SOCIAL-HACKING

مهندسی اجتماعی (Social Engineering) عبارتی است که برای مجموعه گسترده‌ای از فعالیت‌های بدخیم اطلاق می‌شود و از طریق کنش و واکنش‌های انسان صورت می‌پذیرد. این روش از دست‌کاری‌های روانی استفاده می‌کند تا کاربران را برآن دارد که اشتباهات امنیتی انجام داده یا اطلاعات حساس خود را لو دهند.
حملات مهندسی اجتماعی در یک یا چند مرحله صورت می‌پذیرند. مجری این حمله در ابتدا قربانی خود را مورد تحقیق قرار می‌دهد تا اطلاعات لازم در مورد پیشنیه او را به دست آورد. این از جمله اطلاعات شامل حلقه‌های ضعیف احتمالا در پروتکل‌های امنیتی او می‌شود و برای اجرا حمله لازم می‌باشد. مهاجم سپس تلاش می‌کند اعتماد قربان را به دست آورد و برای اقدامات بعدی خود که امنیت او را در معرض خطر قرار می‌دهند مشوق‌هایی ارائه کند.

آنچه که مهندسی اجتماعی را بسیار خطرناک می‌کند این است که برپایه خطای انسانی بنا شده است و نه حفره‌های امنیتی نرم‌افزاری یا سخت‌فزاری. خطاهای انسانی که افرادی مرتکب می‌شوند که اجازه دسترسی مشروع به سیستم را دارند خیلی سخت‌تر از حفره‌های امنیتی نرم‌فزاری قابل پیشگیری هستند و امن‌ترین سیستم‌ها را به خطر می‌اندازند.

تکنیک‌های حملات مهندسی اجتماعی

حملات مهندسی اجتماعی اشکال بسیار متفاوتی دارند و در هر جایی که کنش و واکنش انسانی در میان است می‌توان آنها را پیاده‌سازی کرد. در ادامه پنج نوع از رایج‌ترین انواع حملات مهندسی اجتماعی دیجیتال را بازگو می‌کنیم.

تطمیع

همچنان که از اسم آن پیداست حملات تطمیع (baiting) به دروغ قولی می‌دهند که آز یا کنجکاوی قربانی را برمی‌انگیزد. این نوع حملات کاربران را به تله‌ای اغوا می‌کنند که اطلاعات شخصی آنها را به سرقت می‌برد یا سیستم آنها را آلوده به بدافزار می‌کند.

زشت‌ترین نوع تطمیع از وسایل فیزیکی برای گسترش بدافزار استفاده می‌کند. برای مثال، مهاجم طعمه خود (معمولا یک دیسک قلمی آلوده به بدافزار) را در محیط‌های عادی که قربانی‌های احتمالی قطعا آن را خواهند دید رها می‌کنند (مانند دستشویی، آسانسور، پارکینگ فرد یا شرکت مورد هدف و غیره). طعمه معمولا شکلی رسمی و اعتماد برانگیز دارد و مثلا برچسب کارخانه یا شرکت روی آن خورده است.

قربانی طعمه را از روی کنجکاوی برداشته و آن را به کامپیوتر خانگی یا محل کار خود وصل می‌کند و در نتیجه بدافزار بصورت اتوماتیک روی دستگاهش نصب می‌شود.

طرح‌های تطمیع نباید الزاما در دنیای فیزیکی صورت پذیرند. اشکال مجازی تطمیع شامل تبلیغات جالبی می‌شوند که کاربر را به سایت‌های آلوده رهنمون می‌کنند. این سایت‌ها در ادامه کاربر را تشویق می‌کنند که یک برنامه آلوده به بدافزار دانلود و نصب کند.

ترس‌افزار

ترس‌افزار (Scareware) قربانی را با خیلی از هشدارهای غلط و تهدیدهای موهوم می‌ترسانند. کاربر فریب می‌خورد که سیستم‌اش آلوده به بدافزار شده است و از او خواسته می‌شود نرم‌افزاری نصب که هیچ فایده واقعی ندارد مگر این که خود بدافزار باشد.

یکی از نمونه‌های رایج ترس‌افزار بنرهای پاپ آپ ظاهرا مشروعی است که هنگام گشت و گذار در اینترنت ممکن است در مرورگر شما ظاهر شده و متنی مشابه این داشته باشد: «کامپیوتر شما ممکن است آلوده به جاسوس‌افزارهای خطرناک باشد». این بنرها معمولا یا پیشنهاد می‌کنند که یک ابزار حفاظت و پاکسازی برای کاربر نصب کنند (که معمولا آلوده به خود بدافزار هستند) یا او را به سایت‌های بدخیمی راهنمایی می‌کنند که کامپیوتر را آلوده می‌سازند.

ترس‌افزارها از طریق ایمیل‌های اسپم نیز منتشر می‌شوند که هشدارهای دروغین می‌دهند یا پیشنهاد می‌کنند که کاربر خدمات بی‌ارزش یا خطرناک خریداری کند.

وانمود کردن (Pretexting)

در این نوع از حملات مهاجم اطلاعات را از طریق سریالی از دروغ‌های هوشمندانه به دست میاورد. این طرح فریب در بسیاری موارد این گونه آغاز می‌شود که حمله کننده وانمود می‌کند که به اطلاعات حساسی از طرف قربانی نیاز دارد تا یک کار بسیار مهم را به انجام رساند.

حمله کننده معمولا تلاش می‌کند با قربانی ایجاد اعتماد کند تحت این عنوان که همکار او، مجری قانون، از مقام‌های بانک یا اداره مالیات، یا شخص دیگری است که به هر صورت استحقاق این اطلاعات را دارد است. وانمود کننده سوالاتی می‌پرسد که در ظاهر برای تایید هویت قربانی لازم است اما در واقع برای جمع آوری اطلاعات شخصی مهم است.

به این شیوه همه نوع اطلاعات حساس جمع آوری می‌شود از جمله آدرس‌ و شماره تلفن‌های شخصی، رکوردهای بانکی، اطلاعات مالی و وضعیت شغلی و غیره.

فیشینگ (Phishing)

فیشینگ یکی از رایج‌ترین انواع حملات مهندسی اجتماعی است که شامل کارزارهای ایمیل و پیامک می‌شود و هدف اولیه ایجاد نوعی حس فوریت، اضطرار، کنجکاوی یا ترس در قربانیان است. در ادامه قربانی ترغیب می‌شود که اطلاعات حساس خود را فاش سازد، روی لینک سایت‌های بدخیم کلیک ند یا ضمیمه‌هایی را باز کند که حاوی بدافزار هستند.

یک نمونه از حملات فیشینگ ایمیلی است که به کاربران یک سرویس آنلاین ارسال می‌شود و به آنها هشدار می‌دهد که در نتیجه یک نقض امنیتی همه مستلزم هستند دست به اقدامی مانند عوض کرد رمز عبور خود بزنند. ایمیل حاوی لینکی به یک سایت قلابی است که البته در ظاهرا تقریبا عین نسخه اصلی آن می‌باشد و از کاربر از همه جا بی‌خبر می‌خواهد اسم و رمز عبور فعلی و رمز عبور جدید را وارد کند. به محض ارسال فرم اطلاعات آن توسط مهاجم دریافت می‌شود.

با توجه به این که در کارزارهای فیشینگ پیام‌های یکسان یا تقریبا یکسان بصورت گسترده برای همه کاربران ارسال می‌شود، کشف و جلوگیری از آنها برای سرورهای ایمیل بسیار ساده‌تر است.

فیشینگ هدفمند (Spear phishing)

این حملات یک نوع هدفمندتر طرح‌های فیشینگ است و در آن مهاجم افراد یا موسسه‌های مشخصی را انتخاب کرده و هدف قرار می‌دهد. حمله کننده پیام‌های خود را براساس ویژگی‌ها، موقعیت شغلی و آشنایان قربانی تنظیم می‌کند تا حمله کمتر مشکوک به نظر برسد. فیشینگ هدفمند مستلزم تلاش بسیار بیشتری از جانب مهاجم است و ممکن است اجرای آن هفته‌ها یا حتی ماه‌ها طول بکشد. کشف این نوع حملات بسیار سخت‌تر است و اگر ماهرانه انجام شود نرخ موفقیت بالاتری نسبت به فیشینگ معمولی دارد.

در یک سناریوی فیشینگ هدفمند مثلا مهاجم که نقش مشاور آی تی یک شرکت را بازی می‌کند، ایمیل‌هایی به یک یا چند تن از کارکنان آن ارسال می‌کند. نامه دقیقا به همان شیوه نوشته و امضا شده است که مشاور مزبور معمولا نامه‌های خود را می‌نویسد، به این صورت دریافت کننده‌های نامه را فریب می‌دهد که نامه اصل است. پیام از دریافت کنندگان می‌خواهد که رمز عبور خود را تغییر دهند و به این منظور لینکی در اختیارشان می‌گذارد که آنها را به یک صفحه آلوده رهنمود می‌کند و مهاجم می‌تواند اسم و رمز عبورشان را در آنجا دریافت کند.

social engineering
چرخه زندگی مهندسی اجتماعی social engineering

پیشگیری از مهندسی اجتماعی

مهندسان اجتماعی از احساسات انسانی مانند کنجکاوی یا ترس سوء استفاده می‌کنند تا طرح خود را پیاده‌سازی کرده و قربان را به دام بی‌اندازند. از این رو هرگاه نسبت به ایمیلی مشکوک شدید، پیشنهادی در یک سایت توجه شما را جلب کرد یا با وسایل دیجیتال در گوشه و کنار مواجه شدید نهایت هوشیاری را به خرج دهید. هوشیار بودن کمک می‌کند که از خود در برابر حملات مهندسی اجتماعی که در فضای مجازی صورت می‌گیرند دفاع کنید.

علاوه بر این رهنمودهای زیر کمک می‌کنند که هوشیاری خود در زمینه حملات مهندسی اجتماعی را افزایش دهید.

  • ایمیل‌ و ضمیمه‌های منابع مشکوک را باز نکنید: اگر فرستنده را نمی‌شناسید مجبور نیستید به ایمیل او پاسخ دهید. حتی اگر فرستنده را می‌شناسید اما به پیام او شک کرده‌اید، از طریق سرویس‌های دیگر اینترنتی یا وسایل دیگر ارتباطی مانند تلفن با او تماس گرفته و اطمینان حاصل کنید که نامه را او ارسال کرده است. توجه داشته باشید که جعل کردن آدرس فرستنده ایمیل بسیار ساده است و مستمرا اتفاق میفتد. پس حتی نامه‌هایی که از منابع ظاهرا قابل اعتماد و شناخته شده می‌آیند می‌توانند حاوی بدافزار و جهت مهندسی اجتماعی باشند.
  • از تایید دو مرحله‌ای استفاده کنید: یکی از پرارزش‌ترین اطلاعاتی که مهاجمان در حملات مهندسی اجتماعی در پی آن هستند اسم و مرز عبور کاربر است. استفاده از تایید دو مرحله‌ای کمک می‌کند امنیت حساب‌تان در شرایط حمله تضمین شود.
  • نسبت به پیشنهادهای جذاب شک کنید: اگر پیشنهادی خیلی جذاب به نظر رسید پیش از پذیرش آن دوباره فکر کنید. کمی تحقیق در اینترنت، فکر نقادانه و منطقی و در میان گذاشتن موضوع با کاربران فنی‌تر می‌تواند به شما کمک کند ته آن را در بیاورید.
  • نرم‌افزار ضد ویروس خود را همواره به روز نگهدارید: اطمینان حاصل کنید که به روز رسانی اتوماتیک فعال است. بصورت نوبه‌ای چک کنید که به روز کننده‌ها اعمال شده اند و سیستم خود را اسکن کنید تا اطمینان حاصل شود که بدافزاری از پیش نصب نشده است.

One thought on “مهندسی اجتماعی چیست؟”

پاسخی بگذارید