تشخیص حملات مهندسی اجتماعی در ۱۵ قدم

   
نام نویسنده:
|
دسته بندی:
|
مهندسی اجتماعی مبتنی بر دروغ و تقلب است. مهندسی اجتماعی طراحی و اجرای روش‌هایی است که شما و یا فعالان همکار شما را وا دارد تا داوطلبانه تمام و یا بخشی از اطلاعات مورد نیاز مهاجمان را در اختیار ایشان قرار دهید، این حملات با هدف سرقت اطلاعات و یا سودجویی مالی، سوء استفاده‌های سیاسی و غیره انجام می‌پذیرند.

در بسیاری از موارد می‌توان افراد را با چند دروغ ساده فریفت و زمینه دسترسی به اطلاعات ایشان را فراهم آورد. یک مثال بسیار ساده به دست آوردن رمز عبور ایمیل شماست. بسیاری از افراد به سادگی تاریخ تولد، شهر تولد و دیگر اطلاعات به ظاهر غیرحساس را در صفحات فیسبوک خود منتشر می‌کنند یا در هنگام چت در اختیار افراد ناشناس قرار می‌دهند. بدون آنکه تصور کنند با در دست داشتن این اطلاعات، خراب‌کار سایبری می‌تواند به سرویس ایمیل شما مراجعه کند و با ادعای گم کردن رمز عبور، رمز عبور جدیدی دریافت دارد.

شیوه دیگری که به کرات توسط  هکرها استفاده می‌شود، مثلا هک افراد آسانتر مثل بستگان خصوصا بستگان کهنسال و بعد هک اصلی توسط ارسال ایمیل و تماس با اکانت هک شده بستگان آن‌هاست.

ظاهر شدن در لباس روزنامه‌نگار که وظیفه پرسش کردن دارد حیله دیگری بود که در عملیات موسوم به "Newscaster" برای دسترسی به اطلاعات قربانیان مورد استفاده قرار گرفت.

در مورد دیگر فردی به شما تلفن می‌کند و خود را به جای یکی از مسئولین موسسه یا گروه شما جا می‌زند و خواستار دسترسی به اطلاعات موسسه می‌شود. به طور مثال در چت با شناسه رئیس یک روزنامه اینترنتی وارد می‌شود و از مسئول فنی می‌خواهد، رمز عبور (Password) روزنامه را تغییر دهد و رمز جدید را جهت اطمینان و حفظ برای او ایمیل کند.

یا مهاجم  خود را به عنوان کارمندان یک موسسه ثالث جا می‌زنند، مثلا اگر دامنه (‌Domain) و هاست شما را دو شرکت مختلف سرویس‌دهی می‌کنند به عنوان کارمندان شرکت دامنه از شما خواستار ارائه اطلاعات مربوط به هاست می‌شوند و یا بالعکس. نمونه ساده آن، روش‌هایی است که سارقان برای ورود به ساختمان شرکت‌ها استفاده می‌کنند : پوشیدن لباس شبیه ماموران برق، تلفن و یا نظافتچی‌ها.

مقابله با روش‌های مبتنی بر مهندسی اجتماعی  نیازمند پیش‌بینی، مصون‌سازی و آموزش است. در این بخش می‌کوشیم تا با ذکر مثال‌هایی واقعی به ایجاد نوعی « درک مقابله با تهدیدهای مبتنی بر مهندسی اجتماعی» کمک کنیم.

توصیه اول : این سوال را چند بار از خود بپرسید : آیا او همان کسی که ادعا می‌کند؟

در هنگام مواجهه با یک دوست جدید اینترنتی، یک پیام، یک ایمیل حاوی درخواست دوستی، یک تصویر و یا ارتباط اتفاقی اسکایپ، بدون هیچ رودربایستی سوالات زیر باید پرسیده شود؟ آیا شما را می‌شناسم؟ قبلا شما را دیده‌ام؟ از کجا شناسه و تماس مرا یافتید؟ سوالات بالا نیازمند جواب روشن و بدون ابهام هستند.

پاسخ اول مثلا: «بله؛ من محمد امیری همکلاسی شما در دانشکده کامپیوتر دانشگاه علم و صنعت ایران ورودی ۱۳۸۰ هستم!» این پاسخ نوعی پاسخ قابل قبول تلقی شده و وظیفه بعدی تحقیق درباره صحت این ادعا خواهد بود.

پاسخ دوم : «چطور منو نمی‌شناسی؟ چه اهمیتی داره کی هستم؟ حالا یک کم گپ بزنیم خودت می‌فهمی من کی هستم!» این نوع پاسخ‌ها، پاسخ غیرقابل قبولند. تنها واکنش به این نوع درخواست : قطع ارتباط است بدون هیچ توضیح اضافی .

 

حملات مهندسی اجتماعی معمولا طولانی و زمان‌بر هستند.

آنان همه اطلاعات را به یک‌باره نمی‌گیرند، با شما طرح دوستی می‌ریزند و در طی زمان گام به گام پازل اطلاعاتی خود را کامل می‌کنند. اگر برای دسترسی به سیستم شما نیازمند هشت قلم داده، از قبیل تاریخ تولد، محل تولد، نام مادر و غیره باشند. به صورت زمان‌بندی شده و مثلا با ارتباط چت در طول زمانی طولانی این داده‌ها را یک به یک از شما اخذ می‌کنند.حتی ممکن است افراد مختلفی مامور ارتباط با شما شده، هر یک به دنبال قطعه‌ای از این پازل باشد.

سهل‌انگاری محور همه حملات مهندسی اجتماعی است

فرض کنید تبهکار شماره تلفن موبایل شما را در اختیار داشته باشد و قصد دسترسی به اطلاعات پرسنلی شما نظیر آدرس، محل تولد، تاریخ تولد، شماره شناسنامه و غیره را دارد، مکالمه احتمالی به شکل زیر خواهد بود: «الو سلام ... از دانشگاه آزاد واحد تهران مرکز تماس می‌گیرم، من نجفی هستم، همکار آقای سعیدلو مسئول بایگانی اداره آموزش (سعید لو فردی است که واقعا وجود دارد و برای بالابردن اعتبار مکالمه از او یاد می‌شود)، پرونده شما مقداری اطلاعات کسر دارد، محبت می‌کنید سوال‌های منو جواب بدهید؟» مقابله با تهدید مکالمه بالا نیازمند قدری آموزش است، کافی‌ است شما سوال فوق را اینچنین جواب دهید: «بله خواهش می‌کنم، لطف کنید شماره تلفن و داخلی‌تان را بدهید. من با شما تماس می‌گیرم.»

مهندسی اجتماعی: چند میلیون دلار برنده شده‌اید
مثلا ایمیلی دریافت می‌کنید که در آن نوشته است شما لاتاری برنده شده‌اید، گرین کارد ایالات متحده برنده شده‌اید و... ولی بهرحال برای دریافت مدارک باید ۵۰۰ دلار پرداخت کنید.

در آخرین نمونه از این نوع کلاهبرداری‌ها فردی با افتتاح حسابی در سوئیس از خبرنگاران ایرانی متقاضی آموزش در لندن خواست ۵۰۰ یورو به حساب او واریز کنند تا ترتیب شرکتشان در کلاس‌های رویترز داده شود.

مهندسی اجتماعی: گمراه‌سازی عاطفی
به کرات در مواردی نظیر سیل، زلزله، بلایای طبیعی و غیره اتفاق می‌افتد. حتی در وضعیت عادی نیز ممکن است تبهکاران با انتشار تصویر کودکی سرطانی حتی از طریق ترغیب شما به کلیک یا لایک کردن تصویر برای خود از طریق آگهی کسب درآمد کنند. در موارد جدی‌تر از شما می‌خواهند برای جلوگیری از مرگ کودک مقادیری پول را برای شماره حسابی شخصی ارسال کنید.

 

مهندسی اجتماعی: فریب شخصیتی (Ego Attacks)
 تعریف و تمجید دروغین با هدف فریب و ایجاد نگاه مساعد و بعضا همدردی با قربانی. مثلا کودکان و یا نوجوانان به دلیل شرایط خاص دوران بلوغ توانایی تشخیص موارد اینچنینی فریب را ندارند و سریعا نوعی رابطه و اطمینان میان ایشان و گوینده به وجود می‌آید.

مهندسی اجتماعی: فریب شخصیتی (Sympathy Attacks)
در این شکل این فرد فریب‌دهنده است که خود را به شکل قربانی می‌نماید. فردی که نزدیکانش را از دست داده است. فرزندش بیمار است. پولش را دزدیده‌اند. به خاطر دلیلی انسانی و شرافت‌مندانه زندانی بوده است. همسرش به او خیانت کرده و یا از بازماندگان بلایای طبیعی مثل زلزله، سیل، سونامی و حوادث تروریستی است. در یک مورد مشهور مادری در ایلات متحده آمریکا برای موفقیت فرزندش در یک مسابقه موسیقی ادعا کرده بود که همسرش را در جنگ از دست داده است و جالب اینجاست که این ادعای نادرست سمپاتی و همدردی شمار قابل توجهی از داوران و رای‌دهندگان را برانگیخته بود.

مهندسی اجتماعی: روش‌های ترکیبی
در بسیاری از حملات مهندسی اجتماعی ترکیبی از متدهای ذکر شده مورد استفاده قرار می‌گیرد. به طور مثال هم سمپاتی و حس ترحم و هم تطمیع. یک مثال خوب برای این نوع رویکرد، داستان قدیمی و کلاسیک کلاهبرداری با ادعای زندانی شدن یک فرد جای دیگری از دنیا و بلافاصله تطمیع است مثلا با این قول که اگر مبلغی پیش پرداخت را برای آزادی آن زندانی بپردازید، او پس از آزادی چند ده برابر آن مبلغ را به شما هدیه خواهد داد. ترکیب همچنین می‌تواند ترساندن قربانی مثلا از آلوده بودن کامپیوترش همزمان با ارائه نرم‌افزاری به طور مثال نصف قیمت برای پاکسازی کامپیو‌تر باشد. طبعا این نرم‌افزار اگر آلوده نباشد، فاقد ارزش ادعا شده است.

مهندسی اجتماعی: دستور از ناحیه مقام مسئول

در این شکل مثلا فردی با شما که کارمند دفتری یک موسسه هستید، تماس می‌گیرد و خود را رئیس کل موسسه شما، یا یک نماینده مجلس یا وزیر و غیره معرفی می‌کند و از شما خواستار اطلاعات خاصی می‌شود. او مثلا از شما می‌خواهد شماره تلفن مسئول حسابداری شرکت را برای او پشت تلفن بخوانید. اگر از وی خواستار توضیح بیشتر شوید با فریاد و هیاهو به شما دستور می‌دهد. فورا شماره را برایش بخوانید وگرنه برایتان عواقب بدی خواهد داشت... او در یک جلسه فوق‌العاده مهم است و فرصت توضیح بیشتر ندارد و ....

بررسی ها نشان داده است جمع کثیری از قربانیان درخواست فرد فوق را پاسخ مثبت می دهند.

تلفن‌هایی مثلا : «ما از وزارت کشور تماس می‌گیریم، از سازمان آب تماس می‌گیریم، از سرشماری سازمان آمار تماس می‌گیریم و غیره نیز می‌توانند نمونه‌هایی برای روش بالا باشند.

مهندسی اجتماعی: پیشنهاد کمک به شما

در این روش فردی با شما تماس می‌گیرد و ادعا می‌کند مثلا از قسمت امنیتی بانک شما و یا  شرکت کامپیوتری معتبری است وی اعلام می‌کند که  کامپیوتر شما آلوده شده، یا فرد دیگری از اکانت شما استفاده می‌کند. سپس از شما خواستار اطلاعات می‌شود مثلا نام، نام خانوادگی، شناسه و رمز عبور شما را می‌پرسد. این اطلاعات توسط فرد مهاجم برای سوء استفاده از داده‌های شما مورد استفاده قرار خواهد گرفت.

مهندسی اجتماعی: درخواست کمک از شما

در این روش برخلاف شیوه بالا، فردی با شما تماس می‌گیرد و از شما درخواست کمک می‌کند. مثلا تلفنش گم شده، دسترسی به دفتر تلفن ندارد، جانش  در خطر است و غیره اغلب افراد به دلیل حسن نیت و خوش قلبی ذاتی آدم‌ها به درخواست فوق پاسخ مثبت می‌دهند و برای کمک اعلام آمادگی می‌کنند او مثلا از شما  می‌خواهد یک آدرس اینترنتی را برایش چک کنید. ورود شما به سایت مورد ادعای فرد منجر به آلوده شدن کامپیوتر شما خواهد شد.

مهندسی اجتماعی: ترساندن شما

حتما شما هم این تجربه را داشته‌اید که به ناگاه پنجره‌ای ناشناس روی صفحه نمایش شما باز می‌شود و هشدار می‌دهد که کامپیوتر شما به انواع ویروس و جاسوس افزار آلوده است یا مشکلات مختلفی سرعت کامپیوتر شما را پایین آورده‌اند و با کلیک روی یک لینک می‌توانید این مشکلات را سریعا حل کنید. مشکلاتی که احتمالا هرگز وجود نداشته‌اند. مشکل اصلی همان لینک است که با کلیک روی آن کامپیوترتان به صورت واقعی آلوده خواهد شد.

فیشینگ از خطرناک‌ترین حملات متکی بر فریب

ده‌ها و صدها نمونه فیشینگ وجود دارد، مثال‌های زیر برای فهم بهتر این تهدید کمک می‌کند:

o    در ایمیل دریافتی گوگل برای نوشته است: «اکانت جمیل شما هک شده به این آدرس بروید.»

o    در ایمیل دریافتی بانک شما نوشته است: «حساب شما مورد تهدید قرار گرفته به این آدرس بروید.»

o    در ایمیل دریافتی نوشته: «پسورد عابربانک یا کارت بانک خود را در آدرس زیر عوض کنید.»

o    در ایمیل نوشته برای دریافت ۱۰۰ دلار اعتبار اسکایپ یا پی‌بال (Paypal) به آدرس زیر بروید.

نکته مشترک همه حملات بالا این است که پس از کلیک کردن بر آن لینک  شما وارد گوگل، سایت بانک، پی‌بال یا اسکایپ خود نخواهید شد و تنها سر از سایت آلوده‌ای درخواهید آورد که شناسه و پسورد شما را سرقت خواهد کرد. اصلی‌ترین ویژگی سایت‌های فیشینگ این است که ظاهر سایت آلوده‌شان شباهت بسیاری مثلا به سایت جیمیل، یاهو، بانک شما و غیره دارد به شکلی که شما متعجب نمی‌شوید و با اطمینان اطلاعات حساس خود را وارد خواهید کرد.

منبع: فیسیت

دیگر اخبار نویسنده

ارسال نظر


شخصی سازی Close
شما در این صفحه قادر به شخصی سازی نمیباشید