الهندسة الاجتماعية: أنت في خطر ما دمت متصلًا بالإنترنت

الصور: _DJ_ وUS DEPARTMENT OF DEFENSE - التصميم: منشور

محمد عادل
نشر في 2018/02/21

تخيل أنك الآن تفتح حسابًا جديدًا على موقع ما، يطلب منك الموقع إنشاء كلمة سر، في تلك اللحظة يعمل عقلك بأقصى طاقته، يتذكر آلاف التفاصيل عن حياتك، تواريخ ميلادك وميلاد من تعرفهم، أسماء المقربين إليك، حبيبتك أو زوجتك، يبحث في تلك التفاصيل عن كلمة مرور يمكنك تذكرها، ولا يتعب هو في استرجاعها عندما تريد دخول الموقع لاحقًا.

وبينما تفكر أنت في كلمة السر تلك، يعمل آلاف آخرون على استنباط كلمة مرورك، يكتبون أكوادًا، ويُنشئون خوارزميات تبحث في تفاصيلك الموجودة على مواقع التواصل الاجتماعي، يدرسون شخصيتك رغم أنهم لم يلتقوك قبلًا، يفعلون ما يفعله عقلك حين يفكر في كلمة السر، لكن بشكل عكسي.

حسنٌ، ما يفعله هؤلاء هو «الهندسة الاجتماعية»، والمهندسون الاجتماعيون هم «الهاكرز». والهاكرز لا يخططون للهجوم على الشركات الكبيرة أو المواقع المشهورة فقط، بل يرصدونك كذلك. نعم، أنت في خطر ما دمت متصلًا بالإنترنت.

كيف يخترع عقلك كلمة المرور؟

الصورة: 27707

عندما تستخدم جملة «Passwords cant fly over Middle East» كباسوورد، سيستغرق الكمبيوتر أعوامًا ليكتشفها لأن توقعها صعب، لكنك ستتذكرها بسهولة.

تفكير عقلك في كلمات السر بتلك الطريقة، وهو شيء مجبول عليه، يجعل حساباتك أقل حمايةً وتأمينًا، فأي شخص قريب منك، أو حتى من متابعيك على فيسبوك وتويتر، سيعرف كل التفاصيل السابقة بسهولة.

لذلك، وفي عام 2003، حاول الخبير الأمني «ويليام بور»، الذي كان يعمل في المعهد القومي الأمريكي للمعايير والتكنولوجيا، تقديم نصائح لجعل كلمات السر أقوى، أو ما كان يعتقد أنه كذلك.

على رأس تلك النصائح استخدام الرموز، مثل @ بدلًا من حرف a، أو $ بدلًا من حرف S، ومن هنا كان بور هو الأساس في إضافة العبارة التي تطالبك، في كل مرة تضع فيها كلمة مرور جديدة، بأن تكون مكونة من ثمانية عناصر على الأقل، من ضمنها حروف وأرقام ورموز.

لكن السحر انقلب على الساحر، وسهّلت تلك الطريقة عمل المخترقين، فإلزام الناس بأن يستخدموا هذه الرموز جعل كلمات السر نمطية ويمكن توقعها.

ببساطة، عندما تكتب كلمة «Password123»، وفقًا لنصائح ويليام بور القديمة، ستكتبها هكذا: «P@s$w0rd123»، وبذلك تصبح أقوى في وجه تخمينات الهاكرز، بينما في حقيقة الأمر تصير أسهل، لأن المخترقين يعتمدون على أنظمة إلكترونية تعمل بالتخمين، وكونك مجبرًا على كتابة رموز معينة بالذات يجعل التخمين أسهل.

لكن لو استخدمت الحروف الأبجدية والأرقام التقليدية بترتيب لا تفهمه الأنظمة الإلكترونية، سيكون أفضل لخصوصيتك وتأمين كلمة مرورك، وسيصبح من الصعب تخمينها.

عندما تستخدم جملة «Passwords cant fly over Middle East» ككلمة مرور، سيستغرق الكمبيوتر أعوامًا طويلة كي يكتشفها لأن توقعها صعب، بينما سيتذكرها عقلك بسهولة، لذلك اعترف بور بأنه كان مخطئًا في النهاية.

النصيحة الثانية التي ندم عليها ويليام هي تغيير كلمات السر كل 90 يومًا، وهذه المشكلة تؤرق مسؤولي أقسام التكنولوجيا في الشركات الكبرى.

فرغم أن تغيير كلمة المرور دوريًّا قد يبدو شيئًا فعّالًا في مواجهة قراصنة الإنترنت، فإن إجبار الموظفين على تغيير كلمات مرورهم كل ثلاثة أشهر يجعلهم يضعون كلمة مرور بسيطة يتذكرونها، لأنهم يعلمون أنهم سيضطرون إلى تغييرها بعد فترة قصيرة، وبالتالي تكون أسهل في التخمين مع الهاكرز.

قد يهمك أيضًا: كيف تراقبنا التكنولوجيا؟

هندسة الاختراق

بالتأكيد مررت بتجربة أن يتلاعب بك أحد أصدقائك، ويحادثك على الإنترنت منتحلًا شخصية فتاة، أو يكلمك على الهاتف مغيرًا صوته كي يشبه صوت والدك.

ربما تكون أنت من تلاعب بذلك الصديق، وربما استمتعت بذلك، لكن تخيل أن يحدث لك هذا بينما يكون الطرف الآخر مخترِقًا محترفًا، يصنع شخصية افتراضية، ويتحدث إليك عبرها مستخدمًا معلومات عن حياتك بطريقة مدروسة، فيتقرب منك حتى تثق فيه، ثم يضطرك إلى الضغط على رابط مفخخ، أو يقنعك بتحميل ملف به برمجية خبيثة، أو يستخدم جهازك لنشر فيروس في آلاف الأجهزة داخل الشركة التي تعمل بها، أو غير ذلك من كوارث قد تحدث بسبب محادثتك مع شخص يظهر لك أنه حقيقي، لكنه شخصية من نسج خيال هاكر محترف.

أنشأ الهاكرز الروس حسابات وهمية على مواقع التواصل الاجتماعي، تدخل نقاشات مع المواطنين الأمريكيين وتنشر أخبارًا مغلوطة.

هذا ما حدث في يوم من أيام فبراير 2017، إذ استقبل أحد الموظفين بشركة شهيرة في منطقة الشرق الأوسط رسالة عبر حسابه على شبكة لينكد إن الاجتماعية للمهنيين، من سيدة بريطانية تُدعى «ميا آش»، تعرض خدماتها في مجال التصوير. تبادل الموظف أطراف الحديث معها لاهتمامه بالتصوير هو الآخر، وتوطدت علاقتهما وانتقلت إلى فيسبوك، ودخل الموظف إلى حساب «ميا»، فوجده طبيعيًّا لامرأة ثلاثينية، ومليئًا بصورها الشخصية، ولديها 500 صديق.

صار ذلك الموظف يثق في ميا، وفي يوم طلبت منه أن يساعدها في ملء استطلاع رأي، فوافق، فأرسلته إليه في ملف «Excel» على بريده الإلكتروني، وهو حمّله على جهاز الكمبيوتر الخاص به في العمل، وملأه، وأعاد إرساله إليها، وعاد ليخبرها، فلم تُجِب.

مرت أيام ولم تظهر ميا على تطبيق مسنجر، وبعد أسبوع شعر الموظف بحركة غير طبيعية في الشركة، وسمع أحاديث حول تعرض الشبكة الداخلية للشركة لمحاولات اختراق، ثم أعلنت شركة «SecureWorks» المتخصصة في الأمن المعلوماتي أن تلك المحاولات نتجت عن تسرب برمجية خبيثة إلى أجهزة الشركة، عن طريق تحميل ملف معين، ملف «Excel».

اتضحت الأمور: ميا لم تكن سوى شخصية افتراضية استخدمتها مجموعة الهاكرز «OilRig» التابعة للحكومة الإيرانية على مدى سنة كاملة، واستهدفت عددًا كبيرًا من الإداريين والموظفين بقطاع الأعمال في عدد كبير من مؤسسات وشركات الشرق الأوسط، وتفننت المجموعة في استخدام أساليب الهندسة الاجتماعية لتصميم تفاصيل حياة هذه السيدة البريطانية وتطويرها، سواء تفاصيل اسمها وحياتها الاجتماعية، أو صور تنتمي إلى سيدة مختلفة تمامًا، لكنها نجحت من خلال جميع حساباتها على الإنترنت أن تقنع ضحاياها بأنها حقيقية.

ذلك هو نفس الأسلوب الذي اتبعه الهاكرز الروس عندما أنشؤوا آلاف الحسابات الوهمية على تويتر وفيسبوك، ليستخدموها في الترويج لعدد كبير من الشائعات والأخبار المضللة خلال انتخابات الرئاسة الأمريكية 2016.

نسج الهاكرز مئات الحسابات الوهمية، أسسوها لتظهر كأنها تخص شخصيات مختلفة، من حيث السمات الاجتماعية والخلفيات الثقافية لأمريكيين، ما يُسَهّل على مثل تلك الحسابات الوهمية أن تدخل في نقاشات مع مواطنين أمريكيين، وتنشر مزيدًا من الأخبار المغلوطة من مواقع مجهولة الهوية وغير موثوق بها.

قد يعجبك أيضًا: أنت مخترَق: غوغل تعرف عنك أكثر مما تتخيل

الفضول على الإنترنت يقتل

الصورة: soldiers.dodlive

صممت مجموعة من الهاكرز موقعًا ينتحل صفة الهيئة الألمانية الفيدرالية لتكنولوجيا المعلومات، ونجحوا عن طريقه في سرقة بيانات المستخدمين.

«اضغط واربح هاتف آيفون X الآن»، «شارك المنشور في رسائل إلى 10 من أصدقائك لتدخل السحب»، «حمِّل التطبيق لتربح مليون دولار». لا بد أنك صادفت إحدى هذه الرسائل على فيسبوك، وقد تكون عيناك وقعتا على أمثلة كثيرة مثلها في التعليقات على المنشورات. هذه النوعية من الإعلانات تلعب على وتر مهم جدًّا: الفضول، وآنية الحدث المرتبط بالمنشور.

في أكتوبر 2017، وبعد أيام قليلة من إطلاق هاتف آيفون 8، انتشرت عشرات الصفحات المزيفة على فيسبوك تطلب من الناس أن يملؤوا استمارة حول بياناتهم الشخصية، كي يدخلوا سحبًا للفوز بهاتف آيفون مجانًا.

يعتمد هذا الأسلوب على الاستحواذ على بياناتك الشخصية بكامل إرادتك، بحيث تُستخدَم بعد ذلك في سرقة حسابك عن طريق تخمين كلمات مرورك، أو بيع تلك المعلومات إلى شركات المعلنين. لا تقلق، فبالتأكيد لن تربح أي آيفون أبدًا.

اقرأ أيضًا: الأخ الأزرق يراقبك: كيف تثق في من يعرف عنك كل شيء؟

وكما قد يدفعك الفضول ورغبة الفوز بـ«آلاف الدولارات» إلى الوقوع في فخ الهاكرز، ربما يوقعك الخوف منهم في شباكهم كذلك.

هذا ما حدث مع ثغرات خطيرة مثل «Spectre» و«Meltdown»، اللتين أصابتا جميع الأجهزة الإلكترونية التي صُنعت خلال العشرين عامًا الماضية، من هواتف ذكية، وأجهزة كمبيوتر شخصية ومكتبية.

ففي ألمانيا، استغلت مجموعة من المخترقين قلق الناس وقلة خبرتهم في التعامل مع الهاكرز، وصمموا موقعًا إلكترونيًّا مزيفًا يحمل شهادة أمنية معلوماتية HTTPS ليكسب ثقة زواره، وينتحل صفة الهيئة الألمانية الفيدرالية لتكنولوجيا المعلومات، ويدعو المستخدمين إلى تحميل ملف يدّعي أنه علاج لتلك الثغرات، لكنه في الحقيقة ملف خبيث، بمجرد تحميله على جهازك يسرق بيانات حساسة من متصفحك، ويعطي المخترِق طريقة للتحكم في جهازك عن بُعد.

لم تسلم دورة الألعاب الأوليمبية الشتوية 2018 من الهجمات الفيروسية الذكية، التي بدأها الهاكرز قبل أيام قليلة من انطلاق البطولة في كوريا الجنوبية، إذ تعرضت اللجنة الأوليمبية لحملة شرسة عبر عناوين البريد الإلكترونية الخاصة بأعضائها، على خلفية حرمان الفرق الروسية من المشاركة في الدورة، وشنت مجموعة الهاكرز «Fancy Bear» هجمات مكثفة على اللجنة.

بعدها، حذرت وزارة الأمن القومي الأمريكية المسافرين لحضور الأوليمبياد الشتوي من استقبال أي ملفات عبر البلوتوث أو الإنترنت من مصادر غير موثوق بها، أو غير معروفة بالنسبة إليهم، لأنها رصدت عددًا كبيرًا من البرمجيات التي تبدو في ظاهرها دعوة لحضور الفعاليات الأوليمبية، بينما تستهدف سرقة البيانات الشخصية من هواتف الضحايا، وزرع برمجيات خبيثة لمراقبة جميع ما يفعلونه على أجهزتهم الذكية.

قرصنة: كيف تحمي نفسك؟

الإنترنت عالمٌ افتراضي، فحاول أن تقلل ما تقدمه من تفاصيل حياتك الحقيقية عليه.

رقم هاتفك، وتاريخ ميلادك، وأسماء عائلتك، كلها أمور شخصية جدًّا ووثيقة الصلة بكيانك على أرض الواقع، لذلك حاول أن لا تشاركها مع العالم الإلكتروني، لأنك لا تعلم من يمكنه أن يطّلع على تلك البيانات الخاصة، وإلى أي مدى تصل قدراته ومهاراته في استخدامها لاختراقك. واحترس طوال الوقت من هاتفك، فهو يعرف عنك الكثير. حاول أن تحتفظ بأسرارك وأمورك الشخصية داخلك، فالعيون الإلكترونية في كل مكان.

مواضيع مشابهة