با مهندسی اجتماعی آشنا شوید !

با مهندسی اجتماعی آشنا شوید !

آیا تا به حال واژه مهندسی اجتماعی به گوش شما خورده است ؟ آیا میدانستید یکی از راهکاری هایی که اطلاعات شما مورد سو استفاده واقع میشود از طریق مهندسی اجتماعی است ؟در این مقاله با معرفی مختصر مهندسی اجتماعی در خدمت شما هستیم.

 در ابندا کمی با تعریف واژه مهندسی اجتماعی آشنا میشویم ،مهندسی اجتماعی هنر بهره برداری از رفتارهای آسیب پذیر انسان‌ها برای ایجاد شکاف امنیتی بدون هیچ ظن و گمانی از سوی قربانی است.

در راهنمای مطالعه CISSP، مهندسی اجتماعی به این صورت تعریف شده‌است: «مهارتی است که به وسیله شخصی مجهول، برای بدست آوردن اعتماد افراد درون سازمان و تشویق آنها برای ایجاد تغییرات دلخواه در سیستم‌های IT و در جهت دستیابی به حق دسترسی استفاده می‌شود.» در نسخه انگلسیی ویکی‌پدیا، مهندسی اجتماعی به این صورت تعریف شده‌است: :«مهندسی اجتماعی، تکنیک بدست آوردن اطلاعات محرمانه به وسیله تحریک کاربران مجازاست.»

کوین میتنیک(Kevin Mitnick) یکی از معروف‌ترین هکرهایی است که دلیل موفقیتش، استفاده از تکنیک‌های مهندسی اجتماعی بوده. وی کتابی را پس از آزادی از زندان درباره مهندسی اجتماعی تحت عنوان«هنر فریفتن» تالیف کرده که تعریف زیر از کتاب وی آورده شده‌است:

«مهندس اجتماعی انسانها را با روش‌های مختلف فریب داده و با متقاعد کردنشان از آنها برای دستیابی به اطلاعات، سوء استفاده می‌کند»

«مهندسی اجتماعی سوء استفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است، که به کمک مجموعه‌ای از تکنیک‌ها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد می‌کند.»

 

 

حمله‌های مهندسی اجتماعی از سه ناحیه سرچشمه می‌گیرند :

 

داخلی : اکثر تهدیدهای داخلی از سمت کارکنانی صورت می‌گیرد که می‌توانند به شخصه یا با استفاده از کارکنانی که به سیستم‌های IT سازمان دسترسی دارند، به جمع آوری اطلاعات حساس و مهم بپردازند. این افراد کارکنانی هستند که در سازمان از سطح محدودی از اعتماد برخوردارند و این موضوع امکان حمله را برای آنها ساده کرده‌است. این دسته شامل، کارکنان ناراضی، موقتی و کارگران، از قبیل مسئولین نظافت و پرسنل تعمیرات می‌باشند.

 

اشخاص مورد اعتماد : اینگونه تهدیدها از سمت اشخاصی است که با سازمان در یکسری از بنیان‌های قانونی و رسمی مرتبط می‌باشند. این افراد شامل پیمانکارها، مشاورین و شرکای سازمان هستند. اغلب، این اشخاص دارای سطح بالایی از اعتماد سازمان می‌باشند و بنابراین به داده‌های حساس و مهم سیستم‌های سازمان دسترسی دارند. با این حال، این قبیل مخاطرات پنهانی به ندرت در برنامه‌های امنیتی سازمان‌ها در نظر گرفته می‌شوند.

 

خارجی : این تهدیدها، از سمت انسان‌هایی است که هیچگونه ارتباطی با سازمان ندارند. این مجموعه شامل هکرها، رقبایی که در پی آشکارکردن اطلاعات محرمانه سازمان هستند و یا بزه کاران و دزدان می‌باشد. هیچ سطح اعتمادی بین این افراد و سازمان وجود ندارد، بنابراین آنها به دنبال ایجاد اعتماد کوتاه مدت با استفاده از تکنیک‌های مختلف مهندسی اجتماعی هستند مانند بازی کردن نقش فردی مختار درون سازمان مثل مدیر IT، تکنسین تعمیرات، کارمند درمانده و غیره.

 

 

 

تکنیک های مهندسی اجتماعی :

 

   تکنیک‌های مبتنی بر کامپیوتر

 پنجره‌های Pop-Up

 پیوست نامه‌های الکترونیکی

 هرزنامه‌های زنجیره‌ای و فریب آمیز

 وب‌گاه‌ها

 بازیابی و تجزیه و تحلیل ابزارهای مستعمل

 Phishing

 

تکنیک‌های مبتنی بر انسان

 رویکرد مستقیم

 جستجو در زباله‌ها

 جعل هویت

 سوءاستفاده از کاربران مهم

 کارکنان پشتیبان فنی

 کاربر درمانده

 Shoulder Surfing

 شایعه پراکنی

 جاسوسی و استراق سمع

 

سارا گارتنر در مقاله‌ای راجع به روش‌های دفاع در مقابل حملات مهندسی اجتماعی، اذعان کرد هر جرمی دارای الگوی متداولی می‌باشد. برای مهندسی اجتماعی نیز الگویی وجود دارد، که قابل تشخیص و قابل جلوگیری می‌باشد. این الگو را به صورت چرخه‌ای در شکل نشان داده شده‌است. این چرخه شامل چهار مرحله، جمع آوری اطلاعات، برقراری ارتباطات بهره کشی و عمل و اجرا است، که مانند تکه‌های پازل به هم مرتبط و وابسته‌اند.

 

جمع آوری اطلاعات : مجموعه‌ای از تکنیک‌های مختلف، که توسط مهاجم برای جمع آوری اطلاعات درباره هدف، مورد استفاده قرار می‌گیرد. مهاجم با استفاده از این تکنیک‌ها به جمع آوری اطلاعات ساده اما مفیدی مانند لیست شماره تلفن‌ها، تاریخ تولد، نمودار سازمانی و... می‌پردازد، تا با استفاده از آنها به اطلاعات کلیدی و مورد هدف دست یابد.

 

برقراری ارتباطات : مهاجم در این مرحله از رضایت و میل شخص قربانی برای ایجاد اعتماد، در جهت برقرای ارتباط، سوء استفاده می‌کند. پس از برقراری ارتباط مهاجم خود را در موقعیت اعتماد قرار می‌دهد، تا بتواند از این موقعیت بهره برداری کند.

 

بهره کشی : قربانی در این مرحله تحت تاثیر اعتماد فرد مهاجم در جهت آشکار کردن اطلاعاتی چون پسورد یا انجام کارهایی که در حالت طبیعی انجام نمی‌داده، مانند ساختن شناسه کاربری برای فرد مهاجم و...، قرار می‌گیرد

 

عمل و اجرا : زمانی که هدف، عمل خواسته شده از سمت مهاجم را انجام داد، چرخه پایان یافته و مهاجم به خواسته خود رسیده‌است.

 

هر مرحله چرخه مهندسی اجتماعی بسته به شرایط و تکنیک‌های مختلف مورد استفاده، منحصربه‌فرد می‌باشد. همچنین، هر مرحله به تکمیل و موفقیت مرحله قبل وابسته‌است. اغلب، برای انجام حمله‌ای موفق، این سیکل بارها تکرار می‌شود. زیرا برقراری ارتباط و جلب اعتماد کار ساده‌ای نیست. و مهاجم در این راه نیاز به جمع آوری اطلاعات کافی درباره سازمان، سیستم‌های موجود و کارکنانش دارد.