مهندسی اجتماعی

مهندسی اجتماعی چیست؟
سوء استفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است، که به کمک مجموعه‌ای از تکنیک‌ها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد می‌کند.
مهاجم به جای استفاده از روش‌های معمول و مستقیم نفوذ مانند عبور از دیواره آتش برای دسترسی به سیستم‌های سازمان و پایگاه داده‌های آن، از مسیر انسان‌هایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیک‌های فریفتن آنها، به جمع‌آوری اطلاعات در راستای دستیابی به خواسته‌های خود اقدام می‌کند.

در مهندسی اجتماعی، حمله کننده سعی دارد از طرق مختلف مانند دروغ، جعل هویت (بعنوان مثال فرد خود را نماینده همراه اول معرفی میکند)، کلاهبرداری، رشوه، باج خواهی و تهدید، اطلاعات مفیدی را از فرد دریافت کند.

حملات مهندسی اجتماعی از دو ناحیه سرچشمه میگیرند:

  •  داخلی 
  •  خارجی

آیا مهندسی اجتماعی دارای چرخه میباشد؟
در جواب باید گفت: بلی. براساس مقاله به انتشار رسیده گارتنر در تاریخ 16 مارچ 2005 تحت عنوان "روش‌های دفاع در مقابل حملات مهندسی اجتماعی"، مهندسی اجتماعی دارای الگویی میباشد، که قابل تشخیص و قابل جلوگیری میباشد. این چرخه شامل چهار مرحله "جمع‌آوری اطلاعات"، "برقراری ارتباطات"،" بهره‌کشی" و "عمل و اجرا" است که به مانند تکه های پازل بهم مرتبطند. در شکل زیر چرخه مهندسی اجتماعی نشان داده شده است.
1. جمع‌آوری اطلاعات : در این مرحله حمله کننده سعی دارد اطلاعات مفیدی در مورد هدف را از روشهای مختلف جمع آوری کند مانند لیست تلفن، تاریخ تولد، چارت سازمانی، شبکه های اجتماعی و غیره
2. برقراری ارتباطات : پس از جمع آوری اطلاعات، مهاجم سعی بر این دارد با فرد ارتباط برقرار کرده و اعتماد وی را جلب نماید.
3. بهره‌کشی : در این مرحله مهاجم پس از جلب اعتماد فرد، سعی دارد فرد را به دادن اطلاعات و یا انجام کاری وادار نماید که بصورت عادی فرد اینکار را انجام نمیدهد، مانند دادن پسورد به مهاجم، دادن شماره کارت ملی، دادن مشخصات کارت بانکی، واریز پول به حساب مهاجم و غیره
4. عمل و اجرا : هنگامیکه فرد درخواست حمله کننده را انجام میدهد، این چرخه کامل میگردد.

انگیزه های مهندسی اجتماعی

  • بهره‌برداری مالی: به دلایل گوناگون، افراد تحت تأثیر دستیابی به پول و ثروت می‌باشند. به عنوان مثال فرد ممکن است، باور داشته باشد که وی سزاوار دستمزد بیشتری است و یا نیاز به پول بیشتری برای عادات خارج از کنترلی چون قمار دارد.
  • نفع شخصی: مهاجم ممکن است خواستار دسترسی و ویرایش اطلاعات مربوط به خود، اعضای خانواده و دوستان باشد.
  • انتقام: بنابر دلایل قابل درک تنها توسط فرد مهاجم، وی ممکن است دوست، همکار، سازمان و یا مجموعه‌ای از افراد را برای ارضا کردن احساسات و شهوات خود در جهت انتقام یا کینه‌توزی مورد هدف قرار دهد.
  • فشارهای خارجی: مهاجم ممکن است از سمت دوستان، خانواده یا سندیکایی سازمان یافته، به دلایلی از قبیل بهره‌برداری مالی، منفعت شخصی و یا انتقام تحت فشار و تهدیدهای جانی و مالی بوده و چنین کاری را انجام دهد.
  • حس کنجکاوی: با توجه به خصایص انسانی به ذات این حس در دورن همه افراد وجود دارد.

تکنیکهای حمله مهندسی اجتماعی
تکنیکهای مهندسی اجتماعی بطور کلی به دو دسته تکنیکهای مبتنی بر کامپیوتر و تکنیکهای مبتنی بر انسان تقسیم میشوند.
تکنیکهای مبتنی برسیستم

  • فیشینگ : در این روش مهاجم سعی دارد با ایمیل دستکاری شده، فرد را به وب سایت تقلبی هدایت کند. اینگونه وب سایتهای تقلبی مانند وب سایت اصلی بنظر رسیده و از نام و برندهای مطرح همانند وب سایت اصلی استفاده مینمایند تا فرد را متقاعد کنند تا این وب سایت تقلبی خود وب سایت اصلی است. پس از متقاعد نمودن فرد، این فرد اطلاعات شخصی خود را در این وب سایتها وارد مینماید که منجر به سرقت رفتن اطلاعات وی میگردد. حتی این احتمال وجود دارد که با بازدید این وب سایتها کد مخرب بر روی سیستم قربانی اجرا گردد مانند نرم افزار لاگ کلیدها  که کلیدهای سیستم قربانی را به سرقت میبرد.
  • فیشینگ پیام کوتاه : در واقع نوعی از فیشینگ است که بجای ایمیل، پیام کوتاه  برای موبایل قربانی ارسال میگردد.  این پیامهای کوتاه حاوی لینکی میباشند تا فرد را متقاعد کنند که بر روی آن کلیک نمایند. این لینکها حاوی کدهای مخرب میباشند که پس از کلیک بر روی آنها گوشی کاربر به بدافزار  آلوده میگردد.
  • فیشینگ صوتی : در این نوع فیشینگ که به فیشینگ VoIP نیز معروف است، مهاجم از طریق ایمیل ارسالی قربانی را ترغیب به ایجاد تماس تلفنی می‌کند. در طی این تماس تلفنی از طریق سیستم پاسخ پیام صوتی از کاربر سوالاتی در خصوص اطلاعاتی از قبیل شماره ملی، شماره کارت بانکی و غیره پرسیده می‌شود و کاربر قربانی با پاسخ به این سوالات اطلاعات خود را در اختیار مهاجم قرار می‌دهد. همچنین ممکن است به منظور تماس با یک شماره خاص، با کاربر تماس تلفنی برقرار شود که پس از برقراری با این شماره خاص اطلاعات وی همانطور که پیشتر توضیح داده شد، به سرقت می‌رود.
  • فیشینگ نامه : در این روش مهاجم با ارسال نامه به صندوق پستی کاربر، سعی در ترغیب کاربر به تماس با شماره خاص یا ارسال اطلاعات خود به یک ایمیل خاص می‌کند که در نهایت منجر به سرقت رفتن اطلاعات کاربر می‌گردد. محتوای اینگونه نامه‌ها به گونه‌ای تنظیم شده است تا فرد را به انجام این کار ترغیب نمایند. به عنوان مثال کاربر جهت محافظت از خود و یا جلوگیری از مسدود شدن حساب بانکی خود می‌بایست در اسرع وقت با یک شماره خاص تماس برقرار کند.
  • پنجره‌های Pop-Up: این پنجره ها ممکن است حاوی بدافزار باشند، فرد را ترغیب میکنند تا برروی این پنجره ها کلیک نمایند، که پس از کلیک بر روی این پنجره ها، سیستم قربانی آلوده میگردد.
  • پیوست نامه‌های الکترونیکی: ممکن است به پیوستهای الکترونیکی  بدافزار پیوست شده باشد، که با باز کردن و مشاهده آن، سیستم فرد آلوده میگردد. در این روش نیز فرد ترغیب میگردد تا پیوست موردنظر را دانلود و باز کند. بعنوان مثال این پیوستها میتوانند حاوی کرمهای رایانه ای  باشند که با دانلود و اجرای آنها، این کرمها از سیستمی به سیستم دیگر پخش میشوند مانند "love letter".
  • هرزنامه‌های زنجیره‌ای  و فریب آمیز: هرزنامه ها به پیامهای گروهی و ناخواسته اطلاق میگردند. این هرزنامه ها نیز ممکن است حاوی بدافزار باشند، فرد را ترغیب میکنند تا برروی آنها کلیک نموده و آنها را مشاهده کنند که در اینصورت نیز احتمال دارد تا سیستم قربانی به بدافزار آلوده گردد.
  • وب‌ سایتها: همانطور که پیشتر اشاره شد، این وب سایتها مانند وب سایت اصلی بنظر رسیده و از نام و برندهای مطرح همانند وب سایت اصلی استفاده مینمایند تا فرد را متقاعد کنند تا این وب سایت تقلبی خود وب سایت اصلی است. بعنوان مثال این وب سایتها فرد را متقاعد میکنند تا اطلاعات شخصی همانند شماره کارت ملی و یا شماره کارت بانکی را در آنها وارد نموده و اطلاعات وی را به سرقت میبرند. حمله کننده میتواند از این اطلاعات سواستفاده نماید.
  • ارزیابی فارنسیک ابزارهای مستعمل : ابزارهای ذخیره سازی افراد مانند هارد دیسکها، فلش مموری، دی وی دی و غیره میتوانند حاوی اطلاعات مهمی باشند که برای فرد مهاجم مفید است.

تکنیک‌های مبتنی بر انسان

  • رویکرد مستقیم: در این روش فرد متجاوز سعی بر این دارد تا بطور مستقیم از فرد، درخواست انجام کاری را بدهد مانند تماس تلفنی با منشی و درخواست نام کاربری و رمز عبور از وی. اگرچه این روش ساده ترین روش است اما بدلیل رویکرد مستقیم آن ناموفق ترین روش نیز محسوب میگردد. 
  • جستجو در زباله‌ها : کاغذها میبایست به طور صحیح امحا  گردند، زیرا ممکن است حاوی  اطلاعات مهمی باشند که برای حمله کننده مفید است. بنابراین حمله کننده در زباله جستجو میکند تا این اطلاعات مهم را بدست بیاورد.
  • سوءاستفاده از کاربران مهم: در این روش فرد متجاوز خود را فردی مهم جلوه داده مثل مدیر سازمان و یا خود را بجای کس دیگری معرفی مینماید تا فرد قربانی را تحت فشار قرار داده و وی را مجبور به افشای اطلاعات و یا انجام کاری ترغیب نماید.
  • کارکنان پشتیبان فنی : فرد مهاجم در این روش سعی دارد تا خود را بعنوان پشتیبان فنی سیستم معرفی نموده و از این طریق اطلاعات مفیدی را از فرد قربانی دریافت نماید. بعنوان مثال مهاجم تظاهر میکند که قصد کمک به فرد جهت برطرف کردن مشکل سیستمی را دارد و از فرد درخواست نام کاربری و رمز عبور مینماید. 
  • کاربر درمانده: فرد متجاوز خود را بعنوان کاربر درمانده ای که نیاز به کمک دارد معرفی مینماید که قصد دارد به منابع سازمان دسترسی داشته باشد. بعنوان مثال مهاجم خود را بعنوان کاربر موقتی معرفی مینماید که باید به منابع سازمانی دسترسی داشته باشد. 
  • Shoulder Surfing: در این روش مهاجم سعی دارد تا هنگامیکه فرد رمز عبور خود را وارد مینماید، رمز را مشاهده و آن را بخاطر بسپارد و سپس از رمز فرد جهت ورود به سیستم استفاده نماید. 
  • مهندسی اجتماعی معکوس :  در این روش کاربر قانونی ترغیب میگردد تا از مهاجم برای بدست آوردن اطلاعات سوال بپرسد. در این سناریو، مهاجم بعنوان فردی با جایگاه بالاتر از فرد قربانی قلمداد میگردد. بعنوان مثال، مهاجم پس از دسترسی به سیستم هدف، آنرا خراب کرده و یا آنرا خراب جلوه میدهد، پس فرد قربانی مشکل را پیدا کرده و سعی در رفع آن دارد که این اطلاعات نیز میتواند برای مهاجم مفید باشد. 

چگونه قربانی حملات مهندسی اجتماعی نشویم؟

  •  حتما قبل از واردکردن اطلاعات محرمانه در وب سایت‌ها، کلیه موارد امنیتی (اعتبار گواهی SSL، اعتبار شرکت ارائه دهنده خدمات و غیره) بررسی گردند. 
  • با بررسی URL وب سایت، اطمینان حاصل شود که وب سایت جعلی نیست(چک کردن املای صحیح وب سایت‌ها)(www.mcii.ir صحیح نبوده و وب سایت رسمی همراه اول www.mci.ir می‌باشد)
  • هرگز بر روی لینک‌ها در ایمیل‌ها و پیام‌های دریافتی مشکوک کلیک نشود.
  • لازم است افراد آگاه باشند که کلاهبرداران حتی ممکن است از بلایای طبیعی مانند زلزله، سیل و غیره و حتی رخدادهای محبوب مانند المپیک، جام جهانی فوتبال و غیره به نفع خود استفاده نمایند.
  • اگر از صحت ایمیل، پیامک دریافتی و یا تماس تلفنی اطمینان وجود ندارد، سعی شود هویت افراد تماس گیرنده را مشخص نموده و سپس با سازمانها تماس برقرار کرده و از صحت اطلاعات فرد تماس گیرنده اطمینان حاصل شود. دقت داشته باشید که در صورت دریافت ایمیل مشکوک به اطلاعات موجود در آن یا وب سایت ارائه شده در آن اطمینان نکرده و از اظهارات قبلی برای صحت اطلاعات استفاده شود.
  • هرگز اطلاعات شخصی و سازمانی مانند ساختار سازمان، اطلاعات شبکه سازمان و غیره را در اختیار دیگران قرار داده نشود. مگر اینکه این اطمینان وجد داشته باشد که این افراد مجوز دسترسی به این اطلاعات را دارند.
  • بر روی پیوست‌های ایمیلی که قبلا با آنها در ارتباط نبوده‌اید، کلیک ننموده و فایل‌های موجود در آنها دانلود نشود.
  • همواره از آنتی ویروس‌های به‌روز شده، فایروال و نرم‌افزارهای فیلترینگ ایمیل برای کاهش تهدیدات استفاده شود.
  • در هنگامیکه جستجو در وب سایت‌ها، آگاه باشید که pop-upها شما را به نصب نرم افزاری ترغیب نکنند.
  • از قابلیت‌های ضد مهندسی اجتماعی که یا بصورت اتوماتیک وجود داشته و یا قابلیت افزوده شدن به مرور گرها و ایمیل ها را دارند، استفاده گردد. بعنوان مثال نوار ابزار netcraft یک نوار ابزار ضد مهندسی اجتماعی است که میتواند بعنوان یک افزونه به مرورگرهای فایرکس، اپرا و گوگل کروم افزوده گردد. در مورد اپلیکیشن ایمیل Thunderbird میتوان به فیلترینگ اتوماتیک ایمیل های کلاهبرداری اشاره نمود که  برای تشخیص این دسته از ایمیل ها استفاده میگردد. این ویژگی در مورد ایمیل های کلاهبرداری به کاربر اخطار میدهد. 

در صورتیکه احساس میکنید که قربانی حملات مهندسی اجتماعی شده اید، چه باید کرد؟

  • اگر این احتمال وجود دارد که اطلاعات حساس سازمانی مانند اطلاعات حساب کاربری   کاربران همراه اول از قبیل پسورد ایمیل آنها و پسورد لاگین آنها به سیستمشان آشکار شده باشد، این موضوع باید در اسرع وقت به مدیران شبکه اطلاع داده شود تا این افراد نسبت به هرگونه فعالیت مشکوک آگاه باشند.
  • در صورتی که احتمال لو رفتن اطلاعات مالی فرد وجود دارد، موضوع باید هرچه سریع‌تر با موسسات مطرح شود و به آنها اطلاع داده شود تا آنها حساب مالی مذکور را مسدود کرده و هرگونه تغییر غیرقابل توضیح در حساب مالی را تحت نظر داشته باشند.
  • هر پسوردی که در اختیار مهاجمین قرار گرفته است باید بلافاصله تعویض شده و اگر از این پسورد در بقیه اکانت‌های نیز استفاده می‌شود، تعویض شده و هرگز مورد استفاده قرار نگیرد.
  • مراقب دیگر نشانه‌های سرقت هویت باشید. به عنوان مثال اطلاعات شخصی و محرمانه نباید به راحتی در شبکه‌های اجتماعی قرار داده شوند، زیرا ممکن است این اطلاعات به دست مهاجمین بیافتد. همانطور که پیشتر اشاره شد "جمع آوری اطلاعات" اولین گام از حملات مهندسی اجتماعی است. 
  • گزارش حملات مهندسی اجتماعی را به پلیس و مراجع ذیربط بدهید.