الاحتيال الإلكتروني .. أساليب مبتكرة تجعل الضحية يدلي ببياناته برضاه أو بدون أن يشعر

باتت أشكال اختراق الخصوصيات والمعلومات التي يفترض أنها محمية جدا أو يجب عدم الإفصاح عنها لأشخاص غرباء خطرا وتهديدا على أمن معلومات الأفراد والمؤسسات والشركات. ويعرف هذا النمط من الاحتيال والذي يقوم على مبدأ استغلال نقاط الضعف في ذهن الضحية بالهندسة الاجتماعية والتي تجعل من الأشخاص ومستخدمي الشبكة العنكبوتية وتطبيقاتها يقعون بشكل لا إرادي في فخها.

حول ماهية الهندسة الاجتماعية قال الرائد يحيى بن عامر الهميمي من الإدارة العامة لتقنية المعلومات بشرطة عمان السلطانية إنه يسميها البعض فن اختراق العقول، وهي مهارة استخدام الأساليب الكلامية أو النفسية الإيحائية أو الإعلانية لتوجيه عقل وتفكير الضحية إلى ما يريد الجاني والاستفادة أكبر قدر منه والحصول على معلومات وبيانات سرية بدون أن يشعر وبرضاء تام منه.

أما في عالم التقنية والحواسيب فالهندسة الاجتماعية تعرف بأنها عبارة عن مجموعة من التقنيات المستخدمة لجعل المستخدم يقوم بعمل ما أو الإفصاح عن معلومات سرية عن حساباته الإلكترونية أو البيانات المتعلقة بحساباته البنكية لتحقيق الغرض المنشود من الضحية.

أمثلة وأساليب

وأوضح الرائد يحيى الهميمي أن هناك العديد من أساليب الهندسة الاجتماعية (الاحتيال) التي يعتمد عليها المهاجمون لإيقاع ضحاياهم. ولا يمكن حصرها لأن المهاجمون يفكرون أيضا بشكل مستمر بأساليب جديدة ومبتكرة لخداع الضحايا.

من تلك الأساليب استغلال الشائعات حيث تعتمد أغلب عمليات الاحتيال للحصول على كلمات السر أو للسيطرة على الحواسيب على تغليف البرامج الخبيثة أو الرابط الخبيث في غلاف جذاب يغوي الضحية بتشغيله أو فتحه. ففي كثير من الأحيان يستغل المهاجمون الشائعات والتي تنتشر بشكل سريع جدا ضمن شبكات التواصل الاجتماعي كغلاف جذاب لتمرير المحتوى الخبيث. فيضعون خبرا معينا أو قضية معينة ويرفقون معها رابط «لقراءة المزيد» أو «لمعرفة التفاصيل أنقر هنا» أو «قم بالتسجيل للاطلاع أكثر» فيتم من خلال ذلك تنزيل برمجيات خبيثة أو سرقة البيانات الشخصية وخاصة إذا ما تم طلب البريد الإلكتروني وكلمة المرور في صفحة التسجيل في موقع المهاجمين المعد لمثل تلك الأمور.

استغلال العواطف والقضايا الساخنة

وأضاف : من ضمن الأساليب كذلك استغلال العواطف من خلال استخدام نصوص أو صور تخاطب عاطفة الضحية وتؤدي إلى سقوطه في فخ فتح وتشغيل الملف الخبيث أو فتح رابط خبيث أو ملء صفحة خاصة بكافة بياناته الشخصية. يمكن أيضا للمهاجم استغلال فضول المستهدف أو غروره أو بحثه عن علاقة عاطفية مشروعة أو غير مشروعة وهكذا يتم استدراج الضحية للقيام بما يريد منه المهاجم كتنزيل برمجيات خبيثة أو إعطاء بيانات شخصية مثل اسمه وموقع سكنه وحتى صورته أو بيانات حسابات تطبيقات التواصل الاجتماعي ورقم هاتفه وغيرها وقد يؤدي ذلك إلى ابتزازه إلكترونيا في وقت لاحق وخاصة إذا ما تم تهديده بفضح بياناته أو نشرها.

وبشكل مشابه لاستغلال الشائعات، يستغل المهاجمون المواضيع والقضايا الساخنة على الساحة المحلية أو الإقليمية أو حتى الدولية لتمرير عمليات احتيالهم. وبعكس الشائعات، المواضيع الساخنة أخبار حقيقية ولا تحتوي على تضخيم أو افتراء. تنتشر عادة بسرعة على وسائل الإعلام ذات المصداقية العالية بشكل أخبار عاجلة فيتعطش الضحية لمعرفة المزيد أو المشاركة في تحليلها أو دراستها.

استغلال الأمن الرقمي

وأشار الرائد يحيى الهميمي إلى أن استغلال موضوع الأمن الرقمي وضعف الخبرة التقنية للضحية هو أحد أشهر الأساليب في الاحتيال على الشبكة العالمية للمعلومات الإنترنت. في هذا النوع من الهندسة الاجتماعية يدعي المهاجم أن رابطا ما أو ملفا ما سيسهم بحماية جهاز الضحية أو أن برامج جهاز الضحية تحتاج لتحديث أو توجد ملفات ناقصة أو تالفة وتحتاج للتجديد. في حين أنه في الحقيقة الملف ملف خبيث أو الرابط سيقوم بطلب بياناته أو يتم استدراج الضحية لاستخدام بطاقة البنكية في الدفع لشراء تلك البرامج أو إجراء التحديثات وهنا يقع الضحية في فخ استغلال بطاقته البنكية أو بريده الإلكتروني.

انتحال الشخصية

وحول الطرق والوسائل الاحتيالية الأخرى قال الرائد يحيى الهميمي إن بعض المهاجمين يقومون بإنشاء حساب على فيسبوك، أو حساب بريد إلكتروني، أو حساب سكايب، باسم مستعار أو باسم مطابق لاسم صديق لك أو لاسم شخص تعرفه بنية انتحال الشخصية. ثم استغلال الثقة للحصول على معلومات ما أو لاستجرارك لإضافته إلى مجموعات التواصل الاجتماعي معينة وما إلى ذلك.

ويعمد بعض المهاجمين إلى إيهام الشخص المستهدف بأنه على الموقع الصحيح المعتاد حيث يدخل كلمة سر للدخول إلى حسابه على الموقع، كموقع البريد الإلكتروني، لكن في الحقيقة يكون الموقع موقعا «شريرا» يديره أحد لصوص كلمات السر. بالتالي إذا خدع المستخدم وأدخل كلمة سره في ذلك الموقع تصل كلمة السر بكل بساطة إلى اللص. وتكثر هذه الطريقة في كثير من المواقع على الإنترنت حيث يطلب من الضحية إدخال اسمه وبريد إلكترونه وكلمة السر للبريد الإلكتروني للدخول على حسابه وتقع الضحية في الفخ إذا لم يتأكد من أن عنوان الموقع في تلك الصفحة مختلف عن عنوان الموقع الحقيقي للحساب.

الوقاية

وعن طرق الوقاية من هجمات الهندسة الاجتماعية قال الرائد يحيى الهميمي إن العنصر البشري هو العامل الأهم في أي منظومة أمنية، وهو في الوقت نفسه العامل الأضعف فيها، إذ لا يمكن «برمجته» وضمان عدم ارتكابه للأخطاء. ولكن يمكن تدريبه وتوعيته وضخ حس الأمن المعلوماتي والإلكتروني فيه.

فعلى صعيد الأفراد ومستخدمي الحواسيب وتطبيقات الإنترنت يجب عليهم الحرص على الخصوصية وعدم نشر معلومات شخصية عنهم لأن المهاجم قد يستخدمها لانتحال شخصياتهم، والنظر بعين الحذر إلى كل بريد إلكتروني أو رسالة ما تصل أو تظهر على الحاسب أو التطبيق أو الصفحة التي يتصفحها وتحتوي على ملفات أو روابط مرفقة، وفي حالة اختراق البريد الإلكتروني يجب إبلاغ الأصدقاء بكل صراحة أنك وقعت ضحية لاختراق حسابك كي يكونوا حذرين بدورهم في حال حاول المهاجم انتحال شخصيتك، كما يجب عدم إعطاء كلمة السر للحاسوب أو أي تطبيق لأي شخص حتى من تثق فيه. ولا اسم حسابك وكلمة مروره لأي شخص كان.

وأما أنجع طريقة لحماية المؤسسات والشركات فهي التوعية والتدريب، فتوعية الموظفين بالأساليب التي يمكن أن يستخدمها المهندس الاجتماعي لاستخراج المعلومات منهم، وتنبيههم إلى عدم إعطاء أي كلمة سرٍّ أو معلومة لأي شخص، مهما ادعى علو مرتبته في المؤسسة أو الشركة، إلا بعد التثبت بشكل عملي من هويته، إضافة إلى حثهم على الحذر والتقليل من تداول المعلومات الشخصية في وسائل التواصل الاجتماعي وعدم التعريف بوظائفهم ومراكزهم في تلك المؤسسات في أي موقع أو أمام شخص غير موثوق فيه، كما يمكن السؤال والتقصي عن الشخص الذي يتم توظيفه بشكل دائم أو بعقد مؤقت أو من خلال شركة ثالثه بشكل دقيق، لضمان خلو تاريخه مما يثير الريبة حتى لا يكون مفتاحا لتسهيل وهدفا سهلا للمهندسين الاجتماعيين.

واختتم الرائد يحيى بن عامر الهميمي حديثه قائلا : بالرغم من كل الإجراءات التي يمكن اتباعها لحماية الأمن المعلوماتي فإنه لا توجد هناك حصانة تامة. سيظل المجرمون يبتكرون طرقا جديدة للاختراق، وسيظل الطرف الآخر، يحاول استباق هجماتهم بالتحصين، فالعلاقة بينهما طردية. لكن الوقاية تبقى دائما خير من العلاج وذلك بالوعي المعلوماتي والتدريب والتثقيف الإلكتروني.