مهندسی اجتماعی (social engineering)

مهندسی اجتماعی (social engineering)

فهرست مطالب

مهندسی اجتماعی چیست؟

مهندسی اجتماعی (social engineering) یک بردار حمله می‌باشد که شدیدا به ارتباطات انسانی متکی است و اغلب شامل فریب کاربران به شکستن رویه‌های امنیتی جهت نفوذ و به دست آوردن دسترسی غیرمجاز به شبکه و حتی مکان‌های فیزیکی می‌شود. هکر از تکنیک‌های مهندسی اجتماعی استفاده می‌کند تا ضمن پنهان نگه داشتن هویت و انگیزه‌های واقعی، خود را به عنوان یک شخص یا منبع اطلاعاتی مورد اعتماد جا بزند. هدف از این کار، نفوذ در ذهن مخاطب و فریب دادن کاربران به افشای اطلاعات حساس و یا دسترسی به درون سازمان می‌باشد. بسیاری از روش‌های مهندسی اجتماعی بر رفتارهای کاربران متکی است برای مثال: کاربرانی که میخواهند مفید واقع شوند و یا کسانی که از تنبیه هراسانند. هکری خود را به جای همکاری از دپارتمان دیگر جا میزند که مشکلی جدی دارد و نیاز دارد تا به منابع اضافی سازمان دسترسی داشته باشد، معمولا می‌تواند در ذهن قربانی نفوذ کند.

در میان هکرها تکنیک‌های مهندسی اجتماعی بسیار معمول است؛ سوء استفاده از کاربران راحت‌تر از یافتن آسیب پذیری‌های سیستم‌ها می‌باشد. در اولین قدم هکرها سعی می‌کنند با فریب کاربران حمله خود را آغاز کنند و از خود کارمندان سازمان اطلاعات با ارزش را به دست آورند یا در شبکه سازمان بدافزار انتشار دهند.

مهندسی اجتماعی چگونه انجام می‌شود ؟

مرحله اول در انجام حمله، تحقیقات و جمع‌آوری اطلاعات در خصوص هدف می‌باشد، اگر هدف مدنظر یک سازمان باشد هکر به جمع‌آوری اطلاعات اضافی همچون ساختار سازمانی، مسائل داخلی، زبان رایج در گفتگوهای بین همکاران در میان اطلاعات دیگر نیاز خواهد داشت. یکی از تکنیک‌های معمول، تمرکز بروی الگوی رفتار کارمندانی ست که دسترسی پایین اما اولیه را دارند، مثلا نیروهای گارد امنیتی یا مسئولین پذیرش. هکرها می‌توانند با اسکن پروفایل‌های شبکه‌های اجتماعی اطلاعات شخصی، ارتباط اشخاص در فضای مجازی و خصوصیات رفتاری کارمندان مطالعه کنند. با اطلاعات به دست آمده، هکر می‌توانند حمله ای مهندسی شده را طراحی کند و از ضعف‌های رفتاری افراد سوء استفاده کند.

در صورتی که حمله موفقیت آمیز باشد، هکر دسترسی‌های لازم به اطلاعات محرمانه همچون: کدهای امنیتی، شماره کارت‌های اعتباری و اطلاعات حساب را به دست خواهد آورد. این اطلاعات بنابر هدف اصلی حمله کنندگان می‌تواند در حملات بعدی بزرگتر نیز مورد استفاده قرار گیرد و یا در وبسایت‌های غیر قانونی به فروش گذاشته شود.

انواع حملات مهندسی اجتماعی

  • طعمه گذاری: هکر با رها کردن یک دستگاه سخت افزاری (فلش دیسک) آلوده به بدافزار در جایی که یافتن آن محتمل باشد؛ منتظر خواهد ماند تا هدف آن را بردارد و هنگامی که آن را به سیستم خود متصل کند بدافزار بروی سیستم استقرار خواهد یافت. بدافزار نصب شده بروی یک دستگاه می تواند سایر سیستم‌های شبکه را نیز آلوده کند و با جمع‌آوری و مخابره اطلاعات به گروه هکری اطلاعات بسیاری زیادی برای آنها به دست آورد.
  • فیشینگ: phishing یکی از اصلی ترین انواع حملات مهندسی اجتماعی است که معمولا از طریق ارسال ایمیل‌های جعلی، راه اندازی وبسایت‌های مشابه نمونه اصلی و ارسال پیا‌های متنی به اهداف مدنظر انجام می‌گیرد و با فریب کاربران را به ارائه اطلاعات حساس ترغیب می‌کند.
  • زباله گردی: در این روش هکر درون زباله‌های دور ریخته شده سازمان به دنبال کاغذهای یادداشت، تکه‌های کاغذ که شامل رمزهای عبور یا اطلاعات دیگر است می‌گردند که ممکن است در نفوذ به درون سازمان مفید واقع شود. ممکن است کارمندان یک سازمان به دلیل به دقتی و سهل انگاری در امحای کاغذهای یادداشت کوتاهی کنند، که در مواردی باعث ناخواسته اطلاعات خواهد شد.
  • Diversion theft: هکر با فریب پیک یا مسئول تحویل، با دادن آدرس اشتباهی برای دریافت یا تحویل یک محصول روال عادی نقل و انتقالات را مختل کرده و محصول مخرب خود که می‌تواند شامل یک فلش USB آلوده به بدافزار باشد، وارد سازمان می‌کند.
  • ترس افزارها: نوعی از بدافزارها می‌باشند که معمولا در وبگردی با آنها برخورد می‌کنیم؛ با نمایش پیغام‌هایی به قربانی خود در خصوص آلوده شدن سیستم به بدافزارها هشدار می‌دهد. سپس هکر راه حل‌هایی برای برای حل مشکل قربانی از طریق لینک‌هایی که در پیغام ها نمایش داده می‌شود ارائه می‌کند که در واقع بدافزارهایی می‌باشند که قربانی روی سیستم خود نصب می کند.
  • ظرف عسل: در این روش، هکر با ساختن پروفایل‌هایی در شبکه‌های اجتماعی که مطابق سلایق قربانی می‌باشد، توجه قربانی را به خود جلب می‌کند. سپس در بین گفتگوهای آنلاین، مهاجم اطلاعات مورد نظر خود را از قربانی استخراج کرده و از اعتماد ایجاد شده سوء استفاده می‌کند.
مهندسی اجتماعی چگونه انجام می شود؟

نمونه هایی از حملات مهندسی اجتماعی

یکی از معروف ترین این حملات مربوط به جنگ افسانه‌ای تروجان می‌باشد که یونانیان توانستند با مخفی شدن داخل یک اسب بزرگ چوبی که به عنوان یک هدیه صلح آمیز پیشکش شده بود؛ به داخل شهر تروی نفوذ کنند و بعد از پایان جشن پیروزی، به نگهبانان حمله کنند و پیروز جنگ شوند. در واقع پیشکش کردن یک اسب بزرگ چوبی و فریب قربانیان به اینکه این یک هدیه صلح‌آمیز است؛ یکی از تکنیک‌های مهندسی اجتماعی ست.

مورد دیگر شخصی به نام، کوئین میتنیک می‌باشد؛ که “تحت تعقیب ترین هکر دنیا” نام گرفته است. او یکی از کارمندان شرکت موتورلا را متقاعد کرده بود که کد منبع تلفن همراه MicroTAC Ultra Lite را در اختیارش بگذارد. میتنیک 5 سال زندان به دلیل هک سیستم‌های رایانه‌ای را گذراند و هم اکنون نویسنده تعدادی کتاب با موضوعات مهندسی اجتماعی و همچنین مدیرعامل شرکت امنیت سایبری Mitnick  می‌باشد. او در یکی از کتاب‌هایش ادعا کرده که تمامی رمزعبورهایی که در حملاتش به دست آورده با استفاده از روش‌های مهندسی اجتماعی بوده است.

در سال 2011 شرکت رمزنگاری RSA دچار یک افشای اطلاعاتی شد. این حمله توسط دو ایمیل فیشینگ در طی 2 روز انجام شده بود که به گروه کوچکی از کارمندان ارسال شده بود. این ایمیل ها با موضوع “برنامه استخدام سال 2011” و شامل یک فایل اکسل حاوی بدافزار بود. بدافزار از آسیب پذیری Adobe Flash استفاده می‌کرد و با ایجاد یک در پشتی در سیستم به هکر امکان سرقت اطلاعات را می‌داد. متاسفانه جزئیات این حمله هیچگاه منتشر نشد و هنوز مشخص نیست که آیا هکرها اطلاعاتی از سیستم احراز هویت دو-عاملی به دست آورده اند یا نه!

روش‌های جلوگیری از حملات مهندسی اجتماعی

از انجایی که حملات مهندسی اجتماعی بر خطاهای انسانی متکی‌ست؛ جلوگیری از این حملات بسیار چالش برانگیز و دشوار می‌باشد و نیاز به برگزاری جلسات آموزشی و توجیهی برای کارمندان سازمان و اطلاع رسانی های عمومی می‌باشد. در ادامه به تعدادی از این روش ها اشاره خواهیم کرد:

  • به صورت مرتب و بر اساس زمانبندی از اجرای تست نفوذهای مبتنی بر مهندسی اجتماعی در سازمان اطمینان حاصل کنید.
  • از برگزاری جلسات آگاهسازی امنیت سایبری غافل نشوید و به طور مرتب در خصوص خطرات سهل انگاری در موارد سایبری اطلاع رسانی انجام دهید.
  • نسبت به تجهیز سامانه ایمیل سازمانی بعلاوه یک درگاه محافظت ایمیل برای اسکن فایل‌های مخرب و شناسایی ایمیل‌های فیشینگ اقدام کنید.
  • نرم افزارهای امنیت سایبری خود همچون آنتی ویروس‌ها را به‌روز و از کارکرد صحیح آنها اطمینان حاصل کنید.
  • از نصب وصله‌های امنیتی و آپدیت‌های نرم افزاری غافل نشوید.
  • رفتار کارمندانی که دسترسی به اطلاعات حساس دارند را زیر نظر بگیرید.
  • از فعال سازی احراز هویت چند عاملی در سطح سازمان به نحو احسن استفاده کنید.

نتیجه گیری

مهندسی اجتماعی گونه‌ای از حملات می‌باشد که صرفا با تکیه برای مهارت‌های گفتاری و برقراری ارتباط با دیگران قابل انجام است و از خطاها و ناهوشیاری‌های قربانیان سوء استفاده کرده و افراد را تخلیه اطلاعاتی می‌کنند. گروه‌های هکری به طور معمول از تکنیک‌های مهندسی اجتماعی برای استخراج اطلاعات در خصوص سازمان و اشخاص استفاده می‌کنند؛ این تکنیک‌ها می‌تواند منحصر به فرد بوده و مختص قربانی مهندسی شده باشند به طوری که تشخیص آن به شدت دشوار باشد. انسان‌ها به دلایل مختلف ممکن است اطلاعات زیادی را ناخواسته با شخصی که پیش از این او را ندیده‌اند در میان بگذارند؛ لذا اطلاع رسانی‌های عمومی در این خصوص می تواند بسیار مثمر ثمر واقع شود.

0 دیدگاه

دیدگاهتان را بنویسید

Avatar placeholder

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *