الهندسة الاجتماعية.. فن اختراق البشر

أراد أحد الأشخاص عمل برنامج تلفزيوني مع قناة ال BBC حول الهندسة الاجتماعية وأخطارها لتوعية الناس، وذكر لهم أنه سيجعل الأشخاص يقومون بإعطائه بطاقاتهم البنكية بالإضافة إلى الرقم السري، لم يصدق المنتجون في قناة BBC وظنوا أنه مصاب بنوع من الجنون وقاموا بطرده.
غضب صاحبنا وأراد أن يثبت لهم قدرته فجمع ثلاثة من أصحابه لتنفيذ الاختراق وقام باستئجار مصورين، في البداية قام بالبحث عن المكان المناسب والذي يكثر فيه أناس من نوعية معينة، حتى وجد مقهىً مناسباً في لندن، فقام بمراقبة المكان للتأكد من نوعية الزبائن.
في يوم التنفيذ حضر صاحبنا إلى المقهى بعد أن حضرت الضحية المناسبة، قام بطلب القهوة وجلس في طاولة مجاورة لها وأخذ يتصفح الجريدة، في هذه الأثناء ظهر شخص ومعه امرأة وكأنهم سياح (هم في الحقيقة متعاونين مع المخترق) وطلبوا من الضحية تصويرهم بعد أن أعطوها جهاز التصوير(الكاميرا) وابتعدوا قليلا، بعد ذلك قامت الضحية لتقوم بتصويهم. وفي هذه الأثناء قام المخترق بسرقة حقيبتها وإخفائها داخل حقيبته، عادت المرأة إلى طاولتها ولم تجد حقيبتها وأخذت تبحث عنها وهي في هلع، أخذ المخترق ينظر إليها ثم سألها «ماذا هناك؟ هل بالإمكان أن أساعدك؟». فأجابته على الفور أنها تبحث عن الحقيبة وأنها كانت هنا، قام مباشرة من مكانه وكأنه يبحث معها ثم أخذ يسألها ما هي محتويات الحقيبة؟ وهو يزيد من قلقها مع كل كلمة، حتى قالت أنها تحوي بطاقات البنك.
هنا قال لها بنبرة تزيد من القلق «انتبهي يجب أن تقومي بإلغاء البطاقة البنكية الآن وإلا سيقومون باستخدامها وسرقتك ولن يستطيع البنك حمايتك حينها، هذه الكلمات زادت من قلق الضحية وأدخلتها في حالة هلع (وهو المطلوب ليكون تفكيرها مشوشا). سألها «في أي بنك حسابك؟» فأجابت في البنك الفلاني. قال لها «أنا كنت أعمل لديهم ولدي رقم خدمة العملاء» وقام بالاتصال برقم مخزن لديه في الجوال اسم البنك (وفي الحقيقة هو رقم شريكه في الاختراق). كان شريكه يجلس في السيارة، من خلال مسجل السيارة قام بتشغيل أصوات مشابهة لما نسمعه في مراكز الاتصال.
اتصل المخترق بصاحبه وقال له «هذه عميلة وتحتاج إلغاء البطاقة أرجو مساعدتها وقام بإعطاء الهاتف للضحية والتي دخلت مباشرة في حديث مع «موظف خدمة العملاء المزعوم» دون حتى أن تقوم بالتشكيك أو التفكير، مباشرة أخبرته أنه تم سرقة بطاقتها وتريد إلغاءها. فأجابها الموظف (الذي هو بالحقيقة زميل المخترق) أن الموضوع سهل وسيقوم بإعادتها على النظام وعند طلب الإلغاء ستصل رسالة برمز سري على جوالها وبمجرد إدخال الرمز سيتم إلغاء البطاقة.
أخبرته الضحية أن هاتفها مسروق مع البطاقة وأخذت تترجاه أن يجد حلا آخر. قال لها: «بسيطة سيدتي سأسالك بعض الأسئلة لأتأكد من هويتك» وأخذ يسألها عن عنوانها وآخر 5 عمليات ورصيدها.. الخ. كلها معلومات في الأصل أنها سرية. أخيراً قال لها «سيدتي سيتم إلغاء بطاقتك، فقط تبقى خطوة أخيرة، سأقوم الآن بإرجاعك على النظام فقط قومي بإدخال رقمك السري الخاص بالبطاقة وسيتم اعتماد طلبك» قام بتشغيل تسجيل مفبرك وكأنه من البنك وطلب منها التسجيل إدخال رقم البطاقة السري لإتمام العملية. قامت الضحية بإدخال الرقم، وهي في الحقيقة تستخدم جوال المخترق وبالتالي استطاع معرفة وحفظ الرقم السري.
بعد أن أعادت الضحية الجوال للمخترق وقامت بشكره على الوقوف معها وإنقاذها، أصبح المخترق يمتلك بطاقتها ورقمها السري وجميع معلوماتها الخاصة التي يستطيع استخدامها لإجراء أضرار تتعدى فقط سرقة أموالها.
لو تتبعنا القصة سنجد أن المخترق استطاع القيام بكل هذه الاختراقات دون استخدام التقنية ودون وجود فيروسات أو برامج خبيثة، هو فقط قام باستخدام العديد من تقنيات وأساليب الهندسة الاجتماعية، سواء انتحال الشخصية أو تقمص الدور أو تلقين المعلومات أو قراءة الضحية أو اللعب على الأمور النفسية للضحية، ولعل النقطة الأخيرة هي أهم ما نريد الوصول له اليوم، عندما يكون الإنسان في حالات نفسية متطرفة فإن التفكير يكون مشوشا بشكل كبير ولا ينتبه للتفاصيل الصغيرة. إدخال الضحية في حالة الهلع والخوف الشديد جعلها لا تفكر بشكل سليم، ولو تتبعنا جميع الرسائل والوسائل التي تصلنا بشكل مستمر وهدفها محاولة سرقة معلوماتك سنجد أنها دائماً ما تضعك في حالة هلع مثل «سيتم إلغاء حسابك» أو «تم تسجيل الدخول لحسابك من جهاز آخر» أو «اعرف من يراقبك» وغيرها من الأساليب التي تجعلك تقلق ولا تفكر بشكل سليم وكأن الأمر طارئ ويحتاج تدخلا سريعا. أو بعضها تجعلك في حالة فرح شديد مثل «ربحت 200 ألف ريال» أو تم ترشيحك لكذا وكذا» من الرسائل التي تجعلك في حالة فرح شديد فلا تفكر بشكل سليم.
هذا الأسلوب متبع في أغلب هجمات الهندسة الاجتماعية وهو وضع الضحية في حالة نفسية متطرفة وغير مستقرة إما فرحا شديدا أو قلقا شديدا أو حزنا شديدا. ومن الأمور المتبعة في نفس الوقت هو تلقين الضحية معلومات مسبقة بشكل لا يجعل مجالا للشك. على سبيل المثال في القصة أعلاه أخبرها أنه كان يعمل مع البنك الذي تستخدمه وأنه سيقوم بالاتصال بهم ثم أعطاها الهاتف. هو بشكل غير مباشر لقنها أن هذا الشخص الذي تقومين بمحادثته الآن هو ممثل من خدمة العملاء في البنك. ولم تشك هي بالموضوع لسببين رئيسين. الأول أنه زرع في رأسها هذه الفكرة بشكل مسبق من خلال عدة مراحل والثانية أنها كانت في حالة نفسية متطرفة.
ختاماً، لنحمي أنفسنا من هجمات كتلك يجب علينا أولاً: أن نكون دائماً هادئين عند استلام رسالة بأنه سيتم حذف حسابك، واعلم أنه لن يتم حذفه الآن ولا بعد ساعة ولا حتى غدا. فلدينا الوقت الكافي للتفكير بهدوء. وثانياً: حضر نفسك من الآن «في حال حصول الموقف الفلاني ماذا سيكون ردة فعلك؟» فأنت الآن في حالة هدوء وتستطيع التفكير بشكل صحيح، حضر نفسك وفي حال حصول الموقف فأنت لديك خطة جاهزة لتتبعها، بشكل عام لا تتحدى أحداً أبداً ولا تستعرض بمعرفتك القوية بأمن المعلومات واعلم أن كل شخص معرض للاختراق أيا كان، لا تقل أنا لست مهم ولن يخترقني أحد فبعضهم يقوم بالأمر بشكل عشوائي، لا تقم بالإفصاح عن معلوماتك لأي شخص كان حتى لو كنت تثق به فمعلوماتك تخصك أنت وحدك وأنت لست متأكداً إذا كان من يحثك في تطبيقات الهاتف هو فعلاً زميلك أو أن حسابه مخترق.