شاید مشهورترین نمونه حمله مهندسی اجتماعی مربوط به جنگ افسانهای تروا باشد که در آن یونانیان توانستند با پنهان شدن در داخل یک اسب چوبی غولپیکر که به صورت هدیه به ارتش تروا تقدیم شده بود، مخفیانه وارد شهر تروا شده و در جنگ پیروز شوند.
به گزارش گرداب ،مهندسی اجتماعی به مجموعهای از روشها گفته میشود که با استفاده از آنها، افراد را فریب میدهند و اطلاعات محرمانه آنها را سرقت میکنند. به عبارت دقیقتر، مهندسی اجتماعی، مجموعهای از روشها است که در آن، بدون استفاده از تکنیکهای فنی و تنها با آگاهی از شرایط افراد جامعه و تکنیکهای روانشناسی، آنها را فریب داده و اطلاعات محرمانهشان را سرقت میکنند.
بسیاری از سوء استفادههای مهندسی اجتماعی متکی به تمایل افراد برای کمک یا ترس از مجازات است. به عنوان مثال، مهاجم ممکن است وانمود کند که یک همکار است و نوعی مشکل فوری دارد که نیاز به دسترسی به منابع اضافی شبکه دارد و این عجله باعث میشود فرد درست فکر نکند و عکس العمل فوری باعث اشتباه وی شود.
چیزی که در مهندسی اجتماعی اهمیت دارد، این است که فرد بتواند به مهاجم اعتماد کند و باور کند که مهاجم همان فردی است که به آن تظاهر میکند. اگر مهاجم بتواند این اطمینان را در قربانی ایجاد کند، میتوان گفت که به هدف خود رسیده است. جالب است بدانید که بسیاری از حملات سایبری که منجر به فیشینگ یا نقض اطلاعات میشوند، از طریق مهندسی اجتماعی صورت میگیرند.
تاریخچه مهندسی اجتماعی
مهندسی اجتماعی Social Engineering برای اولین بار در سال ۱۸۹۴ و با این باور که برای مقابله با مشکلات انسانی، وجود افراد حرفهای ضروریست، مطرح شد.
در ابتدا مهندسی اجتماعی جنبۀ مثبتی داشت؛ چون باعث میشد افرادِ متخصص، در جامعه مداخلۀ مثبت داشته باشند. اما بعد از مدتی، به جنبۀ منفی گرایش پیدا کرد و به شستشوی مغزی افراد تبدیل شد.
شستشوی مغزی فقط در بحث سیاسی و اجتماعی وارد شده بود نه حوزه فناوری. اما بعدها فردی به نام Kevin Mitnick باعث شد این مفهوم به حوزه فناوری هم وارد شود. کوین میتنیک، هکر معروف دهه ۹۰ میلادی است که بعدها در زمینه امنیت مشغول به فعالیت شد و کتاب معروفی با عنوان هنر فریب را در همین حوزه نوشت.
هنر فریب به این شکل انجام میشود که شخص هکر به طور کامل هدف خود شناسایی میکند و اطلاعات مورد نیاز خود را حمع میکند و سپس به وسیله برخی از روشها اعتماد اشخاص را جلب میکند و سپس حمله خود را انجام میدهد. اگر این پروسه به طور کامل و خوب انجام شود، میتواند به راحتی اشخاص را فریب دهد و دسترسیهای لازم را به هکر برساند.
در ابتدا افراد توسط این دانش، در جامعه مداخلههای مثبت داشتند و تلاش میکردند به واسطه آن، افراد را مجاب کنند تا کارهای بهتر را انجام دهند. یکی دیگر از کاربردهای مهندسی اجتماعی در علوم اجتماعی نیز این بود که میتوانستند به واسطه آن، آمار دقیقتر و درست تری را در بیاورند و از نظر آماری نیز بسیاری از نمودارها وضعیت بهتری داشتند.
مهندسی اجتماعی چگونه عمل میکند؟
مهندسان اجتماعی از روشهای مختلفی برای انجام حملات سایبری استفاده میکنند. اولین قدم در بیشتر حملات مهندسی اجتماعی، شناسایی قربانی و انجام تحقیقات پیرامون او است. به عنوان مثال، اگر هدف یک شرکت باشد، هکر ممکن است اطلاعاتی را در مورد ساختار سازمانی، عملیات داخلی، ادبیات رایج مورد استفاده در صنعت و شرکای تجاری احتمالی و سایر اطلاعات جمع آوری کند.
یکی از تاکتیکهای معمول مهندسان اجتماعی تمرکز بر رفتارها و الگوهای کارکنانی است که حوزه دسترسی کم، اما پایهای دارند، مانند نگهبان یا پذیرشگر.
مهاجمان میتوانند پروفایل شبکههای اجتماعی را برای اطلاعات شخصی اسکن کرده و رفتار آنها را بصورت آنلاین و حضوری مطالعه کنند.
به این ترتیب مهندس اجتماعی حملهای را بر اساس اطلاعات جمع آوری شده طراحی کرده و از نقاط ضعفی که مرحله شناسایی یافته، استفاده کند. در صورت موفقیت آمیز بودن حمله، مهاجم به اطلاعات محرمانه مانند رمز عبورها، اطلاعات کارت اعتباری یا حساب بانکی دسترسی پیدا میکند.
انواع حملات مهندسی اجتماعی
حملاتی که در آنها از مهندسی اجتماعی استفاده میشود، شباهتهای زیادی با یکدیگر دارند و در عین حال ممکن است در قالبهای مختلفی انجام شوند. در ادامه، به بررسی انواع مختلف حملات اجتماعی میپردازیم::
• گذاشتن طعمه (Baiting): مهاجم یک دستگاه فیزیکی آلوده به بدافزار مانند فلش مموری را در مکانی که مطمئن است پیدا میشود، رها میکند. قربانی دستگاه را برداشته و آن را در کامپیوتر خود قرار میدهد و بدافزار را ناخواسته نصب میکند.
• فیشینگ (Phishing): زمانی اتفاق میافتد که هکر یک ایمیل تقلبی به عنوان یک ایمیل واقعی ارسال و وانمود میکند که از یک منبع قابل اعتماد است. این پیام به منظور فریب گیرنده است تا اطلاعات مالی یا شخصی را به اشتراک بگذارد یا روی لینکی که بدافزار یا ویروس را نصب میکند کلیک کند.
• فیشینگ هدفدار (Spear phishing): این حمله مانند فیشینگ است، اما برای فرد یا سازمان خاصی طراحی میشود.
• ویشینگ (Vishing): که به عنوان فیشینگ صوتی نیز شناخته میشود، شامل استفاده از مهندسی اجتماعی از طریق تلفن برای جمع آوری اطلاعات مالی یا شخصی از هدف است.
• حمله Whaling: نوع خاصی از حملات فیشینگ، حمله نهنگ است که با جا زدن خود به عنوان کارکنان برجسته مانند مدیر مالی یا مدیر اجرایی، کارمند هدف را فریب میدهد تا اطلاعات حساس را فاش کند.
• بهانهتراشی (Pretexting): یکی از طرفین برای دسترسی به دادههای محرمانه به دیگری دروغ میگوید. به عنوان مثال، یک کلاهبردار به بهانهای تظاهر میکند که برای تأیید هویت گیرنده به دادههای مالی یا شخصی نیاز دارد.
• ترسافزار (Scareware): این حمله قربانی را فریب میدهد تا فکر کند آلوده به بدافزار شده است یا سهواً محتوای غیرقانونی دانلود کرده است. در عین حال مهاجم به قربانی راهحلی ارائه میدهد که مشکل ساختگی را برطرف میکند. در واقع، قربانی به سادگی فریب داده میشود تا بدافزار مهاجم را دانلود و نصب کند.
• گودال آب (Watering hole): مهاجم سعی میند گروه خاصی از افراد را با آلوده کردن وبسایتهایی که شناخته شدهاند، به خطر اندازد.
• سرقت انحرافی (Diversion theft): در این نوع حملات، مهندسان اجتماعی یک شرکت حمل و نقل یا پیک را فریب میدهند تا به محل تحویل یا خروج اشتباه برود، بنابراین معامله را قطع میکند.
• طعمهگذاری Quid pro quo: طی این حمله مهاجم وانمود میکند که در ازای اطلاعات یا کمک قربانی، چیزی ارائه میدهد. به عنوان مثال، یک هکر با مجموعهای از شمارههای تصادفی در یک سازمان تماس میگیرد و وانمود میکند که یک متخصص پشتیبانی فنی است. در نهایت، هکر شخصی را پیدا میکند که دارای مشکل فنی یا قانونی است و سپس تظاهر میکند که قصد دارد به او کمک کند. از طریق این تعامل، هکر میتواند به اطلاعات رمز عبور دسترسی پیدا کند.
• هانی پات (Honey trap): در این حمله، مهندس اجتماعی وانمود میکند که فردی جذاب برای تعامل با یک فرد آنلاین، جعل یک رابطه آنلاین و جمع آوری اطلاعات حساس از طریق آن رابطه است.
• نرم افزار امنیتی سرکش (Rogue security software): این یک نوع بدافزار است که هدف آن دریافت باج، برای حذف جعلی بدافزار است.
• شیرجه در زباله (Dumpster diving): این یک حمله مهندسی اجتماعی است که به موجب آن شخصی برای یافتن اطلاعاتی مانند گذرواژه یا کدهای دسترسی نوشته شده روی کاغذهای یادداشت که میتواند برای نفوذ به شبکه سازمان مورد استفاده قرار گیرد، سطل زباله شرکت را جستجو میکند.
• فارمینگ (Pharming): با این نوع کلاهبرداری آنلاین، یک مجرم سایبری کد مخرب را روی رایانه یا سرور نصب میکند که به طور خودکار کاربر را به یک وب سایت جعلی هدایت میکند؛ جایی که ممکن است کاربر در ارائه اطلاعات شخصی فریب بخورد.
نمونههای واقعی حمله در جهان
۱. شرکت RSA در سال ۲۰۱۱
شرکت RSA در سال ۲۰۱۱ قربانی حملهای شد که از طریق یک تهدید پیشرفته و مستمر انجام شده بود. تعدادی از کارمندان ایمیلی تحت عنوان “برنامه استخدام سال ۲۰۱۱ ” دریافت کردند. هر چند اکثر آنها این ایمیل را در فولدر هرزنامه (Spam) پیدا کرده بودند، اما این ایمیل به اندازهای خوب طراحی شده بود که گیرنده شکی به آن نمیکرد؛ بنابراین تعدادی از کارمندان ایمیل را مستقیما از پوشه هرزنامه باز کردند.
یک فایل صفحه گسترده، به این ایمیل پیوست شده بود. این فایل صفحه گسترده، حاوی یک اکسپلویت روز صفر بود که به کمک یکی از آسیبپذیریهای ادوبی فلش، یک در پشتی نصب میکرد. مهاجم، از یک آسیبپذیری برای کنترل دستگاه از راه دور استفاده کرده بود که در ابتدا شناسایی نشد. پس از تکمیل فاز اولیه مهندسی اجتماعی، مهاجمین به سیستمهای بیشتری در شبکه محلی نفوذ کردند. سپس آنها با موفقیت، تعدادی از اکانتهای استراتژیک و مهم را هک کرده و توانستند اطلاعات مهمی را درباره سیستم SecurID شرکت RSA سرقت کنند. در نهایت به دلیل موفقیت این حمله مهندسی اجتماعی، RSA مجبور به جایگزینی میلیونها توکن SecurID شد.
۲. توییتر در سال ۲۰۱۹
هک شدن توییتر سلبریتیها؛ یکی از داغترین و جنجالیترین جریانهایی بود که در سال ۲۰۱۹ اتفاق افتاد و سر و صدای زیادی به پا کرد. به طور خلاصه جریان از این قرار بود که در اکانت توییتر ایلان ماسک توییتی منتشر شد که اگر برای من هر مقدار بیت کوینی ارسال کنید، من دو برابر به شما بر میگردانم. این توییت پس از ۳۰ دقیقه برداشته شد و در صفحه یکی سلبریتی دیگر به اشتراک گذاشته شد.
باراک اوباما، جو بایدن، بیل گیتس و حتی توییتر شرکت اپل از اکانتهایی بودند که هک شدند و افراد فریبخورده نیز بیت کوین به آدرسی که در توییتها گفته شد فرستادند. به این ترتیب ۳ هکر جوان ۱۷ تا ۲۱ ساله، توانستند از طریق هک کردن سرور توییتر، ۱۲۰ هزار دلار بیت کوین به جیب بزنند که البته بعد از مدت کوتاهی دستگیر شدند، اما تکلیف بیت کوینهای دزدیده شده هنوز هم معلوم نیست. اما سوالی که شاید ذهنتان را درگیر کرده این است که چطور ۳ جوان توییتر را هک کردند؟
جواب این سوال فقط و فقط یک عبارت است؛ مهندسی اجتماعی. این سه جوان توانستند با یک برنامه ریزی دقیق و یک نقشه بینقص با یکی از کارکنان توییتر طرح دوستی ریخته و پس از مدت طولانی رفاقت، یک بار از طریق آن شخص وارد شرکت توییتر شوند. آنها توانستند با یک مهندسی اجتماعی درجه یک به سرور توییتر نفوذ کنند و توییتر و اکانتهای مشهور داخل آن را هک کرده و به راحتی ۱۲۰ هزار بیت کوین به جیب بزنند.
۳. نیویورک تایمز در سال ۲۰۱۳
نیویورک تایمز هم در سال ۲۰۱۳، هدف حملهای مشابه RSA قرار گرفت. هکرهای چینی یک حمله هدفمند ۴ ماهه اجرا و به سیستمهای کامپیوتری نیویورک تایمز نفوذ کردند. آنها اطلاعات ورود (Login) کارمندان را به دست آوردند. تحقیقات نشان میدهد که شواهدی درباره انگیزههای سیاسی در این حمله وجود داشت. مهاجمین حسابهای ایمیل را هک کرده و سعی کردند منبع ترافیک را برای نیویورک تایمز مخفی کنند و ترافیکِ ایجاد شده توسط حملات را از طریق کامپیوترهای دانشگاهی مستقر در آمریکا مسیریابی کنند.
باز هم مسیر اولیه حمله، یک حمله فیشینگ هدفمند بود که اعلامیههای جعلی فدکس (شرکت پست امریکایی) را ارسال میکرد. نیویورک تایمز، کارشناسان امنیت کامپیوتر را استخدام کرد تا این حمله را تحلیل کرده و از ایجاد تهدیدی مستمر پیشگیری کنند. آنها متوجه شدند که برخی روشهای مورد استفاده برای نفوذ به زیرساخت کمپانی با ارتش چین در ارتباط است. بعلاوه، بدافزار نصب شده برای دسترسی به کامپیوترهای شبکه کمپانی از الگوهایی مشابه به حملات قبلی چین تبعیت میکرد. قبلاً از کامپیوترهای همان دانشگاه در آمریکا توسط هکرهای ارتش چین استفاده شده است.
با این حمله، هکرها پسورد تمام کارمندان نیویورک تایمز را به سرقت بردند و توانستند به دستگاههای شخصی ۵۳ نفر دسترسی پیدا کنند. اما طبق اعلام نیویورک تایمز، هیچ اطلاعات کامپیوتری به سرقت نرفته بود. خصوصیات این حمله به وضوح حکایت از یک انگیزه سیاسی داشت.
چطور قربانی این حملات نشویم؟
راههای جلوگیری از حملات مهندسی اجتماعی بسیار ساده است. کمی دقت کافی است تا بتوانید یک پیام واقعی را از پیام جعلی تشخیص دهید.
مواردی که باید به یاد داشته باشید عبارت است از:
• آرام باشید. این همان چیزی است که مهاجمان نمیخواهند. پس اگر پیامی دریافت کردید که از شما درخواست اقدام فوری داشت، تردید کنید.
• مطمئن شوید. اگر ایمیل از طرف شخص یا شرکت معروفی بود، آدرس یا شماره تلفن را در یک موتور جستجوگر جستجو کنید تا مطمئن شوید که معتبر و واقعی است.
• روی لینک کلیک نکنید. به جای کلیک روی لینک، آدرس صفحه مورد نظر را از طریق موتور جستجوگر پیدا کنید یا آدرس صفحه را در مرورگر تایپ کنید.
• ممکن است ایمیل اطرافیان شما هک شده باشند. این اتفاق بسیار شایع است و حتی اگر پیامی از طریق افراد مورد اعتماد خود دریافت کردید، بررسی کنید که حتما در جریان باشند.
• هر چیزی را دانلود نکنید. اگر فرستنده را نمیشناسید، از دانلود فایلهای ارسالی از طرف آنها خودداری کنید.
• پیشنهادهای خارجی جعلی هستند. پیامهایی با مضمون برنده شدن در یک قرعهکشی خارجی، پول از طرف اقوام ناشناس یا درخواست انتقال وجه از یک کشور خارجی و دریافت سهمی از آن، مسلما کلاهبرداری است و واقعیت ندارد.
_______________________
منابع:
https://liangroup.net/blog/what-is-social-engineering/
https://faranesh.com/blog/social-engineering-techniques
https://iransoicalsec.me/social-engineering/
https://topsite98.com/post/792/what-is-social-engineering
https://liangroup.net/blog/what-is-social-engineering/