مهندسی اجتماعی | تصور بسیاری از مردم از یک هکر، فردی با دانش فنی بسیار بالاست که از تخصص خود برای نفوذ به سیستمهای رایانهای و دسترسی به اطلاعات حساس استفاده میکند. بر اساس همین ذهنیت، همواره سعی میکنیم با استفاده از نرمافزارهای مختلفی اعم از ضدویروس و ضد بدافزار و بهروز نگهداشتن آنها، تمهیدات لازم برای مقابله با حملات این هکرها را فراهم آوریم. اما در کنار اینگونه حملات، دسته دیگری از حملات هم هستند که دانش فنی چندانی لازم ندارند و بر پایه روانشناسی و ارتباطات انسانی بنا شدهاند. به این دسته از حملات، مهندسی اجتماعی اطلاق میشود.
شاید برای شما هم این اتفاق افتاده باشد که شخصی با تلفن همراهتان تماس می گیرد و به صورت کاملا مودبانه از شما عذرخواهی می کند که نتوانسته تماس شما را جواب دهد. سپس در حالی که شما سعی دارید به ایشان بفهمانید که تماس نگرفته اید، جهت پیدا کردن یک نقطه اشتراک سوالاتی پیرامون نام، محل کار، محل زندگی، دانشگاه محل تحصیل و … می پرسد.
گرچه ممکن است این اتفاقات از طرف افرادی با نیت های غیر سوء صورت پذیرد اما آنها به هر حال بصورت هوشمندانه به بخشی از اطلاعات خصوصی شما دسترسی پیدا کرده اند.
مهندسی اجتماعی عموما مهارت هوشمندانه فرد هکر(نفوذگر) در جلب اعتماد و نظر کاربر قربانی است. هدف هکر این است که اطلاعاتی را بدست آورد که به وی اجازه خواهد داد تا بعدا از آنها سوء استفاده کند مثلا به یک سیستم و اطلاعات ارزشمند آن بدون داشتن مجوز، دسترسی داشته باشد.
پایه و اساس مهندسی اجتماعی، ارتباط با کاربران و فریب آنها برای اعمال تغییر در روالهای معمول امنیتی است. مثلا کاربران را در موقعیتی قرار دهند که به صورت ناخواسته و بدون آگاهی، رمز عبور خود را منتقل کنند. همچنین شبکههای اجتماعی نیز بستر بسیار مناسبی برای مهندسی اجتماعی هستند که در صورت عدم آشنایی کاربران، خطر بزرگی آن ها را تهدید خواهد کرد.
مهندسی اجتماعی طیف وسیعی از انواع حملات و فعالیتهای مخرب را در بر میگیرد. در این آگاه نامه، ما روی معمولترین آنها، تمرکز میکنیم:
- یادگیری زبان شرکت یا اداره شما
یک مهندس اجتماعی زبان شرکت هدف خود را مطالعه کرده و قادر خواهد بود از آن به خوبی استفاده نماید. اگر کسی بتواند از کلمات، عبارات و واژه هایی که شما در محیط کار به شنیدن آنها عادت دارید استفاده کند، قطعا شما راحت تر به وی اعتماد کرده و اطلاعات مورد نظر را به او تسلیم خواهید کرد. این ترفند چه بصورت حضوری، چه بوسیله تلفن یا حتی ایمیل، از اهمیت ویژه ای برخوردار است.
حمله صیادی (Phishing)
از میان حملات مهندسی اجتماعی، حمله صیادی معمولترین حملهای است که امروزه بیشتر در شبکه های اجتماعی مورد استفاده قرار میگیرد. این حمله با فعالیتهای زیر شناخته میشود:
- جستجو به دنبال مشخصات و اطلاعات تماس قربانی و استخراج از شبکههای اجتماعی یا وبگاههای دیگری که وی از آنها استفاده مینماید.
- ایجاد یک نسخه جعلی از صفحه ورود وبگاه و ایجاد آدرسی(URL) شبیه به وبگاه اصلی برای آن.
- ارسال پیغامی به قربانی حاوی پیوندی به صفحه جعلی؛ در نگارش این پیام، سعی میشود که در قربانی حالت ترس، اضطرار و غیره ایجاد کنند تا وی تمرکز فکری خود را از دست داده و از پیوند مورد نظر استفاده کند.
با مشاهده صفحه جعلی، قربانی که در وضعیت احساسی خاصی قرار گرفته، به صورت ناگاهانه بدون توجه به آدرس نامعتبر وبگاه جعلی، اقدام به واردکردن اطلاعات احراز هویت خود (مثل نام کاربری و رمز عبور) کرده و بدون اینکه متوجه شود، این اطلاعات را در اختیار مهاجم قرار میدهد.
مثالی از این نوع حمله که اخیرا رواج زیادی پیدا کرده است، دریافت پیامکهایی در زمینه “یارانه” است. در این نوع حمله قربانی پیامکی دریافت می کند که اگر می خواهید یارانه شما قطع نشود با مراجعه به لینک زیر اطلاعات خود را بروز رسانی کنید. با مراجعه به این لینک اطلاعات کارت های بانکی مثل شماره کارت، تاریخ انقضا و کد CVV2 پرسش می شود و قرابانی با دست خود این اطلاعات را به سارق تقدیم می کند.
استفاده از موسیقی انتظار تلفن
فریبکارانِ موفق، به زمان، حوصله و استقامت نیاز دارند. مهاجمان اغلب به آرامی و روشمند کار خود را انجام می دهند. آنها برای انجام کار خود، به جزئیات شخصی در مورد افراد، و نیز جمع آوری یک سری شگردهای اجتماعی احتیاج دارند تا بتوانند فرد موردنظر خود را اقناع نمایند تا وی باور کند که آنها نیز یکی از کارمندان همین سازمان یا سازمان بالادستی آنها هستند. یک روش موفق در این مورد، استفاده از موسیقی انتظار در تلفن (hold) است که آن شرکت در زمانی که می خواهد تماس گیرنده ها را پشت خط نگه دارد، از آن استفاده می کند.
فرد مجرم با شرکت تماس گرفته و موسیقی hold را ضبط کرده و سپس، از آن برای مقاصد خود استفاده می کند. وقتی این فرد با قربانی تماس می گیرد، پس از مدت کوتاهی صحبت، مدعی می شود که خط دیگرش در حال تماس است و قربانی را پشت خط نگه می دارد. فرد قربانی با شنیدن موسیقی که همیشه در شرکت آنها مورد استفاده قرار می گیرد، راحتتر به فرد مهاجم اعتماد می کند. این یک شگرد روانی است.
حمله دستاویزسازی (Pretexting)
در حمله دستاویزسازی، مهاجم سناریویی طراحی میکند که در آن با دروغگفتن، بهانهآوردن، وانمودکردن و غیره، خود را به جای شخص دیگری جا زده و با کسب اعتماد کاربر، اطلاعات شخصی و احراز هویت وی را به دست میآورد. گاهی حمله از طریق خود کاربر صورت نمیگیرد، بلکه با فریب متولی یا مسئول یک بخش، اطلاعات شخصی سایر کاربران از وی استخراج میشود.
معمولا قدم اول برای این نوع حمله، به دستآوردن اندکی اطلاعات در مورد قربانی است که امروزه مراجعه به شبکه اجتماعی بهترین راه برای استخراج چنین اطلاعاتی است.
بعد از آن با توجه به این اطلاعات کسب شده، دروغی ساخته میشود که با استفاده از آن مهاجم میتواند در تماس با قربانی، خود را به جای شخص دیگری جا بزند. به علت ارائه بخشی از اطلاعات واقعی و درست، همچنین مهارت مهاجم در دروغسازی، قربانی به وی اعتماد کرده و اطلاعات شخصی و احراز هویت خود را در اختیار وی قرار میدهد و یا هر کار دیگری که مهاجم از وی درخواست کند را انجام میدهد. همانند حمله صیادی، معمولا مهاجم در ارتباط با قربانی سعی میکند تا در وی حالت ترس، اضطرار و غیره ایجاد کند تا قربانی تمرکز خود را از دست بدهد. به عنوان مثال مهاجم خود را شخصی از نهادهای امنیتی یا انتظامی معرفی کرده و با ایجاد ترس و اضطرار به مقصود خود می رسد.
حمله طعمهگذاری (Baiting)
در این حمله یک وسیله فیزیکی مانند حافظه USB (کول دیسک)، پخشکنندههای صوتی دیجیتال (MP3 player) و غیره که حاوی بدافزار یا ویروس است را به نحوی در دسترس قربانی قرار میدهند و با تحریک حس کنجکاوی یا حرص، وی را وادار به استفاده از آن مینمایند.
یکی از معمولترین روشهای قراردادن این وسایل در اختیار قربانیان، نوشتن برچسبهای خاص بر روی آنها و قرار دادن این وسایل در محلهای خاصی است تا به نظر برسد جا گذاشته شدهاند. مثلا در غذاخوری یک سازمان، حافظه USB با برچسب “نتایج ارزشیابی کارکنان” یا “حقوق و مزایای کارکنان” قرار میدهند تا حس کنجکاوی کارمندان را جهت مشاهده محتوای آنها برانگیزند.
یک روش دیگر، ارسال اینگونه وسایل فیزیکی به صورت مجانی و به عنوان هدیه برای قربانی است. به این شکل که مثلا در یک شبکه اجتماعی، پیغامی حاوی این جمله برای وی ارسال میکنند: «شما برنده یک فلش مموری شدهاید!». سپس از قربانی آدرس پستی وی را جهت ارسال درخواست مینمایند. کاربر پس از واردکردن آدرس پستی خود، واقعا فلش مموری را دریافت میکند؛ اما به محض استفاده از آن، بدافزار نصبشده بر روی دستگاه اطلاعات شخصی وی را دزدیده و برای مهاجم ارسال مینماید.
حمله جبرانکردن (Quid Pro Quo)
در این نوع حمله مانند حمله طعمهگذاری عمل میشود؛ با این تفاوت که به جای ارائه یک کالا به صورت فیزیکی، به قربانی اعلام میکنند تا یک کمک یا خدمت غیر فیزیکی به وی ارائه میدهند. همانند حمله طعمهگذاری، مهاجم با تعداد زیادی از افراد تماس گرفته و ارائه یک خدمت خاص را به صورت رایگان و یا با قیمت بسیار نازل، به آنها پیشنهاد مینماید.
مثلا با گرفتن شماره تماس کارمندان یک شرکت یا اداره به صورت تصادفی، ضمن اظهار این نکته که برای کارکنان آن اداره تخفیف در نظر گرفته شده، به ایشان پیشنهاد کمک برای حل مشکلات مرتبط با رایانه آنها یا خرید یک بسته نرم افزارهای اندروید به قیمت نازل را میدهد. با قبول این پیشنهاد از سوی تعدادی از این افراد، خدمات درخواستی بصورت واقعی برای قربانی انجام میشود. اما نتیجه آن دزدیدن اطلاعات قربانی و ارسال آنها برای مهاجم خواهد بود. در موارد دیگر حتی ممکن است مهاجم از قربانی بخواهد که برای دریاف خدمت، عمل خاصی را انجام دهد و یا اطلاعات خاصی را به وی ارائه دهد.
