أنا اخترقت عقله، أقنعته إن أنا تمام وإني معاك وكذا وهساعدك… بدأت أخليه يثق فيا وبعدها خليته يعيّني في الصفحة أدمن وبعدها بقى أقوم جاي شايلهم كلهم وقافل الصفحة.

يبدو أنه لم يعد هناك أمان حقيقي للمستخدم العادي على الإنترنت، فبعد تسريبات ويكيليكس الأخيرة واكتشاف القدرات غير المحدودة للمخابرات المركزية الأمريكية CIA أصبح البعض يشك في كل شيء. لكن، ولكسر هذا الجدار من الشك يستخدم بعض من ليس لديهم إمكانيات الـCIA الذكاء وكسب الثقة لإنجاح الاختراق، هذا ما سنتحدث عنه في هذا التقرير.

اقرأ أيضا: كيف اخترقت الـCIA حكومات العالم؟ وثائق ويكيليكس تجيبك

استقبلت السوشيال ميديا منذ فترة قريبة حديث من قدمته وسائل الاعلام المصرية على أنه أصغر هاكر مصرى بالكثير من السخرية والضحك، ولكن الحقيقة أن كلامه يحمل الفكرة الرئيسية للهندسة الاجتماعية، وهي الطريقة الأسهل للاختراق لكنها تبدو الأنجح أيضًا. الأمر بسيط، أجهزة الكمبيوتر نادرًا ما تخطئ، وعندما توّد كفرد أو كهاكر مستقل اختراق شبكة ضخمة ومؤمنّة جيدًا كفيس بوك على سبيل المثال فربما يعد الأمر دربًا من الجنون.

https://www.youtube.com/watch?v=2zkzmjpOqyc

ولكن لماذا نضطر إلى التعامل مع أقوى المبرمجين في العالم، الذين يعملون لدى فيس بوك، لكي تخترق حساب شخص!! بينما يمكنك الاعتماد على غباء هذا الشخص لكي يعطيك كلمة السر الخاص به؟ هذا هو ببساطة مبدأ الهندسة الاجتماعية، الاعتماد على الخطأ البشري وغباء المستخدمين وجهلهم بالتكنولوجيا.

تٌعرف ويكيبديا الموسوعة الحرة الاختراق بالهندسة الاجتماعية على أنها «عبارة عن مجموعة من التقنيات المستخدمة لجعل الناس يقومون بعمل ما أو يفضون بمعلومات سرية. تـُستخدم الهندسة الاجتماعية أحياناً ضمن احتيال الإنترنت لتحقيق الغرض المنشود من الضحية، حيث إن الهدف الأساسي للهندسة الاجتماعية هو طرح أسئلة بسيطة أو تافهة (عن طريق الهاتف أو البريد الإلكتروني مع انتحال شخصية ذي سلطة أو ذات عمل يسمح له بطرح هذه الأسئلة دون إثارة الشبهات)».


هل تعمل الفكرة حقًا؟

هناك شيئان لا حدود لهما: الكون، وغباء الإنسان. مع أنني لست متأكدًا بخصوص الكون

عبارة شهيرة تنسب لأينشتاين

ولكن هل ينجح الأمر، هل يعطيك شخص كلمة مروره بهذه السهولة؟ ستفاجأ بسهولة الأمر. لتجربة ذلك قمت بتجربة بسيطة على حسابي على فيس بوك، نشرت خبرًا مزيفًا يقول «فيسبوك يحمي كلمة مرورك دائمًا حتى أنك إذا كتبتها فى تعليق ستقوم الخوارزمية بتشفير الكلمة لتظهر لكل المستخدمين على هيئة نجوم، يمكنك تجربة هذا بكتابة رقم سرك فى تعليق على هذا المنشور» بعدها أنشأت عدّة حسابات وهمية ووضعت بضعة تعليقات محتواها هو نجوم مثل هذا ***********.

فهم بعض الأصدقاء الخدعة وكتبوا أيضًا تعليقات مليئة بالنجوم، والمفاجأة كانت أن حصلت على كلمات مرور أكثر من عشرين متابعًا على صفحتي. قمت بإزالة المنشور وتحذير من وضعوا كلمات مرورهم، ولكن تبقى الفكرة،أن الأمر بسيط للغاية.

نموذج لمنشوري على صفحتي والذي سلم فيه أكثر من 20 مستخدمًا كلمات سرهم ببساطة

ما الأمثلة على استخدام الهندسة الاجتماعية للاختراق؟

1. المخابرات الروسية تخترق حملة هيلاري كلينتون وتتسبب جزئيًا في فوز ترامب

فى التاسع عشر من مارس عام 2016 تلّقى مسئول الحملة الانتخابية لهيلارى كلينتون جون بوديستا رسالة إلكترونية على بريده الإلكترونى تخبره أن بريده الإلكترونى معرّض للاختراق، وأن عليه أن يتبع رابط لتغيير كلمة مروره. شكّ بوديستا فى الرسالة فقام بإعادة إرسالها لمسئول الحملة لأمن المعلومات.

ولأن الاختراق بالهندسة الاجتماعية يعتمد على غباء البشر المبدع، فقد تكاسل مسئول الحملة لأمن المعلومات عن اتبّاع الرابط، وقام بالرد على رسالة بوديستا: «تبدو الرسالة أصلية، انصحك بتغيير كلمة مرورك».

قام بوديستا بإتبّاع الرابط الذى لم يكن إلا صفحة أنشأها المخترقون، وأعطاهم كلمة مروره ليقوموا فورًا بالولوج إلى بريده الإلكترونى وأخذ نسخة عن كل الرسائل بها لتقوم منصة ويكيليكس بنشرها فيما بعد.

يتهم مكتب التحقيقات الفيدرالية «إف بى آي» الحكومة الروسية أنها كانت السبب في هذا الاختراق، وتقول إن هذا الاختراق تسبب فى التلاعب بنتائج الانتخابات الرئاسية التي أتت بدونالد ترامب رئيسًا للولايات المتحدة الأمريكية.

2. الحكومة المصرية تخترق منظمات المجتمع المدني «عملية نايل فيش»

نشرت المبادرة المصرية للحقوق والحريات تقريرًا مطولًا حول 92 هجمة إلكترونية على مؤسسات المجتمع المدّني، حيث ادعّت بعض الرسائل الإلكترونية، إما أنها رسائل من موقع مشاركة الملفات دروب بوكس dropbox أو أنها من خدمات جوجل لحفظ الملفات google drive. ولم يوضح التقرير إذا ما نجحت هذه الهجمات أم لا، ولكنه اتهم الحكومة المصرية بتنفيذ الهجمات واستدل على ذلك بالتزامن الدقيق بين توقيت الهجمات وتحركات الشرطة المصرية تجاه هذه المنظمات.


كيف أنجو؟

الأمر بسيط، عليك فقط اتباع بعض الخطوات البسيطة وأن تكون ذكيًا فى تعاملك مع الإنترنت

1. انظر دائمًا للعنوان URL

حينما تفتح صفحة وتوشك على كتابة كلمة مرورك تأكد دائمًا من عنوان الصفحة، عليك أن تفهم بنية العناوين الإلكترونية لتتأكد أنك على الموقع الصحيح والرسمي.

كما هو موضح بالصورة عليك أن ترى العنوان بوضوح على النطاق الرئيسي للموقع.

أمثلة على روابط مسممة:

  • facebook.co.com
  • facceboook.com

فى المثال الأول يقوم مالك الدومين بإضافة نطاق فرعي على أي نطاق يملكه. فعلى سبيل المثال يمكننا فى إضاءات إنشاء رابط يحمل الاسم facebook.ida2at.com وتصميم صفحة لهذا النطاق الفرعى يشبه تصميم فيس بوك.

فى المثال الثاني يقوم المخترق بشراء نطاق مشابه لفيس بوك مع اختلاف طفيف فى طريقة الكتابة.

2. هل تلقيت بريدًا إلكترونيًا من شركة معروفة؟ تأكد أنه من العنوان الرسمي.

استخدم المخترقون فى عملية نايل فيش عناوين بريد إلكترونى تنتهى بـ@gmail.com على سبيل المثال dropbox.noreply@gmail.com. وبالطبع فإن موقع دروب بوكس لن يرسل لك رسالة من بريد إلكتروني نطاقه gmail، ولكنه سيرسل من noreply@dropbox.com . وإذا ساورك الشك حول أحد العناوين قم بعمل بحث سريع على جوجل عنه، تقوم كل الشركات الكبرى بوضع قائمة بالعناوين التي ترسل منها الرسائل للمشتركين منعًا للاحتيال.

ولكن حتى مع ذلك يستطيع المخترقون ايهامك بأنهم يملكون عناوين بريد إلكترونى لا يمتلكونها بالفعل، لذلك عليك الانتباه إذا كان البريد قد أرسل إليك عبر خادم آخر، وبذلك ستجد كلمة عبر أو via بعد العنوان الإلكترونى، على سبيل المثال:

noreplay@dropbox.comvia dropboxemailstaff.com

وفى كل الأحوال راجع دائمًا الرابط الذى يقودك إليه كما أشرنا فى النقطة «1».

3. لن يرسل لك فيس بوك رسالة لتغيير كلمة سرك عبر فيسبوك ماسنجر.

انتشرت في الآونة الاخيرة بكثرة أن يقوم أحد حسابات فيس بوك يخبرك بأنك يجب عليك تغيير كلمة مرورك ويمدّك بالرابط، قد يكون الحساب تحت أي اسم مثل «فريق أمان فيس بوك» أو «facebook security» أو غيرها من الأسماء.

اقرأ أيضا: «اكتب كلمة السر»: كيف تحمى حسابك على المنصات الإلكترونية

4. لن يقوم صديقك بطلب رقم هاتفك لتفعيل حسابه

الهندسة المجتمعية

حيلة أخرى تعتمد على الهندسة الاجتماعية وهي أن تجد أحد أصدقائك يطلب منك أن يستخدم رقم هاتفك لتفعيل حسابه على فيس بوك. فى الحقيقة سيكون صديقك قد وقع بالفعل ضحية لاختراق، وأن من يحادثك هو المخترق وليس صديقك، وسيقوم بطلب إعادة تعيين كلمة مرورك على فيس بوك عبر رقم هاتفك وستعطيه بكل أريحية الرمز السري لإعادة التعيين ويقوم باختراق حسابك ويعيد العملية مع أصدقائك.

فى النهاية تذكر دائمًا اتباع التعليمات الموجودة في عدّة الأمان ويتمنى لك إضاءات تصفحًا آمنًا.