مهندسی اجتماعی
مهندسی اجتماعی اصطلاحی است که اولینبار در حوزه علوم اجتماعی ظاهر شد و به نوعی مداخله مستقیم دانشمندان در علوم انسانی بود. اصطلاح «مهندس اجتماعی» نخستین مرتبه توسط Van Marken در سال ۱۸۹۴ ابداع شد و هدف آن ترویج این ایده بود که برای مقابله با مشکلات انسانی، وجود افراد حرفهای ضرورت دارد. درست همانطور که نمیتوانید بدون آموزش مهارتهای لازم مشکلات فنی را حل کنید، مسایل و مشکلات اجتماعی را هم بدون داشتن مهارتهای لازم نمیتوانید حل کنید.
حمله مهندسی اجتماعی چیست و چگونه کار میکند؟
حالا که مفهوم مهندسی اجتماعی را بررسی کردیم، در ادامه خواهیم گفت که مهندسی اجتماعی چیست، چگونه کار میکند و انواع حملات مهندسی اجتماعی کدام هستند.
هنر دستکاری و سو استفاده
مهندسی اجتماعی عبارت است از بدست آوردن اطلاعات حساس یا امتیاز دسترسی ناشایست توسط یک شخص بیگانه بر اساس بنای نامناسب اعتماد در روابط می باشد . هدف یک مهندس اجتماعی فریب دادن شخصی به منظور فراهم کردن اطلاعات ارزشمند یا دسترسی به آن اطلاعات است . مهندسی اجتماعی بر اساس خصوصیت های طبیعی بشر همچون آرزوی مفید بودن , تمایل به اعتماد به مردم و ترس از دچار مشکل شدن شکار می کند . هکرها افرادی که قادر به قاطی شدن و پدیدار شدن به عنوان بخشی از سازمان هستند بیشترین موفقیت را در حمله های مهندسی اجتماعی بدست می آورند . توانایی یکی شدن با افراد معمولا به عنوان بخشی از هنر سواستفاده است . مردم معمولا ضعیف ترین پیوند زنجیره امنیت هستند . یک دفاع موفق بستگی به داشتن پالیسی ها و سیاست ها و آموزش آنها به کارمندان می باشد . مهندسی اجتماعی سخت ترین شکل حمله برای دفاع مقابل می باشد چونکه در آن یک شرکت نمی تواند بوسیله سخت افزار یا نرم افزار از خود محافظت کند.
انواع حمله مهندسی اجتماعی
۱- فیشینگ – Phishing
رایجترین حمله مهندسی اجتماعی ، فیشینگ است. در Phishing، حمله از طریق ایمیل، چت، وبسایت یا آگهیهای تبلیغاتی انجام میشود، و مهاجم سعی میکند از طریق جعل هویت سازمان یا شرکت، اعتماد قربانی را جلب کند. پیغامهای فیشینگ میتواند از طرف بانک، شرکتهای بزرگ و حتی دولت باشد. رفتارهای فیشینگ بسیار متنوع هستند. برخی از آنها ازکاربر نهایی درخواست میکنند که اطلاعات ورود حساب کاربریاش را تائید کند، و برای این منظور فرم ورودی با لگو و ظاهر وبسایت مورد نظر آماده میکنند. برخی از آنها کاربر را برنده یک مسابقه یا قرعه کشی اعلام میکنند و برای پرداخت جایزه، درخواست اجازه دسترسی به حساب بانکی کاربر را دارند. برخی از آنها با سو استفاده از حوادث طبیعی مانند سیل، زلرله و یا تاریخهای خاص شروع به جمعآوری کمکهای مردمی میکنند.
۲- طعمه گذاری – Baiting
طعمه گذاری هم شبیه فیشینگ است. در این نوع از حمله با ارائه چیز قابل توجه و جذابی به کاربر، از وی درخواست اطلاعات شخصی یا اطلاعات ورود به حسابهای کاربریاش را میکنند. طعمه به شکلهای مختلفی ارائه میشود. از طریق دنیای دیجیتال، مانند دانلود فیلم یا موزیک در سایت peer-to-peer، یا به صورت فیزیکی در دنیای واقعی، مانند جا گذاشتن حافظه USB با برچسب قابل توجه مانند اطلاعات حقوق سه ماه اول، روی میز کارمندان. به محض اینکه موزیک دانلود شد یا حافظه USB به دستگاه کاربر متصل شد، نرمافزارهای مخرب وارد دستگاه کاربر میشوند و خرابکار کار خودش را شروع میکند.

مهندسی اجتماعی – کالج مدیریت
۳- Quid Pro Quo
این نوع حمله مانند طعمه گذاری است. در حمله Quid Pro Quo، هکر خرابکار در ازای سرویسی که به کاربر میدهد از او تقاضای اطلاعات شخصی یا اطلاعات ورود حساب کاربریاش را میکند. برای نمونه تماس تلفنی از هکری که خود را کارمند شرکت کاریابی معرفی میکند و در ازای پیدا کردن شغل برای شما اطلاعات شخصیتان شامل شماره منزل، شماره تلفن همراه، آدرس منزل و … را میگیرد. مثال دیگر شخصی که خود را کارشناس IT معرفی میکند، و در مقابل سرویسهای رایگان IT، از کاربر اطلاعات کاربریاش را تقاضا میکند.
۴-Pretexting
این نوع حمله مشابه فیشینگ است. در حمله Pretexting هکر خرابکار سعی میکند خودش را شخص دیگری معرفی کند، تا بتواند به اطلاعات حساس و شخصی قربانی دست پیدا کند. در برخی موارد هکر مجبور است یک هویت جدید نیز بسازد. در حمله Pretexting هکر خرابکار سعی میکند از طریق دروغهای زیاد، خود را شخص دیگری معرفی کند، و با به وجود آوردن حس اعتماد بین خودش و قربانی، اطلاعات وی را بدست بیاورد. برای نمونه هکری که با یک هویت جعلی در اینترنت شروع به گفتگو با شما میکند و در ازای دادن اطلاعات شخصی از خودش که اتفاقا اشتراکهای زیادی با شما دارد، اعتماد شما را جلب میکند و بر اساس همین اعتماد و اشتراکات، شما هم اطلاعات شخصیتان را به او میدهید.برای این نوع از حمله مهندسی اجتماعی ، هکر اطلاعات زیادی را از قربانی و همچنین شخصی که میخواهد خودش را به جای او معرفی کند بدست میآورد.
۵-Piggybacking
Piggybacking که همچنین tailgating نیز نامیده میشود، حملهایست که در آن، فرد غیر مجاز به دنبال فرد مجاز وارد یک سیستم یا منطقه با دسترسی محدود شده میشود. برای نمونه هکری که با تماس تلفنی به کارمند موسسه یا شرکتی از او میخواهد درب را برای آنها باز کند، زیرا فراموش کردهاند کارت RFID شان را همراه خود بیاورند.
کارشناسان امنیتی برای حصول اطمینان از امنیت سایبری شرکتها یا سازمانها باید مطمئن شوند که تمام کارمندان از انواع حملات مهندسی اجتماعی آگاه هستند. این نوع از آگاهی فقط شامل کارمندان سازمانها وشرکتها نیست. هر شخصی که با اینترنت سروکار دارد لازم است با انواع حملات سایبری از جمله مهندسی اجتماعی آگاهی داشته باشد.
لازم به یادآوری است که یکی از پایههای اصلی حمله مهندسی اجتماعی، جمع آوری اطلاعات است. بنابراین مراقب اطلاعاتی که در اینترنت به اشتراک میگذارید باشید. اطلاعات منتشر شده توسط خود شما میتواند برای حمله به شما استفاده شود. یکی دیگر از پایههای مهندسی اجتماعی، جلب اعتماد است. هرگز به اشخاصی که در دنیای دیجیتال با آنها گفتگو میکنید، ولی آنها را رودررو ندیدهاید و نمیشناسید اعتماد نکنید. اگر ایمیل یا تلفنی از مدیر یا مسئول بخش دیگر داشتید که تقاضای اطلاعات و دسترسیهای غیرمجاز را داشت، تا حصول اطمینان از تماس گیرنده هرگز به او اطلاعات ندهید.
اگر مسئول یک سازمان هستید، این اقدامات را انجام دهید:
- حقوق دسترسی سطح راهبر سیستم را برای کاربران معمولی، کاهش داده و کنترل کنید.
- همواره برنامههای آگاهیبخشی و آموزش امنیت سایبری را اجرا کنید.
- آزمون نفوذپذیری و برگزاری آزمون از کارمندان را انجام دهید.
- علاوه بر پیشگیری، آماده مدیریت حادثه هم باشید.