مهندسی اجتماعی مبتنی بر دروغ و تقلب است. مهندسی اجتماعی طراحی و اجرای روشهایی است که شما و یا فعالان همکار شما را وا دارد تا داوطلبانه تمام و یا بخشی از اطلاعات مورد نیاز مهاجمان را در اختیار ایشان قرار دهید، این حملات با هدف سرقت اطلاعات و یا سودجویی مالی، سوء استفادههای سیاسی و غیره انجام میپذیرند.
در بسیاری از موارد میتوان افراد را با چند دروغ ساده فریفت و زمینه دسترسی به اطلاعات ایشان را فراهم آورد. یک مثال بسیار ساده به دست آوردن رمز عبور ایمیل شماست. بسیاری از افراد به سادگی تاریخ تولد، شهر تولد و دیگر اطلاعات به ظاهر غیرحساس را در صفحات فیسبوک خود منتشر میکنند یا در هنگام چت در اختیار افراد ناشناس قرار میدهند. بدون آنکه تصور کنند با در دست داشتن این اطلاعات، خرابکار سایبری میتواند به سرویس ایمیل شما مراجعه کند و با ادعای گم کردن رمز عبور، رمز عبور جدیدی دریافت دارد.
شیوه دیگری که به کرات توسط هکرها استفاده میشود، مثلا هک افراد آسانتر مثل بستگان خصوصا بستگان کهنسال و بعد هک اصلی توسط ارسال ایمیل و تماس با اکانت هک شده بستگان آنهاست.
ظاهر شدن در لباس روزنامهنگار که وظیفه پرسش کردن دارد حیله دیگری بود که در عملیات موسوم به "Newscaster" برای دسترسی به اطلاعات قربانیان مورد استفاده قرار گرفت.
در مورد دیگر فردی به شما تلفن میکند و خود را به جای یکی از مسئولین موسسه یا گروه شما جا میزند و خواستار دسترسی به اطلاعات موسسه میشود. به طور مثال در چت با شناسه رئیس یک روزنامه اینترنتی وارد میشود و از مسئول فنی میخواهد، رمز عبور (Password) روزنامه را تغییر دهد و رمز جدید را جهت اطمینان و حفظ برای او ایمیل کند.
یا مهاجم خود را به عنوان کارمندان یک موسسه ثالث جا میزنند، مثلا اگر دامنه (Domain) و هاست شما را دو شرکت مختلف سرویسدهی میکنند به عنوان کارمندان شرکت دامنه از شما خواستار ارائه اطلاعات مربوط به هاست میشوند و یا بالعکس. نمونه ساده آن، روشهایی است که سارقان برای ورود به ساختمان شرکتها استفاده میکنند : پوشیدن لباس شبیه ماموران برق، تلفن و یا نظافتچیها.
مقابله با روشهای مبتنی بر مهندسی اجتماعی نیازمند پیشبینی، مصونسازی و آموزش است. در این بخش میکوشیم تا با ذکر مثالهایی واقعی به ایجاد نوعی « درک مقابله با تهدیدهای مبتنی بر مهندسی اجتماعی» کمک کنیم.
توصیه اول : این سوال را چند بار از خود بپرسید : آیا او همان کسی که ادعا میکند؟
در هنگام مواجهه با یک دوست جدید اینترنتی، یک پیام، یک ایمیل حاوی درخواست دوستی، یک تصویر و یا ارتباط اتفاقی اسکایپ، بدون هیچ رودربایستی سوالات زیر باید پرسیده شود؟ آیا شما را میشناسم؟ قبلا شما را دیدهام؟ از کجا شناسه و تماس مرا یافتید؟ سوالات بالا نیازمند جواب روشن و بدون ابهام هستند.
پاسخ اول مثلا: «بله؛ من محمد امیری همکلاسی شما در دانشکده کامپیوتر دانشگاه علم و صنعت ایران ورودی ۱۳۸۰ هستم!» این پاسخ نوعی پاسخ قابل قبول تلقی شده و وظیفه بعدی تحقیق درباره صحت این ادعا خواهد بود.
پاسخ دوم : «چطور منو نمیشناسی؟ چه اهمیتی داره کی هستم؟ حالا یک کم گپ بزنیم خودت میفهمی من کی هستم!» این نوع پاسخها، پاسخ غیرقابل قبولند. تنها واکنش به این نوع درخواست : قطع ارتباط است بدون هیچ توضیح اضافی .
حملات مهندسی اجتماعی معمولا طولانی و زمانبر هستند.
آنان همه اطلاعات را به یکباره نمیگیرند، با شما طرح دوستی میریزند و در طی زمان گام به گام پازل اطلاعاتی خود را کامل میکنند. اگر برای دسترسی به سیستم شما نیازمند هشت قلم داده، از قبیل تاریخ تولد، محل تولد، نام مادر و غیره باشند. به صورت زمانبندی شده و مثلا با ارتباط چت در طول زمانی طولانی این دادهها را یک به یک از شما اخذ میکنند.حتی ممکن است افراد مختلفی مامور ارتباط با شما شده، هر یک به دنبال قطعهای از این پازل باشد.
سهلانگاری محور همه حملات مهندسی اجتماعی است
فرض کنید تبهکار شماره تلفن موبایل شما را در اختیار داشته باشد و قصد دسترسی به اطلاعات پرسنلی شما نظیر آدرس، محل تولد، تاریخ تولد، شماره شناسنامه و غیره را دارد، مکالمه احتمالی به شکل زیر خواهد بود: «الو سلام ... از دانشگاه آزاد واحد تهران مرکز تماس میگیرم، من نجفی هستم، همکار آقای سعیدلو مسئول بایگانی اداره آموزش (سعید لو فردی است که واقعا وجود دارد و برای بالابردن اعتبار مکالمه از او یاد میشود)، پرونده شما مقداری اطلاعات کسر دارد، محبت میکنید سوالهای منو جواب بدهید؟» مقابله با تهدید مکالمه بالا نیازمند قدری آموزش است، کافی است شما سوال فوق را اینچنین جواب دهید: «بله خواهش میکنم، لطف کنید شماره تلفن و داخلیتان را بدهید. من با شما تماس میگیرم.»
مهندسی اجتماعی: چند میلیون دلار برنده شدهاید
مثلا ایمیلی دریافت میکنید که در آن نوشته است شما لاتاری برنده شدهاید، گرین کارد ایالات متحده برنده شدهاید و... ولی بهرحال برای دریافت مدارک باید ۵۰۰ دلار پرداخت کنید.
در آخرین نمونه از این نوع کلاهبرداریها فردی با افتتاح حسابی در سوئیس از خبرنگاران ایرانی متقاضی آموزش در لندن خواست ۵۰۰ یورو به حساب او واریز کنند تا ترتیب شرکتشان در کلاسهای رویترز داده شود.
مهندسی اجتماعی: گمراهسازی عاطفی
به کرات در مواردی نظیر سیل، زلزله، بلایای طبیعی و غیره اتفاق میافتد. حتی در وضعیت عادی نیز ممکن است تبهکاران با انتشار تصویر کودکی سرطانی حتی از طریق ترغیب شما به کلیک یا لایک کردن تصویر برای خود از طریق آگهی کسب درآمد کنند. در موارد جدیتر از شما میخواهند برای جلوگیری از مرگ کودک مقادیری پول را برای شماره حسابی شخصی ارسال کنید.
مهندسی اجتماعی: فریب شخصیتی (Ego Attacks)
تعریف و تمجید دروغین با هدف فریب و ایجاد نگاه مساعد و بعضا همدردی با قربانی. مثلا کودکان و یا نوجوانان به دلیل شرایط خاص دوران بلوغ توانایی تشخیص موارد اینچنینی فریب را ندارند و سریعا نوعی رابطه و اطمینان میان ایشان و گوینده به وجود میآید.
مهندسی اجتماعی: فریب شخصیتی (Sympathy Attacks)
در این شکل این فرد فریبدهنده است که خود را به شکل قربانی مینماید. فردی که نزدیکانش را از دست داده است. فرزندش بیمار است. پولش را دزدیدهاند. به خاطر دلیلی انسانی و شرافتمندانه زندانی بوده است. همسرش به او خیانت کرده و یا از بازماندگان بلایای طبیعی مثل زلزله، سیل، سونامی و حوادث تروریستی است. در یک مورد مشهور مادری در ایلات متحده آمریکا برای موفقیت فرزندش در یک مسابقه موسیقی ادعا کرده بود که همسرش را در جنگ از دست داده است و جالب اینجاست که این ادعای نادرست سمپاتی و همدردی شمار قابل توجهی از داوران و رایدهندگان را برانگیخته بود.
مهندسی اجتماعی: روشهای ترکیبی
در بسیاری از حملات مهندسی اجتماعی ترکیبی از متدهای ذکر شده مورد استفاده قرار میگیرد. به طور مثال هم سمپاتی و حس ترحم و هم تطمیع. یک مثال خوب برای این نوع رویکرد، داستان قدیمی و کلاسیک کلاهبرداری با ادعای زندانی شدن یک فرد جای دیگری از دنیا و بلافاصله تطمیع است مثلا با این قول که اگر مبلغی پیش پرداخت را برای آزادی آن زندانی بپردازید، او پس از آزادی چند ده برابر آن مبلغ را به شما هدیه خواهد داد. ترکیب همچنین میتواند ترساندن قربانی مثلا از آلوده بودن کامپیوترش همزمان با ارائه نرمافزاری به طور مثال نصف قیمت برای پاکسازی کامپیوتر باشد. طبعا این نرمافزار اگر آلوده نباشد، فاقد ارزش ادعا شده است.
مهندسی اجتماعی: دستور از ناحیه مقام مسئول
در این شکل مثلا فردی با شما که کارمند دفتری یک موسسه هستید، تماس میگیرد و خود را رئیس کل موسسه شما، یا یک نماینده مجلس یا وزیر و غیره معرفی میکند و از شما خواستار اطلاعات خاصی میشود. او مثلا از شما میخواهد شماره تلفن مسئول حسابداری شرکت را برای او پشت تلفن بخوانید. اگر از وی خواستار توضیح بیشتر شوید با فریاد و هیاهو به شما دستور میدهد. فورا شماره را برایش بخوانید وگرنه برایتان عواقب بدی خواهد داشت... او در یک جلسه فوقالعاده مهم است و فرصت توضیح بیشتر ندارد و ....
بررسی ها نشان داده است جمع کثیری از قربانیان درخواست فرد فوق را پاسخ مثبت می دهند.
تلفنهایی مثلا : «ما از وزارت کشور تماس میگیریم، از سازمان آب تماس میگیریم، از سرشماری سازمان آمار تماس میگیریم و غیره نیز میتوانند نمونههایی برای روش بالا باشند.
مهندسی اجتماعی: پیشنهاد کمک به شما
در این روش فردی با شما تماس میگیرد و ادعا میکند مثلا از قسمت امنیتی بانک شما و یا شرکت کامپیوتری معتبری است وی اعلام میکند که کامپیوتر شما آلوده شده، یا فرد دیگری از اکانت شما استفاده میکند. سپس از شما خواستار اطلاعات میشود مثلا نام، نام خانوادگی، شناسه و رمز عبور شما را میپرسد. این اطلاعات توسط فرد مهاجم برای سوء استفاده از دادههای شما مورد استفاده قرار خواهد گرفت.
مهندسی اجتماعی: درخواست کمک از شما
در این روش برخلاف شیوه بالا، فردی با شما تماس میگیرد و از شما درخواست کمک میکند. مثلا تلفنش گم شده، دسترسی به دفتر تلفن ندارد، جانش در خطر است و غیره اغلب افراد به دلیل حسن نیت و خوش قلبی ذاتی آدمها به درخواست فوق پاسخ مثبت میدهند و برای کمک اعلام آمادگی میکنند او مثلا از شما میخواهد یک آدرس اینترنتی را برایش چک کنید. ورود شما به سایت مورد ادعای فرد منجر به آلوده شدن کامپیوتر شما خواهد شد.
مهندسی اجتماعی: ترساندن شما
حتما شما هم این تجربه را داشتهاید که به ناگاه پنجرهای ناشناس روی صفحه نمایش شما باز میشود و هشدار میدهد که کامپیوتر شما به انواع ویروس و جاسوس افزار آلوده است یا مشکلات مختلفی سرعت کامپیوتر شما را پایین آوردهاند و با کلیک روی یک لینک میتوانید این مشکلات را سریعا حل کنید. مشکلاتی که احتمالا هرگز وجود نداشتهاند. مشکل اصلی همان لینک است که با کلیک روی آن کامپیوترتان به صورت واقعی آلوده خواهد شد.
فیشینگ از خطرناکترین حملات متکی بر فریب
دهها و صدها نمونه فیشینگ وجود دارد، مثالهای زیر برای فهم بهتر این تهدید کمک میکند:
o در ایمیل دریافتی گوگل برای نوشته است: «اکانت جمیل شما هک شده به این آدرس بروید.»
o در ایمیل دریافتی بانک شما نوشته است: «حساب شما مورد تهدید قرار گرفته به این آدرس بروید.»
o در ایمیل دریافتی نوشته: «پسورد عابربانک یا کارت بانک خود را در آدرس زیر عوض کنید.»
o در ایمیل نوشته برای دریافت ۱۰۰ دلار اعتبار اسکایپ یا پیبال (Paypal) به آدرس زیر بروید.
نکته مشترک همه حملات بالا این است که پس از کلیک کردن بر آن لینک شما وارد گوگل، سایت بانک، پیبال یا اسکایپ خود نخواهید شد و تنها سر از سایت آلودهای درخواهید آورد که شناسه و پسورد شما را سرقت خواهد کرد. اصلیترین ویژگی سایتهای فیشینگ این است که ظاهر سایت آلودهشان شباهت بسیاری مثلا به سایت جیمیل، یاهو، بانک شما و غیره دارد به شکلی که شما متعجب نمیشوید و با اطمینان اطلاعات حساس خود را وارد خواهید کرد.
ثبت نظر