آسیب‌شناسی شبکه‌های اجتماعی؛

شبکه‌های اجتماعی بستری مناسب برای حملات مهندسی اجتماعی

تاریخ انتشار : ۲۹ دی ۱۳۹۴

به‌دلیل گسترش شبکه‌های اجتماعی و افزایش روزافزون کاربران این سامانه‌ها، بستر بسیار مناسبی برای حملات مهندسی اجتماعی فراهم شده که درصورت عدم آشنایی با این‌گونه حملات، خطر بزرگی کاربران این شبکه‌ها را تهدید خواهد کرد.

به گزارش گرداب، تصور بسیاری از مردم از یک هکر، فردی با دانش فنی بسیار بالاست که از تخصص خود برای نفوذ به سیستم‌های رایانه‌ای و دسترسی به اطلاعات حساس استفاده می‌کند. براساس همین ذهنیت، همواره سعی می‌کنیم با استفاده از نرم افزارهای مختلفی اعم از ضدویروس و ضد بدافزار و به‌روز نگه داشتن آنها، تمهیدات لازم برای مقابله با حملات این هکرها را فراهم آوریم.

در کنار این‌گونه حملات، دسته دیگری از حملات هم هستند که دانش فنی چندانی لازم ندارند و بر پایه روان‌شناسی و ارتباطات انسانی بنا شدند. به این دسته از حملات مهندسی اجتماعی اطلاق می‌شود.

در واقع مهندسی اجتماعی، مجموعه‌ای از روش‌های غیرفنی مبتنی بر استفاده از ویژگی‌های روان‌شناسانه افراد برای نفوذ به سیستم‌ها و دسترسی به اطلاعات کاربران آنها است که توسط هکرها مورد استفاده قرار می‌گیرد.
 
پایه و اساس این روش‌ها، ارتباط با کاربران و فریب آنها برای اعمال تغییر در روال‌های معمول امنیت سیستم‌هاست. مثلا کاربران را در موقعیتی قرار دهند که به‌صورت ناخواسته و بدون آگاهی، رمز عبور خود را به مهاجمان منتقل کنند.

مهندسی اجتماعی طیف وسیعی از انواع حملات و فعالیت‌های مخرب را در بر می‌گیرد. در این آگاهی‌رسانی، ما روی معمول‌ترین آنها که در شبکه‌های اجتماعی مورد استفاده قرار می‌گیرند، تمرکز می‌کنیم:

صیادی (Phishing)

از میان حملات مهندسی اجتماعی، حمله صیادی معمول‌ترین حمله‌ای است که امروزه مورد استفاده قرار می‌گیرد. این حمله با فعالیت‌های زیر شناخته می‌شود:
۱. جستجو به‌دنبال مشخصات و اطلاعات تماس قربانی و استخراج شبکه‌های اجتماعی یا وب‌گاه‌های دیگری که وی از آنها استفاده می‌کند.
۲. ایجاد یک نسخه جعلی از صفحه ورود وب‌گاه و ایجاد URL شبیه به وب‌گاه اصلی برای آن.
۳. ارسال پیغامی به قربانی حاوی پیوندی به صفحه جعلی؛ در نگارش این پیام، سعی می‌شود که در قربانی حالت ترس، اضطرار و غیره ایجاد کنند تا وی تمرکز فکری خود را از دست داده و از پیوند موردنظر استفاده کند.

با مشاهده صفحه جعلی، قربانی که در وضعیت احساسی خاصی قرار گرفته به‌صورت ناآگاهانه بدون توجه به URL نامعتبر وب‌گاه جعلی، اقدام به واردکردن اطلاعات احراز هویت خود (مثل نام کاربری و رمز عبور) کرده و بدون اینکه متوجه شود، این اطلاعات را در اختیار مهاجم قرار می‌دهد.

دستاویزسازی (Pretexting)

در حمله دستاویزسازی، مهاجم سناریویی طراحی می‌کند که در آن با دروغ گفتن، بهانه آوردن، وانمود کردن و غیره، خود را به جای شخص دیگری جا زده و با کسب اعتماد کاربر، اطلاعات شخصی و احراز هویت وی را به‌دست می‌آورد.

گاهی حمله از طریق خود کاربر صورت نمی‌گیرد، بلکه با فریب متولی یا مسئول فنی یک وب‌گاه یا شبکه اجتماعی، اطلاعات شخصی کاربران شبکه اجتماعی از وی استخراج می‌شود.

معمولا قدم اول برای این نوع حمله، به‌دست آوردن اندکی اطلاعات در مورد قربانی است که مراجعه به شبکه اجتماعی بهترین راه برای استخراج چنین اطلاعاتی است.

بعد از آن باتوجه به این اطلاعات، دروغی ساخته می‌شود که با استفاده از آن مهاجم می‌تواند در تماس با قربانی، خود را به جای شخص دیگری جا بزند. به علت ارائه بخشی از اطلاعات و مهارت مهاجم در دروغ‌سازی، قربانی به وی اعتماد کرده و اطلاعات شخصی و احراز هویت خود را در اختیار وی قرار می‌دهد و یا هر کار دیگری را که مهاجم از وی درخواست کند انجام می‌دهد. همانند حمله صیادی، معمولا مهاجم در ارتباط با قربانی سعی می‌کند تا در وی حالت ترس، اضطرار و غیره ایجاد کند تا قربانی تمرکز خود را از دست بدهد.

طعمه‌گذاری (Baiting)

در این حمله یک وسیله فیزیکی مانند حافظه USB، پخش‌کننده‌های صوتی دیجیتال و غیره که حاوی بدافزار یا ویروس است را به نحوی در دسترس قربانی قرار می‌دهند و با تحریک حس کنجکاوی یا حرص، وی را وادار به استفاده از آن می‌کنند.

یکی از معمول‌ترین روش‌های قراردادن این وسایل در اختیار قربانیان، نوشتن برچسب‌های خاص بر روی آنها و قرار دادن این وسایل در محل‌های خاصی است تا به نظر برسد جا گذاشته شده‌اند. مثلا در کافه تریای یک شرکت یا سازمان، حافظه USB با برچسب استراتژی‌های سازمان یا حقوق و مزایای کارکنان قرار می‌دهند تا حس کنجکاوی کارمندان را برای مشاهده محتوای آنها برانگیزند.

یک روش دیگر، ارسال این‌گونه وسایل فیزیکی به‌صورت مجانی و به‌عنوان هدیه برای قربانی است. به این شکل که مثلا در یک شبکه اجتماعی، پیغامی حاوی این جمله برای وی ارسال می‌کنند: «شما برنده یک دستگاه پخش‌کننده دیجیتال شده‌اید».
سپس از قربانی آدرس پستی وی را برای ارسال دستگاه درخواست می‌کنند. کاربر پس از واردکردن آدرس پستی خود، واقعا دستگاه را دریافت می‌کند؛ اما به‌محض استفاده از آن، بدافزار نصب شده بر روی دستگاه اطلاعات شخصی وی را دزدیده و برای مهاجم ارسال می‌کند.

جبران کردن (Quid Pro Quo)

در این نوع حمله مانند حمله طعمه‌گذاری عمل می‌شود؛ با این تفاوت که به جای ارائه یک کالا به صورت فیزیکی، به قربانی اعلام می‌کنند تا در ازای دریافت کالا، یک کمک یا خدمت غیرفیزیکی به وی ارائه می‌دهند.

همانند حمله طعمه‌گذاری، مهاجم با تعداد زیادی از افراد تماس گرفته و ارائه یک خدمت خاص را به‌صورت رایگان و یا با قیمت بسیار نازل، به آنها پیشنهاد می‌کند. مثلا با گرفتن شماره تماس کارمندان یک شرکت به‌صورت تصادفی، به ایشان پیشنهاد کمک برای حل مشکلات مرتبط با رایانه آنها را می‌دهد.

با قبول این پیشنهاد از سوی تعدادی از این افراد، فایل بدافزار برای آنها فرستاده می‌شود (که حتی ممکن است مشکلات رایانه‌ای آنها را نیز حل کند). این فایل به دزدیدن اطلاعات قربانی و ارسال آنها برای مهاجم خواهد پرداخت.

در موارد دیگر، ممکن است مهاجم از قربانی بخواهد که برای دریافت خدمت، عمل خاصی را انجام دهد و یا اطلاعات خاصی را به وی ارائه دهد.
منبع: ایرنا