کاوش اطلاعات با شیرجه در سطل زباله ها

 

با شیرجه در زباله‌ها (جهت دریافت اطلاعات) یک نفوذگر یا هکر می‌تواند به اطلاعات ارزشمندی همچون نامه‌ها، پرونده‌های پزشکی، رزومه، ایمیل، نام و نام خانوادگی، شماره تلفن، صورتحساب بانکی، اطلاعات حساب بانکی، اطلاعاتی درباره نرم‌افزارها، گزارش‌های بخش پشتیبانی فنی و بسیاری از اطلاعات مهم دیگر دست پیدا کند.

شیرجه در اطلاعات معمولاً افراد توجهی به مستندات کاغذی که ممکن است حاوی اطلاعات مهمی هم باشند، نداشته و آن‌ها را بدون امحای امن، دور ریخته و یا به عنوان چک­نویس مجدداً استفاده می‌کنند.

سپس وی با استفاده از روش‌های مهندسی اجتماعی می‌تواند از این اطلاعات جهت اجرای یک حمله بر ضد آن اشخاص یا شرکت­‌ها استفاده کند. در این مقاله، به اطلاعاتی که یک مهاجم می‌تواند فقط با اندکی جستجو در سطل‌های زباله به آن‌ها دست یابد، پرداخته شده است.

 

1- عاملان حمله شیرجه در زباله‌ها

عاملان چنین حملاتی، طیف وسیعی از افراد هستند. ممکن است برخی از آن‌ها به دنبال یافتن غذا یا لباس یا پیدا کردن دور ریختنی‌های قابل بازیافت باشند. در میان آن‌هااحتمال دارد افرادی هم باشند که به منظور یافتن اطلاعات یا جعل کردن هویت دیگران، به سطل‌های زباله سرک بکشند.

در بعضی از کشورها نیز کارشناسان امنیت، شیرجه در زباله‌ها را به عنوان بخشی از خدمات امنیتی شان انجام می‌دهند. در این مقاله  از سایت about.com که در رابطه با سرقت هویت نوشته شده است، برخی از مخاطرات جستجو در زباله‌ها به خوبی تشریح شده است.

 

2- قانونی بودن

یکی از مواردی که باید در نظر داشت این است که در کشوری مثل آمریکا، برداشتن اقلامی که در سطل زباله و زباله‌دانی ریخته شده‌اند قانونی است؛ اما باید توجه داشت که اگر این سطل زباله در یک ملک خصوصی قرار داشته باشد (نه در گوشه خیابان یا یک کوچه عمومی) در این صورت ممکن است رفتن به ملک دیگران و برداشتن اقلام از داخل سطل زباله آن‌ها، تجاوز به حریم دیگران محسوب شده و شامل پیگرد قانونی شود. جهت کسب اطلاعات بیشتر درباره قانونی بودن کاوش در زباله‌ها، این مقاله را مطالعه کنید.

 

3- چرا حمله شیرجه در زباله‌ها خوب کار می‌کند؟

شعار این حمله هم مثل سایر حملات مهندسی اجتماعی، «کار کردن به صورت هوشمندانه‌تر، نه سخت‌تر» است. وقتی بتوانید اطلاعاتی را از طریق کاغذ یادداشتی که بدون پاره شدن دور ریخته شده است جمع‌آوری کنید، دیگر نیازی نیست که ساعت‌ها برای به دست آوردن همان اطلاعات تلاش کنید تا موفق به انجام حمله جستجوی فراگیر شوید.

 

4- شیرجه در اطلاعات

متداول‌ترین نوع شیرجه در زباله ها که با سرقت هویت و هک ارتباط دارد، «شیرجه در اطلاعات» است. مهاجم می‌تواند از اطلاعات به ظاهر بی‌اهمیت مثل لیست تماس، یادداشت های نوشته شده در تقویم رومیزی یا نامه‌های سازمانی جهت دسترسی به شبکه استفاده کند. Benjamin Pell یک فرد بریتانیایی است که با این کار و فروش غنایمی که از این راه به دست آورده است، زندگی می‌کند.

 

5- جرم و سرنخ

وب‌ سایت Crime and Clues مقاله بسیار خوبی درباره این موضوع دارد که می‌توانید از طریق این لینک به آن دسترسی پیدا کنید. در این مقاله نوشته شده است که دایماً اطلاعات بسیار ارزشمندی به راحتی دور ریخته می‌شوند (بدون این که نابود شوند) به این دلیل که بیشتر مردم تصور نمی‌کنند شخصی برای پیدا کردن اطلاعات، زباله‌دانی را جستجو کند.

 

6- هک بدون فناوری

کتاب Johnny Long با نام «هک بدون فناوری» یکی از بهترین منابع درباره شیرجه در زباله‌ها در حوزه امنیت اطلاعات است. این کتاب پر از اطلاعات فوق‌العاده درباره مهندسی اجتماعی است. صفحه دوم این کتاب با «مقدمه‌ای بر شیرجه در زباله‌ها» آغاز می‌شود. این کتاب همچنین دارای عکس­‌های فوق‌العاده خوبی از نمونه اطلاعاتی است که می‌توان از سطل‌های زباله به دست آورد.

 

7- تیم تایگر

برای مشاهده میزان ارزشمندی اطلاعاتی که در سطل های زباله می توان آن‌ها را یافت، توصیه می‌کنیم سریال «تیم تایگر» را مشاهده کنید. در یکی از قسمت‌های این سریال، تیمی از مهندسان اجتماعی نشان دادند که چطور می‌توان با استفاده از یک کیسه زباله، اطلاعات ارزشمندی را درباره هدف پیدا کرد. این افراد توانستند پس از شناسایی نام کارمند بخش پشتیبانی شرکت، یکی از اعضای تیم خودشان را به عنوان پشتیبان فنی به آن شرکت فرستاده و از این طریق، دسترسی کاملی را به سرورها پیدا کنند.