آشنایی با حملات مهندسی اجتماعی

[saberi]

مهندسی اجتماعی چیست ؟

مهندسی اجتماعی از دو کلمه "مهندسی"و "اجتماعی" تشکیل شده است. کلمه "اجتماعی" به کارهای روزانه ی زندگی مربوط می شود و شامل هر دو زندگی شخصی و حرفه ای می باشد.در حالی که کلمه ی "مهندسی" به معنای تعربف یک راه برای رسیدن به یک هدف با استفاده از چندین مرحله می باشد. اما، “مهندسی اجتماعی”یک اصطلاح است که برای توصیف یک یا چندین نفوذ غیر انسانی می باشد و بیشتر شامل فریب مردم برای شکستن روش های امنیتی طبیعی است .

 

تعریف عامیانه مهندسی اجتماعی

هنر بهره برداری از رفتار های آسیب پذیری انسان ها برای ایجاد شکاف امنیتی بدون هیچ ظن و گمانی از سوی قربانی است .

 

۱) تحقیقات (Research): در این فاز نفوذگز تلاش می کند تا اطلاعاتی از شرکت هدف به دست آورد. این جمع آوری اطلاعات می تواند از طریق منابع متعددی صورت گیرد،همانند:اسناد عمومی شرکت،وب سایت شرکت،تعاملات فیزیکی(رو در رو) و غیره … در صورتی که شما یک کاربر برای هدف قرار دادن دارید، این فاز یکی از کارهای بسیار مهمی خواهد بود که باید به درستی انجام گیرد.

۲) دام یا تله (Hook): در این فاز نفوذگر تلاش می کند تا با آغاز یک حرکت اولیه ، یک گفتگو با هدف انتخاب شده و با توجه به اطلاعاتی که از پیش به دست آورده،آغاز کند و اندخته های بیشتری از او جمع آوری کند.

۳) بازی (Play): هدف اصلی این فاز،ایجاد یک ارتباط قوی تر برای بهره برداری از ارتباط و دریافت اطلاعات مناسب از ارتباط از پیش آغاز شده می باشد. حفظ کردن این ارتباط ها یکی از کارهای دشوار در حملات مهندسی اجتماعی است.

۴) خروج (Exit): این فاز،آخرین فاز از پیاده سازی یک حمله به روش مهندسی اجتماعی است. باید دقت داشته باشید،که به گونه ای ارتباط خود را با هدف (ها) قطع کنید که هیچگونه شک و احساس بدی از سوی هدف نسبت به شما ایجاد نشود. چون بیشتر نفوذگران،فاز سوم را آخرین فاز در این حملات می دانند و این تفکر اشتباه باعث می شود که یک ردپا از خود در آن منطقه به جای بگذارد.

 

حمله مهندسی اجتماعی چيست؟

به منظور تدارک و يا برنامه ريزی يک تهاجم از نوع حملات مهندسی اجتماعی ، يک مهاجم با برقراری ارتباط با کاربران و استفاده از مهارت های اجتماعی خاص ( روابط عمومی مناسب ، ظاهری آراسته و ... ) ، سعی می نمايد به اطلاعات حساس يک سازمان و يا کامپيوتر شما دستيابی و يا به آنان آسيب رساند . يک مهاجم ممکن است خود را به عنوان فردی متواضع و قابل احترام نشان دهد . مثلا" وانمود نمايد که يک کارمند جديد است ، يک تعمير کار است و يا يک محقق و حتی اطلاعات حساس و شخصی خود را به منظور تائيد هويت خود به شما ارائه نمايد . يک مهاجم ، با طرح سوالات متعدد و برقراری يک ارتباط منطقی بين آنان،می تواند به بخش هائی از اطلاعات مورد نياز خود به منظور نفوذ در شبکه سازمان شما دستيابی پيدا نمايد . در صورتی که يک مهاجم قادر به اخذ اطلاعات مورد نياز خود از يک منبع نگردد ، وی ممکن است با شخص ديگری از همان سازمان ارتباط برقرار نموده تا با کسب اطلاعات تکميلی و تلفيق آنان با اطلاعات اخذ شده از منبع اول ، توانمندی خود را افزايش دهد . ( يک قربانی ديگر ! ) .

 

حمله Phishing چيست؟

Fishing که به معنای ماهی گیری است.یک سرگرمی بسیار جذاب به شمار می آید

اما زمانی که حرف اول آن تعییر می کند و به Phishing تبدیل می گردد چندان خوشایند نیست. در واقغ برای هرکس ممکن است اتفاق بیفتد که در دام حملات تحت فیشینگ گرفتار شود. فیشینگ به تلاش برای به دست آوردن اطلاعاتی مانند نام کاربری ، گذرواژه ، اطلاعات حساب بانکی و… با کمک جعل یک وب سایت، آدرس ایمیل و… گفته می شود.

اين نوع از حملات شکل خاصی از حملات مهندسی اجتماعی بوده که با هدف کلاهبرداری و شيادی سازماندهی می شوند. در حملات فوق از آدرس های Email و يا وب سايت های مخرب به منظور جلب نظر کاربران و دريافت اطلاعات شخصی آنان نظير اطلاعات مالی استفاده می گردد . مهاجمان ممکن است با ارسال يک Email با ظاهری قابل قبول و از يک شرکت معتبر کارت اعتباری  و يا موسسات مالی، از شما درخواست اطلاعات مالی را نموده  و اغلب عنوان نمايند که يک مشکل خاص ايجاد شده است و ما در صدد رفع آن می باشيم . پس از پاسخ کاربران به اطلاعات درخواستی، مهاجمان از  اطلاعات اخذ شده به منظور دستيابی به ساير اطلاعات مالی و بانکی  استفاده می نمايند.

 

نحوه پيشگيری از حملات مهندسی اجتماعی و کلاهبرداری

آيا شما از جمله افرادی می باشيد که به ظاهر افراد و نحوه برخورد آنان بسيار اهميت داده و با طرح صرفا" يک سوال از حانب آنان، هر آنچه را که در ارتباط با يک موضوع خاص می دانيد در اختيار آنان قرار می دهيد؟ رفتار فوق گرچه می تواند در موارد زيادی دستاوردهای مثبتی را برای شما بدنبال داشته باشد، ولی در برخی حالات نيز ممکن است چالش ها و يا مسائل خاصی را برای شما و يا سازمان شما، ايجاد نمايد. آيا وجود اينگونه افراد در يک سازمان مدرن اطلاعاتی ( خصوصا" سازمانی که با داده های حساس و مهم سروکار دارد ) نمی تواند تهديدی در مقابل امنيت آن سازمان محسوب گردد ؟ به منظور ارائه اطلاعات حساس خود و يا سازمان خود از چه سياست ها و رويه هائی استفاده می نمائيد ؟  آيا در چنين مواردی تابع مجموعه مقررات و سياست های خاصی می باشيد؟ صرفنظر از پاسخی که شما به هر يک از سوالات فوق خواهيد داد، يک اصل مهم در اين راستا وجود دارد که می بايست همواره به آن اعتقاد داشت : " هرگز اطلاعات حساس خود و يا سازمان خود را در اختيار ديگران قرار نداده مگر اين که مطمئن شويد که آن فرد همان شخصی است که ادعا می نمايد و می بايست به آن اطلاعات نيز دستيابی داشته باشد ."
به تلفن ها، نامه های الکترونيکی و ملاقات هائی که عموما" ناخواسته بوده و در آنان از شما درخواست اطلاعاتی خاص در مورد کارکنان و يا ساير اطلاعات شخصی می گردد ، مشکوک بوده و با ديده سوء ظن به آنان نگاه کنيد . در صورتی که يک فرد ناشناس ادعا می نمايد که از يک سازمان معتبر است ، سعی نمائيد با سازمان مورد ادعای وی  تماس گرفته و  نسبت به هويت وی کسب تکليف کنيد .

هرگز اطلاعات شخصی و يا اطلاعات مربوط به سازمان خود را ( مثلا" ساختار و يا شبکه ها ) در اختيار ديگران قرار ندهيد، مگر اين که اطمينان حاصل گردد  که فرد متقاضی مجور لازم به منظور دستيابی به اطلاعات درخواستی را  دارا می باشد.

هرگر اطلاعات شخصی و يا مالی خود را در يک email  افشاء نکرده و به نامه های الکترونيکی ناخواسته ای که درخواست اين نوع اطلاعات را از شما می نمايند ، پاسخ ندهيد( به لينک های موجود در اينگونه نامه های الکترونيکی ناخواسته نيز توجهی نداشته باشيد).

 

هرگز اطلاعات حساس و مهم شخصی خود و يا سازمان خود را بر روی اينترنت ارسال ننمائيد . قبل از ارسال اينگونه اطلاعات حساس ، می بايست Privacy  وب سايت مورد نظر به دقت مطالعه شده تا مشخص گردد که اهداف آنان از جمع آوری اطلاعات شخصی شما چيست و نحوه برخورد آنان با اطلاعات به چه صورت است ؟

 

دقت لازم در خصوص آدرس URL يک وب سايت را داشته باشيد. وب سايت های مخرب ممکن است خود را مشابه يک وب سايت معتبر ارائه نموده که آدرس URL آنان دارای تفاوت اندکی با وب سايـت های شناخته شده باشد . وجود تفاوت اندک در حروف استفاده شده برای نام سايت و يا تفاوت در  domain، نمونه هائی در اين زمينه می باشند ( مثلا" com . در مقابل net .) .

در صورت عدم اطمينان از معتبر بودن يک Email دريافتی،  سعی نمائيد با برقراری تماس مستقيم با شرکت مربوطه  نسبت به هويت آن اطمينان حاصل نمائيد. از اطلاعات موجود بر روی يک سايت مخرب به منظور تماس با آنان استفاده نمائيد چراکه اين اطلاعات می تواند شما را به مسيری ديگر هدايت نمايد که صرفا" اهداف مهاجمان را تامين نمايد . به منظور آگاهی از اين نوع حملات که تاکنون بوقوع پيوسته است، می توانيد به آدرس   دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
،مراجعه  نمائيد.

 

با نصب و نگهداری نرم افزارهای آنتی ويروس، فايروال ها و فيلترينگ نامه های الکترونيکی ناخواسته ( spam )، سعی نمائيد يک سطح حفاظتی مناسب به منظور کاهش اين نوع حملات را ايجاد نمائيد .

 

اقدامات لازم در صورت بروز تهاجم

در صورتی که فکر می کنيد به هر دليلی اطلاعات حساس سازمان خود را در اختيار ديگران ( افراد غير مجاز ) قرار داده ايد، بلافاصله موضوع را به اطلاع افراد ذيربط شاغل در سازمان خود ( مثلا مديران شبکه ) برسانيد . آنان می توانند در خصوص هر گونه فعاليت های غيرمعمول ويا مشکوک،هشدارهای لازم را در اسرع وقت در اختيار ديگران قرار دهند .در صورتی که فکر می کنيد اطلاعات مالی شما ممکن است در معرض تهديد قرار گرفته شده باشد، بلافاصله با موسسه مالی خود تماس حاصل نموده و تمامی حساب های مالی در معرض تهديد را مسدود نمائيد. در اين رابطه لازم است دقت، حساسيت و کنترل لازم در خصوص هر گونه برداشت از حساب های بانکی خود را داشته باشيد .گزارشی در خصوص نوع تهاجم را تهيه نموده و  آن را در اختيار سازمان های ذيربط قانونی قرار دهيد.