با شیرجه در زبالهها (جهت دریافت اطلاعات) یک نفوذگر یا هکر میتواند به اطلاعات ارزشمندی همچون نامهها، پروندههای پزشکی، رزومه، ایمیل، نام و نام خانوادگی، شماره تلفن، صورتحساب بانکی، اطلاعات حساب بانکی، اطلاعاتی درباره نرمافزارها، گزارشهای بخش پشتیبانی فنی و بسیاری از اطلاعات مهم دیگر دست پیدا کند.
شیرجه در اطلاعات معمولاً افراد توجهی به مستندات کاغذی که ممکن است حاوی اطلاعات مهمی هم باشند، نداشته و آنها را بدون امحای امن، دور ریخته و یا به عنوان چکنویس مجدداً استفاده میکنند.
سپس وی با استفاده از روشهای مهندسی اجتماعی میتواند از این اطلاعات جهت اجرای یک حمله بر ضد آن اشخاص یا شرکتها استفاده کند. در این مقاله، به اطلاعاتی که یک مهاجم میتواند فقط با اندکی جستجو در سطلهای زباله به آنها دست یابد، پرداخته شده است.
1- عاملان حمله شیرجه در زبالهها
عاملان چنین حملاتی، طیف وسیعی از افراد هستند. ممکن است برخی از آنها به دنبال یافتن غذا یا لباس یا پیدا کردن دور ریختنیهای قابل بازیافت باشند. در میان آنهااحتمال دارد افرادی هم باشند که به منظور یافتن اطلاعات یا جعل کردن هویت دیگران، به سطلهای زباله سرک بکشند.
در بعضی از کشورها نیز کارشناسان امنیت، شیرجه در زبالهها را به عنوان بخشی از خدمات امنیتی شان انجام میدهند. در این مقاله از سایت about.com که در رابطه با سرقت هویت نوشته شده است، برخی از مخاطرات جستجو در زبالهها به خوبی تشریح شده است.
2- قانونی بودن
یکی از مواردی که باید در نظر داشت این است که در کشوری مثل آمریکا، برداشتن اقلامی که در سطل زباله و زبالهدانی ریخته شدهاند قانونی است؛ اما باید توجه داشت که اگر این سطل زباله در یک ملک خصوصی قرار داشته باشد (نه در گوشه خیابان یا یک کوچه عمومی) در این صورت ممکن است رفتن به ملک دیگران و برداشتن اقلام از داخل سطل زباله آنها، تجاوز به حریم دیگران محسوب شده و شامل پیگرد قانونی شود. جهت کسب اطلاعات بیشتر درباره قانونی بودن کاوش در زبالهها، این مقاله را مطالعه کنید.
3- چرا حمله شیرجه در زبالهها خوب کار میکند؟
شعار این حمله هم مثل سایر حملات مهندسی اجتماعی، «کار کردن به صورت هوشمندانهتر، نه سختتر» است. وقتی بتوانید اطلاعاتی را از طریق کاغذ یادداشتی که بدون پاره شدن دور ریخته شده است جمعآوری کنید، دیگر نیازی نیست که ساعتها برای به دست آوردن همان اطلاعات تلاش کنید تا موفق به انجام حمله جستجوی فراگیر شوید.
4- شیرجه در اطلاعات
متداولترین نوع شیرجه در زباله ها که با سرقت هویت و هک ارتباط دارد، «شیرجه در اطلاعات» است. مهاجم میتواند از اطلاعات به ظاهر بیاهمیت مثل لیست تماس، یادداشت های نوشته شده در تقویم رومیزی یا نامههای سازمانی جهت دسترسی به شبکه استفاده کند. Benjamin Pell یک فرد بریتانیایی است که با این کار و فروش غنایمی که از این راه به دست آورده است، زندگی میکند.
5- جرم و سرنخ
وب سایت Crime and Clues مقاله بسیار خوبی درباره این موضوع دارد که میتوانید از طریق این لینک به آن دسترسی پیدا کنید. در این مقاله نوشته شده است که دایماً اطلاعات بسیار ارزشمندی به راحتی دور ریخته میشوند (بدون این که نابود شوند) به این دلیل که بیشتر مردم تصور نمیکنند شخصی برای پیدا کردن اطلاعات، زبالهدانی را جستجو کند.
6- هک بدون فناوری
کتاب Johnny Long با نام «هک بدون فناوری» یکی از بهترین منابع درباره شیرجه در زبالهها در حوزه امنیت اطلاعات است. این کتاب پر از اطلاعات فوقالعاده درباره مهندسی اجتماعی است. صفحه دوم این کتاب با «مقدمهای بر شیرجه در زبالهها» آغاز میشود. این کتاب همچنین دارای عکسهای فوقالعاده خوبی از نمونه اطلاعاتی است که میتوان از سطلهای زباله به دست آورد.
7- تیم تایگر
برای مشاهده میزان ارزشمندی اطلاعاتی که در سطل های زباله می توان آنها را یافت، توصیه میکنیم سریال «تیم تایگر» را مشاهده کنید. در یکی از قسمتهای این سریال، تیمی از مهندسان اجتماعی نشان دادند که چطور میتوان با استفاده از یک کیسه زباله، اطلاعات ارزشمندی را درباره هدف پیدا کرد. این افراد توانستند پس از شناسایی نام کارمند بخش پشتیبانی شرکت، یکی از اعضای تیم خودشان را به عنوان پشتیبان فنی به آن شرکت فرستاده و از این طریق، دسترسی کاملی را به سرورها پیدا کنند.
