سنشرح في مقالنا الآتي بقليلٍ من التفصيل الهندسة الاجتماعية وكيف تُستغلّ في التّحكم الطّوعيّ للإنسان… فهيا بنا.
من منا لم تصله رسالة تخبره بمعلومة صادمة أو مثيرة للاهتمام كدعاء يشفي من كل الأمراض (أو الأمراض المنتشرة حديثًا)
أو دعاء يجزي صاحبه الثواب العظيم(1) أو ظاهرة طبيعية غريبة أو خدمة مجانية… إلخ؟ ونرى الكاتب في هذه الرسائل يسرد تفاصيلًا مدهشة، إلى درجة تدفع القارئ إلى التصديق.
وقد تحوي رسائل أُخرى روابط، فما عليك إلا الضغط عليها لرؤية المحتوى أو لمعرفة المزيد من التفاصيل، فبمجرد الضغط على رابط منها توجَّه إلى موقع مزيف أو إلى مواقع أخرى غير متعلقة بالرسالة الأصلية لتكتشف في النهاية أنها كِذبة!
ويزداد انتشار الخرافات والأخبار الكاذبة في زمن الأزمات، فهي تعتبر تربة خصبة جدًا للمعلومات المغلوطة واستغلالًا لعواطف الشعوب.
ولعل ما نراه ونسمعه من أكاذيب حول فيروس كورونا المستجد أكبر برهان وأوضح دليل على ذلك.
وسوف نذكر فيما يلي عدة أمثلة حصلت بالفعل، وهي متعلقة بالأزمة التي تسبب بها فيروس كورونا، ويمكنك رؤية أبرز الخرافات المتعلقة به من
هنا
فالأشخاص المخرّبون يستغلون الأزمات العالمية والمواضيع المنتشرة والرائجة والأكثر تداولًا لينشروا رسائلهم وبرمجياتهم الخبيثة وليستغلوا أكبر عدد ممكن من الناس التي تهتم بآخر المستجدات في فيروس كورونا الجديد وهي فرصة لا تفوّت بالنسبة لهم.
وقد قام عدد من الباحثين الأمنيين في الفترة الأخيرة برصد نحو 1000 موقع جديد له اسم متعلق بفيروس كورونا يتبع لمحتالين يستفيدون منه للقيام بأنشطة ضارّة.(2)
قد يقول أحدهم: لماذا تُضخّمون الموضوع؟! فكلّ ما في الأمر أنّني إذا فتحت الرابط ولم أجده صادقًا حذفت الرسالة وانتهى الأمر.
دعني يا صديقي أشرح الأمر أكثر وأبيّن لك خطورته مع ذكر بعض الأمثلة الواقعية التي حدثت بالفعل وأوقعت مستلمها بالشّرك الذي أنت تستهين به.
فَلْيكن في علمك أنّ الأسلوب السابق هو أحد تطبيقات الهندسة الاجتماعية… فما المقصود بالهندسة الاجتماعية؟
الهندسة الاجتماعية ببساطة هي فن اختراق العقول ودفع الآخرين إلى فعل ما أريد بمجرد اللّعب بالكلمات أو المظهر بغية تحقيق هدف معين وبرضى وتصديق الضحية بشكل كامل.
وأبرز التقنيات التي يستخدمها المهندسون الاجتماعيون هي(3) :
هجمات التصيّد (phishing attacks):
يسعى المخترقون للحصول على معلوماتك الشخصية بأيّ طريقة ممكنة، والموضوع ليس محصورًا في شبكات التواصل الاجتماعي.
فقد انطلقت حملة إلكترونية هجوميّة جديدة، يستخدم المهاجمون فيها رسائل بريد إلكتروني ملوّثة تتحدث حول خطورة فيروس كورونا، وذلك لخداع المستخدم للضغط على المُرفقات الملوّثة ببرمجية خبيثة فتصيب جهاز المستخدم.
ويندرج أيضًا ضمن هذا النوع أسلوب آخر يسمى “vishing or voice-phishing attacks” يعتمد على الاتصال الهاتفي باستخدام سيناريوهات مدروسة تقنع الضحية بصدق نية المتصل للحصول على معلومات شخصية حساسة من دون ترك أيّ مجال للشّك لديه.
ومن المدهش حقًا أن المهندس الاجتماعي لا يحتاج إلى معرفة أيّة لغة برمجة أو أن يكون لديه أي خبرة تقنية، فالموضوع بحاجة إلى الذّكاء والرَّويّة واستخدام العواطف وفهم عقلية الضحية فقط ليبدأ بتحركاته ضدها.
رمي الطُعم:
“فرصة عمل: استفد من الشاغر المتوفر في شركة إماراتية مرموقة براتب 1000 دولار وإحدى ميزات العمل أنه من المنزل فقط… لمزيد من التفاصيل يرجى زيارة الموقع التالي”
فيفتح الضحية الرابط الملوّث المُرفق ويقوم بتثبيت برامج خبيثة (Ransomware مثلًا) في جهازه.
نرى كيف يستغلّ بقاء الناس في البيوت ضمن فترة الحجر الصحي العامّ وتوقف أعمال الكثيرين وهنا تكمن خطورتها.
استخدام الذرائع:
“لقد فزت! أنت أحد الثلاثة الفائزين بالهاتف الجديد والمتطور I phone 11 Pro من شركة Apple. يرجى إرسال بريدك الإلكتروني ورقم هاتفك للتواصل معك وتزويدك بمزيد من التفاصيل حول كيفية تسليم الهدية لك”
يستغلّ هذا الأسلوب اهتمام الضحية ويجذب اهتمامه ليشجعه على إرسال جميع معلوماته الشخصية طمعًا بالجائزة.
الرد بالمثل (المقايضة):
الحصول على خدمة أو ميزة معيّنة بتقديم معلومات شخصية فقط كقيام المُخترق بتقديم خدمة تقنية معينة أو مساعدة الطرف الآخر في حل واحدة من المشاكل التي وقع بها الشخص مقابل تقديم معلومات شخصية للمخترق، ويمكن أيضًا للمخترق سحب معلومات أخرى من جهاز الضّحية.
ويمكن تطبيق الهندسة الاجتماعية على كافة الأصعدة من الإعلانات التجارية والدعايات إلى المؤسسات الحكومية والوزارات في الدول.
فهي تستهدف الإنسان الذي يعتبر أضعف نقطة في أي نظام كما يقول أحد الباحثين الأمنيين:” أضعف سلسلة في الأمن السّيبرانيّ هي الإنسان. إنّها أسهل الفاكهة قطفًا”(4)
طيب… اقتنعت بخطورة مثل هذه الرسائل لكن إلى الآن لم تعرف ما الذي يدفع الناس لنشر هكذا أمور؟
هناك نوعان من ناشري هذه الرسائل:
- الناشرون الحقيقيون: وهم أناس خبيثون يسعون إلى التخريب ونشر الجهل باسم العلم ويستغلون الفئة التالية لنشر أفكارهم وأهدافهم.
- الجَهَلة والبُسطاء: وهم من يعيدون نشر هذه الرسائل بحسن نية وحبًا للخير بزعمهم، فينشرونها لمعارفهم رغبة بنيل الثواب من دون أن يعلموا أنّهم ربما يكسبون إثمًا عظيمًا من وراء ذلك.
تتعدد الدوافع يا صديقي، فقد يكون دافعًا انتقاميًّا، سياسيًّا أو احتياليًّا.
وتستخدم الهندسة الاجتماعية بشكل جماعي، فمنها ما هو دينيّ مثلًا لعرض الإسلام بصورة جميلة بنشر الخرافات(5) (والإسلام غنيّ عنها تمامًا)
أو اجتماعي لإظهار مساوئ عرق أو شعب معيّن(6) أو سياسيّ لتقليب الرأي العام ضد دولة أو كيان ما… إلخ.
كما تستخدم أيضًا لتضليل واختراق الأفراد وكسب الأموال كما حصل مع العديد من أصحاب القنوات في اليوتيوب مؤخرًا كقناتَيْ “سيريان جيمر” syrian gamer (660 ألف مشترك)(7)
ثم قناة “ماهركو” maherco (نحو مليون ونصف مشترك) فقد تعرضتا للاختراق بنفس الطريقة تقريبًا.
تم اختراقهما بواسطة عرض تمويل لصاحب القناة من واحدة من الشركات الوهمية، وبعدما استطاع المخترقون إيقاع الضحية، طُلب منهم تنزيل البرنامج لمشاهدته ثم الإعلان عنه، وبعد الضغط على الرابط، تمكن المخترقون من اختراق أجهزتهم، وتغيير البريد الإلكتروني الخاص بالقنوات، ثم استولَوْا عليها بشكل كامل.
وأيضًا ما حصل مع مالك شركة أمازون جيف بيزوس بعدما سُرّبت صوره من قبل مجلة National Enquirer وتسبّب ذلك بطلاقه من زوجته وخسارته للملايين من الدولارات!
وتعتبر الهندسة الاجتماعية فرعًا هامًا في مجال أمن المعلومات والأمن السّيبرانيّ، فقد كُتب في هذا المجال الكثير من الكتب والمقالات.
حسنًا… أنا كمستخدم عادي ليس لدي شيء لأخسره على الإنترنت، ما الغاية من وصول مثل هذه الرسائل إليّ؟
لا يمكن حصر غايات وصولها إليك، فكل شيء وارد، الأمر أشبه ما يكون بصياد يرمي سنّارتَه في بُحيرةٍ منتظرًا من يلتقِم الطعم، فيمكن أن تكون الغاية هي جلب الزيارات إلى المواقع وعلى ذلك زيادة أرباح مالكيها أو جمع المعلومات عنك باستخدام ملفات “الكوكيز” (Location , IP address) لبيعها فيما بعد لشركات الإحصاء والتحليل.
ونرى كمثال: موقع فحص الإصابة بفيروس كورونا ،
فالموقع لا يوفّر أيّ تعريف عن نفسه، ولا أيّ وسيلة للتواصل مع الجهات المسيرة له، ولا تتبناه أيّ جهة طبيّة رسميّة كانت أو غير رسميّة.
وببحث صغير حول الموقع باستخدام موقع who.is الشهير، نجد أن الموقع استُحدث في 25/03/2020 (وهو ما أكدّنا عليه سابقًا) من العاصمة الأردنية عمان، ويرفض القائمون عليه توفير أيّ معلومات عن هُويتهم أو أيّ وسيلة للتواصل معهم.
فمن الواضح أنّه يسعى إلى جلب الزيارات من خلال فحص مزيّف من دون أيّ أساس طبيّ متخصص.
كيف يمكنني التأكد من صحة ما يرسل إلي؟
يمكنك ذلك من خلال(8):
معظم الرسائل المضلّلة تكون ركيكة لغويًا وتميل إلى العامية وهذا سببٌ كافٍ لجعلك تشك بالمحتوى المكتوب.
العودة إلى المصادر الموثوقة والتأكد منها.
متابعة منصات ومواقع التحقق من الأخبار الكاذبة.
سؤال الخبراء في المجال الذي تندرج ضمنه الرسالة.
لا تفتح مفرقات رسائل البريد الإلكتروني المستقبلة من أشخاص لا تعرفهم.
في الختام عليك أن تضع هذه الحكمة نصب عينيك دائمًا:
“في عالم الإنترنت إذا حصلت على سلعة أو خدمة مجانًا… فاعلم أنّك أنت أو معلوماتك هي السلعة”.
كتابة وتحرير المقال أ. بسام عصام البطه
تعليقات الفيسبوك