قصة : مثال كلاسيكي لإستخدام الهندسة الاجتماعية

هذه القصه حقيقه حدثت في عام 1978 وتعتبر مثال كلاسيكي عن كيفية استخدام الهندسة الاجتماعية.

الشخص الذي في الصورة هو Stanley Mark Rifkin كان يعمل في شركة تقوم بتطوير نظام نسخ احتياطي لبنك Security Pacific National Bank, في عام 1978 كان Rifkin يتجول داخل البنك واثناء تجولة كان يلاحظ طريقة العمل التي يتبعها الموظفين بدقه ويجمع المعلومات. استطاع ان يوصل لغرفه مهمه جدا في البنك والتي يتم فيها جميع التحويلات البنكية تسمى wire transfer room ( في الاغلب قديما كانت تتم يدويا عن طريق الهاتف ). من خلال ملاحظة ودراسة Rifkin لكيفة عمل البنك والسياسة الداخلية للبنك لاحظ ان الاشخاص المخول لهم بعمل التحويلات البنكية يتم اعطائهم اكواد بشكل يومي ليتم استخدامها اثناء الاتصال وطلب تحويل الاموال كنوع من انواع اثبات الشخصية وان الشخص مخول له بالتحويل. موظفين الـ wire transfer room كانوا يتلقون الاكواد بشكل يومي ويكتبوها على ورقه صغيرة ويلصقها امامه في المكتب لكي لا يتكلف عناء حفظ الكود كل يوم. Rifkin ذهب لغرفة التحويلات وقابل الموظفين لكي يسألهم بعض الاسئلة التي تخص تطوير النظام والتاكد بأن النظام يقوم بالعمل المطلوب اثناء التحدث مع الموظفين قام Rifkin بحفظ الكود وانهى الحديث معهم وشكرهم للتعاون معه وخرج من الغرفة. مباشرة توجة Rifkin الى اقرب هاتف عمومي وقام بالاتصال بالبنك على انه احد موظفي قسم التحويلات الدولية. المكالمة كانت كالتالي :

Rifkin : مرحبا , انا Mike Hansen من قسم التحويلات الدولية

موظفة البنك : ماهو رقم المكتب الخاص بك

Rifkin : رقم المكتب الخاص بي هو 286

موظفة البنك : اعطني الكود السري

Rifkin : الرقم هو 4789 ( هذا هو الرقم الذي عرفه اثناء زيارة غرفة التحويلات) ثم بدأ باعطاء التعليمات بتحويل عشرة مليون و مائتين الف دولار لحساب شركة Irving Trust في مدينة New York وحساب البنك في Wozchod Handels bank في سويسرا.

موظفة البنك :  الان اعطني  ألـ interoffice settlement number

هذا لم يتوقعة Rifkin ولم يعرف ماهو هذا الرقم الذي فلت منه اثناء جمع المعلومات وعمل الدراسة للهجوم. ارتبك قليلا ولكن هذا لم يمنعه ان يواصل الهجوم , استعاد ثقته بسرعة ورد عليها Rifkin : دعيني انظر في هذا , سوف اتصل عليك بعد دقيقة .

قام Rifkin بالاتصال الى احد اقسام البنك مره اخرى وقام بالحصول على الكود المطلوب واعاد الاتصال مره اخرى واكمل عملية التحويل. بعد ايام سافر Rifkin الى سويسرا واخذ المبلغ كاش واشترى الالماس من منظمة روسية وعاد الى الولايات المتحدة .

استطاع Rifkin ان ينفذ اكبر عملية سرقة بدون استخدام سلاح او خبرة  تقنية فقط عن طريق جمع المعلومات والهاتف. هذه القصة كلاسيكية ومثال جيد جدا لتوضيح خطورة الهندسة الاجتماعية وعدم وضع سياسة صارمة وتدريب الموظفين . كما ان هناك اخطاء برمجية تسبب في اختراق المنظمات والمؤسسات هناك ايضا اخطاء وثغرات في سياسات الشركات والبروتوكول الاداري والذي يمكن التلاعب به بسهولة عن طريق الموظفين السذج او الغير مدربين لمثل هذا النوع من الهجمات.

لا تهمل العنصر البشري في أختبار الاختراق

عندما تبدا بتعلم اختبار الاختراق خاصة هجمات التي تتطلب تفاعل المستخدم لنجاح الهجوم, سوف يكون كل تركيزك في الجانب العملي والتقني منه محاولا تطبيق او النجاح في تطبيق ما تتعلمه من اساليب الهجوم المختلفه والتي هي في الاساس تعتمد على جانبين اساسيين, الجانب الاول وهو الجانب التقني من الهجوم باستخدام الادوات والثغرات والخبره التقنية الجانب الثاني وهو جعل المستخدم يتفاعل معك للنجاح في الهجوم.

الجانب الاول ياخذ كل تركيز اي متعلم حيث انه يريد ان ينجح فقط في تشغيل الاداة الفلانية او تنفيذ الهجوم الفلاني ويهمل الجانب الثاني تماماً وهذا ما مريت به انا شخصيا كان كل همي هو ان انجح في تعلم الاساليب المختلفه وتطبيقها ولم اهتم ابدا في عملية التفاعل بين المهاجم و المخترق وهذا شكل ضعف في الجانب الثاني وجفاف الافكار التي يمكن توظيفها في خلق سيناريو للهجوم. لا محال بالجد والمثابرة سوف تصل الى مراحل متقدمه في الجانب الأول وهو التقني سوف تقوم بكتابه اكواد واستغلالات متقدمه وكل شي فقط تحلى بالصبر. لا تهمل ابدا الجانب الثاني وهو ان تقرأ عن افكار الخداع المفيده في حالات تقمص الشخصية في الشبكات الاجتماعية او استدراج المستخدم وغيرها من الامور المفيده في الهجمات, تابع المواقع والمدونات التي تتهم بمثل هذا الجانب , اقرا عن الهندسة الاجتماعية بشكل علمي من كتب Paul Ekman وحاول ايضا ان يكون لك افكار ترسمها بسيناريو كامل للهجوم. لا تقلق ابدا من الجانب التقني فسوف تكون خبيرا . خبرة تقنية عاليه لتنفيذ الهجمات دون تفاعل المستخدم معك سوف ينقص من جوده ما تقوم به ولكن هجمات بسيطه مع استغلال واستدراج جيد سوف يعطي نتائج افضل.

هناك الكثير من المصادر مثل بودكاست social engineering  هناك بعض الكتب تجدها في نفس الموقع للبودكاست ايضا لديهم Framework لهجمات الهندسة الاجتماعية اطلع عليه. العالم Paul Ekman لديه العديد من الكتب الي يمكن الاستفادة منها في تحليل سلوك المستخدم.  كتاب الـ the art of deception كتاب جيد يسرد بعض القصص.  كتاب Unmasking the Social Engineer The Human Element of Security تناول مقدمات للجسد وتحليل تصرفات المستخدم. تعلم جمع المعلومات وتسجيلها ولو لأيام او اسابيع حتى تعرف المستخدم بشكل جيد. اذا تم الاهتمام بالعنصر البشري وكيف يفكر والمقدرة على خداعه سوف تنجح عمليات اختبار كبيره بخبره تقنيه متواضعه. لا محال سوف تكون جيد جدا في الجانب التقني اهتم بالعنصر البشري في وقت مبكر لا تنتظر حتى تصبح خبيرا.