انواع روشهای مهندسی اجتماعی: از ابزار تا کلام
بررسی روش های حملات مهندسی اجتماعی
مهندسی اجتماعی یکی از تهدیدات مهم و اساسی در جوامع مجازی و ابزاری موثر برای حمله به سیستمهای اطلاعاتی و رایانهها و دستگاههای مبتنی برشبکه در سازمانها، شرکتهای بزرگ و کوچک و منازل است. سرویسهای مورد استفاده توسط کارگران اطلاعاتی، زمینه اجرای حملات مهندسی اجتماعی پیچیده را فراهم میکنند.
تمایل روز افزون به پیادهسازی سیاستهای BYOD (دستگاه خودتان را به محل کار بیاورید) و استفاده از ابزارهای مشارکتی و ارتباطی آنلاین در محیطهای خصوصی و کاری منجر به تشدید این مسئله شده است. در شرکتهایی که در سطح جهانی فعالیت دارند، تمام اعضای تیم کاری در یک مکان قرار ندارند و فقط از پتانسیلهای ضروری آنها استفاده میشود.
کاهش تعاملات رو در رو از یک سو و از سوی دیگر افزایش چشمگیر شبکههای اجتماعی و ارتباطی (مثل پست الکترونیک، پیام رسانهای فوری، اسکایپ، دراپ باکس، لینکداین، اینستاگرام و غیره) منجر به شکل گیری مسیرهای متنوعی برای اجرای حملات مهندسی اجتماعی شده است. حملات متنوع علیه شرکتهای بزرگ اروپایی و آمریکایی نشان داد که حمله فیشینگ یکی از انواع حملات مهندسی اجتماعی کارآمد و انقلابی است. این نوع حمله در ترکیب با اکسپلویتهای روز صفر تبدیل به سلاحی خطرناک شدهاند که این شرکتها را تهدید مینمایند.
ما در این مقاله بررسی جامعی از حملات مهندسی اجتماعی شناخته شده و همچنین حملات مهندسی اجتماعی پیشرفتهای که علیه کارگران اطلاعاتی صورت میگیرد، ارایه خواهیم کرد.
مقدمه
امروزه اینترنت، تبدیل به بزرگترین رسانه تبادل اطلاعات و ارتباطات شده است. در زندگی روزمره ما، ارتباطات از طریق کانالهای ارتباطی آنلاین مختلفی صورت میگیرند. علاوه بر ارتباطاتی که از طریق ایمیل و پیام رسانهای فوری صورت میگیرند، سرویسهای وب مثل توییتر، فیسبوک و سایر سایتهای شبکههای اجتماعی تبدیل به بخش مهمی از ارتباطات خصوصی و کاری روزمره ما شدهاند.
شرکتها انتظار دارند که کارمندانشان از نظر فضایی که در آن کار میکنند قابلیت انعطاف و جابجایی زیادی داشته باشند و میزان استفاده از دستگاههای متعلق به خود کارمندان و دانشورزان، هم در محیط کار و هم خارج آن (برای کار) افزایش یافته است. این افزایش انعطاف پذیری و کاهش ارتباطات رو در رو و فضای اداری مشترک به معنی افزایش حجم دادههایی است که باید از طریق کانالهای آنلاین بین همکاران به اشتراک گذاشته شود. توسعه سرویسهای ابر و سرویسهای دسترسی به دادهها منجر به تحولاتی در زمینه به اشتراک گذاری فایل و ارتباطاتی شده است که امروزه بیشتر از طریق یک نهاد واسط (شخص ثالث) صورت میگیرند؛ این نهاد واسط میتواند یک شبکه اجتماعی یا هر پلتفرم دیگری باشد.
در این دنیای ارتباطات مردم در ابزارهای همکاری و ارتباطی آنلاین مثل سرویسهای ابر و شبکههای اجتماعی، آزادانه اطلاعات را منتشر میکنند؛ بدون این که به امنیت و حریم خصوصی فکر کنند. افراد اطلاعات و اسناد بسیار حساس را از طریق سرویسهای ابری با سایر کاربران مجازی در سراسر جهان به اشتراک میگذارند. در اکثر مواقع، کاربران فرد مقابل را قابل اطمینان در نظر میگیرند حتی اگر تنها آیتمهای شناسایی و تعیین هویتی که از آنها دارند یک ایمیل آدرس یا یک پروفایل مجازی باشد.
در سالهای اخیر، از آسیبپذیریهای امنیتی کانالهای اشتراک داده و ارتباط آنلاین برای نشت اطلاعات حساس سوءاستفاده شده است. امکان رفع این آسیبپذیریها و تقویت امنیت این کانالها وجود دارد. اما در مواقعی که مهندسین اجتماعی با افکار کاربران بازی میکنند، قدرت روشهای تقویت امنیت از بین میرود. اصطلاح کارگران اطلاعاتی بیش از 50 سال پیش توسط Peter Drucker ابداع شد و هنوز هم از آن برای توصیف کارمندانی که سرمایه اصلی آنها دانش است، مورد استفاده قرار میگیرد.
قدرتمندترین ابزاری که یک مهاجم میتواند از آن جهت دستیابی به این دانش استفاده کند، مهندسی اجتماعی است. مهندسی اجتماعی یعنی بازی با افکار یک فرد (شستشوی مغزی) برای ارایه اطلاعات به مهندس اجتماعی یا هکر. این روش نسبت به بسیاری دیگری از روشهای هک قدرتمندتر است، از این جهت که میتوان با استفاده از آن حتی به ایمنترین سیستمها رخنه کرد زیرا خود کاربران آسیبپذیرترین بخش سیستم هستند.
تحقیقات نشان داده که در بسیاری از مواقع میتوان مهندسی اجتماعی را به آسانی اتوماسیون کرد و به این ترتیب میتوان آن را در مقیاس بزرگ انجام داد. مهندس اجتماعی تبدیل به خطری رو به رشد در جوامع مجازی شده است. شرکتهای چند ملیتی و آژانسهای خبری هم قربانی حملات هدفمند پیچیدهای شدهاند که علیه سیستمهای اطلاعاتی آنها اجرا شده است.
بسیاری از کاربران پیپال ایمیلهای فیشینگی دریافت کرده و عده زیادی اطلاعات محرمانه خودشان مثل شماره کارت اعتباری را در دسترس مهاجمین قرار دادهاند. به چنین حملاتی که علیه داراییهای با ارزش صورت میگیرند، تهدید پیشرفته و مستمر گفته میشود. در اغلب مواقع APTها متکی بر یک مسیر حمله مشترک هستند یعنی حملات مهندسی جتماعی مثل فیشینگ هدفمند. با توجه افزایش گزارشات رسانهای درباره حوادث امنیتی جدی، سطح آگاهی افراد نسبت به مسائل امنیتی و روشهای محافظت از حریم خصوصی افزایش یافته است.
به عنوان مثال، میزان آگاهی نسبت به حملات مهندسی اجتماعی از طریق ایمیل که بدون شک پرکاربردترین کانال ارتباطی در اینترنت است و هر روزه هدف انواع کلاهبرداری و حملات مهندسی اجتماعی قرار میگیرد، در بین کاربران افزایش یافته است. اما هنوز سطح آگاهی نسبت به مهندسی اجتماعی در سرویسهای ابر و شبکههای اجتماعی نسبتاً کم است.
محورهای اصلی این مقاله عبارتند از:
- ارتباط بین کارگران اطلاعاتی و مهندسی اجتماعی
- طبقهبندی حملات مهندسی اجتماعی
- بررسی جامع از مسیرهای حمله فعلی برای مهندسی اجتماعی
- تشریح حوادث واقعی ناشی از حملات مهندسی اجتماعی موفق
هدف این مقاله ارائه یک بررسی جامع و کامل از حملات مهندسی اجتماعی علیه کارگران اطلاعاتی است، طبقهبندی ارایه شده توسط ما متشکل از کارهای موجود در این رشته و توسعه و تعمیم آنهاست.
مهندسی اجتماعی (SE)
مهندسی اجتماعی، هنر متقاعد کردن کاربران برای نفوذ به سیستمهای اطلاعاتی است. مهندسین اجتماعی به جای استفاده از حملات فنی علیه سیستمها، انسانهایی را که به اطلاعاتی خاص دسترسی دارند، مورد هدف قرار داده و آنها را تشویق به افشای اطلاعات حساس میکنند و یا حتی حملات مخربشان را از طریق نفوذ به افراد و متقاعد کردن آنها اجرا میکنند. بهعلاوه، معمولاً مردم تصور میکنند که در شناسایی چنین حملاتی مهارت دارند.
تحقیقات نشان میدهند که مردم در شناسایی دروغ و فریب عملکرد ضعیفی دارند. حملات مشهور Kevin Mitnick نشان داد که حملات مهندسی اجتماعی پیچیده چقدر برای امنیت اطلاعات سازمانهای دولتی و کمپانیها خطرناک هستند. وقتی در رشته امنیت کامپیوتر و اطلاعات درباره مهندسی اجتماعی صحبت میشود معمولاً سعی میشود این آموزش از طریق مثال و داستان انجام شود. اما در سطح بنیادیتر، یافتههای مهمی در رابطه با روانشناسی اجتماعیِ اصول متقاعد کردن به دست آمده است. هر چند مثالهای Cialdini متمرکز بر متقاعد کردن در بازاریابی هستند، اما اصول بنیادی آن برای هر فردی که به دنبال شناسایی طرز عملکرد فریب و متقاعد کردن افراد است، بسیار مهم هستند.
انواع حملات مهندسی اجتماعی
حملات مهندسی اجتماعی جنبههای مختلفی دارند که شامل جنبههای فیزیکی، اجتماعی و فنی میشوند و در مراحل مختلف حمله از آنها استفاده میشود. در این بخش روشهای مختلف مورد استفاده مهاجمین را توضیح میدهیم.
روشهای فیزیکی
همانطور که از نام این روشها پیداست در این روشها مهاجم به نوعی یک اقدام فیزیکی را انجام میدهد تا اطلاعاتی را درباره قربانی جمعآوری کند. این اطلاعات میتوانند شامل اطلاعات شخصی (مثل شماره تامین اجتماعی و تاریخ تولد) یا اطلاعات لاگین و ورود به یک سیستم کامپیوتری باشند. یکی از روشهای پر کاربرد، شیرجه در زباله یعنی جستجوی زبالههای یک سازمان (کاغذهای پاره شده) است.
چنین حملهای میتواند یک منبع اطلاعاتی ارزشمند برای مهاجمین باشد و از این طریق به اطلاعات شخصی مربوط به کارمندان، دفترچههای راهنما، یادداشتها و حتی نسخههای چاپی اطلاعات حساس مثل اطلاعات لاگین کاربران، دست پیدا کنند. اگر مهاجمی بتواند به دفاتر سازمان مورد هدف دسترسی پیدا کند، ممکن است اطلاعاتی مثل پسوردها را به صورت نوشته شده روی برگههای یادداشت پیدا کند. حملات فیزیکی با پیچیدگی کمتر شامل سرقت اطلاعات یا اخاذی برای دستیابی به اطلاعات هستند.
روشهای اجتماعی
مهمترین جنبه حملات مهندسی اجتماعی موفق، جنبه اجتماعی آنهاست. از این مرحله به بعد، مهاجم بر تکنیکهای روانشناسی مثل اصول متقاعد کردن برای شستشوی مغزی قربانی متکی است. یک نمونه از روشهای متقاعد کردن استفاده از قدرت (ادعایی) است. یکی از روشها، کنجکاوی است که از آن در حملات فیشینگ هدفمند و طعمه گذاشتن (baiting) استفاده میشود. برای افزایش احتمال موفقیت چنین حملاتی، مجرمان اغلب سعی میکنند یک رابطه با قربانیان آیندهشان برقرار کنند. طبق مطالعه گارتنر، جدیدترین نوع حملات مهندسی اجتماعی ، حملاتی هستند که از طریق تلفن اجرا میشوند. جاگذاری فلش در سازمان برای توسعه بدافزار روش دوم این افراد است.
مهندسی اجتماعی معکوس
در این روش به جای برقراری تماس مستقیم با قربانی، مهاجم سعی میکند قربانی را به این باور برساند که وی یک شخص یا موجودیت قابل اطمینان است. هدف این است که قربانی سعی کند به مهاجم نزدیک شود، مثلاً از او تقاضای کمک کند. به این روش غیر مستقیم، مهندسی اجتماعی معکوس هم گفته میشود که از سه مرحله تشکیل شده است: یک خرابکاری عمدی، تبلیغ و کمک رسانی.
اولین مرحله در این حمله، خرابکاری در سیستم کامپیوتری سازمان است. این خرابکاریها بسیار متنوع هستند و از موارد سادهای مثل قطع کردن ارتباط فرد با شبکه سازمان تا موارد پیچیدهای مثل دستکاری اپلیکیشنهای نرمافزاری قربانی هستند. سپس مهاجمین تبلیغاتی میکنند مبنی بر این که قادر به حل مشکل هستند. وقتی قربانی از آنها تقاضای کمک میکند، مهندس اجتماعی مشکلی را که قبلاً خودش ایجاد کرده رفع میکند و همزمان پسورد قربانی را از او درخواست میکند (تا بتواند مشکل را حل کند) یا به وی میگوید نرمافزار خاصی را نصب کند.
روشهای فنی
روشهای فنی عمدتاً از طریق اینترنت انجام میشوند. گارتنر خاطر نشان شده با توجه به این که کاربران در بسیاری موارد از رمز عبور یکسان (و ضعیف) برای حساب های کاربری مختلف استفاده میکنند، اینترنت برای مهندسین اجتماعی ابزاری جذاب جهت دستیابی به پسوردها است. اکثر افراد توجه ندارند که آزادانه اطلاعات شخصی بسیاری را در اختیار مهاجمین (یا هر کسی که آن را جستجو میکند) قرار میدهند. مهاجمین در اغلب اوقات از موتورهای جستجو برای جمعآوری اطلاعات شخصی درباره قربانیان آیندهشان استفاده میکنند. همچنین، ابزارهایی وجود دارند که قادر به جمعآوری و تجمیع اطلاعات از منابع اینترنتی مختلف هستند.
روشهای فنی – اجتماعی
در حملات اجتماعی موفق اغلب موارد ترکیبی از روشهای مختلفی که در بالا مورد بررسی قرار گرفتند، استفاده میشوند. اما روشهای فنی – اجتماعی منجر به ایجاد قویترین سلاحها برای مهندسین اجتماعی شدهاند. یک نمونه از این روشها، به نام حمله طعمه گذاری شناخته میشود که در آن مهاجمین یک رسانه ذخیره اطلاعات آلوده به بدافزار را در محلی قرار میدهند که احتمال پیدا کردن آن توسط قربانی وجود دارد. ممکن است یک درایو USB آلوده به تروجان باشند.
بهعلاوه، مهاجمین سعی میکنند با استفاده از برچسبهای وسوسه انگیزی مثل “محرمانه” یا “کارمندان اخراجی 1398” از حس کنجکاوی افراد استفاده کنند. فیشینگ یکی دیگر از ترکیبات متداول روشهای اجتماعی و فنی است. معمولاً فیینگ از طریق ایمیل و یا پیام رسانهای فوری انجام میشود و مثل اسپم گروه بزرگتری از کاربران را مورد هدف قرار میدهد. اما در مقابل، مهندسی اجتماعی معمولاً افراد خاص یا گروههای کوچکتری از افراد را مورد هدف قرار میدهد. تبهکاران امیدوارند که با ارسال پیام به تعداد زیادی از کاربران بتوانند عده زیادی را فریب دهند تا حمله آنها سودآور باشد.
حملات فیشینگ ( phishing ) هدفمند، متشکل از پیامهای بهشدت هدفمندی هستند که پس از یک داده کاوی اولیه انجام میشوند. در برخی از مقالات از وبسایتهای شبکههای اجتماعی برای استخراج اطلاعات درباره دانشجویان استفاده کرده و سپس پیامی به آنها ارسال کردند که به نظر میرسید توسط یکی از دوستان ارسال شده است. آنها توانستند با استفاده از چنین دادههای اجتماعی، نرخ موفقیت فیشینگ را از 16 به 72 درصد برسانند. بنابراین، فیشینگ هدفمند ترکیبی از روشهای تکنولوژیکی و مهندسی اجتماعی محسوب میشود.
همکاری با گروه فناوری
کارمندان و کسبوکارها طیف وسیعی از تکنولوژیهای مختلف را برای تسهیل، خودکار کردن و ارتقای کارهای روزمره مورد استفاده قرار میدهند. همچنین، ما شاهد ظهور زیرساختهای کسبوکار مشارکتی هستیم از جمله ابزارهای همکاری کامپیوتری که برای به اشتراک گذاری فایلها مورد استفاده قرار میگیرند ، ارتباطات داخلی یا خارجی، وبلاگها، ویکیها و غیره که به کارمندان کمک میکند با مدیران سازمان و مشتریان ارتباط برقرار کرده، اطلاعات مختلفی را درباره کل مدت کسب و کار با هم تبادل کنند و یک کانال ارتباطی پایدار برای مشتریان و شرکای سازمان ایجاد میکنند.
با توجه به طیف وسیع کانالهای ارتباطی مختلفی که توسط این ابزارهای همکاری کامپیوتری ایجاد شدهاند، حملات مهندسی اجتماعی پتانسیل زیادی برای حمله دارند. اما در محیط کسبوکار، ما بین ارتباطات اداری و ارتباطات خارجی تمایز قائل میشویم. به این ترتیب میتوانیم قابلیت یک قربانی برای شناسایی یک حمله مهندسی اجتماعی را ارزیابی کنیم.
ارتباطات اداری
ابزارهای ارتباطی مدرن منجر به تغییر گردش اطلاعات و ارتباطات بین کارمندان شده و باعث شدند تبادل سریع اطلاعات میسر شود. تکنولوژیهای پیچیدهای وجود دارند که از امنیت انتقال دادهها محافظت میکنند. اما اکثر این راهکارها حملات فنی را تحت پوشش قرار میدهند و معمولاً حملات مهندسی اجتماعی در نظر گرفته نمیشود. در محیطهای اداری در بسیاری موارد ارتباطات رو در رو با ایمیل یا نرمافزارهای پیام رسان جایگزین شده و همین موضوع منجر به شکل گیری یک سطح حمله جدید برای مهندسین اجتماعی شده است.
مسلماً احتمال موفقیت حملات مهندسی اجتماعی از طریق حسابهای داخلی یا ایمیلهایی که آدرسهای داخلی را جعل میکنند، بیشتر است. به عنوان مثال برخی از محققان، یک آزمایش با سناریوی نقش آفرینی انجام دادند که در آن 117 شرکت کننده از نظر قابلیتشان در زمینه تشخیص بین ایمیلهای فیشینگ و ایمیلهای بی خطر مورد بررسی قرار گرفتند.
نتایج نشان داد افرادی که سطح آگاهی بالاتری دارند به میزان قابل توجهی در شناسایی ایمیلهای فیشینگ بهتر عمل میکنند. افشای اطلاعات شخصی ارزشمند از طریق حملات مهندسی اجتماعی میتواند عواقب و پیامدهای مستقیمی مثل سوء استفاده از یک حساب بانکی داشته باشد و یا پیامدهای غیر مستقیمی مثل آسیب رسیدن به اعتبار و شهرت؛ همچنین ممکن است از آنها جهت افزایش سطح اثربخشی حملات مهندسی اجتماعی بعدی استفاده شود. در مجموع ما با حملات مهندسی اجتماعی متنوع و چند وجهی روبرو هستیم – وقتی یک حمله موفقیت آمیز شود، ممکن است مهاجم از اطلاعات به دست آمده استفاده کند تا تبدیل به یک فرد خودی شده و حملات مهندسی اجتماعی موفقیت آمیزتری را انجام دهد.
ارتباطات بیرونی
علاوه بر ارتباطات درون اداره، میزان استفاده از سرویسهای ایمیل، ابر، وبلاگ و غیره برای ارتباطات بیرون اداره هم افزایش یافته و باعث شکلگیری چالشی شبیه به چالش ارتباطات داخلی شده است. اما به دلیل محو شدن مرزهای سازمانی تصمیم گیری درباره اینکه چه اطلاعاتی در ارتباطات برون سازمانی قابل نشر یا ارسال هستند، سختتر می شود.
به عنوان مثال وبلاگهای بازاریابی برای کارهای تبلیغاتی مفید هستند اما خطر نشت ناخواسته اطلاعات هم در آنها وجود دارد. یک نمونه دیگر از این موضوع، انتشار اطلاعاتی مثل اطلاعات کارمندان در لینکداین است؛ یک مهاجم میتواند به کمک این شبکه اجتماعی متوجه شود که یک کمپانی در چند سال اخیر چه تعداد کارمند داشته و از طریق این دادهها وضعیت اقتصادی سازمان مربوطه را استنتاج کند.
قویترین خطر بالقوه ارتباطات خارجی تنوع و تعداد زیاد کانالهای ارتباطی است. بهعلاوه، گرایشات جدید منجر به افزایش تعداد این کانالها میشود مثل خط مشی دستگاه خودتان را به محل کار بیاورید و ایده “شخصی شدن تکنولوژی” که از آن برای توضیح تاثیر استفاده از دستگاههای موبایل برای کار با اطلاعات شرکتی در محیطهای ناامن مثل کافه یا سیستمهای حمل و نقل عمومی استفاده کرده است.
وی تکنولوژی موبایل را مثل “پنجرهای به سمت سازمانها” میداند. البته روی بیشتر این دستگاهها سیستمهای امنیتی نصب شدهاند اما اغلب اوقات این سیستمها هیچ محافظی در برابر حملات مهندسی اجتماعی ندارند.
در مقاله بعدی طبقه بندی حملات مهندسی اجتماعی به صورت مفصل تشریح خواهد شد.
کارگران اطلاعاتی به کارکنان فنی و حرفهای گفته میشود که کار آنها مبتنی بر اطلاعات است یا به عبارتی کار اصلی آنها توسعه و استفاده از دانش است.