مهندسی اجتماعی چیست؟
مهندسی اجتماعی Social Engineering برای اولین بار در سال ۱۸۹۴ و با این باور که برای مقابله با مشکلات انسانی، وجود افراد حرفهای ضروریست، مطرح شد.
در ابتدا مهندسی اجتماعی جنبۀ مثبتی داشت؛ چون باعث میشد افرادِ متخصص، در جامعه مداخلۀ مثبت داشته باشند. اما بعد از مدتی، به جنبۀ منفی گرایش پیدا کرد و به شستشوی مغزی افراد تبدیل شد.
شستشوی مغزی فقط در بحث سیاسی و اجتماعی وارد شده بود نه حوزه فناوری. اما بعدها فردی به نام Kevin Mitnick باعث شد این مفهوم به حوزه فناوری هم وارد شود. کوین میتنیک، هکر معروف دهه ۹۰ میلادی است که بعدها در زمینه امنیت مشغول به فعالیت شد و کتاب معروفی با عنوان هنر فریب را در همین حوزه نوشت.
مهندسی اجتماعی در حوزه فناوری اطلاعات و امنیت چگونه تعریف می شود؟
مهندسی اجتماعی در حوزه فناوری اطلاعات یعنی؛
هنر متقاعد ساختن فرد، با استفاده از شستشوی مغزی، برای انجام دادنِ کاری که امنیت را به خطر بیاندازد.
اگر علاقمند به مهندسی هک و امنیت شبکه هستید مقاله زیر را مطالعه کنید:
آشنایی با مسیر یادگیری هک و امنیت ؛ راهنمای جامع
چرخه حملات مهندسی اجتماعی چگونه است؟
مراحل چرخه مهندسی اجتماعی ۴ مورد زیر است:
- جمع آوری اطلاعات Information Gathering
- برقراری ارتباط Developing Relationship
- بهره برداری Exploitation
- اجرا و حمله Execution
شاید هر کدام از این ۴ مرحله، نیاز به تکرار داشته باشند تا نفوذگر به هدف خود برسد.
۱. جمع آوری اطلاعات ؛ اولین مرحله در حملات مهندسی اجتماعی
جمع آوری اطلاعات (Information Gathering) مهمترین مرحله در حملات مهندسی اجتماعی است و احتمال موفقیتِ بیشترِ حملات، به این فاز بستگی دارد. به همین دلیل زمان و توجه زیادی در این مرحله صرف میشود.
از اطلاعات جمع آوری شده برای تعیین مسیر حمله، گذرواژههای (Passwords) ممکن، تشخیص پاسخهای احتمالی افرادِ مختلف، ساختن سناریوهای قوی و … استفاده میشود.
۶ نمونه از بهترین روشهای مهندسی اجتماعی در هک، دستیابی و سوء استفاده از اطلاعات
- باز نگهداشتن درب و اجازه ورود به تشکیلات
- افشای نام کاربری و گذرواژه (پسورد) پشت تلفن
- فراهم کردن تاییدیه اجتماعی (تایید مهاجم توسط قربانی) با معرفی و تایید مهاجم برای سایر پرسنل کمپانی.
- وارد کردن یک درایو USB حاوی فایلهای مخرب در یکی از کامپیوترهای کمپانی
- باز کردن یک فایل ضمیمه ایمیلی که آلوده است.
- افشای اسرار محرمانه در گفتگویی که ظاهراً با “همکار” انجام میشود (یعنی مهاجم هویت همکار را جعل کرده است).
۲. برقراری ارتباط Developing Relationship مرحله دوم در حملات مهندسی اجتماعی
در مرحله برقراری ارتباط، یک رابطۀ کاری با شخص مورد نظر برقرار میشود. این مرحله مهم و حیاتی است زیرا کیفیت رابطۀ ایجاد شده توسط مهاجم، سطح همکاری و میزان پیشبرد اهداف با کمک قربانی را مشخص میکند.
روند برقراری ارتباط در حملات مهندسی اجتماعی چگونه است؟
مرحله برقراری ارتباط در حمله مهندسی اجتماعی ممکن است خیلی ساده و خلاصه یا پیچیده و در چند بخش باشد. به عنوان مثال؛ ساده به این شکل که، مهاجم با یک لبخند و برقراری تماس چشمی، به سمت شخص مورد نظر حرکت کند تا او در را برای ورودش به داخل سازمان باز کند.
پیچیده به این شکل که شامل برقراری ارتباط شخصی از طریق تلفن یا خیلی شخصیتر مثل نشان دادن تصاویر خانوادگی و بازگو کردن داستانهای خانوادگی به قربانی، در لابی باشد.
همچنین در این مرحله ممکن است، از یک رابطه آنلاین با پروفایل جعلی در شبکههای اجتماعی یا سایتهای دوستیابی، استفاده شود.
۳. بهره برداری Exploitation مرحله سوم در حملات مهندسی اجتماعی
در مرحله بهره برداری، مهاجم از اطلاعات و روابط برقرار شده، برای نفوذ و دستیابی به هدف استفاده میکند. ممکن است این بهره برداری، از طریق به دست آوردن اطلاعاتِ به ظاهر بی اهمیت یا دستیابی به یکسری دسترسیها انجام شود.
تمرکز مهاجم در مرحله بهره برداری از حمله، بر روی چه چیزی است؟
در فاز بهره برداری، تمرکزِ مهاجم رویِ ۲ مورد زیر است:
- حفظ رابطۀ برقرار شده
- حفظ رضایت و توافق کسب شده در مرحله قبل بدون ایجاد شک و بدگمانی
دورههای مرتبط در دانشیار آی تی
۴. اجرای حمله Execution مرحله آخر در چرخه حملات مهندسی اجتماعی
در مرحلۀ اجرای حمله، یا هدف حمله محقق میشود یا به دلایل مختلف، حمله به صورتی که شک و ظنی درباره اتفاقات ایجاد نشود، پایان میپذیرد.
عموماً بهتر است در مرحله اجرای حمله به گونهای عمل شود که، شخص مورد نظر (قربانی) حس کند کار خوبی برای یک شخص دیگر (مهاجم) انجام داده است و امکان تعاملات بیشتر در آینده هم وجود داشته باشد.
برای جلوگیری از افشای هویت مهاجم در مرحله حمله، باید چه کار کرد؟
برای جلوگیری از افشای هویت مهاجم و حتی مشخص شدنِ اینکه حملهای صورت گرفته است، بهتر است کارهایی مثل پاک کردن اثرات و ردپاهای دیجیتال و اطلاعات باقیمانده از حمله انجام شود. در ضمن هدف نهایی و آخرین اقدامِ مهاجم، ایجاد یک استراتژیِ خروجِ برنامه ریزی شده و دقیق است.
اگر قصد ورود به دنیای شبکه و امنیت دارید، ابتدا مقاله زیر را مطالعه کنید:
آشنایی با اولین گام برای ورود به دنیای شبکه و امنیت
۶ مورد متداول در تکنیک های مهندسی اجتماعی و روشهای شستشوی مغزی
در مهندسی اجتماعی حوزه فناوری اطلاعات، مهاجم از شستشوی مغزی استفاده میکند تا قربانی را به ارتکاب اشتباه امنیتی، متقاعد کند. به همین دلیل آگاهی از تکنیک های مهندسی اجتماعی و روش های شستشوی مغزی بسیار مهم است. در ادامه ۶ مورد از مهمترین تکنیک های مهندسی اجتماعی را شرح میدهیم؛
- استفاده از متن یا سناریوی آماده
- طعمه گذاشتن
- حرکت کردن پشت سر افراد مجاز برای ورود به ساختمان
- بازی کردن نقش دیگران
- جبران یک لطف
- القای ترس
۱. استفاده از متن یا سناریوی آماده
در استفاده از متن یا سناریوی آماده، مهاجم وانمود میکند که، تماس برقرار شده، بدون هر گونه هدف خرابکارانهای است. او یک گفتگو را شکل داده و رابطهای دوستانه ایجاد میکند و تنها در مراحل پایانیِ حمله، اطلاعات حساس را در خواست میکند.
۲. طعمه گذاشتن (Baiting)
با طعمه گذاشتن، مهاجمان، قربانی را فریب میدهند تا با انجام یک کار غیر امن، آنها را به خواستهشان برساند. به عنوان مثال؛ مهاجمان، یک فلش آلوده را با برچسبهایی مثل «لیست پاداشهای مخفیانه شرکت» بر سر راه قربانی قرار میدهند.
۳. حرکت کردن پشت سر افراد مجاز برای ورود به ساختمان
در این نوع حمله، مهاجم با حرکت کردن پشت سر یک فرد مجاز و وانمود کردن به این که او نیز مجاز به ورود داخل ساختمان است، سعی میکند وارد محوطهای شود که دسترسی به آنجا محدودیت دارد. هر چند این تعقیب کردن در دنیای فیزیکی انجام میشود اما هدف نهایی با حوزه فناوری اطلاعات در ارتباط است (مثلا مهاجم میتواند وارد اتاق سرور شود).
۴. بازی کردن نقش دیگران
در روش بازی کردن نقش دیگران، مهاجم وانمود میکند که شخص دیگری است؛ شخصی که قدرت و اختیار لازم برای مطرح کردن یک خواسته یا تقاضا را داشته باشد (مثلا فرد مهاجم خود را به جای پشتیبان فنی یا مدیرعامل معرفی میکند که از جمله حملات متداول در این گروه است).
۵. جبران یک لطف (Quid Pro Quo)
در روش جبران یک لطف، مهاجم چیزی به شما عرضه کرده و در ازای آن از شما چیزی را درخواست میکند. در عین حال، جنبه مخرب و بدخواهانه هدف خود را هم مخفی میکند. به عنوان مثال مهاجم در ازای پرداخت یک پاداش نقدی، از شما میخواهد رمز عبوری را در اختیار وی قرار دهید. همچنین وانمود میکند یک محقق فناوری اطلاعات است که بر روی یک نمونه موردی، مطالعه میکند.
۶. القای ترس (Scareware)
با القای ترس مهاجم وانمود میکند که یک فرد واسط است و در رابطه با یک خطر، به شما هشدار میدهد. مثلاً فردی حساب شما را هک کرده است؛ پس برای حل مسأله، شما باید رمز عبورتان را در اختیار وی قرار دهید.
روش های مهندسی اجتماعی مورد استفاده مهاجمین
روش های مهندسی اجتماعی در حملات، جنبههای زیادی دارند که در ۴ روش زیر طبقه بندی قرار میشوند.
- روشهای فیزیکی
- روشهای اجتماعی
- روشهای فنی
- روشهای فنی – اجتماعی
در این دوره آموزشی به صورت کاملا جامع و برای اولین بار در ایران، مهندسی اجتماعی و روش هایی که در این نوع از حملات استفاده می شود را آموزش ببینید:
دوره جامع مهندسی اجتماعی
۱. روش های فیزیکی در حملات مهندسی اجتماعی
در روشهای فیزیکی حملات مهندسی اجتماعی، مهاجم با اقدامات فیزیکی، سعی دارد اطلاعاتی را درباره قربانی، جمعآوری کند. این اطلاعات میتواند شامل اطلاعات شخصی (مثل شماره تامین اجتماعی و تاریخ تولد) یا اطلاعات ورود به یک سیستم کامپیوتری باشد.
برخی از روشهای فیزیکی نیاز به تجهیزات اندک و برخی دیگر نیاز به تجهیزات پیشرفتهای دارند.
ویژگیهای مشترک بین روش های فیزیکی حمله مهندسی اجتماعی
- نمیتوان آنها را از راه دور اجرا کرد
- برای انجام آنها باید حتماً مهاجم در محل، حضور فیزیکی داشته باشد
- مهاجم باید ماموریت را به صورت رو در رو و شخصی اجرا کند
- جهت بهره برداری موفقیت آمیز از این روشها، مهاجم نیازمند یک سناریوی از پیش طراحی شده، است
- استفاده از اصول نفوذ بر افراد (مهندسی اجتماعی) و سایر عوامل روانشناسی ضروری است
۵ متد حمله مهندسی اجتماعی به روش فیزیکی
روشهای زیر مهمترین متدهای حمله مهندسی اجتماعی به روش فیزیکی است:
۱. شیرجه در زباله ها (Dumpster Diving)
شیرجه در زباله ها یعنی؛ جستجو در آشغالها و زبالههای یک سازمان (کاغذهای پاره شده) جهت یافتن اطلاعات ارزشمند. در زباله ها اغلب اطلاعات مهمی یافت میشود، از جمله پروندههای پزشکی، نامهها، عکسها، نام افراد و شماره تماس آنها، صورت حسابهای بانکی، اطلاعات حساب بانکی، اطلاعاتی درباره نرمافزارها و گزارشهای بخش پشتیبانی فنی.
در بعضی از کتب و نشریات علمی، شیرجه در زباله های سطل آشغال رایانه را نیز در این طبقه گنجاندهاند. بسیاری از افراد از نبود کاربر پشت میز استفاده کرده و یک نسخه کپی از کل فایلهای پاک شده تهیه میکنند تا در فرصت مناسبی بتوانند اقدام به بررسی و تحقیق و تفحص کنند.
چنین حملهای میتواند یک منبع اطلاعاتی ارزشمند برای مهاجمین باشد و از این طریق به اطلاعات شخصی مربوط به کارمندان، دفترچههای راهنما، یادداشتها و حتی نسخههای چاپی اطلاعات حساس مثل اطلاعات ورود کاربران به سیستم، دست پیدا کنند. اگر مهاجمی بتواند به دفاتر سازمان مورد هدف دسترسی پیدا کند، ممکن است اطلاعاتی مثل پسوردها را به صورت نوشته شده روی برگههای یادداشت، پیدا کند.
۲. نفوذ و نقش بازی کردن
نفوذ (ورود سرزده و بدون اجازه) وقتی انجام میشود که مهاجم برای به دست آوردن اطلاعات؛ با جعل هویت فرد دیگری وارد ساختمان شخص /سازمان مورد هدف میشود. او میتواند با بازی کردن نقش یک کارمند، یک پیمانکار یا حتی یکی از مدیران IT سؤالهایی را بپرسد.همچنین او میتواند پیشنهاد رفع مشکلات را به صورت رو در رو یا از پشت تلفن مطرح کند.
۳. حرکت کردن پشت سر هدف
حرکت کردن با فاصله کم، پشت سر هدف (Piggybacking)، راهی برای دسترسی به یک ساختمان ایمن سازی شده، حتی در صورت وجود سازوکارهای امنیتی با کارت هوشمند یا استفاده از ویژگیهای زیست سنجی است.
معمولاً این راهکارهای امنیتی میتوانند مانع ورود کارکنان غیرمجاز به ساختمانها و دسترسی آنها به سیستمها یا شبکهها شوند. اما متأسفانه افراد، در بسیاری از موارد، بیش از حد برای کمک به دیگران، تلاش میکنند. به عنوان مثال وقتی به نظر میرسد که فردی در حال جستجوی کارت عبور خودش است، در را باز میگذارند تا از این طریق کمکی به او کرده باشند.
بازی کردن نقش کارمند یا تکنسینی که با عجله به سمت در حرکت میکند تا قبل از بسته شدن در وارد ساختمان شود هم یکی از روشهای دسترسی به ساختمانهایی است که ورود به آنها برای مهندسان اجتماعی، دشوار است.
۴. سرک کشیدن
سرک کشیدن ، ایستادن پشت سر افراد و نگاه کردن یکی دیگر از روشهای جمع آوری و دستیابی به اطلاعات است. اطلاعاتی که از این طریق جمع آوری میشود طیف وسیعی دارد، از شناسه کاربری گرفته تا کلمههای عبور یا سایر اطلاعات محرمانهای که به صورت متنِ ساده هستند.
در این روش، لزوماً نیازی به نفوذ فیزیکی به محل مورد نظر وجود ندارد. چنین کاری را میتوان در هر جایی که مردم لپتاپهایشان را برای کار باز میکنند، مثل کافی شاپها، فرودگاهها، رستورانِ هتلها یا حتی در فضای باز، انجام داد.
۵. مهندسی اجتماعی معکوس
در روش مهندسی اجتماعی معکوس، به جای برقراری تماس مستقیم با قربانی، مهاجم سعی میکند او را به این باور برساند که وی یک شخص قابل اطمینان است. در مهندسی اجتماعی معکوس، هدف این است که قربانی سعی کند به مهاجم نزدیک شود، مثلاً از او تقاضای کمک کند. به همین دلیل، به این روشِ غیر مستقیم، مهندسی اجتماعی معکوس گفته میشود.
مهندسی اجتماعی معکوس از چند مرحله تشکیل شده است؟
مهندسی اجتماعی معکوس از سه مرحله تشکیل شده است:
۱. خرابکاری عمدی
در این مرحله، خرابکاری در سیستم کامپیوتری سازمان رخ میدهد. این خرابکاریها بسیار متنوع هستند و از موارد سادهای مثل قطع کردن ارتباط فرد با شبکه سازمان تا موارد پیچیدهای مثل دستکاری اپلیکیشنهای نرمافزاری، میتوانند انجام شوند.
۲. تبلیغ
بعد از خرابکاری، مهاجمین تبلیغات میکنند که قادر به حل مشکل هستند.
۳. کمک رسانی
بعد از تبلیغات وقتی که قربانی از آنها تقاضای کمک میکند، مهندس اجتماعی مشکلی را که قبلاً خودش ایجاد کرده، رفع میکند و همزمان پسورد قربانی را برای حل مشکل، از او درخواست میکند یا به وی میگوید نرمافزار خاصی را نصب کند.
دورههای مرتبط در دانشیار آی تی
۲. روش های اجتماعی در حملات مهندسی اجتماعی
در روش های اجتماعی، مهاجم بر تکنیکهای روانشناسی مثل اصول متقاعد کردن برای شستشوی مغزی قربانی متکی است. یک نمونه از روشهای متقاعد کردن استفاده از قدرت (ادعایی) است. یکی از روشها، کنجکاوی است که از آن در حملات فیشینگ هدفمند و طعمه گذاشتن (Baiting) استفاده میشود.
برای افزایش احتمال موفقیت چنین حملاتی، مجرمان اغلب سعی میکنند یک رابطه با قربانیان آیندهشان برقرار کنند. طبق مطالعه گارتنر، جدیدترین نوع حملات مهندسی اجتماعی ، حملاتی هستند که از طریق تلفن اجرا میشوند. جاگذاری فلش در سازمان برای توسعه بدافزار روش دوم این افراد است.
۳. روش های فنی در حملات مهندسی اجتماعی
روش های فنی عمدتاً از طریق اینترنت انجام میشوند. گارتنر خاطر نشان کرده است؛ با توجه به این که کاربران در بسیاری موارد از رمز عبور یکسان (و ضعیف) برای حسابهای کاربری مختلف استفاده میکنند، اینترنت برای مهندسهای اجتماعی ابزاری جذاب جهت دستیابی به پسوردها است.
اغلب افراد توجه ندارند که به دست خود، اطلاعات شخصی زیادی را در اختیار مهاجمین (یا هر کسی که آن را جستجو میکند) قرار میدهند. مهاجمین در اغلب اوقات از موتورهای جستجو برای جمعآوری اطلاعات شخصی درباره قربانیان آیندهشان استفاده میکنند. همچنین، ابزارهایی وجود دارند که قادر به جمعآوری و تجمیع اطلاعات از منابع اینترنتی مختلف هستند.
۴٫ روش های فنی – اجتماعی در حملات مهندسی اجتماعی
در حملات مهندسی اجتماعی موفق، اغلب از ترکیب روشهای مختلفی که بالا ذکر شد، استفاده میشود. روش های فنی – اجتماعی منجر به ایجاد قویترین سلاحها برای مهندسهای اجتماعی شدهاند.
[۱۵۶۸۶,faraneshCourses squery=”” perpage=”۵″ coustomcourses=”۱۹۰۸۰,۱۸۴۹۸,۱۹۲۴۷,۱۸۱۳۳,۱۷۱۱۹″]
انواع روش های فنی – اجتماعی
۴ روش زیر از معروفترین و متداولترین روش های فنی – اجتماعی حملات مهندسی اجتماعیُ به شمار میرود:
۱. طعمه گذاری
در روش طعمه گذاری؛ مهاجمین یک وسیله ذخیره اطلاعات که آلوده به بدافزار است را در محلی قرار میدهند که احتمال پیدا کردن آن، توسط قربانی وجود دارد. این وسیله میتواند یک درایو USB، آلوده به تروجان (Trojan) باشند.
بهعلاوه در این روش، مهاجمین سعی میکنند با استفاده از برچسبهای وسوسه انگیزی مثل “محرمانه” یا “کارمندان اخراجی ۱۳۹۸” از حس کنجکاوی افراد استفاده کنند.
۲. مهندسی اجتماعی و فیشینگ و هرزنامه Spam بافت آگاه
فیشینگ اجتماعی و هرزنامه، یکی دیگر از ترکیبات متداول روشهای اجتماعی و فنی است. معمولاً فیشینگ (Phishing) از طریق ایمیل یا پیامرسانهای فوری انجام میشود و مثل اسپم گروه بزرگتری از کاربران را مورد هدف قرار میدهد. اما در مقابل، مهندسی اجتماعی معمولاً افراد خاص یا گروههای کوچکتری از افراد را مورد هدف قرار میدهند. تبهکاران امیدوارند که با ارسال پیام به تعداد زیادی از کاربران بتوانند عده زیادی را فریب دهند تا حمله آنها سودآور باشد.
همچنین فیشینگ از جمله مخاطرات امنیتی است که به شدت در اینترنت گسترش یافته. در فیشینگ، مهاجم سعی میکند قربانیان را فریب دهد تا اطلاعات حساسی مثل گذرواژه یا شماره کارت اعتباری خود را، در وبسایتی که تحت کنترل مهاجم است، وارد کنند.
ثابت شده که فیشینگ اجتماعی که در آن از اطلاعات اجتماعی مربوط به قربانی استفاده میشود، در مقایسه با فیشینگ معمولی میتواند فوق العاده موثرتر باشد. در همین راستا، برخی از مقالات به این نتیجه رسیدهاند که وقتی در ایمیلهای فیشینگ، هویت یکی از دوستانِ فردِ مورد نظر، جعل شود؛ نرخ موفقیت از ۱۶ درصد به ۷۲ درصد افزایش پیدا میکند.
۳. مهندسی اجتماعی از طریق شبکه های اجتماعی و پروفایل های جعلی
پروفایل جعلی در بیشتر شبکههای اجتماعی به راحتی قابل ساختن است؛ چون تنها گزینه اصلی و مورد نیاز، آدرس پست الکترونیک معتبر است. در نتیجه شرایط برای ایجاد پروفایلهای جعلی، بسیار آسانتر شده است.
مطالعهای که در سال ۲۰۰۷ با انتخاب تصادفیِ کاربران فیسبوک انجام گرفت، نشان داد که تقریباً ۴۱ درصد از کاربرانِ شبکههای اجتماعی، درخواست دوستی از سوی یک پروفایل جعلی را قبول کردند.
مثال از مهندسی اجتماعی در فضای مجازی با پروفایل های جعلی
فرد بعد از ساخت پروفایل جعلی و دوست شدن با افراد، حمله خود را شروع میکند. مهاجم اطلاعات پروفایل شخص را کپی میکند و در یک شبکه اجتماعی دیگر که آن شخص هنوز در آن عضو نیست، یک پروفایل جعلی میسازد و سپس با دوستان وی تماس میگیرد.
اگر کاربری در فیسبوک حساب داشته باشد اما در لینکدین خیر، مهاجم میتواند اطلاعات پروفایل فیسبوک وی را برای ایجاد یک حساب در لینکدین کپی کند و سپس با دوستان فیسبوکی او که در لینکدین هستند، تماس برقرار کند.
۴. برنامههای موبایلی
افزایش میزان استفاده از برنامههای موبایلی (اپلیکشن) در مشاغل و محیطهای خصوصی، آنها را به یک کانال محبوب برای حملات مهندسی اجتماعی تبدیل کرده است.
در ارتباطات تجاری، پیام رسانهای موبایلی و اپلیکیشنهای ایمیل، برای مهندسهای اجتماعی جذابیت زیادی دارند. از آنجایی که سیاستهای به همراه آوردن وسایل الکترونیکی شخصی مثل تبلت و گوشی موبایل، توسط بسیاری از شرکتها اجرایی شدهاند؛ تعداد کاربرانی که از گوشی موبایلشان برای چک کردن ایمیلهای شرکت یا خواندن مستندات ذخیره شده در ابر استفاده میکنند، روزبهروز بیشتر میشود.
اما خیلی از کاربران از برنامههای موبایلی، به طرز غیر ایمنی استفاده میکنند که امکان استفاده از آنها جهت اجرای حملات مهندسی اجتماعی وجود دارد.
در برنامههای پیام رسان موبایلی محبوب مثل واتساپ میتوان، شناسه فرستنده را جعل کرد. یک مهندس اجتماعی میتواند از این شرایط برای ارسال پیام به یک قربانی استفاده کند در حالیکه وانمود میکند یکی از دوستان وی است. مهندسان اجتماعی به کمک این آسیبپذیریها قادرند، حساب کاربران را ربوده و سپس از آنها جهت اهداف خود، استفاده کرد.
دورههای مرتبط در دانشیار آی تی
دستگاه های موبایل چگونه کار را برای مهندسان اجتماعی آسانتر کردهاند؟
خیلی از برنامههای موبایلی به شدت آسیبپذیر هستند و میتوانند اطلاعات حساس را از خود نشت دهند. به همین دلیل دستگاههای موبایلی مسیرهای حمله متعددی را برای مهندسی اجتماعی و سایر حملاتی که علیه حریم خصوصی کاربران است، فراهم میکنند. بعلاوه، برخی از برنامههای گوشیهای هوشمند، مجوز دسترسی به دادههای حساس روی دستگاه کاربر را درخواست میکنند.
اگر یک مهاجم چنین اپلیکیشنی بسازد میتواند این اطلاعات را به دست آورده و از آنها به عنوان یک نقطه شروع برای حمله مهندسی اجتماعی استفاده کند.
همچنین میتوان تبادل اطلاعات بین برنامههای گوشیهای هوشمند را شنود کرد و سپس از آنها جهت نقض خط مشیها و مجوزهای اپلیکیشن استفاده کرد. در برخی از موارد، مهاجم یک اپلیکیشن موبایلی محبوب را کپی کرده و از آن جهت اجرای حمله استفاده میکند.
۴ شرکت بزرگ که هدف مهندسی اجتماعی و حملات آن شدند
شرکتها و سازمانهای معروفی به نامهای RSA، نیویورک تایمز، کاسپر اسکی و… مورد تهاجم قرار گرفتهاند که در ادامه به معرفی ۴ مورد از آنها میپردازیم:
۱. شرکت RSA در سال ۲۰۱۱
شرکت RSA در سال ۲۰۱۱ قربانی حملهای شد که از طریق یک تهدید پیشرفته و مستمر انجام شده بود. تعدادی از کارمندان ایمیلی تحت عنوان “برنامه استخدام سال ۲۰۱۱ ” دریافت کردند. هر چند اکثر آنها این ایمیل را در فولدر هرزنامه (Spam) پیدا کرده بودند، اما این ایمیل به اندازهای خوب طراحی شده بود که گیرنده شکی به آن نمیکرد. بنابراین تعدادی از کارمندان ایمیل را مستقیما از پوشه هرزنامه باز کردند.
یک فایل صفحه گسترده، به این ایمیل پیوست شده بود. این فایل صفحه گسترده، حاوی یک اکسپلویت روز صفر بود که به کمک یکی از آسیبپذیریهای ادوبی فلش، یک در پشتی نصب میکرد. مهاجم، از یک آسیبپذیری برای کنترل دستگاه از راه دور استفاده کرده بود که در ابتدا شناسایی نشد. پس از تکمیل فاز اولیه مهندسی اجتماعی، مهاجمین به سیستمهای بیشتری در شبکه محلی نفوذ کردند. سپس آنها با موفقیت، تعدادی از اکانتهای استراتژیک و مهم را هک کرده و توانستند اطلاعات مهمی را درباره سیستم SecurID شرکت RSA سرقت کنند. در نهایت به دلیل موفقیت این حمله مهندسی اجتماعی، RSA مجبور به جایگزینی میلیونها توکن SecurID شد.
۲. نیویورک تایمز در سال ۲۰۱۳
نیویورک تایمز هم در سال ۲۰۱۳، هدف حملهای مشابه RSA قرار گرفت. هکرهای چینی یک حمله هدفمند ۴ ماهه اجرا و به سیستمهای کامپیوتری نیویورک تایمز نفوذ کردند. آنها اطلاعات ورود (Login) کارمندان را به دست آوردند. تحقیقات نشان میدهد که شواهدی درباره انگیزههای سیاسی در این حمله وجود داشت. مهاجمین حسابهای ایمیل را هک کرده و سعی کردند منبع ترافیک را برای نیویورک تایمز مخفی کنند و ترافیکِ ایجاد شده توسط حملات را از طریق کامپیوترهای دانشگاهی مستقر در آمریکا مسیریابی کنند.
باز هم مسیر اولیه حمله، یک حمله فیشینگ هدفمند بود که اعلامیههای جعلی فدکس (شرکت پست امریکایی) را ارسال میکرد. نیویورک تایمز، کارشناسان امنیت کامپیوتر را استخدام کرد تا این حمله را تحلیل کرده و از ایجاد تهدیدی مستمر پیشگیری کنند. آنها متوجه شدند که برخی روشهای مورد استفاده برای نفوذ به زیرساخت کمپانی با ارتش چین در ارتباط است. بعلاوه، بدافزار نصب شده برای دسترسی به کامپیوترهای شبکه کمپانی از الگوهایی مشابه به حملات قبلی چین تبعیت میکرد. قبلاً از کامپیوترهای همان دانشگاه در آمریکا توسط هکرهای ارتش چین استفاده شده است. با این حمله، هکرها پسورد تمام کارمندان نیویورک تایمز را به سرقت بردند و توانستند به دستگاههای شخصی ۵۳ نفر دسترسی پیدا کنند. اما طبق اعلام نیویورک تایمز، هیچ اطلاعات کامپیوتری به سرقت نرفته بود. خصوصیات این حمله به وضوح حکایت از یک انگیزه سیاسی داشت.
دورههای مرتبط در دانشیار آی تی
۳. شبکه جاسوسی سایبری اکتبر قرمز
شرکت کاسپرسکی (Kaspersky) اخیرا یک گزارش تحقیقاتی جدید درباره حملات فیشینگ هدفمند صورت گرفته علیه سازمانهای دیپلماتیک، دولتی و تحقیقی منتشر کرد. بیشتر سازمانهایی که هدف این حملات قرار گرفتند در کشورهای عضو اتحاد جماهیر شوری سابق در شرق اروپا و آسیای مرکزی قرار داشتند. این حمله، در سال ۲۰۰۷ آغاز شد و تا ابتدای سال ۲۰۱۳ ادامه داشت و منجر به سرقت دادههای حساسی از موسسات تحقیقاتی، گروههای هستهای، بخش انرژی و سازمانهای هوا-فضایی شد.
در این حمله هم مثل حملات RSA و نیویورک تایمز یک ایمیل فیشینگ هدفمند به گروهی از افراد منتخب ارسال شد. به عنوان مثال، مهاجمین اتومبیلهای دیپلماتیک ارزان قیمتی را در پیامهای فیشینگ هدفمند تبلیغ میکردند؛ این پیامها حاوی یک بدافزار سفارشی بودند. طبق اعلام کاسپرسکی، معماری بدافزار متشکل از افزونههای مخرب، ماژولهای سرقت اطلاعات و یک تروجانِ در پشتی بود که از آسیبپذیریهای امنیتی مایکروسافت آفیس، سوء استفاده میکرد. همچنین، مهاجمین اطلاعات حساس زیادی را از شبکههایی که به آنها رخنه کرده بودند، استخراج کردند.
از اطلاعات Login به سرقت رفته، به صورت یک لیست سازماندهی شده، برای حدس زدن پسورد سیستمهای دیگر استفاده شد. تهدید پیشرفته مستمر اکتبر قرمز تقریباً برای ۶ سال فعال بود. بررسیهای عمیق نشان داد در فایلهای اجرایی بدافزار، علائمی وجود دارشته که نشان میداده، مهاجمین در یک کشور روس زبان مستقر بودهاند.
۴. واترهولینگ
حملات واترهولینگ در کنار فیشینگ هدفمند، مسیر اصلی را در حملاتی که اخیرا علیه سازمانهای چند ملیتی صورت گرفت، تشکیل میدادند. در این روش، مهاجمان به جای اینکه مستقیماً کارمندان را با پیامهای فیشینگِ سفارشی مورد هدف قرار دهند، وبسایتهایی را هدف قرار دادند که احتمال بازدید از آنها توسط قربانیانشان وجود داشت. آنها وبسایتهای خاصی را با بدافزار هدف قرار داده و انتظار داشتند که برخی از کارمندان کمپانیهای مورد نظرشان از این سایتها بازدید کنند.
راه های مقابله با مهندسی اجتماعی (۵ توصیه مهم)
- آموزش و آگاهی بخش به تک تک افراد سازمان و فرهنگسازی مناسب در مورد حملات مهندسی اجتماعی
- شناخت اطلاعات حساس و آموزش طبقهبندی اطلاعات به پرسنل
- باز نکردن ایمیل از منابع مشکوک
- نرم افزار آنتی ویروس خود را به روز کنید
- کلیک نکردن و دانلود نکردن پیوست ایمیل هایی که قبلا با آنها در ارتباط نبودهاید
جمع بندی مقاله روشهای حملات مهندسی اجتماعی
در این مقاله از دانشیار آی تی آموختیم که؛
- حملات مهندسی اجتماعی در یک فرایند ۴ مرحلهای ۱. جمع آوری اطلاعات، ۲.برقراری ارتباط، ۳.بهره برداری و ۴. حمله انجام میشود.
- مهم ترین تکنیک های مهندسی اجتماعی عبارتند از؛ متن یا سناریوی آماده – طعمه گذاشتن – حرکت کردن پشت سر افراد مجاز برای ورود به ساختمان – بازی کردن نقش دیگران – جبران یک لطف و در آخر؛ القای ترس صورت میگیرد.
- نمونههای جهانی و قدرتمند حملات مهندسی اجتماعی، غالبا از ادغام روش اجتماعی و فنی و با فیشینگ اجرا میشوند.
- و…
اما به نظر شما کدام یک از روشهای حمله بیشتر از بقیه، سازمانهای ایرانی را تهدید میکنند؟ شما چه راهکارهایی برای مقابله با چالشهای امنیت سایبری و مهندسی اجتماعی پیشنهاد میکنید؟ جواب سوالات را در قسمت نظرات این مقاله بنویسید و با ما در ارتباط باشید.
پیشنهاد دانشیار آی تی برای آموزش امنیت و شبکه
دوره امنیت و راههای مقابله با نفوذ ۹ (چالشهای ذهن نفوذگر)؛ یک دوره ۱۳ ساعته حرفهای، ارائه شده توسط متخصص مهندسی اجتماعی و امنیت شبکه، آقای بهروز منصوری است که با ایجاد چالشهای ذهنی، شما را برای بررسی زوایا مختلف یک مساله آماده میکند.
دورههای مرتبط در دانشیار آی تی