انصار الخميني (ره) :: مهندسی اجتماعی یا Social Engineering چیست؟

تاريخ انتشار: 28 تير 1398 ساعت 10:53:54

مهندسی اجتماعی یا Social Engineering چیست؟

مهندسی اجتماعی یعنی فریب مردم به هدف استخراج اطلاعات مهم. مجرمین به دنبال دریافت اطلاعات گوناگونی هستند. اما اغلب، زمانی که فردی هدف قرار گرفته شد، مجرمین سعی خواهند داشت با فریب آنها، اطلاعاتی همچون رمز حسابها و اطلاعات بانکیشان را به دست آورند یا با دسترسی یافتن به رایانه شخصی علاوه بر اینکه کنترل کامل رایانه آنها را به دست می گیرند، برنامه های مخربی نصب کنند و همان رمز ها و اطلاعات بانکی را در اختیارشان قرار دهد.

مجرمین از ترفند های مهندسی اجتماعی استفاده می کنند چرا که سوءاستفاده از تمایل افراد به اعتماد کردن بسیار آسان تر از هک کردن نرم افزارهای آن فرد است. برای مثال: فریب دادن و گرفتن رمز از خود فرد بسیار آسان تر از هک کردن رمز او است مگر اینکه رمزش بسیار ضعیف باشد.

امنیت شما تنها به این بستگی دارد که بدانید به چه کسی و چه چیزی اعتماد می کنید. بسیار مهم است که بدانید کی وقت اعتماد کردن است و چه موقع نباید اعتماد کنید و از هویت مخاطبتان کاملا مطمئن شوید. در تعاملات اینترنتی و استفاده از وبسایت ها هم همین قانون صادق است. چه زمانی می فهمید وب سایت مورد نظرتان یک سایت واقعی است و یا برای ارائه اطلاعات به آنها اعتماد می کنید؟

اگر از متخصصان امنیت شبکه بپرسید که ضعیف ترین حلقه ارتباطی در این چرخه کیست؟ پاسخ همه آنها یکی خواهد بود، در چرخه امنیت فردی که سناریوی فرد دیگر را به راحتی قبول می کند ضعیف ترین جزء حلقه ارتباطی است. مهم نیست چند قفل یا چند مدل قفل به در و پنجره بزنید یا اینکه سگ نگهبان و سیستم هشدار دهنده، حتی نگهبان مسلح داشته باشید ، اگر قبل از بررسی صحت ادعای کسی که دم در ایستاده و می گوید پیتزا آورده، در را باز کنید، تحت تاثیر تمامی تهدیداتی قرار خواهید داشت که ممکن است آن فرد به همراه داشته باشد.

یک حمله مهندسی اجتماعی چگونه صورت می گیرد؟

ایمیل از طرف یک دوست

اگر یک مجرم بتواند از طریق مهندسی اجتماعی رمز ایمیل کاربری را پیدا کند، به لیست مخاطبین آن فرد هم دست پیدا خواهد کرد، و از آنجایی که بیشتر افراد از یک رمز در همه جا استفاده می کنند، مجرمین به تمامی لیست مخاطبین آن فرد در تمامی حساب های کاربری او دسترسی خواهند یافت.

به محض اینکه خلافکار آن ایمیل را تحت کنترل خود بگیرند، به تمامی دوستان آن فرد ایمیل ارسال می کنند یا اینکه در صفحه اجتماعی آنها پیامی می نویسند و حتی در صفحات دوست دوستان او هم این کار را انجام می دهند.

با توجه به حس اعتماد و کنجکاوی افراد این پیام ها می توانند:

لینکی داشته باشند که تنها باید آن را ببینید و از آنجایی که آن لینک را یک دوست برای شما ارسال کرده و شما کنجکاو هستید بدانید چیست، به لینک اعتماد می کنید و این بد افزار به سیستم شما نفوذ می کند و مجرم می تواند کنترل دستگاه شما را به دست گرفته و به لیست مخاطبین شما هم دست یابد و همانطور که شما را فریب داده آنها را هم فریب دهد.

چیزی برای دانلود داشته باشد مثل عکس، آهنگ، فیلم یا هر گونه فایلی که یک برنامه مخرب در آن تعبیه شده باشد: چون فکر می کنید این فایل از طرف دوست شما ارسال شده به احتمال زیاد است آن را دانلود خواهید کردو سیستم شما به آن ویروس آلوده خواهد شد. در این صورت فرد مجرم به دستگاه شما، ایمیل ها، صفحات اجتماعی و … دسترسی پیدا خواهد کرد و این حمله بین افرادی که شما می شناسید شیوع یافته و به همین روال ادامه خواهد یافت.

حملات فیشینگ یکی از استراتژی های مهندسی اجتماعی است که در آن از یک منبع مورد اعتماد کپی برداری شده و یک سناریو قابل باور برای آن طراحی شده تا دو دستی جزئیات اطلاعات ورود به سیستم یا دیگر اطلاعات مهم خود را در اختیار آنها قرار دهید. طبق گزارش سالانه وریزون 93% از حملات موفق فیشینگ از طریق استراتژی های مهندسی اجتماعی از جمله فیشینگ و پریتکستینگ صورت گرفته اند. در این حملات فرد خود را نماینده ی شرکت معتبر مالی یا این قبیل شرکت ها معرفی می کند.

ماجراهای متقاعد کننده یا پریتکست

این پیام ها ممکن است:

نیاز به کمک فوری شما داشته باشد: دوست شما در کشور X به دردسر افتاده، دار و ندارش را دزدیده اند، مورد ضرب و و در بیمارستان بستری شده است و شما باید برای او مبلغی ارسال کنید تا بتواند به خانه برگردد و برای این کار نحوه ارسال پول به شما گفته می شود.

استفاده از فیشینگ با پیشینه به ظاهر واقعی: معمولا فیشر یک ایمیل یا پیامی به شما ارسال می کند که به نظر می رسد از یک شرکت معروف، بانک، مدرسه یا سازمانی حقیقی است.

از شما می خواهد به مراسم خیریه آنها یا دیگر جنبش ها، مبلغی اهدا کنید: این طور انتظار می رود که نحوه ارسال پول به مجرم هم در متن نامه قید شده باشد. با سوءاستفاده از مهربانی و بخشندگی شما این افراد در رابطه با هرگونه جنبش خیریه ای که در حال حاظر موضوع دست اول است، از هر اتفاق ناگواری گرفته تا مبارزات سیاسی یا جنبش های خیریه دیگر، درخواست کمک یا حمایت می کنند.

مشکلی مطرح می کنند که برای حل آن باید بر روی لینکی کلیک کنید و اطلاعات تان را در فرمی که طراحی کرده اند وارد کنید: ممکن است آدرس لینک با تمامی لوگوها و محتویاتش کاملا واقعی به نظر بیاید( در حقیقت، ممکن است خلافکاران شکل دقیق یک فرم واقعی را کپی برداری کرده باشند). به این خاطر که همه چیز واقعی به نظر می رسد، شما به ایمیل و سایت جعلی اعتماد خواهید کرد و هر اطلاعاتی که از شما خواسته شده، در اختیارشان قرار خواهید داد. معمولا در این گونه حملات فیشینگ، هشداری هم وجود دارد که می گوید اگر سریعا اقدام نکنید اتفاق بدی خواهد افتاد، چون مجرمین می دانند اگر بتوانند قبل از اینکه فکر کنید واکنش نشان دهید، احتمال موفقیتشان بیشتر می شود.

به شما خبر می دهند که برنده جایزه شدید: ممکن است ایمیل ادعا کند که برنده بخت آزمایی هستید یا یکی از بستگان دور فوت شده، یا نفر یک ملیونم هستید که در سایت کلیک کرده یا از این قبیل چیزها. برای اینکه بتوانید جایزه خود را دریافت کنید، باید در رابطه با حساب بانکی خودتان اطلاعاتی وارد کنید تا بدانند چگونه می توانند جایزه شما را واریز کنند. یا از شما آدرس و شماره تلفن بخواهند تا بتوانند جایزه را ارسال کنند. و حتی ممکن است از شما بخواهند هویت خودتان را از طریق کد ملی تایید کنید. به این گونه حملات، فیشینگ طمع گفته می شود. چرا که حتی با وجود داستانی ناقص، افراد عادی هر چیزی که مجانی برایشان پیش کش شده باشد را می خواهند و با ارائه اطلاعات خواسته شده در دام می افتند، اما با خالی شدن حساب بانکی یا دزدیده شدن هویت شان مواجه می شوند.

خود را به عنوان رئیس یا همکار معرفی می کنند: ممکن است در مورد پروژه مهمی که شرکت شما در حال حاظر بر روی آن کار می کند، یا اطلاعات حساب کارت اعتباری شرکت سوالاتی پرسیده یا از کارهای روزمره گزارش بخواهند.

طعمه های سناریو ای

در این نقشه های مهندسی اجتماعی کلاهبرداران می دانند که اگر در مورد چیزی که اکثر مردم خواهان آن هستند موضوعی مطرح کنند، خیلی از افراد فریب خواهند خورد. این قبیل نقشه ها معمولا در سایت های ارائه دهنده دانلود مثل یک فیلم جدید یا آهنگ یا در شبکه های اجتماعی و وبسایت های مخربی که در موتور جستجو گر می بینید هم دیده شده اند.

حتی ممکن است این نقشه ها یک پیشنهاد فوق العاده در سایت های حراجی یا این قبیل سایتها قرار داده شوند که برای کاهش سوء ظن شما، خواهید دید که فروشنده امتیاز خوبی دارد ولی در حقیقت تمامی اینها قبلا طرحی شده اند.

افرادی که فریب می خورند ممکن است به نرم افزار مخربی آلوده شوند که می تواند به صورت خودکار چندین مورد سوءاستفاده دیگر علیه خود شخص یا مخاطبین وی اجرا کند. ممکن است بدون دریافت وسیله ای که خریداری کرده اند از حسابشان پول کسر شود یا اگر به حدی ساده باشند که چیزی را با چک خریداری کنند، حسابشان خالی خواهند شد.

پاسخ به سوالی که مطرح نکرده اید

در این حالت مجرم ممکن است به درخواست کمک شما از یک شرکت پاسخی ارسال کرده باشد و علاوه بد این پیشنهاد می دهد که می تواند کمک بیشتری هم ارائه دهد. در این حملات، مجرمان شرکت یا بانکهایی را انتخاب می کنند که ملیونها مشتری دارند. اگر از آن محصول یا خدمات را استفاده نمی کنید، آن ایمیل را تماس تلفنی یا پیام را نادیده خواهید گرفت. اما اگر از خدمات آن استفاده می کنید. احتمال دارد به آن پیام پاسخ دهید چون احتمالا در مورد مشکلی نیاز به کمک دارید.

برای مثال: با اینکه می دانید شما سوالی نپرسیده اید، اما شاید مشکلی با سیستم عامل کامپیوتر خود دارید، از این فرصت برای حل رایگان آن استفاده خواهید کرد. لحظه ای که به ایمیل جواب می دهید یعنی فریب داستان کلاهبرداری را خوردید و به آن فرد اعتماد کرده و خودتان را تقدیم او کرده اید تا از شما سوءاستفاده کند.

اکثر این سوءاستفاده ها به این شکل صورت می گیرد که فردی خود را نماینده یک شرکت مطرح معرفی می کند، که برای ارائه خدمات می خواهد هویت شما را تایید کند بنابراین باید اطلاعات شما را به سیستم خودشان وارد کند یا به شما کدی می دهد تا با آن از راه دور به سیستم شما وصل شود و ایراد سیستم شما را بر طرف کند، یا اینکه یک سری دستورات به شما بدهد تا به کمک آن بتوانید ایرادات سیستم خودتان را بر طرف کنید، در صورتی که برخی از این دستورات راه خلافکار را برای ورود به کامپیوتر شما باز می کند.

بی اعتماد کردن: برخی مهندسی های اجتماعی، از طریق ایجاد بی اعتمادی یا آغاز نزاع صورت می گیرد. اغلب این کار توسط افرادی که شما را می شناسند یا با شما خصومت دارند صورت می گیرد، اما گاهی توسط افراد نابکاری که هدف آنها ایجاد خراب کاری است هم صورت می گیرد. افرادی که می خواهند شما را نسبت به دیگران بی اعتماد کنند، سپس خودشان به عنوان قهرمان وارد صحنه شوند و اعتماد شما را به دست بیاورند، یا اخاذانی که می خواهند اطلاعات شما را بازیچه قرار داده و شما را تهدید به آشکار کردن آنها بکنند.

این نوع مهندسی اجتماعی اغلب با دستیابی به یک ایمیل یا حساب دیگری که در رسانه های اجتماعی دارید صورت می گیرد. هکرها برای ورود به حساب شخص، از روشهایی مثل هک کردن، مهندسی اجتماعی یا تنها با حدس زدن رمزی خیلی ساده استفاده می کنند.

فرد خرابکار ممکن است تعاملات خصوصی یا حساس فرد از جمله عکس ها و فایل های صوتی ارسالی را دستکاری کند و با ارسال آنها به دیگران حس بی اعتمادی، ترحم و شرمساری در آنها ایجاد کند. آنها کاری می کنند که به نظر بیاید این فایل ها به صورت تصادفی ارسال شده یا کاری کنند که بدانید واقعاً چه اتفاقی در حال رخ دادن است.

نهایتا ممکن است از موارد دست کاری شده برای اخاذی از فردی که هک کرده اند یا فرد دریافت کننده استفاده کنند.

به راحتی می توان گفت هزاران راه برای حملات مهندسی اجتماعی وجود دارد، تنها مرزی که در این مسیر وجود دارد تخیلات فرد مجرم است. ممکن است حتی در طی یک حمله چندین نوع سوءاستفاده را تجربه کنید، علاوه بر این ممکن است خلافکاران اطلاعاتی که به خاطر اعتماد نادرست شما به دست آورده اند را به دیگران هم بفروشند تا آنها هم از شما دوستان شما و دوست دوستان شما هم اخاذی کنند.