الإعلام الحربي – وكالات:
الهندسة الإجتماعية هو مصطلح كثر الجدل حوله ، و لم يتفق المختصون بشؤون الحاسوب على مصطلح محدد له ، و لكن يمكن لنا تعريفه بإختصار بأنه مجموعة من الطرق و الأساليب النفسية التي تجعل المهاجم ينجح في الوصول بشكل غير مشروع إلى معلومات لا يحق له الوصول إليها ، و ذلك اعتماداً على أضعف حلقة في السلسلة الأمنية و هي " البشر" .
و بخلاف الشائع ، فالهندسة الإجتماعية يجب أن تكون في قمة أولويات المسؤولين عن أمن المعلومات ، فهناك أسباب عدة لكون هذه العملية أمراً خطيراً أبرزها :
§ أنها وسيلة سهلة نسبياً مقارنة بالوسائل الأخرى ، و لعل هذا يفسر انتشارها الواسع .
§ أن الوقاية من هذه الوسيلة لا تأخذ الحيز الكافي في الغالب لدى المختصين ، بل في الغالب يتم التركيز على الجوانب الفنية للأمن دون الإنتباه إلى خطورة هذا العنصر في تأمين المعلومات .
و بحسب بعض الدراسات ، فإن هجمات الهندسية الإجتماعية يمكن أن تأخذ الطابع التالي :
أولاً/ الطابع الحسي :
حيث يكون التركيز في هذا الطابع على موضع الهجوم و البيئة المحيطة به ، و يشمل ذلك :
§ مكان العمل : يدخل المهاجم المكان متظاهراً بأنه أحد المصرح لهم بالدخول (موظف – عامل نظافة – متعاقد) ، وإذا نجح في الدخول فإنه يمكنه التجول في المكان بحرية جامعاً ما يتوفر من معلومات أو كلمات مرور قد تكون مدونة على أوراق الملاحظات مثلاً .
§ الهاتف: يتم استخدام الهاتف من قبل البعض لمحاولات الإختراق ، خاصة في مراكز الدعم الفني عبر الهاتف ، حيث يتم الإتصال على مراكز الدعم الفني منتحلاً شخصية أحد الزبائن مثلاً ، و بمعرفة بعض المعلومات المسبقة عن زبون معين قد يمكنه اقناع الدعم الفني بهذا الإنتحال بما يمكنه من الحصول على معلومات الزبون السرية و كلمات المرور ، و قد تم استخدام هذا الأسلوب عام 2003 و انتحال شخصية احد مشرفي موقع "الجزيرة نت" حيث انطلت الحيلة على موظفي الشركة الأمريكية المستضيفة للموقع مما أدى لتسليم كلمات المرور الخاصة بالموقع للمهاجم الذي قام بإختراق الموقع .
§ النفايات ! : قد تتعجب من ذلك، و لكن الحقيقة أن النفايات قد تكون مكاناً هاماً لجمع المعلومات فوق ما تتصور ، فمثلاً يمكن أن تجد في النفايات كلمات المرور، و الهيكل التنظيمي للشركة ، و دليل هواتف الشركة ، و أسماء العاملين فيها ، و مواعيد الإجتماعات و فواتير الشراء .. إلخ .. و على سبيل المثال ، لو تم الحصول على التقويم الخاص بالعام الماضي لإحدى الشركات و الذي يحوي مواعيد الإجتماعات و أماكنها و مواضيعها و المشاركين فيها ، فإنه ببساطة من الممكن أن ينتحل شخصية سكرتير مشارك بالإجتماع و الإتصال بأحد الأطراف لطلب نسخة من نتائج الإجتماعات على البريد الإلكتروني ! خاصة و هو يعلم عن الإجتماع معلومات كافية لتوحي بأنه أحد المشاركين فيه ..
§ الإنترنت : حيث غالباً ما يتم إستخدام كلمة مرور موحدة من قبل كثير من المستخدمين لحساباتهم على عدة مواقع ، و لكن ماذا يحدث لو أن المهاجم عرف كلمة المرور بطريقة أو بأخرى ؟ (مثلاً - دعاك لتسجل حساباً على موقع يديره هو؟) إن النتيجة سوف تكون اختراق جميع الحسابات على جميع المواقع !
ثانياً/ الطابع النفسي :
يقوم المهاجم بخلق أجواء نفسية مناسبة لإيهام الضحية بأن المهاجم هو شخص موثوق و ذو صلاحيات كبيرة أو ما يسمى باللهجة العامية (الفهلوة) .
