به گزارش
گرداب، تصور بسیاری از مردم از یک هکر، فردی با دانش فنی بسیار بالاست که از تخصص خود برای نفوذ به سیستمهای رایانهای و دسترسی به اطلاعات حساس استفاده میکند. براساس همین ذهنیت، همواره سعی میکنیم با استفاده از نرم افزارهای مختلفی اعم از ضدویروس و ضد بدافزار و بهروز نگه داشتن آنها، تمهیدات لازم برای مقابله با حملات این هکرها را فراهم آوریم.
در کنار اینگونه حملات، دسته دیگری از حملات هم هستند که دانش فنی چندانی لازم ندارند و بر پایه روانشناسی و ارتباطات انسانی بنا شدند. به این دسته از حملات مهندسی اجتماعی اطلاق میشود.
در واقع مهندسی اجتماعی، مجموعهای از روشهای غیرفنی مبتنی بر استفاده از ویژگیهای روانشناسانه افراد برای نفوذ به سیستمها و دسترسی به اطلاعات کاربران آنها است که توسط هکرها مورد استفاده قرار میگیرد.
پایه و اساس این روشها، ارتباط با کاربران و فریب آنها برای اعمال تغییر در روالهای معمول امنیت سیستمهاست. مثلا کاربران را در موقعیتی قرار دهند که بهصورت ناخواسته و بدون آگاهی، رمز عبور خود را به مهاجمان منتقل کنند.
مهندسی اجتماعی طیف وسیعی از انواع حملات و فعالیتهای مخرب را در بر میگیرد. در این آگاهیرسانی، ما روی معمولترین آنها که در شبکههای اجتماعی مورد استفاده قرار میگیرند، تمرکز میکنیم:
صیادی (Phishing)از میان حملات مهندسی اجتماعی، حمله صیادی معمولترین حملهای است که امروزه مورد استفاده قرار میگیرد. این حمله با فعالیتهای زیر شناخته میشود:
۱. جستجو بهدنبال مشخصات و اطلاعات تماس قربانی و استخراج شبکههای اجتماعی یا وبگاههای دیگری که وی از آنها استفاده میکند.
۲. ایجاد یک نسخه جعلی از صفحه ورود وبگاه و ایجاد URL شبیه به وبگاه اصلی برای آن.
۳. ارسال پیغامی به قربانی حاوی پیوندی به صفحه جعلی؛ در نگارش این پیام، سعی میشود که در قربانی حالت ترس، اضطرار و غیره ایجاد کنند تا وی تمرکز فکری خود را از دست داده و از پیوند موردنظر استفاده کند.
با مشاهده صفحه جعلی، قربانی که در وضعیت احساسی خاصی قرار گرفته بهصورت ناآگاهانه بدون توجه به URL نامعتبر وبگاه جعلی، اقدام به واردکردن اطلاعات احراز هویت خود (مثل نام کاربری و رمز عبور) کرده و بدون اینکه متوجه شود، این اطلاعات را در اختیار مهاجم قرار میدهد.
دستاویزسازی (Pretexting)در حمله دستاویزسازی، مهاجم سناریویی طراحی میکند که در آن با دروغ گفتن، بهانه آوردن، وانمود کردن و غیره، خود را به جای شخص دیگری جا زده و با کسب اعتماد کاربر، اطلاعات شخصی و احراز هویت وی را بهدست میآورد.
گاهی حمله از طریق خود کاربر صورت نمیگیرد، بلکه با فریب متولی یا مسئول فنی یک وبگاه یا شبکه اجتماعی، اطلاعات شخصی کاربران شبکه اجتماعی از وی استخراج میشود.
معمولا قدم اول برای این نوع حمله، بهدست آوردن اندکی اطلاعات در مورد قربانی است که مراجعه به شبکه اجتماعی بهترین راه برای استخراج چنین اطلاعاتی است.
بعد از آن باتوجه به این اطلاعات، دروغی ساخته میشود که با استفاده از آن مهاجم میتواند در تماس با قربانی، خود را به جای شخص دیگری جا بزند. به علت ارائه بخشی از اطلاعات و مهارت مهاجم در دروغسازی، قربانی به وی اعتماد کرده و اطلاعات شخصی و احراز هویت خود را در اختیار وی قرار میدهد و یا هر کار دیگری را که مهاجم از وی درخواست کند انجام میدهد. همانند حمله صیادی، معمولا مهاجم در ارتباط با قربانی سعی میکند تا در وی حالت ترس، اضطرار و غیره ایجاد کند تا قربانی تمرکز خود را از دست بدهد.
طعمهگذاری (Baiting)در این حمله یک وسیله فیزیکی مانند حافظه USB، پخشکنندههای صوتی دیجیتال و غیره که حاوی بدافزار یا ویروس است را به نحوی در دسترس قربانی قرار میدهند و با تحریک حس کنجکاوی یا حرص، وی را وادار به استفاده از آن میکنند.
یکی از معمولترین روشهای قراردادن این وسایل در اختیار قربانیان، نوشتن برچسبهای خاص بر روی آنها و قرار دادن این وسایل در محلهای خاصی است تا به نظر برسد جا گذاشته شدهاند. مثلا در کافه تریای یک شرکت یا سازمان، حافظه USB با برچسب استراتژیهای سازمان یا حقوق و مزایای کارکنان قرار میدهند تا حس کنجکاوی کارمندان را برای مشاهده محتوای آنها برانگیزند.
یک روش دیگر، ارسال اینگونه وسایل فیزیکی بهصورت مجانی و بهعنوان هدیه برای قربانی است. به این شکل که مثلا در یک شبکه اجتماعی، پیغامی حاوی این جمله برای وی ارسال میکنند: «شما برنده یک دستگاه پخشکننده دیجیتال شدهاید».
سپس از قربانی آدرس پستی وی را برای ارسال دستگاه درخواست میکنند. کاربر پس از واردکردن آدرس پستی خود، واقعا دستگاه را دریافت میکند؛ اما بهمحض استفاده از آن، بدافزار نصب شده بر روی دستگاه اطلاعات شخصی وی را دزدیده و برای مهاجم ارسال میکند.
جبران کردن (Quid Pro Quo)در این نوع حمله مانند حمله طعمهگذاری عمل میشود؛ با این تفاوت که به جای ارائه یک کالا به صورت فیزیکی، به قربانی اعلام میکنند تا در ازای دریافت کالا، یک کمک یا خدمت غیرفیزیکی به وی ارائه میدهند.
همانند حمله طعمهگذاری، مهاجم با تعداد زیادی از افراد تماس گرفته و ارائه یک خدمت خاص را بهصورت رایگان و یا با قیمت بسیار نازل، به آنها پیشنهاد میکند. مثلا با گرفتن شماره تماس کارمندان یک شرکت بهصورت تصادفی، به ایشان پیشنهاد کمک برای حل مشکلات مرتبط با رایانه آنها را میدهد.
با قبول این پیشنهاد از سوی تعدادی از این افراد، فایل بدافزار برای آنها فرستاده میشود (که حتی ممکن است مشکلات رایانهای آنها را نیز حل کند). این فایل به دزدیدن اطلاعات قربانی و ارسال آنها برای مهاجم خواهد پرداخت.
در موارد دیگر، ممکن است مهاجم از قربانی بخواهد که برای دریافت خدمت، عمل خاصی را انجام دهد و یا اطلاعات خاصی را به وی ارائه دهد.