مهندسی اجتماعی Social Engineering چیست؟ چگونه مجرمان به انسانها نفوذ میکنند.
مهندسی اجتماعی چیست؟ هنر بهرهگیری از روانشناسی انسانی به جای تکنیکهای فنی هک در جهت دستیابی به سیستمها، داده ها و یا حتی ساختمانها است.
به عنوان مثال به جای تلاش برای یافتن آسیب پذیری نرم افزاری یک مهندس اجتماعی ممکن است با یک کارمند تماس گرفته و خود را بعنوان یک فرد پشتیبان فناوری اطلاعات معرفی کند و سعی کند کارمند را فریب دهد تا رمز عبور خود را بازگو کند.
حتی اگر هنگام برقراری امنیت دیتاسنتر خود تمام موارد امنیتی شامل بهروشهای امنیت اطلاعات و امنیت فیزیکی را رعایت کنید و سرمایه گذاری در فن آوری های دفاعی، سیاست ها و فرایندهای امنیتی مناسبی را در پیش بگیرید و آنها را به خوبی پیاده سازی کنید. و حتی به صورت مستمر آنها را بروز و کامل کنید بازهم یک مهندس اجتماعی حیله گر می تواند راه خود را از طریق مهندسی اجتماعی به سازمان شما باز کند.
تکنیک های مهندسی اجتماعی
ثابت شده است كه مهندسي اجتماعي يك روش بسيار موفق براي يك مجرم است كه بتواند وارد سازمان شما شود. هنگامی که یک مهندس اجتماعی رمزعبور کارمند قابل اعتماد سازمان را داشته باشد، می تواند به سادگی وارد سیستم شده و از اطلاعات حساس شما استفاده کند. مجرمان می توانند با داشتن کارت دسترسی یا کد دسترسی به داده ها سرقت دارایی ها را انجام دهند.
در مقاله Anatomy of a Hack، یک کارشناس تست نفوذ با استفاده از اطلاعات عمومی موجود در شبکه های اجتماعی و یک پیراهن ۴ دلاری سیسکو که وی از یک فروشگاه خریداری کرده بود به صورت غیرقانونی وارد یک سازمان میشود این پیراهن به وی کمک کرد تا پذیرش ساختمان و سایر کارمندان را متقاعد کند که وی یکی از کارمندان سیسکو است که برای بازدید از تجهیزات آمده است همچنین این شخص زمانی که وارد شد توانست به اعضای دیگر تیم خود نیز دسترسی ورود غیرقانونی بدهد. وی همچنین موفق به اتصال چندین USB حاوی بدافزار Malware به سیستم های این شرکت شد.
البته برای انجام حمله مهندسی اجتماعی نیازی به خرید تیشرت سیسکو ازفروشگاه نیست. این شیوه از طریق ایمیل تلفن یا شبکه های اجتماعی کار می کنند. آنچه که در حملات مهندسی استفاده میشود این است که آنها از عامل انسانی به نفع خود استفاده می کنند، طمع، ترس، کنجکاوی و حتی تمایل برای کمک به دیگران مواردی هستند که مورد سوء استفاده قرار میگیرد.
مثالهایی از مهندسی اجتماعی
مجرمان ممکن است هفته ها و یا حتی ماه ها برای آشنایی با هدف قبل از برقرار تماس و یا مراجعه وقت بگذرانند این مدت زمان آماده سازی برای آنها است که ممکن است شامل یافتن لیست تلفن های داخلی شرکت یا چارت سازمانی و تحقیق در مورد کارمندان در سایت های شبکه های اجتماعی مانند LinkedIn یا Facebook باشد.
-
از طریق تلفن
یک مهندس اجتماعی ممکن است تماس گرفته و وانمود کند که یک کارمند همکار یا یک مقام خارج از سازمان است (مانند وکیل قانونی شرکت و یا حسابرس).
-
حضور فیزیکی
“آیا می توانید در را برای من نگه دارید؟ من کارت کلید خود را همراه ندارم.” چند بار این حرف را در ساختمان خود شنیده اید؟ در حالی که ممکن است فرد سؤال کننده مشکوک به نظر نرسد، این یک تاکتیک بسیار متداول است که توسط مهندسین اجتماعی استفاده می شود.
-
آنلاین
شبکه های اجتماعی انجام حملات مهندسی اجتماعی را آسان تر کرده اند. مهاجمان امروزی می توانند به سایت هایی مانند LinkedIn بروند و کلیه کاربرانی را که در یک شرکت کار می کنند پیدا کنند و اطلاعات مفصلی را که می توانند برای مهندسی اجتماعی از آن استفاده کنند را بدست بیاورند.
مهندسان اجتماعی همچنین از پیگیری رویدادهای خبری، تعطیلات، مراسم ها و سایر موارد برای عملیات فریب قربانیان استفاده می کنند.
حتما اخبار مربوط به کلاهبرداری های که از اسم شرکتهای معروف سوء استفاده می کردند را شندید حتی کلاهبرداران غالباً از خیریه های جعلی برای دستیابی به اهداف خود در طول تعطیلات استفاده می کنند.
مهاجمان همچنین حملات فیشینگ را برای هدف قرار دادن علایق شناخته شده (شامل، هنرمندان مورد علاقه، بازیگران، موسیقی، سیاست، اقدامات بشر دوستانه) تنظیم می کنند که می توانند با استفاده از آنها کاربران را به کلیک بر روی پیوست های بدافزار ترغیب کنند.
حملات معروف مهندسی اجتماعی
یک راه خوب برای درک این نکته که تکنیکهای مهندسی اجتماعی را باید در نظر داشته باشید این است که بدانید که چه مواردی موفقیت آمیز بودند سه تکنیک مهندسی اجتماعی مستقل از موارد فنی که برای کلاهبرداران به روشی بزرگ موفقیت آمیز است رو با هم مرور میکنیم.
پیشنهاد ارزشمندی ارائه دهید. همانطور که کسی به شما خواهد گفت ساده ترین راه برای کلاهبرداری سوء استفاده از طمع انسان است. این مورد پایه و اساس کلاهبرداری های کلاسیک است، که در آن کلاهبردار سعی می کند قربانی را متقاعد کند تا بتواند پول خود را خیلی راحت بیشتر کرده و یا کالایی را به قیمت خیلی پایینتر بدست آورد.
-
ادا شو در بیارید
یکی از ساده ترین و شگفت آورترین روشهای مهندسی اجتماعی این است که به سادگی وانمود کنید که قربانی خود هستید. در یکی از کلاهبرداری شخصی با تماس با شرکت ادعا کرد که یکی از توسعه دهندگان اصلی آنهاست سپس به سرورهای توسعه سیستم عامل دیجیتال شرکت دسترسی اشاره کرد و گفت که در ورود به سیستم مشکل دارد. بلافاصله با ورود و رمز ورود جدید به وی دسترسی داده شد. این اتفاقات در سال ۱۹۷۹ رخ داده است و شما فکر می کنید از آن زمان اوضاع بهتر شده است اما اشتباه می کنید: در سال ۲۰۱۶، یک هکر یک آدرس ایمیل وزارت دادگستری ایالات متحده را پیدا کرد و از آن برای جعل هویت یک کارمند استفاده کرد. با گفتن اینکه این اولین هفته کار وی بود توانست به اون اکانت دسترسی پیدا کند.
-
جوری وانمود کنید که شما مدیر هستید
به صورت ناخواگاه افراد به مدیران و مسئولین احترام میگذارند شما می توانید اطلاعات مربوط به چارت سازمانی داخلی یک شرکت را در جهت ترغیب افراد در جهت سوء استفاده از یک عنوان شغلی بکار ببرید.
پیشگیری از مهندسی اجتماعی
آگاهی رسانی امنیتی راه شماره یک برای جلوگیری از مهندسی اجتماعی است. کارمندان باید بدانند که شیوه مهندسی اجتماعی وجود دارد و با رایج ترین تکنیکهای های آنها آشنا شوند.
خوشبختانه آگاهی رسانی در زمینه مهندسی اجتماعی به صورت ساده و جذاب میتواند انجام شود فقط کافی است داستانهای مربوط به موارد سو استفاده های انجام شده را بازگو کنید .و داستانها بسیار راحت تر و جالب تر از توضیحات مربوط به نقص فنی هستند. تصاویر و پوسترهای جذاب یا طنزآمیز نیز یادآوری موثری در مورد مهندسی اجتماعی خواهد داشت.
اما این فقط یک کارمند متوسط نیست که باید از مهندسی اجتماعی آگاهی داشته باشد. رهبری و مدیران ارشد معمولا اهداف اصلی شرکتها هستند.
۵ راهکار برای مقابله در مقابل مهندسی اجتماعی
۱. آموزش، آموزش و بازهم آموزش
اطمینان حاصل کنید که شما یک برنامه جامع آموزش آگاهی از امنیت را دارید که مرتباً به روز می شود تا هم به تهدیدهای عمومی فیشینگ و هم برای حملات سایبری جدید بپردازید. به یاد داشته باشید، این فقط مربوط به کلیک بر روی لینک ها نیست.
۲. ارائه یک شرح مختصری در مورد آخرین تکنیک های کلاهبرداری آنلاین به کارکنان کلیدی.
حتما مدیران ارشد را در نظر بگیرید و حتما کسی را که امور مربوط به معاملات مالی را انجام میدهد را فراموش نکنید. به یاد داشته باشید که بسیاری از داستانهای واقعی مربوط به کلاهبرداری با کارمندان سطح پایین رخ می دهند که فکر میکردند دارند تقاضای یک مدیر سطح بالا را
با دور زدن رویه های عادی و یا بدون در نظر گرفتن کنترل ها انجام می دهند.
۳- روند کار، مراحل و تفکیک وظایف موجود برای نقل و انتقالات مالی و سایر معاملات مهم را مرور کنید.
در صورت لزوم کنترل های اضافی اضافه کنید. به یاد داشته باشید که جدایی وظایف و سایر حمایتها ممکن است در بعضی مواقع توسط تهدیدات داخلی به خطر بیفتد، بنابراین ممکن است بررسی خطر با توجه به افزایش تهدیدها، مجدداً مورد تجزیه و تحلیل قرار گیرد.
۴- خط مشی های جدید مربوط به معاملات یا درخواست های فوری اجرایی را در نظر بگیرید.
یک ایمیل از حساب Gmail مدیرعامل باید به طور خودکار اولویت را برای کارمندان بالا ببرد، اما آنها باید آخرین تکنیک های استفاده شده توسط مهندسان اجتماعی را درک کنند.
۵- سیستم های مدیریت حوادث و گزارش های فیشینگ خود را مرور ، تصحیح و آزمایش کنید.
یک سناریوی محتمل مهندسی اجتماعی را با مدیریت و پرسنل کلیدی به طور مرتب اجرا کنید در راستای کنترل و تست محل های آسیب پذیر.
جعبه ابزار مهندسی اجتماعی
تعدادی از منابع آنلاین در سطح وب ابزار یا خدماتی را برای کمک به انجام تمرینهای مهندسی اجتماعی و یا ایجاد آگاهی کارمندان از طریق وسایلی مانند پوستر و خبرنامه ارائه می دهند.
همچنین وب سایت مهندسی اجتماعی Social-Engineer.org که استفاده از آن رایگان است ارزش بررسی دارد. جعبه ابزارها به شما کمک میکنند تا از طریق مهندسی اجتماعی، از جمله حملات فیشینگ، ایجاد وب سایتهای دارای ظاهری مشروع، حملات مبتنی بر درایو USB و موارد دیگر نقاط آسیب پذیر را شناسایی و در راستای رفع آنها اقدام کنید.
در حال حاضر، بهترین دفاع در برابر حملات مهندسی اجتماعی، آموزش کاربران و لایه هایی دفاعی فناوری برای تشخیص و پاسخ به حملات است. تشخیص کلمات کلیدی در ایمیل یا تماس تلفنی می تواند برای از بین بردن حملات احتمالی استفاده شود، اما حتی ممکن است این فناوری ها در متوقف کردن مهندسین ماهر اجتماعی بی اثر باشند.
مطالب زیر را حتما بخوانید
-
راهنمای جامع و کاربردی Rsyslog: مدیریت لاگها در سیستمهای لینوکسی
14 بازدید
-
راهنمای جامع Syslog: مدیریت و تحلیل لاگها در سیستمهای شبکه
15 بازدید
-
بررسی کامل LogRhythm: ابزار پیشرفته مدیریت امنیت و وقایع (SIEM)
9 بازدید
-
مترپرتر (Meterpreter): راهنمای جامع و کاربردی برای تست نفوذ و امنیت سایبری
8 بازدید
-
راهنمای کامل Bind Shell: مفاهیم، کاربردها و ملاحظات امنیتی
7 بازدید
-
آشنایی کامل با شلتر (Shellter): ابزاری قدرتمند برای تزریق کد و دور زدن مکانیزمهای امنیتی
6 بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.