تعد الهندسة الاجتماعية "Social Engineering" من الأدوات المهمة التي يستخدمها قراصنة الشبكة العنكبوتية (الإنترنت) "Internet Hackers" للحصول على بيانات مهمة من الشخص المستهدف، وذلك للوصول لشبكات المواقع التي تتعامل مع أنظمة الحماية التي يصعب اختراقها.
ربما يكون كثيرون قد سمعوا من قبل بمصطلح الهندسة الاجتماعية، إلا أن معنى هذا المفهوم قد يكون خافيا على البعض الذين ربما يكونون ضحايا لهذه النوعية من القرصنة من دون حتى أن يدركوا هذا الأمر.
ويمكن تعريف عمل المهندس الاجتماعي بأنه الشخص الذي يستخدم مهاراته من أجل التأثير (أو القرصنة) على أحد، ليقوم بإعطائه بيانات مهمة يمتلكها سواء أدرك خطورة هذا الفعل أم لم يدركه.
يستخدم المهندس الاجتماعي لإنجاح مهمته والإيقاع بالشخص (الضحية) العديد من أساليب الخداع المعروفة بالنسبة للقراصنة؛ مثل التصيد "Phishing" وغيرها.
وقد يتم في بعض الأحيان استخدام الهندسة الاجتماعية للحصول على معلومات يراها البعض عديمة القيمة، لكنها قد تصبح في غاية الحساسية عندما تصل ليد القراصنة وربما تمكنهم من اختراق جهاز الشخص المستهدف.
ويتبين من خلال ما سبق بأن الهدف الأساسي للهندسة الاجتماعية هو الحصول على المعلومات من الشخص المطلوب مثلما يحصل فيروس الحاسوب على المعلومات من القرص الصلب للجهاز.
تقوم المؤسسات والمنظمات الكبرى، التي تملك العديد من البيانات المهمة، بإجراء العديد من الاحتياطات لتحصين أجهزتها وشبكات الاتصال الخاصة بها، وذلك من خلال تشفير هذه البيانات واستخدام أحدث برمجيات الأمان والحرص على جعل الدخول على تلك البيانات يتم عن طريق كلمات مرور "Passwords" غاية في التعقيد، الأمر الذي يجعل اختراق كل هذه التحصينات يبدو شبه مستحيل.
لكن يبرز هنا عدد من الأسئلة مثل:
ما الاحتياطات المتخذة لحماية المعلومات التي نمتلكها نحن البشر؟
ما المعلومات الشخصية التي قمنا بذكرها عبر الإنترنت والتي يمكن للمهندس الاجتماعي الاستفادة منها؟
قبل الإجابة عن تلك الأسئلة، علينا أن نتذكر بأن المهندس الاجتماعي لا يسعى فقط وراء المعلومات المهمة والدقيقة بنظرنا، لكنه يحاول الحصول على أي معلومة من الشخص المستهدف مهما كانت بسيطة وتبدو عديمة القيمة مثل:
اسم الزوج/الزوجة.
اسم الابن الأول.
أسماء المدن التي قمنا بزيارتها.
ميزة تلك المعلومات أنها تبدو للوهلة الأولى عديمة القيمة؛ حيث نعطيها لأي شخص من دون تفكير، ولتوضيح كيفية استفادة المهندس الاجتماعي من هذه المعلومات، ستتم الاستعانة بالمواقع الاجتماعية كمثال؛ فمع ازدياد شهرة هذه المواقع كـ"الفيسبوك" و"تويتر" و"ماي سبيس" وغيرها، والتي تسهل من عملية التواصل بين الناس، لم يعد مستغربا أن نجد بأن العديد من المستخدمين يمتلكون حسابا في أكثر من موقع من تلك المواقع الاجتماعية.
وقد اعتاد مستخدمو هذه المواقع على القيام بتضمينها بعضا من بياناتهم الشخصية كصورهم وهواياتهم ونشاطاتهم الحالية، معتقدين بعدم أهمية مثل هذه المعلومات، لكن وقوعها بيد المهندس الاجتماعي قد يكون ضارا بالفعل. فمن المعلوم لمستخدمي هذه المواقع أن بعضها يقوم بطرح سؤال سرّي يعده المستخدم عند إنشائه حسابا جديدا في أحدها، ويتم اللجوء له في حال نسي المستخدم كلمة المرور الخاصة به، وذلك للتحقق من أنه بالفعل صاحب هذا الحساب، وفي حال تمكن المستخدم من الإجابة عن السؤال السرّي، فإنه يتم إرسال كلمة المرور الخاصة به على بريده الإلكتروني.
وفي الوقت الذي تتميز فيه الأسئلة السرية بالبساطة، إلا أن الإجابة عنها من قبل بعض المتلصصين قد تكون في غاية الصعوبة، وهنا تبرز مهمة المهندس الاجتماعي الذي يقوم بالبحث عن تلك الإجابة عن طريق ملاحظة كل ما يكتبه الشخص المستهدف، فمثلا لو كان السؤال ما هو تاريخ ميلاد والدك؟ فقد يضيف المستخدم خبرا صغيرا لحساب تويتر الخاص به يذكر فيه أنه احتفل مع عائلته أمس بعيد ميلاد والده. أو قد يكون السؤال ما هو اسم عائلة والدتك؟ وقد تكون والدة هذا المستخدم باسمها الكامل والتعريف بأنها والدته ضمن قائمة أصدقائه في حساب الفيسبوك الخاص به.
وللحد، قدر الإمكان، من خطورة الهندسة الاجتماعية، ينبغي علينا عند إنشاء حساب جديد في أحد المواقع الاجتماعية القيام بما يلي:
قم باستعراض خيارات الأمان التي يتيحها الموقع واسأل نفسك: هل حقا يمكنني نشر هذه المعلومات عن نفسي ومشاركة الجميع بها؟
انتبه لاختيارك لصيغة السؤال السري واحرص على أن تكون أنت الوحيد الذي يعرف إجابته.
لا تقم بقبول رغبات الأشخاص الذين يريدون الانضمام لقائمة الأصدقاء الخاصة بك من دون مراجعتها أولا.
ويبدو أن ما قاله كيفين ميتنيك، أحد أشهر قراصنة الحاسوب، بأنه مهما أنفقنا من مال لاقتناء أحدث وسائل الأمان التكنولوجية لأجهزة الحاسوب وشبكات الاتصال، تبقى هذه الأجهزة والشبكات حساسة لطرق الاختراق البسيطة.