الهندسة الاجتماعية ... السلاح ذو الحدين

التصنيف: مقالات

تاريخ النشر: 2023-08-20 10:39:14

احمد طارق خالد

المقدمة

الذكاء الاصطناعي، شبكات الجيل الخامس، انترنيت الاشياء، شبكات التواصل الاجتماعي، الفضاء السيبراني، الامن السيبراني. مصطلحات جديدة ظهرت في الاونة الاخيرة مع التقدم السريع لاجيال الانترنيت والاتصالات تعبر كل منها عن حقبة من التطور الذي يخدم المجتمع بشكل عام ويسهل عمله وتواصله مع المجتمعات الاخرى، واصبح العامل التكنولوجي مقياس تقدم الدول ومدى تطورها وتحاكي رغبات مجتمعها وتطلعاته واحلامه لتحولها الى حقيقة.

ان لهذا التطور السريع في تكنولوجيا الاتصالات والانترنيت وجهان الاول الايجابي الذي استخدم لرفاهية المجتمعات وتسهيل الحياة، والثاني السلبي او المظلم من هذا التطور حيث سخرت هذه التكنولوجيا في الحروب والجرائم والابتزاز والسرقة اضافة الى التجارة الغير مشروعة مثل تجارة المخدرات والسلاح وتجارة الاعضاء البشرية، لتضع العالم امام تحدي جديد صعب خصوصا مع غياب هوية الجاني ومكانه وطريقة عمله, فشرعت الدول القوانين ووضعت اللوائح التي تنظم عمل مجتمعاتها ضمن هذا الفضاء اللامنظور والذي يدعى بالفضاء السيبراني .

ان سهولة التواصل بين المجتمعات من خلال شبكات الاتصالات والانترنيت ومواقع التواصل الاجتماعي خلقت عالما مفتوحا يعبر فيه الناس عن اراءهم ومعتقداتهم اضافة الى كونه سوق كبير لاتحده حدود ولا زمان يمكن من خلاله العمل والترويج والتجارة والتسوق اضف الى كل هذا انه يعتبر مكان للتعلم والتعليم واصبحت المعلومة والبيانات المخزنة على هذه الشبكات من اهم المراجع للطلاب والباحثين لتعددها وكثرتها التي تميزت به عن باقي المراكز الثقافية والتعليمية التقليدية.

كما تتميز هذه التكنولوجيا بعامل الوقت والمكان والموثوقية فاصبحت التعاملات الرسمية والتجارية والمالية بين المواطنين والحكومة وبينهم والعالم الخارجي تهتم بشكل سريع دون الحاجة الى الذهاب الى مكان معين مما سهلت الحياة عليهم، وزادت في الرفاهية وتطور الحياة ولهذا الغرض اصبح من الضروري فهم المجتمعات ومحاكاه الرغبات البشرية وطريقة تفكيرهم وبالتالي تنفيذ البرمجيات التي تخدمهم من خلال البيانات والمعلومات التي تم جمعها وتحليلها للوصول الى تقديم خدمة او طريقة جديدة للحياة حتى اصبحت المعلومة والبيانات التي يتم تجميعها تستخدم ليس فقط لتقديم الخدمات وانما استخدمت ايضا من قبل الحكومات والمنظمات والشركات لغرض توجيه الجمهور نحو هدف او غاية لتلك الحكومات او المنظمات.

تعريف الهندسة الاجتماعية

يوجد عدة تعاريف لوصف الهندسة الاجتماعية منها :

• هي عملية اختراق العقول لغرض التأثير الايجابي او السلبي من اجل الوصول لغاية عند المهندس الاجتماعي.
• هي تطبيق منهجي علمي من اجل دراسة الاهتمام الاجتماعي وتحليله للوصول الى قرارات تخدم الجهة المستفيدة.
• هي مهارة استخدام الاساليب سواء كانت نفسية او ايحائية او اعلانية او كلامية لتوجيه عقل وتفكير الشخص او الجمهور لغرض الاستفادة منه بدون ان تشعر وبرضا تام من خلال كسب الثقة ومحاكاة النفس البشرية والفضول والطمع والخوف وغيرها مما غير الانسان.
• هي مجموعة الانشطة التي يتم انجازها من خلال التفاعلات البشرية تستخدم التلاعب النفسي لخداع المستخدمين لارتكاب اخطاء امنية او الكشف عن معلومات حساسة.

تاريخ نشوء الهندسة الاجتماعية

كان اول ظهور لمصطلح الهندسة الاجتماعية او المهندسين الاجتماعيين في هولندا عام 1894 من خلال مقال للصناعي جي سي فان ماركن ذكر فيه الحاجة الى مساعدة المختصين في التعامل مع مشاكل الانسان العامل بنفس درجة حاجتهم الى المختصين الفنيين الذين يتعاملون مع المادة والمعدات والعمليات.

كما ظهر تسمية الهندسة الاجتماعية في امريكا عام 1899 في مجلة عامة التابعة لوليام تولمان الذي الف كتاب بعنوان الهندسة الاجتماعية عام 1909 ويعتبر كتاب عالم الاجتماع ادوين عام 1911 بعنوان المهندس الاجتماعي هو الاساس في انه يصبح هذا المصطلح مبني وفق معيار خاص للتعامل مع العلاقات الاجتماعية كالأجهزة بشكل هندسي قابل للتحليلات وصالح للنظريات الهندسية.

تطورت التقنيات والاساليب المستخدمة مع تقدم التكنولوجيا لتصبح احد اهم طرق الاختراق الالكتروني والحلقة الاضعف في دفاعات الامن السيبراني حيث تعتمد عمليات الاختراق الالكتروني على 75% من خلال فهم العقل البشرية وطريقة التفكير ونقاط الضعف فيه و 25% على التقنيات والبرمجيات الخاصة بالاختراق.

استخدامات الهندسة الاجتماعية

1. الحكومات: استخدمت الحكومات الهندسة الاجتماعية على مجتمعات اما بطريقة استبدادية مثل الصين والاتحاد السوفيتي السابق ومنظمة الخمير الحمر في كمبوديا من خلال تطبيق الخطة الزراعية على المجتمع وسياسة الاسكان في سنغافورا من خلال توفير السكن للمواطنين مع مراعاة الخليط المجتمعي من اجل تعزيز التماسك الاجتماعي والولاء الوطني.

الطريقة الثانية هي توجيه المجتمع حول موضوع معين مثل الحرب على المخدرات او خلق راي عام في الانتخابات كأداة سياسية في بعض الدول وغيرها من المواضيع (1).

2. المنظمات والشركات: تستخدم المنظمات والشركات الهندسة الاجتماعية عادةً لغرض توجيه المجتمعات حول فكرة او موضوع معين وتسويقه لهم من خلال فهم تلك المجتمعات وتحليل بياناتهم واستخدام الطرق والاساليب التي تتماشى مع قيم وطريقة فهم تلك المجتمعات.

كما تستخدم الشركات الهندسة الاجتماعية لغرض الترويج عن منتجاتها والبضائع المراد تسويقها وتحديد المستهدفين والفئات العمرية والحالة الاقتصادية والمعرفية لتلك المجتمعات اضافة الى استخدام التقنيات الحديثة والذكاء الصناعي لجمع البيانات والمعلومات الخاصة بالمشتركين لديها او استهداف مجتمع معين ويتم بعدها تحليل هذه البيانات وتصنيفها وعمل الاحصائيات الخاصة بها من خلال خوارزميات معقدة ليتم الاستفادة منها مستقبلا او استعمالها عند الحاجة اليها.

3. الهاكرز والمنظمات الارهابية: يستخدم المتصيدون والمجاميع الارهابية تقنيات الهندسة الاجتماعية للايقاع بضحاياهم وسرقة معلوماتهم وبياناتهم لغرض السرقة او الابتزاز الالكتروني او حتى تنفيذ عمليات اجرامية او ارهابية من خلالهم وتعتبر هذه التقنية الاكثر شيوعا في عملية التصيد والايقاع بالضحية كونها تحاكي الحلقة الاضعف في اجراءات الامان ونقطة ضعف الشركات والمؤسسات المراد اختراقها.

الهندسة الاجتماعية والامن السيبراني

يعيش العالم مرحلة جديدة وترابطا فريدا بين عالمهم الواقعي والعالم الافتراضي الذي تلاشت فيه الحدود وتقلصت فيه الازمان، اذ تتأثر المجتمعات بمجتمعات اخرى عبر سيل واسع من المعلومات المتدفقة من وسائل التواصل الاجتماعي والوسائل الاعلامية، حتى اصبح من المتعذر تجنب هذا السيل الجارف الموجه الى المجتمعات النامية من قبل المجتمعات المتقدمة في مجال التقنية والاكثر قدرة على صنع المحتوى، وتوجيه الراي العام باتجاه معين وفق اليات الهندسة الاجتماعية حتى اصبحت هذه التقنية تستخدم لإدارة الحشود او للايقاع بالضحايا او استدراجهم لغرض استغلالهم في الكشف او تسريب المعلومات عن المؤسسات العاملين فيها، اذ يعد الانسان الحلقة الاضعف في دفاعات الامن السيبراني والطريقة الاسهل لاختراق المؤسسات والحصول على المعلومات .

بشكل عام، يهدف المهندس الاجتماعي الى الاستفادة من ثقة الانسان والميل الى التصرف بناء عليها بدلا من التشكيك في صحة الطلب. الشكل الاكثر شيوعا للهندسة الاجتماعية هو التصيد الاحتيالي. عادة ما يتضمن التصيد الاحتيالي قيام مهاجم بارسال بريد الكتروني يتضمن رابطا او مرفقا مصمما ليبدو شرعيا، ولكن بمجرد النقر عليه يمكن ان يعرض جهاز الكمبيوتر الخاص بالضحية للخطر ويسرق المعلومات الشخصية. اصبحت رسائل البريد الالكتروني هذه اكثر تعقيدا، حيث تتضمن انتحال البريد الالكتروني وملفات تعريف الوسائط الاجتماعية لخلق هالة من الثقة حولها ، مما يجعلها تبدو اكثر اقناعا وشرعية.

نوع اخر من الهندسة الاجتماعية هو الاصطياد، وهو محاولة لجذب الفرد للكشف عن معلومات سرية مثل كلمات المرور او البيانات السرية. غالبا ما يتم اغراء الناس من خلال الوعد بجائزة. يتم استخدام الطعم لجذب الضحية الى فخ من خلال تقديم شيء مثل التنزيل المجاني او الاصدار التجريبي او الخصم. بمجرد ادخال معلوماتهم الشخصية في موقع الويب، يتم تسجيلها بواسطة المهاجم.

بالاضافة الى ذلك، يمكن تنفيذ الهندسة الاجتماعية من خلال استخدام الذرائع والحجج المنطقية. يعمل التذرع كأسلوب للحصول على المعلومات الشخصية باستخدام ذريعة لاسباب مختلفة مثل الدعم او المسح او التحقق. قد ياتي هذا في شكل مكالمة او بريد الكتروني حيث يتظاهر المهاجم بانه شخصية سلطة من منظمة حسنة السمعة.

يمكن ان يعبر المهندس الاجتماعي ايضا عن نفسه في شكل خداع جسدي. يتضمن ذلك انتحال شخصية شخص يتمتع بسلطة مثل احد الموظفين او افراد الشرطة او الامن. يمكن ان يحدث الخداع الجسدي في عدد من السياقات، بما في ذلك مكان العمل، حيث يمكن للمهاجمين استخدام دورهم او وصولهم لخداع الموظفين لانشاء ثغرة امنية او حتى تسليم بيانات حساسة.

في نهاية المطاف، يمكن ان يكون تاثير الهندسة الاجتماعية شديدا وبعيد المدى. يمكن ان يتسبب في فقدان المعلومات الحساسة والبيانات الشخصية، ويؤدي الى مكاسب مالية من قبل المهاجم ويعرض الضحايا لسرقة الهوية. تشمل العواقب الاكثر شرا الابتزاز، حيث يمكن للمهاجم استخدام المعلومات التي تم جمعها لابتزاز الضحية. بشكل عام، يمكن ان يعرض المهندس الاجتماعي بيانات الافراد والمؤسسات والمعلومات الشخصية للخطر ، مما يؤدي الى زيادة خطر خروقات البيانات والخسارة المالية.

اليات الهندسة الاجتماعية

تستخدم الهندسة الاجتماعية او المهندس الاجتماعي عدة اليات لتنفيذ الهجوم اهمها  

• جمع المعلومات الممكنة عن الضحية الشخصية ومحيطها
•  الحصول على الثقة من خلال بناء علاقات وتفاعلات بسيطة
• استخدام المعلومات والبيانات المجمعة في عملية الاختراق باستخدام البرمجيات والادوات الخاصة بالاختراق
• الانسحاب الفوري بعد تمام العملية

 

الوقاية من الهندسة الاجتماعية

هناك مجموعة متنوعة من التدابير التي يمكن تنفيذها لمواجهة الهندسة الاجتماعية. تتضمن معظم هذه التدابير تثقيف الافراد حول الحيل والتكتيكات التي يستخدمها المهاجمون لاستغلال ثقتهم. يمكن وضع برامج تدريبية لتثقيف الافراد حول اخطار النقر على الروابط او المرفقات غير الموثوق بها، وتحذيرهم من مخاطر الذرائع وانتحال الشخصية واهمية التحقق مما اذا كان البريد الالكتروني او المنظمة شرعية.

علاوة على ذلك، يجب تشجيع كلمات المرور الامنة وتقنيات المصادقة الثنائية من اجل امن الافراد والمنظمات. يمكن ان يساعد الاهتمام الدقيق بانماط التصفح والبقاء على اطلاع باحدث التقنيات في التعرف على الهندسة الاجتماعية والتهرب منها. علاوة على ذلك، يجب اجراء عمليات تدقيق منتظمة لتحليل كيفية وقوع الافراد فريسة لتقنيات الهندسة الاجتماعية.

واحدة من ابسط الطرق لمواجهة الهندسة الاجتماعية هي البحث في شرعية البريد الالكتروني او موقع الويب او الفرد قبل مشاركة المعلومات الشخصية للفرد. القاعدة الاساسية البسيطة هي انه اذا كان هناك شيء يبدو جيدا لدرجة يصعب تصديقها، فمن المحتمل ان يكون كذلك. بالاضافة الى ذلك، يجب على الافراد والمؤسسات تنفيذ جدران الحماية وفلاتر مكافحة البريد العشوائي، بالاضافة الى برامج مكافحة الفيروسات التي يمكنها تحديد الرسائل ومواقع الويب الاحتيالية وحظرها.

في الختام، يعد الهندسة الاجتماعية تهديدا امنيا خطيرا يمكن ان يتسبب في خسائر فادحة للافراد والمنظمات اذا وقعوا ضحية لهذه التقنيات. من خلال اليقظة، والتعرف على التكتيكات المستخدمة، واتخاذ تدابير استباقية ، يمكن للافراد الحد من تعرضهم للهندسة الاجتماعية. يجب على المؤسسات تدريب موظفيها على تحديد وتجنب المشاركة الاجتماعية، ومراقبة وتحسين تدابير الامن السيبراني الخاصة بهم ، وفرض سياسات قوية لكلمات المرور ، وتنفيذ القنوات المشروعة للاتصال فقط. ان عدم مواجهة الهندسة الاجتماعية، ستمكن المهاجمون في استغلال الافراد والمنظمات على حد سواء والتسبب في ضررهم. ويعد الحذر من التواصل الاجتماعي العشوائي امرا ضروريا لحماية معلوماتنا الشخصية واصولنا الرقمية.