خانه > مقالات > متن مقاله

مقالات آموزشی امنیت اطلاعات

- مهندسی اجتماعی

در اغلب مقالات، مهندسی اجتماعی بعنوان «هنر و علم موافق کردن دیگران با خواست خود»، یا «استفاده هکر از ترفندهای روانشناسی بر روی کاربران معتبر یک سیستم کامپیوتری برای رسیدن به اطلاعاتی که برای دسترسی به سیستم مورد نیاز است»، و یا «بدست آوردن اطلاعات مورد نیاز (برای مثال کلمه عبور) از یک شخص به جای نفوذ به سیستم» مطرح شده است. در حقیقت، مهندسی اجتماعی می تواند هریک از این موارد یا تمام آنها باشد. چیزی که همه در مورد آن توافق دارند این است که مهندسی اجتماعی عموما مهارت هوشمندانه فرد هکر در جلب اعتماد و نظر کاربر قربانی است. هدف هکر این است که اطلاعاتی را بدست آورد که به وی اجازه خواهد داد تا به یک سیستم ارزشمند و اطلاعات آن بدون مجوز دسترسی داشته باشد.

هدف و حمله

اهداف اولیه مهندسی اجتماعی شبیه اهداف هک بوده و عبارت است از بدست آوردن دسترسی بدون مجوز به سیستم یا اطلاعات برای کلاهبرداری، نفوذ به شبکه، جاسوسی صنعتی، سرقت هویت، و یا از کار انداختن یک سیستم یا یک شبکه. اهداف نوعی نیز شامل شرکتهای تلفن، شرکتهای صاحب نام و موسسات تجاری، آژانسهای نظامی و دولتی، و بیمارستانها می باشند. البته این حملات در بسیاری موارد اهداف کوچکتری را نیز شامل می شوند.

پیدا کردن یک نمونه حقیقی مهندسی اجتماعی در زندگی واقعی کار بسیار سختی است. چرا که سازمانهایی که هدف این حملات قرار می گیرند، اولا معمولا نمی خواهند دیگران متوجه این اتفاق گردند و به شهرت آنها آسیب برسد، ثانیا گاهی اصلا این حملات به خوبی مستند نمی شوند و به درستی معلوم نیست که اصلا حمله مهندسی اجتماعی رخ داده باشد.

اما در مورد اینکه چرا حملات مهندسی اجتماعی مورد علاقه هکرها هستند، باید به این نکته اشاره کرد که اصولا، پرسیدن کلمه عبور یک نفر به مراتب آسانتر از استفاده از روشهای پیچیده فنی و بدست آوردن کلمه عبور وی است. ساده ترین راه برای ورود به یک سیستم کامپیوتری این است که به سادگی از شخصی مجوز بگیریم. صرفنظر از تکنولوژیهای رمزنگاری و امنیتی که شما به کار گرفته اید، یک شبکه هیچگاه کاملا امن نیست. شما هرگز نمی توانید از فاکتور انسانی خلاص شوید. اگر کارمندان شما به هر کسی که بخواهد به سیستمهای شبکه شما دسترسی داشته باشد این مجوز را بدهند، اصلا مهم نیست چه تعداد فایروال، شبکه خصوصی مجازی (VPN)، یا وسایل رمزنگاری در اختیار داشته باشید.

یک مهندس اجتماعی فردی است که با استفاده از فریب، تشویق، و اثر گذاری سعی می کند به اطلاعاتی که در دسترس وی نیست دست پیدا کند. این حقیقت که همیشه کسی هست که اطلاعات را لو بدهد، به مهندسان اجتماعی این فرصت را می دهد که اغلب مراکز داده امن را در جهان گیر بیندازند.

مهندسی اجتماعی چیزی بیش از جلب اعتماد طرف مقابل و گول زدن وی است، بلکه شامل درک روانشناسی انسان و داشتن یک حرکت روشمند در تاثیر گذاری بر افراد است تا بتوان اطلاعات حساس و یا دسترسی بدون مجوز را از طریق آنها بدست آورد. به عبارت دیگر، مهندسی اجتماعی فقط به این معنی نیست که فرد، دروغگوی خوبی باشد، بلکه در حقیقت چنین فردی مهندسی است که راههایی برای اداره کردن افراد به نفع خود پیدا می کند.

مهندسان اجتماعی از ابزارهای مختلف شامل تلفن، ایمیل و وب و تکنیکهای مختلف برای کار خود استفاده می کنند. این مقاله به چند تکنیک مشهورتر و پر کاربردتر مهندسی اجتماعی می پردازد.

1. یادگیری زبان شرکت شما

یک مهندس اجتماعی زبان شرکت هدف خود را مطالعه کرده و قادر خواهد بود از آن به خوبی استفاده نماید. اگر کسی بتواند از کلمات، عبارات و واژه هایی که شما در محیط کار به شنیدن آنها عادت دارید استفاده کند، قطعا شما راحت تر به وی اعتماد کرده و اطلاعات مورد نظر را به او تسلیم خواهید کرد. این ترفند چه بوسیله تلفن و چه بوسیله ایمیل از اهمیت ویژه ای برخوردار است.

2. استفاده از موسیقی hold شرکت

فریبکاران موفق به زمان، حوصله و استقامت نیاز دارند. مهاجمان اغلب به آرامی و روشمند کار خود را انجام می دهند. آنها برای انجام کار خود، به جزئیات شخصی در مورد افراد، و نیز جمع آوری یک سری شگردهای اجتماعی احتیاج دارند تا بتوانند هدف خود را اقناع نمایند تا وی باور کند که آنها نیز یکی از کارمندان همین سازمان هستند. یک روش موفق در این مورد، استفاده از موسیقی hold در تلفن است که آن شرکت در زمانی که می خواهد تماس گیرنده ها را پشت خط نگه دارد، از آن استفاده می کند.

فرد مجرم با شرکت تماس گرفته و موسیقی hold را ضبط کرده و سپس، از آن برای مقاصد خود استفاده می کند. وقتی این فرد با قربانی تماس می گیرد، پس از مدت کوتاهی صحبت مدعی می شود که خط دیگرش در حال تماس است و قربانی را پشت خط نگه می دارد. فرد قربانی با شنیدن موسیقی hold که همیشه در شرکت آنها مورد استفاده قرار می گیرد، راحتتر به فرد مهاجم اعتماد می کند. این یک شگرد روانی است.

3. جعل شماره تلفن

این دسته از مجرمان معمولا با جعل شماره تلفن، کاری می کنند که شماره دیگری روی caller ID فرد هدف نمایش داده شود. به این ترتیب در حالی که فرد مجرم از آپارتمان خودش با شما تماس می گیرد، به نظر می رسد که شماره وی یکی از شماره های داخل سازمان است.

قطعا اگر شماره نشان داده شده در caller ID یکی از شماره های سازمان باشد، فرد قربانی با احتمال بسیار زیادی اطلاعات مورد نیاز مجرم مانند کلمات عبور را به وی اعلام خواهد کرد. پیگیری این جرم نیز ممکن نخواهد بود، چرا که تماس گرفتن با شماره ای که روی caller ID وجود دارد، شما را به یک شماره داخلی سازمان متصل می کند.

در اینگونه موارد بهتر است به خاطر داشته باشید که حتی الامکان از تسلیم کردن اطلاعات حساس بصورت تلفنی خودداری کنید.

4. استفاده از اخبار بر علیه شما

هر چه که در اخبار مطرح شود، افراد خرابکار از آن اطلاعات بعنوان ابزارهای مهندسی اجتماعی برای ارسال هرزنامه، سرقت هویت و سایر روشهای فریبکاری استفاده می نمایند. تعداد زیادی از ایمیلهای سرقت هویت دیده شده اند که به خریداری شدن یک بانک توسط دیگران مرتبط بوده اند. چنین ایمیلی می گوید که بانک شما توسط این بانک خریداری شده است و برای اطمینان از اینکه اطلاعات شما به روز شده است، باید اینجا کلیک کنید. آنها با این کار به اطلاعات حساب شما دسترسی پیدا کرده و به این ترتیب می توانند از حساب شما سرقت نمایند و یا اینکه اطلاعات آن را به شخص دیگری بفروشند.

این اتفاق می تواند در مورد تغییر تنظیمات یک حساب ایمیل نیز اتفاق بیفتد. برای مثال، در یک پیغام ایمیل به شما اطلاع داده می شود که لازم است برای اعمال تغییراتی که جهت ارتقای امنیت سرویس ایمیل انجام شده، اطلاعات خود از جمله نام کاربری و کلمه عبور را وارد کنید.

بهتر است به خاطر داشته باشید که تقریبا هیچگاه نیاز نیست سرویس دهنده شما، برای مواردی به جز ورود به سیستم و یا تغییر کلمه عبور توسط خود شما، از شما اطلاعات خصوصی را درخواست نماید.

5. سوء استفاده از سایتهای شبکه های اجتماعی

Facebook، Myspace و Linked In، از مشهورترین سایتهای شبکه های اجتماعی هستند. بسیاری از مردم به این سایتها اعتماد دارند. بسیاری از طرفداران سایتهای شبکه های اجتماعی، ایمیلهای زیادی دریافت می کنند که ادعا می شود از طرف سایتهایی مانند Facebook هستند، ولی در حقیقت از طرف فریبکاران اینترنتی ارسال شده اند.

این افراد ایمیلهایی با این محتوا دریافت می کنند: «این سایت در حال انجام پاره ای تغییرات است. برای به روز رسانی اطلاعات خود اینجا را کلیک نمایید.» البته وقتی شما روی این لینک کلیک می کنید، به سایت افراد خرابکار وارد می شوید که از شما می خواهد اطلاعات محرمانه خود را وارد کرده و به روز نمایید.

باید توجه داشته باشید که بسیار به ندرت ممکن است یک سایت برای شما درخواستی مبنی بر تغییر کلمه عبور و یا به روز رسانی حساب کاربری ارسال نماید.

6. سوء استفاده از اشتباهات تایپی

افراد خرابکار همچنین از اشتباهات مردم در هنگام تایپ کردن در وب سوء استفاده می کنند. ممکن است شما یک آدرس URL را تایپ نمایید، اما یک حرف آن را اشتباه وارد کنید، و ناگهان با نتایج غیر منتظره ای روبرو شوید.

این افراد خرابکار، خود را برای اشتباهات تایپی شما آماده می کنند و سایتی بسیار شبیه به سایت مورد نظر شما (که در تایپ آدرس آن اشتباه کرده اید) ایجاد می نمایند. در نتیجه کاربر به جای ورود به سایت مورد نظر خود، وارد یک سایت تقلبی می شود و فرد خرابکار می تواند اطلاعات وی را سرقت کرده و یا بدافزاری را روی سیستم وی نصب نماید.

7. مهندسی اجتماعی معکوس

این روش شامل سه مرحله است: خرابکاری عمدی، تبلیغات، و ادعای کمک کردن. در مرحله اول، یک مهندس اجتماعی راهی برای خرابکاری در یک شبکه پیدا می کند. این مرحله می تواند به پیچیدگی ایجاد یک حمله علیه یک وب سایت، و یا به سادگی ارسال یک ایمیل جعلی و ادعای ویروسی بودن سیستم افراد باشد. مهم نیست که چه تکنیکی در این مرحله مورد استفاده قرار گیرد، بلکه نکته مهم این است که یا واقعا شبکه هدف را خراب نماید، و یا صرفا این احساس را در قربانی خود ایجاد کند که شبکه خراب شده است.

در مرحله دوم، مهندس اجتماعی سرویس خود را بعنوان یک مشاور امنیتی معرفی می کند. این کار می تواند به روشهای مختلف از جمله ارسال ایمیل، کارت ویزیت، و یا ارسال نامه انجام گیرد. در این زمان، مهندس اجتماعی یک خرابکاری در شبکه انجام داده و یا وانمود به وقوع یک خرابکاری در شبکه کرده و خود را در موقعیت کمک رسانی قرار داده است. شرکتی که قربانی این فرد قرار می گیرد، تبلیغات وی را مشاهده کرده و با تصور یک مشاور امنیتی، با این مهندس اجتماعی تماس گرفته و به وی اجازه می دهد که روی شبکه آسیب دیده کار کند. در این هنگام، مهندس اجتماعی وانمود می کند که در حال ترمیم مشکل است، اما در حقیقت کار دیگری مثل قرار دادن ثبت کننده کلید در سیستمها و یا سرقت داده های محرمانه را انجام می دهد.

8. درخواست کمک

در این روش مهندس اجتماعی سعی می کند احساسات انسان دوستانه شما را تحریک کرده و با طرح درخواست کمک، اطلاعات مورد نظر خود را بدست آورد. برای مثال به گفتگوی تلفنی زیر دقت کنید:

مهندس اجتماعی: سلام. من یکی از کارمندان این سازمان هستم که به تازگی در اینجا استخدام شده ام. می توانم خواهش کنم برای استفاده از پرینتر شبکه به من کمک کنید؟

کارمند: سلام. خواهش می کنم. چه مشکلی پیش آمده؟

مهندس اجتماعی: من می خواهم یک پرینت از گزارشم تهیه کنم. ولی چون تا به حال از پرینتر شبکه استفاده نکرده ام، رمز عبورم را برای اتصال به سرویس پرینت فراموش کرده ام.

کارمند: نام کاربری شما چیست؟

مهندس اجتماعی: مطمئن نیستم ولی فکر می کنم ASDFGH باشد.

کارمند: نام کاربری شما در لیست وجود ندارد. مطمئنید آن را درست به خاطر سپرده اید؟

مهندس اجتماعی: نمی دانم. ممکن است اشتباه کرده باشم. ممکن است شما نام کاربری مرا فعال کنید. رئیس من منتظر این گزارش است و من نگرانم که در این روزهای اول کار، نکته منفی از من به ذهن بسپارد.

کارمند: بسیار خوب! یک نام کاربری به اسم ASDFGH برای شما با رمز عبور 123456 فعال شد.

مشاهده می کنید که حس کمک به همنوع، کارمند یک سازمان را وادار به لو دادن اطلاعات و یا اعطای مجوز به یک شخص فاقد اعتبار می نماید.

9. تهدید

یکی از روشهای مهندسی اجتماعی این است که با استفاده از تهدید اعتبار فرد، وی ناگزیر به ارائه اطلاعات محرمانه گردد. در این روش، فرد مهاجم خود را بعنوان فردی در سازمان هدف جا زده و از کارمند این سازمان می خواهد که یک سری اطلاعات را برای انجام کاری به وی ارائه دهد. احتمالا این کارمند ابتدا با توجه به قوانین از پیش تعریف شده، از ارائه این اطلاعات خودداری می کند. اما مهندس اجتماعی به راحتی می تواند با تهدید اعتبارات فرد با جملاتی شبیه «هر اتفاق بدی که رخ دهد مسوولیت آن با شماست که همکاری نکرده اید»، وی را راضی به همکاری نماید.

تنها راه مقابله با ترفندهای مهندسی اجتماعی، آموزش کاربران و آگاهی دادن به آنان است تا به راحتی فریب مجرمان را نخورند. همچنین تدوین قوانین مناسب که کارمندان سازمان موظف باشند فقط بر اساس آن قوانین اطلاعات محرمانه را به دیگران تسلیم کنند نیز، می تواند در این زمینه کمک کننده باشد.





منبع