مهندسی اجتماعی

Social Engineering، هم بسیار پیچیده و هم بی‌نهایت ساده است. اما واقعاً این عبارت چه معنایی دارد؟ مهندسی اجتماعی درواقع به معنای کار روی یک شخص، باهدف ترغیب وی به انجام کارهایی برای حصول فرد ترغیب‌کننده به اهدافی چون دستیابی به داده‌ها، اطلاعات دسترسی یا دستکاری سیستم یا شبکه هدف برای انجام کاری خاص تعریف می‌شود. به واسطه طبیعت رازگونه این مهارت تاریک، معمولاً افراد از آن گریزان بوده و احساس می‌کنند قادر به اجرای یک آزمون موفق مهندسی اجتماعی نمی‌باشند. اگرچه هر زمان که شما سعی در وادار نمودن کسی به انجام کار موردنظر خود نمایید، یک عمل مهندسی اجتماعی را انجام داده‌اید. از یک کودک که سعی در وادار نمودن والدین به خرید اسباب‌بازی موردنظر خود می‌نماید تا تلاش افراد بزرگسال برای بدست آوردن یک شغل یا ارتقاء شغلی، همگی شکلی از مهندسی اجتماعی را در برمی‌گیرند.

مهندسی اجتماعی، از ضعیف‌ترین اتصال در خطوط دفاعی امنیت اطلاعات هر سازمان، یعنی نیروی انسانی بهره‌گیری می‌نماید. به زبان ساده، مهندسی اجتماعی، به معنای «هک کردن» افراد بوده و با سوءاستفاده از طبیعت اعتماد متقابل بین انسان‌ها، به اطلاعاتی که می‌توانند برای کسب منا فع شخصی مورد استفاده قرار گیرند، دستیابی حاصل می‌گردد.

اصول مهندسی اجتماعی

هکرها معمولاً وانمود می‌کنند شخص دیگری هستند تا بتوانند به اطلاعاتی دسترسی پیدا کنند که در غیراین صورت برای آنها غیرقابل دسترسی خواهند بود. آنها اطلاعات بدست آمده از قربانیان خود را جمع‌آوری کرده و به منابع شبکه حمله می‌کنند، فایل‌ها را سرقت یا حذف می‌نمایند و حتی اقدام به جاسوسی صنعتی یا سایر انواع جرائم بر علیه سازمان‌هایی که مورد حمله قرار داده‌اند، می‌کنند. مهندسی اجتماعی با مشکلات امنیت فیزیکی نظیر جاسوسی سیستم‌ها (مثلاً سرک کشیدن برای مشاهده کلمه عبور کارمندی که درحال Login به سیستم می‌باشد) یا جستجوی زباله‌ها (برای یافتن اطلاعاتی که سهواً یا عمداً به عنوان زباله دفع شده‌اند) تفاوت دارد. با این‌حال، این دو فرآیند با یکدیگر مرتبط هستند.

در اینجا به مثال‌هائی از مهندسی اجتماعی اشاره می‌کنیم:

– پرسنل جعلی پشتیبانی، ادعا می‌کنند که باید یک وصله یا نسخه دیدی از نرم‌افزار را بر روی کامپیوتر یک کاربر نصب نمایند، کاربر را قانع می‌کنند تا نرم‌افزاری را بارگذاری کند و نهایتاً، کنترل سیستم او را از راه دور بدست می‌آورند.

– فروشندگان کاذب، ادعا می‌کنند که باید ارتقاء‌هایی را بر روی بسته حسابداری سازمان و یا سیستم تلفن آن اعمال نمایند، بنابراین کلمه عبور سرپرستی را سئوال کرده و دسترسی کامل به سیستم را بدست می‌آورند.

– نامه‌های الکترونیکی Phishing که توسط هکرها ارسال شده‌اند، ID کاربری و کلمات عبور دریافت‌کنندگان زود باور را جمع‌آوری می‌کنند. سپس، هکرها از این کلمات عبور برای کسب دسترسی به حساب‌های بانکی و سایر اطلاعات مهم استفاده می‌کنند.

– کارکنان جعلی، به بخش امنیت سازمان اطلاع می‌دهند که کلیدهای خود برای ورود به اتاق کامپیوتر را گم کرده‌اند، مجموعه‌ای از این کلیدها را دریافت کرده و دسترسی غیرمجاز به اطلاعات فیزیکی و الکترونیکی را بدست می‌آورند.

مهندسین اجتماعی، گاهی‌اوقات هویت کارکنان دارای نفوذ و مطلع (نظیر مدیران و معاونین) را جعل می‌کنند. در مواردی نیز ممکن است آنها نقش کارکنان فوق‌العاده بی‌اطلاع و ساده‌لوح را بازی کنند. برحسب اینکه آنها درحال صحبت کردن با چه کسی هستند، غالباً از یک حالت به حالت دیگر سوئیچ می‌کنند.

محافظت کارآمد از اطلاعات (خصوصاً امنیتی که برای مقابله با مهندسی اجتماعی به آن نیاز دارید)، از کاربران شما آغاز شده و به آنها ختم می‌گردد. شما در بخش‌های مختلف این سری مقالات با توصیه‌های فنی کاملی مواجه می‌شوید، اما هیچ‌گاه فراموش نکنید که ارتباطات و تعامل ساده انسانی نیز بر سطح امنیت سازمان شما تأثیر خواهد گذاشت. قاعده «امنیت آبنباتی» بیان می‌دارد که: بخش سخت در خارج و بخش نرم در داخل طراحی شود. بخش سخت خارجی شامل لایه مکانیزم‌ها (نظیر فایروال، سیستم‌های تشخیص نفوذ و رمزگذاری) است که سازمان‌ها برای حفاظت از اطلاعات خود به‌آنها تکیه می‌کنند. بخش نرم داخلی شامل افراد و سیستم‌های داخل سازمان است. اگر هکرها بتوانند از لایه ضخیم‌تر خارجی عبور کنند، می‌توانند لایه (غالباً) بی‌دفاع داخلی را به زانو درآورند.

مهندسی اجتماعی، یکی از دشوارترین تکنیک‌های هک به حساب می‌آید، زیرا به مهارت فوق‌العاده‌ای برای جلب اعتماد یک فرد بیگانه نیاز دارد. ازسوی دیگر، این شیوه یکی از دشوارترین تکنیک‌های هک از دیدگاه مقابله با آن است، زیرا با مردم سروکار دارد. ما در این مقاله، به بررسی انواع شیوه‌های مهندسی اجتماعی، تکنیک‌های لازم برای هک اخلاقی شما و اقدامات متقابلی که باید در برابر مهندسی اجتماعی بکار ببرید، خواهیم پرداخت.

پیش از آغاز کار

بیان شیوه‌های هک در این قسمت با سایر بخش‌هایی که از این سری مقالات مطالعه کرده‌اید (و خواهید کرد) تفاوت دارد. مهندسی اجتماعی، یک علم و یک هنر است. اجرای تکنیک‌های مهندسی اجتماعی به عنوان یک هکر اخلاقی، به مهارت فوق‌العاده‌ای نیاز داشته و به

شخصیت شما و آگاهی کلّی سازمان از آزمایش‌ها بستگی دارد. اگر مهندسی اجتماعی برای شما طبیعی نیست، می‌توانید از اطلاعات این مقاله به عنوان مرجع یادیگری استفاده کرده و سپس زمان بیشتری را برای مطالعه سوژه خود صرف نمائید. اگر شرایط کاری و سازمان شما درحال‌حاضر چنین حکم می‌کند، در استخدام یک طرف ثالث برای انجام این آزمایش‌ها تردید نکنید. شما می‌توانید از اطلاعات این قسمت برای انجام آزمایش‌های خاص یا ارتقاء توجه به امنیت اطلاعات در سازمان خود استفاده کنید. مهندسی اجتماعی می‌تواند به شغل و اعتبار افراد آسیب برساند و ممکن است باعث فاش شدن اطلاعات محرمانه گردد. بنابراین بهتر است با احتیاط کامل پیش رفته و قبل از انجام هرکاری به خوبی درمورد آن فکر کنید.

شما می‌توانیدت حملات مهندسی اجتماعی را به میلیون‌ها شیوه مختلف انجام دهید. به همین دلیل (و به دلیل آنکه آموزش رفتارهای خاص در یک مقاله واحد کاملاً غیرممکن است)، ما به ارائه دستورالعمل‌های گام‌به‌گام در زمینه اجرای حملات مهندسی اجتماعی نمی‌پردازیم. درمقابل، سناریوهای مختلف مهندسی اجتماعی را تشریح خواهیم نمود که برای سایر هکرها (از هر دو گروه اخلاقی و غیراخلاقی) مؤثر بوده‌اند. شما می‌توانید همین حیله‌ها و تکنیک‌ها را برای شرایط خاص خود ترکیب کرده و منطبق نمائید.

بهترین شیوه انجام این تکنیک‌های مهندسی اجتماعی آن است که توسط یک فرد خارجی ناشناس برای یک سازمان اجراء شوند. اگر این آزمایش‌ها را برعلیه سازمان خودتان انجام می‌دهید، ممکن است برای ایفای نقش به عنوان یک فرد بیگانه، با مشکلاتی مواجه شوید (زیرا همه شما را می‌شناسند). ممکن است این موضوع در سازمان‌های بزرگ، چندان مشکل‌ساز نباشد، اما اگر در یک شرکت کوچک با کارکنان محدود هستید، معمولاً همه با شما آشنایی خواهند داشت.

شما می‌توانید آزمایش‌های مهندسی اجتماعی را به یک مجموعه مشاورتی قابل‌اعتماد سپرده و یا حتی از یک دوست قابل‌اعتماد خود بخواهید که آزمایش‌ها را برایتان انجام دهد. عبارت کلیدی در اینجا، «قابل‌اعتماد» است. اگر با شخص دیگری سروکار دارید، بایستی مدارک او را بررسی کرده، سوابقش را مطالعه نموده و موافقت کتبی مدیریت سازمان برای انجام آزمایش‌ها (توسط او) را قبلاً کسب کنید.

چرا مهندسی اجتماعی؟

مهاجمین، صرفاً به این دلیل برای نفوذ به سیستم‌ها از مهندسی اجتماعی استفاده می‌کنند که «می‌توانند این کار را انجام دهند». آنها به شخصی نیاز دارند که درب‌های سازمان را برایشان باز کند تا مجبور نباشند برای ورود به زور متوسل شده و احتمالاً گیر بیفتند. فایروال‌ها، کنترل‌های دسترسی و ابزارهای تعیین اعتبار نمی‌توانند یک مهندس اجتماعی مصمم را متوقف کنند.

اکثر مهندسین اجتماعی، حملات خود را به کندی اجراء می‌کنند تا بیش از حد مشهود نبوده و احتمالاً باعث ایجاد بدگمانی در سازمان نشوند. آنها بیت‌های اطلاعات را در طول زمان جمع‌آوری می‌کنند و از همین اطلاعات برای ایجاد یک تصویر گسترده‌تر از سازمان، بهره می‌گیرند. ازسوی دیگر، بعضی از حملات مهندسی اجتماعی می‌توانند با یک e-mail یا تماس تلفنی سریع انجام شوند. شیوه‌های مورد استفاده برای مهندسی اجتماعی، به سبک و توانایی‌های هکر بستگی دارند.

مهندسی اجتماعی می‌دانند که بسیاری از سازمان‌ها، فاقد طبقه‌بندی رسمی اطلاعات، سیستم‌های کنترل دسترسی، طرح‌های مقابله با حوادث و برنامه‌های آگاهی امنیتی هستند و از همین نقطه‌ضعف‌ها بهره‌گیری می‌نمایند.

مهندسین اجتماعی، غالباً چیزهای زیادی درباره بسیاری از موارد می‌دانند (چه در داخل و چه خارج از سازمان هدف)، زیرا این موضوع در انجام حملات به آنها کمک می‌کند. هرچه مهندسین اجتماعی بتوانند اطلاعات بیشتری را درباره سازمان‌ها جمع‌آوری کنند، جعل هویت کارکنان یا سایر افراد داخلی قابل اعتماد برایشان آسان‌تر خواهد بود. آگاهی و اراده مهندسین اجتماعی، آنها را در سطح بالاتری (نسبت به کارکنان متوسطی که از ارزش اطلاعات مورد جستجوی مهندسین اجتماعی ناآگاه هستند)، قرار می‌دهد.

آشنایی با مفاهیم

اکثر سازمان‌ها دشمنانی دارند که می‌خواهند مشکلاتی را ازطریق مهندسی اجتماعی برایشان ایجاد کنند. این دشمنان می‌توانند کارکنان فعلی یا سابق همان سازمان که به دنبال انتقام هستند، رقبایی که می‌خواهند از آنها سبقت بگیرند و یا هکرهای تازه‌کاری که تلاش می‌کنند مهارت‌های خود را به اثبات برسانند، باشند.

صرف‌نظر از اینکه مشکل توسط چه کسی ایجاد می‌شود،‌ هر سازمانی در معرض خطر قرار دارد. شرکت‌های بزرگتری که تأسیسات و شعبات آنها در مکان‌های متعددی پخش شده‌اند، غالباً آسیب‌پذیرتر هستند، اما شرکت‌های کوچک نیز مورد حمله قرار می‌گیرند. هرکسی از پرسنل پذیرش گرفته تا نگهبانان امنیتی و پرسنل IT می‌توانند قربانیان احتمالی مهندسی اجتماعی باشند. کارکنان میز اطلاعات و مرکز تلفن، دارای آسیب‌پذیری بیشتری خواهند بود زیرا آموزش دیده‌اند تا مفید و آماده ارائه اطلاعات باشند. حتی یک کاربر نهائی متوسط و آموزش ندیده نیز در معرض حمله قرار دارد.

مهندسی اجتماعی دارای پیامدهای جدّی است. از آنجایی‌که هدف مهندسی اجتماعی «بهره‌برداری از یک نفر برای کسب منافع غیرقانونی است»، هرچیزی امکان دارد. مهندسین اجتماعی کارآمد، می‌توانند اطلاعات زیر را جمع‌آوری نمایند:

– کلمات عبور سرپرستی یا کاربری

– نشان‌ها یا کلیدهای امنیتی برای ورود به ساختمان‌ها و حتی اتاق کامپیوتر

– دارایی‌های ذهنی نظیر مشخصات طرح، فرمول‌ها و یا سایر مستندات تحقیق و توسعه

– گزارشات مالی محرمانه

– اطلاعات خصوصی و محرمانه کارکنان

– فهرست مشتریان و پیش‌بینی‌های فروش

اگر هریک از اطلاعات فوق به بیرون درز کند، می‌توانند با زیان‌های مالی، کاهش روحیه کارکنان، به خطر افتادن وظیفه‌شناسی نسبت به مشتریان و حتی ایجاد مشکلات قانونی همراه باشد. «بخش سخت خارجی» که توسط فایروال‌ها و سیستم‌های تشخیص نفوذ ایجاد شده است، غالباً یک احساس کاذب از امنیت را بوجود آورده و باعث تشدید مشکلات می‌گردد.

در مهندسی اجتماعی، شما هیچ‌گاه نمی‌دانید که شیوه بعدی حمله چه خواهد بود. بهترین کاری که می‌توانید انجام دهید این است که گوش به زنگ مانده، شیوه‌های مهندسی اجتماعی را درک کرده و ازطریق هوشیاری امنیتی مداوم در سازمان، از خود دربرابر متداول‌ترین حملات، محافظت نمائید. در ادامه، توضیح خواهیم داد که چگونه می‌توانید این‌کار را انجام دهید.

انجام حملات مهندسی اجتماعی

فرآیند مهندسی اجتماعی، عملاً تاحدودی ابتدایی به نظر می‌رسد. به طور کلّی، مهندسین اجتماعی، جزئیاتی از فرآیندهای سازمانی و سیستم‌های اطلاعاتی را برای اجرای حملات خود پیدا می‌کنند. آنها با در اختیار داشتن این اطلاعات می‌دانند که باید به دنبال چه چیزی باشند.

هکرها معمولاً حملات مهندسی اجتماعی را در 4 مرحله ساده انجام می‌دهند:

1) انجام تحقیقات

2) اعتمادسازی

3) بهره‌برداری از روابط برای کسب اطلاعات ازطریق مکالمات، رفتارها و یا فناوری

4) استفاده از اطلاعات جمع‌آوری شده برای مقاصد بدخواهانه

برحسب حمله‌ای که انجام می‌شود، این مراحل می‌تواند شامل هزاران مرحله فرعی و یا تکنیک مختلف باشند.

پیش از آنکه مهندسین اجتماعی، حمله خود را اجراء کنند، باید هدفی را درنظر بگیرند. این اولین قدم یک هکر در فرآیند حمله به حساب می‌آید و هدف مورد بحث به احتمال قوی از قبل در ذهن هکر جای گرفته است. هکر می‌خواهد چه کاری را انجام دهد؟ هکر تلاش می‌کند چه چیزی را هک کند و چرا؟ آیا او به دنبال دارایی‌های ذهنی، کلمات عبور سرور و نشان‌های امنیتی است یا اینکه صرفاً می‌خواهد ثابت کند که امکان نفوذ به خطوط دفاعی شرکت وجود وجود دارد؟ در تلاش خود به عنوان یک هکر اخلاقی که مشغول انجام مهندسی اجتماعی است، این هدف را پیش از آغاز حرکت خود تعیین نمائید.

Fishing

پس از آنکه مهندسین اجتماعی توانستند هدف را در ذهن خود مشخص کنند، معمولاً حمله را با جمع‌آوری اطلاعات عمومی درباره قربانی (با قربانیان) خود آغاز می‌نمایند. بسیاری از مهندسین اجتماعی، اطلاعات را به کندی و در طول زمان جمع‌آوری می‌کنند تا باعث ایجاد بدگمانی نشوند. قابل مشاهده بودن، آخرین نشانه‌ای است که هنگام دفاع دربرابر مهندسی اجتماعی با آن مواجه خواهید شد. ما در ادامه به سایر نشانه‌های هشداردهنده در این مورد اشاره خواهیم کرد.

صرفنظر از شیوه انجام تحقیقات ابتدائی، تمام چیزی که یک هکر برای آغاز نفوذ خود به یک سازمان نیاز دارد عبارت است از یک فهرست از کارکنان، چند شماره تلفن کلیدی داخلی و یا یک تقویم سازمانی.

استفاده از اینترنت

امروزه، اینترنت به عنوان رسانه تحقیقاتی اصلی شناخته می‌شود. تنها چند دقیقه کار با Google یا سایر موتورهای جستجو و عبارات کلیدی ساده‌ای نظیر نام شرکت و یا نام کارکنان خاص آن، غالباً انبوهی از اطلاعات را در اختیار هکر قرار می‌دهد. شما حتی می‌توانید اطلاعات بیشتری را از سوابق SEC و در سایت‌هایی نظیر Hoovers یا Finance-yahoo.com بدست آورید. درواقع، اطلاعاتی که به صورت Online، قابل دسترسی هستند، می‌توانند بسیاری از سازمان‌ها (خصوصاً مدیریت سطح بالای آنها) را به وحشت بیندازند. با استفاده از اطلاعات این موتورهای جستجو و مرور سایت‌های وب، هکر غالباً اطلاعات کافی برای آغاز یک حمله مهندسی اجتماعی را بدست می‌آورد.

هکرها می‌توانند با پرداخت تنها 100دلار (یا کمتر)، به بررسی جامع سوابق اشخاص بر روی بعضی از سایت‌ها بپردازند. این جستجوها عملاً می‌توانند تنها در چند دقیقه هرگونه اطلاعات عمومی (و گاهی‌اوقات خصوصی) را درباره یک فرد ارائه نمایند.

گردش در زباله‌ها

گردش در زباله‌ها، یک شیوه دشوارتر با ریسک بالاتر برای جمع‌آوری اطلاعات به حساب می‌آید اما درعین‌حال، شدیداً مؤثر است . این شیوه به طور تحت‌اللفظی با جستجوی سطل‌های آشغال برای بدست آوردن اطلاعات مربوط به یک شرکت سروکار دارد.

گردش در زباله‌ها می‌تواند حتی محرمانه‌ترین اطلاعات را نیز فاش کند زیرا بسیاری از کارکنان تصور می‌کنند که اطلاعات آنها پس از رفتن به فایل 13، کاملاً امن خواهد بود. اکثر مردم در ارزش احتمالی کاغذهایی که دور می‌ریزند، فکر نمی‌کنند. این اسناد، غالباً حاوی انبوهی از اطلاعات هستند که اطلاعات موردنیاز مهندس اجتماعی برای نفوذ بیشتر به یک سازمان را در اختیار او قرار می‌دهند. یک مهندس اجتماعی زیرک، به جستجوی اسناد چاپی زیر خواهد بود:

– فهرست تلفن‌های داخلی

– نمودارهای سازمانی

– کتابچه‌های دستی کارکنان که غالباً حاوی خط‌ مشی‌های امنیتی است

– نمودارهای شبکه

– فهرست کلمات عبور

– یادداشت‌های مربوط به ملاقات‌ها

– صفحات گسترده و گزارشات

– نسخه‌های چاپ شده e-mailها که حاوی اطلاعات محرمانه‌ای هستند خرد کردن (Shredding) کاغذها تنها زمانی مؤثر خواهد بود که آنها را به قطعات بسیار کوچک و نامنظمی خرد نمائید. دستگاه‌های Shredder ارزان‌قیمتی که کاغذ را صرفاً به صورت رشته‌های بلند خرد می‌کنند، اساساً دربرابر یک مهندس اجتماعی مصمم، کاملاً بی‌ارزش خواهند بود. با صرف مقداری زمان و چسب، یک مهندس اجتماعی به آسانی می‌تواند قطعات یک سند را مجدداً درکنار یکدیگر قرار دهد.

هکرها غالباً اطلاعات تجاری و شخصی محرمانه سایرین را با گوش دادن به مکالماتی که در رستوران‌ها، کافی‌شاپ‌ها، فروشگاه‌ها و یا حتی هواپیماها انجام می‌شوند، جمع‌آوری می‌کنند. مردمی که درهنگام استفاده از تلفن همراه خود با صدای بلند صحبت می‌کنند، منابع ایده‌الی برای کسب اطلاعات به حساب می‌آیند. هریک از ما، هنگامی‌که در یک رستوران یا محلّ عمومی دیگری مشغول انجام کار خود بوده‌ایم، از آنچه که دیگران درهنگام صحبت با یکدیگر فاش کرده‌اند (حتی زمانی‌که اصلاً تلاش نمی‌کردیم صحبت‌های آنها را بشنویم)، حیرت‌زده شده ایم.

هکرها همچنین در زباله‌ها به جستجوی دیسک‌های فلاپی، CD-ROMها و DVDها، کیس‌های کامپیوتر قدیمی (خصوصاً آنهایی ‌که هنوز درایوهای دیسک سخت ظاهراً غیرقابل استفاده خود را دارند) و نوارهای Backup می‌پردازند.

سیستم‌های تلفنی

هکرها، می‌توانند اطلاعات زیادی را با استفاده از ویژگی «تماس با نام» تعبیه شده در اکثر سیستم‌های Voicemail بدست آورند. برای دسترسی به این اطلاعات، شما معمولاً تنها کلید 0 را درهنگام تماس با شماره اصلی و یا حتی میزکار یک شخص خاص فشار می‌دهید. این حیله خصوصاً بعد از ساعات کاری (که مطمئن هستید کسی به تلفن جواب نمی‌دهد)، مؤثر خواهد بود.

اگر هکرها بتوانند محلّی که از آن تماس می‌گیرند را مخفی نگهدارند، می‌توانند از هویت خود محافظت نمایند. بعضی از شیوه‌هایی که آنها می‌توانند برای این منظور مورد استفاده قرار دهند، عبارتند از:

– تلفن های عمومی:این تلفن می تواند شماره های خود را از Callerمخفی کند.

– تلفن‌های تجاری: سروکار داشتن با دفتری که از یک سوئیچ تلفن استفاده می‌کند، دشوارتر است. با اینحال، تمام چیزی که هکر معمولاً به آن نیاز دارد، یک راهنمای کاربر و کلمه عبور سرپرستی نرم‌افزار سوئیچ تلفن است. در بسیاری از سوئیچ‌ها، هکر می‌تواند شماره مبدأ (شامل یک شماره تحریف شده نظیر شماره تلفن منزل قربانی) را وارد نماید. با اینحال، سیستم‌های تلفنی VoIP (Voice Over IP) این مشکل را برطرف نموده‌اند.

هکرها تنها با گوش دادن به پیام‌های صندوق صوتی (Voicemail)، جزئیات جالبی از اطلاعات را بدست می‌آورند، مثل اینکه قربانیان آنها چه زمانی دفتر خارج از شهر هستند. آنها همچنین با گوش دادن به پیام‌های صندوق صوتی یا Presentationهای اینترنتی و Webcastها، به مطالعه صدای قربانیان خود می‌پردازند تا بتوانند هویت آنها را جعل کنند.

اعتمادسازی

بدست آوردن اعتماد بسیار دشوار است، اما به آسانی ازدست می‌رود. اعتماد، اساس مهندسی اجتماعی است. اکثر انسان‌ها به انسان‌های دیگر اعتماد می‌کنند، مگرآنکه شرایطی بروز کند که وادار به تغییر نظر خود شوند. ما می‌خواهیم به یکدیگر کمک کنیم، خصوصاً اگر امکان ایجاد اعتماد وجود داشته باشد و درخواست کمک نیز منطقی به نظر برسد. اکثر مردم می‌خواهند تا در محلّ کار خود بازیکنان تیمی باشند و نمی‌دانند که چه اتفاقی می‌تواند روی دهد اگر اطلاعات «بیش از حدّی» را به یک منبع «قابل اعتماد» فاش کنند. به همین دلیل است که مهندسین اجتماعی می‌توانند به اهداف خود نائل شوند. البته، ایجاد اعتماد عمیق غالباً به زمان بیشتری نیاز دارد. مهندسین ماهر اجتماعی، این اعتماد را در طول چند دقیقه یا چندساعت بدست می‌آورند. آنها چگونه اعتمادسازی می‌کنند؟

– توانایی جلب دوستی: چه کسی نمی‌تواند با یک فرد مؤدب ارتباط برقرار کند؟ همه «ادب و مهربانی» را دوست دارند. هرچه یک مهندس اجتماعی مهربان‌تر باشد (بدون زیاده‌روی)، شانس بیشتری برای بدست آوردن آنچه که جستجو می‌کند خواهد داشت. مهندسین اجتماعی غالباً کار خود را با جلب توجه عمومی آغاز می‌کنند. آنها غالباً از اطلاعاتی که در مرحله جستجو بدست آورده‌اند (برای تعیین اینکه قربانی به چه چیزی علاقه دارد)، آغاز می‌کنند و رفتار خود را با این موارد تطبیق می‌دهند. برای مثال، آنها می‌توانند به قربانی تلفن زده یا شخصاً با او ملاقات نمایند و سپس براساس اطلاعاتی که قبلاً درباره او جمع‌آوری کرده‌اند، صحبت درمورد تیم‌های ورزشی محلّی یا یک فیلم سینمایی جدید را آغاز کنند. تنها چند جمله دقیق که به خوبی تنظیم شده باشند، می‌توانند آغاز یک ارتباط خوشایند جدید باشند.

باورپذیری: البته باورپذیری تاحدودی به آگاهی مهندسین اجتماعی و سطح مطلوبیت آنها بستگی دارد. با اینحال، مهندسین اجتماعی از جعل هویت نیز استفاده می‌کنند و احتمالاً ظاهر یک کارمند جدید یا یک کارمند عادی (که قربانی تاکنون او را ندیده) را به خود می‌گیرند. ممکن است آنها حتی تظاهر کنند، فروشنده‌ای هستند که با سازمان قربانی روابط تجاری دارند. آنها غالباً درنهایت تواضع، مدعی مقام بالایی برای خود می‌شوند تا افراد را تحت تأثیر قرار دهند. متدول‌ترین حیله مهندسی اجتماعی، انجام کار خوشایندی است تا قربانی احساس کند که درمقابل، موظف به انجام کار خوشایندی می‌باشد و یا با انجام این کار، یک همکار تیمی خوب در سازمان به حساب می‌آید.

بهره‌برداری از روابط

پس از آنکه مهندسین اجتماعی توانستند اعتماد قربانیان ناآگاه خود را بدست آورند، آنها را اغوا می‌کنند تا اطلاعات بیشتری (نسبت به آنچه که باید) را فاش نمایند. آنها این کار را ازطریق ارتباطات الکترونیکی و یا چهره به چهره انجام می‌دهند که قربانیان با آن احساس راحتی می‌کنند. همچنین ممکن است آنها از فناوری‌هایی برای وادار کردن قربانیان به فاش نمودن اطلاعات، استفاده کنند.

1.فریب ازطریق جملات و رفتارها :

مهندسین اجتماعی حیله‌گر، می‌توانند اطلاعات داخلی را به شیوه‌های مختلفی، از قربانیان خود بدست آورند. آنها غالباً ماهرانه صحبت می‌کنند و بر روی پیشرفت مکالمات خود تمرکز می‌کنند، بدون‌آنکه وقت زیادی به قربانیان خود بدهند تا درمورد آنچه که می‌گویند فکر کنند. با اینحال، اگر آنها در طول حملات مهندسی خود بی‌دقت یا بیش از حد مشتاق باشند، جزئیات زیر می‌توانند مانع کارشان شوند:

– رفتار بیش از حد دوستانه یا مشتاق

– ذکر نام افراد برجسته در داخل شرکت

– لاف زدن درمورد مقام خود در داخل شرکت

– تهدید به توبیخ کارمندان درصورت اجابت نشدن درخواست‌ها

– رفتار عصبی درهنگام مواجه شدن با پرسش‌ها (گزیدن لب‌ها و ناآرامی، خصوصاً دست‌ها و پاها، زیرا برای کنترل قسمت‌هایی از بدن که از صورت دورتر هستند، تلاش هوشیارانه‌تری لازم است)

– تأکید بیش از حد بر جزئیات

– تغییرات فیزیولوژیکی نظیر بازشدن مردمک‌ها یا تغییر در گام صدا

– رفتار عجولانه

– امتناع از ارائه اطلاعات

– ارائه داوطلبانه اطلاعات و پاسخ دادن به پرسش‌های مطرح نشده

– آگاهی از اطلاعاتی که یک فرد خارجی نباید آنها را در اختیار داشته باشد.

– یک فرد خارجی شناخته شده که از اصطلاحات یا زبان داخلی سازمان استفاده می‌کند.

– مطرح نمودن پرسش‌های عجیب

– املاء غلط عبارات در ارتباطات نوشتاری

یک مهندس اجتماعی متبحّر، با رفتارهای فوق، قابل شناسایی نخواهد بود، اما اینها تعدادی از علائمی هستند که درهنگام یک رفتار مجرمانه مشاهده می‌شوند. هکرها، غالباً به یک نفر لطف می‌کنند، سپس بازگشته و از او می‌خواهند که به آنها کمک نماید. این یک حیله متداول در مهندسی اجتماعی است که به خوبی کار می‌کند. هکرها همچنین غالباً از روشی که «مهندسی اجتماعی معکوس» نامیده می‌شود، استفاده می‌کنند. در این شیوه، آنها به برطرف نمودن یک مشکل خاص کمک می‌کنند. مدّتی می‌گذرد و مشکل مجدداً روی می‌دهد (غالباً به طور عمدی توسط خود هکر) و آنها بازهم به برطرف نمودن مشکل کمک می‌کنند. به این ترتیب، آنها می‌توانند به قهرمانانی تبدیل شوند که همین مسئله باعث تقویت انگیزه‌شان می‌گردد. همچنین ممکن است هکرها به سادگی از یک کارمند ناآگاه بخواهند که به آنها لطفی بکند. بله، آنها آشکارا یک لطف را درخواست می‌کنند. بسیاری از مردم به سادگی در این تله می‌افتند.

جعل هویت یک کارمند بسیار آسان است. مهندسین اجتماعی می‌توانند یک یونیفورم مشابه را بپوشند، از یک نشان ID جعلی استفاده کنند و یا به سادگی لباس کارکنان واقعی را بر تن نمایند. به این ترتیب، مردم تصور می‌کنند که «بله، ظاهر و رفتار او مثل من است، پس باید یکی از ما باشد». مهندسین اجتماعی درعین‌حال وانمود می‌کنند کارمندانی هستند که از یک خط خارجی با داخل سازمان تماس گرفته‌اند. این یک شیوه بسیار مشهور برای بهره‌برداری از پرسنل میز اطلاعات و مرکز تلفن سازمان است.

2- فریب ازطریق فناوری:

فناوری، می‌تواند کارها را برای یک مهندس اجتماعی، آسان‌تر نماید. غالباً یک درخواست بدخواهانه برای اطلاعات، از یک کامپیوتر یا ماهیت الکترونیکی دیگری می‌آید که قربانی تصور می‌کند قادر به شناسایی آن است. با این‌حال جعل نام یک کامپیوتر، یک آدرس e-mail، یک شماره فاکس و یا یک آدرس شبکه بسیار آسان است. خوشبختانه شما می‌توانید بعضی اقدامات متقابل را در برابر این موارد، اتخاذ نمائید.

یکی از شیوه‌های هکرها برای فریب ازطریق فناوری، ارسال e-mail و درخواست اطلاعات مهم از قربانی است. اینگونه e-mailها معمولاً لینکی را فراهم می‌کنند که قربانی را به یک سایت وب با ظاهر حرفه‌ای و قانونی هدایت می‌کند که به نوبه خود، ظاهراً اطلاعات حساب او نظیر ID کاربری، کلمات عبور و شماره تأمین‌اجتماعی را «بروز رسانی» می‌کند.

هشدار به حرفه‌ای‌ها

در اینجا خاطره یک متخصص IT را مطالعه می‌کنید که به خاطر تجربه خود تصور می‌کرد که هیچ‌گاه در تله مهندسی اجتماعی نخواهد افتاد. او می‌گوید: «یک روز من با اتصال اینترنت پرسرعت خود مشکل داشتم. به این فکر افتادم که از دسترسی Dial-up استفاده کنم، زیرا به هرحال، بهتر از عدم دسترسی به e-mailها و سایر کارهای ابتدایی Online بود. من با ISP خود تماس گرفته و به مسئول پشتیبانی فنی گفتم که کلمه عبور Dial-up خود را فراموش کرده‌ام. این وضعیت، می‌توانست آغاز یک فرآیند مهندسی اجتماعی باشد که من می‌توانستم در برابر آن مقاومت کنم، ولی من در آن فرو رفتم. متصدی پشتیبانی فنی، برای یک دقیقه مکث کرد و به نظر می‌رسید که درحال بررسی اطلاعات حساب Dial-up من است.» سپس از من پرسید: «شما چه کلمه عبوری را امتحان می‌کنید؟».

من به شکل احمقانه‌ای تمام عباراتی که می‌توانستند کلمه عبورم باشند را بیان کردم. برای چند لحظه، سکوت در تماس تلفنی ما حاکم شد. او کلمه عبور من را تعویض کرد و رمز جدید را به من اطلاع داد. پس از قطع کردن تلفن، من به خودم گفتم «اینجا چه اتفاقی افتاد؟ من در معرض مهندسی اجتماعی قرار گرفتم. یعنی من دیوانه شده‌ام؟». من تمام کلمات عبوری که در رابطه با حساب کاربری اینترنت خود فاش کرده بودم را تغییر دادم تا او نتواند از آنها برعلیه من استفاده کند. من هنوز اطمینان دارد که او درحال امتحان کردن من بود. درسی که از این تجربه آموختم این بود که هرگز و تحت هیچ شرایطی کلمه عبور خود را برای شخص دیگری (یک کارمند دیگر، رئیس خود و یا هر فرد دیگری) فاش نکنید زیرا پی‌آمدهای آن می‌توانند وحشتناک باشند.

بسیاری از پیام‌های Spam و Fishing از همین حیله استفاده می‌کنند. اکثر کاربران آنقدر در معرض سیلی از Spamها و سایر e-mailهای ناخواسته قرار می‌گیرند که معیارهای حفاظتی خود را فراموش کرده و e-mail یا ضمیمه‌ای را باز می‌کنند که نباید باز کنند. این e-mailها معمولاً بسیار حرفه‌ای و باورپذیر به نظر می‌رسند. آنها غالباً افراد را فریب می‌دهند تا اطلاعات را فاش نمایند که هیچ‌گاه نباید آنها را درمقابل یک هدیه ارائه کنند. این حیله‌های مهندسی اجتماعی همچنین زمانی مورد استفاده قرار می‌گیرند که یک هکر قبلاً به داخل یک شبکه نفوذ کرده و پیام‌هایی را ارسال می‌کند یا پنجره‌های Pop-up اینترنتی جعلی را ایجاد می‌نماید. همین روش‌ها ازطریق پیام‌رسانی (Instant Messaging) IM و سیستم‌های پیام‌رسانی تلفن‌های سلولی نیز بکار گرفته می‌شوند.

در بعضی از حوادث عمومی، هکرها وصله‌ای را برای قربانیان خود e-mail می‌کنند که ادعا می‌نماید ازطرف مایکروسافت یا سایر فروشندگان مشهور ارسال گردیده است. کاربران تصور می‌کنند این یک هدیه بی‌خطر ازطرف یک ارسال‌کننده قابل اعتماد است. با اینحال، پیام ازطرف هکری ارسال شده که از کاربر می‌خواهد «وصله» را نصب کند، اما درواقع یک اسب تروای Key-Logger بر روی سیستم نصب شده و یا یک درب پشتی در کامپیوترها یا شبکه‌ها باز می‌گردد. هکرها از این درب‌های پشتی برای نفوذ به سیستم‌های سازمان‌ها و یا استفاده از کامپیوترهای قربانیان (که تحت عنوان «زامبی» شناخته می‌شوند) به عنوان سکوهای پرتاب حملات خود به سایر سیستم‌ها بهره‌گیری می‌نمایند. حتی ویروس‌ها و یا کرم‌ها نیز می‌توانند به مهندسی اجتماعی تکیه داشته باشند. برای نمونه، کرم LoveBug به کاربران می‌گفت که آنها یک تحسین‌کننده محرمانه دارند. زمانی‌که قربانی e-mail خود را باز می‌کرد، دیگر کار از کار گذشته بود. درواقع، آنها هیچ تحسین‌کننده محرمانه‌ای نداشتند و خبر بدتر اینکه، کامپیوترشان نیز آلوده شده بود.

شیوه کلاهبرداری Nigerian 419 e-mail، تلاش می‌کند تا به وجوه و حساب‌های بانکی کاربران ناآگاه دسترسی پیدا کند. این مهندسین اجتماعی، به قربانی پیشنهاد می‌کنند که درقبال برگرداندن وجوه و سرمایه‌های یک مشتری تازه درگذشته به آمریکا، چندین میلیون‌دلار دریافت نماید. تمام کاری که قربانی باید انجام دهد، اعلام اطلاات حساب بانکی خود و پرداخت مبلغ اندکی برای پوشش هزینه‌های این انتقال است. به این ترتیب، قربانیان درواقع حساب‌های بانکی خود را تخلیه کرده‌اند.

بسیاری از تاکتیک‌های کامپیوتری مهندسی اجتماعی، به طور ناشناس و ازطریق سرورهای پروکسی اینترنتی، Anonymizerها، Remailerها و سرورهای SMTP ابتدایی که به طور پیش‌فرض رله می‌کنند، قابل انجام هستند. هنگامیکه مردم درمقابل درخواست اطلاعات شرکتی یا اطلاعات شخصی محرمانه قرار می‌گیرند، ردیابی این حملات مهندسی اجتماعی، غالباً غیرممکن است.

اقدامات متقابل مهندسی اجتماعی

شما تنها چند خط دفاعی مناسب دربرابر مهندسی اجتماعی دارید. حتی باوجود سیستم‌های امنیتی قدرتمند نیز یک کاربر بی‌تجربه می‌تواند امکان ورود مهندس اجتماعی به داخل شبکه را فراهم نماید. هیچ‌گاه قدرت مهندسی اجتماعی را دست‌کم نگیرید.

خط مشی‌ها

خط مشی‌های خاص در بلندمدت به دفع اقدامات مهندسی اجتماعی کمک می‌کنند:

– طبقه‌بندی داده‌ها

– استخدام کارکنان و پیمانکاران و راه‌اندازی IDهای کاربران

– خاتمه دادن به کار کارکنان و پیمانکاران و حذف IDهای کاربری

– ایجاد و نوسازی کلمات عبور

– واکنش به حوادث امنیتی نظیر رفتارهای مشکوک

– اداره اطلاعات محرمانه و اختصاصی

– همراهی مهمانان

این خط ‌مشی‌ها باید قابل اجراء بوده و اعمال شوند (درمورد تمام افراد داخل یک سازمان). آنها را به روز نگهدارید و درباره آنها برای کاربران نهائی خود توضیح دهید.

ضرورت هوشیاری و آموزش کاربران

بهترین خط دفاعی درمقابل مهندسی اجتماعی، یک سازمان با کارکنانی است که می‌توانند حملات مهندسی اجتماعی را تشخیص داده و دربرابر آن واکنش نشان دهند. هوشیاری کارکنان با آموزش‌های ابتدایی برای همه آغاز شده و سپس با ابتکار عمل‌های هوشیاری امنیتی برای حفظ اولویت دفاع دربرابر مهندسی اجتماعی در ذهن تمام کارکنان، ادامه پیدا می‌کند. آموزش و آگاهی کارکنان را با خط‌مشی‌های امنیتی تطبیق دهید.

شما می‌توانید آموزش‌های امنیتی را به یک مربی امنیتی باتجربه بسپارید. معمولاً اگر آموزش‌ها توسط یک فرد خارجی ارائه شوند، توسط کارکنان، جدّی‌تر گرفته می‌شوند. سپردن آموزش‌های امنیتی به منابع خارجی، ارزش سرمایه‌گذاری‌های مربوطه را دارد. درحالیکه به آموزش و هوشیاری مستمر کارکنان خود در سازمان ادامه می‌دهید، نکات زیر می‌توانند برای مقابله با حملات مهندسی اجتماعی در بلندمدّت به شما کمک کنند:

– با هوشیاری و آموزش‌های امنیتی به عنوان یک سرمایه‌گذاری تجاری رفتار کنید.

– کاربران را تحت آموزش‌های مداوم قرار دهید تا موضوع «امنیت» در ذهن آنها تازه بماند.

– مضامین آموزشی خود را در حدّ امکان متناسب با مخاطبین آنها آماده کنید.

– یک برنامه هوشیاری مهندسی اجتماعی را برای توابع تجاری و نقش کاربران خود ایجاد نمائید.

– پیام‌های خود را تا حدّ امکان غیرفنی نگهدارید.

– برنامه‌های تشویقی را برای جلوگیری از حوادث امنیتی و گزارش آنها تهیه کنید.

– کارکنان را با بیان مثال‌های مختلف، راهنمایی کنید.

برای کمک به جلوگیری از وقوع حملات مهندسی اجتماعی، این نکات را با کاربران خود به اشتراک بگذارید:

– هرگز اطلاعاتی را فاش نکنید مگرآنکه مطمئن شوید فردی که اطلاعات را درخواست نموده به آنها نیاز داشته و درعین‌حال، همان کسی است که ادعا می‌کند. اگر یک درخواست به صورت تلفنی مطرح شده است، هویت تماس‌گیرنده را بررسی کرده و شما با او تماس بگیرید (Call Back).

– هیچگاه بر روی یک لینک e-mail که ظاهراً شما را به یک صفحه با اطلاعاتی که نیازمند بروزرسانی هستند هدایت می‌نماید، کلیک نکنید. این موضوع خصوصاً درمورد e-mailهای ناخواسته صادق است.

– تمام مهمانان را در داخل یک ساختمان همراهی کنید.

– هیچ‌گاه فایل‌هایی که از افراد بیگانه گرفته‌اید را باز یا ارسال نکنید.

– هیچ‌گاه کلمات عبور خود را اعلام نکنید.

پیشنهادهای عمومی زیر نیز می‌توانند حملات مهندسی اجتماعی را دفع نمایند:

– هیچ‌گاه به یک غریبه اجازه ندهید که به یکی از پورت‌های شبکه یا شبکه بی‌سیم شما متصل شود، حتی برای چند ثانیه. یک هکر می‌تواند در همین فرصت، یک تحلیل‌گر شبکه، برنامه اسب تروا یا malware دیگری را مستقیماً بر روی شبکه شما قرار دهد.

– اطلاعات خود را (چه به صورت الکترونیکی و چه به صورت کپی سخت)، طبقه‌بندی کنید. به تمام کارکنان آموزش دهید که چگونه باید هریک از انواع اطلاعات را اداره نمایند.

– خط ‌مشی‌هایی را برای انهدام اسناد و رسانه‌های کامپیوتری تهیه کرده و اعمال نمائید. این خط‌ مشی‌ها تضمین می‌کنند که داده‌ها بادقت اداره می‌شوند و همان‌جایی می‌مانند که باید باشند.

– از سیستم‌های کاغذ خردکن Cross-Shredding استفاده کنید. با این‌حال، هنوز بهتر است با یک شرکت «انهدام اسناد» که در زمینه انهدام مستندات محرمانه تخصص دارد، قرارداد ببندید.

نهایتاً، تکنیک‌های زیر می‌توانند مضمون آموزش‌های رسمی را تقویت کنند:

– توجیه کارکنان تازه‌وارد، اجرای دوره‌های آموزشی مجدد، e-mailها و روزنامه‌ها

– جزوه‌های مقابله با مهندسی اجتماعی به همراه توصیه‌ها و FAQها

– خرده‌ریزهایی نظیر محافظ‌های صفحه نمایش، پد ماوس، یادداشت‌های چسبان، قلم‌ها و پوسترهای دفتری که حاوی پیام‌هایی در زمینه تقویت اصول امنیتی هستند.

موارد مشابه

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

5 × 4 =