حمله مهندسی اجتماعی ( Social Engineering ) چیست و چند نوع حمله مهندسی اجتماعی وجود دارد؟ انجام حملات مهندسی اجتماعی چند فاز دارد؟ تفاوت حملات مهندسی اجتماعی مبتنی بر انسان و حملات مهندسی اجتماعی مبتنی بر کامپیوتر در چیست؟ و ... امروز و در این مقاله ما بصورت جامع به بررسی پاسخ این سوال می پردازیم که حمله مهندسی اجتماعی چیست و انواع حملات مهندسی اجتماعی شامل چه چیزهایی هستند و در نهایت مهمترین روش پیشگیری از حملات مهندسی اجتماعی چیست؟
در این مقاله سعی شده است تا در رابطه با یکی از مهمترین زمینههای سرقت اطلاعات و نفوذ به سیستم و اختلال در شبکهی یک شرکت بحث شود. مطلبی که متاسفانه در دید افرادی که هک را بصورت تجربی دنبال میکنند معمولا جایی ندارد. شاید بهجرات بتوان گفت یکی از کاراترین و موثرترین حملات، حملات مبتنی بر مهندسی اجتماعی هستند که بنا به زمینه اجتماعی کمتر به آن توجه میشود.امیدوارم این مطلب مورد استفاده عزیزان قرار بگیرد.
اصطلاح مهندسی اجتماعی به روشی تاثیرگذار در ترغیب خواسته و یا ناخواسته مردم به فاش نمودن اطلاعات حساس به منظور انجام برخی اعمال خرابکارانه بر میگردد. با کمک روش های موجود در مهندسی اجتماعی، مهاجمان میتوانند براحتی به اطلاعات محرمانه، جزئیات دسترسیها و مجوزهای ورود کاربران دسترسی پیدا کنند.مهاجمان میتوانند براحتی و با استفاده از مهندسی اجتماعی قوانین امنیتی یک شرکت را نقض کرده و با اعمال مجرمانه خود آن را بشکنند. تمام فشارها و سخت گیریهای امنیتی به تصویب رسیده در غالب شرکتها با اجرای مهندسی اجتماعی در مورد کارکنان، همه نقش بر آب خواهد شد. در دوره آموزش سکیوریتی پلاس و دوره آموزش CEH بصورت مفصل در خصوص حملات مهندسی اجتماعی صحبت می شود.
به عنوان نمونه از مهندسی اجتماعی میتوان به پاسخهای ناخواسته به افراد غریبه از طرف کارمندان، پاسخ به ایمیلهای اسپم و لاف زدن جلوی کارکنان شرکت اشاره کرد. نفوذگران از توسعه و گسترش مهارتهای مهندسی اجتماعی سود زیادی عایدشان میشود و چنان مهارتی در انجام این کار از خودشان نشان میدهند که ممکن است قربانیان هرگز متوجه کلاهبرداری آنها نشوند. با وجود قوانین امنیتی موجود، شرکتها همچنان در معرض خطر هستند چرا که حملات طرحریزی شده بر اساس مهندسی اجتماعی ضعیفترین افراد در شرکت که اطلاعات زیادی را با خود دارند، نشانه میگیرند.
نفوذگران همواره بدنبال راههای جدید برای بدست آوردن اطلاعات هستند؛ آنها از محیط مورد نفوذ و افرادی که در حلقه امنیتی آن محیط کار میکنند، همچنین از منشیها و هلپدسکها به منظور سوء استفاده از خطاهای سهوی آنها تا حد ممکن مطمئن شده و سپس با دیدی باز دست به مهندسی اجتماعی هدف میزنند. افرادی برای این کار کاندید خواهند شد که بیش از حد مشکوک و مرموز به نظر نرسند؛ رفتاری همراه با اعتماد به نفس و ظاهری با مشخصات افراد شناخته شده در محیط نفوذ داشته باشند.
برای مثال دیدن فردی با لباس یونیفرم و درحال حمل کردن جعبه هایی برای تحویل، شما را متقاعد خواهد ساخت که او یک پیک است. علاوه بر این ممکن است شرکت آگهیای مبنی بر استخدام فردی با تخصص بالا در زمینه دیتابیس های اوراکل و سرورهای یونیکس منتشر کرده باشد. همین اطلاعات به فرد نفوذگر کمک خواهد کرد تا متوجه شود که در محیط مورد نفوذ از چه سرورها و دیتابیسهایی استفاده میکنند. این اقدامات در فاز شناسایی بکار میرود.
یک نفوذگر میتواند از رفتارها و ذات طبیعی مردم که در ادامه به آنها پرداخته خواهد شد، با هدف اجرای یک حمله بر اساس مهندسی اجتماعی، نهایت استفاده را ببرد. این رفتارها ممکن است در حملات مهندسی اجتماعی، آسیب پذیری محسوب شوند:
خصوصیت اطمینان قلبی هرکس به خودش، اصلی ترین پایه در حملات مهندسی اجتماعی است. بنابراین خصوصیت هریک از کارمندان خود را عاری از هرگونه ضعف در برابر حملات مهندسی اجتماعی میداند و دقیقا همین بزرگترین نقطه ضعف است. شرکتها باید در مورد راهها و آسیبپذیریهای مهندسی اجتماعی، کارکنان خود را کاملا آموزش دهند.
وقتی کارها با تهدید پیش نمیرود، نفوذگر طعمه خود را با مواردی مانند پول و یا دیگر مزیتها تطمیع میکند. در چنین موقعیتی فرد طعمه، ممکن است فریب بخورد و اطلاعات حساس شرکت را لو دهد.
در چنین زمانهایی اهداف مورد نظر بر اساس تعهدی که با مهندسان اجتماعی بستهاند، اقدام به همکاری با آنها میکنند.
عدم آگاهیدهی یک شرکت درمورد مهندسی اجتماعی و تاثیران آن بر نیروی کاری خود، آن شرکت را هدف آسانی در زمینه مهندسی اجتماعی قرار میدهد.
در مواردی ممکن است که یک فرد برای فرار از اتهام کمکاری و این که اطلاعات لازم را بسرعت در اختیار نگذاشته است و این کارش ممکن است بر کار شرکت اثر گذارد، بیفکر و بدون دقت لازم اطلاعات حساس را فاش میکند.
مهندسی اجتماعی میتواند تهدیدی بزرگ برای شرکتها باشد. قابل پیشبینی نیست و فقط و فقط با اطلاعرسانی کارکنان درباره مهندسی اجتماعی و حملات مرتبط با آن قابل پیشگیری است.فاکتورهای زیادی وجود دارد که یک شرکت را در برابر مهندسی اجتماعی آسیبپذیر میکند. در زیر محتصرا به چند عامل اشاره شده است:
آموزش ناکافی در زمینه امنیت: حداقل وظیفه یک شرکت در این مورد، آموزش کارکنان خود درباره جنبههای مختلف امنیت به منظور کاهش هرچه بیشتر ضربات احتمالی، است. بجز کسانی که اطلاعاتی در زمینه مهندسی اجتماعی و فوت و فنهای آن دارند، اکثرا حتی از این که مورد هدف واقع شدهاند هم مطلع نمیشوند. بنابراین توصیه میشود که هر شرکت باید در این موارد کارکنان خود را بدقت آموزش دهد.
عدم وجود قوانین امنیتی مناسب: استاندارهای امنیتی بشدت باید توسط شرکتها افزایش یابد تا بدین وسیله به کارکنان نیز آگاهی بخشی هم شده باشد. وضع سختگیریهای مفرط در مورد هرنوع احتمال حمله امنیتی یا آسیبپذیری. حتی رعایت سادهترین قوانین مثل قانون تغیر پسوردها، محدودیت دسترسیها، شناسههای کاربری منحصربفرد، امنیت مرکزی و مواردی از این دست نیز میتواند در جای خود مفید باشد. همچنین باید قانون به اشتراک گذاری را وضع و اجرا کنید.
کارکنان باید در دسترسی به آن محدود شود و افراد کلیدی که به اطلاعات حساس دسترسی دارند باید در بشدت آموزش دیده باشند.
نفوذ گر یک حمله مهندسی اجتماعی را بترتیب مراحل زیر انجام میدهد:
تحقیق درباره شرکت هدف: نفوذگر در ابتدا درباره شرکت هدف تحقیق میکند تا اطلاعاتی نظیر نوع تجارت، محل شرکت، شماره داخلیها و غیره را بدست آورد. در این مرحله نفوذگر حتی زبالهدانی شرکت را نیز به منظور بدست آوردن اطلاعات دور ریخته شده، مورد جستجو قرار میدهد.
انتخاب قربانی: پس از بدست آوردن اطلاعات مورد نیاز در رابطه با شرکت، نفوذگر باید فرد قربانی خود را انتخاب کند. این فرد دو مشخصه اصلی باید داشته باشد. اول آن که بشود براحتی آن را فریب داد و دوم آن که بتوان با سوء استفاده از آن حداکثر اطلاعات لازم را بدست آورد.
افزایش رابطه دوستی با قربانی: طبیعی است که در وهله اول و به عنوان شخصی غریبه و یا حتی تظاهر به همکار بودن، نمیتوان اطلاعات زیادی را از قربانی استخراج نمود و درست زمانی که رابطه دوستی با او افزایش داده شد، دست نفوذگر برای سوء استفاده از اعتماد او و نزدیک شدن به اطلاعات حساس و همچنین زیر زبان کشیدن غیر ملموس از وی بازترخواهد بود.
سوء استفاده از روابط دوستی: هنگامی که رابطه دوستی با قربانی گسترش پیدا کرد، نفوذگر سعی خواهد مرد تا با سوء استفاده از این رابطه، اطلاعات حساس مثل اطلاعات شناسه، اطلاعات مالی، فنآوری مورد استفاده، پروژههای شرکت و غیره، را بدست آورد.
پرسنل پذیرش به علت ارتباط مستقیم با افراد غریبه، پرسنل هلپ دسک(پشتیبانی کاربران) به علت ارتباط مستقیم با تمام پرسنل و داشتن اطلاعات آنها، تکنیسینهای اجرایی، مدیران و در نهایت کاربران شبکه از جمله مرسوم ترین اهداف مورد علاقه نفوذگران هستند.
Social Engineering از ترکیب دو کلمه بوجود آمده است؛ Social و Engineering. کلمه Social به زندگی روزمره ما اشاره دارد (که شامل زندگی فردی و حرفه ای ما میشود) و در کنار آن Engineering به این معنی است که برای آن که بطور قطعی به هدفمان برسیم باید طبق دستور العملی خاص و مرحله به مرحله عمل کنیم.مهندسی اجتماعی مفهومی است که به بررسی و نحوه نفوذ با استفاده از روش های غیر تکنیکال می پردازد. در مهندسی اجتماعی رسیدن به موفقیت بشدت بستگی به عکس العمل های انسانی دارد، حتی گاهی لازم است تا با فریب مردم، راه کارهای امنیتی معمول را دور زده و نقض کنیم.
یک حمله بر اساس مهندسی اجتماعی، در واقع فرآیندی ادامه دار و مشمول زمان است که با جستجو و تحقیق درباره هدف و به عنوان فاز اول در مهندسی اجتماعی، آغاز میشود. این فرآیند تا زمانی ادامه خواهد داشت که مهاجم با هدف "ارتباط" خود را حفظ کند و به محض قطع ارتباط، فرآیند مهندسی اجتماعی نیز پایان میابد. منظور از ارتباط، فرآیندی شامل چهار فاز است که مهاجم با دنبال کردن آن ها یک حمله را انجام خواهد داد.
این فازها عبارتند از:
در فاز جستجو و تحقیق، مهاجم سعی میکند تا اطلاعات لازم را درمورد شرکت هدف گردآوری کند. این اطلاعات از منابع و مفاهیم مختلفی جمع آوری میشوند؛ به عنوان مثال جستجوی سطل زباله، وب سایت شرکت، فایل ها و اسناد غیر محرمانه، فعالیت های فیزیکی و نظایر آن. انجام این فاز زمانی ضروریست که هدف ما یک کاربر خاص باشد.
Hook به معنای قلاب انداختن است. در این مرحله با استفاده از اطلاعاتی که جمع کردیم، یک گام جلوتر میگذاریم و بقول معروف برای قربانی تور پهن میکنیم. در این مرحله با هدف مورد نظر ارتباط برقرار میکنیم.
در این مرحله باید نقش خود را آنقدر خوب بازی کنیم که رابطه ای که در مرحله پیش ایجاد کردیم، قوی شود و ادامه یابد. در این مرحله ارتباط باید آنقدر قوی و صمیمانه شود که مهاجم بتواند در لوای این ارتباط، سوء استفاده مورد نظر را انجام دهد و به اطلاعاتی که اساسا ارتباط برای رسیدن به ان ها شکل گرفته بود، برسد.
این مرحله آخرین فاز از حمله مهندسی اجتماعی است که مهاجم از صحنه جرم فرار کرده و یا ارتباط خود را با قربانی قطع میکند. این عمل باید طوری صورت پذیرد که شک قربانی را بدنبال نداشته باشد.
در بخش پیش یاد گرفتیم که مهندسی اجتماعی چیست و فرآیندی را که مهاجم برای آن طی میکند، شامل چه قواعدی است. اساسا مهندسی اجتماعی را میتوان به دو بخش تقسیم کرد: روش مبتنی بر انسان (Human-based) و روش مبتنی بر کامپیوتر (Computer-based).
در این روش، مهاجم مستقیما با هدف وارد ارتباط میشود تا بتواند اطلاعات مورد نیاز خود را بدست آورد. به عبارتی در این روش، هنرهای فردی مهاجم در ارتباط با دیگران، حرف اول را در موفقیت میزند. برای مثال مهاجم با تظاهر به این که یک کاربر مجاز از شرکت است، از ادمین دیتابیس میخواهد تا پسورد اکانت او را ریست کرده و پسورد جدید را به او بدهد.این روش را میتوان در شاخه های زیر دسته بندی کرد:
در این نوع حمله، مهاجم با استفاده از فریب دادن کاربران مجاز خواهد توانست به نقاط مورد نظر و حساس داخل شرکت مثل اتاق سرور، دسترسی پیدا کند. بطور مثال شخص X (مهاجم) برای مصاحبه وارد شرکت ABC میشود. اما به محض ورود به شرکت با بهانه های مختلف خود را به نقاط حساس شرکت رسانده و با فریب یکی از کارمندان شرکت، ادعا میکند که تازه در شرکت استخدام شده است و هنوز کارت شناسایی برایش صادر نشده است. بنابراین از او میخواهد تا از کارتش موقتا استفاده کند.
در این نوع حمله، مهاجم وانمود میکند که یکی از کارمندان شرکت است و بدین طریق دسترسی فیزیکی به نقاط شرکت پیدا میکند. در دنیای حقیقی این کار از طریق جعل کارت شناسایی و یا پوشیدن لباس فرم آن شرکت ممکن خواهد بود. وقتی مهاجم توانست وارد محل فیزیکی شرکت شود، میتواند اطلاعات مورد نظر خود را سر فرصت بدست اورد.
در این روش با استفاده از شنود غیرمجاز ارتباطاتی که بین دو نفر وجود دارد و یا خواندن پیام های شخصی کسی، اقدام به حمله میکنیم. این کار با استفاده کانال های ارتباطی مانند خطوط تلفن و یا ایمیل ها امکان پذیر است.
در این نوع حمله، سطل زیاله را برای پیدا کردن اطلاعات نوشته شده و یا تکه های کاغد و یا پرینت های کامپیوتری، میگردیم. در این روش هکر گاهی اوقات اطلاعاتی مانند پسوردهای نوشته شده روی کاغذ و یا تکه تکه های کاغذی که اطلاعاتی محرمانه رویش نوشته شده است، پیدا میکند.
در این نوع از حمله، مهاجم اطلاعات مختصری از یکی از کاربران مجاز شرکت در دست دارد و با استفاده از آن ها سعی میکند تا اطلاعات مورد نظر خود را بدست آورد. برای مثال به هلپ دسک شرکت زنگ میزند و میگوید : "سلام. من احسان امجدی از واحد حسابداری هستم. پسورد اکانتم را فراموش کردم. لطفا منو کمک کنید." خوب دوستان تا اینجای کار موفق شدیم تا در رابطه با روش هایی از مهندسی اجتماعی صحبت کنیم که مبتنی بر هنرهای فردی و اجتماعی انسان است و در این میان کامپیوتر نقشی ندارد. در بخش بعد، در رابطه با روش های مبتنی بر کامپیوتر نیز صحبت خواهم کرد.
در بخش پیش یاد گرفتیم که مهندسی اجتماعی مبتنی بر هنرهای فردی انسان در برقراری رابطه مستقیم چیست و فرآیندی را که مهاجم برای آن طی میکند، شامل چه قواعدی است. همانطور که گفته شد، مهندسی اجتماعی را میتوان به دو بخش تقسیم کرد: روش مبتنی بر انسان (Human-based) و روش مبتنی بر کامپیوتر (Computer-based).
در قسمت پیش روش Human-Base گفته شد و در این بخش ادامه مطلب را با روش Computer-Base دنبال میکنیم. مهندسی اجتماعی بر پایه استفاده از کامپیوتر و ابزارهای مرتبط، به اتک هایی اتلاق میشود که با استفاده از نرم افزار کامپیوتری بتوانیم به اطلاعات مورد نظرمان دست پیدا کنیم. این نوع اتک نیز خود دارای انواع مختلفی است که در ادامه به مهترین آن ها اشاره میشود:
در واقع پنجره هایی که بصورت پاپ آپ باز میشوند، کاربران را به کلیک بر روی لینکی که داخلشان است فریب میدهند. این لینک معمولا کاربران به صفحه مورد نظر اتکر redirect میکند و آنجا از کاربران با عناوین مختلف خواشته میشود که اطلاعات شخصی خود را وارد کنند و یا انکه از آن صفحه نرم افزاری را دانلود کنند که به ان ها ویروس و یا تروجان بایند شده است.
طراحی و اجرای موفقیت آمیز این نوع حمله بصورتی است که باید از داخل شبکه ای که هدف در آن قرار دارد، صورت بپذیرد. در اغلب موارد، چنین حملاتی با هماهنگی و همکاری کارمندان ناراضی که از موقعیت شغلی خود راضی نیستند و یا انکه با کارمند دیگری و یا رئیس خود مشکل شخصی دارند، رخ میدهد.
اسپمرها (اشخاصی که هرزنامه میفرستند) معمولا ایمیلی را بصورت انبوه به گروه بزرگی از اکانت های ایمیل ارسال میکنند. مثلا در ایمیل خود ادعا میکنند که شما در لاتاری برنده شده اید و صاحب 1 میلیون دلار هستید. در اغدامه از شما میخواهند که بر روی لینک داده شده کلیک کنید و و در صفحه مورد نظر مشخصات حساب بانکی و یا اطلاعات هویتی خود را وارد کنید. با استفاده از این روش، میتوانند اطلاعات هویتی شما و تعداد زیادی از اشخاص حقیقی را سرقت کنند.
در روش کلاهبرداری نیجریه ای، اتکر با عناوین مختلف از قربانی میخواهد تا پولی را پرداخت کرده و یا با آن ها یک گردش مالی داشته باشد. به این خاطر به ان 419 گفته میشود که "9-1-4" بخشی از کد مجرمانه ای است که خلافکاران از آن برای انجام این عمل استفاده میکنند.اتکر ها معمولا ایمیل ها یا نامه هایی را برای اهداف خود ارسال میکنند که حاوی پیشنهاد هایی وسوسه کننده و سودآور است.
در این نوع حمله، اتکر به هدف خود SMS ای را ارسال کرده و ادعا میکند که این SMS از طرف بخش امنیت بانک است و هرچه زودتر با شماره مشخص شده باید تماس گرفته شود. اگر قربانی، شخص تکنیکالی نباشد، از طریق تماس تلفنی شخص مهاجم براحتی میتواند اطلاعات مورد نظر را از هدف بگیرد.