زمان مطالعه: ۵ دقیقه

 مهندسی اجتماعی

مهندسی اجتماعی اصطلاحی است که اولین­‌بار در حوزه علوم اجتماعی ظاهر شد و به نوعی مداخله مستقیم دانشمندان در علوم انسانی بود. اصطلاح «مهندس اجتماعی» نخستین­ مرتبه توسط Van Marken در سال ۱۸۹۴ ابداع شد و هدف آن ترویج این ایده بود که برای مقابله با مشکلات انسانی، وجود افراد حرفه‌ای ضرورت دارد. درست همان‌طور که نمی‌توانید بدون آموزش مهارت‌های لازم مشکلات فنی را حل کنید، مسایل و مشکلات اجتماعی را هم بدون داشتن مهارت‌های لازم نمی‌توانید حل کنید.

 

حمله مهندسی اجتماعی چیست و چگونه کار می‌کند؟

حالا که مفهوم مهندسی اجتماعی را بررسی کردیم، در ادامه خواهیم گفت که مهندسی اجتماعی چیست، چگونه کار می‌کند و انواع حملات مهندسی اجتماعی کدام­‌ هستند.

 

هنر دستکاری و سو استفاده

مهندسی اجتماعی عبارت است از بدست آوردن اطلاعات حساس یا امتیاز دسترسی ناشایست توسط یک شخص بیگانه بر اساس بنای نامناسب اعتماد در روابط می باشد . هدف یک مهندس اجتماعی فریب دادن شخصی به منظور فراهم کردن اطلاعات ارزشمند یا دسترسی به آن اطلاعات است . مهندسی اجتماعی بر اساس خصوصیت های طبیعی بشر همچون آرزوی مفید بودن , تمایل به اعتماد به مردم و ترس از دچار مشکل شدن شکار می کند . هکرها افرادی که قادر به قاطی شدن و پدیدار شدن به عنوان بخشی از سازمان هستند بیشترین موفقیت را در حمله های مهندسی اجتماعی بدست می آورند . توانایی یکی شدن با افراد معمولا به عنوان بخشی از هنر سواستفاده است . مردم معمولا ضعیف ترین پیوند زنجیره امنیت هستند . یک دفاع موفق بستگی به داشتن پالیسی ها و سیاست ها و آموزش آنها به کارمندان می باشد . مهندسی اجتماعی سخت ترین شکل حمله برای دفاع مقابل می باشد چونکه در آن  یک شرکت نمی تواند بوسیله سخت افزار یا نرم افزار از خود محافظت کند.

انواع حمله مهندسی اجتماعی

۱- فیشینگ – Phishing

رایج‌ترین حمله مهندسی اجتماعی ، فیشینگ است. در Phishing، حمله از طریق ایمیل، چت، وب‌سایت یا آگهی‌های تبلیغاتی انجام میشود، و مهاجم سعی می‌کند از طریق جعل هویت سازمان یا شرکت، اعتماد قربانی را جلب کند. پیغام‌های فیشینگ می‌تواند از طرف بانک، شرکت‌های بزرگ و حتی دولت باشد. رفتارهای فیشینگ بسیار متنوع هستند. برخی از آنها ازکاربر نهایی درخواست می‌کنند که اطلاعات ورود حساب کاربری‌‌اش را تائید کند، و برای این منظور فرم ورودی با لگو و ظاهر وب‌سایت مورد نظر آماده می‌کنند. برخی از آنها کاربر را برنده یک مسابقه یا قرعه ‌کشی اعلام می‌کنند و برای پرداخت جایزه، درخواست اجازه دسترسی به حساب بانکی کاربر را دارند. برخی از آنها با سو استفاده از حوادث طبیعی مانند سیل، زلرله و یا تاریخ‌‌های خاص شروع به جمع‌آوری کمک‌های مردمی می‌کنند.

۲- طعمه گذاری – Baiting

طعمه گذاری هم شبیه فیشینگ است. در این نوع از حمله با ارائه چیز قابل توجه و جذابی به کاربر، از وی درخواست اطلاعات شخصی‌ یا اطلاعات ورود به حساب‌های کاربری‌اش را می‌کنند. طعمه به شکل‌های مختلفی ارائه می‌شود. از طریق دنیای دیجیتال، مانند دانلود فیلم یا موزیک در سایت peer-to-peer، یا به صورت فیزیکی در دنیای واقعی، مانند جا گذاشتن حافظه USB با برچسب قابل توجه مانند اطلاعات حقوق سه ماه اول، روی میز کارمندان. به محض اینکه موزیک دانلود شد یا حافظه USB به دستگاه کاربر متصل شد، نرم‌افزارهای مخرب وارد دستگاه کاربر می‌شوند و خرابکار کار خودش را شروع می‌کند.

 

۳- Quid Pro Quo

این نوع حمله مانند طعمه گذاری است. در حمله Quid Pro Quo، هکر خرابکار در ازای سرویسی که به کاربر می‌دهد از او تقاضای اطلاعات شخصی یا اطلاعات ورود حساب کاربری‌‌اش را می‌کند. برای نمونه تماس تلفنی از هکری که خود را کارمند شرکت کاریابی معرفی می‌کند و در ازای پیدا کردن شغل برای شما اطلاعات شخصی‌تان شامل شماره‌ منزل، شماره تلفن همراه، آدرس منزل و … را می‌گیرد. مثال دیگر شخصی که خود را کارشناس IT معرفی می‌کند، و در مقابل سرویس‌های رایگان IT، از کاربر اطلاعات کاربری‌‌‌اش را تقاضا می‌کند.

۴-Pretexting

این نوع حمله مشابه فیشینگ است. در حمله Pretexting هکر خرابکار سعی می‌کند خودش را شخص دیگری معرفی کند، تا بتواند به اطلاعات حساس و شخصی قربانی دست پیدا کند. در برخی موارد هکر مجبور است یک هویت جدید نیز بسازد. در حمله Pretexting هکر خرابکار سعی می‌کند از طریق دروغ‌های زیاد، خود را شخص دیگری معرفی کند، و با به وجود آوردن حس اعتماد بین خودش و قربانی، اطلاعات وی را بدست بیاورد. برای نمونه هکری که با یک هویت جعلی در اینترنت شروع به گفتگو با شما می‌کند و در ازای دادن اطلاعات شخصی از خودش که اتفاقا اشتراک‌های زیادی با شما دارد، اعتماد شما را جلب می‌کند و بر اساس همین اعتماد و اشتراکات، شما هم اطلاعات شخصی‌تان را به او می‌دهید.برای این نوع از حمله مهندسی اجتماعی ، هکر اطلاعات زیادی را از قربانی و همچنین شخصی که می‌خواهد خودش را به جای او معرفی کند بدست می‌آورد.

۵-Piggybacking

Piggybacking که همچنین tailgating نیز نامیده می‌شود، حمله‌ایست که در آن، فرد غیر مجاز به دنبال فرد مجاز وارد یک سیستم یا منطقه با دسترسی‌ محدود شده می‌شود. برای نمونه هکری که با تماس تلفنی به کارمند موسسه یا شرکتی از او می‌خواهد درب را برای آنها باز کند، زیرا فراموش کرده‌اند کارت RFID شان را همراه خود بیاورند.

کارشناسان امنیتی برای حصول اطمینان از امنیت سایبری شرکت‌ها یا سازمان‌ها باید مطمئن شوند که تمام کارمندان از انواع حملات مهندسی اجتماعی آگاه هستند. این نوع از آگاهی فقط شامل کارمندان سازمان‌ها وشرکت‌ها نیست. هر شخصی که با اینترنت سروکار دارد لازم است با انواع حملات سایبری از جمله مهندسی اجتماعی آگاهی داشته باشد.

لازم به یادآوری است که یکی از پایه‌های اصلی حمله مهندسی اجتماعی، جمع آوری اطلاعات است. بنابراین مراقب اطلاعاتی که در اینترنت به اشتراک می‌گذارید باشید. اطلاعات منتشر شده توسط خود شما می‌تواند برای حمله به شما استفاده شود. یکی دیگر از پایه‌های مهندسی اجتماعی، جلب اعتماد است. هرگز به اشخاصی که در دنیای دیجیتال با آنها گفتگو می‌کنید، ولی آنها را رودررو ندیده‌اید و نمی‌شناسید اعتماد نکنید. اگر ایمیل یا تلفنی از مدیر یا مسئول بخش دیگر داشتید که تقاضای اطلاعات و دسترسی‌های غیرمجاز را داشت، تا حصول اطمینان از تماس گیرنده هرگز به او اطلاعات ندهید.

 

اگر مسئول یک سازمان هستید، این اقدامات را انجام دهید:

• حقوق دسترسی سطح راهبر سیستم را برای کاربران معمولی، کاهش داده و کنترل کنید.
• همواره برنامه‌های آگاهی­‌بخشی و آموزش امنیت سایبری را اجرا کنید.
• آزمون نفوذپذیری و برگزاری آزمون از کارمندان را انجام دهید.
• علاوه بر پیشگیری، آماده مدیریت حادثه هم باشید.