Photo by Keith Hompson
هل تذكر قصة حصان طروادة؟ ربما قد قرأتها من قبل في احد المجلات ، او حتى شاهدت فيلما سينمائيا يحكيها ، نعم ، هي تعتبر أشهر قصة تروي خطة مبنية على الهندسة الاجتماعية.
تقول الحكاية أن االاغريق حاصروا طروادة مصرين على غزوها ، ولهذا جمع الملك الاغريقي اجاممنون جيوش جميع الاغريق عند بوابة طروادة الحصينة ، واستمر الحصار سنوات من دون اي امل في الاختراق ، إلى أن جاء داهية عصره أوديسيوس بتلك الفكرة الجهنمية:
امر الجنود فصنعوا حصانا خشبيا عملاقا ليختبيء فيه بعض من جنود النخبة ، وضعوه خلال الليل امام بوابة طروادة الحصينة ، ثم اختبأ باقي الجيش او “المخترقون” خلف الجبل. استيقظ جنود طروادة على منظر عجيب. انسحبت جيوش الاغريق خلال الليل ولم يعد هناك أثر لهم على مد البصر، لا يوجد سوى حصان خشبي عملاق!!
ذهبوا الى الملك ليخبروه بما رأوا ، وبعد تفحص وشك وريبة في أمر هذا الحصان العجيب ، أشار بعض وزراء الملك أنها هدية من الاغريق لملك طروادة العظيم ذو الاسوار المحصنة ، مقدمة من الاغريق كعربون سلام مستقبلي!!اقتنع الملك بالرغم من ريبة البعض الاخر وأمر بادخال الحصان واقامة الاحتفالات بمناسبة انتهاء الحصار والعودة الى الحياة الطبيعية.
وفي الليل ، وبينما الجنود يحتفلون مع عامة الشعب ، خرجت نخبة الأغريق من داخل الحصان لتذبح حرس البوابة ، فاتحة اياها امام جحافل الاغريق التي عادت من مخبأها لتهجم على المدينة محولة اياها الى انقاض ، ولتنتهي الحكاية الشهيرة التي يشكك الكثير من المؤرخين في صحتها .
هذا بالضبط ما سيفعله مخترق حسابات التواصل الاجتماعي في الغالب ، الهندسة الاجتماعية!
تعرف الهندسة الاجتماعية بأنها فن تضليل العقل وايهامه بأمر غير صحيح لكي يسلم طوعا ما يملك.
انس تماما وأخرج من عقلك تلك الصورة السينمائية للمخترق والتي تصورها هوليوودعلى هيئة الشخص الذي يقوم باخراج ويصال لوحة مفاتيح مطوية من جيبه في احد اجهزة الكمبيوتر ثم يخترق حماية الجهاز في ثواني ، ثم حماية الشبكة في ثوان ايضا ، ثم ينطلق لكي يخترق أشهر المصارف والمؤسسات الحكومية كاشفا اسرارها في لحظات. لو أن الأمر سهل هكذا لما بقي على وجه الأرض أسرار ، فطبيعة البشر ميالة إلى المعرفة سواء المشروعة او الغير مشروعة. والواجب ان نحمد الله سبحانه وتعالى على نعمة الستر.
مخترق الحسابات سيقوم بالتالي في اغلب الأحيان:
١. سيحاول مبدئيا تجربة بعض كلمات المرور الشائعة للوصول الى حسابك. لا تتعجب ، انا شخصيا صادفت مستخدمين يستعملون١٢٣٤٥٦٧٨ او qwertyui مثلا ككلمة مرور!!
٢. سيقضي وقتا في دراسة سلوكك على الشبكة ، متصفحا حساباتك لكي يعلم ( اصدقائك ، هواياتك ، افراد عائلتك ، نوع المحتوى الذي تقوم بمشاركته) وهذا الجزء يتم في صمت بحيث لا تشعر ابدا بوجود امر غريب.
٣. سيقضي وقتا ايضا في جمع معلوماتك الالكترونية ( نظام التشغيل الذي تستعمله ، نوع متصفح الويب ، ارقامك الهاتفية ، موقعك الالكتروني ، بريدك الالكتروني ). وهناك برامج على نظام لينكس لهذا الغرض اشهرها يعد برنامج Maltego الذي ربما أقوم بشرحه مستقبلا.
٤. سيقوم بانتحال هوية احد معارفك وارسال رابط لموقع وهمي يقوم فيه بتسجيل معلومات الدخول الخاصة بحسابك ، او رابط لبرنامج خبيث يقوم بتسجيل ضغطاتك على لوحة المفاتيح. وسيستعمل هنا المعلومات التي جمعها عنك ، حيث سيشير الرابط دوما الى موضوع ذو اهتمام.تسمى هذه الطريقة Spear Phishing لأنها تختلف عن طريقة الـ Phishing المعتادة بكونها موجهة الى مستخدم محدد بناء على اهتماماته.هناك عدة برامج على نظام لينكس تتيح استنساخ صفحات الدخول لمواقع معينة لايهامك بأنها الأصلية.
٥. سيقوم بمحاولة الاجابة على اسئلة الحماية لاعادة تعيين كلمة المرور. صادفت اسئلة سهلة جدا مثل: ماهو اسم ولدي؟ اين ولدت؟ من هو صديقي المفضل؟ لاحظ ان الاجوبة تكون غالبا موجودة على حساب التواصل الاجتماعي الخاص بك!! بعض المواقع ضعيفة الحماية بحيث تسمح باعادة تعيين كلمة المرور بعد اجابة السؤال فقط. ابتعد عن هذه المواقع.
٦. في حال وقوع بريدك الالكتروني في يد المخترق ، تنتهي العملية تقريبا. سيعيد تعيين كلمات المرور الخاصة بحساباتك عن طريق اعادة ارسال رابط تجديد كلمة المرور.
نأتي الان الى الجانب الأهم وهو كيفية حماية حسابك من الاختراق السابق ذكره:
١. كلمات مرور قوية !! اجعلها تحتوي على احرف صغيرة وكبيرة وارقام ، ورموز اذا امكن!!
٢.. اجعل قائمة الاصدقاء لديك مخفية اذا امكن ذلك. ولا تجعل حسابك الاجتماعي معروضا للجميع مهددا هويتك بالكشف واجعل الوصول اليه مقصورا على قائمة الاصدقاء.
٣. لا تقدم معلومات حساسة او غير حساسة لأي طرف كان عن طريق البريد الالكتروني او صفحات الدردشة او حتى شخصيا في اغلب الاحيان حال وجود شبهة.
٤. راجع دوما العنوان الذي تقوم بتصفحه في مربع العنوان ولا تكتفي بالضغط على الرابط فقط. حاول تجنب الروابط التي تحتوي على ارقام فقط او التي لا تعمل بتقنية HTTPS المؤمنة.
هنا برنامج يسمى HTTPS Everywhere يقوم باجبار المتصفح على استخدام HTTPS المشفر وتفضيله على HTTP دائما في حال التصفح:
https://www.eff.org/HTTPS-EVERYWHERE
٥. احذر من العناوين التي تم تصغيرها كخدمة bit.ly او goo.gl او الخدمات المشابهة لها ، الحذر لا يعني عدم استخدامها ، هناك عدة خدمات تقوم بالكشف عن محتوى الرابط المصغر واعادته الى صيغته الكاملة مثل:
اما اذا كنت تستعمل الهاتف الجوال للتصفح فيمكنك البحث عن برامج كشف الروابط ، وتأكد من كون البرنامج موقعا للتأكد من موثوقيته.
٦. لا تقم بتثبيت برامج من مصادر غير موثوقة. احيانا يقوم المخترق بتفصيل وتصميم البرنامج وفقا لاهتماماتك لكي يقوم بسرقة معلوماتك الشخصية.
٧. اضبط جميع اجهزتك التي تتصفح الانترنت من خلالها على ايقاف خاصية التحميل الاوتوماتيكي للملفات.
٨. استعمل الدخول بالتحقق الثنائي مع المواقع التي تدعم هذه الخاصية مثل Google و Twitter و Facebook ، هذا يعني انه في حال تسجيل الدخول بكلمة المرور سيقوم الموقع بارسال رمز تحقق الى هاتفك الجوال يجب ادخاله في الموقع للدخول الى حسابك ، والا لن يتم الدخول. تذكر تغيير رقم الهاتف او تعطيل هذه الخاصية في حال السفر وعدم استعمال هاتفك الاصلي.
٩. لا تستعمل كلمة مرور واحدة لكل شيء!! اعلم ان الموضوع صعب ، ولكن هناك برامج مشفرة تستخدم لحفظ كلمات المرور المختلفة يمكنك استخدامها ، ولا مانع من وجود ورقة بجيبك تحتوي على كلمات مرور مرتبة ، وورقة اخرى في المنزل او مكان العمل تحتوي على عناوين الحسابات. قم بتشفير هذه الورقة بطريقتك الخاصة.
١٠. سجل الخروج!! اجعل مهمة اساسية لديك دوما ان تسجل الخروج من الموقع الذي تتصفحه ، كثير من البشر لا يسجلون الخروج ابدا ، حتى من اجهزة عامة!!
أحاول 