مهندسی اجتماعی و انواع آن
در هر هک و حملهی سایبری، پای یک یا چند آسیبپذیری در میان است. آسیبپذیریها فنی راه را برای نفوذ مهاجمان باز میکنند. به همین دلیل مهم هستند و در اهمیتشان شکی نیست. اما در این بلاگپست میخواهیم به دستهای از حملات بپردازیم که مهاجم در آنها از گونهی دیگری از آسیب پذیری ها سوءاستفاده میکند؛ آسیب پذیری های انسانی. تلاش کردهایم که به بیانهای مختلف به تعریف مهندسی اجتماعی بپردازیم و مثالهای رایج و ملموسی از آنها را برشماریم. چراکه شاید برای شما هم اتفاق بیفتد!
آنچه در این بلاگپست خواهید خواند:
مهندسی اجتماعی چیست؟
مهندسی اجتماعی مانند چیست؟
مثالهایی از انواع حملات مهندسی اجتماعی
برخی تکنیکهای مورد استفاده در حملات مهندسی اجتماعی
چند نکته راجع به مهندسی اجتماعی
مهندسی اجتماعی چیست؟
مهندسی اجتماعی نوعی از حمله است که از آسیب پذیری انسانها بهره میبرد. در این حملات هکرها در راستای رسیدن به اهداف خودشان، تلاش میکنند افراد را ترغیب به انجام کاری کنند که منجر به افشای اطلاعات محرمانه یا بهخطر افتادن امنیت یک سازمان یا یک سیستم شود. بهعبارت دیگر در این روند، هکرها سعی میکنند با استفاده از ضعفهای شخصیتی یا سوءاستفاده از ویژگیهای اخلاقی افراد از آسیب پذیربودن انسانها سوءاستفاده کنند و انسانها را هک کنند.
ارغوان کامیار:
یک تعریف کلی که در مورد "هک" وجود دارد که همه شنیدهایم، این است:" اول باید درک کنید چیزهای مختلف چطور کار میکنند، تا بعد بتوانید طوری از آنها استفاده کنید که قرار نبوده است."
پیشنهاد خواندنی: گپوگفتی با شکارچی راورو؛ ارغوان کامیار (spark)
مهندسی اجتماعی مانند چیست؟
مهندسی اجتماعی میتواند این طور تصور شود؛ مانند جادوگری که یک ترفند را اجرا میکند. مهندسان اجتماعی از تقلب، قانعکردن و تاکتیکهای روانشناسی استفاده میکنند. در چه مسیری و با چه هدفی؟ درراستای فریب افراد درجهت اشتراکگذاری اطلاعات حساس یا انجام اقداماتی که به طور عادی انجام نمیدهند. همانطور که جادوگر از ترفندهای دستباز و حقیقتپوشی برای رسیدن به هدف خود استفاده میکند، مهندسان اجتماعی نیز از مهارتهای اجتماعی و تلاشهای روانشناسی برای رسیدن به هدف خود استفاده میکنند. هم جادوگر و هم مهندس اجتماعی، بر روی روانشناسی و هیجانات احساسی حساب میکنند تا به نتیجهی مطلوب خود برسند.
به بیان سادهتر؛ مهندسی اجتماعی (Social Engineering) به نوعی هنر یا تکنیک که مشابه فریبکاری و متقاعدسازی ست، شباهت دارد. در روند آن فرد تلاش میکند تا از طریق تعاملات انسانی، افراد را به افشای اطلاعات حساس، انجام کارهای خاص یا تغییر رفتار ترغیب کند. در این تکنیک، به جای حملهی مستقیم به سیستمهای کامپیوتری یا شبکهها، از نقاط ضعف روانشناختی و عاطفی انسانها استفاده میشود.
مثالهایی از انواع حملات مهندسی اجتماعی
مهندسی اجتماعی میتواند شامل انواع اشکال فریب انسانها برای دسترسی به اطلاعات حساس یا سیستمها باشد. بگذارید برای وضوح بیشتر، به سراغ چند مثال برجسته از حملات مهندسی اجتماعی برویم.
فیشینگ:
یکی از رایجترین اشکال مهندسی اجتماعی فیشینگ است، که در آن حملهکنندگان ایمیلها یا پیامهایی را ارسال میکنند که مشابه به یک منبع معتبر مانند یک بانک یا شرکت شناختهشده، است. آنها با این کار میخواهند که افراد را به ارائهی اطلاعات حساسی مانند رمز عبور یا جزئیات اطلاعات مالی وادار کنند. در سال 2016، یک حمله فیشینگ به کمپین ملی دموکراتها (DNC) در انتخابات ریاست جمهوری آمریکا صورت گرفت که منجر به نفوذ به ایمیلهای حساس شد.
یک مثال رایج و معروف از حملههای فیشینگ، مربوط به شبیهسازی درگاههای بانکیست. هکرهای کلاهسیاه صفحهای جعلی مانند درگاه بانک را با ظاهری مشابه درگاه واقعی بانک، در آدرسی مشابه آدرس درگاههای بانک (مانند shaparaak.ir که دو تا حرف a دارد) میسازند. سپس این لینک را برای فرد موردنظر خود ارسال و او را به انجام تراکنشی خاص و یا شرکت در یک کار خیر دعوت میکنند. آن فرد نیز ممکن است با توجه به شباهت آدرس درگاه بانکی و شباهت ظاهری صفحهی تقلبی ایجادشده به صفحهی اصلی، با اعتماد و اطمینانخاطر اطلاعات کارت بانکی خود را در آن صفحه وارد کند. اطلاعاتی که فرد در آن صفحهی جعلی پرداخت وارد میکند، در پایگاهدادهای که تحت کنترل هکرهای کلاهسیاه است ذخیره میشود و آنها میتوانند با همان اطلاعات به انجام تراکنش بپردازند. اینگونه فرد دودستی، اطلاعات خود را تقدیم هکر کلاهسیاه کرده است!
ارغوان کامیار:
من همیشه به همه میگویم:" روی هر لینکی که دیدید، کلیک نکنید و برای دیگران نفرستید. حواستان به پنیرهای رایگانی که در تله موشهاست باشد! " . چیزی که شاید به هرکسی بگویم همین است که هر پیام، ایمیل و مسیجی که برایشان میآید، واقعا همان چیزی نیست که داخلش نوشته شده است! و اطلاعاتشان را منتشر نکنند. به نظرم چیزی که شایع است این است که آدمها راحت اطلاعاتشان را در اختیار بقیه قرار میدهند و اطلاعاتگرفتن از آنها کار خیلی سختی نیست. فکر میکنم نیازی نیست آدم هکر یا حتما در حوزهی امنیت سایبری باشد تا بداند که نباید خیلی ساده و راحت اطلاعات را منتشر کرد.
پیشنهاد خواندنی: گپوگفتی با شکارچی راورو؛ ارغوان کامیار (spark)
تقلب CEO/تقلب ایمیل تجاری (BEC):
در حملات تقلب CEO یا BEC، هکرها خود را بهجای مدیران سطح بالا در یک شرکت جا میزنند و از کارکنان درخواست انتقال وجوه یا اطلاعات حساس را میکنند.
یک مثال خوب از این نوع حملات، ماجرای شرکت Ubiquiti Networks است که در سال 2015 به دلیل یک تقلب BEC حساب شده 46.7 میلیون دلار از دست داد.
تلاش برای تغییر رفتار در شبکههای اجتماعی:
از پلتفرمهای شبکههای اجتماعی برای اهداف مهندسی اجتماعی بسیار استفاده میشود. مانند؛ گسترش اطلاعات غلط، تأثیر گذاری بر نظر عمومی یا برگزاری کمپینهای هدفمند. بهعنوان مثال میتوان از رسوایی Cambridge Analytica در سال 2018 که شامل جمعآوری دادههای شخصی از کاربران فیسبوک برای تبلیغات سیاسی بود، نام برد.
پیشینهسازی:
در روند پیشینهسازی، مهاجمان یک سناریو ساختگی ایجاد میکنند تا اعتماد فرد را جلب و اطلاعات آنها را استخراج کنند. در این شرایط آنها ممکن است با تظاهر به فردی معتبر یا شناختهشده، دیگران را به اشتراکگذاری اطلاعات محرمانه تحریک کنند. مثلا؛ نفوذگر ممکن است تظاهر کند همکاری قابلاعتماد یا نمایندهی خدمات مشتری ست، تا از این طریق اطلاعاتی حساس را دریافت و یا به مناطق محدود دسترسی پیدا کند.
در سال 2019، گروهی از هکرها به عنوان کارکنان یک صرافی رمز ارز عمل کرده و با دسترسی به مقر صرافی، مبلغی بالغ بر 40 میلیون دلار رمز ارز را دزدیدند.
حملات تقلب پشتیبانی فنی:
گاهی مهندسین اجتماعی تظاهر میکنند که نمایندگان پشتیبانی فنی از شرکتهای قانونمند هستند و افراد را متقاعد میکنند که دسترسی از راه دور به کامپیوترهای خود یا اطلاعات پرداخت برای خدمات غیرضروری را در اختیارشان قرار بدهند. این حملات هر ساله صدها هزاران دلار زیان به افراد و شرکتها وارد میکنند.
دنبال کردن:
در این تاکتیک، که به صورت فیزیکی و حضوری انجام میشود، نفوذگر پشت سر یک فرد مجاز در یک منطقه امن حضور پیدا میکند. و با بهرهبرداری از عدم هوشیاری فرد مجاز، به مناطق محدود دسترسی غیرمجاز پیدا میکند.
طعمهگذاری:
گذاشتن یک دستگاه فیزیکی، مانند یک درایو USB آلوده به نرمافزار مخرب، در مکانی که احتمال دارد توسط شخص موردنظر دیده شود و امن به نظر برسد، مثلا؛ محل کارش. وقتی که فرد آن را به کامپیوتر خود وصل میکند، در را برای ورود نرمافزارهای مخرب نیز باز میکند.
اغوا:
در اغوا، مهاجمان افراد را با چیزی جذاب، مانند یک دانلود رایگان یا جایزه، جذب میکنند. از مخاطب میخواهند تا درازای ورود به لینک یا واردکردن اطلاعات شخصی خود، به آنها دسترسی پیدا کنند. وقتی که فرد گول میخورد، مهاجم به دادههای حساس آنها دسترسی پیدا میکند.
علیرضا رضایی:
اینکه مردم عادی میگویند "ما در گوشیمان چیزی نداریم، که لیک بشود." خیلی اعصابم را خرد میکند. روی لینکهای مختلف کلیک میکنند؛ لینک "۱۰ هزار دلار برنده شوید" و ... .
مثال خیلی سادهاش این است که شما در گوشیتان مخاطب که دارید. هکر میتواند برود و به مخاطبانتان SMS بزند، لینک بفرستد، ازشان کلاهبرداری کند... . نکنید بابا! از این کارها نکنید! حداقل اگر برای خودتان مهم نیست، برای امنیت مخاطبهایتان که این مورد مهم است. از طریق شما میتوانند به مخاطبهای گوشیتان برسند!
پیشنهاد خواندنی: گپوگفتی با شکارچی؛ علیرضا رضایی
چند نکته راجع به مهندسی اجتماعی
برای وضوح بیشتر مفهوم مهندسی اجتماعی میخواهیم راجع به مواردی توضیح دهیم؛ دربارهی اینکه "مهندسی اجتماعی چیست؟"، " مهندسی اجتماعی از چه جنس است؟" و " چه چیزهایی لزوما مهندسی اجتماعی نیستند؟"
مهندسی اجتماعی به تعاملات آنلاین محدود نیست
تصور اشتباه اغلب افراد بر این است که حملههای مهندسی اجتماعی فقط از طریق ایمیل، تماسهای تلفنی یا سایر کانالهای دیجیتال صورت میگیرد، اما لازم است توجه کنیم که حملات مهندسی اجتماعی بر روی نواقص انسانی، تعاملات اجتماعی و ضعفهای شخصیتی افراد تاکید دارد و به همین خاطر فقط به بسترهای انلاین و سیستمهای کامپیوتری محدود نمیشود.
حملهی مهندسی اجتماعی آشکار نیست
مهندسی اجتماعی اغلب بهراحتی شناسایی نمیشود. هکرها حملات خود را متناسب با موقعیت و افراد اجرا میکنند. یعنی بر اساس شخصیت هر فرد از تکنیکهای مختلفی استفاده میکند. قربانیان حملات تهدید اجتماعی ممکن است حتی تا مدتها متوجه نشوند که چه اتفاقی افتاده و چگونه مورد سوء استفاده و نفوذ قرار گرفتهاند. برای همین نیاز است تا به صورت دورهای مفاهیم و تکنیکهای جدید حملات مهندسی در سازمانها آموزش داده شود.
برخی تکنیکهای مورد استفاده در حملات مهندسی اجتماعی:
همانطور که در مثالهای بالا دیدید، مهندسی اجتماعی به طور کلی نیازمند دانش روانشناسی، رفتارشناسی و گاهی فناوری است و یکی از خطرناکترین انواع حملات سایبری محسوب میشود. زیرا معمولاً بدون نیاز به ابزار پیشرفته میتواند به اطلاعات ارزشمند دست پیدا کند.
برخی تکنیکهای مورداستفاده در مهندسی اجتماعی عبارتند از:
فریبکاری (Deception):
مهاجم با فریب، سعی میکند قربانی را متقاعد کند که اطلاعات اشتباه ارائه دهد یا کاری انجام دهد که به نفع مهاجم باشد.
روانشناسی متقاعدسازی (Persuasion Psychology):
مهندسی اجتماعی از اصول روانشناختی مانند جلب اعتماد، ایجاد اضطراب یا استفاده از احساس اضطرار بهره میگیرد.
هنر بازیگری (Acting):
مهندس اجتماعی مانند یک بازیگر نقش خاصی را بازی میکند (مثلاً یک همکار، مدیر، یا نماینده یک شرکت) تا قربانی احساس راحتی و اطمینان کند.
شبیهسازی واقعیت (Simulation):
در برخی موارد، مهندسی اجتماعی شبیه به یک سناریوی طراحی شده است که قربانی را بهصورت برنامهریزیشده و هدفمند وارد فضایی جعلی میکند، مانند وبسایتهای فیشینگ که شبیه وبسایتهای واقعی هستند. فرآیند فیشینگ مثالی از این مورد محسوب میشود که بسیاری از کاربران، معمولا قربانی آن میشوند.
سخن آخر:
در این بلاگپست به معرفی مهندسی اجتماعی پرداختیم و برخی روشهای مرسوم در حملات مهندسی اجتماعی برشمردیم. اما برای امنتر شدن در مقابل این حملات چه میشود کرد؟ برای افراد و سازمانها ضرورت دارد که هوشمند باقی بمانند، خود را درباره این تهدیدات آگاه کنند و تدابیر امنیتی را برای حفاظت در برابر حملات مهندسی اجتماعی ببینند. در بلاگپستی دیگر بهطور مفصلتر به برخی نکاتی که لازم است سازمانها و افراد بدانند و نسبت به آنها هوشیار باشند، نیز میپردازیم.
بلاگپستهای مرتبط:
چکلیست مراقبت از گذرواژه؛ گاهی زود، دیر میشود...