تهدیداتمقالات

مهندسی اجتماعی: روش‌های فیزیکی جمع آوری اطلاعات

همواره برای به دست آوردن اطلاعات از سازمان‌ها و جمع‌آوری داده‌­های بی ارزش و یا با ارزش، روش­‌ها و متدهای متفاوتی وجود دارد. در برخی از مراجع جمع آوری داده‌ها را به دو دسته الکترونیکی و فیزیکی تقسیم‌بندی می‌نمایند. در این مقاله به شرح روش های فیزیکی جمع آوری داده می­‌پردازیم.

روش‌های فیزیکی مختلفی برای جمع‌آوری اطلاعات وجود دارد. برخی از این روش‌ها نیاز به تجهیزات اندکی دارند و برخی نیازمند تجهیزات پیشرفته هستند. یکی از ویژگی‌های مشترک این روش‌ها این است که نمی‌توان آنها را از راه دور اجرا کرد و برای انجام آنها باید حتماً در محل حضور فیزیکی داشته باشید و آنها را به صورت رو در رو و شخصی اجرا کنید. بنابراین جهت بهره‌برداری موفقیت آمیز از چنین روش‌هایی، وجود یک سناریوی از پیش طراحی شده، استفاده از اصول نفوذ بر افراد و سایر عوامل روانشناسی ضروری است.

در جمع آوری اطلاعات به روش فیزیکی، یک روش خاص وجود ندارد که بتوان آن را بهترین روش دانست و نمی‌توان با اطمینان گفت که یک روش خاص می‌تواند به صورت موفق و تمام و کمال، تمام داده‌های مورد نیاز شما را فراهم کند. بهترین راه رسیدن به موفقیت، جمع آوری اطلاعات با استفاده از روش‌های مختلف و سپس طبقه‌بندی آن­ها و گام بعدی پیدا کردن ارتباط بین آنها و در نهایت انتخاب بهترین مسیر حمله با توجه به داده‌های جمع آوری شده است. یک کاربر و کارمند با آگاهی از روش‌­های فیزیکی جمع آوری داده می تواند اقدامات بازدارندگی و مرزهای دفاعی خود را توسعه دهد و از نشت اطلاعات به صورت موفق جلوگیری نماید.

اگر خواهان اجرای روش زیر برای سازمانتان هستید و می­خواهید مانوری در این باره اجرا نمایید، توصیه می‌کنیم فعالیت‌هایی را که در ادامه تشریح می‌شوند، در محدوده یک تست نفوذ مجاز و تایید شده باشند و همواره یک کپی از نامه مجوز را همراه خودتان داشته باشید.

شیرجه در زباله‌ها

به صورت کلی شیرجه در زباله‌ها به عمل جستجو در زباله‌ها جهت یافتن آیتم‌های ارزشمند گفته می‌شود. اطلاعات مهمی در زباله‌­ها یافت می­‌شود از جمله: پرونده‌های پزشکی، رزومه، تصاویر و نامه‌های شخصی، صورت‌حساب بانکی، اطلاعات حساب بانکی، اطلاعاتی درباره نرم‌افزارها و گزارش‌های بخش پشتیبانی فنی.

اطلاعات

در برخی از کتب و نشریات علمی، شیرجه در زباله‌های سطل آشغال رایانه را نیز در این طبقه گنجانده­‌اند، بسیاری از افراد از نبود کاربر پشت میز استفاده کرده و یک نسخه کپی از کل فایل‌های پاک شده تهیه می‌کنند تا در فرصت مناسب اقدام به بررسی و تحقیق و تفحص نمایند.

دید یک هکر

تمامی این اطلاعات و طبقه‌بندی آن­ها در موفقیت یک حمله مثمر ثمر خواهد بود. شعار این حمله هم مثل سایر حملات مهندسی اجتماعی “کار کردن به صورت هوشمندانه‌تر، نه سخت‌تر” است. وقتی بتوانید اطلاعاتی را از طریق کاغذ یادداشتی که بدون پاره شدن دور ریخته شده جمع آوری کنید، نیازی ندارید که ساعت‌ها برای به دست آوردن همان اطلاعات تلاش کنید تا حمله جستجوی فراگیر را انجام دهید.

یک کاربر می­‌تواند با امحا فیزیکی زباله­‌های خود اقدامات مناسبی را انجام دهد. همه پرسنل باید از روش‌هایی که سبب نشت اطلاعات به صورت فیزیکی می­‌شوند آگاه باشند.

در یک سریال تلویزیونی قدیمی به نام گروه تایگر (Tiger Team) نحوه استفاده از زباله‌ها برای پیدا کردن اطلاعات درباره هدف نمایش داده شد. این افراد توانستند پس از شناسایی نام کارمند بخش پشتیبانی شرکت یکی از اعضای تیم خودشان را به عنوان پشتیبان فنی به شرکت بفرستند و از این طریق دسترسی کاملی به سرورها پیدا کنند.

هنوز هم کتاب “هک بدون فناوری” یکی از بهترین منابع درباره شیرجه در زباله‌ها در حوزه امنیت است. این کتاب پر از اطلاعات فوق‌العاده درباره مهندسی اجتماعی است و حاوی تصاویر فوق‌العاده‌ای از نمونه اطلاعاتی است که می‌توان از سطل زباله و بدون نیاز به کاوش و بررسی عمیق زباله‌ها به دست آورد.

قانونی بودن

در بسیاری از مکان‌ها برداشتن اقلامی که در سطل زباله و زباله‌دانی ریخته شده‌اند قانونی است. اما باید توجه داشت که اگر این سطل زباله در یک ملک خصوصی قرار داشته باشد (نه در گوشه خیابان یا یک کوچه عمومی) در این صورت ممکن است رفتن به ملک دیگران و برداشتن اقلام از داخل سطل زباله، تجاوز به حریم دیگران محسوب شود. توصیه می‌کنیم که همواره در هنگام اجرای تست نفوذ، قوانین منطقه‌ای را که قرار است این کار در آنجا انجام شود بررسی کنید و همیشه هنگام انجام تست مهندسی اجتماعی فیزیکی، نامه مجوز را همراه خودتان داشته باشید.

نفوذ/نقش بازی کردن

نفوذ (ورود سرزده و بدون اجازه) وقتی انجام می‌گیرد که مهندس اجتماعی برای به دست آوردن اطلاعات و یا با جعل هویت فرد دیگری وارد ساختمان یا ملک شخص یا سازمان مورد هدف می‌شود. مهندس اجتماعی می‌تواند با بازی کردن نقش یک کارمند، یک پیمانکار یا حتی یکی از مدیران IT سوالاتی را بپرسد یا پیشنهاد رفع مشکلات را به صورت رو در رو یا از پشت تلفن مطرح کند.

مهندسین اجتماعی برای موفق شدن در این کار باید خودشان را هم رنگ جماعت کرده و مثل افراد حاضر در محیط لباس بپوشند و رفتار کنند. مشارکت در یک‌سری فعالیت‌ها یا قرار گرفتن در محیط‌هایی که مهندس اجتماعی را در تعامل با کارمندان مورد هدف قرار می‌دهد، فرصت بسیاری خوبی جهت گردآوری اطلاعات فراهم می‌کند. مجاورت با کارمندان می‌تواند فرصت‌های بسیار خوبی برای گفتگو، استراق سمع یا حتی کپی کردن کارت شناسایی یا کارت‌های RFID فراهم کند.

در وبسایت Dark Reading به یک حمله مهندسی اجتماعی مخرب اشاره شده که در آن یک فرد ناشناس فقط با استفاده از هوش و مهارت خودش توانسته رابطه‌ای با کارمندان برقرار کند تا با استفاده از این رابطه محل ذخیره الماس‌هایی با ارزش بیش از ۲۰ میلیون دلار را پیدا کند.

حرکت کردن پشت سر هدف

حرکت کردن با فاصله کم پشت سر هدف (که به آن Piggybacking هم گفته می‌شود) یک راه برای دسترسی به یک ساختمان ایمن سازی شده حتی در صورت وجود مکانیزم‌های امنیتی مبتنی بر کارت هوشمند یا ویژگی‌های بیومتریک است. معمولاً این راهکارهای امنیتی می‌توانند مانع ورود پرسنل غیرمجاز به ساختمان‌ها و دسترسی آنها به سیستم‌ها یا شبکه‌ها شوند. متاسفانه افراد در بسیاری مواقع، بیش از حد لازم برای کمک به دیگران تلاش می‌کنند و مثلاً وقتی به نظر می‌رسد که فردی در حال جستجوی کارت عبور خودش است در را برای او باز می‌گذارند تا از این طریق به او کمک کرده باشند. بازی کردن نقش کارمند یا تکنسینی که با عجله به سمت در حرکت می‌کند تا قبل از بسته شدن در وارد ساختمان شود هم یکی از روش‌های دسترسی به ساختمان‌هایی است که ورود به آنها برای مهندسین اجتماعی دشوار است.

در ادامه ویدیویی را مشاهده می‌کنید که نشان می‌دهد استفاده از این روش برای ورود به یک ساختمان چقدر ساده و آسان است:

 

مهندسی اجتماعی معکوس

در این روش، مهندس اجتماعی از قبل به شبکه یا ماشین موردنظر دسترسی پیدا کرده و به نوعی آن را خراب و غیرقابل استفاده می‌کند، سپس پیشنهاد تعمیر کردن آن را مطرح می‌کند. یک‌سری دستگاه‌های کنترل از راه دور وجود دارند که امکان شنیدن صداها از راه دور یا استراق سمع از طریق یک سیم کارت معمولی را فراهم می‌کنند. همچنین مهندس اجتماعی می‌تواند با کمک اطلاعاتی که از قبل از طریق تلفن، ایمیل یا وب‌سایت جمع آوری کرده، یک نقطه دسترسی برای نفوذ تشکیل دهد یا به قسمت‌های مورد نیاز دسترسی پیدا کند.

سرک کشیدن

یکی از روش‌های جمع آوری اطلاعات، ایستادن پشت سر افراد و نگاه کردن و سرک کشیدن جهت دستیابی به اطلاعات است. اطلاعاتی که از این طریق جمع آوری می‌شوند طیف وسیعی دارند از شناسه کاربری گرفته تا پسوردها یا سایر اطلاعات محرمانه‌ای که به صورت متن ساده هستند. در این روش لزوماً نیازی به نفوذ فیزیکی به محل مورد نظر وجود ندارد. می‌توان این کار را در هر جایی که مردم لپ تاپ‌هایشان را برای کار باز می‌کنند از جمله در کافی شاپ، فرودگاه‌ها، رستوران هتل‌ها یا حتی در فضای باز انجام داد.

در ادامه ویدیویی را مشاهده می‌کنید که نشان می‌دهد سرک کشیدن در رایانه افراد چقدر آسان است:

پیشنهاد ما به شما مطالعه مقاله: حملات سایبری متداول: پیشگیری و امنیت می‌باشد.

با ما همراه باشید.

 

نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

1 × سه =

دکمه بازگشت به بالا
بستن
بستن