مهندسی اجتماعی

*سینا سوادکوهی

*کارشناس فناوری اطلاعات و امنیت شبکه

هر تکنولوژی شامل مزایا و معایبی است و از زمانی که اینترنت و گوشی و فضای مجازی در کشور رواج پیدا کرده درصد زیادی از مردم از معایب و کلاهبرداری‌های آن صحبت می‌کنند و گاهی هم مباحثی مطرح می‌کنند که این مباحث شامل ۷ مورد اصلی یعنی : ۱- فیشینگ   ۲- کلاهبرداری نیجریه‌ای    ۳- کلاهبرداری به بهانه برنده شدن در قرعه‌کشی  ۴- سایت‌های شرط‌ بندی   ۵- روش اسکیمر    ۶- هتک حیثیت و نشر اکاذیب  ۷- ارسال لینک و برنامه‌های مخرب در شبکه‌های اجتماعی و سایت‌ها است.

اما اگر بخواهیم این بحث را کامل‌تر کنیم گزینه هشتمی هم باید به این موضوع اضافه کنیم و بگوییم که مورد می‌تواند در همه موارد دیگر هم دخیل باشد و طبق آمارهای کشور ایران و استان همدان که پلیس فتا گزارش داده است بیشتر شکایت‌ها در حیطه این موضوع است. تمامی این شکایات ضعف و مشکل فضای مجازی نیست و بلکه فرهنگ و سواد رسانه‌ای است!

این مورد مهندسی اجتماعی و مهندسی معکوس نام دارد که هر کدام تعریف جدایی دارند.

این موضوع آن‌قدر مهم است که خیلی از مهاجم‌ها توانسته‌اند خانواده‌ها را بعد از آبروریزی و کلاهبرداری به طلاق و جدایی برسانند و متاسفانه در مورد عنوان یاد شده هر از گاهی مطالب و صحبت‌هایی شده اما در این مورد نه! و اما مهندسی اجتماعی چیست؟

اگر بخواهیم تعریف خلاصه‌ای در یک خط از مهندسی اجتماعی داشته باشیم، باید بگوییم مهندسی اجتماعی سوءاستفاده از اطمینان و یا فریب عوامل انسانی به جهت دسترسی به اطلاعات محرمانه و در مرحله بعد سوءاستفاده از این اطلاعات است.

 

در مهندسی اجتماعی که شیوه‌ای ناپاک است یک سازمان یا شخص قصد حمله به یک سازمان یا شخص دیگر را دارد و در این حمله اهدافی مانند به دست آوردن شماره و مشخصات کارت اعتباری یا اطلاعات حساس نظامی یا اطلاعات محرمانه تجاری و هر نوعی از اطلاعات که دسترسی به آن آزاد نیست، دارد.

مهاجم در مهندسی اجتماعی به جای این‌که به سراغ روش‌های سخت و فنی که نیازمند سطح بالای دانش یا غیر ممکن است، برود، از تکنیکهای مهندسی اجتماعی استفاده می‌کند.

یک مثال :

یک موسسه مالی فرضی از یک نرم افزار سازمانی برای حسابداری و کنترل دارایی خود و مشتریانش استفاده می‌کند. این نرم افزار هیچگونه باگی ندارد و شبکه هم فوق‌العاده امن است و هزینه زیادی صرف امنیت سخت‌افزاری و نرم‌افزاری آن شده و مهاجم برای نفوذ امکان دسترسی به روش‌های معمول هک ندارد یا اصلا دانش فنی آن را ندارد، اما در این سازمان کارمندانی مشغول به کار هستند که آموزش لازم در زمینه مهندسی اجتماعی را ندیده‌اند. مهاجم  در ۳ مرحله تحقیقات قبلی، جلب اطمینان و دریافت اطلاعات هدف خود را نزدیک می‌کند.

در این مثال مهاجم با خونسردی در تماس با یکی از کارمندان خود را مهندس مسئول شبکه یا مسئول نرم افزار موسسه معرفی می‌کند و با اطلاعاتی که قبلا از سازمان نام و اطلاعات اولیه واحدها نوع نرم افزار مورد استفاده و موارد مشابه به دست آورده و در تماس نهایی:

مهاجم: حسینی هستم مسئول IT در حال ارتقا نسخه نرم افزار هستیم لطفا رمز خود را به Newversion3 تغییر دهید. ضمنا تا یک ساعت وارد سیستم نشید چون هر تراکنشی ممکنه باعث اختلال بشه.

کارمند: خوب هستید آقای حسینی من الان دارم سند میزنم میشه چند دقیقه دیگه این کار رو بکنید ضمنا من یه مشکلی هم با فلش یو اس بی دارم.

مهاجم: ما امروز به همه واحدها اعلام کرده بودیم اما مشکلی نداره من شما رو درک میکنم. می‌تونم تغییر سیستم شما رو با ۱۰ دقیقه تاخیر انجام بدم.

کارمند: ولی به بنده اعلام نشده بود، به هر حال ممنونم که همکاری می‌کنید.

مهاجم: خواهش میکنم، در خصوص مشکلتون هم در فرصت مناسب تری با واحد ما تماس بگیرید، اسمتون رو بفرمایید من سریع کارتون رو انجام میدم، فرمودید شما آقای؟

کارمند: علوی هستم.

مهاجم: پس جناب علوی شما رمز رو الان تغییر بدید بنده هم از ۱۰ دقیقه دیگه برنامه رو ارتقا میدم، راستی نام کاربریتون چی بود؟

کارمند: مثل بقیه نام خانوادگی…

به همین راحتی مهاجم با روش مهندسی اجتماعی، اطلاعات محرمانه بسیار با ارزش سیستم نرم افزاری سازمان را از کارمندی که تصور می‌کرد در حال مکالمه با مسئول شبکه سازمان است دریافت کرد و ممکن است مراحل دیگری مثل نفوذ به سطح بالاتر به روش‌های دیگر یا ایجاد کاربر جدید و … نیز داشته باشد، به علاوه این‌که اکثر نامهای کاربری در اختیار مهاجم قرار گرفت:

username: adminavali

password: Newversion3

مهاجمان چند مرحله تا رسیدن به هدف فاصله دارند:

در مرحله اول تحقیقات اولیه، سپس جلب اطمینان و مرحله سوم دریافت اطلاعات و در نهایت سوءاستفاده از اطلاعات که هدف بوده.

حال همین موارد را اگر بخواهیم در خصوص اطلاعات شخصی که شامل اطلاعات بانکی، شماره تماس‌های مخاطبین و حساب‌های کاربری است، ببینیم. تصور کنید که از یک ترفند تا کجاها و چه اطلاعاتی می‌شود پیش رفت و چه کارهایی انجام داد.

 

تکنیک‌های مشخص و از پیش تعریف شده‌ای برای مهندسی اجتماعی وجود ندارد و هر بار کلاهبرداران و مهاجمان مهندسی اجتماعی، روشی جدید را به کار می‌گیرند که اگر محرمانگی و طبقه‌بندی اطلاعات و آموزش‌های لازم به درستی رعایت شود تا حدود زیادی جلوی این معضل گرفته خواهد شد.

تعدادی از تکنیک‌های مهندسی اجتماعی رایج‌تر هستند از جمله:

-جعل نام و مشخصات پرسنل یا هویت و تقلید صدای اشخاص

-بازیابی زباله‌ها (متاسفانه در زباله‌های بسیاری از شرکت‌ها روزانه مقدار زیادی اطلاعات قبل از معدوم شدن به بیرون منتقل می‌شوند).

-فیشینگ، مشابه‌سازی صفحات تقلبی با آدرس اصلی سایت‌های بانک و … برای ترغیب کاربر به ورود و واردکردن رمز.

فارمینگ، دستکاری دی ان اس.

جاسوسی

شنود مکالمات

بازیابی هارد دیسک‌ها و حافظه‌های به ظاهر معیوب

فریب پرسنل. اضطراری جلوه دادن شرایط، در فشار قرار دادن منشی، کارمند اداری و پشتیبان فنی و …

ایجاد بستر برای تماس قربانی، مثل ارسال ویروس و هدایت به سایت آنتی ویروس.

روان‌شناسی فرد به فرد و …