات عديدة لأن عامل الضُعف البشري ھو أسھل بكثير في الاختراق من نقاط ضعف الشبكة. في مرات عديدة یفوز فیھا القراصنة إذا كان الأمر يتعلق بمعركة یخوضھا ضد مھندسي ومديري الشبكات وذلك لأنھا لیست محدودة بسبب الوقت أو ضعف وجود الحافز. في حین أن مدیر الـ IT العادي یذھب الى المنزل في 5:00 أو 6:00، فإن القراصنة یعملون 24 ساعة یومیًا لإنجاز ھدفھم. بعد أن يكونوا قد أمضوا الوقت وبذل العناية الواجبة للبحث في كل جانب من جوانب الھدف حتى يتمكنوا من شن ھجوم شامل على البنیة التحتیة البشریة والتي یُمكنھا أن تدمر شركة في غضون دقائق. والحصول على المعلومات الشخصية، كلمة المرور، حسابات المستخدمين عن بعد والمزيد من القرصنة ثم استخدام ھذه المعلومات لتوجیھ ضربة على الھدف.
2. مُختبري الإختراق (Testers Penetration): یطلق علیه أیضًا test Pen وھو الشخص الذي يختبر مواطن الضُعف أو الوصول غير المصرح به إلى الأنظمة. تتراوح الأنظمة من شبكات الكمبیوتر للوصول المادي إلى المواقع البدنیة. مختبر الإختراق يمكنه إستخدام العديد من عناصر الھندسة الاجتماعیة للوصول إلى النظم. یمكنھم الاستفادة من الخداع (phishing)، أو تقنیات أخرى مثل الاستنباط (elicitation)، للحصول على المعلومات من الموظفين مثل الحصول على كلمات السر، ودخول المباني، أو الوصول إلى الأنظمة الأخرى.
3. الجواسيس أو التجسس (Espionage or Spies): الجواسیس من جمیع أنحاء العالم تدرس أساليب مختلفة من "الخداع" لخداع ضحایاھا بالاعتقاد بأنھم شخص أو شيء أخر. بالإضافة إلى ذلك، یقومون بدراسة فن الھندسة الاجتماعیة، في مرات عديدة، يقوم الجواسيس ببناء المصداقية من خلال المعرفة القليلة أو حتى الكثير عن العمل أو الحكومة التي يحاولون التجسس علیھا.
4. لصوص الھویة (Thieves Identity): سرقة الھویة ھي استخدام المعلومات مثل أسماء الأشخاص، أرقام الحسابات المصرفية وعناوين وتاريخ الميلاد، ورقم الضمان الاجتماعي دون علم أصحابھا. ھذا یمكن أن يتراوح من وضع موحد لانتحال شخص ما أو عملية احتيال متقنة تشمل Poisoning DNS وحيل الخداع (scams phishing).
5. جھات التوظیف التنفیذیة (Recruiters Executive): ھو التماس الناس لتوظیفھم في الشركات. أنھا تستخدم موارد أو أدوات مختلفة للعثور على الأشخاص المناسبين لمتطلبات الوظيفة التي یضعھا صاحب العمل. وعادة ما یتم جمع البیانات والتطلع من خلال السیرة الذاتیة على مواقع على الانترنت للعثور على ھذه المعلومات. الباحثين عن الموظفين يعملون لحساب شركة مقابل عمولة من الراتب المحتملة الخاص بك أو یُمكنك استئجار headhunter مباشرة لقاء رسوم. الھدف الرئیسي للـ headhunter ھو أن يجعلك أن تصبح عمیل. فھو سوف يفعل أي شيء تقریبا لجعل ھذا یحدث. مثلا ان یصبح صدیقك، الاستماع إلى مشاكلك أو یقوم بوعدك أن سوف یجد لك وظیفة أحلامك.
6. مندوبي المبيعات (People Sales): مندوبي المبيعات ھم في كل مكان حیث أن یمكن القول بأن الجمیع ھم بائعين. ھؤلاء الناس لدیھم المنتج أو الخدمة التي یرید منك أن تشتریھا.
7. الحكومات (Governments): الحكومات توظف العديد من أسالیب الھندسة الإجتماعیة على أساس منتظم من الجھود رامية إلى التأثير في الرأي العام لدعم الإجراءات الحكومية. یمكن أن یتم ھذا في أساس منظم من قبل السیاسیین أو من قبل الوكالات الحكومية. كثيرًا ما تنشأ عمليات الحرب النفسية من قبل الحكومات لتكتيكات الھندسة الإجتماعیة.

لماذا يستخدمون الأطراف المعنية والقراصنة الهندسة الإجتماعية؟

تستخدم الأطراف المعنية والقراصنة الهندسة الإجتماعية لأنه لا يوجد تصحيح أو حل لغباء الإنسان في الحقيقة، حيث أن الناس أنفسهم هو الثغرة الأمنية الأكبر في أي مكان تواجدوا فيه، كما تعتبر من الطرق الأقل مقاومة أيضًا. حيث أن القراصنة يقضون بالساعات أو الأسابيع وحتى الأشهر والسنوات وهو يحاولون إستخدام الطرق المتطورة والرقمية لفك تشفير كلمة مرور. على سبيل المثال، عند القيام بمكالمة هاتفية واستخدام الأسئلة الصحيحة فيُمكن أن تحصل على نفس كلمة المرور أو أكثر في بضع دقائق فقط.