مهندسی اجتماعی تکنیک استفاده از روشهای روانشناسی برای به دست آوردن اعتماد افراد و سوءاستفاده از آن افرادی که مهندسی اجتماعی انجام میدهند در حقیقت از احساسات افراد به نفع خودشان بهره میبرند. آنها با استفاده از تحریک احساسات افراد، آنها را قانع میکنند که اطلاعات حساسشان را فاش کنند یا اجازه دسترسی به نواحی تحت کنترل ساختمانها و دفاتر اداری را بدهند. تاکتیکها و استراتژیهایی که کلاهبرداران استفاده میکنند از مدتها پیش وجود داشتهاند که یکی از این تکنیکها Pretexting است.
Pretext یک سناریوی ساختگی است که برای گول زدن افراد و جلب اعتماد آنها طراحی شده است.اغلب کسانی که مهندسی اجتماعی انجام میدهند از نسخهای از تکنیک Pretext استفاده میکنند، به عنوان مثال به افراد وعده مبالغ هنگفتی از پول را میدهند و یا هشدارهایی میدهند که ادعا میکنند حساب کاربری شما به دلیل مشاهده برخی فعالیتهای خرابکارانه نیاز به بهروزرسانی دارد.
در برخی موارد، کلاهبرداران هفتهها و ماهها زمان صرف تحقیق بر روی پیادهسازی حملات پیچیده با به کارگیری تکنیک Pretexting جهت هدف قرار دادن یک سازمان به خصوص میکنند. کارکرد Pretext به چه صورت است؟ اجازه دهید در عمل به شما نشان دهیم تا درک عمیقتری از روانشناسی یک کلاهبرداری بدست بیاورید.
تکنیک Pretext در عمل
Pretexting چگونه عمل میکند؟
سلام
سلام. Donna هستم از بخش IT. میتونم با Sam Spade از بخش پشتیبانی بازرگانی صحبت کنم؟
بله!
عالیه. همانطور که گفتم Donna هستم از بخش IT و نمیدونم که متوجه شدید یا نه اما امروز اینترنت رفتار عجیب غریبی داشته …
خوب، امروز صبح یک مقدار کند بوده
خوب ما داریم سعی میکنیم منبع این برخورد IP را پیدا و مجزا کنیم و به نظر میرسد که منبع این برخورد از جداول کنترلی و مسیریابی شبکه داخلی در بخش بازرگانی نشات میگیره، متوجه منظورم هستید؟
آه، بله.
خوبه. پیدا کردنش کار سختی نیست. من دارم بعضی از حسابهایی را که به نظر می رسه در حال ارسال TCP یا TLS هستند مجددا راهاندازی کنم. فقط لازمه که شما پروفایل اکتیو دایرکتوریتونو مجددا راهاندازی کنید تا بافر دوباره شروع به کار کنه … ایمیل شما sam_spade@mycompany,com هستش؟
درسته.
و رمزعبورتون … اوه! قبل از اینکه رمزتو به من بگی باید قول بدی که بلافاصله آن را عوض میکنی و منظورم از بلافاصله دقیقا بعد از این هست که تماس من با شما قطع شد. می دونی که اینا همه مباحث امنیتی هستند و باید رعایت بشن.
قول می دم. خب، رمز عبورم اینه maryhad4rabbits … همه با حروف کوچک و یک عدد 4 در میانه …
ممنون یک دقیقه صبر کنید…
کلیک!
Sam در ادارهی این موقعیت، ناموفق بود و پیش از آنکه نتیجهگیری کنید این نوع عمومی از حملات بر روی شما یا سایر اعضای سازمانتان اثرگذار نخواهد بود، به داستان جیسون استریت گوش کنید؛ زمانی که مأمور هک کردن یک بانک بزرگ در بیروت شد. این داستان توسط National Geographic به عنوان بخشی از مجموعه سریالیشان که نفوذ نامیده میشود: تحت عنوان ترور سایبری، به صورت مستند نمایشی در آمده است.
استریت وارد بانک شد (در حالی که یک دوربین مخفی به همراه داشت) و با تظاهر به اینکه یکی از اعضای تیم IT است موفق شد به کامپیوتر دسترسی فیزیکی داشته باشد. یک نشان ساختگی، یک لباس فرم و یک راهکار Pretext عالی، همگی دست به دست هم میدهند تا نفوذ به سازمان صورت پذیرد.
اجازه ندهید Samهای دنیای شما توسط Donnaهای موجود در جهان گول بخورند. دستبهکار شوید و فرهنگ آگاهی امنیتی و فایروالهای انسانی مقاوم در برابر کلاهبرداری را ایجاد کنید.
چگونه سازمانتان را از حمله با تکنیک pretext در امان نگه دارید؟
به کارکنان آموزش دهید تا به مهندسی اجتماعی توجه کنند
زمانی که بحث جلوگیری از موفقیت مهندسی اجتماعی به میان میآید هیچچیز جای آموزش را نمیگیرد. اگر کارکنان شما بدانند که هر فردی هر اندازه که موجه و قانونی به نظر بیاید، همواره باید شکاک و دیرباور باشند و هرگز به هیچ شخصی اعتماد کورکورانه نداشته باشند، درصد ریسک سازمان شما به شکل چشمگیری بهبود خواهد یافت.
خودتان را دست کم نگیرید
علیرغم جایگاه شغلیای که در سازمان دارید، هرگز تصور نکنید که هدف حمله نخواهید بود. مسلما هرچه مجوزهای دسترسی بالاتری داشته باشید، هدف جذابتری برای کلاهبرداران به شمار میآیید؛ اما کلیه افراد از مدیران گرفته تا کارمند پذیرش در این بازی دخیل هستند و خنثی کردن تهدیدات احتمالی یکی از مسئولیتهای مشترک کلیه افراد است.
تستهای نفوذ انجام دهید
بانکی که استریت آن را هک کرد بر این نکته تأکید دارد که شناسایی آسیبپذیریها و نقاط قوت سازمانتان بسیار حائز اهمیت است و تست نفوذ دقیقا به همین منظور انجام میشود. با بهکارگیری یک شخص سوم که وارد شبکهها و ساختمان شما شود و کارکنان شما را مورد حمله فیشینگ قرار دهد، میتوانید میزان ریسک مجموعهتان را اندازهگیری کرده و طرحی برای تبدیل نقاط ضعفتان به نقاط قوت پایهریزی کنید. بخش بزرگی از حفظ امنیت، یافتن حفرههای موجود در سازمان است، پیش از آنکه این حفرهها به دست افراد نابکار بیفتند!