مهندسي اجتماعي به زبان ساده

Social engineering، هم بسيار پيچيده و هم بي‌نهايت ساده است. اما واقعاً اين عبارت چه معنايي دارد؟ مهندسي اجتماعي درواقع به معناي كار روي يك شخص، باهدف ترغيب وي به انجام كارهايي براي حصول فرد ترغيب‌كننده به اهدافي چون دستيابي به داده‌ها، اطلاعات دسترسي يا دستكاري سيستم يا شبكه هدف براي انجام كاري
سه‌شنبه، 27 ارديبهشت 1390
تخمین زمان مطالعه:
موارد بیشتر برای شما
مهندسي اجتماعي به زبان ساده

مهندسي اجتماعي به زبان ساده
مهندسي اجتماعي به زبان ساده


 

نويسنده:




 

مهندسي اجتماعي به زبان ساده

Social engineering، هم بسيار پيچيده و هم بي‌نهايت ساده است. اما واقعاً اين عبارت چه معنايي دارد؟ مهندسي اجتماعي درواقع به معناي كار روي يك شخص، باهدف ترغيب وي به انجام كارهايي براي حصول فرد ترغيب‌كننده به اهدافي چون دستيابي به داده‌ها، اطلاعات دسترسي يا دستكاري سيستم يا شبكه هدف براي انجام كاري خاص تعريف مي‌شود. به واسطه طبيعت رازگونه اين مهارت تاريك، معمولاً افراد از آن گريزان بوده و احساس مي‌كنند قادر به اجراي يك آزمون موفق مهندسي اجتماعي نمي‌باشند. اگرچه هر زمان كه شما سعي در وادار نمودن كسي به انجام كار موردنظر خود نماييد، يك عمل مهندسي اجتماعي را انجام داده‌ايد. از يك كودك كه سعي در وادار نمودن والدين به خريد اسباب‌بازي موردنظر خود مي‌نمايد تا تلاش افراد بزرگسال براي بدست آوردن يك شغل يا ارتقاء شغلي، همگي شكلي از مهندسي اجتماعي را در برمي‌گيرند.
مهندسي اجتماعي، از ضعيف‌ترين اتصال در خطوط دفاعي امنيت اطلاعات هر سازمان، يعني نيروي انساني بهره‌گيري مي‌نمايد. به زبان ساده، مهندسي اجتماعي، به معناي «هك كردن» افراد بوده و با سوءاستفاده از طبيعت اعتماد متقابل بين انسان‌ها، به اطلاعاتي كه مي‌توانند براي كسب منا فع شخصي مورد استفاده قرار گيرند، دستيابي حاصل مي‌گردد.

اصول مهندسي اجتماعي
 

هكرها معمولاً وانمود مي‌كنند شخص ديگري هستند تا بتوانند به اطلاعاتي دسترسي پيدا كنند كه در غيراين صورت براي آنها غيرقابل دسترسي خواهند بود. آنها اطلاعات بدست آمده از قربانيان خود را جمع‌آوري كرده و به منابع شبكه حمله مي‌كنند، فايل‌ها را سرقت يا حذف مي‌نمايند و حتي اقدام به جاسوسي صنعتي يا ساير انواع جرائم بر عليه سازمان‌هايي كه مورد حمله قرار داده‌اند، مي‌كنند. مهندسي اجتماعي با مشكلات امنيت فيزيكي نظير جاسوسي سيستم‌ها (مثلاً سرك كشيدن براي مشاهده كلمه عبور كارمندي كه درحال Login به سيستم مي‌باشد) يا جستجوي زباله‌ها (براي يافتن اطلاعاتي كه سهواً يا عمداً به عنوان زباله دفع شده‌اند) تفاوت دارد. با اين‌حال، اين دو فرآيند با يكديگر مرتبط هستند.
در اينجا به مثال‌هائي از مهندسي اجتماعي اشاره مي‌كنيم:
- پرسنل جعلي پشتيباني، ادعا مي‌كنند كه بايد يك وصله يا نسخه ديدي از نرم‌افزار را بر روي كامپيوتر يك كاربر نصب نمايند، كاربر را قانع مي‌كنند تا نرم‌افزاري را بارگذاري كند و نهايتاً، كنترل سيستم او را از راه دور بدست مي‌آورند.
- فروشندگان كاذب، ادعا مي‌كنند كه بايد ارتقاء‌هايي را بر روي بسته حسابداري سازمان و يا سيستم تلفن آن اعمال نمايند، بنابراين كلمه عبور سرپرستي را سئوال كرده و دسترسي كامل به سيستم را بدست مي‌آورند.
- نامه‌هاي الكترونيكي Phishing كه توسط هكرها ارسال شده‌اند، ID كاربري و كلمات عبور دريافت‌كنندگان زود باور را جمع‌آوري مي‌كنند. سپس، هكرها از اين كلمات عبور براي كسب دسترسي به حساب‌هاي بانكي و ساير اطلاعات مهم استفاده مي‌كنند.
- كاركنان جعلي، به بخش امنيت سازمان اطلاع مي‌دهند كه كليدهاي خود براي ورود به اتاق كامپيوتر را گم كرده‌اند، مجموعه‌اي از اين كليدها را دريافت كرده و دسترسي غيرمجاز به اطلاعات فيزيكي و الكترونيكي را بدست مي‌آورند.
مهندسين اجتماعي، گاهي‌اوقات هويت كاركنان داراي نفوذ و مطلع (نظير مديران و معاونين) را جعل مي‌كنند. در مواردي نيز ممكن است آنها نقش كاركنان فوق‌العاده بي‌اطلاع و ساده‌لوح را بازي كنند. برحسب اينكه آنها درحال صحبت كردن با چه كسي هستند، غالباً از يك حالت به حالت ديگر سوئيچ مي‌كنند.
محافظت كارآمد از اطلاعات (خصوصاً امنيتي كه براي مقابله با مهندسي اجتماعي به آن نياز داريد)، از كاربران شما آغاز شده و به آنها ختم مي‌گردد. شما در بخش‌هاي مختلف اين سري مقالات با توصيه‌هاي فني كاملي مواجه مي‌شويد، اما هيچ‌گاه فراموش نكنيد كه ارتباطات و تعامل ساده انساني نيز بر سطح امنيت سازمان شما تأثير خواهد گذاشت. قاعده «امنيت آبنباتي» بيان مي‌دارد كه: بخش سخت در خارج و بخش نرم در داخل طراحي شود. بخش سخت خارجي شامل لايه مكانيزم‌ها (نظير فايروال، سيستم‌هاي تشخيص نفوذ و رمزگذاري) است كه سازمان‌ها براي حفاظت از اطلاعات خود به‌آنها تكيه مي‌كنند. بخش نرم داخلي شامل افراد و سيستم‌هاي داخل سازمان است. اگر هكرها بتوانند از لايه ضخيم‌تر خارجي عبور كنند، مي‌توانند لايه (غالباً) بي‌دفاع داخلي را به زانو درآورند.
مهندسي اجتماعي، يكي از دشوارترين تكنيك‌هاي هك به حساب مي‌آيد، زيرا به مهارت فوق‌العاده‌اي براي جلب اعتماد يك فرد بيگانه نياز دارد. ازسوي ديگر، اين شيوه يكي از دشوارترين تكنيك‌هاي هك از ديدگاه مقابله با آن است، زيرا با مردم سروكار دارد. ما در اين مقاله، به بررسي انواع شيوه‌هاي مهندسي اجتماعي، تكنيك‌هاي لازم براي هك اخلاقي شما و اقدامات متقابلي كه بايد در برابر مهندسي اجتماعي بكار ببريد، خواهيم پرداخت.

پيش از آغاز كار
 

بيان شيوه‌هاي هك در اين قسمت با ساير بخش‌هايي كه از اين سري مقالات مطالعه كرده‌ايد (و خواهيد كرد) تفاوت دارد. مهندسي اجتماعي، يك علم و يك هنر است. اجراي تكنيك‌هاي مهندسي اجتماعي به عنوان يك هكر اخلاقي، به مهارت فوق‌العاده‌اي نياز داشته و به
شخصيت شما و آگاهي كلّي سازمان از آزمايش‌ها بستگي دارد. اگر مهندسي اجتماعي براي شما طبيعي نيست، مي‌توانيد از اطلاعات اين مقاله به عنوان مرجع ياديگري استفاده كرده و سپس زمان بيشتري را براي مطالعه سوژه خود صرف نمائيد. اگر شرايط كاري و سازمان شما درحال‌حاضر چنين حكم مي‌كند، در استخدام يك طرف ثالث براي انجام اين آزمايش‌ها ترديد نكنيد. شما مي‌توانيد از اطلاعات اين قسمت براي انجام آزمايش‌هاي خاص يا ارتقاء توجه به امنيت اطلاعات در سازمان خود استفاده كنيد. مهندسي اجتماعي مي‌تواند به شغل و اعتبار افراد آسيب برساند و ممكن است باعث فاش شدن اطلاعات محرمانه گردد. بنابراين بهتر است با احتياط كامل پيش رفته و قبل از انجام هركاري به خوبي درمورد آن فكر كنيد.
شما مي‌توانيدت حملات مهندسي اجتماعي را به ميليون‌ها شيوه مختلف انجام دهيد. به همين دليل (و به دليل آنكه آموزش رفتارهاي خاص در يك مقاله واحد كاملاً غيرممكن است)، ما به ارائه دستورالعمل‌هاي گام‌به‌گام در زمينه اجراي حملات مهندسي اجتماعي نمي‌پردازيم. درمقابل، سناريوهاي مختلف مهندسي اجتماعي را تشريح خواهيم نمود كه براي ساير هكرها (از هر دو گروه اخلاقي و غيراخلاقي) مؤثر بوده‌اند. شما مي‌توانيد همين حيله‌ها و تكنيك‌ها را براي شرايط خاص خود تركيب كرده و منطبق نمائيد.
بهترين شيوه انجام اين تكنيك‌هاي مهندسي اجتماعي آن است كه توسط يك فرد خارجي ناشناس براي يك سازمان اجراء شوند. اگر اين آزمايش‌ها را برعليه سازمان خودتان انجام مي‌دهيد، ممكن است براي ايفاي نقش به عنوان يك فرد بيگانه، با مشكلاتي مواجه شويد (زيرا همه شما را مي‌شناسند). ممكن است اين موضوع در سازمان‌هاي بزرگ، چندان مشكل‌ساز نباشد، اما اگر در يك شركت كوچك با كاركنان محدود هستيد، معمولاً همه با شما آشنايي خواهند داشت.
شما مي‌توانيد آزمايش‌هاي مهندسي اجتماعي را به يك مجموعه مشاورتي قابل‌اعتماد سپرده و يا حتي از يك دوست قابل‌اعتماد خود بخواهيد كه آزمايش‌ها را برايتان انجام دهد. عبارت كليدي در اينجا، «قابل‌اعتماد» است. اگر با شخص ديگري سروكار داريد، بايستي مدارك او را بررسي كرده، سوابقش را مطالعه نموده و موافقت كتبي مديريت سازمان براي انجام آزمايش‌ها (توسط او) را قبلاً كسب كنيد.

چرا مهندسي اجتماعي؟
 

مهاجمين، صرفاً به اين دليل براي نفوذ به سيستم‌ها از مهندسي اجتماعي استفاده مي‌كنند كه «مي‌توانند اين كار را انجام دهند». آنها به شخصي نياز دارند كه درب‌هاي سازمان را برايشان باز كند تا مجبور نباشند براي ورود به زور متوسل شده و احتمالاً گير بيفتند. فايروال‌ها، كنترل‌هاي دسترسي و ابزارهاي تعيين اعتبار نمي‌توانند يك مهندس اجتماعي مصمم را متوقف كنند.
اكثر مهندسين اجتماعي، حملات خود را به كندي اجراء مي‌كنند تا بيش از حد مشهود نبوده و احتمالاً باعث ايجاد بدگماني در سازمان نشوند. آنها بيت‌هاي اطلاعات را در طول زمان جمع‌آوري مي‌كنند و از همين اطلاعات براي ايجاد يك تصوير گسترده‌تر از سازمان، بهره مي‌گيرند. ازسوي ديگر، بعضي از حملات مهندسي اجتماعي مي‌توانند با يك e-mail يا تماس تلفني سريع انجام شوند. شيوه‌هاي مورد استفاده براي مهندسي اجتماعي، به سبك و توانايي‌هاي هكر بستگي دارند.
مهندسي اجتماعي مي‌دانند كه بسياري از سازمان‌ها، فاقد طبقه‌بندي رسمي اطلاعات، سيستم‌هاي كنترل دسترسي، طرح‌هاي مقابله با حوادث و برنامه‌هاي آگاهي امنيتي هستند و از همين نقطه‌ضعف‌ها بهره‌گيري مي‌نمايند.
مهندسين اجتماعي، غالباً چيزهاي زيادي درباره بسياري از موارد مي‌دانند (چه در داخل و چه خارج از سازمان هدف)، زيرا اين موضوع در انجام حملات به آنها كمك مي‌كند. هرچه مهندسين اجتماعي بتوانند اطلاعات بيشتري را درباره سازمان‌ها جمع‌آوري كنند، جعل هويت كاركنان يا ساير افراد داخلي قابل اعتماد برايشان آسان‌تر خواهد بود. آگاهي و اراده مهندسين اجتماعي، آنها را در سطح بالاتري (نسبت به كاركنان متوسطي كه از ارزش اطلاعات مورد جستجوي مهندسين اجتماعي ناآگاه هستند)، قرار مي‌دهد.

آشنايي با مفاهيم
 

اكثر سازمان‌ها دشمناني دارند كه مي‌خواهند مشكلاتي را ازطريق مهندسي اجتماعي برايشان ايجاد كنند. اين دشمنان مي‌توانند كاركنان فعلي يا سابق همان سازمان كه به دنبال انتقام هستند، رقبايي كه مي‌خواهند از آنها سبقت بگيرند و يا هكرهاي تازه‌كاري كه تلاش مي‌كنند مهارت‌هاي خود را به اثبات برسانند، باشند.
صرف‌نظر از اينكه مشكل توسط چه كسي ايجاد مي‌شود،‌ هر سازماني در معرض خطر قرار دارد. شركت‌هاي بزرگتري كه تأسيسات و شعبات آنها در مكان‌هاي متعددي پخش شده‌اند، غالباً آسيب‌پذيرتر هستند، اما شركت‌هاي كوچك نيز مورد حمله قرار مي‌گيرند. هركسي از پرسنل پذيرش گرفته تا نگهبانان امنيتي و پرسنل IT مي‌توانند قربانيان احتمالي مهندسي اجتماعي باشند. كاركنان ميز اطلاعات و مركز تلفن، داراي آسيب‌پذيري بيشتري خواهند بود زيرا آموزش ديده‌اند تا مفيد و آماده ارائه اطلاعات باشند. حتي يك كاربر نهائي متوسط و آموزش نديده نيز در معرض حمله قرار دارد.
مهندسي اجتماعي داراي پيامدهاي جدّي است. از آنجايي‌كه هدف مهندسي اجتماعي «بهره‌برداري از يك نفر براي كسب منافع غيرقانوني است»، هرچيزي امكان دارد. مهندسين اجتماعي كارآمد، مي‌توانند اطلاعات زير را جمع‌آوري نمايند:
- كلمات عبور سرپرستي يا كاربري
- نشان‌ها يا كليدهاي امنيتي براي ورود به ساختمان‌ها و حتي اتاق كامپيوتر
- دارايي‌هاي ذهني نظير مشخصات طرح، فرمول‌ها و يا ساير مستندات تحقيق و توسعه
- گزارشات مالي محرمانه
- اطلاعات خصوصي و محرمانه كاركنان
- فهرست مشتريان و پيش‌بيني‌هاي فروش
اگر هريك از اطلاعات فوق به بيرون درز كند، مي‌توانند با زيان‌هاي مالي، كاهش روحيه كاركنان، به خطر افتادن وظيفه‌شناسي نسبت به مشتريان و حتي ايجاد مشكلات قانوني همراه باشد. «بخش سخت خارجي» كه توسط فايروال‌ها و سيستم‌هاي تشخيص نفوذ ايجاد شده است، غالباً يك احساس كاذب از امنيت را بوجود آورده و باعث تشديد مشكلات مي‌گردد.
در مهندسي اجتماعي، شما هيچ‌گاه نمي‌دانيد كه شيوه بعدي حمله چه خواهد بود. بهترين كاري كه مي‌توانيد انجام دهيد اين است كه گوش به زنگ مانده، شيوه‌هاي مهندسي اجتماعي را درك كرده و ازطريق هوشياري امنيتي مداوم در سازمان، از خود دربرابر متداول‌ترين حملات، محافظت نمائيد. در ادامه، توضيح خواهيم داد كه چگونه مي‌توانيد اين‌كار را انجام دهيد.

انجام حملات مهندسي اجتماعي
 

فرآيند مهندسي اجتماعي، عملاً تاحدودي ابتدايي به نظر مي‌رسد. به طور كلّي، مهندسين اجتماعي، جزئياتي از فرآيندهاي سازماني و سيستم‌هاي اطلاعاتي را براي اجراي حملات خود پيدا مي‌كنند. آنها با در اختيار داشتن اين اطلاعات مي‌دانند كه بايد به دنبال چه چيزي باشند.
هكرها معمولاً حملات مهندسي اجتماعي را در 4 مرحله ساده انجام مي‌دهند:
1) انجام تحقيقات
2) اعتمادسازي
3) بهره‌برداري از روابط براي كسب اطلاعات ازطريق مكالمات، رفتارها و يا فناوري
4) استفاده از اطلاعات جمع‌آوري شده براي مقاصد بدخواهانه
برحسب حمله‌اي كه انجام مي‌شود، اين مراحل مي‌تواند شامل هزاران مرحله فرعي و يا تكنيك مختلف باشند.
پيش از آنكه مهندسين اجتماعي، حمله خود را اجراء كنند، بايد هدفي را درنظر بگيرند. اين اولين قدم يك هكر در فرآيند حمله به حساب مي‌آيد و هدف مورد بحث به احتمال قوي از قبل در ذهن هكر جاي گرفته است. هكر مي‌خواهد چه كاري را انجام دهد؟ هكر تلاش مي‌كند چه چيزي را هك كند و چرا؟ آيا او به دنبال دارايي‌هاي ذهني، كلمات عبور سرور و نشان‌هاي امنيتي است يا اينكه صرفاً مي‌خواهد ثابت كند كه امكان نفوذ به خطوط دفاعي شركت وجود وجود دارد؟ در تلاش خود به عنوان يك هكر اخلاقي كه مشغول انجام مهندسي اجتماعي است، اين هدف را پيش از آغاز حركت خود تعيين نمائيد.

Fishing
 

پس از آنكه مهندسين اجتماعي توانستند هدف را در ذهن خود مشخص كنند، معمولاً حمله را با جمع‌آوري اطلاعات عمومي درباره قرباني (با قربانيان) خود آغاز مي‌نمايند. بسياري از مهندسين اجتماعي، اطلاعات را به كندي و در طول زمان جمع‌آوري مي‌كنند تا باعث ايجاد بدگماني نشوند. قابل مشاهده بودن، آخرين نشانه‌اي است كه هنگام دفاع دربرابر مهندسي اجتماعي با آن مواجه خواهيد شد. ما در ادامه به ساير نشانه‌هاي هشداردهنده در اين مورد اشاره خواهيم كرد.
صرفنظر از شيوه انجام تحقيقات ابتدائي، تمام چيزي كه يك هكر براي آغاز نفوذ خود به يك سازمان نياز دارد عبارت است از يك فهرست از كاركنان، چند شماره تلفن كليدي داخلي و يا يك تقويم سازماني.

استفاده از اينترنت
 

امروزه، اينترنت به عنوان رسانه تحقيقاتي اصلي شناخته مي‌شود. تنها چند دقيقه كار با Google يا ساير موتورهاي جستجو و عبارات كليدي ساده‌اي نظير نام شركت و يا نام كاركنان خاص آن، غالباً انبوهي از اطلاعات را در اختيار هكر قرار مي‌دهد. شما حتي مي‌توانيد اطلاعات بيشتري را از سوابق SEC و در سايت‌هايي نظير Hoovers يا Finance-yahoo.com بدست آوريد. درواقع، اطلاعاتي كه به صورت Online، قابل دسترسي هستند، مي‌توانند بسياري از سازمان‌ها (خصوصاً مديريت سطح بالاي آنها) را به وحشت بيندازند. با استفاده از اطلاعات اين موتورهاي جستجو و مرور سايت‌هاي وب، هكر غالباً اطلاعات كافي براي آغاز يك حمله مهندسي اجتماعي را بدست مي‌آورد.
هكرها مي‌توانند با پرداخت تنها 100دلار (يا كمتر)، به بررسي جامع سوابق اشخاص بر روي بعضي از سايت‌ها بپردازند. اين جستجوها عملاً مي‌توانند تنها در چند دقيقه هرگونه اطلاعات عمومي (و گاهي‌اوقات خصوصي) را درباره يك فرد ارائه نمايند.

گردش در زباله‌ها
 

گردش در زباله‌ها، يك شيوه دشوارتر با ريسك بالاتر براي جمع‌آوري اطلاعات به حساب مي‌آيد اما درعين‌حال، شديداً مؤثر است . اين شيوه به طور تحت‌اللفظي با جستجوي سطل‌هاي آشغال براي بدست آوردن اطلاعات مربوط به يك شركت سروكار دارد.
گردش در زباله‌ها مي‌تواند حتي محرمانه‌ترين اطلاعات را نيز فاش كند زيرا بسياري از كاركنان تصور مي‌كنند كه اطلاعات آنها پس از رفتن به فايل 13، كاملاً امن خواهد بود. اكثر مردم در ارزش احتمالي كاغذهايي كه دور مي‌ريزند، فكر نمي‌كنند. اين اسناد، غالباً حاوي انبوهي از اطلاعات هستند كه اطلاعات موردنياز مهندس اجتماعي براي نفوذ بيشتر به يك سازمان را در اختيار او قرار مي‌دهند. يك مهندس اجتماعي زيرك، به جستجوي اسناد چاپي زير خواهد بود:
- فهرست تلفن‌هاي داخلي
- نمودارهاي سازماني
- كتابچه‌هاي دستي كاركنان كه غالباً حاوي خط‌ مشي‌هاي امنيتي است
- نمودارهاي شبكه
- فهرست كلمات عبور
- يادداشت‌هاي مربوط به ملاقات‌ها
- صفحات گسترده و گزارشات
- نسخه‌هاي چاپ شده e-mailها كه حاوي اطلاعات محرمانه‌اي هستند خرد كردن (Shredding) كاغذها تنها زماني مؤثر خواهد بود كه آنها را به قطعات بسيار كوچك و نامنظمي خرد نمائيد. دستگاه‌هاي Shredder ارزان‌قيمتي كه كاغذ را صرفاً به صورت رشته‌هاي بلند خرد مي‌كنند، اساساً دربرابر يك مهندس اجتماعي مصمم، كاملاً بي‌ارزش خواهند بود. با صرف مقداري زمان و چسب، يك مهندس اجتماعي به آساني مي‌تواند قطعات يك سند را مجدداً دركنار يكديگر قرار دهد.
هكرها غالباً اطلاعات تجاري و شخصي محرمانه سايرين را با گوش دادن به مكالماتي كه در رستوران‌ها، كافي‌شاپ‌ها، فروشگاه‌ها و يا حتي هواپيماها انجام مي‌شوند، جمع‌آوري مي‌كنند. مردمي كه درهنگام استفاده از تلفن همراه خود با صداي بلند صحبت مي‌كنند، منابع ايده‌الي براي كسب اطلاعات به حساب مي‌آيند. هريك از ما، هنگامي‌كه در يك رستوران يا محلّ عمومي ديگري مشغول انجام كار خود بوده‌ايم، از آنچه كه ديگران درهنگام صحبت با يكديگر فاش كرده‌اند (حتي زماني‌كه اصلاً تلاش نمي‌كرديم صحبت‌هاي آنها را بشنويم)، حيرت‌زده شده ايم.
هكرها همچنين در زباله‌ها به جستجوي ديسك‌هاي فلاپي، CD-ROMها و DVDها، كيس‌هاي كامپيوتر قديمي (خصوصاً آنهايي ‌كه هنوز درايوهاي ديسك سخت ظاهراً غيرقابل استفاده خود را دارند) و نوارهاي Backup مي‌پردازند.

سيستم‌هاي تلفني
 

هكرها، مي‌توانند اطلاعات زيادي را با استفاده از ويژگي «تماس با نام» تعبيه شده در اكثر سيستم‌هاي Voicemail بدست آورند. براي دسترسي به اين اطلاعات، شما معمولاً تنها كليد 0 را درهنگام تماس با شماره اصلي و يا حتي ميزكار يك شخص خاص فشار مي‌دهيد. اين حيله خصوصاً بعد از ساعات كاري (كه مطمئن هستيد كسي به تلفن جواب نمي‌دهد)، مؤثر خواهد بود.
اگر هكرها بتوانند محلّي كه از آن تماس مي‌گيرند را مخفي نگهدارند، مي‌توانند از هويت خود محافظت نمايند. بعضي از شيوه‌هايي كه آنها مي‌توانند براي اين منظور مورد استفاده قرار دهند، عبارتند از:
- تلفن هاي عمومي:اين تلفن مي تواند شماره هاي خود را از Callerمخفي کند.
- تلفن‌هاي تجاري: سروكار داشتن با دفتري كه از يك سوئيچ تلفن استفاده مي‌كند، دشوارتر است. با اينحال، تمام چيزي كه هكر معمولاً به آن نياز دارد، يك راهنماي كاربر و كلمه عبور سرپرستي نرم‌افزار سوئيچ تلفن است. در بسياري از سوئيچ‌ها، هكر مي‌تواند شماره مبدأ (شامل يك شماره تحريف شده نظير شماره تلفن منزل قرباني) را وارد نمايد. با اينحال، سيستم‌هاي تلفني VoIP (Voice Over IP) اين مشكل را برطرف نموده‌اند.
هكرها تنها با گوش دادن به پيام‌هاي صندوق صوتي (Voicemail)، جزئيات جالبي از اطلاعات را بدست مي‌آورند، مثل اينكه قربانيان آنها چه زماني دفتر خارج از شهر هستند. آنها همچنين با گوش دادن به پيام‌هاي صندوق صوتي يا Presentationهاي اينترنتي و Webcastها، به مطالعه صداي قربانيان خود مي‌پردازند تا بتوانند هويت آنها را جعل كنند.

اعتمادسازي
 

بدست آوردن اعتماد بسيار دشوار است، اما به آساني ازدست مي‌رود. اعتماد، اساس مهندسي اجتماعي است. اكثر انسان‌ها به انسان‌هاي ديگر اعتماد مي‌كنند، مگرآنكه شرايطي بروز كند كه وادار به تغيير نظر خود شوند. ما مي‌خواهيم به يكديگر كمك كنيم، خصوصاً اگر امكان ايجاد اعتماد وجود داشته باشد و درخواست كمك نيز منطقي به نظر برسد. اكثر مردم مي‌خواهند تا در محلّ كار خود بازيكنان تيمي باشند و نمي‌دانند كه چه اتفاقي مي‌تواند روي دهد اگر اطلاعات «بيش از حدّي» را به يك منبع «قابل اعتماد» فاش كنند. به همين دليل است كه مهندسين اجتماعي مي‌توانند به اهداف خود نائل شوند. البته، ايجاد اعتماد عميق غالباً به زمان بيشتري نياز دارد. مهندسين ماهر اجتماعي، اين اعتماد را در طول چند دقيقه يا چندساعت بدست مي‌آورند. آنها چگونه اعتمادسازي مي‌كنند؟
- توانايي جلب دوستي: چه كسي نمي‌تواند با يك فرد مؤدب ارتباط برقرار كند؟ همه «ادب و مهرباني» را دوست دارند. هرچه يك مهندس اجتماعي مهربان‌تر باشد (بدون زياده‌روي)، شانس بيشتري براي بدست آوردن آنچه كه جستجو مي‌كند خواهد داشت. مهندسين اجتماعي غالباً كار خود را با جلب توجه عمومي آغاز مي‌كنند. آنها غالباً از اطلاعاتي كه در مرحله جستجو بدست آورده‌اند (براي تعيين اينكه قرباني به چه چيزي علاقه دارد)، آغاز مي‌كنند و رفتار خود را با اين موارد تطبيق مي‌دهند. براي مثال، آنها مي‌توانند به قرباني تلفن زده يا شخصاً با او ملاقات نمايند و سپس براساس اطلاعاتي كه قبلاً درباره او جمع‌آوري كرده‌اند، صحبت درمورد تيم‌هاي ورزشي محلّي يا يك فيلم سينمايي جديد را آغاز كنند. تنها چند جمله دقيق كه به خوبي تنظيم شده باشند، مي‌توانند آغاز يك ارتباط خوشايند جديد باشند.
باورپذيري: البته باورپذيري تاحدودي به آگاهي مهندسين اجتماعي و سطح مطلوبيت آنها بستگي دارد. با اينحال، مهندسين اجتماعي از جعل هويت نيز استفاده مي‌كنند و احتمالاً ظاهر يك كارمند جديد يا يك كارمند عادي (كه قرباني تاكنون او را نديده) را به خود مي‌گيرند. ممكن است آنها حتي تظاهر كنند، فروشنده‌اي هستند كه با سازمان قرباني روابط تجاري دارند. آنها غالباً درنهايت تواضع، مدعي مقام بالايي براي خود مي‌شوند تا افراد را تحت تأثير قرار دهند. متدول‌ترين حيله مهندسي اجتماعي، انجام كار خوشايندي است تا قرباني احساس كند كه درمقابل، موظف به انجام كار خوشايندي مي‌باشد و يا با انجام اين كار، يك همكار تيمي خوب در سازمان به حساب مي‌آيد.

بهره‌برداري از روابط
 

پس از آنكه مهندسين اجتماعي توانستند اعتماد قربانيان ناآگاه خود را بدست آورند، آنها را اغوا مي‌كنند تا اطلاعات بيشتري (نسبت به آنچه كه بايد) را فاش نمايند. آنها اين كار را ازطريق ارتباطات الكترونيكي و يا چهره به چهره انجام مي‌دهند كه قربانيان با آن احساس راحتي مي‌كنند. همچنين ممكن است آنها از فناوري‌هايي براي وادار كردن قربانيان به فاش نمودن اطلاعات، استفاده كنند.
1

.فريب ازطريق جملات و رفتارها :
 

مهندسين اجتماعي حيله‌گر، مي‌توانند اطلاعات داخلي را به شيوه‌هاي مختلفي، از قربانيان خود بدست آورند. آنها غالباً ماهرانه صحبت مي‌كنند و بر روي پيشرفت مكالمات خود تمركز مي‌كنند، بدون‌آنكه وقت زيادي به قربانيان خود بدهند تا درمورد آنچه كه مي‌گويند فكر كنند. با اينحال، اگر آنها در طول حملات مهندسي خود بي‌دقت يا بيش از حد مشتاق باشند، جزئيات زير مي‌توانند مانع كارشان شوند:
- رفتار بيش از حد دوستانه يا مشتاق
- ذكر نام افراد برجسته در داخل شركت
- لاف زدن درمورد مقام خود در داخل شركت
- تهديد به توبيخ كارمندان درصورت اجابت نشدن درخواست‌ها
- رفتار عصبي درهنگام مواجه شدن با پرسش‌ها (گزيدن لب‌ها و ناآرامي، خصوصاً دست‌ها و پاها، زيرا براي كنترل قسمت‌هايي از بدن كه از صورت دورتر هستند، تلاش هوشيارانه‌تري لازم است)
- تأكيد بيش از حد بر جزئيات
- تغييرات فيزيولوژيكي نظير بازشدن مردمك‌ها يا تغيير در گام صدا
- رفتار عجولانه
- امتناع از ارائه اطلاعات
- ارائه داوطلبانه اطلاعات و پاسخ دادن به پرسش‌هاي مطرح نشده
- آگاهي از اطلاعاتي كه يك فرد خارجي نبايد آنها را در اختيار داشته باشد.
- يك فرد خارجي شناخته شده كه از اصطلاحات يا زبان داخلي سازمان استفاده مي‌كند.
- مطرح نمودن پرسش‌هاي عجيب
- املاء غلط عبارات در ارتباطات نوشتاري
يك مهندس اجتماعي متبحّر، با رفتارهاي فوق، قابل شناسايي نخواهد بود، اما اينها تعدادي از علائمي هستند كه درهنگام يك رفتار مجرمانه مشاهده مي‌شوند. هكرها، غالباً به يك نفر لطف مي‌كنند، سپس بازگشته و از او مي‌خواهند كه به آنها كمك نمايد. اين يك حيله متداول در مهندسي اجتماعي است كه به خوبي كار مي‌كند. هكرها همچنين غالباً از روشي كه «مهندسي اجتماعي معكوس» ناميده مي‌شود، استفاده مي‌كنند. در اين شيوه، آنها به برطرف نمودن يك مشكل خاص كمك مي‌كنند. مدّتي مي‌گذرد و مشكل مجدداً روي مي‌دهد (غالباً به طور عمدي توسط خود هكر) و آنها بازهم به برطرف نمودن مشكل كمك مي‌كنند. به اين ترتيب، آنها مي‌توانند به قهرماناني تبديل شوند كه همين مسئله باعث تقويت انگيزه‌شان مي‌گردد. همچنين ممكن است هكرها به سادگي از يك كارمند ناآگاه بخواهند كه به آنها لطفي بكند. بله، آنها آشكارا يك لطف را درخواست مي‌كنند. بسياري از مردم به سادگي در اين تله مي‌افتند.
جعل هويت يك كارمند بسيار آسان است. مهندسين اجتماعي مي‌توانند يك يونيفورم مشابه را بپوشند، از يك نشان ID جعلي استفاده كنند و يا به سادگي لباس كاركنان واقعي را بر تن نمايند. به اين ترتيب، مردم تصور مي‌كنند كه «بله، ظاهر و رفتار او مثل من است، پس بايد يكي از ما باشد». مهندسين اجتماعي درعين‌حال وانمود مي‌كنند كارمنداني هستند كه از يك خط خارجي با داخل سازمان تماس گرفته‌اند. اين يك شيوه بسيار مشهور براي بهره‌برداري از پرسنل ميز اطلاعات و مركز تلفن سازمان است.
2

- فريب ازطريق فناوري:
 

فناوري، مي‌تواند كارها را براي يك مهندس اجتماعي، آسان‌تر نمايد. غالباً يك درخواست بدخواهانه براي اطلاعات، از يك كامپيوتر يا ماهيت الكترونيكي ديگري مي‌آيد كه قرباني تصور مي‌كند قادر به شناسايي آن است. با اين‌حال جعل نام يك كامپيوتر، يك آدرس e-mail، يك شماره فاكس و يا يك آدرس شبكه بسيار آسان است. خوشبختانه شما مي‌توانيد بعضي اقدامات متقابل را در برابر اين موارد، اتخاذ نمائيد.
يكي از شيوه‌هاي هكرها براي فريب ازطريق فناوري، ارسال e-mail و درخواست اطلاعات مهم از قرباني است. اينگونه e-mailها معمولاً لينكي را فراهم مي‌كنند كه قرباني را به يك سايت وب با ظاهر حرفه‌اي و قانوني هدايت مي‌كند كه به نوبه خود، ظاهراً اطلاعات حساب او نظير ID كاربري، كلمات عبور و شماره تأمين‌اجتماعي را «بروز رساني» مي‌كند.

هشدار به حرفه‌اي‌ها
 

در اينجا خاطره يك متخصص IT را مطالعه مي‌كنيد كه به خاطر تجربه خود تصور مي‌كرد كه هيچ‌گاه در تله مهندسي اجتماعي نخواهد افتاد. او مي‌گويد: «يك روز من با اتصال اينترنت پرسرعت خود مشكل داشتم. به اين فكر افتادم كه از دسترسي Dial-up استفاده كنم، زيرا به هرحال، بهتر از عدم دسترسي به e-mailها و ساير كارهاي ابتدايي Online بود. من با ISP خود تماس گرفته و به مسئول پشتيباني فني گفتم كه كلمه عبور Dial-up خود را فراموش كرده‌ام. اين وضعيت، مي‌توانست آغاز يك فرآيند مهندسي اجتماعي باشد كه من مي‌توانستم دربرابر آن مقاومت كنم، ولي من در آن فرو رفتم. متصدي پشتيباني فني، براي يك دقيقه مكث كرد و به نظر مي‌رسيد كه درحال بررسي اطلاعات حساب Dial-up من است.» سپس از من پرسيد: «شما چه كلمه عبوري را امتحان مي‌كنيد؟».
من به شكل احمقانه‌اي تمام عباراتي كه مي‌توانستند كلمه عبورم باشند را بيان كردم. براي چند لحظه، سكوت در تماس تلفني ما حاكم شد. او كلمه عبور من را تعويض كرد و رمز جديد را به من اطلاع داد. پس از قطع كردن تلفن، من به خودم گفتم «اينجا چه اتفاقي افتاد؟ من در معرض مهندسي اجتماعي قرار گرفتم. يعني من ديوانه شده‌ام؟». من تمام كلمات عبوري كه در رابطه با حساب كاربري اينترنت خود فاش كرده بودم را تغيير دادم تا او نتواند از آنها برعليه من استفاده كند. من هنوز اطمينان دارد كه او درحال امتحان كردن من بود. درسي كه از اين تجربه آموختم اين بود كه هرگز و تحت هيچ شرايطي كلمه عبور خود را براي شخص ديگري (يك كارمند ديگر، رئيس خود و يا هر فرد ديگري) فاش نكنيد زيرا پي‌آمدهاي آن مي‌توانند وحشتناك باشند.
بسياري از پيام‌هاي Spam و Fishing از همين حيله استفاده مي‌كنند. اكثر كاربران آنقدر در معرض سيلي از Spamها و ساير e-mailهاي ناخواسته قرار مي‌گيرند كه معيارهاي حفاظتي خود را فراموش كرده و e-mail يا ضميمه‌اي را باز مي‌كنند كه نبايد باز كنند. اين e-mailها معمولاً بسيار حرفه‌اي و باورپذير به نظر مي‌رسند. آنها غالباً افراد را فريب مي‌دهند تا اطلاعات را فاش نمايند كه هيچ‌گاه نبايد آنها را درمقابل يك هديه ارائه كنند. اين حيله‌هاي مهندسي اجتماعي همچنين زماني مورد استفاده قرار مي‌گيرند كه يك هكر قبلاً به داخل يك شبكه نفوذ كرده و پيام‌هايي را ارسال مي‌كند يا پنجره‌هاي Pop-up اينترنتي جعلي را ايجاد مي‌نمايد. همين روش‌ها ازطريق پيام‌رساني (Instant Messaging) IM و سيستم‌هاي پيام‌رساني تلفن‌هاي سلولي نيز بكار گرفته مي‌شوند.
در بعضي از حوادث عمومي، هكرها وصله‌اي را براي قربانيان خود e-mail مي‌كنند كه ادعا مي‌نمايد ازطرف مايكروسافت يا ساير فروشندگان مشهور ارسال گرديده است. كاربران تصور مي‌كنند اين يك هديه بي‌خطر ازطرف يك ارسال‌كننده قابل اعتماد است. با اينحال، پيام ازطرف هكري ارسال شده كه از كاربر مي‌خواهد «وصله» را نصب كند، اما درواقع يك اسب ترواي Key-Logger بر روي سيستم نصب شده و يا يك درب پشتي در كامپيوترها يا شبكه‌ها باز مي‌گردد. هكرها از اين درب‌هاي پشتي براي نفوذ به سيستم‌هاي سازمان‌ها و يا استفاده از كامپيوترهاي قربانيان (كه تحت عنوان «زامبي» شناخته مي‌شوند) به عنوان سكوهاي پرتاب حملات خود به ساير سيستم‌ها بهره‌گيري مي‌نمايند. حتي ويروس‌ها و يا كرم‌ها نيز مي‌توانند به مهندسي اجتماعي تكيه داشته باشند. براي نمونه، كرم LoveBug به كاربران مي‌گفت كه آنها يك تحسين‌كننده محرمانه دارند. زماني‌كه قرباني e-mail خود را باز مي‌كرد، ديگر كار از كار گذشته بود. درواقع، آنها هيچ تحسين‌كننده محرمانه‌اي نداشتند و خبر بدتر اينكه، كامپيوترشان نيز آلوده شده بود.
شيوه كلاهبرداري Nigerian 419 e-mail، تلاش مي‌كند تا به وجوه و حساب‌هاي بانكي كاربران ناآگاه دسترسي پيدا كند. اين مهندسين اجتماعي، به قرباني پيشنهاد مي‌كنند كه درقبال برگرداندن وجوه و سرمايه‌هاي يك مشتري تازه درگذشته به آمريكا، چندين ميليون‌دلار دريافت نمايد. تمام كاري كه قرباني بايد انجام دهد، اعلام اطلاات حساب بانكي خود و پرداخت مبلغ اندكي براي پوشش هزينه‌هاي اين انتقال است. به اين ترتيب، قربانيان درواقع حساب‌هاي بانكي خود را تخليه كرده‌اند.
بسياري از تاكتيك‌هاي كامپيوتري مهندسي اجتماعي، به طور ناشناس و ازطريق سرورهاي پروكسي اينترنتي، Anonymizerها، Remailerها و سرورهاي SMTP ابتدايي كه به طور پيش‌فرض رله مي‌كنند، قابل انجام هستند. هنگاميكه مردم درمقابل درخواست اطلاعات شركتي يا اطلاعات شخصي محرمانه قرار مي‌گيرند، رديابي اين حملات مهندسي اجتماعي، غالباً غيرممكن است.

اقدامات متقابل مهندسي اجتماعي
 

شما تنها چند خط دفاعي مناسب دربرابر مهندسي اجتماعي داريد. حتي باوجود سيستم‌هاي امنيتي قدرتمند نيز يك كاربر بي‌تجربه مي‌تواند امكان ورود مهندس اجتماعي به داخل شبكه را فراهم نمايد. هيچ‌گاه قدرت مهندسي اجتماعي را دست‌كم نگيريد.

خط مشي‌ها
 

خط مشي‌هاي خاص در بلندمدت به دفع اقدامات مهندسي اجتماعي كمك مي‌كنند:
- طبقه‌بندي داده‌ها
- استخدام كاركنان و پيمانكاران و راه‌اندازي IDهاي كاربران
- خاتمه دادن به كار كاركنان و پيمانكاران و حذف IDهاي كاربري
- ايجاد و نوسازي كلمات عبور
- واكنش به حوادث امنيتي نظير رفتارهاي مشكوك
- اداره اطلاعات محرمانه و اختصاصي
- همراهي مهمانان
اين خط ‌مشي‌ها بايد قابل اجراء بوده و اعمال شوند (درمورد تمام افراد داخل يك سازمان). آنها را به روز نگهداريد و درباره آنها براي كاربران نهائي خود توضيح دهيد.

ضرورت هوشياري و آموزش كاربران
 

بهترين خط دفاعي درمقابل مهندسي اجتماعي، يك سازمان با كاركناني است كه مي‌توانند حملات مهندسي اجتماعي را تشخيص داده و دربرابر آن واكنش نشان دهند. هوشياري كاركنان با آموزش‌هاي ابتدايي براي همه آغاز شده و سپس با ابتكار عمل‌هاي هوشياري امنيتي براي حفظ اولويت دفاع دربرابر مهندسي اجتماعي در ذهن تمام كاركنان، ادامه پيدا مي‌كند. آموزش و آگاهي كاركنان را با خط‌مشي‌هاي امنيتي تطبيق دهيد.
شما مي‌توانيد آموزش‌هاي امنيتي را به يك مربي امنيتي باتجربه بسپاريد. معمولاً اگر آموزش‌ها توسط يك فرد خارجي ارائه شوند، توسط كاركنان، جدّي‌تر گرفته مي‌شوند. سپردن آموزش‌هاي امنيتي به منابع خارجي، ارزش سرمايه‌گذاري‌هاي مربوطه را دارد. درحاليكه به آموزش و هوشياري مستمر كاركنان خود در سازمان ادامه مي‌دهيد، نكات زير مي‌توانند براي مقابله با حملات مهندسي اجتماعي در بلندمدّت به شما كمك كنند:
- با هوشياري و آموزش‌هاي امنيتي به عنوان يك سرمايه‌گذاري تجاري رفتار كنيد.
- كاربران را تحت آموزش‌هاي مداوم قرار دهيد تا موضوع «امنيت» در ذهن آنها تازه بماند.
- مضامين آموزشي خود را در حدّ امكان متناسب با مخاطبين آنها آماده كنيد.
- يك برنامه هوشياري مهندسي اجتماعي را براي توابع تجاري و نقش كاربران خود ايجاد نمائيد.
- پيام‌هاي خود را تا حدّ امكان غيرفني نگهداريد.
- برنامه‌هاي تشويقي را براي جلوگيري از حوادث امنيتي و گزارش آنها تهيه كنيد.
- كاركنان را با بيان مثال‌هاي مختلف، راهنمايي كنيد.
براي كمك به جلوگيري از وقوع حملات مهندسي اجتماعي، اين نكات را با كاربران خود به اشتراك بگذاريد:
- هرگز اطلاعاتي را فاش نكنيد مگرآنكه مطمئن شويد فردي كه اطلاعات را درخواست نموده به آنها نياز داشته و درعين‌حال، همان كسي است كه ادعا مي‌كند. اگر يك درخواست به صورت تلفني مطرح شده است، هويت تماس‌گيرنده را بررسي كرده و شما با او تماس بگيريد (Call Back).
- هيچگاه بر روي يك لينك e-mail كه ظاهراً شما را به يك صفحه با اطلاعاتي كه نيازمند بروزرساني هستند هدايت مي‌نمايد، كليك نكنيد. اين موضوع خصوصاً درمورد e-mailهاي ناخواسته صادق است.
- تمام مهمانان را در داخل يك ساختمان همراهي كنيد.
- هيچ‌گاه فايل‌هايي كه از افراد بيگانه گرفته‌ايد را باز يا ارسال نكنيد.
- هيچ‌گاه كلمات عبور خود را اعلام نكنيد.
پيشنهادهاي عمومي زير نيز مي‌توانند حملات مهندسي اجتماعي را دفع نمايند:
- هيچ‌گاه به يك غريبه اجازه ندهيد كه به يكي از پورت‌هاي شبكه يا شبكه بي‌سيم شما متصل شود، حتي براي چند ثانيه. يك هكر مي‌تواند در همين فرصت، يك تحليل‌گر شبكه، برنامه اسب تروا يا malware ديگري را مستقيماً بر روي شبكه شما قرار دهد.
- اطلاعات خود را (چه به صورت الكترونيكي و چه به صورت كپي سخت)، طبقه‌بندي كنيد. به تمام كاركنان آموزش دهيد كه چگونه بايد هريك از انواع اطلاعات را اداره نمايند.
- خط ‌مشي‌هايي را براي انهدام اسناد و رسانه‌هاي كامپيوتري تهيه كرده و اعمال نمائيد. اين خط‌ مشي‌ها تضمين مي‌كنند كه داده‌ها بادقت اداره مي‌شوند و همان‌جايي مي‌مانند كه بايد باشند.
- از سيستم‌هاي كاغذ خردكن Cross-Shredding استفاده كنيد. با اين‌حال، هنوز بهتر است با يك شركت «انهدام اسناد» كه در زمينه انهدام مستندات محرمانه تخصص دارد، قرارداد ببنديد.
نهايتاً، تكنيك‌هاي زير مي‌توانند مضمون آموزش‌هاي رسمي را تقويت كنند:
- توجيه كاركنان تازه‌وارد، اجراي دوره‌هاي آموزشي مجدد، e-mailها و روزنامه‌ها
- جزوه‌هاي مقابله با مهندسي اجتماعي به همراه توصيه‌ها و FAQها
- خرده‌ريزهايي نظير محافظ‌هاي صفحه نمايش، پد ماوس، يادداشت‌هاي چسبان، قلم‌ها و پوسترهاي دفتري كه حاوي پيام‌هايي در زمينه تقويت اصول امنيتي هستند.
منبع:نشريه بزرگراه رايانه- ش133



 



نظرات کاربران
ارسال نظر
با تشکر، نظر شما پس از بررسی و تایید در سایت قرار خواهد گرفت.
متاسفانه در برقراری ارتباط خطایی رخ داده. لطفاً دوباره تلاش کنید.
مقالات مرتبط