روش‌های فیزیکی جمع آوری اطلاعات

روش‌های فیزیکی جمع آوری اطلاعات دارای متدهای متفاوت برای دستیابی به اطلاعات سازمان ها و جمع آوری اطلاعات آنهاست. یعنی در بعضی از مراجع، جمع­ آوری داده ­ها را به دو دسته الکترونیکی و فیزیکی تقسیم­ بندی می­ کنند. در این مقاله، روش ­های فیزیکی جمع ­آوری اطلاعات و داده ها را بررسی می­ کنیم.

روش ­ها و متدها

روش‌های فیزیکی جمع آوری اطلاعات انواع مختلف دارد. برخی از این روش‌ها نیاز به تجهیزات اندکی دارند و تعدادی از آنها نیز نیازمند تجهیزات پیشرفته­ ای هستند.

یکی از ویژگی‌های مشترک این روش‌ها، این است که نمی‌توان آنها را از راه دور اجرا کرد و برای انجام آنها باید حتماً مهاجم در محل، حضور فیزیکی داشته و آنها را به صورت رودررو و شخصی اجرا کند. بنابراین جهت بهره برداری موفقیت­ آمیز از چنین روش‌هایی، وجود یک سناریوی از پیش طراحی شده، استفاده از اصول نفوذ بر افراد (مهندسی اجتماعی) و سایر عوامل روان­شناسی ضروری است.

در جمع­ آوری اطلاعات به روش فیزیکی، یک روش خاص وجود ندارد که بتوان آن را بهترین روش دانست و نمی‌توان با اطمینان هم گفت که یک روش خاص می‌تواند به صورت موفق و تمام و کمال، تمام داده‌های مورد ­نیاز را فراهم کند. بهترین راه برای رسیدن به موفقیت، جمع­ آوری اطلاعات با استفاده از روش‌های مختلف و سپس طبقه ­بندی آنها است.

گام بعدی نیز پیدا کردن ارتباط بین آنها و در نهایت انتخاب بهترین مسیر حمله با توجه به داده‌های جمع ­آوری شده است. یک کاربر و کارمند، با آگاهی از روش ­های فیزیکی جمع­ آوری داده می­ تواند اقدام ­های بازدارندگی و مرزهای دفاعی خود را توسعه داده و از نشت اطلاعات جلوگیری کند.

اگر خواهان اجرای روش زیر برای سازمان­تان هستید و می­خواهید مانوری را در این خصوص اجرا کنید، توصیه می‌کنیم فعالیت‌هایی را که در ادامه شرح داده می‌شوند، در محدوده یک آزمون نفوذ مجاز و تأیید شده انجام دهید.

1- شیرجه در زباله‌ها

به صورت کلی، شیرجه در زباله‌ها به عمل جستجو در آشغال‌ها جهت یافتن اطلاعات ارزشمند گفته می‌شود. اغلب اطلاعات مهمی در زباله ­ها یافت می­ شود، از جمله پرونده‌های پزشکی، نامه­ ها، عکس­ ها، نام افراد و شماره تماس آنها، صورت حساب­ های بانکی، اطلاعات حساب بانکی، اطلاعاتی درباره نرم‌افزارها و گزارش‌های بخش پشتیبانی فنی.

در بعضی از کتب و نشریات علمی، شیرجه در زباله ­های سطل آشغال رایانه را نیز در این طبقه گنجانده ­اند. بسیاری از افراد از نبود کاربر پشت میز استفاده کرده و یک نسخه کپی از کل فایل­ های پاک شده تهیه می­ کنند تا در فرصت مناسبی بتوانند اقدام به بررسی و تحقیق و تفحص کنند.

تمامی این اطلاعات و طبقه ­بندی آنها در موفقیت یک حمله، مثمرثمر خواهد بود. شعار این حمله هم مثل سایر حملات مهندسی اجتماعی «کار کردن به صورت هوشمندانه‌تر، نه سخت‌تر» است. وقتی بتوانید اطلاعاتی را از طریق کاغذ یادداشتی که بدون پاره شدن دور ریخته شده جمع آوری کنید، نیازی ندارید که ساعت‌ها برای به دست آوردن همان اطلاعات تلاش کنید. دید یک هکر

یک کارمند می­ تواند با امحای فیزیکی زباله­ های خود، اقدام ­های مناسبی را انجام دهد. همه کارکنان باید از روش ­هایی که سبب نشت اطلاعات به صورت فیزیکی می ­شوند آگاه باشند.

در یک سریال تلویزیونی قدیمی به نام گروه تایگر (Tiger Team)، نحوه استفاده از زباله‌ها برای پیداکردن اطلاعات درباره هدف، نمایش داده شده است. بازیگران این سریال توانستند پس از شناسایی نام کارمند بخش پشتیبانی شرکت، یکی از اعضای تیم خودشان را به عنوان پشتیبان فنی به آن شرکت فرستاده و از این طریق دسترسی کاملی به سرورها پیدا کنند.

هنوز هم کتاب «هک بدون فناوری»، یکی از بهترین منابع درباره شیرجه در زباله‌ها در حوزه امنیت است. این کتاب، پر از اطلاعات فوق­ العاده درباره مهندسی اجتماعی است و دارای عکس ­های زیادی از نمونه اطلاعاتی است که می‌توان از سطل­ های زباله و بدون نیاز به کاوش و بررسی عمیق زباله‌ها به دست آورد.

2-نفوذ و نقش بازی کردن

نفوذ (ورود سرزده و بدون اجازه) وقتی انجام می­ شود که مهندس اجتماعی برای به دست

آوردن اطلاعات یا با جعل هویت فرد دیگری وارد ساختمان یا ملک شخص یا سازمان مورد هدف می‌شود. مهندس اجتماعی می‌تواند با بازی کردن نقش یک کارمند، یک پیمانکار یا حتی یکی از مدیران IT سؤال هایی را پرسیده یا پیشنهاد رفع مشکلات را به صورت رودررو یا از پشت تلفن مطرح کند.

مهندسان اجتماعی برای موفق شدن در این کار باید خودشان را همرنگ جماعت کرده و مثل افراد حاضر در محیط لباس پوشیده و رفتار کنند. مشارکت در یکسری فعالیت‌ها یا قرار گرفتن در محیط‌ هایی که مهندس اجتماعی را در تعامل با کارمندان مورد هدف قرار می‌دهد، فرصت بسیار خوبی جهت گردآوری اطلاعات فراهم می‌کند. مجاورت با کارمندان می‌تواند فرصت‌های بسیار خوبی برای گفتگو، استراق سمع (شنود) یا حتی کپی کردن کارت شناسایی یا کارت‌های RFID فراهم کند.

در وب سایت “Dark Reading” به یک حمله مهندسی اجتماعی مخرب اشاره شده که در آن یک فرد ناشناس، فقط با استفاده از هوش و مهارت خودش توانسته است رابطه‌ای را با کارمندان برقرار کند. وی با استفاده از این رابطه، موفق به پیدا کردن محل ذخیره الماس‌هایی با ارزش بیش از 20 میلیون دلار شد.

3- حرکت کردن پشت سر هدف

حرکت کردن با فاصله کم، پشت سر هدف (که به آن ” Piggybacking ” هم گفته می‌شود) یک راه برای دسترسی به یک ساختمان ایمن­ سازی شده، حتی در صورت وجود سازوکارهای امنیتی مبتنی بر کارت هوشمند یا استفاده از ویژگی‌های زیست­ سنجی است. معمولاً این راهکارهای امنیتی می‌توانند مانع ورود کارکنان غیرمجاز به ساختمان‌ها و دسترسی آنها به سیستم‌ها یا شبکه‌ها شوند.

متأسفانه افراد در بسیاری از وقت­ ها، بیش از حد لازم برای کمک به دیگران تلاش می‌کنند و مثلاً وقتی به نظر می‌رسد که فردی در حال جستجوی کارت عبور خودش است در را برای او باز می‌گذارند تا از این طریق به او کمک کرده باشند.

بازی کردن نقش کارمند یا تکنسینی که با عجله به سمت در حرکت می‌کند تا قبل از بسته شدن در وارد ساختمان شود هم یکی از روش‌های دسترسی به ساختمان‌هایی است که ورود به آنها برای مهندسان اجتماعی دشوار است.

4- مهندسی اجتماعی معکوس

در این روش، مهندس اجتماعی از قبل به شبکه یا ماشین مورد نظر دسترسی پیدا کرده و به نوعی آن را خراب و غیرقابل استفاده می‌کند. سپس پیشنهاد تعمیر کردن آن را مطرح می‌کند.

یکسری دستگاه‌های کنترل از راه دور وجود دارند که امکان شنیدن صداها از راه دور یا استراق سمع از طریق یک سیم کارت معمولی را فراهم می‌کنند. همچنین مهندس اجتماعی می‌تواند با کمک اطلاعاتی که از قبل از طریق تلفن، ایمیل یا وب سایت جمع آوری کرده است، یک نقطه دسترسی برای نفوذ تشکیل داده یا به قسمت‌های مورد نیاز دسترسی­ های لازم را پیدا کند.

5- سرک کشیدن

یکی از روش‌های فیزیکی جمع آوری اطلاعات ، ایستادن پشت سر افراد و نگاه کردن و سرک کشیدن جهت دستیابی به اطلاعات است. اطلاعاتی که از این طریق جمع­ آوری می‌شوند طیف وسیعی دارند، از شناسه کاربری گرفته تا کلمه ­های عبور یا سایر اطلاعات محرمانه‌ای که به صورت متن ساده هستند. در این روش، لزوماً نیازی به نفوذ فیزیکی به محل مورد نظر وجود ندارد. چنین کاری را می­توان در هر جایی که مردم لپ­تاپ‌هایشان را برای کار باز می‌کنند، از جمله در کافی­ شاپ ها، فرودگاه‌ها، رستوران هتل‌ها یا حتی در فضای باز انجام داد.

نتیجه ­گیری

در این مقاله، به بعضی از روش ­های مورد استفاده نفوذگران به منظور روش‌های فیزیکی جمع آوری اطلاعات درباره افراد و سازمان­ ها اشاره کردیم. همان­طور که اشاره شد، متدهای مختلف و بسیار متنوعی که با هوش و ذکاوت ذهنی مهندسان اجتماعی در هم آمیخته­ اند، برای جمع­ آوری اطلاعات، آن هم بدون استفاده از هیچ­گونه سازوکار فناورانه وجود دارد. بنابراین همواره مراقب بوده و از دارایی­ های اطلاعاتی خود مراقبت­ های لازم را به عمل آورید.