فا

‫ مهندسي اجتماعي(1)

مهندسي اجتماعي

تصور بسياري از مردم از يك هكر، فردي با دانش فني بسيار بالاست كه از تخصص خود براي نفوذ به سيستم‌هاي رايانه‌اي و دسترسي به اطلاعات حساس استفاده مي‌كند. بر اساس همين ذهنيت، همواره سعي مي‌كنيم با استفاده از نرم‌افزارهاي مختلفي اعم از ضدويروس و ضد بدافزار و به‌روز نگه‌داشتن آن‌ها، تمهيدات لازم براي مقابله با حملات اين هكر‌ها را فراهم آوريم. اما در كنار اين‌گونه حملات، دسته ديگري از حملات هم هستند كه دانش فني چنداني لازم ندارند و بر پايه روان‌شناسي و ارتباطات انساني بنا شده‌اند. به اين دسته از حملات، مهندسي اجتماعي اطلاق مي‌شود.
در واقع مهندسي اجتماعي، مجموعه‌اي از روش‌هاي غيرفني مبتني بر استفاده از ويژگي‌هاي روانشناسانه افراد براي نفوذ به سيستم‌ها و دسترسي به اطلاعات كاربران آن‌ها است كه توسط مخاصمان و هكرها مورد استفاده قرار مي‌گيرد. پايه‌ و اساس اين روش‌ها، ارتباط با كاربران و فريب آن‌ها براي اعمال تغيير در روال‌هاي معمول امنيت سيستم‌هاست. مثلا كاربران را در موقعيتي قرار دهند كه به صورت ناخواسته و بدون آگاهي، رمز عبور خود را به مهاجمان منتقل كنند. به دليل رشد و گسترش شبكه‌هاي اجتماعي و افزايش روزافزون كاربران اين سامانه‌ها، بستر بسيار مناسبي براي حملات مهندسي اجتماعي فراهم شده است كه در صورت عدم آشنايي با اين‌گونه حملات، خطر بزرگي كاربران اين شبكه‌ها را تهديد خواهد كرد.

مهندسي اجتماعي طيف وسيعي از انواع حملات و فعاليت‌هاي مخرب را در بر مي‌گيرد. در اين آگاهي‌رساني، ما روي معمول‌ترين آن‌‌ها كه در شبكه‌هاي اجتماعي مورد استفاده قرار مي‌گيرند، تمركز مي‌كنيم:
1. صيادي (Phishing):
از ميان حملات مهندسي اجتماعي،‌ حمله‌ صيادي معمول‌ترين حمله‌اي است كه امروزه مورد استفاده قرار مي‌گيرد. اين حمله با فعاليت‌هاي زير شناخته مي‌شود:
1. جستجو به دنبال مشخصات و اطلاعات تماس قرباني و استخراج شبكه‌هاي اجتماعي يا وب‌گاه‌هاي ديگري كه وي از آن‌ها استفاده مي‌نمايد.
2. ايجاد يك نسخه جعلي از صفحه ورود وب‌گاه و ايجاد URL شبيه به وب‌گاه اصلي براي آن
3. ارسال پيغامي به قرباني حاوي پيوندي به صفحه جعلي؛ در نگارش اين پيام، سعي مي‌شود كه در قرباني حالت ترس، اضطرار و غيره ايجاد كنند تا وي تمركز فكري خود را از دست داده و از پيوند موردنظر استفاده كند.
با مشاهده صفحه جعلي، قرباني كه در وضعيت احساسي خاصي قرار گرفته، به صورت نا‌گاهانه بدون توجه به URL‌ نامعتبر وب‌گاه جعلي، اقدام به واردكردن اطلاعات احراز هويت خود (مثل نام كاربري و رمز عبور) كرده و بدون اينكه متوجه شود، اين اطلاعات را در اختيار مهاجم قرار مي‌دهد.

2. دستاويزسازي (Pretexting):
در حمله دستاويز‌سازي،‌ مهاجم سناريويي طراحي مي‌كند كه در آن با دروغ‌گفتن، بهانه‌‌آوردن، وانمودكردن و غيره، خود را به جاي شخص ديگري جا زده و با كسب اعتماد كاربر، اطلاعات شخصي و احراز هويت وي را به دست مي‌آورد. گاهي حمله از طريق خود كاربر صورت نمي‌گيرد، بلكه با فريب متولي يا مسئول فني يك وب‌گاه يا شبكه اجتماعي، اطلاعات شخصي كاربران شبكه اجتماعي از وي استخراج مي‌شود.
معمولا قدم اول براي اين نوع حمله، به دست‌آوردن اندكي اطلاعات در مورد قرباني است كه مراجعه به شبكه اجتماعي بهترين راه براي استخراج چنين اطلاعاتي است. بعد از آن با توجه به اين اطلاعات، دروغي ساخته مي‌شود كه با استفاده از آن مهاجم مي‌تواند در تماس با قرباني، خود را به جاي شخص ديگري جا بزند. به علت ارائه بخشي از اطلاعات و مهارت مهاجم در دروغ‌سازي، قرباني به وي اعتماد كرده و اطلاعات شخصي و احراز هويت خود را در اختيار وي قرار مي‌دهد و يا هر كار ديگري كه مهاجم از وي درخواست كند را انجام مي‌دهد. همانند حمله صيادي، معمولا مهاجم در ارتباط با قرباني سعي مي‌كند تا در وي حالت ترس، اضطرار و غيره ايجاد كند تا قرباني تمركز خود را از دست بدهد.


3. طعمه‌گذاري (‌Baiting):
در اين حمله يك وسيله فيزيكي مانند حافظه USB،‌ پخش‌كننده‌هاي صوتي ديجيتال و غيره كه حاوي بدافزار يا ويروس است را به نحوي در دسترس قرباني قرار مي‌دهند و با تحريك حس كنجكاوي يا حرص، وي را وادار به استفاده از آن مي‌نمايند. يكي از معمول‌ترين ‌روش‌هاي قراردادن اين وسايل در اختيار قربانيان، نوشتن برچسب‌هاي خاص بر روي آن‌ها و قرار دادن اين وسايل در محل‌هاي خاصي است تا به نظر برسد جا گذاشته شده‌اند. مثلا در كافه ترياي يك شركت يا سازمان، حافظه USB‌ با برچسب استراتژي‌هاي سازمان يا حقوق و مزاياي كاركنان قرار مي‌دهند تا حس كنجكاوي كارمندان را جهت مشاهده محتواي آن‌ها برانگيزند.
يك روش ديگر، ارسال اين‌گونه وسايل فيزيكي به صورت مجاني و به عنوان هديه براي قرباني است. به اين شكل كه مثلا در يك شبكه‌ اجتماعي، پيغامي حاوي اين جمله براي وي ارسال مي‌كنند: «شما برنده يك دستگاه پخش‌كننده ديجيتال‌ شده‌ايد!». سپس از قرباني آدرس پستي وي را جهت ارسال دستگاه درخواست مي‌نمايند. كاربر پس از واردكردن آدرس پستي خود، واقعا دستگاه را دريافت مي‌كند؛ اما به محض استفاده از آن، بدافزار نصب‌شده بر روي دستگاه اطلاعات شخصي وي را دزديده و براي مهاجم ارسال مي‌نمايد.


4. جبران‌كردن (Quid Pro Quo):
در اين نوع حمله مانند حمله طعمه‌گذاري عمل مي‌شود؛ با اين تفاوت كه به جاي ارائه يك كالا به صورت فيزيكي، به قرباني اعلام مي‌كنند تا در ازاي دريافت كالا، يك كمك يا خدمت غير فيزيكي به وي ارائه مي‌دهند. همانند حمله طعمه‌گذاري، مهاجم با تعداد زيادي از افراد تماس گرفته و ارائه يك خدمت خاص را به صورت رايگان و يا با قيمت بسيار نازل، به آن‌ها پيشنهاد مي‌نمايد. مثلا با گرفتن شماره تماس كارمندان يك شركت به صورت تصادفي، به ايشان پيشنهاد كمك براي حل مشكلات مرتبط با رايانه‌ آن‌ها را مي‌دهد. با قبول اين پيشنهاد از سوي تعدادي از اين افراد، فايل بدافزار براي آن‌ها فرستاده مي‌شود (كه حتي ممكن است مشكلات رايانه‌اي آن‌ها را نيز حل نمايد). اين فايل به دزديدن اطلاعات قرباني و ارسال آن‌ها براي مهاجم خواهد پرداخت. در موارد ديگر، ممكن است مهاجم از قرباني بخواهد كه براي درياف خدمت، عمل خاصي را انجام دهد و يا اطلاعات خاصي را به وي ارائه دهد.


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 28 دی 1394

امتیاز

امتیاز شما
تعداد امتیازها: 0