مرکز راه‌کارهای اطلاعاتی هوشمند
Intelligent Information Solutions Center

دانشگاه صنعتی شریف
فا | en

مهندسی اجتماعی (۱)

تصور بسیاری از مردم از یک هکر، فردی با دانش فنی بسیار بالاست که از تخصص خود برای نفوذ به سیستم‌های رایانه‌ای و دسترسی به اطلاعات حساس استفاده می‌کند. بر اساس همین ذهنیت، همواره سعی می‌کنیم با استفاده از نرم‌افزارهای مختلفی اعم از ضدویروس و ضد بدافزار و به‌روز نگه‌داشتن آن‌ها، تمهیدات لازم برای مقابله با حملات این هکر‌ها را فراهم آوریم. اما در کنار این‌گونه حملات، دسته دیگری از حملات هم هستند که دانش فنی چندانی لازم ندارند و بر پایه روان‌شناسی و ارتباطات انسانی بنا شده‌اند. به این دسته از حملات، مهندسی اجتماعی اطلاق می‌شود.

در واقع مهندسی اجتماعی، مجموعه‌ای از روش‌های غیرفنی مبتنی بر استفاده از ویژگی‌های روانشناسانه افراد برای نفوذ به سیستم‌ها و دسترسی به اطلاعات کاربران آن‌ها است که توسط مخاصمان و هکرها مورد استفاده قرار می‌گیرد. پایه‌ و اساس این روش‌ها، ارتباط با کاربران و فریب آن‌ها برای اعمال تغییر در روال‌های معمول امنیت سیستم‌هاست. مثلا کاربران را در موقعیتی قرار دهند که به صورت ناخواسته و بدون آگاهی، رمز عبور خود را به مهاجمان منتقل کنند. به دلیل رشد و گسترش شبکه‌های اجتماعی و افزایش روزافزون کاربران این سامانه‌ها، بستر بسیار مناسبی برای حملات مهندسی اجتماعی فراهم شده است که در صورت عدم آشنایی با این‌گونه حملات، خطر بزرگی کاربران این شبکه‌ها را تهدید خواهد کرد.

 

 

مهندسی اجتماعی طیف وسیعی از انواع حملات و فعالیت‌های مخرب را در بر می‌گیرد. در این آگاهی‌رسانی، ما روی معمول‌ترین آن‌‌ها که در شبکه‌های اجتماعی مورد استفاده قرار می‌گیرند، تمرکز می‌کنیم:

۱. صیادی (Phishing):

از میان حملات مهندسی اجتماعی،‌ حمله‌ صیادی معمول‌ترین حمله‌ای است که امروزه مورد استفاده قرار می‌گیرد. این حمله با فعالیت‌های زیر شناخته می‌شود:

  • جستجو به دنبال مشخصات و اطلاعات تماس قربانی و استخراج شبکه‌های اجتماعی یا وب‌گاه‌های دیگری که وی از آن‌ها استفاده می‌نماید.
  • ایجاد یک نسخه جعلی از صفحه ورود وب‌گاه و ایجاد URL شبیه به وب‌گاه اصلی برای آن
  • ارسال پیغامی به قربانی حاوی پیوندی به صفحه جعلی؛ در نگارش این پیام، سعی می‌شود که در قربانی حالت ترس، اضطرار و غیره ایجاد کنند تا وی تمرکز فکری خود را از دست داده و از پیوند موردنظر استفاده کند.

با مشاهده صفحه جعلی، قربانی که در وضعیت احساسی خاصی قرار گرفته، به صورت نا‌گاهانه بدون توجه به URL‌ نامعتبر وب‌گاه جعلی، اقدام به واردکردن اطلاعات احراز هویت خود (مثل نام کاربری و رمز عبور) کرده و بدون اینکه متوجه شود، این اطلاعات را در اختیار مهاجم قرار می‌دهد. 

 

 

۲. دستاویزسازی (Pretexting):

در حمله دستاویز‌سازی،‌ مهاجم سناریویی طراحی می‌کند که در آن با دروغ‌گفتن، بهانه‌‌آوردن، وانمودکردن و غیره، خود را به جای شخص دیگری جا زده و با کسب اعتماد کاربر، اطلاعات شخصی و احراز هویت وی را به دست می‌آورد. گاهی حمله از طریق خود کاربر صورت نمی‌گیرد، بلکه با فریب متولی یا مسئول فنی یک وب‌گاه یا شبکه اجتماعی، اطلاعات شخصی کاربران شبکه اجتماعی از وی استخراج می‌شود.

معمولا قدم اول برای این نوع حمله، به دست‌آوردن اندکی اطلاعات در مورد قربانی است که مراجعه به شبکه اجتماعی بهترین راه برای استخراج چنین اطلاعاتی است. بعد از آن با توجه به این اطلاعات، دروغی ساخته می‌شود که با استفاده از آن مهاجم می‌تواند در تماس با قربانی، خود را به جای شخص دیگری جا بزند. به علت ارائه بخشی از اطلاعات و مهارت مهاجم در دروغ‌سازی، قربانی به وی اعتماد کرده و اطلاعات شخصی و احراز هویت خود را در اختیار وی قرار می‌دهد و یا هر کار دیگری که مهاجم از وی درخواست کند را انجام می‌دهد. همانند حمله صیادی، معمولا مهاجم در ارتباط با قربانی سعی می‌کند تا در وی حالت ترس، اضطرار و غیره ایجاد کند تا قربانی تمرکز خود را از دست بدهد. 

 

 

۳. طعمه‌گذاری (‌Baiting):

در این حمله یک وسیله فیزیکی مانند حافظه USB،‌ پخش‌کننده‌های صوتی دیجیتال و غیره که حاوی بدافزار یا ویروس است را به نحوی در دسترس قربانی قرار می‌دهند و با تحریک حس کنجکاوی یا حرص، وی را وادار به استفاده از آن می‌نمایند. یکی از معمول‌ترین ‌روش‌های قراردادن این وسایل در اختیار قربانیان، نوشتن برچسب‌های خاص بر روی آن‌ها و قرار دادن این وسایل در محل‌های خاصی است تا به نظر برسد جا گذاشته شده‌اند. مثلا در کافه تریای یک شرکت یا سازمان، حافظه USB‌ با برچسب استراتژی‌های سازمان یا حقوق و مزایای کارکنان قرار می‌دهند تا حس کنجکاوی کارمندان را جهت مشاهده محتوای آن‌ها برانگیزند.

یک روش دیگر، ارسال این‌گونه وسایل فیزیکی به صورت مجانی و به عنوان هدیه برای قربانی است. به این شکل که مثلا در یک شبکه‌ اجتماعی، پیغامی حاوی این جمله برای وی ارسال می‌کنند: «شما برنده یک دستگاه پخش‌کننده دیجیتال‌ شده‌اید!». سپس از قربانی آدرس پستی وی را جهت ارسال دستگاه درخواست می‌نمایند. کاربر پس از واردکردن آدرس پستی خود، واقعا دستگاه را دریافت می‌کند؛ اما به محض استفاده از آن، بدافزار نصب‌شده بر روی دستگاه اطلاعات شخصی وی را دزدیده و برای مهاجم ارسال می‌نماید. 

 

 

۴. جبران‌کردن (Quid Pro Quo):

در این نوع حمله مانند حمله طعمه‌گذاری عمل می‌شود؛ با این تفاوت که به جای ارائه یک کالا به صورت فیزیکی، به قربانی اعلام می‌کنند تا در ازای دریافت کالا، یک کمک یا خدمت غیر فیزیکی به وی ارائه می‌دهند. همانند حمله طعمه‌گذاری، مهاجم با تعداد زیادی از افراد تماس گرفته و ارائه یک خدمت خاص را به صورت رایگان و یا با قیمت بسیار نازل، به آن‌ها پیشنهاد می‌نماید. مثلا با گرفتن شماره تماس کارمندان یک شرکت به صورت تصادفی، به ایشان پیشنهاد کمک برای حل مشکلات مرتبط با رایانه‌ آن‌ها را می‌دهد. با قبول این پیشنهاد از سوی تعدادی از این افراد، فایل بدافزار برای آن‌ها فرستاده می‌شود (که حتی ممکن است مشکلات رایانه‌ای آن‌ها را نیز حل نماید). این فایل به دزدیدن اطلاعات قربانی و ارسال آن‌ها برای مهاجم خواهد پرداخت. در موارد دیگر، ممکن است مهاجم از قربانی بخواهد که برای دریاف خدمت، عمل خاصی را انجام دهد و یا اطلاعات خاصی را به وی ارائه دهد. 

 

 


 

این مقاله جزئی از سلسله مقالاتی است که مرکز راه کارهای اطلاعاتی هوشمند برای مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) در راستای آگاهی‌رسانی‌های حول محافظت از امنیت و حریم خصوصی کاربران در شبکه های اجتماعی برخط تهیه کرده است. مجموعه کامل این مقالات در پرتال مرکز ماهر قابل دسترسی است.