يقول قائل و هو يشرح رحلته المليئة بالمعرفة في " لاس فيغاس " :
لقد ذهبت الى " لاس فيغاس " في الولايات المتحدة الأمريكية الى مؤتمر DefCon، يُعتبر مؤتمر DefCon واحد من أقوى التجمعات و المؤتمرات الخاص بالهاكرز و المخترقين حول العالم، فإن تركت البلوتوث مفتوحا في هاتفك، فقد تجد بياناتك الشخصية معروضة للبيع بعد 5 دقائق من ولوجك للمؤتمر، إنه أخطر مؤتمر للإختراق و المخترقين، رغم ذلك يوجد هنا أيضا مخترقي العقل، فإختراق العقل لا يتطلب كود برمجي.
قررت ان أتوجه الى جناح أصحاب الهندسة الإجتماعية او الـ Social Engineering و أطلب منهم عرضا لكم و لي لأرى قدرات العقل الهائلة في إختراق عقول أخرى، فقررت إحدى المقدمات التطوع لعرض لا مثيل له، فقد جهزت حاسوبا و هاتفا امامها، و أخبرتني انها ستتصل بمزود خدمة الإتصال لدي و ستقوم بجعلهم يوفرون لي برديك الإلكتروني ( الذي من المفترض الا يقدموه لأي شخص كان ) .
إستطاعت المخترقة هنا ان تصل الى معلومات حساسة جدا دون الحاجة لأي أدوات سوى هاتف و إنترنت، إنتحلت المخترقة زوجة الضحية و إستطاعت التلاعب تقنيا بعقل المتصل و إقناعه بطريقة معينة و بمسار معين و هيكلة معينة كذلك أنها زوجة صاحب الحساب و أنها تحتاج الى الولوج على عجالة، بل إستطاع المتصل ان يتعاطف مع المخترقة و تمكينها من الوصول لمعلومات حساسة، بل حتى انه ادرجها ضمن قائمة المقربين و تستطيع التحكم الكامل في الحساب ... إن كان هناك أي إبداع لإختراق العقل البشري، فهو أمامك !
الهندسة الإجتماعية ببساطة هي جعل أي شخص يقوم بأي شيئ تريده او يقوم بتوفير أي نوع من المعلومات التي تريدها دون الحاجة بإستخدام فقط بعض التقنيات التكنولوجية مثل الحاسوب او الإنترنت ثم تنظيم أفكارك و قراءة ردة فعل الضحية و التعامل معها بطريقة إحترافية الى حين كسب ثقته الكاملة و توفير كل المعلومات التي تحتاجه من معلومات او بيانات مثل معلومات الولوج لحسابات شخصية او غيرها من البيانات.
تستخدم الهندسة الإجتماعية بشكل كبير رقميا، إذ يجلس خلف الشاشة شخص معين قد جهز نفسه جيدا من أجلك، و لا يمكننا ان نقول ان استخدامها ضعيف في العالم الحي، بل شائع كذلك، إذ يستطيع ممارس الهندسة الإجتماعية أخذ اي نوع من البيانات بطيب خاطر للضحية.
من Maltego سننتقل مباشرة لأداة SE Toolkit الموجودة كذلك في العديد من أنظمة الإختراق المعروفة، تسمح لك أداة SE Toolkit بصناعة العديد من الصفحات و الأرقام و غيرها من الأدوات الوهمية، فمثلا تستطيع من خلالها صناعة صفحة فيسبوك تتضمن صورة مثلا و عليها تعليقات وهمية من إستخراج رابط لها، يمكنك إرسالها للضحية للإطلاع عليها، اي شيئ سيدخله في تلك الصفحة مثل تعليق او ربما كلمة سر و غيرها ستتوصل بها، نعم يستخدم البعض هذه الطريقة لإختراق حسابات فسيبوك، يبقى الفرق هنا في قدراتك في إقناعه للولوج للصفحة و كتابة كلمة السر حقا.
يمكن إستخدام أدوات حية او فيزيائية كذلك في عمليات الهندسة الإجتماعية، مثل إستخدام كاميرات المراقبة من أجل تسجيل مقطع معين و تأويله حسب ما تريده أنت، اي ان تخبره ان هذا المقطع تم في الفلان الفلاني و هكذا كوسيلة لإقناع الضحية، أو إستخدام بعض برمجيات الهاتف مثل Caller ID Spoofing مثل الذي استخدمته المخترقة السابقة من أجل إجراء إتصال برقم هاتف الضحية مثلا او اي رقم هاتف آخر .
يُمسك دايفيد حاسوبك ثم يستخدم برمجية معينة من أجل الحصول على رقم هاتف احد العملاء في الشركة ثم يقوم بإستخدام Caller ID Spoofing هو الآخر من أجل الإتصال برقم يشبه احد العاملين في الشركة، فيتصل بمكتب التقنية او الـ IT و يُخبرهم ان حاسوبه لا يستطيع الولوج إلى المواقع الضرورية بالنسبة له فأن استطاع المساعد تقديم الإفادة من أجله، يدرف " دايفيد " بعض العبارات في إتصاله مثل " اسف، اعتذر اعلم انني اخرق في مجال الكمبيوتر فرجاءََ ان استطعت مساعدتي "، يخبره المساعد ان يمده برابط الموقع الذي يريد الولوج إليه، يوفره له دايفيد ثم يلج إليه المساعد، ينقر بعدها على زر وسط الموقع، زر او رابط قد برمجه " دايفيد " مسبقا من أجل التحكم الكامل في حاسوب كل من ينقر عليه، و بذلك فقد إستطاع " دايفيد " الحصول على صلاحيات الولوج لحاسوب المساعد، الذي بدوره يملك صلاحيات الولوج لخوادم الشركة و كل متعلقاتها.
إختراق للعقل + تهكير للحواسيب = إختراقات كبرى !
يمكنك ان تلاحظ ان أهم شيئ في الهندسة الإجتماعية هذ الذكاء الإجتماعي، إذ توجب عليك أن تكون إجتماعيا و قادرا على التحدث بأي نمطية كيفما كانت، تستطيع إتخاذ اي شخصية و أي وضعية، فإن اخبروك ان تكون مرتبكا في حديثك عليك ان تكون كذلك، إن توجي عليك ان تكون صارما في حديثك و شخصيتك عليك ان تكون كذلك، من أجل إقناع أي شخص تتحدث معه بإخضاعه لأي شيئ تريد و يوفر لك أي شيئ تريده كذلك.
هذا الإختراق غير طبيعي إطلاقا، قد يسميه البعض مجرد " مقلب " لكننا نعتقد انه حقا حقا إختراق للعقل البشري بإستخدام تقنيات الـ Social Engineering .
قام كل من Vovan و Lexus و هما مؤديا مقالب روسيين او Pranksters بالقيام بواحدة من أكثر المقالب إحراجا، إذ قاما بالإتصال بسفيرة الولايات المتحدة الأمريكية " نيكي هايلي " و التي تشغل منصبا كذلك في الأمم المتحدة ( و إن كنت متابعا للأخبار فقد إستقالت هذا الشهر من هذا المنصب أيضا )، و قد إدعى احدهما انه الوزير البولندي، و أخذ في الحديث مع " نيكي " لما يقارب الـ 20 دقيقة بعد ان حصل على رقم هاتفها و إتصل بها بشكل مخادع.
حتى الآن كل شيئ لا بأس به و لا خطورة في الأمر، لكن الأسوأ انه اثناء الحديث إستطاع ان يستخرج بعض المعلومات السرية حول بولندا كذلك و دعمهم لمشروع ضد روسيا لصالح بعض الدول المجاورة أيضا و توضيح معارضتها لروسيا و العديد من الأكاذيب الديبلوماسية التي تظهر بها علنا و كشفت حقيقتها سرا في هذا الإتصال المخادع.
كان و لازال هذا واحدا من أفضل مقالب خداع العقل البشري و الهندسة الإجتماعية التي يمكنك ان تشاهدها يوما !
قد يعتبر البعض هذه الحالة هي حالة إقناع او تسويق ذكي، لكننا نراها حالة إختراق للعقل البشري و حالة هندسة إجتماعية تلقائية و فذة و حية.
" ديدييه " و هو صاحب محل في بلجيكا يفتح ليل نهار بدون توقف، جائه في احد الأيام 6 أشخاص مسلحين يريدون سرقة محله التجاري على الساعة 3 فجرا، أخبرهم صاحب المحل انهم يركتبون خطأ كبيرا، قائلا ان المحل الآن على الساعة الـ 3 فجرا لا يملك الكثير من الزبائن، اي انك ان قمت بسرقتي الآن لن تحصل سوى على 1000 يورو، عد على الساعة السادسة و النصف، ستجد ان الخزينة ممتلئة قليلا و حينها تستطيع اخذ الكثير من الأموال في عملية سطو ناجحة. وافق الأشخاص على ذلك و أخبروه انهم سيعودون على الساعة الـ 6 و النصف لسرقة المحل.
قد تعتقد أن الأمر حتى الآن مضحك و غريب، لكن إنتظر سيزداد غرابة، فقد عاد اللصوص على الساعة الـ 5 و النصف ليقومو بعملية السطو على المحل، أخبرهم صاحب المحل : يا أصدقاء، أشترو ساعة من فضلكم، اخبرتكم الساعة الـ 6 و النصف و ليس الـ 5 و النصف، اخرجو الآن و عودو بعد ساعة. غادر اللصوص حقا ومعتذرين عن إلتباسهم في الوقت.
إتصل بعدها صاحب المحل بالشرطة و شرح لهم الأمر، ليتخفو داخل المحل منتظرين اللصوص للعودة، اثناء عودتهم قامو بالقبض عليهم .
قال صاحب المحل أنه إستخدم وسائل إقناع، لكنه حقا إستخدام وسائل هندسة إجتماعية، فقد إستطاع إستغلال إرتباك اللصوص و صاحب عقلهم و تقمص شخص مساعد لهم في عملية السطو و سيكون رفيقا جيدا لهم في عمليتهم، و إستطاع كسب ثقتهم ثم خداعهم في الأخير .
أو اليس إختراق العقول من الإختراقات القوية في هذا العالم ؟ انها الهندسة الإجتماعية، لا تتطلب منك معرفة بالأكواد او الحواسيب، كل ما تحتاج إليه بعض المهارة الإجتماعية و أنت على إستعداد لإختراق العالم !
شاركنا آرائك و تجاربك حول الهندسة الإجتماعية و كل متعلقاتها في التعليقات أيضا .
الهندسة الإجتماعية : فن إختراق العقل !
لا تحتاج الى تعلم التكويد او البرمجة او لغة البايثون لتحترف او على الأقل لتفهم و تمارس الهندسة الإجتماعية، فالهندسة الإجتماعية تلعب على شطرين رئيسين : معرفة كم جيد من المعلومات حول الضحية التي تنوي إختراقها، ثم معرفة كيفية التلاعب بها و تنظيمها بطريقة غير مثيرة للريبة.الهندسة الإجتماعية ببساطة هي جعل أي شخص يقوم بأي شيئ تريده او يقوم بتوفير أي نوع من المعلومات التي تريدها دون الحاجة بإستخدام فقط بعض التقنيات التكنولوجية مثل الحاسوب او الإنترنت ثم تنظيم أفكارك و قراءة ردة فعل الضحية و التعامل معها بطريقة إحترافية الى حين كسب ثقته الكاملة و توفير كل المعلومات التي تحتاجه من معلومات او بيانات مثل معلومات الولوج لحسابات شخصية او غيرها من البيانات.
تستخدم الهندسة الإجتماعية بشكل كبير رقميا، إذ يجلس خلف الشاشة شخص معين قد جهز نفسه جيدا من أجلك، و لا يمكننا ان نقول ان استخدامها ضعيف في العالم الحي، بل شائع كذلك، إذ يستطيع ممارس الهندسة الإجتماعية أخذ اي نوع من البيانات بطيب خاطر للضحية.
الأدوات المستخدمة في الهندسة الإجتماعية :
سأذكر هنا ان الأداة الأساسية في عملية الهندسة الإجتماعية بعد القدرات العقلية على التلاعب بالطبع هي أداة Maltego، وفرنا شرحا وافيا لأداة Maltego في أكثر من مناسبة، منها مقالنا حول أفضل ادوات إختراق للويندوز، او أقوى ادوات نظام Kali Linux، تسمح لك أداة Maltego بتجميع كل أنواع المعلومات و البيانات حول ضحية معينة، ثم تقوم بالربط بين كل هذه المعلومات من أجل إستخراج بيانات محددة، فمن خلال تجميع العديد من المعلومات حول الضحية، و إن اردت ممارسة الهندسة الإجتماعية توجب عليك فعل ذلك بالتأكيد، ثم تنظيم هذه المعلومات حسب نظام معين، حتى ان الأداة قد توفر لك بعض الإقتراحات مثلا لكلمات سر من خلال تلك المعلومات قد يستخدمها الضحية في احد حساباته، او إستخراج معطيات أخرى إنطلاقا من المعطيات الموجودة.من Maltego سننتقل مباشرة لأداة SE Toolkit الموجودة كذلك في العديد من أنظمة الإختراق المعروفة، تسمح لك أداة SE Toolkit بصناعة العديد من الصفحات و الأرقام و غيرها من الأدوات الوهمية، فمثلا تستطيع من خلالها صناعة صفحة فيسبوك تتضمن صورة مثلا و عليها تعليقات وهمية من إستخراج رابط لها، يمكنك إرسالها للضحية للإطلاع عليها، اي شيئ سيدخله في تلك الصفحة مثل تعليق او ربما كلمة سر و غيرها ستتوصل بها، نعم يستخدم البعض هذه الطريقة لإختراق حسابات فسيبوك، يبقى الفرق هنا في قدراتك في إقناعه للولوج للصفحة و كتابة كلمة السر حقا.
يمكن إستخدام أدوات حية او فيزيائية كذلك في عمليات الهندسة الإجتماعية، مثل إستخدام كاميرات المراقبة من أجل تسجيل مقطع معين و تأويله حسب ما تريده أنت، اي ان تخبره ان هذا المقطع تم في الفلان الفلاني و هكذا كوسيلة لإقناع الضحية، أو إستخدام بعض برمجيات الهاتف مثل Caller ID Spoofing مثل الذي استخدمته المخترقة السابقة من أجل إجراء إتصال برقم هاتف الضحية مثلا او اي رقم هاتف آخر .
إختراق شركة كاملة بنقرة زر واحدة ... و بعض الهندسة الإجتماعية كذلك !
" دايفيد " هو مختص في مجال الإختراق، ليس إختراق الحواسيب فقط، بل إختراق العقول أيضا، تريد شركة X إستخدام " دايفيد " من أجل الولوج و الحصول على بعض البيانات الخاصة بالعملاء في الشركة لأغراض محددة.يُمسك دايفيد حاسوبك ثم يستخدم برمجية معينة من أجل الحصول على رقم هاتف احد العملاء في الشركة ثم يقوم بإستخدام Caller ID Spoofing هو الآخر من أجل الإتصال برقم يشبه احد العاملين في الشركة، فيتصل بمكتب التقنية او الـ IT و يُخبرهم ان حاسوبه لا يستطيع الولوج إلى المواقع الضرورية بالنسبة له فأن استطاع المساعد تقديم الإفادة من أجله، يدرف " دايفيد " بعض العبارات في إتصاله مثل " اسف، اعتذر اعلم انني اخرق في مجال الكمبيوتر فرجاءََ ان استطعت مساعدتي "، يخبره المساعد ان يمده برابط الموقع الذي يريد الولوج إليه، يوفره له دايفيد ثم يلج إليه المساعد، ينقر بعدها على زر وسط الموقع، زر او رابط قد برمجه " دايفيد " مسبقا من أجل التحكم الكامل في حاسوب كل من ينقر عليه، و بذلك فقد إستطاع " دايفيد " الحصول على صلاحيات الولوج لحاسوب المساعد، الذي بدوره يملك صلاحيات الولوج لخوادم الشركة و كل متعلقاتها.
إختراق للعقل + تهكير للحواسيب = إختراقات كبرى !
يمكنك ان تلاحظ ان أهم شيئ في الهندسة الإجتماعية هذ الذكاء الإجتماعي، إذ توجب عليك أن تكون إجتماعيا و قادرا على التحدث بأي نمطية كيفما كانت، تستطيع إتخاذ اي شخصية و أي وضعية، فإن اخبروك ان تكون مرتبكا في حديثك عليك ان تكون كذلك، إن توجي عليك ان تكون صارما في حديثك و شخصيتك عليك ان تكون كذلك، من أجل إقناع أي شخص تتحدث معه بإخضاعه لأي شيئ تريد و يوفر لك أي شيئ تريده كذلك.
- إختراق عقل عالي المستوى ... حين تستطيع الولوج لسفراء الدول من خلال الهاتف فقط :
هذا الإختراق غير طبيعي إطلاقا، قد يسميه البعض مجرد " مقلب " لكننا نعتقد انه حقا حقا إختراق للعقل البشري بإستخدام تقنيات الـ Social Engineering .
قام كل من Vovan و Lexus و هما مؤديا مقالب روسيين او Pranksters بالقيام بواحدة من أكثر المقالب إحراجا، إذ قاما بالإتصال بسفيرة الولايات المتحدة الأمريكية " نيكي هايلي " و التي تشغل منصبا كذلك في الأمم المتحدة ( و إن كنت متابعا للأخبار فقد إستقالت هذا الشهر من هذا المنصب أيضا )، و قد إدعى احدهما انه الوزير البولندي، و أخذ في الحديث مع " نيكي " لما يقارب الـ 20 دقيقة بعد ان حصل على رقم هاتفها و إتصل بها بشكل مخادع.
حتى الآن كل شيئ لا بأس به و لا خطورة في الأمر، لكن الأسوأ انه اثناء الحديث إستطاع ان يستخرج بعض المعلومات السرية حول بولندا كذلك و دعمهم لمشروع ضد روسيا لصالح بعض الدول المجاورة أيضا و توضيح معارضتها لروسيا و العديد من الأكاذيب الديبلوماسية التي تظهر بها علنا و كشفت حقيقتها سرا في هذا الإتصال المخادع.
كان و لازال هذا واحدا من أفضل مقالب خداع العقل البشري و الهندسة الإجتماعية التي يمكنك ان تشاهدها يوما !
- إختراق للعقل البشري وجها لوجه ... حالة أقرب :
قد يعتبر البعض هذه الحالة هي حالة إقناع او تسويق ذكي، لكننا نراها حالة إختراق للعقل البشري و حالة هندسة إجتماعية تلقائية و فذة و حية.
" ديدييه " و هو صاحب محل في بلجيكا يفتح ليل نهار بدون توقف، جائه في احد الأيام 6 أشخاص مسلحين يريدون سرقة محله التجاري على الساعة 3 فجرا، أخبرهم صاحب المحل انهم يركتبون خطأ كبيرا، قائلا ان المحل الآن على الساعة الـ 3 فجرا لا يملك الكثير من الزبائن، اي انك ان قمت بسرقتي الآن لن تحصل سوى على 1000 يورو، عد على الساعة السادسة و النصف، ستجد ان الخزينة ممتلئة قليلا و حينها تستطيع اخذ الكثير من الأموال في عملية سطو ناجحة. وافق الأشخاص على ذلك و أخبروه انهم سيعودون على الساعة الـ 6 و النصف لسرقة المحل.
قد تعتقد أن الأمر حتى الآن مضحك و غريب، لكن إنتظر سيزداد غرابة، فقد عاد اللصوص على الساعة الـ 5 و النصف ليقومو بعملية السطو على المحل، أخبرهم صاحب المحل : يا أصدقاء، أشترو ساعة من فضلكم، اخبرتكم الساعة الـ 6 و النصف و ليس الـ 5 و النصف، اخرجو الآن و عودو بعد ساعة. غادر اللصوص حقا ومعتذرين عن إلتباسهم في الوقت.
إتصل بعدها صاحب المحل بالشرطة و شرح لهم الأمر، ليتخفو داخل المحل منتظرين اللصوص للعودة، اثناء عودتهم قامو بالقبض عليهم .
قال صاحب المحل أنه إستخدم وسائل إقناع، لكنه حقا إستخدام وسائل هندسة إجتماعية، فقد إستطاع إستغلال إرتباك اللصوص و صاحب عقلهم و تقمص شخص مساعد لهم في عملية السطو و سيكون رفيقا جيدا لهم في عمليتهم، و إستطاع كسب ثقتهم ثم خداعهم في الأخير .
أو اليس إختراق العقول من الإختراقات القوية في هذا العالم ؟ انها الهندسة الإجتماعية، لا تتطلب منك معرفة بالأكواد او الحواسيب، كل ما تحتاج إليه بعض المهارة الإجتماعية و أنت على إستعداد لإختراق العالم !
شاركنا آرائك و تجاربك حول الهندسة الإجتماعية و كل متعلقاتها في التعليقات أيضا .