مهندسی اجتماعی

مهندسی اجتماعی

تاریخ ایجاد

IRCAR200910038
در اغلب مقالات، مهندسي اجتماعي بعنوان «هنر و علم موافق كردن ديگران با خواست خود»، يا «استفاده هكر از ترفندهاي روانشناسي بر روي كاربران معتبر يك سيستم كامپيوتري براي رسيدن به اطلاعاتي كه براي دسترسي به سيستم مورد نياز است»، و يا «بدست آوردن اطلاعات مورد نياز (براي مثال كلمه عبور) از يك شخص به جاي نفوذ به سيستم» مطرح شده است. در حقيقت، مهندسي اجتماعي مي­تواند هريك از اين موارد يا تمام آنها باشد. چيزي كه همه در مورد آن توافق دارند اين است كه مهندسي اجتماعي عموما مهارت هوشمندانه فرد هكر در جلب اعتماد و نظر كاربر قرباني است. هدف هكر اين است كه اطلاعاتي را بدست آورد كه به وي اجازه خواهد داد تا به يك سيستم ارزشمند و اطلاعات آن بدون مجوز دسترسي داشته باشد.

هدف و حمله
اهداف اوليه مهندسي اجتماعي شبيه اهداف هك بوده و عبارت است از بدست آوردن دسترسي بدون مجوز به سيستم يا اطلاعات براي كلاهبرداري، نفوذ به شبكه، جاسوسي صنعتي، سرقت هويت، و يا از كار انداختن يك سيستم يا يك شبكه. اهداف نوعي نيز شامل شركتهاي تلفن، شركتهاي صاحب نام و موسسات تجاري، آژانسهاي نظامي و دولتي، و بيمارستانها مي­باشند. البته اين حملات در بسياري موارد اهداف كوچكتري را نيز شامل مي­شوند.
پيدا كردن يك نمونه حقيقي مهندسي اجتماعي در زندگي واقعي كار بسيار سختي است. چرا كه سازمانهايي كه هدف اين حملات قرار مي­گيرند، اولا معمولا نمي­خواهند ديگران متوجه اين اتفاق گردند و به شهرت آنها آسيب برسد، ثانيا گاهي اصلا اين حملات به خوبي مستند نمي­شوند و به درستي معلوم نيست كه اصلا حمله مهندسي اجتماعي رخ داده باشد.
اما در مورد اينكه چرا حملات مهندسي اجتماعي مورد علاقه هكرها هستند، بايد به اين نكته اشاره كرد كه اصولا، پرسيدن كلمه عبور يك نفر به مراتب آسانتر از استفاده از روشهاي پيچيده فني و بدست آوردن كلمه عبور وي است. ساده ترين راه براي ورود به يك سيستم كامپيوتري اين است كه به سادگي از شخصي مجوز بگيريم. صرفنظر از تكنولوژيهاي رمزنگاري و امنيتي كه شما به كار گرفته ايد، يك شبكه هيچگاه كاملا امن نيست. شما هرگز نمي­توانيد از فاكتور انساني خلاص شويد. اگر كارمندان شما به هر كسي كه بخواهد به سيستمهاي شبكه شما دسترسي داشته باشد اين مجوز را بدهند، اصلا مهم نيست چه تعداد فايروال، شبكه خصوصي مجازي (VPN)، يا وسايل رمزنگاري در اختيار داشته باشيد.
يك مهندس اجتماعي فردي است كه با استفاده از فريب، تشويق، و اثر گذاري سعي مي­كند به اطلاعاتي كه در دسترس وي نيست دست پيدا كند. اين حقيقت كه هميشه كسي هست كه اطلاعات را لو بدهد، به مهندسان اجتماعي اين فرصت را مي­دهد كه اغلب مراكز داده امن را در جهان گير بيندازند.
مهندسي اجتماعي چيزي بيش از جلب اعتماد طرف مقابل و گول زدن وي است، بلكه شامل درك روانشناسي انسان و داشتن يك حركت روشمند در تاثير گذاري بر افراد است تا بتوان اطلاعات حساس و يا دسترسي بدون مجوز را از طريق آنها بدست آورد. به عبارت ديگر، مهندسي اجتماعي فقط به اين معني نيست كه فرد، دروغگوي خوبي باشد، بلكه در حقيقت چنين فردي مهندسي است كه راههايي براي اداره كردن افراد به نفع خود پيدا مي­كند.
مهندسان اجتماعي از ابزارهاي مختلف شامل تلفن، ايميل و وب و تكنيكهاي مختلف براي كار خود استفاده مي­كنند. اين مقاله به چند تكنيك مشهورتر و پر كاربردتر مهندسي اجتماعي مي­پردازد.

1. يادگيري زبان شركت شما
يك مهندس اجتماعي زبان شركت هدف خود را مطالعه كرده و قادر خواهد بود از آن به خوبي استفاده نمايد. اگر كسي بتواند از كلمات، عبارات و واژه هايي كه شما در محيط كار به شنيدن آنها عادت داريد استفاده كند، قطعا شما راحت تر به وي اعتماد كرده و اطلاعات مورد نظر را به او تسليم خواهيد كرد. اين ترفند چه بوسيله تلفن و چه بوسيله ايميل از اهميت ويژه اي برخوردار است.
2. استفاده از موسيقي hold شركت
فريبكاران موفق به زمان، حوصله و استقامت نياز دارند. مهاجمان اغلب به آرامي و روشمند كار خود را انجام مي­دهند. آنها براي انجام كار خود، به جزئيات شخصي در مورد افراد، و نيز جمع آوري يك سري شگردهاي اجتماعي احتياج دارند تا بتوانند هدف خود را اقناع نمايند تا وي باور كند كه آنها نيز يكي از كارمندان همين سازمان هستند. يك روش موفق در اين مورد، استفاده از موسيقي hold در تلفن است كه آن شركت در زماني كه می‌خواهد تماس گيرنده ها را پشت خط نگه دارد، از آن استفاده مي­كند.
فرد مجرم با شركت تماس گرفته و موسيقي hold را ضبط كرده و سپس، از آن براي مقاصد خود استفاده مي­كند. وقتي اين فرد با قرباني تماس مي­گيرد، پس از مدت كوتاهي صحبت مدعي مي­شود كه خط ديگرش در حال تماس است و قرباني را پشت خط نگه مي­دارد. فرد قرباني با شنيدن موسيقي hold كه هميشه در شركت آنها مورد استفاده قرار مي­گيرد، راحتتر به فرد مهاجم اعتماد مي­كند. اين يك شگرد رواني است.
3. جعل شماره تلفن
اين دسته از مجرمان معمولا با جعل شماره تلفن، كاري مي­كنند كه شماره ديگري روي caller ID فرد هدف نمايش داده شود. به اين ترتيب در حالي كه فرد مجرم از آپارتمان خودش با شما تماس مي­گيرد، به نظر مي­رسد كه شماره وي يكي از شماره هاي داخل سازمان است.
قطعا اگر شماره نشان داده شده در caller ID يكي از شماره هاي سازمان باشد، فرد قرباني با احتمال بسيار زيادي اطلاعات مورد نياز مجرم مانند كلمات عبور را به وي اعلام خواهد كرد. پيگيري اين جرم نيز ممكن نخواهد بود، چرا كه تماس گرفتن با شماره اي كه روي caller ID وجود دارد، شما را به يك شماره داخلي سازمان متصل مي­كند.
در اينگونه موارد بهتر است به خاطر داشته باشيد كه حتي الامكان از تسليم كردن اطلاعات حساس بصورت تلفني خودداري كنيد.
4. استفاده از اخبار بر عليه شما
هر چه كه در اخبار مطرح شود، افراد خرابكار از آن اطلاعات بعنوان ابزارهاي مهندسي اجتماعي براي ارسال هرزنامه، سرقت هويت و ساير روشهاي فريبكاري استفاده مي­نمايند. تعداد زيادي از ايميلهاي سرقت هويت ديده شده اند كه به خريداري شدن يك بانك توسط ديگران مرتبط بوده اند. چنين ايميلي مي­گويد كه بانك شما توسط اين بانك خريداري شده است و براي اطمينان از اينكه اطلاعات شما به روز شده است، بايد اينجا كليك كنيد. آنها با اين كار به اطلاعات حساب شما دسترسي پيدا كرده و به اين ترتيب مي­توانند از حساب شما سرقت نمايند و يا اينكه اطلاعات آن را به شخص ديگري بفروشند.
اين اتفاق مي­تواند در مورد تغيير تنظيمات يك حساب ايميل نيز اتفاق بيفتد. براي مثال، در يك پيغام ايميل به شما اطلاع داده مي­شود كه لازم است براي اعمال تغييراتي كه جهت ارتقاي امنيت سرويس ايميل انجام شده، اطلاعات خود از جمله نام كاربري و كلمه عبور را وارد كنيد.
بهتر است به خاطر داشته باشيد كه تقريبا هيچگاه نياز نيست سرويس دهنده شما، براي مواردي به جز ورود به سيستم و يا تغيير كلمه عبور توسط خود شما، از شما اطلاعات خصوصي را درخواست نمايد.
5. سوء استفاده از سايتهاي شبكه هاي اجتماعي
Facebook، Myspace و Linked In، از مشهورترين سايتهاي شبكه هاي اجتماعي هستند. بسياري از مردم به اين سايتها اعتماد دارند. بسياري از طرفداران سايتهاي شبكه هاي اجتماعي، ايميلهاي زيادي دريافت مي­كنند كه ادعا مي­شود از طرف سايتهايي مانند Facebook هستند، ولي در حقيقت از طرف فريبكاران اينترنتي ارسال شده اند.
اين افراد ايميلهايي با اين محتوا دريافت مي­كنند: «اين سايت در حال انجام پاره اي تغييرات است. براي به روز رساني اطلاعات خود اينجا را كليك نماييد.» البته وقتي شما روي اين لينك كليك مي­كنيد، به سايت افراد خرابكار وارد مي­شويد كه از شما مي­خواهد اطلاعات محرمانه خود را وارد كرده و به روز نماييد.
بايد توجه داشته باشيد كه بسيار به ندرت ممكن است يك سايت براي شما درخواستي مبني بر تغيير كلمه عبور و يا به روز رساني حساب كاربري ارسال نمايد.
6. سوء استفاده از اشتباهات تايپي
افراد خرابكار همچنين از اشتباهات مردم در هنگام تايپ كردن در وب سوء استفاده مي­كنند. ممكن است شما يك آدرس URL را تايپ نماييد، اما يك حرف آن را اشتباه وارد كنيد، و ناگهان با نتايج غير منتظره اي روبرو شويد.
اين افراد خرابكار، خود را براي اشتباهات تايپي شما آماده مي­كنند و سايتي بسيار شبيه به سايت مورد نظر شما (كه در تايپ آدرس آن اشتباه كرده ايد) ايجاد مي­نمايند. در نتيجه كاربر به جاي ورود به سايت مورد نظر خود، وارد يك سايت تقلبي مي­شود و فرد خرابكار مي­تواند اطلاعات وي را سرقت كرده و يا بدافزاري را روي سيستم وي نصب نمايد.
7. مهندسي اجتماعي معكوس
اين روش شامل سه مرحله است: خرابكاري عمدي، تبليغات، و ادعاي كمك كردن. در مرحله اول، يك مهندس اجتماعي راهي براي خرابكاري در يك شبكه پيدا مي­كند. اين مرحله مي­تواند به پيچيدگي ايجاد يك حمله عليه يك وب سايت، و يا به سادگي ارسال يك ايميل جعلي و ادعاي ويروسي بودن سيستم افراد باشد. مهم نيست كه چه تكنيكي در اين مرحله مورد استفاده قرار گيرد، بلكه نكته مهم اين است كه يا واقعا شبكه هدف را خراب نمايد، و يا صرفا اين احساس را در قرباني خود ايجاد كند كه شبكه خراب شده است.
در مرحله دوم، مهندس اجتماعي سرويس خود را بعنوان يك مشاور امنيتي معرفي مي­كند. اين كار مي­تواند به روشهاي مختلف از جمله ارسال ايميل، كارت ويزيت، و يا ارسال نامه انجام گيرد. در اين زمان، مهندس اجتماعي يك خرابكاري در شبكه انجام داده و يا وانمود به وقوع يك خرابكاري در شبكه كرده و خود را در موقعيت كمك رساني قرار داده است. شركتي كه قرباني اين فرد قرار مي­گيرد، تبليغات وي را مشاهده كرده و با تصور يك مشاور امنيتي، با اين مهندس اجتماعي تماس گرفته و به وي اجازه مي­دهد كه روي شبكه آسيب ديده كار كند. در اين هنگام، مهندس اجتماعي وانمود می‌كند كه در حال ترميم مشكل است، اما در حقيقت كار ديگري مثل قرار دادن ثبت كننده كليد در سيستمها و يا سرقت داده هاي محرمانه را انجام مي­دهد.
8. درخواست كمك
در اين روش مهندس اجتماعي سعي مي­كند احساسات انسان دوستانه شما را تحريك كرده و با طرح درخواست كمك، اطلاعات مورد نظر خود را بدست آورد. براي مثال به گفتگوي تلفني زير دقت كنيد:
مهندس اجتماعي: سلام. من يكي از كارمندان اين سازمان هستم كه به تازگي در اينجا استخدام شده ام. مي­توانم خواهش كنم براي استفاده از پرينتر شبكه به من كمك كنيد؟
كارمند: سلام. خواهش مي­كنم. چه مشكلي پيش آمده؟
مهندس اجتماعي: من مي­خواهم يك پرينت از گزارشم تهيه كنم. ولي چون تا به حال از پرينتر شبكه استفاده نكرده ام، رمز عبورم را براي اتصال به سرويس پرينت فراموش كرده ام.
كارمند: نام كاربري شما چيست؟
مهندس اجتماعي: مطمئن نيستم ولي فكر مي­كنم ASDFGH باشد.
كارمند: نام كاربري شما در ليست وجود ندارد. مطمئنيد آن را درست به خاطر سپرده ايد؟
مهندس اجتماعي: نمي­دانم. ممكن است اشتباه كرده باشم. ممكن است شما نام كاربري مرا فعال كنيد. رئيس من منتظر اين گزارش است و من نگرانم كه در اين روزهاي اول كار، نكته منفي از من به ذهن بسپارد.
كارمند: بسيار خوب! يك نام كاربري به اسم ASDFGH براي شما با رمز عبور 123456 فعال شد.
مشاهده مي­كنيد كه حس كمك به همنوع، كارمند يك سازمان را وادار به لو دادن اطلاعات و يا اعطاي مجوز به يك شخص فاقد اعتبار مي­نمايد.
9. تهديد
يكي از روشهاي مهندسي اجتماعي اين است كه با استفاده از تهديد اعتبار فرد، وي ناگزير به ارائه اطلاعات محرمانه گردد. در اين روش، فرد مهاجم خود را بعنوان فردي در سازمان هدف جا زده و از كارمند اين سازمان مي­خواهد كه يك سري اطلاعات را براي انجام كاري به وي ارائه دهد. احتمالا اين كارمند ابتدا با توجه به قوانين از پيش تعريف شده، از ارائه اين اطلاعات خودداري مي­كند. اما مهندس اجتماعي به راحتي مي­تواند با تهديد اعتبارات فرد با جملاتي شبيه «هر اتفاق بدي كه رخ دهد مسووليت آن با شماست كه همكاري نكرده ايد»، وي را راضي به همكاري نمايد.
تنها راه مقابله با ترفندهاي مهندسي اجتماعي، آموزش كاربران و آگاهي دادن به آنان است تا به راحتي فريب مجرمان را نخورند. همچنين تدوين قوانين مناسب كه كارمندان سازمان موظف باشند فقط بر اساس آن قوانين اطلاعات محرمانه را به ديگران تسليم كنند نيز، مي­تواند در اين زمينه كمك كننده باشد.

برچسب‌ها