جرمين عامر
علبة بيضاء متوسطة الحجم، مغلفة بشريط هدايا، لونه احمر مميز، ومعها ظرف ابيض، مطبوع عليه لوجو شركة "مايكروسوفت" - احد اكبر المؤسسات العالمية والمتخصصة في مجال تكنولوجيا المعلومات.
مكتوب علي الظرف : اسم الشخص, المرسل له الهدية. وعنوان منزله او مكتبه. باللغة الانجليزية, وبحروف بارزة, مستخدمين الوان طباعة فخمه.
الهدية .. فخمة، ومغرية جدا ..
تثير فضول اي شخص.
فما بالك !! بالمرسل له الهدية .. والذي لن يرحمه فضوله من معرفة ما بداخلها.
فيقبل عليها .. بمزيج من الدهشة والفخر والامتنان العميق، لكونه موضع اهتمام هذه الشركة العالمية، يفتح الهدية والخطاب ليجدها هدية قيمة فعلا كما توقع.
فهي USB عليها احدث اصدارات الشركة من برنامج Office 365 ومع اشتراك مجاني.
وفور ادخال USB لجهاز المستخدم, تبدا عملية اختراق فوري.
وهنا تحدث المفاجاة !!
يرن جرس التليفون .. لتفاجا بالقرصان المحتال ..
يبلغك بانك .. اصبحت علي الهوا ..
فكل بياناتك ومعلوماتك الخاصة والعامة ..
يا شاطر اصبحت اسيرة قبضة يده.
وسلملي .. علي شهداء الرقمنة.
بعد ان بلعت الطعم الديجيتال .. واصبحت ضحية علي مسرح الجريمة الالكترونية.
حكاية .. شهيدة الكترونية اخري، راحت ضحية الالاعيب والحيل الخبيثة والمبتكرة للهندسة الاجتماعية من خلال واحد من اشهر مواقع السفر والرحلات.
القصة .. بدات في شمال لندن – من عاصمة الضباب – انجلترا. بينما كانت سيدة انجليزية عجوز تجلس في منزلها تستمتع مثل ابناء جنسيتها الانجليز, بعادة شرب الشاي الخامسة بعد الظهر. وتناول الكيك الانجليزي المشهور.
لتفاجا بشخص غريب، يطرق باب منزلها.
فتفتح له .. لتجد سائح اجنبي وعائلته .. يقولون .. انهم استاجروا هذا المنزل لقضاء اجازتهم في لندن. وان عليها مغادرته وتسليمهم المنزل.
فاعتذرت .. السيدة العجوز بشدة، فهذا منزلها, وغير صحيح علي الاطلاق, انه معروض للاستئجار. ويبدوا ان هناك خطا ما من قبلهم.
عقب يومين .. حدث نفس الشئ. وتكرر عدة مرات. حتي ان السيدة العجوز,شكت ان الامر مرتب. فبدات تبحث لتجد ان منزلها بالفعل معروض للايجار علي موقع booking.com.
وعقب التحريات .. اكتشفت العجوز، انها تعرضت لعملية سرقة معلوماتها الشخصية. وان المحتال قام بعرض منزلها للايجار. وكان ياخذ قيمة الايجار من خلال حساب فتحه باسمها.
وفي عام 2023، نشر موقع مونت كارلو الدولي، تحذير هام للغاية،
لمستخدمي موقع لينكد ان Linkedin الشهير والمتخصص في عالم المحترفين من مختلف قطاعات الاعمال والانشطة، الذين يسعون الي توسيع شبكة معارفهم المهنية. كذلك الباحثين عن فرص للتوظيف.
ينص التحذير علي ان هناك موجة من الاختراقات الواسعة من قبل قراصنة محترفين تخطف حساباتهم علي الموقع وعليهم توخي الحذر.
ولم تكن هذه المرة الاولي التي يتعرض لها موقع linkedin لمثل هذه الاختراقات. ففي عام 2022 وصل عدد من تعرضوا للاحتيال عبر الموقع الي 52% من المتابعين. استهدفت حملة الاختراقات تلك رؤساء الشركات وكبار الموظفين اطلق عليها "اصطياد الحيتان".
حيل، والعيب خبيثة .. يقع فيها الضحية علي مسرح الجريمة الالكترونية, بعد خداعه ومحاصرة عقله ومنعه من التفكير العقلاني, مستغلا المشاعر الإنسانية, ونقاط ضعفه : كالفضول والخوف والتلاعب العاطفي.
فيما يسمي تطبيقات "الهندسة الاجتماعية" Social engineering . والتي يدرس فيها القراصنة والمحتالين اساليب تفكير ضحاهم وتصرفاتهم بدقة, فقوموا بتصميم هجمات الهندسة الاجتماعية ويتمكنوا من الايقاع بضحاياتهم وخداعهم.
وهناك أمثلة عديدة لأساليب الهندسة الاجتماعية في الأمن السيبراني منها:
1- التصيد الاحتيالي (Phishing):
وهي إرسال رسائل بريد إلكتروني أو رسائل نصية مزيفة. تبدو وكأنها من مصدر موثوق (مثل بنك أو شركة) تطلب من المستلم تقديم معلومات سرية مثل كلمات المرور أو أرقام بطاقات الائتمان.
2- التنكر (Pretexting):
إنشاء سيناريو مفبرك للحصول على معلومات من الشخص المستهدف. على سبيل المثال، يمكن أن يتظاهر المهاجم بأنه موظف في شركة ويطلب معلومات سرية.
3- الاصطياد (Baiting):
عن طريق تقديم طعمUSB مجاني أو رابط تحميل يحتوي على برامج ضارة. عندما يستخدم الشخص الطُعم، يتم تثبيت البرامج الضارة على جهازه ليتمكن المحتال من سرقة جميع بياناته الشخصية والعامة.
4- التخويف (Scareware):
استغلال عملية الترهيب وإقناع الضحية بأن جهازه مصاب بفيروسات أو برمجيات ضارة، وبالتالي دفعه لتحميل برامج معينة وغالبًا ما تكون ضارة أو تقديم معلومات شخصية.
5- الاصطياد عن طريق الصوت (Vishing):
الاتصال بالضحية عبر الهاتف. وايهامه ان ممثل عن شركة أو مؤسسة موثوقة للحصول على معلومات حساسة.
ولكن السؤال !! كيف يحمي المستخدم العادي نفسه من حيل الهندسة الاجتماعية؟!!
للاسف الشديد .. لا يوجد مسار حماية لضحايا الهندسة الاجتماعية. لذلك فالتوعية والتدريب المستمر للمستخدمين من افراد وموظفين شركات على كيفية التعرف على محاولات الهندسة الاجتماعية والتعامل معها بحذر, يعد اسلم طريق لتجنب الوقوع ضحية للمحتال الالكتروني.
كذلك ضرورة التأكد من هوية المتصل قبل تقديم أي معلومات حساسة. مع استخدام وسائل الحماية التقنية مثل برامج الحماية من الفيروسات وبرامج مكافحة الخداع التي يمكنها تصفية رسائل البريد الإلكتروني الخبيثة.
ليبرز .. سؤال اخر !! هل هناك القانون المصري يحمي المواطن من الهندسة الاجتماعية؟!!
الاجابة .. للاسف .. القانون المصري لايتضمن "قانون الهندسة الاجتماعية" في نص مستقل. وذلك علي الرغم من ان القوانين المصرية لمكافحة الجرائم الإلكترونية وحماية البيانات الشخصية, تعاقب علي الأفعال المرتبطة بالهندسة الاجتماعية، مثل الاحتيال والسرقة وانتهاك الخصوصية، وتحمي الأفراد من التعرض لهذه الجرائم مثل:
قانون مكافحة جرائم تقنية المعلومات رقم 175 لسنة 2018 : يعرف بـ "قانون مكافحة جرائم الإنترنت", ويهدف إلى حماية البيانات الشخصية والحفاظ على سرية المعلومات. حيث يشتمل علي جانب الهندسة الاجتماعية كممارسات مثل : الاحتيال الإلكتروني، انتحال الشخصية، أو سرقة المعلومات عبر الإنترنت، وكل هذه الجرائم تندرج تحت هذا القانون.
ويفرض هذا القانون عقوبات على أي شخص يقوم بالوصول غير المصرح به إلى نظام معلوماتي أو يحصل على بيانات دون إذن.
قانون حماية البيانات الشخصية رقم 151 لسنة 2020 : ويهدف إلى حماية البيانات الشخصية للأفراد من أي استخدام غير مصرح به أو استغلال غير قانوني. لذلك فيمكن اعتباره انتهاكًا للهندسة الاجتماعية. لهذا فالقانون يفرض على الشركات والمؤسسات إجراءات صارمة لحماية بيانات العملاء.
قانون العقوبات: حيث يحتوي على مواد تجرّم الاحتيال والنصب وانتحال الشخصية. وهي أساليب شائعة في الهندسة الاجتماعية. لذلك يمكن استخدام مواد هذا القانون لملاحقة الذين يستخدمون هذه الأساليب لتحقيق مكاسب غير مشروعة.
هذا ويتم تطبيق هذه القوانين من خلال وزارة الداخلية ونيابة الإنترنت. وفي حالة الابلاغ عن واقعة، يتم التحقيق في الجرائم الإلكترونية وتقديم المتورطين إلى العدالة. وهناك أيضًا حملات توعية مستمرة لتحذير المواطنين من مخاطر الهندسة الاجتماعية وضرورة حماية بياناتهم الشخصية.
بقلم : جرمين عامر – عضو اتحاد الاعلاميين العرب