مهندسي اجتماعي به زبان ساده
Social engineering، هم بسيار پيچيده و هم بينهايت ساده است. اما واقعاً اين عبارت چه معنايي دارد؟ مهندسي اجتماعي درواقع به معناي كار روي يك شخص، باهدف ترغيب وي به انجام كارهايي براي حصول فرد ترغيبكننده به اهدافي چون دستيابي به دادهها، اطلاعات دسترسي يا دستكاري سيستم يا شبكه هدف براي انجام كاري خاص تعريف ميشود. به واسطه طبيعت رازگونه اين مهارت تاريك، معمولاً افراد از آن گريزان بوده و احساس ميكنند قادر به اجراي يك آزمون موفق مهندسي اجتماعي نميباشند. اگرچه هر زمان كه شما سعي در وادار نمودن كسي به انجام كار موردنظر خود نماييد، يك عمل مهندسي اجتماعي را انجام دادهايد. از يك كودك كه سعي در وادار نمودن والدين به خريد اسباببازي موردنظر خود مينمايد تا تلاش افراد بزرگسال براي بدست آوردن يك شغل يا ارتقاء شغلي، همگي شكلي از مهندسي اجتماعي را در برميگيرند.
مهندسي اجتماعي، از ضعيفترين اتصال در خطوط دفاعي امنيت اطلاعات هر سازمان، يعني نيروي انساني بهرهگيري مينمايد. به زبان ساده، مهندسي اجتماعي، به معناي «هك كردن» افراد بوده و با سوءاستفاده از طبيعت اعتماد متقابل بين انسانها، به اطلاعاتي كه ميتوانند براي كسب منا فع شخصي مورد استفاده قرار گيرند، دستيابي حاصل ميگردد.
در اينجا به مثالهائي از مهندسي اجتماعي اشاره ميكنيم:
- پرسنل جعلي پشتيباني، ادعا ميكنند كه بايد يك وصله يا نسخه ديدي از نرمافزار را بر روي كامپيوتر يك كاربر نصب نمايند، كاربر را قانع ميكنند تا نرمافزاري را بارگذاري كند و نهايتاً، كنترل سيستم او را از راه دور بدست ميآورند.
- فروشندگان كاذب، ادعا ميكنند كه بايد ارتقاءهايي را بر روي بسته حسابداري سازمان و يا سيستم تلفن آن اعمال نمايند، بنابراين كلمه عبور سرپرستي را سئوال كرده و دسترسي كامل به سيستم را بدست ميآورند.
- نامههاي الكترونيكي Phishing كه توسط هكرها ارسال شدهاند، ID كاربري و كلمات عبور دريافتكنندگان زود باور را جمعآوري ميكنند. سپس، هكرها از اين كلمات عبور براي كسب دسترسي به حسابهاي بانكي و ساير اطلاعات مهم استفاده ميكنند.
- كاركنان جعلي، به بخش امنيت سازمان اطلاع ميدهند كه كليدهاي خود براي ورود به اتاق كامپيوتر را گم كردهاند، مجموعهاي از اين كليدها را دريافت كرده و دسترسي غيرمجاز به اطلاعات فيزيكي و الكترونيكي را بدست ميآورند.
مهندسين اجتماعي، گاهياوقات هويت كاركنان داراي نفوذ و مطلع (نظير مديران و معاونين) را جعل ميكنند. در مواردي نيز ممكن است آنها نقش كاركنان فوقالعاده بياطلاع و سادهلوح را بازي كنند. برحسب اينكه آنها درحال صحبت كردن با چه كسي هستند، غالباً از يك حالت به حالت ديگر سوئيچ ميكنند.
محافظت كارآمد از اطلاعات (خصوصاً امنيتي كه براي مقابله با مهندسي اجتماعي به آن نياز داريد)، از كاربران شما آغاز شده و به آنها ختم ميگردد. شما در بخشهاي مختلف اين سري مقالات با توصيههاي فني كاملي مواجه ميشويد، اما هيچگاه فراموش نكنيد كه ارتباطات و تعامل ساده انساني نيز بر سطح امنيت سازمان شما تأثير خواهد گذاشت. قاعده «امنيت آبنباتي» بيان ميدارد كه: بخش سخت در خارج و بخش نرم در داخل طراحي شود. بخش سخت خارجي شامل لايه مكانيزمها (نظير فايروال، سيستمهاي تشخيص نفوذ و رمزگذاري) است كه سازمانها براي حفاظت از اطلاعات خود بهآنها تكيه ميكنند. بخش نرم داخلي شامل افراد و سيستمهاي داخل سازمان است. اگر هكرها بتوانند از لايه ضخيمتر خارجي عبور كنند، ميتوانند لايه (غالباً) بيدفاع داخلي را به زانو درآورند.
مهندسي اجتماعي، يكي از دشوارترين تكنيكهاي هك به حساب ميآيد، زيرا به مهارت فوقالعادهاي براي جلب اعتماد يك فرد بيگانه نياز دارد. ازسوي ديگر، اين شيوه يكي از دشوارترين تكنيكهاي هك از ديدگاه مقابله با آن است، زيرا با مردم سروكار دارد. ما در اين مقاله، به بررسي انواع شيوههاي مهندسي اجتماعي، تكنيكهاي لازم براي هك اخلاقي شما و اقدامات متقابلي كه بايد در برابر مهندسي اجتماعي بكار ببريد، خواهيم پرداخت.
شخصيت شما و آگاهي كلّي سازمان از آزمايشها بستگي دارد. اگر مهندسي اجتماعي براي شما طبيعي نيست، ميتوانيد از اطلاعات اين مقاله به عنوان مرجع ياديگري استفاده كرده و سپس زمان بيشتري را براي مطالعه سوژه خود صرف نمائيد. اگر شرايط كاري و سازمان شما درحالحاضر چنين حكم ميكند، در استخدام يك طرف ثالث براي انجام اين آزمايشها ترديد نكنيد. شما ميتوانيد از اطلاعات اين قسمت براي انجام آزمايشهاي خاص يا ارتقاء توجه به امنيت اطلاعات در سازمان خود استفاده كنيد. مهندسي اجتماعي ميتواند به شغل و اعتبار افراد آسيب برساند و ممكن است باعث فاش شدن اطلاعات محرمانه گردد. بنابراين بهتر است با احتياط كامل پيش رفته و قبل از انجام هركاري به خوبي درمورد آن فكر كنيد.
شما ميتوانيدت حملات مهندسي اجتماعي را به ميليونها شيوه مختلف انجام دهيد. به همين دليل (و به دليل آنكه آموزش رفتارهاي خاص در يك مقاله واحد كاملاً غيرممكن است)، ما به ارائه دستورالعملهاي گامبهگام در زمينه اجراي حملات مهندسي اجتماعي نميپردازيم. درمقابل، سناريوهاي مختلف مهندسي اجتماعي را تشريح خواهيم نمود كه براي ساير هكرها (از هر دو گروه اخلاقي و غيراخلاقي) مؤثر بودهاند. شما ميتوانيد همين حيلهها و تكنيكها را براي شرايط خاص خود تركيب كرده و منطبق نمائيد.
بهترين شيوه انجام اين تكنيكهاي مهندسي اجتماعي آن است كه توسط يك فرد خارجي ناشناس براي يك سازمان اجراء شوند. اگر اين آزمايشها را برعليه سازمان خودتان انجام ميدهيد، ممكن است براي ايفاي نقش به عنوان يك فرد بيگانه، با مشكلاتي مواجه شويد (زيرا همه شما را ميشناسند). ممكن است اين موضوع در سازمانهاي بزرگ، چندان مشكلساز نباشد، اما اگر در يك شركت كوچك با كاركنان محدود هستيد، معمولاً همه با شما آشنايي خواهند داشت.
شما ميتوانيد آزمايشهاي مهندسي اجتماعي را به يك مجموعه مشاورتي قابلاعتماد سپرده و يا حتي از يك دوست قابلاعتماد خود بخواهيد كه آزمايشها را برايتان انجام دهد. عبارت كليدي در اينجا، «قابلاعتماد» است. اگر با شخص ديگري سروكار داريد، بايستي مدارك او را بررسي كرده، سوابقش را مطالعه نموده و موافقت كتبي مديريت سازمان براي انجام آزمايشها (توسط او) را قبلاً كسب كنيد.
اكثر مهندسين اجتماعي، حملات خود را به كندي اجراء ميكنند تا بيش از حد مشهود نبوده و احتمالاً باعث ايجاد بدگماني در سازمان نشوند. آنها بيتهاي اطلاعات را در طول زمان جمعآوري ميكنند و از همين اطلاعات براي ايجاد يك تصوير گستردهتر از سازمان، بهره ميگيرند. ازسوي ديگر، بعضي از حملات مهندسي اجتماعي ميتوانند با يك e-mail يا تماس تلفني سريع انجام شوند. شيوههاي مورد استفاده براي مهندسي اجتماعي، به سبك و تواناييهاي هكر بستگي دارند.
مهندسي اجتماعي ميدانند كه بسياري از سازمانها، فاقد طبقهبندي رسمي اطلاعات، سيستمهاي كنترل دسترسي، طرحهاي مقابله با حوادث و برنامههاي آگاهي امنيتي هستند و از همين نقطهضعفها بهرهگيري مينمايند.
مهندسين اجتماعي، غالباً چيزهاي زيادي درباره بسياري از موارد ميدانند (چه در داخل و چه خارج از سازمان هدف)، زيرا اين موضوع در انجام حملات به آنها كمك ميكند. هرچه مهندسين اجتماعي بتوانند اطلاعات بيشتري را درباره سازمانها جمعآوري كنند، جعل هويت كاركنان يا ساير افراد داخلي قابل اعتماد برايشان آسانتر خواهد بود. آگاهي و اراده مهندسين اجتماعي، آنها را در سطح بالاتري (نسبت به كاركنان متوسطي كه از ارزش اطلاعات مورد جستجوي مهندسين اجتماعي ناآگاه هستند)، قرار ميدهد.
صرفنظر از اينكه مشكل توسط چه كسي ايجاد ميشود، هر سازماني در معرض خطر قرار دارد. شركتهاي بزرگتري كه تأسيسات و شعبات آنها در مكانهاي متعددي پخش شدهاند، غالباً آسيبپذيرتر هستند، اما شركتهاي كوچك نيز مورد حمله قرار ميگيرند. هركسي از پرسنل پذيرش گرفته تا نگهبانان امنيتي و پرسنل IT ميتوانند قربانيان احتمالي مهندسي اجتماعي باشند. كاركنان ميز اطلاعات و مركز تلفن، داراي آسيبپذيري بيشتري خواهند بود زيرا آموزش ديدهاند تا مفيد و آماده ارائه اطلاعات باشند. حتي يك كاربر نهائي متوسط و آموزش نديده نيز در معرض حمله قرار دارد.
مهندسي اجتماعي داراي پيامدهاي جدّي است. از آنجاييكه هدف مهندسي اجتماعي «بهرهبرداري از يك نفر براي كسب منافع غيرقانوني است»، هرچيزي امكان دارد. مهندسين اجتماعي كارآمد، ميتوانند اطلاعات زير را جمعآوري نمايند:
- كلمات عبور سرپرستي يا كاربري
- نشانها يا كليدهاي امنيتي براي ورود به ساختمانها و حتي اتاق كامپيوتر
- داراييهاي ذهني نظير مشخصات طرح، فرمولها و يا ساير مستندات تحقيق و توسعه
- گزارشات مالي محرمانه
- اطلاعات خصوصي و محرمانه كاركنان
- فهرست مشتريان و پيشبينيهاي فروش
اگر هريك از اطلاعات فوق به بيرون درز كند، ميتوانند با زيانهاي مالي، كاهش روحيه كاركنان، به خطر افتادن وظيفهشناسي نسبت به مشتريان و حتي ايجاد مشكلات قانوني همراه باشد. «بخش سخت خارجي» كه توسط فايروالها و سيستمهاي تشخيص نفوذ ايجاد شده است، غالباً يك احساس كاذب از امنيت را بوجود آورده و باعث تشديد مشكلات ميگردد.
در مهندسي اجتماعي، شما هيچگاه نميدانيد كه شيوه بعدي حمله چه خواهد بود. بهترين كاري كه ميتوانيد انجام دهيد اين است كه گوش به زنگ مانده، شيوههاي مهندسي اجتماعي را درك كرده و ازطريق هوشياري امنيتي مداوم در سازمان، از خود دربرابر متداولترين حملات، محافظت نمائيد. در ادامه، توضيح خواهيم داد كه چگونه ميتوانيد اينكار را انجام دهيد.
هكرها معمولاً حملات مهندسي اجتماعي را در 4 مرحله ساده انجام ميدهند:
1) انجام تحقيقات
2) اعتمادسازي
3) بهرهبرداري از روابط براي كسب اطلاعات ازطريق مكالمات، رفتارها و يا فناوري
4) استفاده از اطلاعات جمعآوري شده براي مقاصد بدخواهانه
برحسب حملهاي كه انجام ميشود، اين مراحل ميتواند شامل هزاران مرحله فرعي و يا تكنيك مختلف باشند.
پيش از آنكه مهندسين اجتماعي، حمله خود را اجراء كنند، بايد هدفي را درنظر بگيرند. اين اولين قدم يك هكر در فرآيند حمله به حساب ميآيد و هدف مورد بحث به احتمال قوي از قبل در ذهن هكر جاي گرفته است. هكر ميخواهد چه كاري را انجام دهد؟ هكر تلاش ميكند چه چيزي را هك كند و چرا؟ آيا او به دنبال داراييهاي ذهني، كلمات عبور سرور و نشانهاي امنيتي است يا اينكه صرفاً ميخواهد ثابت كند كه امكان نفوذ به خطوط دفاعي شركت وجود وجود دارد؟ در تلاش خود به عنوان يك هكر اخلاقي كه مشغول انجام مهندسي اجتماعي است، اين هدف را پيش از آغاز حركت خود تعيين نمائيد.
صرفنظر از شيوه انجام تحقيقات ابتدائي، تمام چيزي كه يك هكر براي آغاز نفوذ خود به يك سازمان نياز دارد عبارت است از يك فهرست از كاركنان، چند شماره تلفن كليدي داخلي و يا يك تقويم سازماني.
هكرها ميتوانند با پرداخت تنها 100دلار (يا كمتر)، به بررسي جامع سوابق اشخاص بر روي بعضي از سايتها بپردازند. اين جستجوها عملاً ميتوانند تنها در چند دقيقه هرگونه اطلاعات عمومي (و گاهياوقات خصوصي) را درباره يك فرد ارائه نمايند.
گردش در زبالهها ميتواند حتي محرمانهترين اطلاعات را نيز فاش كند زيرا بسياري از كاركنان تصور ميكنند كه اطلاعات آنها پس از رفتن به فايل 13، كاملاً امن خواهد بود. اكثر مردم در ارزش احتمالي كاغذهايي كه دور ميريزند، فكر نميكنند. اين اسناد، غالباً حاوي انبوهي از اطلاعات هستند كه اطلاعات موردنياز مهندس اجتماعي براي نفوذ بيشتر به يك سازمان را در اختيار او قرار ميدهند. يك مهندس اجتماعي زيرك، به جستجوي اسناد چاپي زير خواهد بود:
- فهرست تلفنهاي داخلي
- نمودارهاي سازماني
- كتابچههاي دستي كاركنان كه غالباً حاوي خط مشيهاي امنيتي است
- نمودارهاي شبكه
- فهرست كلمات عبور
- يادداشتهاي مربوط به ملاقاتها
- صفحات گسترده و گزارشات
- نسخههاي چاپ شده e-mailها كه حاوي اطلاعات محرمانهاي هستند خرد كردن (Shredding) كاغذها تنها زماني مؤثر خواهد بود كه آنها را به قطعات بسيار كوچك و نامنظمي خرد نمائيد. دستگاههاي Shredder ارزانقيمتي كه كاغذ را صرفاً به صورت رشتههاي بلند خرد ميكنند، اساساً دربرابر يك مهندس اجتماعي مصمم، كاملاً بيارزش خواهند بود. با صرف مقداري زمان و چسب، يك مهندس اجتماعي به آساني ميتواند قطعات يك سند را مجدداً دركنار يكديگر قرار دهد.
هكرها غالباً اطلاعات تجاري و شخصي محرمانه سايرين را با گوش دادن به مكالماتي كه در رستورانها، كافيشاپها، فروشگاهها و يا حتي هواپيماها انجام ميشوند، جمعآوري ميكنند. مردمي كه درهنگام استفاده از تلفن همراه خود با صداي بلند صحبت ميكنند، منابع ايدهالي براي كسب اطلاعات به حساب ميآيند. هريك از ما، هنگاميكه در يك رستوران يا محلّ عمومي ديگري مشغول انجام كار خود بودهايم، از آنچه كه ديگران درهنگام صحبت با يكديگر فاش كردهاند (حتي زمانيكه اصلاً تلاش نميكرديم صحبتهاي آنها را بشنويم)، حيرتزده شده ايم.
هكرها همچنين در زبالهها به جستجوي ديسكهاي فلاپي، CD-ROMها و DVDها، كيسهاي كامپيوتر قديمي (خصوصاً آنهايي كه هنوز درايوهاي ديسك سخت ظاهراً غيرقابل استفاده خود را دارند) و نوارهاي Backup ميپردازند.
اگر هكرها بتوانند محلّي كه از آن تماس ميگيرند را مخفي نگهدارند، ميتوانند از هويت خود محافظت نمايند. بعضي از شيوههايي كه آنها ميتوانند براي اين منظور مورد استفاده قرار دهند، عبارتند از:
- تلفن هاي عمومي:اين تلفن مي تواند شماره هاي خود را از Callerمخفي کند.
- تلفنهاي تجاري: سروكار داشتن با دفتري كه از يك سوئيچ تلفن استفاده ميكند، دشوارتر است. با اينحال، تمام چيزي كه هكر معمولاً به آن نياز دارد، يك راهنماي كاربر و كلمه عبور سرپرستي نرمافزار سوئيچ تلفن است. در بسياري از سوئيچها، هكر ميتواند شماره مبدأ (شامل يك شماره تحريف شده نظير شماره تلفن منزل قرباني) را وارد نمايد. با اينحال، سيستمهاي تلفني VoIP (Voice Over IP) اين مشكل را برطرف نمودهاند.
هكرها تنها با گوش دادن به پيامهاي صندوق صوتي (Voicemail)، جزئيات جالبي از اطلاعات را بدست ميآورند، مثل اينكه قربانيان آنها چه زماني دفتر خارج از شهر هستند. آنها همچنين با گوش دادن به پيامهاي صندوق صوتي يا Presentationهاي اينترنتي و Webcastها، به مطالعه صداي قربانيان خود ميپردازند تا بتوانند هويت آنها را جعل كنند.
- توانايي جلب دوستي: چه كسي نميتواند با يك فرد مؤدب ارتباط برقرار كند؟ همه «ادب و مهرباني» را دوست دارند. هرچه يك مهندس اجتماعي مهربانتر باشد (بدون زيادهروي)، شانس بيشتري براي بدست آوردن آنچه كه جستجو ميكند خواهد داشت. مهندسين اجتماعي غالباً كار خود را با جلب توجه عمومي آغاز ميكنند. آنها غالباً از اطلاعاتي كه در مرحله جستجو بدست آوردهاند (براي تعيين اينكه قرباني به چه چيزي علاقه دارد)، آغاز ميكنند و رفتار خود را با اين موارد تطبيق ميدهند. براي مثال، آنها ميتوانند به قرباني تلفن زده يا شخصاً با او ملاقات نمايند و سپس براساس اطلاعاتي كه قبلاً درباره او جمعآوري كردهاند، صحبت درمورد تيمهاي ورزشي محلّي يا يك فيلم سينمايي جديد را آغاز كنند. تنها چند جمله دقيق كه به خوبي تنظيم شده باشند، ميتوانند آغاز يك ارتباط خوشايند جديد باشند.
باورپذيري: البته باورپذيري تاحدودي به آگاهي مهندسين اجتماعي و سطح مطلوبيت آنها بستگي دارد. با اينحال، مهندسين اجتماعي از جعل هويت نيز استفاده ميكنند و احتمالاً ظاهر يك كارمند جديد يا يك كارمند عادي (كه قرباني تاكنون او را نديده) را به خود ميگيرند. ممكن است آنها حتي تظاهر كنند، فروشندهاي هستند كه با سازمان قرباني روابط تجاري دارند. آنها غالباً درنهايت تواضع، مدعي مقام بالايي براي خود ميشوند تا افراد را تحت تأثير قرار دهند. متدولترين حيله مهندسي اجتماعي، انجام كار خوشايندي است تا قرباني احساس كند كه درمقابل، موظف به انجام كار خوشايندي ميباشد و يا با انجام اين كار، يك همكار تيمي خوب در سازمان به حساب ميآيد.
1
- رفتار بيش از حد دوستانه يا مشتاق
- ذكر نام افراد برجسته در داخل شركت
- لاف زدن درمورد مقام خود در داخل شركت
- تهديد به توبيخ كارمندان درصورت اجابت نشدن درخواستها
- رفتار عصبي درهنگام مواجه شدن با پرسشها (گزيدن لبها و ناآرامي، خصوصاً دستها و پاها، زيرا براي كنترل قسمتهايي از بدن كه از صورت دورتر هستند، تلاش هوشيارانهتري لازم است)
- تأكيد بيش از حد بر جزئيات
- تغييرات فيزيولوژيكي نظير بازشدن مردمكها يا تغيير در گام صدا
- رفتار عجولانه
- امتناع از ارائه اطلاعات
- ارائه داوطلبانه اطلاعات و پاسخ دادن به پرسشهاي مطرح نشده
- آگاهي از اطلاعاتي كه يك فرد خارجي نبايد آنها را در اختيار داشته باشد.
- يك فرد خارجي شناخته شده كه از اصطلاحات يا زبان داخلي سازمان استفاده ميكند.
- مطرح نمودن پرسشهاي عجيب
- املاء غلط عبارات در ارتباطات نوشتاري
يك مهندس اجتماعي متبحّر، با رفتارهاي فوق، قابل شناسايي نخواهد بود، اما اينها تعدادي از علائمي هستند كه درهنگام يك رفتار مجرمانه مشاهده ميشوند. هكرها، غالباً به يك نفر لطف ميكنند، سپس بازگشته و از او ميخواهند كه به آنها كمك نمايد. اين يك حيله متداول در مهندسي اجتماعي است كه به خوبي كار ميكند. هكرها همچنين غالباً از روشي كه «مهندسي اجتماعي معكوس» ناميده ميشود، استفاده ميكنند. در اين شيوه، آنها به برطرف نمودن يك مشكل خاص كمك ميكنند. مدّتي ميگذرد و مشكل مجدداً روي ميدهد (غالباً به طور عمدي توسط خود هكر) و آنها بازهم به برطرف نمودن مشكل كمك ميكنند. به اين ترتيب، آنها ميتوانند به قهرماناني تبديل شوند كه همين مسئله باعث تقويت انگيزهشان ميگردد. همچنين ممكن است هكرها به سادگي از يك كارمند ناآگاه بخواهند كه به آنها لطفي بكند. بله، آنها آشكارا يك لطف را درخواست ميكنند. بسياري از مردم به سادگي در اين تله ميافتند.
جعل هويت يك كارمند بسيار آسان است. مهندسين اجتماعي ميتوانند يك يونيفورم مشابه را بپوشند، از يك نشان ID جعلي استفاده كنند و يا به سادگي لباس كاركنان واقعي را بر تن نمايند. به اين ترتيب، مردم تصور ميكنند كه «بله، ظاهر و رفتار او مثل من است، پس بايد يكي از ما باشد». مهندسين اجتماعي درعينحال وانمود ميكنند كارمنداني هستند كه از يك خط خارجي با داخل سازمان تماس گرفتهاند. اين يك شيوه بسيار مشهور براي بهرهبرداري از پرسنل ميز اطلاعات و مركز تلفن سازمان است.
2
يكي از شيوههاي هكرها براي فريب ازطريق فناوري، ارسال e-mail و درخواست اطلاعات مهم از قرباني است. اينگونه e-mailها معمولاً لينكي را فراهم ميكنند كه قرباني را به يك سايت وب با ظاهر حرفهاي و قانوني هدايت ميكند كه به نوبه خود، ظاهراً اطلاعات حساب او نظير ID كاربري، كلمات عبور و شماره تأميناجتماعي را «بروز رساني» ميكند.
من به شكل احمقانهاي تمام عباراتي كه ميتوانستند كلمه عبورم باشند را بيان كردم. براي چند لحظه، سكوت در تماس تلفني ما حاكم شد. او كلمه عبور من را تعويض كرد و رمز جديد را به من اطلاع داد. پس از قطع كردن تلفن، من به خودم گفتم «اينجا چه اتفاقي افتاد؟ من در معرض مهندسي اجتماعي قرار گرفتم. يعني من ديوانه شدهام؟». من تمام كلمات عبوري كه در رابطه با حساب كاربري اينترنت خود فاش كرده بودم را تغيير دادم تا او نتواند از آنها برعليه من استفاده كند. من هنوز اطمينان دارد كه او درحال امتحان كردن من بود. درسي كه از اين تجربه آموختم اين بود كه هرگز و تحت هيچ شرايطي كلمه عبور خود را براي شخص ديگري (يك كارمند ديگر، رئيس خود و يا هر فرد ديگري) فاش نكنيد زيرا پيآمدهاي آن ميتوانند وحشتناك باشند.
بسياري از پيامهاي Spam و Fishing از همين حيله استفاده ميكنند. اكثر كاربران آنقدر در معرض سيلي از Spamها و ساير e-mailهاي ناخواسته قرار ميگيرند كه معيارهاي حفاظتي خود را فراموش كرده و e-mail يا ضميمهاي را باز ميكنند كه نبايد باز كنند. اين e-mailها معمولاً بسيار حرفهاي و باورپذير به نظر ميرسند. آنها غالباً افراد را فريب ميدهند تا اطلاعات را فاش نمايند كه هيچگاه نبايد آنها را درمقابل يك هديه ارائه كنند. اين حيلههاي مهندسي اجتماعي همچنين زماني مورد استفاده قرار ميگيرند كه يك هكر قبلاً به داخل يك شبكه نفوذ كرده و پيامهايي را ارسال ميكند يا پنجرههاي Pop-up اينترنتي جعلي را ايجاد مينمايد. همين روشها ازطريق پيامرساني (Instant Messaging) IM و سيستمهاي پيامرساني تلفنهاي سلولي نيز بكار گرفته ميشوند.
در بعضي از حوادث عمومي، هكرها وصلهاي را براي قربانيان خود e-mail ميكنند كه ادعا مينمايد ازطرف مايكروسافت يا ساير فروشندگان مشهور ارسال گرديده است. كاربران تصور ميكنند اين يك هديه بيخطر ازطرف يك ارسالكننده قابل اعتماد است. با اينحال، پيام ازطرف هكري ارسال شده كه از كاربر ميخواهد «وصله» را نصب كند، اما درواقع يك اسب ترواي Key-Logger بر روي سيستم نصب شده و يا يك درب پشتي در كامپيوترها يا شبكهها باز ميگردد. هكرها از اين دربهاي پشتي براي نفوذ به سيستمهاي سازمانها و يا استفاده از كامپيوترهاي قربانيان (كه تحت عنوان «زامبي» شناخته ميشوند) به عنوان سكوهاي پرتاب حملات خود به ساير سيستمها بهرهگيري مينمايند. حتي ويروسها و يا كرمها نيز ميتوانند به مهندسي اجتماعي تكيه داشته باشند. براي نمونه، كرم LoveBug به كاربران ميگفت كه آنها يك تحسينكننده محرمانه دارند. زمانيكه قرباني e-mail خود را باز ميكرد، ديگر كار از كار گذشته بود. درواقع، آنها هيچ تحسينكننده محرمانهاي نداشتند و خبر بدتر اينكه، كامپيوترشان نيز آلوده شده بود.
شيوه كلاهبرداري Nigerian 419 e-mail، تلاش ميكند تا به وجوه و حسابهاي بانكي كاربران ناآگاه دسترسي پيدا كند. اين مهندسين اجتماعي، به قرباني پيشنهاد ميكنند كه درقبال برگرداندن وجوه و سرمايههاي يك مشتري تازه درگذشته به آمريكا، چندين ميليوندلار دريافت نمايد. تمام كاري كه قرباني بايد انجام دهد، اعلام اطلاات حساب بانكي خود و پرداخت مبلغ اندكي براي پوشش هزينههاي اين انتقال است. به اين ترتيب، قربانيان درواقع حسابهاي بانكي خود را تخليه كردهاند.
بسياري از تاكتيكهاي كامپيوتري مهندسي اجتماعي، به طور ناشناس و ازطريق سرورهاي پروكسي اينترنتي، Anonymizerها، Remailerها و سرورهاي SMTP ابتدايي كه به طور پيشفرض رله ميكنند، قابل انجام هستند. هنگاميكه مردم درمقابل درخواست اطلاعات شركتي يا اطلاعات شخصي محرمانه قرار ميگيرند، رديابي اين حملات مهندسي اجتماعي، غالباً غيرممكن است.
- طبقهبندي دادهها
- استخدام كاركنان و پيمانكاران و راهاندازي IDهاي كاربران
- خاتمه دادن به كار كاركنان و پيمانكاران و حذف IDهاي كاربري
- ايجاد و نوسازي كلمات عبور
- واكنش به حوادث امنيتي نظير رفتارهاي مشكوك
- اداره اطلاعات محرمانه و اختصاصي
- همراهي مهمانان
اين خط مشيها بايد قابل اجراء بوده و اعمال شوند (درمورد تمام افراد داخل يك سازمان). آنها را به روز نگهداريد و درباره آنها براي كاربران نهائي خود توضيح دهيد.
شما ميتوانيد آموزشهاي امنيتي را به يك مربي امنيتي باتجربه بسپاريد. معمولاً اگر آموزشها توسط يك فرد خارجي ارائه شوند، توسط كاركنان، جدّيتر گرفته ميشوند. سپردن آموزشهاي امنيتي به منابع خارجي، ارزش سرمايهگذاريهاي مربوطه را دارد. درحاليكه به آموزش و هوشياري مستمر كاركنان خود در سازمان ادامه ميدهيد، نكات زير ميتوانند براي مقابله با حملات مهندسي اجتماعي در بلندمدّت به شما كمك كنند:
- با هوشياري و آموزشهاي امنيتي به عنوان يك سرمايهگذاري تجاري رفتار كنيد.
- كاربران را تحت آموزشهاي مداوم قرار دهيد تا موضوع «امنيت» در ذهن آنها تازه بماند.
- مضامين آموزشي خود را در حدّ امكان متناسب با مخاطبين آنها آماده كنيد.
- يك برنامه هوشياري مهندسي اجتماعي را براي توابع تجاري و نقش كاربران خود ايجاد نمائيد.
- پيامهاي خود را تا حدّ امكان غيرفني نگهداريد.
- برنامههاي تشويقي را براي جلوگيري از حوادث امنيتي و گزارش آنها تهيه كنيد.
- كاركنان را با بيان مثالهاي مختلف، راهنمايي كنيد.
براي كمك به جلوگيري از وقوع حملات مهندسي اجتماعي، اين نكات را با كاربران خود به اشتراك بگذاريد:
- هرگز اطلاعاتي را فاش نكنيد مگرآنكه مطمئن شويد فردي كه اطلاعات را درخواست نموده به آنها نياز داشته و درعينحال، همان كسي است كه ادعا ميكند. اگر يك درخواست به صورت تلفني مطرح شده است، هويت تماسگيرنده را بررسي كرده و شما با او تماس بگيريد (Call Back).
- هيچگاه بر روي يك لينك e-mail كه ظاهراً شما را به يك صفحه با اطلاعاتي كه نيازمند بروزرساني هستند هدايت مينمايد، كليك نكنيد. اين موضوع خصوصاً درمورد e-mailهاي ناخواسته صادق است.
- تمام مهمانان را در داخل يك ساختمان همراهي كنيد.
- هيچگاه فايلهايي كه از افراد بيگانه گرفتهايد را باز يا ارسال نكنيد.
- هيچگاه كلمات عبور خود را اعلام نكنيد.
پيشنهادهاي عمومي زير نيز ميتوانند حملات مهندسي اجتماعي را دفع نمايند:
- هيچگاه به يك غريبه اجازه ندهيد كه به يكي از پورتهاي شبكه يا شبكه بيسيم شما متصل شود، حتي براي چند ثانيه. يك هكر ميتواند در همين فرصت، يك تحليلگر شبكه، برنامه اسب تروا يا malware ديگري را مستقيماً بر روي شبكه شما قرار دهد.
- اطلاعات خود را (چه به صورت الكترونيكي و چه به صورت كپي سخت)، طبقهبندي كنيد. به تمام كاركنان آموزش دهيد كه چگونه بايد هريك از انواع اطلاعات را اداره نمايند.
- خط مشيهايي را براي انهدام اسناد و رسانههاي كامپيوتري تهيه كرده و اعمال نمائيد. اين خط مشيها تضمين ميكنند كه دادهها بادقت اداره ميشوند و همانجايي ميمانند كه بايد باشند.
- از سيستمهاي كاغذ خردكن Cross-Shredding استفاده كنيد. با اينحال، هنوز بهتر است با يك شركت «انهدام اسناد» كه در زمينه انهدام مستندات محرمانه تخصص دارد، قرارداد ببنديد.
نهايتاً، تكنيكهاي زير ميتوانند مضمون آموزشهاي رسمي را تقويت كنند:
- توجيه كاركنان تازهوارد، اجراي دورههاي آموزشي مجدد، e-mailها و روزنامهها
- جزوههاي مقابله با مهندسي اجتماعي به همراه توصيهها و FAQها
- خردهريزهايي نظير محافظهاي صفحه نمايش، پد ماوس، يادداشتهاي چسبان، قلمها و پوسترهاي دفتري كه حاوي پيامهايي در زمينه تقويت اصول امنيتي هستند.
منبع:نشريه بزرگراه رايانه- ش133
مهندسي اجتماعي، از ضعيفترين اتصال در خطوط دفاعي امنيت اطلاعات هر سازمان، يعني نيروي انساني بهرهگيري مينمايد. به زبان ساده، مهندسي اجتماعي، به معناي «هك كردن» افراد بوده و با سوءاستفاده از طبيعت اعتماد متقابل بين انسانها، به اطلاعاتي كه ميتوانند براي كسب منا فع شخصي مورد استفاده قرار گيرند، دستيابي حاصل ميگردد.
اصول مهندسي اجتماعي
در اينجا به مثالهائي از مهندسي اجتماعي اشاره ميكنيم:
- پرسنل جعلي پشتيباني، ادعا ميكنند كه بايد يك وصله يا نسخه ديدي از نرمافزار را بر روي كامپيوتر يك كاربر نصب نمايند، كاربر را قانع ميكنند تا نرمافزاري را بارگذاري كند و نهايتاً، كنترل سيستم او را از راه دور بدست ميآورند.
- فروشندگان كاذب، ادعا ميكنند كه بايد ارتقاءهايي را بر روي بسته حسابداري سازمان و يا سيستم تلفن آن اعمال نمايند، بنابراين كلمه عبور سرپرستي را سئوال كرده و دسترسي كامل به سيستم را بدست ميآورند.
- نامههاي الكترونيكي Phishing كه توسط هكرها ارسال شدهاند، ID كاربري و كلمات عبور دريافتكنندگان زود باور را جمعآوري ميكنند. سپس، هكرها از اين كلمات عبور براي كسب دسترسي به حسابهاي بانكي و ساير اطلاعات مهم استفاده ميكنند.
- كاركنان جعلي، به بخش امنيت سازمان اطلاع ميدهند كه كليدهاي خود براي ورود به اتاق كامپيوتر را گم كردهاند، مجموعهاي از اين كليدها را دريافت كرده و دسترسي غيرمجاز به اطلاعات فيزيكي و الكترونيكي را بدست ميآورند.
مهندسين اجتماعي، گاهياوقات هويت كاركنان داراي نفوذ و مطلع (نظير مديران و معاونين) را جعل ميكنند. در مواردي نيز ممكن است آنها نقش كاركنان فوقالعاده بياطلاع و سادهلوح را بازي كنند. برحسب اينكه آنها درحال صحبت كردن با چه كسي هستند، غالباً از يك حالت به حالت ديگر سوئيچ ميكنند.
محافظت كارآمد از اطلاعات (خصوصاً امنيتي كه براي مقابله با مهندسي اجتماعي به آن نياز داريد)، از كاربران شما آغاز شده و به آنها ختم ميگردد. شما در بخشهاي مختلف اين سري مقالات با توصيههاي فني كاملي مواجه ميشويد، اما هيچگاه فراموش نكنيد كه ارتباطات و تعامل ساده انساني نيز بر سطح امنيت سازمان شما تأثير خواهد گذاشت. قاعده «امنيت آبنباتي» بيان ميدارد كه: بخش سخت در خارج و بخش نرم در داخل طراحي شود. بخش سخت خارجي شامل لايه مكانيزمها (نظير فايروال، سيستمهاي تشخيص نفوذ و رمزگذاري) است كه سازمانها براي حفاظت از اطلاعات خود بهآنها تكيه ميكنند. بخش نرم داخلي شامل افراد و سيستمهاي داخل سازمان است. اگر هكرها بتوانند از لايه ضخيمتر خارجي عبور كنند، ميتوانند لايه (غالباً) بيدفاع داخلي را به زانو درآورند.
مهندسي اجتماعي، يكي از دشوارترين تكنيكهاي هك به حساب ميآيد، زيرا به مهارت فوقالعادهاي براي جلب اعتماد يك فرد بيگانه نياز دارد. ازسوي ديگر، اين شيوه يكي از دشوارترين تكنيكهاي هك از ديدگاه مقابله با آن است، زيرا با مردم سروكار دارد. ما در اين مقاله، به بررسي انواع شيوههاي مهندسي اجتماعي، تكنيكهاي لازم براي هك اخلاقي شما و اقدامات متقابلي كه بايد در برابر مهندسي اجتماعي بكار ببريد، خواهيم پرداخت.
پيش از آغاز كار
شخصيت شما و آگاهي كلّي سازمان از آزمايشها بستگي دارد. اگر مهندسي اجتماعي براي شما طبيعي نيست، ميتوانيد از اطلاعات اين مقاله به عنوان مرجع ياديگري استفاده كرده و سپس زمان بيشتري را براي مطالعه سوژه خود صرف نمائيد. اگر شرايط كاري و سازمان شما درحالحاضر چنين حكم ميكند، در استخدام يك طرف ثالث براي انجام اين آزمايشها ترديد نكنيد. شما ميتوانيد از اطلاعات اين قسمت براي انجام آزمايشهاي خاص يا ارتقاء توجه به امنيت اطلاعات در سازمان خود استفاده كنيد. مهندسي اجتماعي ميتواند به شغل و اعتبار افراد آسيب برساند و ممكن است باعث فاش شدن اطلاعات محرمانه گردد. بنابراين بهتر است با احتياط كامل پيش رفته و قبل از انجام هركاري به خوبي درمورد آن فكر كنيد.
شما ميتوانيدت حملات مهندسي اجتماعي را به ميليونها شيوه مختلف انجام دهيد. به همين دليل (و به دليل آنكه آموزش رفتارهاي خاص در يك مقاله واحد كاملاً غيرممكن است)، ما به ارائه دستورالعملهاي گامبهگام در زمينه اجراي حملات مهندسي اجتماعي نميپردازيم. درمقابل، سناريوهاي مختلف مهندسي اجتماعي را تشريح خواهيم نمود كه براي ساير هكرها (از هر دو گروه اخلاقي و غيراخلاقي) مؤثر بودهاند. شما ميتوانيد همين حيلهها و تكنيكها را براي شرايط خاص خود تركيب كرده و منطبق نمائيد.
بهترين شيوه انجام اين تكنيكهاي مهندسي اجتماعي آن است كه توسط يك فرد خارجي ناشناس براي يك سازمان اجراء شوند. اگر اين آزمايشها را برعليه سازمان خودتان انجام ميدهيد، ممكن است براي ايفاي نقش به عنوان يك فرد بيگانه، با مشكلاتي مواجه شويد (زيرا همه شما را ميشناسند). ممكن است اين موضوع در سازمانهاي بزرگ، چندان مشكلساز نباشد، اما اگر در يك شركت كوچك با كاركنان محدود هستيد، معمولاً همه با شما آشنايي خواهند داشت.
شما ميتوانيد آزمايشهاي مهندسي اجتماعي را به يك مجموعه مشاورتي قابلاعتماد سپرده و يا حتي از يك دوست قابلاعتماد خود بخواهيد كه آزمايشها را برايتان انجام دهد. عبارت كليدي در اينجا، «قابلاعتماد» است. اگر با شخص ديگري سروكار داريد، بايستي مدارك او را بررسي كرده، سوابقش را مطالعه نموده و موافقت كتبي مديريت سازمان براي انجام آزمايشها (توسط او) را قبلاً كسب كنيد.
چرا مهندسي اجتماعي؟
اكثر مهندسين اجتماعي، حملات خود را به كندي اجراء ميكنند تا بيش از حد مشهود نبوده و احتمالاً باعث ايجاد بدگماني در سازمان نشوند. آنها بيتهاي اطلاعات را در طول زمان جمعآوري ميكنند و از همين اطلاعات براي ايجاد يك تصوير گستردهتر از سازمان، بهره ميگيرند. ازسوي ديگر، بعضي از حملات مهندسي اجتماعي ميتوانند با يك e-mail يا تماس تلفني سريع انجام شوند. شيوههاي مورد استفاده براي مهندسي اجتماعي، به سبك و تواناييهاي هكر بستگي دارند.
مهندسي اجتماعي ميدانند كه بسياري از سازمانها، فاقد طبقهبندي رسمي اطلاعات، سيستمهاي كنترل دسترسي، طرحهاي مقابله با حوادث و برنامههاي آگاهي امنيتي هستند و از همين نقطهضعفها بهرهگيري مينمايند.
مهندسين اجتماعي، غالباً چيزهاي زيادي درباره بسياري از موارد ميدانند (چه در داخل و چه خارج از سازمان هدف)، زيرا اين موضوع در انجام حملات به آنها كمك ميكند. هرچه مهندسين اجتماعي بتوانند اطلاعات بيشتري را درباره سازمانها جمعآوري كنند، جعل هويت كاركنان يا ساير افراد داخلي قابل اعتماد برايشان آسانتر خواهد بود. آگاهي و اراده مهندسين اجتماعي، آنها را در سطح بالاتري (نسبت به كاركنان متوسطي كه از ارزش اطلاعات مورد جستجوي مهندسين اجتماعي ناآگاه هستند)، قرار ميدهد.
آشنايي با مفاهيم
صرفنظر از اينكه مشكل توسط چه كسي ايجاد ميشود، هر سازماني در معرض خطر قرار دارد. شركتهاي بزرگتري كه تأسيسات و شعبات آنها در مكانهاي متعددي پخش شدهاند، غالباً آسيبپذيرتر هستند، اما شركتهاي كوچك نيز مورد حمله قرار ميگيرند. هركسي از پرسنل پذيرش گرفته تا نگهبانان امنيتي و پرسنل IT ميتوانند قربانيان احتمالي مهندسي اجتماعي باشند. كاركنان ميز اطلاعات و مركز تلفن، داراي آسيبپذيري بيشتري خواهند بود زيرا آموزش ديدهاند تا مفيد و آماده ارائه اطلاعات باشند. حتي يك كاربر نهائي متوسط و آموزش نديده نيز در معرض حمله قرار دارد.
مهندسي اجتماعي داراي پيامدهاي جدّي است. از آنجاييكه هدف مهندسي اجتماعي «بهرهبرداري از يك نفر براي كسب منافع غيرقانوني است»، هرچيزي امكان دارد. مهندسين اجتماعي كارآمد، ميتوانند اطلاعات زير را جمعآوري نمايند:
- كلمات عبور سرپرستي يا كاربري
- نشانها يا كليدهاي امنيتي براي ورود به ساختمانها و حتي اتاق كامپيوتر
- داراييهاي ذهني نظير مشخصات طرح، فرمولها و يا ساير مستندات تحقيق و توسعه
- گزارشات مالي محرمانه
- اطلاعات خصوصي و محرمانه كاركنان
- فهرست مشتريان و پيشبينيهاي فروش
اگر هريك از اطلاعات فوق به بيرون درز كند، ميتوانند با زيانهاي مالي، كاهش روحيه كاركنان، به خطر افتادن وظيفهشناسي نسبت به مشتريان و حتي ايجاد مشكلات قانوني همراه باشد. «بخش سخت خارجي» كه توسط فايروالها و سيستمهاي تشخيص نفوذ ايجاد شده است، غالباً يك احساس كاذب از امنيت را بوجود آورده و باعث تشديد مشكلات ميگردد.
در مهندسي اجتماعي، شما هيچگاه نميدانيد كه شيوه بعدي حمله چه خواهد بود. بهترين كاري كه ميتوانيد انجام دهيد اين است كه گوش به زنگ مانده، شيوههاي مهندسي اجتماعي را درك كرده و ازطريق هوشياري امنيتي مداوم در سازمان، از خود دربرابر متداولترين حملات، محافظت نمائيد. در ادامه، توضيح خواهيم داد كه چگونه ميتوانيد اينكار را انجام دهيد.
انجام حملات مهندسي اجتماعي
هكرها معمولاً حملات مهندسي اجتماعي را در 4 مرحله ساده انجام ميدهند:
1) انجام تحقيقات
2) اعتمادسازي
3) بهرهبرداري از روابط براي كسب اطلاعات ازطريق مكالمات، رفتارها و يا فناوري
4) استفاده از اطلاعات جمعآوري شده براي مقاصد بدخواهانه
برحسب حملهاي كه انجام ميشود، اين مراحل ميتواند شامل هزاران مرحله فرعي و يا تكنيك مختلف باشند.
پيش از آنكه مهندسين اجتماعي، حمله خود را اجراء كنند، بايد هدفي را درنظر بگيرند. اين اولين قدم يك هكر در فرآيند حمله به حساب ميآيد و هدف مورد بحث به احتمال قوي از قبل در ذهن هكر جاي گرفته است. هكر ميخواهد چه كاري را انجام دهد؟ هكر تلاش ميكند چه چيزي را هك كند و چرا؟ آيا او به دنبال داراييهاي ذهني، كلمات عبور سرور و نشانهاي امنيتي است يا اينكه صرفاً ميخواهد ثابت كند كه امكان نفوذ به خطوط دفاعي شركت وجود وجود دارد؟ در تلاش خود به عنوان يك هكر اخلاقي كه مشغول انجام مهندسي اجتماعي است، اين هدف را پيش از آغاز حركت خود تعيين نمائيد.
Fishing
صرفنظر از شيوه انجام تحقيقات ابتدائي، تمام چيزي كه يك هكر براي آغاز نفوذ خود به يك سازمان نياز دارد عبارت است از يك فهرست از كاركنان، چند شماره تلفن كليدي داخلي و يا يك تقويم سازماني.
استفاده از اينترنت
هكرها ميتوانند با پرداخت تنها 100دلار (يا كمتر)، به بررسي جامع سوابق اشخاص بر روي بعضي از سايتها بپردازند. اين جستجوها عملاً ميتوانند تنها در چند دقيقه هرگونه اطلاعات عمومي (و گاهياوقات خصوصي) را درباره يك فرد ارائه نمايند.
گردش در زبالهها
گردش در زبالهها ميتواند حتي محرمانهترين اطلاعات را نيز فاش كند زيرا بسياري از كاركنان تصور ميكنند كه اطلاعات آنها پس از رفتن به فايل 13، كاملاً امن خواهد بود. اكثر مردم در ارزش احتمالي كاغذهايي كه دور ميريزند، فكر نميكنند. اين اسناد، غالباً حاوي انبوهي از اطلاعات هستند كه اطلاعات موردنياز مهندس اجتماعي براي نفوذ بيشتر به يك سازمان را در اختيار او قرار ميدهند. يك مهندس اجتماعي زيرك، به جستجوي اسناد چاپي زير خواهد بود:
- فهرست تلفنهاي داخلي
- نمودارهاي سازماني
- كتابچههاي دستي كاركنان كه غالباً حاوي خط مشيهاي امنيتي است
- نمودارهاي شبكه
- فهرست كلمات عبور
- يادداشتهاي مربوط به ملاقاتها
- صفحات گسترده و گزارشات
- نسخههاي چاپ شده e-mailها كه حاوي اطلاعات محرمانهاي هستند خرد كردن (Shredding) كاغذها تنها زماني مؤثر خواهد بود كه آنها را به قطعات بسيار كوچك و نامنظمي خرد نمائيد. دستگاههاي Shredder ارزانقيمتي كه كاغذ را صرفاً به صورت رشتههاي بلند خرد ميكنند، اساساً دربرابر يك مهندس اجتماعي مصمم، كاملاً بيارزش خواهند بود. با صرف مقداري زمان و چسب، يك مهندس اجتماعي به آساني ميتواند قطعات يك سند را مجدداً دركنار يكديگر قرار دهد.
هكرها غالباً اطلاعات تجاري و شخصي محرمانه سايرين را با گوش دادن به مكالماتي كه در رستورانها، كافيشاپها، فروشگاهها و يا حتي هواپيماها انجام ميشوند، جمعآوري ميكنند. مردمي كه درهنگام استفاده از تلفن همراه خود با صداي بلند صحبت ميكنند، منابع ايدهالي براي كسب اطلاعات به حساب ميآيند. هريك از ما، هنگاميكه در يك رستوران يا محلّ عمومي ديگري مشغول انجام كار خود بودهايم، از آنچه كه ديگران درهنگام صحبت با يكديگر فاش كردهاند (حتي زمانيكه اصلاً تلاش نميكرديم صحبتهاي آنها را بشنويم)، حيرتزده شده ايم.
هكرها همچنين در زبالهها به جستجوي ديسكهاي فلاپي، CD-ROMها و DVDها، كيسهاي كامپيوتر قديمي (خصوصاً آنهايي كه هنوز درايوهاي ديسك سخت ظاهراً غيرقابل استفاده خود را دارند) و نوارهاي Backup ميپردازند.
سيستمهاي تلفني
اگر هكرها بتوانند محلّي كه از آن تماس ميگيرند را مخفي نگهدارند، ميتوانند از هويت خود محافظت نمايند. بعضي از شيوههايي كه آنها ميتوانند براي اين منظور مورد استفاده قرار دهند، عبارتند از:
- تلفن هاي عمومي:اين تلفن مي تواند شماره هاي خود را از Callerمخفي کند.
- تلفنهاي تجاري: سروكار داشتن با دفتري كه از يك سوئيچ تلفن استفاده ميكند، دشوارتر است. با اينحال، تمام چيزي كه هكر معمولاً به آن نياز دارد، يك راهنماي كاربر و كلمه عبور سرپرستي نرمافزار سوئيچ تلفن است. در بسياري از سوئيچها، هكر ميتواند شماره مبدأ (شامل يك شماره تحريف شده نظير شماره تلفن منزل قرباني) را وارد نمايد. با اينحال، سيستمهاي تلفني VoIP (Voice Over IP) اين مشكل را برطرف نمودهاند.
هكرها تنها با گوش دادن به پيامهاي صندوق صوتي (Voicemail)، جزئيات جالبي از اطلاعات را بدست ميآورند، مثل اينكه قربانيان آنها چه زماني دفتر خارج از شهر هستند. آنها همچنين با گوش دادن به پيامهاي صندوق صوتي يا Presentationهاي اينترنتي و Webcastها، به مطالعه صداي قربانيان خود ميپردازند تا بتوانند هويت آنها را جعل كنند.
اعتمادسازي
- توانايي جلب دوستي: چه كسي نميتواند با يك فرد مؤدب ارتباط برقرار كند؟ همه «ادب و مهرباني» را دوست دارند. هرچه يك مهندس اجتماعي مهربانتر باشد (بدون زيادهروي)، شانس بيشتري براي بدست آوردن آنچه كه جستجو ميكند خواهد داشت. مهندسين اجتماعي غالباً كار خود را با جلب توجه عمومي آغاز ميكنند. آنها غالباً از اطلاعاتي كه در مرحله جستجو بدست آوردهاند (براي تعيين اينكه قرباني به چه چيزي علاقه دارد)، آغاز ميكنند و رفتار خود را با اين موارد تطبيق ميدهند. براي مثال، آنها ميتوانند به قرباني تلفن زده يا شخصاً با او ملاقات نمايند و سپس براساس اطلاعاتي كه قبلاً درباره او جمعآوري كردهاند، صحبت درمورد تيمهاي ورزشي محلّي يا يك فيلم سينمايي جديد را آغاز كنند. تنها چند جمله دقيق كه به خوبي تنظيم شده باشند، ميتوانند آغاز يك ارتباط خوشايند جديد باشند.
باورپذيري: البته باورپذيري تاحدودي به آگاهي مهندسين اجتماعي و سطح مطلوبيت آنها بستگي دارد. با اينحال، مهندسين اجتماعي از جعل هويت نيز استفاده ميكنند و احتمالاً ظاهر يك كارمند جديد يا يك كارمند عادي (كه قرباني تاكنون او را نديده) را به خود ميگيرند. ممكن است آنها حتي تظاهر كنند، فروشندهاي هستند كه با سازمان قرباني روابط تجاري دارند. آنها غالباً درنهايت تواضع، مدعي مقام بالايي براي خود ميشوند تا افراد را تحت تأثير قرار دهند. متدولترين حيله مهندسي اجتماعي، انجام كار خوشايندي است تا قرباني احساس كند كه درمقابل، موظف به انجام كار خوشايندي ميباشد و يا با انجام اين كار، يك همكار تيمي خوب در سازمان به حساب ميآيد.
بهرهبرداري از روابط
1
.فريب ازطريق جملات و رفتارها :
- رفتار بيش از حد دوستانه يا مشتاق
- ذكر نام افراد برجسته در داخل شركت
- لاف زدن درمورد مقام خود در داخل شركت
- تهديد به توبيخ كارمندان درصورت اجابت نشدن درخواستها
- رفتار عصبي درهنگام مواجه شدن با پرسشها (گزيدن لبها و ناآرامي، خصوصاً دستها و پاها، زيرا براي كنترل قسمتهايي از بدن كه از صورت دورتر هستند، تلاش هوشيارانهتري لازم است)
- تأكيد بيش از حد بر جزئيات
- تغييرات فيزيولوژيكي نظير بازشدن مردمكها يا تغيير در گام صدا
- رفتار عجولانه
- امتناع از ارائه اطلاعات
- ارائه داوطلبانه اطلاعات و پاسخ دادن به پرسشهاي مطرح نشده
- آگاهي از اطلاعاتي كه يك فرد خارجي نبايد آنها را در اختيار داشته باشد.
- يك فرد خارجي شناخته شده كه از اصطلاحات يا زبان داخلي سازمان استفاده ميكند.
- مطرح نمودن پرسشهاي عجيب
- املاء غلط عبارات در ارتباطات نوشتاري
يك مهندس اجتماعي متبحّر، با رفتارهاي فوق، قابل شناسايي نخواهد بود، اما اينها تعدادي از علائمي هستند كه درهنگام يك رفتار مجرمانه مشاهده ميشوند. هكرها، غالباً به يك نفر لطف ميكنند، سپس بازگشته و از او ميخواهند كه به آنها كمك نمايد. اين يك حيله متداول در مهندسي اجتماعي است كه به خوبي كار ميكند. هكرها همچنين غالباً از روشي كه «مهندسي اجتماعي معكوس» ناميده ميشود، استفاده ميكنند. در اين شيوه، آنها به برطرف نمودن يك مشكل خاص كمك ميكنند. مدّتي ميگذرد و مشكل مجدداً روي ميدهد (غالباً به طور عمدي توسط خود هكر) و آنها بازهم به برطرف نمودن مشكل كمك ميكنند. به اين ترتيب، آنها ميتوانند به قهرماناني تبديل شوند كه همين مسئله باعث تقويت انگيزهشان ميگردد. همچنين ممكن است هكرها به سادگي از يك كارمند ناآگاه بخواهند كه به آنها لطفي بكند. بله، آنها آشكارا يك لطف را درخواست ميكنند. بسياري از مردم به سادگي در اين تله ميافتند.
جعل هويت يك كارمند بسيار آسان است. مهندسين اجتماعي ميتوانند يك يونيفورم مشابه را بپوشند، از يك نشان ID جعلي استفاده كنند و يا به سادگي لباس كاركنان واقعي را بر تن نمايند. به اين ترتيب، مردم تصور ميكنند كه «بله، ظاهر و رفتار او مثل من است، پس بايد يكي از ما باشد». مهندسين اجتماعي درعينحال وانمود ميكنند كارمنداني هستند كه از يك خط خارجي با داخل سازمان تماس گرفتهاند. اين يك شيوه بسيار مشهور براي بهرهبرداري از پرسنل ميز اطلاعات و مركز تلفن سازمان است.
2
- فريب ازطريق فناوري:
يكي از شيوههاي هكرها براي فريب ازطريق فناوري، ارسال e-mail و درخواست اطلاعات مهم از قرباني است. اينگونه e-mailها معمولاً لينكي را فراهم ميكنند كه قرباني را به يك سايت وب با ظاهر حرفهاي و قانوني هدايت ميكند كه به نوبه خود، ظاهراً اطلاعات حساب او نظير ID كاربري، كلمات عبور و شماره تأميناجتماعي را «بروز رساني» ميكند.
هشدار به حرفهايها
من به شكل احمقانهاي تمام عباراتي كه ميتوانستند كلمه عبورم باشند را بيان كردم. براي چند لحظه، سكوت در تماس تلفني ما حاكم شد. او كلمه عبور من را تعويض كرد و رمز جديد را به من اطلاع داد. پس از قطع كردن تلفن، من به خودم گفتم «اينجا چه اتفاقي افتاد؟ من در معرض مهندسي اجتماعي قرار گرفتم. يعني من ديوانه شدهام؟». من تمام كلمات عبوري كه در رابطه با حساب كاربري اينترنت خود فاش كرده بودم را تغيير دادم تا او نتواند از آنها برعليه من استفاده كند. من هنوز اطمينان دارد كه او درحال امتحان كردن من بود. درسي كه از اين تجربه آموختم اين بود كه هرگز و تحت هيچ شرايطي كلمه عبور خود را براي شخص ديگري (يك كارمند ديگر، رئيس خود و يا هر فرد ديگري) فاش نكنيد زيرا پيآمدهاي آن ميتوانند وحشتناك باشند.
بسياري از پيامهاي Spam و Fishing از همين حيله استفاده ميكنند. اكثر كاربران آنقدر در معرض سيلي از Spamها و ساير e-mailهاي ناخواسته قرار ميگيرند كه معيارهاي حفاظتي خود را فراموش كرده و e-mail يا ضميمهاي را باز ميكنند كه نبايد باز كنند. اين e-mailها معمولاً بسيار حرفهاي و باورپذير به نظر ميرسند. آنها غالباً افراد را فريب ميدهند تا اطلاعات را فاش نمايند كه هيچگاه نبايد آنها را درمقابل يك هديه ارائه كنند. اين حيلههاي مهندسي اجتماعي همچنين زماني مورد استفاده قرار ميگيرند كه يك هكر قبلاً به داخل يك شبكه نفوذ كرده و پيامهايي را ارسال ميكند يا پنجرههاي Pop-up اينترنتي جعلي را ايجاد مينمايد. همين روشها ازطريق پيامرساني (Instant Messaging) IM و سيستمهاي پيامرساني تلفنهاي سلولي نيز بكار گرفته ميشوند.
در بعضي از حوادث عمومي، هكرها وصلهاي را براي قربانيان خود e-mail ميكنند كه ادعا مينمايد ازطرف مايكروسافت يا ساير فروشندگان مشهور ارسال گرديده است. كاربران تصور ميكنند اين يك هديه بيخطر ازطرف يك ارسالكننده قابل اعتماد است. با اينحال، پيام ازطرف هكري ارسال شده كه از كاربر ميخواهد «وصله» را نصب كند، اما درواقع يك اسب ترواي Key-Logger بر روي سيستم نصب شده و يا يك درب پشتي در كامپيوترها يا شبكهها باز ميگردد. هكرها از اين دربهاي پشتي براي نفوذ به سيستمهاي سازمانها و يا استفاده از كامپيوترهاي قربانيان (كه تحت عنوان «زامبي» شناخته ميشوند) به عنوان سكوهاي پرتاب حملات خود به ساير سيستمها بهرهگيري مينمايند. حتي ويروسها و يا كرمها نيز ميتوانند به مهندسي اجتماعي تكيه داشته باشند. براي نمونه، كرم LoveBug به كاربران ميگفت كه آنها يك تحسينكننده محرمانه دارند. زمانيكه قرباني e-mail خود را باز ميكرد، ديگر كار از كار گذشته بود. درواقع، آنها هيچ تحسينكننده محرمانهاي نداشتند و خبر بدتر اينكه، كامپيوترشان نيز آلوده شده بود.
شيوه كلاهبرداري Nigerian 419 e-mail، تلاش ميكند تا به وجوه و حسابهاي بانكي كاربران ناآگاه دسترسي پيدا كند. اين مهندسين اجتماعي، به قرباني پيشنهاد ميكنند كه درقبال برگرداندن وجوه و سرمايههاي يك مشتري تازه درگذشته به آمريكا، چندين ميليوندلار دريافت نمايد. تمام كاري كه قرباني بايد انجام دهد، اعلام اطلاات حساب بانكي خود و پرداخت مبلغ اندكي براي پوشش هزينههاي اين انتقال است. به اين ترتيب، قربانيان درواقع حسابهاي بانكي خود را تخليه كردهاند.
بسياري از تاكتيكهاي كامپيوتري مهندسي اجتماعي، به طور ناشناس و ازطريق سرورهاي پروكسي اينترنتي، Anonymizerها، Remailerها و سرورهاي SMTP ابتدايي كه به طور پيشفرض رله ميكنند، قابل انجام هستند. هنگاميكه مردم درمقابل درخواست اطلاعات شركتي يا اطلاعات شخصي محرمانه قرار ميگيرند، رديابي اين حملات مهندسي اجتماعي، غالباً غيرممكن است.
اقدامات متقابل مهندسي اجتماعي
خط مشيها
- طبقهبندي دادهها
- استخدام كاركنان و پيمانكاران و راهاندازي IDهاي كاربران
- خاتمه دادن به كار كاركنان و پيمانكاران و حذف IDهاي كاربري
- ايجاد و نوسازي كلمات عبور
- واكنش به حوادث امنيتي نظير رفتارهاي مشكوك
- اداره اطلاعات محرمانه و اختصاصي
- همراهي مهمانان
اين خط مشيها بايد قابل اجراء بوده و اعمال شوند (درمورد تمام افراد داخل يك سازمان). آنها را به روز نگهداريد و درباره آنها براي كاربران نهائي خود توضيح دهيد.
ضرورت هوشياري و آموزش كاربران
شما ميتوانيد آموزشهاي امنيتي را به يك مربي امنيتي باتجربه بسپاريد. معمولاً اگر آموزشها توسط يك فرد خارجي ارائه شوند، توسط كاركنان، جدّيتر گرفته ميشوند. سپردن آموزشهاي امنيتي به منابع خارجي، ارزش سرمايهگذاريهاي مربوطه را دارد. درحاليكه به آموزش و هوشياري مستمر كاركنان خود در سازمان ادامه ميدهيد، نكات زير ميتوانند براي مقابله با حملات مهندسي اجتماعي در بلندمدّت به شما كمك كنند:
- با هوشياري و آموزشهاي امنيتي به عنوان يك سرمايهگذاري تجاري رفتار كنيد.
- كاربران را تحت آموزشهاي مداوم قرار دهيد تا موضوع «امنيت» در ذهن آنها تازه بماند.
- مضامين آموزشي خود را در حدّ امكان متناسب با مخاطبين آنها آماده كنيد.
- يك برنامه هوشياري مهندسي اجتماعي را براي توابع تجاري و نقش كاربران خود ايجاد نمائيد.
- پيامهاي خود را تا حدّ امكان غيرفني نگهداريد.
- برنامههاي تشويقي را براي جلوگيري از حوادث امنيتي و گزارش آنها تهيه كنيد.
- كاركنان را با بيان مثالهاي مختلف، راهنمايي كنيد.
براي كمك به جلوگيري از وقوع حملات مهندسي اجتماعي، اين نكات را با كاربران خود به اشتراك بگذاريد:
- هرگز اطلاعاتي را فاش نكنيد مگرآنكه مطمئن شويد فردي كه اطلاعات را درخواست نموده به آنها نياز داشته و درعينحال، همان كسي است كه ادعا ميكند. اگر يك درخواست به صورت تلفني مطرح شده است، هويت تماسگيرنده را بررسي كرده و شما با او تماس بگيريد (Call Back).
- هيچگاه بر روي يك لينك e-mail كه ظاهراً شما را به يك صفحه با اطلاعاتي كه نيازمند بروزرساني هستند هدايت مينمايد، كليك نكنيد. اين موضوع خصوصاً درمورد e-mailهاي ناخواسته صادق است.
- تمام مهمانان را در داخل يك ساختمان همراهي كنيد.
- هيچگاه فايلهايي كه از افراد بيگانه گرفتهايد را باز يا ارسال نكنيد.
- هيچگاه كلمات عبور خود را اعلام نكنيد.
پيشنهادهاي عمومي زير نيز ميتوانند حملات مهندسي اجتماعي را دفع نمايند:
- هيچگاه به يك غريبه اجازه ندهيد كه به يكي از پورتهاي شبكه يا شبكه بيسيم شما متصل شود، حتي براي چند ثانيه. يك هكر ميتواند در همين فرصت، يك تحليلگر شبكه، برنامه اسب تروا يا malware ديگري را مستقيماً بر روي شبكه شما قرار دهد.
- اطلاعات خود را (چه به صورت الكترونيكي و چه به صورت كپي سخت)، طبقهبندي كنيد. به تمام كاركنان آموزش دهيد كه چگونه بايد هريك از انواع اطلاعات را اداره نمايند.
- خط مشيهايي را براي انهدام اسناد و رسانههاي كامپيوتري تهيه كرده و اعمال نمائيد. اين خط مشيها تضمين ميكنند كه دادهها بادقت اداره ميشوند و همانجايي ميمانند كه بايد باشند.
- از سيستمهاي كاغذ خردكن Cross-Shredding استفاده كنيد. با اينحال، هنوز بهتر است با يك شركت «انهدام اسناد» كه در زمينه انهدام مستندات محرمانه تخصص دارد، قرارداد ببنديد.
نهايتاً، تكنيكهاي زير ميتوانند مضمون آموزشهاي رسمي را تقويت كنند:
- توجيه كاركنان تازهوارد، اجراي دورههاي آموزشي مجدد، e-mailها و روزنامهها
- جزوههاي مقابله با مهندسي اجتماعي به همراه توصيهها و FAQها
- خردهريزهايي نظير محافظهاي صفحه نمايش، پد ماوس، يادداشتهاي چسبان، قلمها و پوسترهاي دفتري كه حاوي پيامهايي در زمينه تقويت اصول امنيتي هستند.
منبع:نشريه بزرگراه رايانه- ش133