تهدیداتمقالات

مهندسی اجتماعی: روش‌هایی که برای شستشوی مغزی و فریب افراد استفاده می‌شود!

بررسی مثال‌های هک از طریق مهندسی اجتماعی، چگونگی عملکرد مهندسی اجتماعی و نحوه ایمن ماندن در برابر آن

شاید شما هم درباره مهندسی اجتماعی شنیده باشید. این اصطلاح هم کمابیش شبیه شستشوی مغزی افراد از طریق کانال‌های شبکه‌های اجتماعی است اما تعریف آن وسیع‌تر و گسترده‌تر است. در این مقاله توضیح خواهیم داد که مهندسی اجتماعی چیست؛ هم از دیدگاه روان­شناسی اجتماعی و هم در حوزه امنیت اطلاعات.

پس از توضیح و شفاف‌سازی این اصطلاح­ات به نحوه عملکرد حملات مهندسی اجتماعی خواهیم پرداخت. همچنین در رابطه با مشهورترین کلاهبرداری‌های مهندسی اجتماعی تا به امروز و نحوه ایمن ماندن در برابر آنها صحبت خواهیم کرد.

مهندسی اجتماعی چیست؟

سه تعریف اساسی برای مهندسی اجتماعی

مهندسی اجتماعی اصطلاحی است که اولین­‌بار در حوزه علوم اجتماعی ظاهر شد و به نوعی مداخله مستقیم دانشمندان در علوم انسانی بود. اصطلاح «مهندس اجتماعی» نخستین­ مرتبه توسط Van Marken در سال ۱۸۹۴ ابداع شد و هدف آن ترویج این ایده بود که برای مقابله با مشکلات انسانی، وجود افراد حرفه‌ای ضرورت دارد. درست همان‌طور که نمی‌توانید بدون آموزش مهارت‌های لازم مشکلات فنی را حل کنید، مسایل و مشکلات اجتماعی را هم بدون داشتن مهارت‌های لازم نمی‌توانید حل کنید.

اما از آن به بعد اصطلاح مهندسی اجتماعی تکامل پیدا کرد و بیانگر موضوع­‌های دیگری شد. با توجه به این که قصد نداریم از تمرکز اصلی این مقاله که حوزه فناوری اطلاعات است دور شویم، در ادامه کمی درباره ایده کلی مهندسی اجتماعی صحبت خواهیم کرد.

۱. مهندسی اجتماعی در جامعه و مهندسی فرهنگی

در ابتدا مهندسی اجتماعی در حوزه علوم اجتماعی استفاده شد که جنبه مثبتی داشت و نشان دهنده مداخله مثبت در اجتماع توسط متخصصان بود. این ایده در عصر مثبت‌گرایی در جامعه شناسی یعنی اوایل قرن ۱۹ میلادی ایده محبوبی بود.

در آن زمان، دانشمندان علوم اجتماعی باور داشتند که جامعه در حال تحول است و از جامعه‌ای کمتر متمدن به جامعه‌ای متمدن و پیشرفته تبدیل می‌شود. هر چند باور کلی این بود که این تحول اجتماعی به صورت طبیعی و به کندی انجام می‌شود اما مداخله دانشمندان می‌تواند آن را تسریع کند. بنابراین مهندسی اجتماعی به معنای تأثیر و نفوذ دانشمندان علوم اجتماعی بر جوامع انسانی با هدف تغییر اجتماع بود. به این پدیده مهندسی فرهنگی هم گفته می‌شد.

۲. مهندسی اجتماعی در روان­شناسی اجتماعی (و علوم سیاسی)

پس از مدتی، وقتی این مفهوم به نوعی از مد افتاد و مشخص شد که این نوع تکامل و تحول جامعه، ساده و طبیعی است و مهندسی اجتماعی مفهوم جدیدی به خود گرفت.

در این برهه زمانی، مهندسی اجتماعی دیگر به معنای مداخله‌­های مثبت در جامعه نبود و معنای آن کم‌­کم به شستشوی مغزی اجتماعی تبدیل شد که به مفهوم مورد استفاده در حوزه فناوری اطلاعات امروزی نزدیک‌تر است. هنوز هم از این مفهوم بیشتر در حوزه علوم سیاسی و روان­شناسی اجتماعی استفاده می‌شود و بیانگر مداخله­‌های بزرگ، با هدف تغییر جامعه و نگرش‌های فرهنگی است.

در علوم اجتماعی، مهندسی اجتماعی هنوز هم همان مفهوم مشابه قبلی را دارد اما در حوزه فناوری اطلاعات، مهندسی اجتماعی به فریب دادن و شستشوی مغزی گروه‌های کوچک یا حتی افراد خاص گفته می‌شود و نه جوامع و اجتماع­‌های بزرگ.

۳. مهندسی اجتماعی در حوزه امنیت

در نهایت، به نکته اصلی نزدیک‌تر می‌شویم. در حوزه امنیت اطلاعات، مهندسی اجتماعی به عمل استفاده از طبیعت اجتماعی و جامعه‌پذیر انسان‌ها برای فریب دادن یا شستشوی مغزی آنها گفته می‌شود.

Kevin Mitnick منجر به محبوبیت این اصطلاح در حوزه فناوری اطلاعات شد. وی یک هکر بسیار مشهور است که در دهه ۹۰ میلادی فعالیت داشت و بعداً به عنوان محقق امنیتی فعالیت خود را آغاز کرد و نویسنده کتاب مشهور «هنر فریب» است.

تمام کلاهبرداری‌هایی که متکی بر تمایل غریزی انسان‌ها به مفید بودن، مهربان بودن یا تسلیم شدن در برابر زور و تهدید هستند زیرمجموعه مهندسی اجتماعی قرار می‌گیرند.

بنابراین مفهوم مهندسی اجتماعی در حوزه امنیت فناوری اطلاعات مربوط به نوعی حمله است که مستلزم تعامل انسانی و شستشوی مغزی است تا مهاجم موفق به دسترسی به شبکه‌ها، اطلاعات محرمانه و غیره شود.

یکی دیگر از تعریف­‌های مهندسی اجتماعی در حوزه امنیت اطلاعات به این صورت است: «هنر به دست آوردن دسترسی به ساختمان‌ها، سیستم‌ها یا داده‌ها با استفاده از روان­شناسی انسانی به جای استفاده از روش‌های هک و نفوذ».

هر حمله فناوری اطلاعات که مستلزم سوءاستفاده از نقاط ضعف انسانی به تنهایی یا در کنار سایر آسیب‌پذیری‌ها باشد، جزو حملات مهندسی اجتماعی طبقه‌بندی می‌شود.

حمله مهندسی اجتماعی چیست و چگونه کار میکند؟

حالا که مفهوم مهندسی اجتماعی را بررسی کردیم، در ادامه خواهیم گفت که مهندسی اجتماعی چیست، چگونه کار می‌کند و انواع حملات مهندسی اجتماعی کدام­‌ هستند.

حملات مهندسی اجتماعی در حوزه فناوری اطلاعات چگونه کار میکنند؟

در هر نوع حمله در حوزه فناوری اطلاعات که بتوان آن را جزو حملات مهندسی اجتماعی دانست باید از شستشوی مغزی استفاده شود تا کاربران را متقاعد به ارتکاب اشتباه­های امنیتی کند. در شکل زیر، چرخه حملات مهندسی اجتماعی نشان داده شده است.

 چرخه حمله مهندسی اجتماعی

شستشوی مغزی و روانی که برای حملات مهندسی اجتماعی استفاده می‌شود می‌تواند شکل و فرم‌های مختلفی داشته باشد:

  • متن یا سناریوی آماده: مهاجم وانمود می‌کند که تماس برقرار شده، بدون هرگونه هدف خرابکارانه‌­ای انجام شده است تا یک گفتگو را شکل داده و یک رابطه دوستانه ایجاد کند. این افراد فقط در مراحل پایانی حمله، اطلاعات حساس را درخواست می‌کنند.
  • طعمه گذاشتن: مهاجمان، قربانی را فریب می‌دهند کار غیرامنی را انجام داده که آنها را به خواسته‌شان برساند (مثلاً ممکن است مهاجمان، یک فلش آلوده را با برچسب‌هایی مثل «لیست پاداش‌های مخفیانه شرکت» سر راه قربانی قرار دهند).
  • حرکت کردن پشت سر افراد مجاز برای ورود به ساختمان: در این نوع حمله، مهاجم با حرکت کردن پشت سر یک فرد مجاز و وانمود کردن به این که او نیز مجاز به ورود به داخل ساختمان است، سعی می‌کند وارد محوطه‌ای با دسترسی محدود شود. هر چند این تعقیب کردن در دنیای فیزیکی انجام می‌شود اما هدف نهایی با حوزه فناوری اطلاعات در ارتباط است (به عنوان مثال مهاجم می‌تواند وارد اتاق سرور شود).
  • بازی کردن نقش دیگران: در این روش، مهاجم وانمود می‌کند که شخص دیگری است؛ شخصی که قدرت و اختیار لازم برای مطرح کردن یک خواسته یا تقاضا را داشته باشد (کلاهبرداری جازدن خود به جای پشتیبان فنی یا مدیرعامل جزو حملات متداول در این گروه می‌باشد).
  • جبران یک لطف: در این روش، مهاجم چیزی به شما عرضه کرده و در ازای آن از شما چیزی را درخواست می‌کند. در عین حال، جنبه مخرب و بدخواهانه هدف خود را نیز مخفی می‌کند (به عنوان مثال مهاجم در ازای پرداخت یک پاداش نقدی از شما می‌خواهد رمز عبوری را در اختیار وی قرار دهید و وانمود می‌کند یک محقق فناوری اطلاعات و در حال انجام یک مطالعه موردی است).
  • القای ترس: به عنوان مثال مهاجم وانمود می‌کند یک فرد واسط است و در رابطه با یک خطر به شما هشدار می‌دهد (مثلاً این که فردی حساب شما را هک کرده است) و از شما می‌خواهد که برای حل مسأله، رمز عبورتان را در اختیار وی قرار دهید.

انواع حملات مهندسی اجتماعی

بعضی از انواع متداول حملات مهندسی اجتماعی که قطعاً نام آنها را شنیده‌اید، عبارتند از:

  • کلاهبرداری مدیرعامل: مهاجمان وانمود می‌کنند که رئیس شما یا فردی با مقام و قدرت هستند و از شما می‌خواهند که کاری را انجام داده یا امکان دسترسی به اطلاعاتی حساس را برای آنها فراهم کنید.
  • فیشینگ: در این روش ممکن است شما از طریق ایمیل یا انواع روش‌های ارتباطی دیگر پیامی را دریافت کنید که وانمود شده از طرف یک شخص دیگر که شما به آن اعتماد دارید ارسال شده است مثل گوگل، فیس‌بوک، نت‌فلیکس، استیم و غیره و از شما درخواست می‌شود که برای ادامه کار، اطلاعات لاگین را وارد کنید.

پیشنهاد می‌کنیم مقاله زیر را حتما مطالعه کنید:

فیشینگ و نحوه مقابله با آن

  • ویشینگ: فیشینگ صوتی که معمولاً از طریق تلفن انجام می‌شود.
  • فیشینگ هدفمند: که با نام والینگ هم شناخته می‌شود و رز فیشینگ: یک مدل اختصاصی‌تر از فیشینگ که در آن یک دوره تحقیق درباره یک قربانی خاص انجام می‌شود تا از یک روش سفارشی برای وی استفاده شود.
  • اسمیشینگ: ارسال پیامک و وجود لینک تقلبی.
  • پیام یا برنامه­‌های کاربردی جعلی با پیوست‌های آلوده: در این روش مهاجم طوری عمل می‌کند که به نظر برسد قربانی، پیام و پیوست آن را درخواست کرده است اما وقتی پیوست باز شود، بدافزار وارد سیستم قربانی می‌شود.

۸ مثال مشهور از کلاهبرداریهای مهندسی اجتماعی

حالا که مشخص شد مهندسی اجتماعی چیست و چطور عمل می‌کند، در ادامه نگاهی به چند نمونه از هک‌های مشهور به روش مهندسی اجتماعی خواهیم داشت. متوجه خواهید شد که امکان رخ دادن این اتفاق برای هر فردی صرف‌نظر از میزان بزرگی یا کوچکی وی وجود دارد. ممکن است فقط یک لحظه غفلت منجر به نفوذ به داخل سیستم‌های شما شود.

AIDS یا باج افزار اصلی

بخش اصلی باج افزار، AIDS نام داشت و مثل یک تروجان عمل می‌کرد. این بخش دقیقاً در یک کنفرانس علمی و توسط یک محقق زیست‌شناسی تکاملی منتشر شد که ادعا می‌کرد قصد دارد برای مقابله با ایدز، سطح آگاهی را افزایش داده و پول جمع‌آوری کند.

در واقع این تروجان، پدربزرگ تمام کدهای باج افزاری است که پس از آن منتشر شدند. این بخش از طریق یک فلاپی دیسک منتشر شده و سپس با ایمیل به قربانیان اولیه ارسال می­شد. قربانیان تصور می‌کردند ایمیل مربوطه حاوی اطلاعاتی درباره نحوه کمک به مقابله با ایدز است. از این جهت این آلودگی یک نوع حمله مهندسی اجتماعی محسوب می‌شد که از تمایل افراد برای کمک به دیگران سوءاستفاده می‌کرد.

حمله Kevin Mitnick به DEC

Kevin Mitnick هکر متخصص در زمینه مهندسی اجتماعی (که بعداً تبدیل به یک محقق امنیتی شد) دقیقاً از طریق حمله‌ای که به شرکت تجهیزات دیجیتال (Digital Equipment Corporation یا به اختصار DEC) انجام داد، در دهه ۹۰ میلادی شهرت زیادی کسب کرد. از آنجایی که او هم‌پیمان با هکرهایی بود که قصد داشتند نگاهی به سیستم عامل DEC داشته باشند اما بدون اطلاعات لاگین قادر به ورود به این سیستم نبودند، Mitnick خیلی ساده یک تماس گرفت و این اطلاعات را درخواست کرد.

Kevin Mitnick با مدیر سیستم شرکت DEC تماس گرفته و ادعا کرد که یکی از کارمندان تیم توسعه‌دهنده است که موقتاً از حسابش خارج شده و امکان دسترسی به آن را ندارد. سپس مدیر سیستم، یک نام کاربری و رمز عبور جدید به او داد که سطح دسترسی بالایی داشت.

مشکلات داخلی HP با کارمندان

در سال ۲۰۰۵ و ۲۰۰۶، شرکت Hewlett-Packard به دلیل نشت اطلاعات در رسانه‌ها دچار مشکلاتی شد. این شرکت در راستای تلاش برای شناسایی کارمندانی که موجب نشت اطلاعات شده بودند، تعدادی بازرس خصوصی را استخدام کرد که موفق شدند تماس‌های ضبط شده افراد مورد نظر توسط شرکت مخابراتی AT&T را با این ادعا که خودشان این افراد هستند، دریافت کنند.

این اقدام طبق قوانین فدرال غیرقانونی شمرده شد اما قطعاً افق‌های جدیدی را در زمینه روش‌های مهندسی اجتماعی باز کرد.

هک یاهو در سال ۲۰۱۵

این هک بزرگ که باعث شد در سال ۲۰۱۴ هکرها اطلاعات شخصی بیش از ۵۰۰ میلیون کاربر را به دست آوردند، به فیشینگ هدفمند متکی بود. هکرها توانستند فقط با هدف گرفتن کارمندان سطح بالای شرکت یاهو از طریق پیام‌های ویژه و خاص به سرورهای یاهو دسترسی پیدا کنند. از آنجا به بعد مهاجمان از رمزنگاری و کوکی‌های جعلی برای نفوذ به حساب کاربری کاربران معمولی یاهو استفاده کردند.

هک وزارت دادگستری ایالات متحده

وزارت دادگستری آمریکا هم حتی از حملات مهندسی اجتماعی در امان نبوده است. تا زمانی که انسان‌ها در چنین محیطی کار کنند، امکان طعمه شدن در برابر تاکتیک‌های مهندسی اجتماعی وجود دارد. هکری که ناامید شده و به این نتیجه رسیده بود که بدون داشتن کد دسترسی قادر به نفوذ به سیستم نیست، یک تماس ساده گرفت و ادعا کرد که یکی از کارمندان است.

هکر پس از به دست آوردن کد توانست عملیات را ادامه داده و ارتباطات داخلی را شنود کند. وی برای اثبات این هک، یکسری اطلاعات مهم را افشا کرده و به وزارت دادگستری هشدار داد که امنیت را جدی‌تر بگیرد.

رسوایی مشهور فیسبوک و شرکت کمبریج آنالیتیکا

شرکت کمبریج آنالیتیکا متهم شد که به روشی بسیار پیچیده و با ساختن پروفایل‌های اجتماعی از روی تک­‌تک اطلاعاتی که درباره افراد پیدا کرده، توانسته است که با کمک شرکت فیس‌بوک با موفقیت بر انتخابات ریاست جمهوری آمریکا و رفراندوم بریتانیا درباره برگزیت تأثیرگذار شود.

این رسوایی نشان داد که هک‌های مهندسی اجتماعی گاهی وقت‌­ها به ریشه اصلی این واژه نزدیک می‌شوند (یعنی تغییر در جامعه).

حمله BEC به شرکت Ubiquiti Networks

در سال ۲۰۱۵ یک حمله ساده هک ایمیل کسب و کاری (به اختصار BEC)، منجر به نفوذ به شرکت Ubiquiti networks شده و باعث شد هکرها ۷.۴۶ میلیون دلار را به سرقت ببرند. این حمله به همین سادگی صورت گرفت که در آن مهاجمان با کارمندان بخش مالی تماس گرفته و خواستار اجرای یک تراکنش شدند.

رخنه احراز هویت دومرحلهای RSA

توکن‌های احراز هویت دومرحله‌ای SecurID از شرکت RSA به میزان زیادی غیرقابل هک شناخته می‌شوند. با این وجود، در سال ۲۰۱۱ شرایط تغییر کرد و در آن زمان یکسری از افراد داخلی شرکت طعمه حمله فیشینگ شده، داده‌های سازمانی را افشا کرده و منجر به خسارت ۶۶ میلیون دلاری شدند.

در ابتدا کارمندان RSA یک ایمیل جعلی دریافت کردند که وانمود می‌شد از طرف بخش استخدام یک شرکت دیگر ارسال شده است. یک فایل صفحه گسترده آلوده اکسل هم به این پیام پیوست شده بود. در صورت باز شدن این فایل پیوست، یک آسیب‌پذیری روز صفر در نرم افزار فلش امکان نصب یک تروجان در پشتی بر روی رایانه آلوده را برای هکرها فراهم می‌کرد.

هر چند نمی‌توان به صورت مناسب و درست میزان جدیت این رخنه را ارزیابی کرد اما محققان RSA باور دارند که ممکن است این هک بر امنیت فناوری توکن احراز هویت دومرحله‌ای آنها تأثیر گذاشته باشد و در نتیجه لازم باشد که این طراحی از صفر دوباره انجام شود. این حمله نشان داد که گاهی اوقات یک هک می‌تواند موجب شود که نیاز به بازسازی کامل فناوری ایجاد شود که قبلاً غیرقابل نفوذ تصور می‌شد.

رخنه Target در سال ۲۰۱۳

سیستم پایانه فروش Target در سال ۲۰۱۳ توسط هکرها مورد حمله قرار گرفته و آنها موفق به افشا و سرقت اطلاعات کارت بانکی بیش از ۴۰ میلیون مشتری Target شدند. اگر چه اطلاعات از طریق یک اسکریپت بدافزاری به سرقت رفتند اما نقطه ورود این بدافزار، یک حمله مهندسی اجتماعی هوشمندانه بود. مهاجمان که می‌دانستند برای راحت‌تر شدن کار می‌توانند در ابتدا یک طعمه کوچک‌تر را هدف بگیرند، از طریق فیشینگ، امنیت Fazio Mechanical Services را دچار اختلال کردند.

پیش از این امکان دسترسی به سیستم‌های Target برای یک تأمین‌کننده شخص سوم فراهم شده بود. بنابراین مهاجمان با هدف قرار دادن آن توانستند به سمت خود Target حرکت کنند.

برادران Badir

در دهه ۹۰ میلادی، برادران Badir خارق‌العاده‌ترین هکرهایی بودند که خاورمیانه را به ستوه آورند. این سه برادر، همگی نابینا بودند اما استعداد قابل توجهی در زمینه هک داشتند و البته برای هک علاوه بر روش‌های فنی از روش‌های مهندسی اجتماعی هم استفاده می‌کردند.

آنها می‌توانستند پشت تلفن، تمام صداها را تقلید کنند (حتی بازرسی که به دنبال آنها بود) و می‌توانستند فقط با شنیدن صدای تایپ، پین کد قربانی را تشخیص دهند. همچنین با منشی‌های مدیران رده بالای شرکتی چت می‌کردند و با خوش‌رویی از آنها اطلاعاتی را درخواست می‌کردند. آنها در نهایت توانستند به اطلاعات شخصی این مدیران، دست پیدا کرده و با موفقیت رمز عبور آنها را حدس بزنند.

تمام این مهارت‌ها، به آنها کمک کرد تا بتوانند در سراسر خاورمیانه یکسری حملات مهندسی اجتماعی موفق را اجرا کنند.

نحوه محافظت در برابر حملات مهندسی اجتماعی

متأسفانه دقیقاً به این دلیل که حملات مهندسی اجتماعی متکی بر اعتماد مردم هستند، محافظت در برابر آنها فقط با استفاده از ابزارهای فنی ممکن نیست. مفهوم مهندسی اجتماعی هم دقیقاً همین است. یعنی فریب دادن و بازی با افکار مردم برای کمک کردن به هکرها جهت دور زدن سازوکارهای محافظتی موجود.

اما در این زمینه هم خبرهای خوب و هم خبرهای بدی وجود دارد. خبر بد این است که هر چقدر ابزارهای امنیت سایبری مورد استفاده شما قوی باشد باز هم در صورتی که به افراد نادرستی اعتماد کنید، امکان هک این ابزارها از طریق مهندسی اجتماعی وجود دارد و خبر خوب این است که مادامی که خود شما و تمام کارمندان سازمان درباره مهندسی اجتماعی و تازه‌ترین روش‌های آن اطلاعات داشته باشید، آسیب‌پذیر نخواهید بود.

برای مقابله با مهندسی اجتماعی فقط یک راهکار وجود دارد و آن هم آموزش و آگاهی­‌بخشی در زمینه امنیت سایبری است.

اگر مسئول یک سازمان هستید، این اقدامات را انجام دهید:

  • حقوق دسترسی سطح راهبر سیستم را برای کاربران معمولی، کاهش داده و کنترل کنید.
  • همواره برنامه‌های آگاهی­‌بخشی و آموزش امنیت سایبری را اجرا کنید.
  • آزمون نفوذپذیری و برگزاری آزمون از کارمندان را انجام دهید.
  • علاوه بر پیشگیری، آماده مدیریت حادثه هم باشید.

امیدواریم که حالا متوجه شده باشید مهندسی اجتماعی چیست و بتوانید هک اجتماعی را تشخیص دهید. به کسب اطلاعات در زمینه امنیت سایبری ادامه دهید تا بتوانید بهتر از خودتان دفاع کنید.

با ما همراه باشید.

نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

1 × سه =

دکمه بازگشت به بالا
بستن
بستن