الأمن التقني

اصطياد المعلومات بواسطة الهندسة الاجتماعية

المجد- خاص 

الهندسة الاجتماعية هو مصطلح كثر الجدل حوله، ولم يتفق المختصون بشؤون الحاسوب على مصطلح محدد له، ولكن يمكن لنا تعريفه باختصار بأنه مجموعة من الطرق والأساليب النفسية التي تجعل المهاجم ينجح في الوصول بشكل غير مشروع إلى معلومات لا يحق له الوصول إليها، وذلك اعتماداً على أضعف حلقة في السلسلة الأمنية  وهي " البشر".

و بخلاف الشائع، فالهندسة الاجتماعية يجب أن تكون في قمة أولويات المسؤولين عن أمن المعلومات، فهناك أسباب عدة لكون هذه العملية أمراً خطيراً أبرزها :

–  أنها وسيلة سهلة نسبياً مقارنة بالوسائل الأخرى، ولعل هذا يفسر انتشارها الواسع .

– أن الوقاية من هذه الوسيلة لا تأخذ الحيز الكافي في الغالب لدى المختصين، بل في الغالب يتم التركيز على الجوانب الفنية للأمن دون الانتباه إلى خطورة هذا العنصر في تأمين المعلومات .

و بحسب بعض الدراسات، فإن هجمات الهندسية الاجتماعية يمكن أن تأخذ الطابع التالي :

أولاً/ الطابع الحسي :

حيث يكون التركيز في هذا الطابع على موضع الهجوم والبيئة المحيطة به، ويشمل ذلك :

– مكان العمل : يدخل المهاجم المكان متظاهراً بأنه أحد المصرح لهم بالدخول (موظف – عامل نظافة – متعاقد)، وإذا نجح في الدخول فإنه يمكنه التجول في المكان بحرية جامعاً ما يتوفر من معلومات أو كلمات مرور قد تكون مدونة على أوراق الملاحظات مثلاً .

– الهاتف: يتم استخدام الهاتف من قبل البعض لمحاولات الاختراق، خاصة في مراكز الدعم الفني عبر الهاتف، حيث يتم الاتصال على مراكز الدعم الفني منتحلاً شخصية أحد الزبائن مثلاً، وبمعرفة بعض المعلومات المسبقة عن زبون معين قد يمكنه اقناع الدعم الفني بهذا الانتحال بما يمكنه من الحصول على معلومات الزبون السرية وكلمات المرور، وقد تم استخدام هذا الأسلوب عام 2003 وانتحال شخصية احد مشرفي موقع "الجزيرة نت" حيث انطلت الحيلة على موظفي الشركة الأمريكية المستضيفة للموقع مما أدى لتسليم كلمات المرور الخاصة بالموقع للمهاجم الذي قام باختراق الموقع .

– النفايات! : قد تتعجب من ذلك، ولكن الحقيقة أن النفايات قد تكون مكاناً هاماً لجمع المعلومات فوق ما تتصور، فمثلاً يمكن أن تجد في النفايات كلمات المرور، والهيكل التنظيمي للشركة، ودليل هواتف الشركة، وأسماء العاملين فيها، ومواعيد الاجتماعات وفواتير الشراء .. إلخ .. وعلى سبيل المثال، لو تم الحصول على التقويم الخاص بالعام الماضي لإحدى الشركات والذي يحوي مواعيد الاجتماعات وأماكنها ومواضيعها والمشاركين فيها، فإنه ببساطة من الممكن أن ينتحل شخصية سكرتير مشارك بالاجتماع والاتصال بأحد الأطراف لطلب نسخة من نتائج الاجتماعات على البريد الإلكتروني ! خاصة وهو يعلم عن الاجتماع معلومات كافية لتوحي بأنه أحد المشاركين فيه ..

– الإنترنت : غالباً ما يتم استخدام كلمة مرور موحدة من قبل كثير من المستخدمين لحساباتهم على عدة مواقع، ولكن ماذا يحدث لو أن المهاجم عرف كلمة المرور بطريقة أو بأخرى ؟ (مثلاً – دعاك لتسجل حساباً على موقع يديره هو؟) إن النتيجة سوف تكون اختراق جميع الحسابات على جميع المواقع !

ثانياً/ الطابع النفسي : يقوم المهاجم بخلق أجواء نفسية مناسبة لإيهام الضحية بأن المهاجم هو شخص موثوق وذو صلاحيات كبيرة أو ما يسمى باللهجة العامية (الفهلوة) .

مقالات ذات صلة

زر الذهاب إلى الأعلى