الهندسة الاجتماعية أو كما تسمى باللغة الإنجليزية (Social Engineering) في مجال أمن المعلومات عبارة عن فن التلاعب بالأشخاص، بقصد الحصول منهم على معلومات مهمة أو الوصول إلى أماكن غير مصرح بالوصول إليها.
والهجمات التي تستخدم فيها وسائل وطرق الهندسة الاجتماعية تكلف الدول والأفراد مبالغ وخسائر طائلة جدا. ففي تقرير نشرته مجلة الفوربز الأمريكية في تاريخ 5 مايو 2017 وعند مراجعة الإف بي آي في الولايات المتحدة للهجمات التي استخدمت إحدى وسائل الهندسة الاجتماعية فيها، وجد أنها تكلف خسائر سنويا بنحو نصف مليار دولار.
ولمعرفة هذه الوسائل بقصد الحذر منها، نتطرق لأهمها وأشهرها وأوسعها انتشارا، وهي:
1. الادعاء أو التذرع
(Pretexting): وهو أن يدعي الشخص المخادع أنه الشخصية الفلانية (هذه الشخصية يكون لها احترام أو مكانة أو مصداقية أو صفة اعتبارية عند الشخص المخدوع)، وذلك عن طريق تأليف قصة مفبركة (سيناريو مفبرك) يطلب خلالها بعض المعلومات أو جمعها بطريقة مباشرة أو غير مباشرة كأرقام الهوية الوطنية أو رقم الحساب البنكي أو البطاقة الائتمانية أو بعض الأرقام السرية أو غيرها من المعلومات المهمة.
2. الاصطياد الالكتروني
(أو كما يسميه البعض «التصيد Phishing»): وفيه يكتب المخادع بريدا الكترونيا يظهر للشخص المخدوع بأن هذه الرسالة الالكترونية هي رسالة موثوقة وقادمة من شخص موثوق أو شركة أو مصدر معروف وله مصداقيته. يطلب الشخص المخادع في هذه الرسالة بعض المعلومات الحساسة أو قد يرسل رابطا أو ملفا مرفقا مع الايميل محمل بالفايروسات أو أحصنة طروادة (Trojan Horses)، وهي ملفات تحتوي على ملفات تجسسية في حالة تحمليها على جهاز الضحية تجمع معلومات وترسالها للشخص المخادع.
3. اتباع الخطى بقصد الاستغلال
(Tailgating): وهو من الأساليب التي قد يستغلها الشخص المخادع للدخول لأماكن غير مصرح له بالدخول إليها. حيث يتتبع الشخص المخادع أحد الأشخاص المصرح لهم بدخول أحد المباني ويسير بشكل شبه ملاصق للشخص المخدوع، وعند فتح الأخير الباب والدخول للمبنى سيدخل معه على أنه أحد العاملين بهذا المبنى. كما أنه دائما ما توجد أبواب خلفية للمباني يخرج منها الموظفون أو تدخل بضائع أو معدات للمبنى عن طريق هذه الأبواب، وقد يستغلها المخادع ويدخل معها منتحلا شخصية أحد الموظفين أو أحد مندوبي الشركات أو الموردين المصرح لهم بالدخول. لذلك يجب التأكد دائما من هوية الشخص الذي يتتبعك عند دخولك المباني الخاصة التي لا يسمح عادة لعامة الناس بدخولها.
4. الإغراء
(Baiting): يستخدم المخادع في هذا النوع غريزة الفضول عند الإنسان. فقد يترك أحد الأقراص أو ذاكرة الفلاش في أحد الممرات أو دورات المياه أو مواقف السيارات، ويكتب عليها عنوانا جذابا كـ «رواتب الموظفين للعام الميلادي الحالي» أو «أرقام حسابات كبار المسؤولين في الدائرة الفلانية» أو «ملفات خاصة وسرية جدا» أو غيرها من العبارات التي قد يسيل لها لعاب بعض الأشخاص لمعرفة ما بداخلها من ملفات ومعلومات، ولكن وفي الواقع فإن هذه الأقراص أو ذاكرة الفلاش محملة بملفات تجسسية سيتم تحمليها على جهاز الشخص المخدوع حالما يدخلها في جهازه.
5. المقايضة
(أو شيء مقابل شيء ــ quid pro quo): وفي هذا النوع ينتحل المخادع شخصية ما ويطلب معلومات من الشخص المخدوع مقابل خدمة يعملها أو ينفذها له. كأن ينتحل المخادع شخصية متخصص في أعطال وصيانة الحاسبات، ويتصل بالمخدوع على أنه يعمل لدى قسم الدعم الفني، ولكي يصلح الأعطال في جهازه لا بد من تزويده بمعلومات مثل الرقم السري واسم المستخدم أو غيرهما من المعلومات المهمة.
هذه أشهر أساليب الهندسة الاجتماعية، لكن بالطبع يوجد غيرها من الأساليب التي يجب الحذر منها، والتي ما زالت تكلف الدول والأفراد مبالغ وخسائر طائلة جدا كما أشرنا في بداية المقال.
الادعاء + التتبع + الإغراء + المقايضة + الاصطياد الالكتروني = أساليب الهندسة الاجتماعية.
