هک به روش «مهندسی اجتماعی» +اینفوگرافی

606077-636331377975027163-16x9

تصور بسیاری از مردم از یک هکر، فردی با دانش فنی بسیار بالاست که از تخصص خود برای نفوذ به سیستم‌های رایانه‌ای و دسترسی به اطلاعات حساس استفاده می‌کند. بر اساس همین ذهنیت، همواره سعی می‌کنیم با استفاده از نرم‌افزارهای مختلفی اعم از ضدویروس و ضد بدافزار و به‌روز نگه‌داشتن آن‌ها، تمهیدات لازم برای مقابله با حملات این هکر‌ها را فراهم آوریم. اما در کنار این‌گونه حملات، دسته دیگری از حملات هم هستند که دانش فنی چندانی لازم ندارند و بر پایه روان‌شناسی و ارتباطات انسانی بنا شده‌اند. به این دسته از حملات، مهندسی اجتماعی اطلاق می‌شود.
در واقع مهندسی اجتماعی، مجموعه‌ای از روش‌های غیرفنی مبتنی بر استفاده از ویژگی‌های روانشناسانه افراد برای نفوذ به سیستم‌ها و دسترسی به اطلاعات کاربران آن‌ها است که توسط مخاصمان و هکرها مورد استفاده قرار می‌گیرد. پایه‌ و اساس این روش‌ها، ارتباط با کاربران و فریب آن‌ها برای اعمال تغییر در روال‌های معمول امنیت سیستم‌هاست. مثلا کاربران را در موقعیتی قرار دهند که به صورت ناخواسته و بدون آگاهی، رمز عبور خود را به مهاجمان منتقل کنند. به دلیل رشد و گسترش شبکه‌های اجتماعی و افزایش روزافزون کاربران این سامانه‌ها، بستر بسیار مناسبی برای حملات مهندسی اجتماعی فراهم شده است که در صورت عدم آشنایی با این‌گونه حملات، خطر بزرگی کاربران این شبکه‌ها را تهدید خواهد کرد.

 

◄ روش های مهندسی اجتماعی توسط هکرها

مهندسی اجتماعی طیف وسیعی از انواع حملات و فعالیت‌های مخرب را در بر می‌گیرد. در این آگاهی‌رسانی، ما روی معمول‌ترین آن‌‌ها که در شبکه‌های اجتماعی مورد استفاده قرار می‌گیرند، تمرکز می‌کنیم:

1. صیادی (Phishing):

از میان حملات مهندسی اجتماعی،‌ حمله‌ صیادی معمول‌ترین حمله‌ای است که امروزه مورد استفاده قرار می‌گیرد. این حمله با فعالیت‌های زیر شناخته می‌شود:

  • جستجو به دنبال مشخصات و اطلاعات تماس قربانی و استخراج شبکه‌های اجتماعی یا وب‌گاه‌های دیگری که وی از آن‌ها استفاده می‌نماید.
  • ایجاد یک نسخه جعلی از صفحه ورود وب‌گاه و ایجاد URL شبیه به وب‌گاه اصلی برای آن
  • ارسال پیغامی به قربانی حاوی پیوندی به صفحه جعلی؛ در نگارش این پیام، سعی می‌شود که در قربانی حالت ترس، اضطرار و غیره ایجاد کنند تا وی تمرکز فکری خود را از دست داده و از پیوند موردنظر استفاده کند.

با مشاهده صفحه جعلی، قربانی که در وضعیت احساسی خاصی قرار گرفته، به صورت نا‌گاهانه بدون توجه به URL‌ نامعتبر وب‌گاه جعلی، اقدام به واردکردن اطلاعات احراز هویت خود (مثل نام کاربری و رمز عبور) کرده و بدون اینکه متوجه شود، این اطلاعات را در اختیار مهاجم قرار می‌دهد.

56-10-2

2. دستاویزسازی (Pretexting):

در حمله دستاویز‌سازی،‌ مهاجم سناریویی طراحی می‌کند که در آن با دروغ‌گفتن، بهانه‌‌آوردن، وانمودکردن و غیره، خود را به جای شخص دیگری جا زده و با کسب اعتماد کاربر، اطلاعات شخصی و احراز هویت وی را به دست می‌آورد. گاهی حمله از طریق خود کاربر صورت نمی‌گیرد، بلکه با فریب متولی یا مسئول فنی یک وب‌گاه یا شبکه اجتماعی، اطلاعات شخصی کاربران شبکه اجتماعی از وی استخراج می‌شود.

معمولا قدم اول برای این نوع حمله، به دست‌آوردن اندکی اطلاعات در مورد قربانی است که مراجعه به شبکه اجتماعی بهترین راه برای استخراج چنین اطلاعاتی است. بعد از آن با توجه به این اطلاعات، دروغی ساخته می‌شود که با استفاده از آن مهاجم می‌تواند در تماس با قربانی، خود را به جای شخص دیگری جا بزند. به علت ارائه بخشی از اطلاعات و مهارت مهاجم در دروغ‌سازی، قربانی به وی اعتماد کرده و اطلاعات شخصی و احراز هویت خود را در اختیار وی قرار می‌دهد و یا هر کار دیگری که مهاجم از وی درخواست کند را انجام می‌دهد. همانند حمله صیادی، معمولا مهاجم در ارتباط با قربانی سعی می‌کند تا در وی حالت ترس، اضطرار و غیره ایجاد کند تا قربانی تمرکز خود را از دست بدهد.

57-10-3

3. طعمه‌گذاری (‌Baiting):

در این حمله یک وسیله فیزیکی مانند حافظه USB،‌ پخش‌کننده‌های صوتی دیجیتال و غیره که حاوی بدافزار یا ویروس است را به نحوی در دسترس قربانی قرار می‌دهند و با تحریک حس کنجکاوی یا حرص، وی را وادار به استفاده از آن می‌نمایند. یکی از معمول‌ترین ‌روش‌های قراردادن این وسایل در اختیار قربانیان، نوشتن برچسب‌های خاص بر روی آن‌ها و قرار دادن این وسایل در محل‌های خاصی است تا به نظر برسد جا گذاشته شده‌اند. مثلا در کافه تریای یک شرکت یا سازمان، حافظه USB‌ با برچسب استراتژی‌های سازمان یا حقوق و مزایای کارکنان قرار می‌دهند تا حس کنجکاوی کارمندان را جهت مشاهده محتوای آن‌ها برانگیزند.

یک روش دیگر، ارسال این‌گونه وسایل فیزیکی به صورت مجانی و به عنوان هدیه برای قربانی است. به این شکل که مثلا در یک شبکه‌ اجتماعی، پیغامی حاوی این جمله برای وی ارسال می‌کنند: «شما برنده یک دستگاه پخش‌کننده دیجیتال‌ شده‌اید!». سپس از قربانی آدرس پستی وی را جهت ارسال دستگاه درخواست می‌نمایند. کاربر پس از واردکردن آدرس پستی خود، واقعا دستگاه را دریافت می‌کند؛ اما به محض استفاده از آن، بدافزار نصب‌شده بر روی دستگاه اطلاعات شخصی وی را دزدیده و برای مهاجم ارسال می‌نماید.

58-10-4

4.جبران‌کردن (Quid Pro Quo):

در این نوع حمله مانند حمله طعمه‌گذاری عمل می‌شود؛ با این تفاوت که به جای ارائه یک کالا به صورت فیزیکی، به قربانی اعلام می‌کنند تا در ازای دریافت کالا، یک کمک یا خدمت غیر فیزیکی به وی ارائه می‌دهند. همانند حمله طعمه‌گذاری، مهاجم با تعداد زیادی از افراد تماس گرفته و ارائه یک خدمت خاص را به صورت رایگان و یا با قیمت بسیار نازل، به آن‌ها پیشنهاد می‌نماید. مثلا با گرفتن شماره تماس کارمندان یک شرکت به صورت تصادفی، به ایشان پیشنهاد کمک برای حل مشکلات مرتبط با رایانه‌ آن‌ها را می‌دهد. با قبول این پیشنهاد از سوی تعدادی از این افراد، فایل بدافزار برای آن‌ها فرستاده می‌شود (که حتی ممکن است مشکلات رایانه‌ای آن‌ها را نیز حل نماید). این فایل به دزدیدن اطلاعات قربانی و ارسال آن‌ها برای مهاجم خواهد پرداخت. در موارد دیگر، ممکن است مهاجم از قربانی بخواهد که برای دریاف خدمت، عمل خاصی را انجام دهد و یا اطلاعات خاصی را به وی ارائه دهد.

59-10-5

روش های دفاعی

پیش از بیان روش‌های دفاعی در برابر حملات مهندسی اجتماعی، لازم است تا کلیاتی را در مورد این دسته از حملات یادآور شویم. ویژگی بارز حملات مهندسی اجتماعی، هدف آن‌ها یعنی افراد (مردم عادی، نیروهای انسانی یک سازمان و غیره) است؛ لذا قابل پیش‌بینی است که راه‌کارهای مناسب دفاع در برابر این حملات، باید توصیه‌ها و دستورالعمل‌هایی باشند که توسط افراد (و نه سیستم‌های امنیتی و نرم‌افزارها و سخت‌افزارها) اجرا می‌شود.

در بسیاری از حملات مهندسی اجتماعی (نظیر حملات صیادی و دستاویزسازی)، مهاجم مستقیم به سراغ قربانی رفته و به صورت شفاهی یا کتبی با وی گفتگو می‌کند تا او را فریب داده و اطلاعات لازم را از وی دریافت نماید. لذا اکثر راهکارهای دفاعی در برابر حملات مهندسی اجتماعی بر همین موضوع تاکید داشته و به افراد گوشزد می‌نمایند تا در هنگام ارتباط با دیگران به چه موضوعاتی توجه داشته باشند تا خطر مواجهه با حملات مهندسی اجتماعی کاهش یابد. در ادامه به ذکر اصلی‌ترین روش‌های دفاعی خواهیم پرداخت:

1- آموزش مهم‌ترین اصل است

اولین و مهم‌ترین اصل در مقابله با مهندسی اجتماعی، آگاهی تک‌تک افراد و فرهنگ‌سازی مناسب است. افراد آگاه به سادگی می‌توانند حملات مهندسی اجتماعی را خنثی کنند. فرهنگ‌سازی در برابر حملات مهندسی اجتماعی می‌تواند در سطوح مختلفی انجام شود؛ از سطوح بسیار ساده و ابتدایی نظیر آموزش‌های والدین به فرزندان، تا سطوح بسیار پیشرفته در سازمان‌های اطلاعاتی و امنیتی. مسئله اصلی، افزایش سطح آگاهی افراد و آمادگی ذهنی آن‌ها در این موارد است:

  1. آگاهی از وجود خطر: افراد باید این نکته را در ذهن داشته باشند که در هر ارتباط با افراد بیرونی ممکن است در معرض حملات مهندسی اجتماعی باشند. توجه به همین نکته ساده باعث افزایش هوشیاری افراد شده و سبب می‌شود تا اطلاعات شخصی و داخلی که دیگران نیازی به آگاهی از آن‌ها ندارند را به سادگی فاش نسازند.

  2. شناخت اطلاعات حساس: فرهنگ‌سازی و آگاهی‌رسانی به افراد باید به گونه‌ای باشد تا طبقه‌بندی اطلاعات را به آن‌ها بیاموزد. در این صورت، افراد می‌توانند میان اطلاعات حساسی که باید در داخل مجموعه (خانواده، گروه، سازمان و غیره) باقی بماند و اطلاعات معمولی که می‌توان آن‌ها را فاش کرد تمایز قائل شوند. این آموزش‌ها باید توسط افراد خبره و یا بر اساس دستورالعمل‌های علمی انجام شود؛ چرا که اصلی‌ترین جنبه این آموزش، شناخت صحیح اطلاعات حساس است که نیازمند بررسی‌های علمی و داشتن تجربه است.

  3. حصول اطمینان از صداقت افراد: آخرین نکته‌ای که در مبحث آموزش باید مورد توجه قرار گیرد، آموزش این نکته به افراد است که نباید به سادگی به حرف دیگران اعتماد کرد و باید بدون تعارف و اضطراب، ابتدا از صداقت طرف مقابل (چه در قالب مکالمه شفاهی و چه به صورت رایانامه، پیامک و پیام‌های چندرسانه‌ای) اطمینان حاصل کرد. همین فعالیت ساده، می‌تواند بسیاری از حملات مهندسی اجتماعی را خنثی‌سازی کند. برای مثال، تحقیقات نشان می‌دهد که متداول‌ترین روش‌ها برای حمله مهندسی اجتماعی به کارمندان یک سازمان، تماس با آن‌ها و معرفی خود به عنوان «کارمند جدید» یا «مسئول جمع‌آوری آمار» از سوی خود سازمان است. اگر هر کارمند در صورت مواجهه با چنین افرادی و پیش از دادن اطلاعات، با یک تماس ساده با مدیر ارشد خود، صداقت حرف فرد مقابل را بررسی کند، اکثر حملات مهندسی اجتماعی به شکست خواهد انجامید.

2- آگاه باشید که چه اطلاعاتی را منتشر می‌کنید

موضوع آموزش و فرهنگ‌سازی در زمان مواجهه با حملات مهندسی اجتماعی، موضوع مهمی است که در بخش قبل بیان شد؛ اما موضوع دیگر، آگاهی افراد در زمان‌های دیگر، به خصوص در زمان انجام فعالیت‌های روزمره و شخصی است. مهاجمانی که با اهداف جدی اقدام به حمله مهندسی اجتماعی می‌کنند، معمولا از قبل افرادی را هدف‌گیری کرده و اقدام به جمع‌آوری اطلاعات در مورد آن‌ها می‌نمایند. در چنین موقعیت‌هایی است که حتی رفتارهای روزمره افراد می‌تواند به عنوان ابزاری برای جلب اعتماد و یا تعیین فرصت مناسب حمله توسط مهاجمین مورد استفاده قرار گیرد. لذا باید آگاهی داشته باشیم که در صحبت‌های روزمره خود با دیگران و یا در شبکه‌های اجتماعی، چه اطلاعاتی را از خودمان (نه از گروه، سازمان یا غیره) منتشر می‌کنیم و به بیانی دیگر، چه اندازه به افراد ناآشنا اجازه می‌دهیم تا ما را بشناسند!

3- اطلاعات و داشته‌های خود را بشناسید

شناسایی داشته‌ها و اطلاعات حساس، معمولا به عنوان یکی از فعالیت‌های پایه امنیتی در هر سازمانی انجام می‌شود؛ خواه در سطح کوچک (مثل اطلاعات حساب مالی یک خانواده) و خواه در سطوح پیشرفته (مثل اطلاعات محرمانه و سری یک سازمان اطلاعاتی و نظامی). اما باید توجه داشت که تنها اطلاعات حساس نیست که نیاز به مراقبت و پنهان‌بودن از دیدهای بیرونی دارند؛ چرا که گاهی اوقات با وجود آنکه از اطلاعات اصلی و حساس مراقبت می‌شود، اطلاعات دیگری که به صورت مستقیم حائز اهمیت نبوده و به چشم نمی‌آیند، مورد استفاده مهاجمین مهندسی اجتماعی قرار می‌گیرند. برای مثال، در یک سازمان ممکن است به شدت از اطلاعات مالی حفاظت شود تا به هیچ طریقی به دست افراد غیرمسئول نرسد و همچنین به تمام مسئولین گوشزد شده تا در مورد اطلاعات مالی به هیچ‌کس حرفی نزنند. در چنین شرایطی، حملات مهندسی اجتماعی که مستقیما به دنبال کسب اطلاعات مالی شرکت از افراد باشند شکست خواهند خورد؛ اما هنوز راه نفوذ و دسترسی به این اطلاعات باز است! یک تیم مهاجم، می‌تواند با ترکیبی از مهندسی اجتماعی و حملات امنیتی فنی (هک و نفوذ) این کار را انجام دهد. به این صورت که اطلاعات غیرمستقیم نظیر نام و نسخه نرم‌افزارهایی که در سازمان از آن‌ها استفاده می‌شود را از طریق مهندسی اجتماعی استخراج کرده و حال، با دانستن این اطلاعات به سراغ هک و نفوذ می‌روند. بنابراین باید بر اساس مطالعات علمی و تجربه، بدانیم که علاوه بر اطلاعات محرمانه و حساس، چه اطلاعات دیگری ممکن است مورد استفاده مهاجمین قرار گیرد. این کار نیازمند مشورت با متخصصین حوزه‌های امنیتی است و بدون تجربیات و دانش فنی امنیت رایانه‌ای، نمی‌توان شناخت درستی از اطلاعات قابل استفاده توسط مهاجمین داشت. در نهایت این اطلاعات را نیز در زمره اطلاعات داخلی طبقه‌بندی کرده و به افراد آموزش دهیم تا علاوه بر خویشتن‌داری در برابر افشای اطلاعات حساس، از افشای این اقلام اطلاعاتی نیز خودداری نمایند.

4- سیاست‌های امنیتی تدوین کنید

در نهایت، باید توجه داشت که این تلاش‌ها به صورت مدیریت‌شده و سیستماتیک صورت گرفته و در نهایت، سیاست‌های مدونی برای رفتار امن افراد تهیه شده و آگاهی‌رسانی به آن‌ها نیز بر اساس همین سیاست‌های صورت گیرد. تنها در این صورت است که می‌توان اطمینان داشت تلاش‌ها ثمربخش هستند. نکته‌ای که در این خصوص حائز اهمیت است، پای‌بندی افراد به پیروی از سیاست‌ها و دستورالعمل‌ها است. حتی اگر امنیت رایانه‌ای را در دیگر بخش‌ها بتوان با سامانه‌های کنترل دسترسی، دیوار آتش و از این دست ابزارها فراهم کرد، در حوزه مهندسی اجتماعی بدون پای‌بندی افراد و التزام آن‌ها به سیاست‌های امنیتی به هیچ عنوان امکان‌پذیر نیست.

 

theme image 144

منبع: shub.ir

 

دیدگاه‌ها   

0 #4 مهدی حافظی 1400-07-24 07:39
به نقل از محمد سادات:
این مقاله جامع نیست من دانشجو فردوسی ام و تخصص ام مهندسی اجتماعی است اگر تمایل داشتید بنده برای ارایه مطالب علمی تر در خدمت تان هستم

با تقدیم سلام، بله لطفا مطالب خود را به ایمیل این مدیریت به آدرس herasat[at]um.a c.ir ارسال فرمایید
نقل قول کردن
0 #3 محمد سادات 1400-07-21 11:25
این مقاله جامع نیست من دانشجو فردوسی ام و تخصص ام مهندسی اجتماعی است اگر تمایل داشتید بنده برای ارایه مطالب علمی تر در خدمت تان هستم
نقل قول کردن
0 #2 مهدی حافظی 1398-03-17 16:00
به نقل از azar:
با سلام لطفا منبع متن بالا را بفرمایید
ممنونم

با تقدیم سلام - در ذیل مطلب منبع درج شده است (زیر پوستر)
نقل قول کردن
0 #1 azar 1398-03-16 08:31
با سلام لطفا منبع متن بالا را بفرمایید
ممنونم
نقل قول کردن

نوشتن دیدگاه


تصویر امنیتی
تصویر امنیتی جدید

تازه ترین مطالب

 

گزارش تصویری