021-22222711 info@pdnco.ir

مهندسی اجتماعی چیست؟

راهکارهای مجرمین برای ورود به سازمان ها و دسترسی به اطلاعات سازمان ها با استفاده از تکنیک های مهندسی اجتماعی

شرکت پایانه های داده ای نوین - خدمات انفورماتیک، سخت افزار و نرم افزار | مهندسی اجتماعی چیست؟

تعریف مهندسی اجتماعی یاSocial Engineering عبارت است از: هنر دسترسی به ساختمان ها، سیستم ها یا داده ها با بهره برداری از روان شناسی انسانی بدون نفوذ یا استفاده از تکنیک های هک فنی.  برای نمونه ، یک مهندس اجتماعی برای یافتن آسیب پذیری نرم افزاری تلاشی نمی‌کند بلکه به عنوان یک پشتیبان IT تلاش می‌کند یک یا چند کارمند برای افشا رمز عبور خودشان فریب دهد.


حتی در صورتی که هوشیاری و آمادگی کامل هم داشته باشید، زمانی که نوبت به حفاظت از مرکز داده ها، توسعه های ابری و امنیت ساختمان تان میرسد، با وجود اینکه بر روی فناوری های دفاعی سرمایه گذاری کرده اید و سیاست های امنیتی و فرایند های مناسب را در اختیار گرفته و کارامدی آنها را سنجیده و به طور مرتب ارتقایشان داده اید، باز هم یک مهندس اجتماعی میتواند راه خودش را باز کرده و به هدفش برسد.
برخی سوالات متداول در مورد مهندسی اجتماعی شامل تاکتیک های ورود به سازمان ها توسط مجرمین می‌پردازیم.این موضوع به کارکنان کمک می‌کند تا شناخت خوبی برای امنیت حساب کاربری خود به دست بیاورند.
مهندسی اجتماعی چیست؟

مهندسان اجتماعی از رفتار انسانی استفاده می کنند تا کلاهبرداری کنند.این به معنی آن است که آنها اگر بخواهند وارد ساختمانی شوند، نگران سیستم شناسایی و ورود نمیشوند. آنها مستقیم وارد شده و با اطمینان از کسی می خواهند که به آنها کمک کند تا داخل شوند. و آن‌وقت فایروال یا آنتی ویروس چه میشوداین به معنای آن است که فایروال در این موقع معنای چندانی نخواهد داشت. گاهی نیز کاربران شما برای کلیک کردن روی یک لینک مخرب فریب خورده اند و فکر می کنند که لینک از یک دوست فیسبوکی یا LinkedIn آمده است.
Kevin Mitnick
، هکر معروف، موجب معنا بخشی به اصطلاح “مهندس اجتماعی” در دهه ۹۰ بوده است. البته در معنایی کلی تر این اصطلاح از زمانی که کلاه بردارهای هنرمند از هر نوعی وجود داشته اند، ایجاد شده است.


چگونه شرکت من در معرض خطر قرار می‌گیرد؟

از دیدگاه مهندسی اجتماعی همیشه یک راه بسیار موفق برای ورود یک مجرم به درون سازمان وجود دارد.معنی آن این است که یک مهندس اجتماعی، با در دست داشتن رمز عبور کارمند مورد اعتماد می‌تواند به سادگی وارد سیستم های اطلاعاتی حساس شود.با استفاده از کارت یا کد دسترسی به منظور ورود فیزیکی به داخل تسهیلات، مجرم می تواند به داده ها دسترسی پیدا کرده، دارایی ها را سرقت کرده و حتی به مردم آسیب برساند.
Chris Nickerson
، بنیانگذار Lares،شرکت کلرادویی مشاوره امنیتی، ‘red team testing’ را با استفاده از تکنیک های مهندسی اجتماعی برای مشتریان انجام می دهد تا ببینند که آن شرکت تا چه حد آسیب پذیر است.او همچنین برای ما توضیح داد که ورود به یک ساختمان و بدون هیچ پرسشی، تا چه حد آسان است. در شرکت اف سکیور فنلاند این کار بر عهده گروه Red Team  است که با مهندسی اجتماعی به سازمان ها و اطلاعات آنها دسترسی پیدا کرده و آسیب پذیری های سازمان را به مدیران مربوطه گزارش می دهند
 
Nickerson
در یک آزمایش نفوذ، از رویدادهای موجود و اطلاعات عمومی موجود در سایت های شبکه اجتماعی و یک پیراهن سیسکو  ۴ دلاری که از بازارچه خیریه تهیه کرده بود، برای آماده شدن برای ورود غیر قانونی خود استفاده کرد. پیراهنش، پذیرش ساختمان و سایر کارکنان را متقاعد کرد که او یکی از کارمند سیسکو است که مشغول بازدید برای پشتیبانی فنی میباشد. هنگامی که وارد شد،اعضای غیر قانونی تیمش را نیز وارد کرد. او همچنین موفق شد چندین USB  حامل بدافزار را از خود به جا بگذارد در شبکه شرکت را هک کند . او تمام این کار ها را جلوی چشم کارمندان دیگر انجام داد.
Chris Blow
، مدیر بخش امنیت تهاجمی در شرکت بیمه لیبرتی میچوال میگوید: “مردم ذاتا می خواهند اعتماد کنند، این موضوع است که یک حمله موفق مهندسی اجتماعی را به بار می آورد. اگر کسی یک ایمیل به همکارش بفرستد و بگوید که همکار دیگرش این را برایش فرستاده، بیشتر مردم به آن اعتماد میکنند و نگاهی به ایمیل می اندازند، خصوصا اگر به چیزی یا فردی واقعی و خاص مربوط باشد.”
او ادامه میدهد: ” زمانی که می گویند این ایمیل از کسی است که به نظر یک همکار است، اکثر مردم آن ایمیل را باز خواهند کرد. آنها بر روی هرآنچه که در متن ایمیل نیز وجود دارد کلیک می کنند.”
این مثالی درباره ایمیل بود، سوالی که به ذهن می‌رسد این است که چرا این حمله ها به همان اندازه به صورت تلفنی یا حضوری موفق هستند؛ مانند زمانی که کسی از یک همکار یا بهانه دیگر استفاده میکند؟
Blow میگوید: “مردم نمی خواهند به اقدامات فرد دیگری شکاک باشند. اکثر مردم می خواهند مهربان و محترم باشند و به خصوص در محیط کاری نرمخو باشند. مثلا اگر من به عنوان یک مدیر عصبانی تماس بگیرم و بگویم ” چرا این هفته کار مرا راه نینداختید؟ شما چه غلطی میکنید؟” هیچ کس دیگر به کار شما اهمیتی نمیدهد به خصوص اگر کارتان ضروری باشد.
 

برخی از نمونه کارهایی که توسط مهندسان اجتماعی انجام می‌شود چیست؟

در بیشتر مواقع،قبل از آنکه مجرمان به مکان مورد نظر بروند یا تماس بگیرند هفته ها و ماه ها زمان می‌گذارند تا با آن مکان آشنا شوند.این آماده سازی شامل پیدا کردن لیست تلفن های شرکت یا فهرست سازمان و جستجو برای پیدا کردن کاربران آنجا در شبکه های اجتماعی مثل فیسبوک میباشد.
  
پشت تلفن: یک مهندس اجتماعی ممکن است تماس بگیرد و وانمود کند که یک کارمند دیگر یا یک مقام قابل اعتماد و خارج از مجموعه میباشد (مانند مجری قانون یا حسابرس)
Sal Lifrieri
، یک مامور پلیس شهر نیویورک با سابقه ۲۰ ساله است که در حال حاضر از طریق سازمانِ  Protective Operations شرکت ها را با توجه به مهندسی اجتماعی مطالعه میکند. طبق گفته های وی، این جنایتکاران تلاش می کنند تا از طریق آشنایی، موجب راحتی شخص شوند. آنها ممکن است زبان صنفی و ویژه ی آن شرکت را یاد بگیرند، بنابراین شخص از طرف دیگر فکر می کند که آنها خودی هستند. یکی دیگر از تکنیک های موفقیت آمیز، ضبط موسیقی «آوای انتظاری» است که شرکت زمانی که تماس گیرندگان منتظر تلفن هستند استفاده می کند.
 

در دفتر کار: همانگونه که در فیلم Red Team F-Secure نیز مشاهده کردید این مجرم با تظاهر به اینکه نردبان در دست دارد می گوید ” آیا میتوانید در را برای من نگه دارید؟ کلید/کارت دسترسی ام همراهم نیست.”
هرچند وقت یک بار این جمله ها را در ساختمان محل کارتان می شنوید؟  گرچه ممکن است فرد درخواست کننده مشکوک به نظر نرسد، اما این یک تاکتیک رایج است که توسط مهندسان اجتماعی استفاده می شود.
در همان تمرین که نیکرسون از پیراهن بازارچه خیریه استفاده کرد تا به داخل ساختمان برسد، یکی از اعضای تیم او، در بیرون منتظر ایستاد درست نزدیک جایی که مخصوص سیگار کشیدن کارکنان در زمان استراحتشان بود. با فرض بر این که این فرد یکی از همکاران سیگاری است، کارکنان واقعی بدون هیچ گونه سؤالی به او اجازه دادند که داخل شود. نیکرسون میگوید: “سیگار بهترین دوست یک مهندس اجتماعی است.”
بر طبق گفته نیکرسون، این نوع چیزها همیشه در حال وقوع هستند. این تاکتیک تحت عنوان tailgating شناخته شده است. بسیاری از مردم از دیگران نمیخواهند که ثابت کند که آنها مجوز حضور در آنجا را دارند. او میگوید حتی در مکانهایی که نشان ها و یا سایر مدارک لازم برای رفتن به تالارها نیاز است، جعل آسان است.
من معمولا از عکاسی با کیفیت بالا استفاده می کنم تا علامت های شناسایی را به شکل واقعی به نظر برسانم آنطور که قرار است در آن محیط باشم، اما آنها اغلب حتی بررسی هم نمیشوند. حتی زمانی را تجربه کرده ام که روی لباسم نوشته شده بود” مرا بینداز بیرون” ولی  بازهم مورد سوال قرار نگرفتم.”
 

به صورت آنلاین: Blow می گوید شبکه های اجتماعی حملات مهندسی اجتماعی را آسان تر کرده اند. “ما شبکه های اجتماعی مختلفی داریم که از طریقشان میتوانیم هم اکنون اطلاعات را جمع آوری کنیم. در گذشته، قبل از فیس بوک و توییتر، اگر می خواستید اطلاعاتی در مورد شرکت ها پیدا کنید، چیز زیادی در اینترنت پیدا نمی کردید. این امر موجب میشد که یک مکان را برای هفته ها تحت نظر داشته باشیم تا برخی کارکنان را ببینیم و بفهمیم که آنجا چه خبر است. این تکنیک هکرهای تازه کار بوده است.”
اما امروز مهندسین و مهاجمان اجتماعی چنین ابزارهایی دارند و می توانند به سایت هایی مانند LinkedIn بروند و همه کاربران را که در یک شرکت کار می کنند پیدا کنند و اطلاعات زیادی را جمع آوری کنند که بتواند برای حمله بیشتر استفاده شود. “اکنون چند دقیقه کافی است که من یک مهندس مهندسی اجتماعی خوب را انجام دهم در حالیکه در گذشته، روزها و هفته ها زمان نیاز بود. و اگر من صد ایمیل فیشینگ برایشان ارسال کنم، براساس اطلاعات جمع آوری شده، احتمال قریب به یقین رکورد خوبی را به دست می آورم. ”
Shane MacDougall
، مدیر کل شرکت Tactical Intelligence میگوید: “موفق ترین تکنیک های مهندسی اجتماعی برای من معمولا کسانی هستند که من را به عنوان یک فرد در یک موقعیت همکار قرار می دهند و به دنبال کمک هستند. من طرفدار بهانه های برتری طلبانه نیستم (به عنوان مثال، من یک رئیس یا مقام اجرایی هستم که به کمک نیاز دارم). من در مورد هدفم تحقیق می کنم و به عنوان یک همکار نشان میدهم که دچار خطا شدم. این امر معمولا باعث ایجاد یک پیوند بین خود و هدف می شود و باعث میشود که اطلاعات به جریان بیفتد. ”
هنگامی که بحث کلاهبرداری آنلاین به میان می آید، مهندسان اجتماعی هم ترس و هم کنجکاوی را به کار میگیرند، مانند ارسال ایمیل های فیشینگ که از هدف می پرسد که فیلم خود را دیده اند، یا کلاهبرداران فنی که ادعا می کنند کامپیوتر هدف مورد نقض قرار گرفته است. عبور کردن از این کلاهبرداریها برای بسیاری غیرممکن است.
مهندسان اجتماعی نیز از رویدادهای خبری، تعطیلات، فرهنگ عامه و سایر دستگاه ها برای جلب قربانیان استفاده می کنند. کلاهبرداران اغلب از موسسات خیریه جعلی استفاده می کنند تا اهداف مجرمانه خود را در نزدیکی روز های تعطیلات افزایش دهند.
مهاجمان همچنین حملات فیشینگ را طوری طراحی کردند که کاربران بیشتری بر روی لینک مخرب کلیک کنند. آنها از موضوعات سرگرم کننده مانند هنرمندان، بازیگران، موزیک، سیاست، فعالیت های بشردوستانه استفاده کردند. وی می گوید: “چنین تاکتیک هایی نیز در شبکه های اجتماعی استفاده می شود. شاید مهاجم یک برنامه فیسبوک جعلی را که برای برداشتن اطلاعات طراحی شده است ایجاد کند. به منظور جذب کاربر این مورد می تواند بر اساس علایق کاربر طراحی شده باشد که خودش آنها را بیان کرده و یا شما از طریق مخاطبانش فهمیده اید. سپس شما می توانید با توجه به افراد مرتبط به او، مجموعه ای از هدف های ایده آل ایجاد کنید.”


راهکار مناسب برای آموزش کارکنان در جلوگیری از مهندسی اجتماعی چیست؟ 
آگاهی، اولین معیار دفاع است. کارکنان باید آگاه باشند که این روش وجود دارد و با رایج ترین تکنیک های مورد استفاده آشنا شوند.
خوشبختانه، آگاهی درباره مهندسی اجتماعی به خود شکل داستان می بخشد. و داستان ها بسیار ساده تر و بسیار جالب تر از توضیحات نقص فنی میباشند. موفقیت کریس نیکرسون به عنوان یک تکنسین نمونه ای از یک داستان است که پیام را در یک راه جالب منتقل میکند. امتحانات و پوسترهای طنز آمیز و جذاب نیز یادآوری موثر درباره این است که همه افراد، آن چیزی که ادعا میکنند، نیستند.
Lifrieri
میگوید: ” من در جلسات آموزشیم ، به مردم می گویم که همیشه باید کمی متوهم باشید، زیرا شما هرگز نمی دانید که دیگران از شما چه چیزی میخواهند.” هدف قرار دادن کارکنان “با کارکنان خدمات و یا نگهبان دروازه ای که تمام مدت به پارکینگ نگاه می کنند، شروع می شود. به همین دلیل آموزش لازم باید به آنها داده شود.”
ترفندهای مهندسی اجتماعی همیشه در حال تکامل هستند و آموزش آگاهی باید تازه و به روز باشد. به عنوان مثال، همان طور که سایت های شبکه های اجتماعی رشد و تکامل می یابدن، مهندسان اجتماعی سعی در استفاده از آنان  دارند.
اما فقط کارمندان معمولی نیستند که باید از مهندسی اجتماعی آگاهی داشته باشد. رهبر ارشد و مدیران ارشد نیز اهداف مورد نظر مهاجمین هستند

منبع:cysec



مطالب مرتبط