, ,

مهندسی اجتماعی چیست؟ تکنیک های ورود به سازمانها توسط مجرمین

مهندسی اجتماعی چیست ؟ تکنیک های ورود به سازمان

« مهندسی اجتماعی » یا Social Engineering اساسا عبارت است از: هنر دسترسی به ساختمان ها، سیستم ها یا داده ها با بهره برداری از روان شناسی انسانی بدون نفوذ یا استفاده از تکنیک های هک فنی.  به عنوان مثال، یک مهندس اجتماعی به جای تلاش برای یافتن یک آسیب پذیری نرم افزاری، با تظاهر به اینکه یک شخص پشتیبان IT است، تلاش می کند تا یک یا چند کارمند را به منظور افشای رمز عبور خودشان فریب دهد.

حتی اگر در هوشیاری و آمادگی کامل باشید، زمانی که نوبت به حفاظت از مرکز داده ها، توسعه های ابری و امنیت ساختمان تان میرسد، با وجود اینکه بر روی فناوری های دفاعی سرمایه گذاری کرده اید و سیاست های امنیتی و فرایند های مناسب را در اختیار گرفته و کارامدی آنها را سنجیده و به طور مرتب ارتقایشان داده اید، باز هم یک مهندس اجتماعی میتواند راه خودش را باز کرده و به هدفش برسد.

در اینجا به برخی از سوالات متداول در مورد مهندسی اجتماعی از جمله تاکتیک های ورود به سازمان ها توسط مجرمین می پردازیم، و برای اینکه امنیت کارکنان خود را تضمین کنید، راهنماییتان میکنیم.

مهندسی اجتماعی چیست؟

مهندسان اجتماعی از رفتار انسانی استفاده می کنند تا کلاهبرداری کنند. آنها اگر بخواهند وارد ساختمانی شوند، نگران سیستم شناسایی و ورود نمیشوند. آنها مستقیم وارد شده و با اطمینان از کسی می خواهند که به آنها کمک کند تا داخل شوند. و آن‌وقت فایروال یا آنتی ویروس چه میشود؟ خب، فایروال در این موقع معنای چندانی نخواهد داشت. گاهی نیز کاربران شما برای کلیک کردن روی یک لینک مخرب فریب خورده اند و فکر می کنند که لینک از یک دوست فیسبوکی یا LinkedIn آمده است.

Kevin Mitnick، هکر معروف، موجب معنا بخشی به اصطلاح “مهندس اجتماعی” در دهه ۹۰ بوده است. البته در معنایی کلی تر این اصطلاح از زمانی که کلاه بردارهای هنرمند از هر نوعی وجود داشته اند، ایجاد شده است.

شرکت من چگونه در معرض خطر است؟

مهندسی اجتماعی ثابت کرده است که یک راه بسیار موفق برای ورود یک مجرم به “درون” سازمان شماست. هنگامی که یک مهندس اجتماعی، رمز عبور کارمند مورد اعتماد را داشته باشد، می تواند به سادگی وارد سیستم های اطلاعاتی حساس شود. با استفاده از کارت یا کد دسترسی به منظور ورود فیزیکی به داخل تسهیلات، مجرم می تواند به داده ها دسترسی پیدا کرده، دارایی ها را سرقت کرده و یا حتی به مردم آسیب برساند.

Chris Nickerson، بنیانگذار Lares،شرکت کلرادویی مشاوره امنیتی، ‘red team testing’ را با استفاده از تکنیک های مهندسی اجتماعی برای مشتریان انجام می دهد تا ببینند که آن شرکت تا چه حد آسیب پذیر است. Nickerson برای ما توضیح داد که ورود به یک ساختمان و بدون هیچ پرسشی، تا چه حد آسان است. در شرکت اف سکیور فنلاند این کار بر عهده گروه Red Team است که با مهندسی اجتماعی به سازمان ها و اطلاعات آنها دسترسی پیدا کرده و آسیب پذیری های سازمان را به مدیران مربوطه گزارش می دهند. در این فیلم قسمتی از فعالیت هایی که این تیم برای شناسایی نقاط آسیب پذیر سازمان انجام می شود را می توانید مشاهده نمایید.

 

Nickerson در یک آزمایش نفوذ، از رویدادهای موجود و اطلاعات عمومی موجود در سایت های شبکه اجتماعی و یک پیراهن سیسکو  ۴ دلاری که از بازارچه خیریه تهیه کرده بود، برای آماده شدن برای ورود غیر قانونی خود استفاده کرد. پیراهنش، پذیرش ساختمان و سایر کارکنان را متقاعد کرد که او یکی از کارمند سیسکو است که مشغول بازدید برای پشتیبانی فنی میباشد. هنگامی که وارد شد، توانست اعضای غیرقانونی تیمش را نیز وارد کند. او همچنین موفق شد چندین USB  حامل بدافزار را از خود به جا بگذارد در شبکه شرکت را هک کند . او تمام این کار ها را جلوی چشم کارمندان دیگر انجام داد.

Chris Blow، مدیر بخش امنیت تهاجمی در شرکت بیمه لیبرتی میچوال میگوید: “مردم ذاتا می خواهند اعتماد کنند، این چیزی است که یک حمله موفق مهندسی اجتماعی را به بار می آورد. اگر کسی یک ایمیل به همکارش بفرستد و بگوید که همکار دیگرش این را برایش فرستاده، اغلب مردم به آن اعتماد میکنند و نگاهی به ایمیل می اندازند، خصوصا اگر به چیزی یا فردی واقعی و خاص مربوط باشد.”

او ادامه میدهد: ” زمانی که می گویند این ایمیل از کسی است که به نظر یک همکار است، اکثر مردم آن ایمیل را باز خواهند کرد. آنها بر روی هرآنچه که در متن ایمیل نیز وجود دارد کلیک می کنند.”

این مثالی درباره ایمیل بود، اما چرا این حمله ها به همان اندازه به صورت تلفنی یا حضوری موفق هستند؛ مثل زمانی که کسی از یک همکار یا بهانه دیگر استفاده میکند؟

Blow میگوید: “مردم نمی خواهند به اقدامات فرد دیگری شکاک باشند. اکثر مردم می خواهند مهربان و محترم باشند و به خصوص در محیط کاری نرمخو باشند. مثلا اگر من به عنوان یک مدیر عصبانی تماس بگیرم و بگویم ” چرا این هفته کار مرا راه نینداختید؟ شما چه غلطی میکنید؟” هیچ کس دیگر به کار شما اهمیتی نمیدهد به خصوص اگر کارتان ضروری باشد.

 

برخی از نمونه هایی از آنچه مهندسان اجتماعی می گویند یا انجام می دهند چیست؟

اغلب اوقات، مجرمان قبل از اینکه به دم در آن مکان بروند یا حتی تماس بگیرند، هفته ها و ماه ها زمان میگذارند تا با آنجا آشنا شوند. آماده سازی آنها شامل پیدا کردن لیست تلفن های شرکت یا فهرست سازمان و جستجو برای پیدا کردن کاربران آنجا در شبکه های اجتماعی مثل فیسبوک میباشد.

در این فیلم نیز می توانید نوع دیگری از مهندسی اجتماعی را ببینید که چگونه ممکن است این افراد وارد سازمان شما شده و منابع شما را در اختیار خود بگیرند

 

 

پشت تلفن: یک مهندس اجتماعی ممکن است تماس بگیرد و وانمود کند که یک کارمند دیگر یا یک مقام قابل اعتماد و خارج از مجموعه میباشد (مانند مجری قانون یا حسابرس).

Sal Lifrieri، یک مامور پلیس شهر نیویورک با سابقه ۲۰ ساله است که در حال حاضر از طریق سازمانِ  Protective Operations شرکت ها را با توجه به مهندسی اجتماعی مطالعه میکند. طبق گفته های وی، این جنایتکاران تلاش می کنند تا از طریق آشنایی، موجب راحتی شخص شوند. آنها ممکن است زبان صنفی و ویژه ی آن شرکت را یاد بگیرند، بنابراین شخص از طرف دیگر فکر می کند که آنها خودی هستند. یکی دیگر از تکنیک های موفقیت آمیز، ضبط موسیقی «آوای انتظاری» است که شرکت زمانی که تماس گیرندگان منتظر تلفن هستند استفاده می کند.

ترفند های بیشتر مهندسان اجتماعی را در این لینک بخوانید: Social Engineering: Eight Common Tactics.

 

در دفتر کار: همانگونه که در فیلم Red Team F-Secure نیز مشاهده کردید این مجرم با تظاهر به اینکه نردبان در دست دارد می گوید ” آیا میتوانید در را برای من نگه دارید؟ کلید/کارت دسترسی ام همراهم نیست.”

هرچند وقت یک بار این جمله ها را در ساختمان محل کارتان می شنوید؟  گرچه ممکن است فرد درخواست کننده مشکوک به نظر نرسد، اما این یک تاکتیک رایج است که توسط مهندسان اجتماعی استفاده می شود.

در همان تمرین که نیکرسون از پیراهن بازارچه خیریه استفاده کرد تا به داخل ساختمان برسد، یکی از اعضای تیم او، در بیرون منتظر ایستاد درست نزدیک جایی که مخصوص سیگار کشیدن کارکنان در زمان استراحتشان بود. با فرض بر این که این فرد یکی از همکاران سیگاری است، کارکنان واقعی بدون هیچ گونه سؤالی به او اجازه دادند که داخل شود. نیکرسون میگوید: “سیگار بهترین دوست یک مهندس اجتماعی است.”

بر طبق گفته نیکرسون، این نوع چیزها همیشه در حال وقوع هستند. این تاکتیک تحت عنوان tailgating شناخته شده است. بسیاری از مردم از دیگران نمیخواهند که ثابت کند که آنها مجوز حضور در آنجا را دارند. او میگوید حتی در مکانهایی که نشان ها و یا سایر مدارک لازم برای رفتن به تالارها نیاز است، جعل آسان است.

“من معمولا از عکاسی با کیفیت بالا استفاده می کنم تا علامت های شناسایی را به شکل واقعی به نظر برسانم آنطور که قرار است در آن محیط باشم، اما آنها اغلب حتی بررسی هم نمیشوند. حتی زمانی را تجربه کرده ام که روی لباسم نوشته شده بود” مرا بینداز بیرون” ولی  بازهم مورد سوال قرار نگرفتم.”

 

به صورت آنلاین: Blow می گوید شبکه های اجتماعی حملات مهندسی اجتماعی را آسان تر کرده اند. “ما شبکه های اجتماعی مختلفی داریم که از طریقشان میتوانیم هم اکنون اطلاعات را جمع آوری کنیم. در گذشته، قبل از فیس بوک و توییتر، اگر می خواستید اطلاعاتی در مورد شرکت ها پیدا کنید، چیز زیادی در اینترنت پیدا نمی کردید. این امر موجب میشد که یک مکان را برای هفته ها تحت نظر داشته باشیم تا برخی کارکنان را ببینیم و بفهمیم که آنجا چه خبر است. این تکنیک هکرهای تازه کار بوده است.”

اما امروز مهندسین و مهاجمان اجتماعی چنین ابزارهایی دارند و می توانند به سایت هایی مانند LinkedIn بروند و همه کاربران را که در یک شرکت کار می کنند پیدا کنند و اطلاعات زیادی را جمع آوری کنند که بتواند برای حمله بیشتر استفاده شود. “اکنون چند دقیقه کافی است که من یک مهندس مهندسی اجتماعی خوب را انجام دهم در حالیکه در گذشته، روزها و هفته ها زمان نیاز بود. و اگر من صد ایمیل فیشینگ برایشان ارسال کنم، براساس اطلاعات جمع آوری شده، احتمال قریب به یقین رکورد خوبی را به دست می آورم. ”

Shane MacDougall، مدیر کل شرکت Tactical Intelligence میگوید: “موفق ترین تکنیک های مهندسی اجتماعی برای من معمولا کسانی هستند که من را به عنوان یک فرد در یک موقعیت همکار قرار می دهند و به دنبال کمک هستند. من طرفدار بهانه های برتری طلبانه نیستم (به عنوان مثال، من یک رئیس یا مقام اجرایی هستم که به کمک نیاز دارم). من در مورد هدفم تحقیق می کنم و به عنوان یک همکار نشان میدهم که دچار خطا شدم. این امر معمولا باعث ایجاد یک پیوند بین خود و هدف می شود و باعث میشود که اطلاعات به جریان بیفتد. ”

هنگامی که بحث کلاهبرداری آنلاین به میان می آید، مهندسان اجتماعی هم ترس و هم کنجکاوی را به کار میگیرند، مانند ارسال ایمیل های فیشینگ که از هدف می پرسد که فیلم خود را دیده اند، یا کلاهبرداران فنی که ادعا می کنند کامپیوتر هدف مورد نقض قرار گرفته است. عبور کردن از این کلاهبرداریها برای بسیاری غیرممکن است.

مهندسان اجتماعی نیز از رویدادهای خبری، تعطیلات، فرهنگ عامه و سایر دستگاه ها برای جلب قربانیان استفاده می کنند. کلاهبرداران اغلب از موسسات خیریه جعلی استفاده می کنند تا اهداف مجرمانه خود را در نزدیکی روز های تعطیلات افزایش دهند.

مهاجمان همچنین حملات فیشینگ را طوری طراحی کردند که کاربران بیشتری بر روی لینک مخرب کلیک کنند. آنها از موضوعات سرگرم کننده مانند هنرمندان، بازیگران، موزیک، سیاست، فعالیت های بشردوستانه استفاده کردند. وی می گوید: “چنین تاکتیک هایی نیز در شبکه های اجتماعی استفاده می شود. شاید مهاجم یک برنامه فیسبوک جعلی را که برای برداشتن اطلاعات طراحی شده است ایجاد کند. به منظور جذب کاربر این مورد می تواند بر اساس علایق کاربر طراحی شده باشد که خودش آنها را بیان کرده و یا شما از طریق مخاطبانش فهمیده اید. سپس شما می توانید با توجه به افراد مرتبط به او، مجموعه ای از هدف های ایده آل ایجاد کنید.”

 

چگونه می توانم کارکنانم را برای جلوگیری از مهندسی اجتماعی آموزش دهم؟

آگاهی، اولین معیار دفاع است. کارکنان باید آگاه باشند که این روش وجود دارد و با رایج ترین تکنیک های مورد استفاده آشنا شوند.

خوشبختانه، آگاهی درباره مهندسی اجتماعی به خود شکل داستان می بخشد. و داستان ها بسیار ساده تر و بسیار جالب تر از توضیحات نقص فنی میباشند. موفقیت کریس نیکرسون به عنوان یک تکنسین نمونه ای از یک داستان است که پیام را در یک راه جالب منتقل میکند. امتحانات و پوسترهای طنز آمیز و جذاب نیز یادآوری موثر درباره این است که همه افراد، آن چیزی که ادعا میکنند، نیستند.

Lifrieri میگوید: ” من در جلسات آموزشیم ، به مردم می گویم که همیشه باید کمی متوهم باشید، زیرا شما هرگز نمی دانید که دیگران از شما چه چیزی میخواهند.” هدف قرار دادن کارکنان “با کارکنان خدمات و یا نگهبان دروازه ای که تمام مدت به پارکینگ نگاه می کنند، شروع می شود. به همین دلیل آموزش لازم باید به آنها داده شود.”

ترفندهای مهندسی اجتماعی همیشه در حال تکامل هستند و آموزش آگاهی باید تازه و به روز باشد. به عنوان مثال، همان طور که سایت های شبکه های اجتماعی رشد و تکامل می یابدن، مهندسان اجتماعی سعی در استفاده از آنان  دارند.

اما فقط کارمندان معمولی نیستند که باید از مهندسی اجتماعی آگاهی داشته باشد. رهبر ارشد و مدیران ارشد نیز اهداف مورد نظر مهاجمین هستند. برای آگاهی از دوره های آموزشی برای کارکنان با سایسک در ارتباط باشید و همچنین از سرفصل های دوره های امنیتی ما که برای سازمان ها در نظر گرفته ایم نیز مطلع شوید.

 

مرتبط : چگونه می توان یک شرکت رو به رشد را هک کرد؟

 


مهندسی اجتماعی چیست؟ تکنیک های ورود به سازمانها توسط مجرمین


 

1 پاسخ
  1. سودابه
    سودابه says:

    خیلی کامل و خوب در مورد مهندسی اجتماعی توضیح دادید. فیلم ها هم خیلی خوب موضوع رو نشون می داد. ممنون




    2



    0
    پاسخ

تعقیب

دیدگاه خود را ثبت کنید

Want to join the discussion?
Feel free to contribute!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *