IRCAR200910038
در اغلب مقالات، مهندسي اجتماعي بعنوان «هنر و علم موافق كردن ديگران با خواست خود»، يا «استفاده هكر از ترفندهاي روانشناسي بر روي كاربران معتبر يك سيستم كامپيوتري براي رسيدن به اطلاعاتي كه براي دسترسي به سيستم مورد نياز است»، و يا «بدست آوردن اطلاعات مورد نياز (براي مثال كلمه عبور) از يك شخص به جاي نفوذ به سيستم» مطرح شده است. در حقيقت، مهندسي اجتماعي ميتواند هريك از اين موارد يا تمام آنها باشد. چيزي كه همه در مورد آن توافق دارند اين است كه مهندسي اجتماعي عموما مهارت هوشمندانه فرد هكر در جلب اعتماد و نظر كاربر قرباني است. هدف هكر اين است كه اطلاعاتي را بدست آورد كه به وي اجازه خواهد داد تا به يك سيستم ارزشمند و اطلاعات آن بدون مجوز دسترسي داشته باشد.
هدف و حمله
اهداف اوليه مهندسي اجتماعي شبيه اهداف هك بوده و عبارت است از بدست آوردن دسترسي بدون مجوز به سيستم يا اطلاعات براي كلاهبرداري، نفوذ به شبكه، جاسوسي صنعتي، سرقت هويت، و يا از كار انداختن يك سيستم يا يك شبكه. اهداف نوعي نيز شامل شركتهاي تلفن، شركتهاي صاحب نام و موسسات تجاري، آژانسهاي نظامي و دولتي، و بيمارستانها ميباشند. البته اين حملات در بسياري موارد اهداف كوچكتري را نيز شامل ميشوند.
پيدا كردن يك نمونه حقيقي مهندسي اجتماعي در زندگي واقعي كار بسيار سختي است. چرا كه سازمانهايي كه هدف اين حملات قرار ميگيرند، اولا معمولا نميخواهند ديگران متوجه اين اتفاق گردند و به شهرت آنها آسيب برسد، ثانيا گاهي اصلا اين حملات به خوبي مستند نميشوند و به درستي معلوم نيست كه اصلا حمله مهندسي اجتماعي رخ داده باشد.
اما در مورد اينكه چرا حملات مهندسي اجتماعي مورد علاقه هكرها هستند، بايد به اين نكته اشاره كرد كه اصولا، پرسيدن كلمه عبور يك نفر به مراتب آسانتر از استفاده از روشهاي پيچيده فني و بدست آوردن كلمه عبور وي است. ساده ترين راه براي ورود به يك سيستم كامپيوتري اين است كه به سادگي از شخصي مجوز بگيريم. صرفنظر از تكنولوژيهاي رمزنگاري و امنيتي كه شما به كار گرفته ايد، يك شبكه هيچگاه كاملا امن نيست. شما هرگز نميتوانيد از فاكتور انساني خلاص شويد. اگر كارمندان شما به هر كسي كه بخواهد به سيستمهاي شبكه شما دسترسي داشته باشد اين مجوز را بدهند، اصلا مهم نيست چه تعداد فايروال، شبكه خصوصي مجازي (VPN)، يا وسايل رمزنگاري در اختيار داشته باشيد.
يك مهندس اجتماعي فردي است كه با استفاده از فريب، تشويق، و اثر گذاري سعي ميكند به اطلاعاتي كه در دسترس وي نيست دست پيدا كند. اين حقيقت كه هميشه كسي هست كه اطلاعات را لو بدهد، به مهندسان اجتماعي اين فرصت را ميدهد كه اغلب مراكز داده امن را در جهان گير بيندازند.
مهندسي اجتماعي چيزي بيش از جلب اعتماد طرف مقابل و گول زدن وي است، بلكه شامل درك روانشناسي انسان و داشتن يك حركت روشمند در تاثير گذاري بر افراد است تا بتوان اطلاعات حساس و يا دسترسي بدون مجوز را از طريق آنها بدست آورد. به عبارت ديگر، مهندسي اجتماعي فقط به اين معني نيست كه فرد، دروغگوي خوبي باشد، بلكه در حقيقت چنين فردي مهندسي است كه راههايي براي اداره كردن افراد به نفع خود پيدا ميكند.
مهندسان اجتماعي از ابزارهاي مختلف شامل تلفن، ايميل و وب و تكنيكهاي مختلف براي كار خود استفاده ميكنند. اين مقاله به چند تكنيك مشهورتر و پر كاربردتر مهندسي اجتماعي ميپردازد.
1. يادگيري زبان شركت شما
يك مهندس اجتماعي زبان شركت هدف خود را مطالعه كرده و قادر خواهد بود از آن به خوبي استفاده نمايد. اگر كسي بتواند از كلمات، عبارات و واژه هايي كه شما در محيط كار به شنيدن آنها عادت داريد استفاده كند، قطعا شما راحت تر به وي اعتماد كرده و اطلاعات مورد نظر را به او تسليم خواهيد كرد. اين ترفند چه بوسيله تلفن و چه بوسيله ايميل از اهميت ويژه اي برخوردار است.
2. استفاده از موسيقي hold شركت
فريبكاران موفق به زمان، حوصله و استقامت نياز دارند. مهاجمان اغلب به آرامي و روشمند كار خود را انجام ميدهند. آنها براي انجام كار خود، به جزئيات شخصي در مورد افراد، و نيز جمع آوري يك سري شگردهاي اجتماعي احتياج دارند تا بتوانند هدف خود را اقناع نمايند تا وي باور كند كه آنها نيز يكي از كارمندان همين سازمان هستند. يك روش موفق در اين مورد، استفاده از موسيقي hold در تلفن است كه آن شركت در زماني كه میخواهد تماس گيرنده ها را پشت خط نگه دارد، از آن استفاده ميكند.
فرد مجرم با شركت تماس گرفته و موسيقي hold را ضبط كرده و سپس، از آن براي مقاصد خود استفاده ميكند. وقتي اين فرد با قرباني تماس ميگيرد، پس از مدت كوتاهي صحبت مدعي ميشود كه خط ديگرش در حال تماس است و قرباني را پشت خط نگه ميدارد. فرد قرباني با شنيدن موسيقي hold كه هميشه در شركت آنها مورد استفاده قرار ميگيرد، راحتتر به فرد مهاجم اعتماد ميكند. اين يك شگرد رواني است.
3. جعل شماره تلفن
اين دسته از مجرمان معمولا با جعل شماره تلفن، كاري ميكنند كه شماره ديگري روي caller ID فرد هدف نمايش داده شود. به اين ترتيب در حالي كه فرد مجرم از آپارتمان خودش با شما تماس ميگيرد، به نظر ميرسد كه شماره وي يكي از شماره هاي داخل سازمان است.
قطعا اگر شماره نشان داده شده در caller ID يكي از شماره هاي سازمان باشد، فرد قرباني با احتمال بسيار زيادي اطلاعات مورد نياز مجرم مانند كلمات عبور را به وي اعلام خواهد كرد. پيگيري اين جرم نيز ممكن نخواهد بود، چرا كه تماس گرفتن با شماره اي كه روي caller ID وجود دارد، شما را به يك شماره داخلي سازمان متصل ميكند.
در اينگونه موارد بهتر است به خاطر داشته باشيد كه حتي الامكان از تسليم كردن اطلاعات حساس بصورت تلفني خودداري كنيد.
4. استفاده از اخبار بر عليه شما
هر چه كه در اخبار مطرح شود، افراد خرابكار از آن اطلاعات بعنوان ابزارهاي مهندسي اجتماعي براي ارسال هرزنامه، سرقت هويت و ساير روشهاي فريبكاري استفاده مينمايند. تعداد زيادي از ايميلهاي سرقت هويت ديده شده اند كه به خريداري شدن يك بانك توسط ديگران مرتبط بوده اند. چنين ايميلي ميگويد كه بانك شما توسط اين بانك خريداري شده است و براي اطمينان از اينكه اطلاعات شما به روز شده است، بايد اينجا كليك كنيد. آنها با اين كار به اطلاعات حساب شما دسترسي پيدا كرده و به اين ترتيب ميتوانند از حساب شما سرقت نمايند و يا اينكه اطلاعات آن را به شخص ديگري بفروشند.
اين اتفاق ميتواند در مورد تغيير تنظيمات يك حساب ايميل نيز اتفاق بيفتد. براي مثال، در يك پيغام ايميل به شما اطلاع داده ميشود كه لازم است براي اعمال تغييراتي كه جهت ارتقاي امنيت سرويس ايميل انجام شده، اطلاعات خود از جمله نام كاربري و كلمه عبور را وارد كنيد.
بهتر است به خاطر داشته باشيد كه تقريبا هيچگاه نياز نيست سرويس دهنده شما، براي مواردي به جز ورود به سيستم و يا تغيير كلمه عبور توسط خود شما، از شما اطلاعات خصوصي را درخواست نمايد.
5. سوء استفاده از سايتهاي شبكه هاي اجتماعي
Facebook، Myspace و Linked In، از مشهورترين سايتهاي شبكه هاي اجتماعي هستند. بسياري از مردم به اين سايتها اعتماد دارند. بسياري از طرفداران سايتهاي شبكه هاي اجتماعي، ايميلهاي زيادي دريافت ميكنند كه ادعا ميشود از طرف سايتهايي مانند Facebook هستند، ولي در حقيقت از طرف فريبكاران اينترنتي ارسال شده اند.
اين افراد ايميلهايي با اين محتوا دريافت ميكنند: «اين سايت در حال انجام پاره اي تغييرات است. براي به روز رساني اطلاعات خود اينجا را كليك نماييد.» البته وقتي شما روي اين لينك كليك ميكنيد، به سايت افراد خرابكار وارد ميشويد كه از شما ميخواهد اطلاعات محرمانه خود را وارد كرده و به روز نماييد.
بايد توجه داشته باشيد كه بسيار به ندرت ممكن است يك سايت براي شما درخواستي مبني بر تغيير كلمه عبور و يا به روز رساني حساب كاربري ارسال نمايد.
6. سوء استفاده از اشتباهات تايپي
افراد خرابكار همچنين از اشتباهات مردم در هنگام تايپ كردن در وب سوء استفاده ميكنند. ممكن است شما يك آدرس URL را تايپ نماييد، اما يك حرف آن را اشتباه وارد كنيد، و ناگهان با نتايج غير منتظره اي روبرو شويد.
اين افراد خرابكار، خود را براي اشتباهات تايپي شما آماده ميكنند و سايتي بسيار شبيه به سايت مورد نظر شما (كه در تايپ آدرس آن اشتباه كرده ايد) ايجاد مينمايند. در نتيجه كاربر به جاي ورود به سايت مورد نظر خود، وارد يك سايت تقلبي ميشود و فرد خرابكار ميتواند اطلاعات وي را سرقت كرده و يا بدافزاري را روي سيستم وي نصب نمايد.
7. مهندسي اجتماعي معكوس
اين روش شامل سه مرحله است: خرابكاري عمدي، تبليغات، و ادعاي كمك كردن. در مرحله اول، يك مهندس اجتماعي راهي براي خرابكاري در يك شبكه پيدا ميكند. اين مرحله ميتواند به پيچيدگي ايجاد يك حمله عليه يك وب سايت، و يا به سادگي ارسال يك ايميل جعلي و ادعاي ويروسي بودن سيستم افراد باشد. مهم نيست كه چه تكنيكي در اين مرحله مورد استفاده قرار گيرد، بلكه نكته مهم اين است كه يا واقعا شبكه هدف را خراب نمايد، و يا صرفا اين احساس را در قرباني خود ايجاد كند كه شبكه خراب شده است.
در مرحله دوم، مهندس اجتماعي سرويس خود را بعنوان يك مشاور امنيتي معرفي ميكند. اين كار ميتواند به روشهاي مختلف از جمله ارسال ايميل، كارت ويزيت، و يا ارسال نامه انجام گيرد. در اين زمان، مهندس اجتماعي يك خرابكاري در شبكه انجام داده و يا وانمود به وقوع يك خرابكاري در شبكه كرده و خود را در موقعيت كمك رساني قرار داده است. شركتي كه قرباني اين فرد قرار ميگيرد، تبليغات وي را مشاهده كرده و با تصور يك مشاور امنيتي، با اين مهندس اجتماعي تماس گرفته و به وي اجازه ميدهد كه روي شبكه آسيب ديده كار كند. در اين هنگام، مهندس اجتماعي وانمود میكند كه در حال ترميم مشكل است، اما در حقيقت كار ديگري مثل قرار دادن ثبت كننده كليد در سيستمها و يا سرقت داده هاي محرمانه را انجام ميدهد.
8. درخواست كمك
در اين روش مهندس اجتماعي سعي ميكند احساسات انسان دوستانه شما را تحريك كرده و با طرح درخواست كمك، اطلاعات مورد نظر خود را بدست آورد. براي مثال به گفتگوي تلفني زير دقت كنيد:
مهندس اجتماعي: سلام. من يكي از كارمندان اين سازمان هستم كه به تازگي در اينجا استخدام شده ام. ميتوانم خواهش كنم براي استفاده از پرينتر شبكه به من كمك كنيد؟
كارمند: سلام. خواهش ميكنم. چه مشكلي پيش آمده؟
مهندس اجتماعي: من ميخواهم يك پرينت از گزارشم تهيه كنم. ولي چون تا به حال از پرينتر شبكه استفاده نكرده ام، رمز عبورم را براي اتصال به سرويس پرينت فراموش كرده ام.
كارمند: نام كاربري شما چيست؟
مهندس اجتماعي: مطمئن نيستم ولي فكر ميكنم ASDFGH باشد.
كارمند: نام كاربري شما در ليست وجود ندارد. مطمئنيد آن را درست به خاطر سپرده ايد؟
مهندس اجتماعي: نميدانم. ممكن است اشتباه كرده باشم. ممكن است شما نام كاربري مرا فعال كنيد. رئيس من منتظر اين گزارش است و من نگرانم كه در اين روزهاي اول كار، نكته منفي از من به ذهن بسپارد.
كارمند: بسيار خوب! يك نام كاربري به اسم ASDFGH براي شما با رمز عبور 123456 فعال شد.
مشاهده ميكنيد كه حس كمك به همنوع، كارمند يك سازمان را وادار به لو دادن اطلاعات و يا اعطاي مجوز به يك شخص فاقد اعتبار مينمايد.
9. تهديد
يكي از روشهاي مهندسي اجتماعي اين است كه با استفاده از تهديد اعتبار فرد، وي ناگزير به ارائه اطلاعات محرمانه گردد. در اين روش، فرد مهاجم خود را بعنوان فردي در سازمان هدف جا زده و از كارمند اين سازمان ميخواهد كه يك سري اطلاعات را براي انجام كاري به وي ارائه دهد. احتمالا اين كارمند ابتدا با توجه به قوانين از پيش تعريف شده، از ارائه اين اطلاعات خودداري ميكند. اما مهندس اجتماعي به راحتي ميتواند با تهديد اعتبارات فرد با جملاتي شبيه «هر اتفاق بدي كه رخ دهد مسووليت آن با شماست كه همكاري نكرده ايد»، وي را راضي به همكاري نمايد.
تنها راه مقابله با ترفندهاي مهندسي اجتماعي، آموزش كاربران و آگاهي دادن به آنان است تا به راحتي فريب مجرمان را نخورند. همچنين تدوين قوانين مناسب كه كارمندان سازمان موظف باشند فقط بر اساس آن قوانين اطلاعات محرمانه را به ديگران تسليم كنند نيز، ميتواند در اين زمينه كمك كننده باشد.
- 20