الهندسة الاجتماعية Social Engineering
الهندسة الاجتماعية هى من المصطلحات المستخدمة فى أمن المعلومات , وهو أسلوب اختراق نظام أو شبكة يتميز بأنه غير فني أى لايعتمد على الخبرة التقنية,وهو فى معناه العام عملية خداع للمستخدمين يمكن استخدامها فى تجاوز آليات الأمان أو اختراقها أو تجاوزها والهروب منها . وهذه العملية مهمة فى فهم كيفية هجوم القراصنة على العنصر البشرى المستخدم للنظام والتغلب على آليات الأمان.
ويستخدم هذا النظام فى جمع المعلومات فبل وأثناء عملية الهجوم وتعتد على استخدام التأثير والإقناع لخداع الأشخاص بغرض جمع المعلومات أو إقناعهم بأداء بعض الإجراءات ويستخدم الشخص الذى يقوم بهذه المهمة التليفون أو الإنترنت لخداع الأشخاص وجعلهم يكشفون معلومات حساسة أو جعلهم يفعلون شيء ضد سياسات الأمان فى الشركة التى يعملون فيها وبهذا فالهندسة الاجتماعية تستغل ميل الشخص الطبيعي فى تصديق كلام الآخرين بدلاً من استغلال الثغرات الأمنية وقد اتفق أن المستخدمين هم حلقة الربط الضعيفة فى الأمان مما يجعل الهندسة الاجتماعية ممكنة .
وتنقسم هجمات الهندسة الاجتماعية إلى نوعين الأول:ويعتمد على العنصر البشرى كما أوضحنا سابقاً وأنواعه التظاهر بأن الشخص يعمل موظفاُ فى المكان أو التظاهر بأنه شخص مهم فى المكان من خلال الاتصال التليفوني ونسى كلمة مروره أو التظاهر باستخدام صلاحيات شخص أخر أو الاتصال بالدعم الفني ومراقبة الأشخاص من الخلف والتقاط كلمات مرورهم أو البحث فى سلال المهملات للعثور على معلومة قيمة , وهناك نوع يُسمى الهندسة الاجتماعية العكسية حيث يخلق القرصان شخصية وهمية يطلب منها الموظفون المعلومات بدلاً من أن يحصل هو على معلومات منهم , والثانى يعتمد على الحاسب ويعنى استخدام برامج تحاول جلب المعلومات المطلوبة مثل إرسال بريد إليكتروني لمستخدم تتم فيه مطالبته بإعادة استخدام كلمة المرور فى صفحة ويب لتأكيدها وهو مايعرف بالfishing أو الخداع وأمثلة ذلك مرفقات البريد الإليكترونى ومواقع الإنترنت المزيفة والإطارات الدعائية المنبثقة التى تطهر عند الدخول إلى المواقع .
الإجراءات المضادة للهندسة الاجتماعية: يعد التعرف على كيفية مكافحة الهندسة الاجتماعية أمراً فى غاية الأهمية لأي قرصان أخلاقي مُعتمد ويوجد عدة طرق لعمل ذلك . تعد سياسة الأمان الموثقة والمنفذة وبرامج الوعى بالأمان أكثر المكونات حيوية فى أى برنامج أمن معلومات ولا تصبح السياسات والإجراءات الجيدة فعالة إذا لم تكن مدروسة ومنفذة من قبل الموظفين وتحتاج هذه السياسات إلى أن يتم توصيله بشكل مناسب للموظفين للتركيز على أهميتها وتنفيذها بواسطة الإدارة وبعد تلقى التدريب بالوعي بالأمان سيلتزم الموظفون بدعم سياسات الأمان فى الشركة كيف ومتى يتم إعداد الحسابات وإنهاؤها وكم مرة يتم فيها تغيير كلمات المرور ومن يمكنه الوصول إلى أى نوع من المعلومات وكيف تتم معالجة الانتهاكات وأن يعمل مركز المساعدة بنفس الطريقة كما أن إتلاف المستندات الورقية وقيود الوصول المادي نوحي مهمة فى سياسة المجال كما يجب مراعاة النواحي الفنية مثل استخدام المودم والتحكم فى الفيروسات . ومن الأمثلة على الهندسة الاجتماعية ما ذكره كابل رأينا الخبير فى الأمان فى شركة فيرازين العالمية استنادا إلى خبرة فعلية –من أن مجموعة من الأشخاص دخلوا على شركة شحن للتعرف عليها واختراق شبكتها من خلال الحصول على المعلومات خطوة بخطوة من قبل بعض الموظفين فى الشركة وكانت الخطوة الأولى هى إجراء بحث عام على الشركة لمدة يومين فبل أن يخطوا أى خطوة داخل الشركة فعلى سبيل المثال عرفوا أسماء الموظفين الأساسيين فى الشركة من خلال الاتصال بقسم الموارد البشرية ثم تظاهروا بفقدانهم مفاتيحهم عند الدخول من الباب الأمامي ثم تظاهروا بفقدان بطاقة هويتهم الأمنية عند دخول المنطقة المؤمنة فى الدور الثالث وهم يبتسمون ويحيون زملائهم مما جعل الشخص السؤل عن الطابق يفتح لهم الباب وكانوا يعلمون أن المدير المالي خارج الشركة ولذا تمكنوا من دخول مكتبه والحصول على بيانات مالية من جهازه غير المؤمن ثم أخذوا فى البحث فى سلال مهملات الشركة وطلبوا من أحد جامعي القمامة حمل تلك القمامة وتوصيلها لمكانهم وبعد دراسة صوت المدير المالي تمكنوا من خلال التليفون بالتظاهر بأن النصل هو المدير المالي طالبين بسرعة وعجل كلمة المرور الخاصة به للدخول على شبكة الشركة ومن هذه المرحلة بدأت مرحلة استخدام أدوات القرصنة فى السيطرة على نظام الشركة. وأصبحوا بذلك مستشاري الشركة فى أداء التدقيق الأمنى عند طلب المدير المالي دون معرفة الموظفين الآخرين ويتضح من ذلك أن الشركة مهما امتلكت من عمليات مصادقة وجدر حماية وشبكات خاصة تخيلية وبرامج مراقبة شبكات فمازالت عرضة للهجمات بسبب وسائل الهندسة الاجتماعية . وقد قام معهد أمن الحاسب بتجربة حية أظهرت إمكانية اختراق مراكز المساعدة من خلال الاتصال بشركة اتصالات هاتفية والتنقل بين أقسامها حتى الوصول إلى مركز المساعدة وتم إجراء الحوار على النحو التالي:
س:من فى الوردية اليوم
ج:سارة
س:دعنى أتحدث مع سارة.يتم توصيله سارة.
س:مرحباً سارة هل لديك مشكلة فى العمل اليوم ؟
ج:لالماذا؟هل أنظمتك متعطلة؟
س:أنظمتى ليست متعطلة , فالعمل يجرى بشكل سليم من الأفضل أن تقومي بتسجيل الخروج ,قامت سارة بتسجيل الخروج.
س: والآن قومي بتسجيل الدخول مرة أخرى, قامت سارة بتسجيل الدخول مرة أخرى.
س: لم يحث أى تغيير قومي بتسجيل الخروج مرة أخرى
ج: قامت بتسجيل الخروج.
س:أريد أن أسجل الدخول من هنا باسمك لمعرفة المشكلة مع المعرف الشخصى الخاص بك
أعط اسم المستخدم وكلمة المرور .
أى أن أسلوب الهندسة الاجتماعية وفر على القرصان وقتاً طويلاً يصل لأيام فى تتبع حركة البيانات وحل كلمات المرور.
