مقالات

روش‌های مهندسی اجتماعی: از ابزار تا کلام

مهندسی اجتماعی یکی از تهدیدات مهم و اساسی در جوامع مجازی و ابزاری موثر برای حمله به سیستم‌های اطلاعاتی و رایانه­‌ها و دستگاه‌های مبتنی برشبکه در سازمان­‌ها، شرکت­‌های بزرگ و کوچک و منازل است. سرویس‌های مورد استفاده توسط کارگران ­اطلاعاتی، زمینه اجرای حملات مهندسی اجتماعی پیچیده را فراهم می‌کنند.

تمایل روز افزون به پیاده‌سازی سیاست‌های BYOD (دستگاه خودتان را به محل کار بیاورید) و استفاده از ابزارهای مشارکتی و ارتباطی آنلاین در محیط‌‌های خصوصی و کاری منجر به تشدید این مسئله شده است. در شرکت­‌هایی که در سطح جهانی فعالیت دارند، تمام اعضای تیم کاری در یک مکان قرار ندارند و فقط از پتانسیل‌های ضروری آنها استفاده می‌شود.

کاهش تعاملات رو در رو از یک سو و از سوی دیگر افزایش چشم‌گیر شبکه­‌های اجتماعی و ارتباطی (مثل پست الکترونیک، پیام رسان‌های فوری، اسکایپ، دراپ باکس، لینکداین، اینستاگرام و غیره) منجر به شکل گیری مسیرهای متنوعی برای اجرای حملات مهندسی اجتماعی شده است. حملات متنوع علیه شرکت­‌های بزرگ اروپایی و آمریکایی  نشان داد که حمله فیشینگ یکی از انواع حملات مهندسی اجتماعی کارآمد و انقلابی است. این نوع حمله در ترکیب با اکسپلویت‌های روز صفر تبدیل به سلاحی خطرناک شده‌اند که این شرکت­‌ها را تهدید می­‌نمایند.

ما در این مقاله بررسی جامعی از حملات مهندسی اجتماعی شناخته شده و همچنین حملات مهندسی اجتماعی پیشرفته‌ای که علیه کارگران اطلاعاتی صورت می‌گیرد، ارایه خواهیم کرد.

 

مقدمه:

امروزه اینترنت، تبدیل به بزرگترین رسانه تبادل اطلاعات و ارتباطات شده است. در زندگی روزمره ما، ارتباطات از طریق کانال‌های ارتباطی آنلاین مختلفی صورت می‌گیرند. علاوه بر ارتباطاتی که از طریق ایمیل و پیام رسان‌های فوری صورت می‌گیرند، سرویس‌های وب مثل توییتر، فیس‌بوک و سایر سایت‌های شبکه‌های اجتماعی تبدیل به بخش مهمی از ارتباطات خصوصی و کاری روزمره ما شده‌اند. شرکت­‌ها انتظار دارند که کارمندانشان از نظر فضایی که در آن کار می‌کنند قابلیت انعطاف و جابجایی زیادی داشته باشند و میزان استفاده از دستگاه‌های متعلق به خود کارمندان و دانش‌ورزان، هم در محیط کار و هم خارج آن (برای کار) افزایش یافته است. این افزایش انعطاف پذیری و کاهش ارتباطات رو در رو و فضای اداری مشترک به معنی افزایش حجم داده‌هایی است که باید از طریق کانال‌های آنلاین بین همکاران به اشتراک گذاشته شود. توسعه سرویس‌های ابر و سرویس‌های دسترسی به داده‌ها منجر به تحولاتی در زمینه به اشتراک گذاری فایل و ارتباطاتی شده است که امروزه بیشتر از طریق یک نهاد واسط (شخص ثالث) صورت می‌گیرند؛ این نهاد واسط می‌تواند یک شبکه اجتماعی یا هر پلتفرم دیگری باشد.

در این دنیای ارتباطات مردم در ابزارهای همکاری و ارتباطی آنلاین مثل سرویس‌های ابر و شبکه‌های اجتماعی، آزادانه اطلاعات را منتشر می‌کنند؛ بدون این که به امنیت و حریم خصوصی فکر کنند. افراد اطلاعات و اسناد بسیار حساس را از طریق سرویس‌های ابری با سایر کاربران مجازی در سراسر جهان به اشتراک می‌گذارند. در اکثر مواقع، کاربران فرد مقابل را قابل اطمینان در نظر می‌گیرند حتی اگر تنها آیتم‌های شناسایی و تعیین هویتی که از آنها دارند یک ایمیل آدرس یا یک پروفایل مجازی باشد.

 در سال‌های اخیر، از آسیب‌پذیری‌های امنیتی کانال‌های اشتراک داده و ارتباط آنلاین برای نشت اطلاعات حساس سوءاستفاده شده است. امکان رفع این آسیب‌پذیری‌ها و تقویت امنیت این کانال‌ها وجود دارد. اما در مواقعی که مهندسین اجتماعی با افکار کاربران بازی می‌کنند، قدرت روش‌های تقویت امنیت از بین می‌رود. اصطلاح کارگران اطلاعاتی بیش از ۵۰ سال پیش توسط Peter Drucker ابداع شد و هنوز هم از آن برای توصیف کارمندانی که سرمایه اصلی آنها دانش است، مورد استفاده قرار می‌گیرد.

قدرتمندترین ابزاری که یک مهاجم می‌تواند از آن جهت دستیابی به این دانش استفاده کند، مهندسی اجتماعی است. مهندسی اجتماعی یعنی بازی با افکار یک فرد (شستشوی مغزی) برای ارایه اطلاعات به مهندس اجتماعی یا هکر. این روش نسبت به بسیاری دیگری از روش‌های هک قدرتمندتر است، از این جهت که می‌توان با استفاده از آن حتی به ایمن‌ترین سیستم‌ها رخنه کرد زیرا خود کاربران آسیب‌پذیرترین بخش سیستم هستند.

تحقیقات نشان داده که در بسیاری از مواقع می‌توان مهندسی اجتماعی را به آسانی اتوماسیون کرد و به این ترتیب می‌توان آن را در مقیاس بزرگ انجام داد. مهندسی اجتماعی تبدیل به خطری رو به رشد در جوامع مجازی شده است. شرکت‌های چند ملیتی و آژانس‌های خبری هم قربانی حملات هدفمند پیچیده‌ای شده‌اند که علیه سیستم‌های اطلاعاتی آنها اجرا شده است.

بسیاری از کاربران پی‌پال ایمیل‌های فیشینگی دریافت کرده و عده زیادی اطلاعات محرمانه خودشان مثل شماره کارت اعتباری را در دسترس مهاجمین قرار داده‌اند. به چنین حملاتی که علیه دارایی‌های با ارزش صورت می‌گیرند، تهدید پیشرفته و مستمر (APT[۳]) گفته می‌شود. در اغلب مواقع APTها متکی بر یک مسیر حمله مشترک هستند یعنی حملات مهندسی اجتماعی مثل فیشینگ هدفمند. با توجه افزایش گزارشات رسانه‌ای درباره حوادث امنیتی جدی، سطح آگاهی افراد نسبت به مسائل امنیتی و روش‌های محافظت از حریم خصوصی افزایش یافته است.

به عنوان مثال، میزان آگاهی نسبت به حملات مهندسی اجتماعی از طریق ایمیل که بدون شک پرکاربردترین کانال ارتباطی در اینترنت است و هر روزه هدف انواع کلاهبرداری و حملات مهندسی اجتماعی قرار می‌گیرد، در بین کاربران افزایش یافته است. اما هنوز سطح آگاهی نسبت به مهندسی اجتماعی در سرویس‌های ابر و شبکه‌های اجتماعی نسبتاً کم است.

محورهای اصلی این مقاله عبارتند از:

  1. ارتباط بین کارگران اطلاعاتی و مهندسی اجتماعی
  2. طبقه‌بندی حملات مهندسی اجتماعی
  3. بررسی جامع از مسیرهای حمله فعلی برای مهندسی اجتماعی
  4. تشریح حوادث واقعی ناشی از حملات مهندسی اجتماعی موفق

هدف این مقاله ارائه یک بررسی جامع و کامل از حملات مهندسی اجتماعی علیه کارگران اطلاعاتی است، طبقه‌بندی ارایه شده توسط ما متشکل از کارهای موجود در این رشته و توسعه و تعمیم آنهاست.

مهندسی اجتماعی

مهندسی اجتماعی (SE)

مهندسی اجتماعی، هنر متقاعد کردن کاربران برای نفوذ به سیستم‌های اطلاعاتی است. مهندسین اجتماعی به جای استفاده از حملات فنی علیه سیستم‌ها، انسان‌هایی را که به اطلاعاتی خاص دسترسی دارند، مورد هدف قرار داده و آنها را تشویق به افشای اطلاعات حساس می‌کنند و یا حتی حملات مخربشان را از طریق نفوذ به افراد و متقاعد کردن آنها اجرا می‌کنند. به‌علاوه، معمولاً مردم تصور می‌کنند که در شناسایی چنین حملاتی مهارت دارند.

تحقیقات نشان می‌دهند که مردم در شناسایی دروغ و فریب عملکرد ضعیفی دارند. حملات مشهور Kevin Mitnick نشان داد که حملات مهندسی اجتماعی پیچیده چقدر برای امنیت اطلاعات سازمان‌های دولتی و کمپانی‌ها خطرناک هستند. وقتی در رشته امنیت کامپیوتر و اطلاعات درباره مهندسی اجتماعی صحبت می‌شود معمولاً سعی می‌شود این آموزش از طریق مثال و داستان انجام شود. اما در سطح بنیادی‌تر، یافته‌های مهمی در رابطه با روانشناسی اجتماعیِ اصول متقاعد کردن به دست آمده است. هر چند مثال‌های Cialdini متمرکز بر متقاعد کردن در بازاریابی هستند، اما اصول بنیادی آن برای هر فردی که به دنبال شناسایی طرز عملکرد فریب و متقاعد کردن افراد است، بسیار مهم هستند.

انواع حملات مهندسی اجتماعی:

حملات مهندسی اجتماعی جنبه‌های مختلفی دارند که شامل جنبه‌های فیزیکی، اجتماعی و فنی می‌شوند و در مراحل مختلف حمله از آنها استفاده می‌شود. در این بخش روش‌های مختلف مورد استفاده مهاجمین را توضیح می‌دهیم.

روش‌های فیزیکی

همانطور که از نام این روش‌ها پیداست در این روش‌ها مهاجم به نوعی یک اقدام فیزیکی را انجام می‌دهد تا اطلاعاتی را درباره قربانی جمع‌آوری کند. این اطلاعات می‌توانند شامل اطلاعات شخصی (مثل شماره تامین اجتماعی و تاریخ تولد) یا اطلاعات لاگین و ورود به یک سیستم کامپیوتری باشند. یکی از روش‌های پر کاربرد، شیرجه در زباله یعنی جستجوی زباله‌های یک سازمان (کاغذهای پاره شده) است.

چنین حمله‌ای می‌تواند یک منبع اطلاعاتی ارزشمند برای مهاجمین باشد و از این طریق به اطلاعات شخصی مربوط به کارمندان، دفترچه‌های راهنما، یادداشت‌ها و حتی نسخه‌های چاپی اطلاعات حساس مثل اطلاعات لاگین کاربران، دست پیدا کنند. اگر مهاجمی بتواند به دفاتر سازمان مورد هدف دسترسی پیدا کند، ممکن است اطلاعاتی مثل پسوردها را به صورت نوشته شده روی برگه‌های یادداشت پیدا کند. حملات فیزیکی با پیچیدگی کمتر شامل سرقت اطلاعات یا اخاذی برای دستیابی به اطلاعات هستند.

حملات مهندسی اجتماعی

 روش‌های اجتماعی

مهم‌ترین جنبه حملات مهندسی اجتماعی موفق، جنبه اجتماعی آنهاست. از این مرحله به بعد، مهاجم بر تکنیک‌های روانشناسی مثل اصول متقاعد کردن برای شستشوی مغزی قربانی متکی است. یک نمونه از روش‌های متقاعد کردن استفاده از قدرت (ادعایی) است. یکی از روش‌ها، کنجکاوی است که از آن در حملات فیشینگ هدفمند و طعمه گذاشتن (baiting) استفاده می‌شود. برای افزایش احتمال موفقیت چنین حملاتی، مجرمان اغلب سعی می‌کنند یک رابطه با قربانیان آینده‌شان برقرار کنند. طبق مطالعه گارتنر، جدیدترین نوع حملات مهندسی اجتماعی، حملاتی هستند که از طریق تلفن اجرا می‌شوند. جاگذاری فلش در سازمان برای توسعه بد‌افزار روش دوم این افراد است.

مهندسی اجتماعی معکوس

در این روش به جای برقراری تماس مستقیم با قربانی، مهاجم سعی می‌کند قربانی را به این باور برساند که وی یک شخص یا موجودیت قابل اطمینان است. هدف این است که قربانی سعی کند به مهاجم نزدیک شود، مثلاً از او تقاضای کمک کند. به این روش غیر مستقیم، مهندسی اجتماعی معکوس هم گفته می‌شود که از سه مرحله تشکیل شده است: یک خرابکاری عمدی، تبلیغ و کمک رسانی.

اولین مرحله در این حمله، خرابکاری در سیستم کامپیوتری سازمان است. این خرابکاری‌ها بسیار متنوع هستند و از موارد ساده‌ای مثل قطع کردن ارتباط فرد با شبکه سازمان تا موارد پیچیده‌ای مثل دستکاری اپلیکیشن‌های نرم‌افزاری قربانی هستند. سپس مهاجمین تبلیغاتی می‌کنند مبنی بر این که قادر به حل مشکل هستند. وقتی قربانی از آنها تقاضای کمک می‌کند، مهندس اجتماعی مشکلی را که قبلاً خودش ایجاد کرده رفع می‌کند و همزمان پسورد قربانی را از او درخواست می‌کند (تا بتواند مشکل را حل کند) یا به وی می‌گوید نرم‌افزار خاصی را نصب کند.

روش‌های فنی

روش‌های فنی عمدتاً از طریق اینترنت انجام می‌شوند. گارتنر خاطر نشان شده با توجه به این که کاربران در بسیاری موارد از رمز عبور یکسان (و ضعیف) برای حساب های کاربری مختلف استفاده می‌کنند، اینترنت برای مهندسین اجتماعی ابزاری جذاب جهت دستیابی به پسوردها است. اکثر افراد توجه ندارند که آزادانه اطلاعات شخصی بسیاری را در اختیار مهاجمین (یا هر کسی که آن را جستجو می‌کند) قرار می‌دهند. مهاجمین در اغلب اوقات از موتورهای جستجو برای جمع‌آوری اطلاعات شخصی درباره قربانیان آینده‌شان استفاده می‌کنند. همچنین، ابزارهایی وجود دارند که قادر به جمع‌آوری و تجمیع اطلاعات از منابع اینترنتی مختلف هستند.

روش‌های فنی- اجتماعی

در حملات اجتماعی موفق اغلب موارد ترکیبی از روش‌های مختلفی که در بالا مورد بررسی قرار گرفتند، استفاده می‌شوند. اما روش‌های فنی – اجتماعی منجر به ایجاد قوی‌ترین سلاح‌ها برای مهندسین اجتماعی شده‌اند. یک نمونه از این روش‌ها، به نام حمله طعمه گذاری شناخته می‌شود که در آن مهاجمین یک رسانه ذخیره اطلاعات آلوده به بدافزار را در محلی قرار می‌دهند که احتمال پیدا کردن آن توسط قربانی وجود دارد. ممکن است یک درایو USB آلوده به تروجان باشند.

به‌علاوه، مهاجمین سعی می‌کنند با استفاده از برچسب‌های وسوسه انگیزی مثل “محرمانه” یا “کارمندان اخراجی ۱۳۹۸” از حس کنجکاوی افراد استفاده کنند. فیشینگ یکی دیگر از ترکیبات متداول روش‌های اجتماعی و فنی است. معمولاً فیشینگ از طریق ایمیل و یا پیام رسان‌های فوری انجام می‌شود و مثل اسپم گروه بزرگ‌تری از کاربران را مورد هدف قرار می‌دهد. اما در مقابل، مهندسی اجتماعی معمولاً افراد خاص یا گروه‌های کوچکتری از افراد را مورد هدف قرار می‌دهد. تبهکاران امیدوارند که با ارسال پیام به تعداد زیادی از کاربران بتوانند عده زیادی را فریب دهند تا حمله آنها سودآور باشد.

حملات فیشینگ هدفمند، متشکل از پیام‌های به‌شدت هدفمندی هستند که پس از یک داده کاوی اولیه انجام می‌شوند. در برخی از مقالات از وب‌سایت‌های شبکه‌های اجتماعی برای استخراج اطلاعات درباره دانشجویان استفاده کرده و سپس پیامی به آنها ارسال کردند که به نظر می‌رسید توسط یکی از دوستان ارسال شده است. آنها توانستند با استفاده از چنین داده‌های اجتماعی، نرخ موفقیت فیشینگ را از ۱۶ به ۷۲ درصد برسانند. بنابراین، فیشینگ هدفمند ترکیبی از روش‌های تکنولوژیکی و مهندسی اجتماعی محسوب می‌شود.

حملات مهندسی اجتماعی

همکاری با گروه فناوری

کارمندان و کسب‌و‌کارها طیف وسیعی از تکنولوژی‌های مختلف را برای تسهیل، خودکار کردن و ارتقای کارهای روزمره مورد استفاده قرار می‌دهند. همچنین، ما شاهد ظهور زیرساخت‌های کسب‌و‌کار مشارکتی هستیم از جمله ابزارهای همکاری کامپیوتری که برای به اشتراک گذاری فایل‌ها مورد استفاده قرار می‌گیرند ، ارتباطات داخلی یا خارجی، وبلاگ‌ها، ویکی‌ها و غیره که به کارمندان کمک می‌کند با مدیران سازمان و مشتریان ارتباط برقرار کرده، اطلاعات مختلفی را درباره کل مدت کسب و کار با هم تبادل کنند و یک کانال ارتباطی پایدار برای مشتریان و شرکای سازمان ایجاد می‌کنند.

با توجه به طیف وسیع کانال‌های ارتباطی مختلفی که توسط این ابزارهای همکاری کامپیوتری ایجاد شده‌اند، حملات مهندسی اجتماعی پتانسیل زیادی برای حمله دارند. اما در محیط کسب‌و‌کار، ما بین ارتباطات اداری و ارتباطات خارجی تمایز قائل می‌شویم. به این ترتیب می‌توانیم قابلیت یک قربانی برای شناسایی یک حمله مهندسی اجتماعی را ارزیابی کنیم.

 ارتباطات اداری

ابزارهای ارتباطی مدرن منجر به تغییر گردش اطلاعات و ارتباطات بین کارمندان شده و باعث شدند تبادل سریع اطلاعات میسر شود. تکنولوژی‌های پیچیده‌ای وجود دارند که از امنیت انتقال داده‌ها محافظت می‌کنند. اما اکثر این راهکارها حملات فنی را تحت پوشش قرار می‌دهند و معمولاً حملات مهندسی اجتماعی در نظر گرفته نمی‌شود. در محیط‌های اداری در بسیاری موارد ارتباطات رو در رو با ایمیل یا نرم‌افزارهای پیام رسان جایگزین شده و همین موضوع منجر به شکل گیری یک سطح حمله جدید برای مهندسین اجتماعی شده است.

مسلماً احتمال موفقیت حملات مهندسی اجتماعی از طریق حساب‌های داخلی یا ایمیل‌هایی که آدرس‌های داخلی را جعل می‌کنند، بیشتر است. به عنوان مثال  برخی از محققان، یک آزمایش با سناریوی نقش آفرینی انجام دادند که در آن ۱۱۷ شرکت کننده از نظر قابلیتشان در زمینه تشخیص بین ایمیل‌های فیشینگ و ایمیل‌های بی خطر مورد بررسی قرار گرفتند. نتایج نشان داد افرادی که سطح آگاهی بالاتری دارند به میزان قابل توجهی در شناسایی ایمیل‌های فیشینگ بهتر عمل می‌کنند. افشای اطلاعات شخصی ارزشمند از طریق حملات مهندسی اجتماعی می‌تواند عواقب و پیامدهای مستقیمی مثل سوء استفاده از یک حساب بانکی داشته باشد و یا پیامدهای غیر مستقیمی مثل آسیب رسیدن به اعتبار و شهرت؛ همچنین ممکن است از آنها جهت افزایش سطح اثربخشی حملات مهندسی اجتماعی بعدی استفاده شود. در مجموع ما با حملات مهندسی اجتماعی متنوع و چند وجهی روبرو هستیم – وقتی یک حمله موفقیت آمیز شود، ممکن است مهاجم از اطلاعات به دست آمده استفاده کند تا تبدیل به یک فرد خودی شده و حملات مهندسی اجتماعی موفقیت آمیزتری را انجام دهد.

ارتباطات بیرونی

علاوه بر ارتباطات درون اداره، میزان استفاده از سرویس‌های ایمیل، ابر، وبلاگ و غیره برای ارتباطات بیرون اداره هم افزایش یافته و باعث شکل‌گیری چالشی شبیه به چالش ارتباطات داخلی شده است. اما به دلیل محو شدن مرزهای سازمانی تصمیم گیری درباره اینکه چه اطلاعاتی در ارتباطات برون سازمانی قابل نشر یا ارسال هستند، سخت‌تر می‌ شود.

به عنوان مثال وبلاگ‌های بازاریابی برای کارهای تبلیغاتی مفید هستند اما خطر نشت ناخواسته اطلاعات هم در آنها وجود دارد. یک نمونه دیگر از این موضوع، انتشار اطلاعاتی مثل اطلاعات کارمندان در لینکداین است؛ یک مهاجم می‌تواند به کمک این شبکه اجتماعی متوجه شود که یک کمپانی در چند سال اخیر چه تعداد کارمند داشته و از طریق این داده‌ها وضعیت اقتصادی سازمان مربوطه را استنتاج کند. قوی‌ترین خطر بالقوه ارتباطات خارجی تنوع و تعداد زیاد کانال‌های ارتباطی است. به‌علاوه، گرایشات جدید منجر به افزایش تعداد این کانال‌ها می‌شود مثل خط مشی دستگاه خودتان را به محل کار بیاورید و ایده “شخصی شدن تکنولوژی” که از آن برای توضیح تاثیر استفاده از دستگاه‌های موبایل برای کار با اطلاعات شرکتی در محیط‌های ناامن مثل کافه یا سیستم‌های حمل و نقل عمومی استفاده کرده است.

وی تکنولوژی موبایل را مثل “پنجره‌ای به سمت سازمان‌ها” می‌داند. البته روی بیشتر این دستگاه‌ها سیستم‌های امنیتی نصب شده‌اند اما اغلب اوقات این سیستم‌ها هیچ محافظی در برابر حملات مهندسی اجتماعی ندارند.

در مقاله بعدی طبقه بندی حملات مهندسی اجتماعی به صورت مفصل تشریح خواهد شد.

کارگران اطلاعاتی به کارکنان فنی و حرفه‌ای گفته می‌شود که کار آنها مبتنی بر اطلاعات است یا به عبارتی کار اصلی آنها توسعه و استفاده از دانش است.

 

 

 

 

نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

18 − چهارده =

همچنین ببینید

بستن
دکمه بازگشت به بالا
بستن
بستن