به گزارش خبرنگار حوزه اخبار داغ گروه فضای مجازی باشگاه خبرنگاران جوان، امروزه تعداد زیادی از افراد با هکرها آشنایی دارند؛ آن‌ها داده‌های حساس را بهره برداری کرده و سیستم کامپیوتری سازمان‌های متنوع از جمله بانک‌ها، کسب و کارها و حتی آژانس‌های دولتی را تحت کنترل خود در می‌‌آورند. امروزه هکرها با گستردگی بیشتری مطرح شده و انگیزه بیشتری برای ممانعت  از کارهایشان وجود دارد. اکثر سازمان‌ها از طریق سرمایه گذاری بر روی فناوری‌های جدید و به‌روز، به تقویت مکانیزم دفاعی خود پرداخته و می‌‌خواهند با هکرها مقابله کنند.

از سوی دیگر ، نسل جدیدی از مهاجمین شکل گرفته که از تخصص خود برای نفوذ به دل راهکارها و ابزارهای سازمان‌ها بهره می‌‌گیرند. این نسل جدید از مهاجمین را تحت عنوان مهندسین اجتماعی می‌‌شناسند که کار آن‌ها به نوعی  مشابه با کار هکرها است؛ در هر حال، هدف اصلی از آن‌ها دست گذاشتن روی نقطه ضعف هر انسان یعنی روان او است. مهندسان اجتماعی از رسانه‌هایی نظیر تماس‌های تلفنی و شبکه‌های اجتماعی برای  فریب افراد استفاده می‌‌کنند تا بتوانند به اطلاعات مهم و حساسشان دسترسی پیدا کنند. مهندسی اجتماعی شامل گستره‌ای از فعالیت‌های مخرب می‌شود که از طرق متنوع نظیر دستاویزسازی، فیشینگ (سرقت هویت)، جبران کردن، طعمه گذاری، دنباله روی و مواردی از این دست انجام می‌‌گیرد.

فیشینگ به عنوان شایع‌ترین نوع مهندسی اجتماعی مطرح است که مهاجمین دنیای امروز از آن بهره می‌‌گیرند. کلاه برداری های فیشینگ دارای ویژگی های منحصر به فردی نظیر کسب اطلاعات خصوصی از جمله نام، شماره ملی و آدرس اهداف است؛ همچنین در این روش‌ها نوعی حس ترس، اضطرار و تهدید را برای فریب دادن اهدافشان استفاده می‌کنند تا سرعت کارشان افزایش پیدا کند؛ همچنین از لینک گذاری یا کوتاه سازی لینک برای هدایت اهدافشان به سمت وب سایت‌های مشکوک استفاده می‌کنند، درحالی که کل فرآیند و URL  مورد استفاده به نظر سالم و قانونی می‌آید.

اگر چه تعدادی از ایمیل‌های فیشینگ با کمترین ظرافت ممکن طراحی شده و دارای خطاهای گرامری و املای غلط لغات هستند، اما از آن‌ها بازهم می‌ توانند اهدافشان را به سمت وبسایت‌های جعلی هدایت نمایند. ایمیل‌های فیشینگ به منظور سرقت اطلاعات حساب و سایر اطلاعات شخصی اهداف استفاده می‌‌شوند. غالبا مهاجمینی که از ایمیل‌های فیشینگ استفاده می‌کنند از یک بدافزار نیز در نقشه‌شان بهره می‌‌گیرند تا توان دسترسی به اطلاعات کاربر را داشته باشند. به عنوان مثال، در یکی از کلاه برداری های گزارش شده، مهاجمین ایمیل‌هایی را به اهدافشان می‌‌فرستادند؛ از اهداف خواسته می‌‌شد که یک فایل APK کرک شده را از طریق google play books نصب نمایند. اما این فایل ها از پیش با یک بدافزار بارگزاری شده بودند.

مهندسی اجتماعی چیست؟

مهندسی اجتماعی یک روش دسترسی به سیستم‌ها، داده‌ها یا ساختمان‌ها است که در آن از روان شناسی انسانی بهره برداری می‌شود. به جای استفاده از تکنیک‌های فنی یا ورود به زور، در مهندسی اجتماعی از طرح‌واره های غیرفنی توسط مهاجمین استفاده می‌شود. به عنوان مثال، مهاجم می‌تواند با هدف تماس بگیرد یا اینکه خود را یک مهندس IT  معرفی  کند و به بهانه تعمیر نرم افزار  در کمپانی هدف به آن ورود کند. در ادامه مهاجم به نوع هدفش را فریب می‌دهد تا رمز عبورش را به دست آورد. هدف اولیه مهندسان اجتماعی به دست آوردن اعتماد در میان بیشترین اهداف ممکن در یک کمپانی معین است. در دهه ۹۰ میلادی کوین می‌تنیک که یک هکر معروف بود عبارت مهندسی اجتماعی را مطرح کرد هر چند که مفهوم فریفتن افراد و دسترسی به اطلاعات حساس سال‌های سال است که در سرتاسر دنیا مطرح می‌شود.

انواع مهندسان اجتماعی

اشکال متنوعی از مهندسی اجتماعی وجود دارد این کار یا به صورت دوستانه و یا هدف تخریب انجام می‌گیرد و می‌تواند موجب ارتقاء یا متلاشی کردن یک سازمان شود. باید انواع مختلف مهندسی اجتماعی را بشناسید تا توان مقابله با آن را داشته باشید.

هکرها

هکرها به عنوان معروف‌ترین و غالب ترین نوع مهندسان اجتماعی مطرح هستند. حتی اگر شرکت‌های نرم افزاری موفق به توسعه سیستم‌های نرم افزاری پیچیده و بسیار ایمن شوند، باز هم هکرهایی هستند که بتوانند بر آن‌ها غلبه کنند. متغیرهای تهاجم به شبکه و نرم افزار که شامل هک کردن نیز می‌شود، به عنوان بخشی از مهندسی اجتماعی مطرح هستند. غالبا این نوع از مهندسی اجتماعی، ترکیبی از مهارت‌های شخصی و سخت افزاری را به کار گرفته و از هک کردن برای شکاف های کوچک یا بزرگ در دنیا استفاده می‌شود.

آزمون‌گر نفوذ

آزمون‌گر نفوذ تشابه زیادی با یک هکر دارد، زیرا آن‌ها نیز از مهارت‌های هک کردن برای نفوذ به کمپانی یا سیستم امنیتی هدف استفاده می‌کنند. آزمون‌گر‌ها افرادی هستند که از توانایی‌های مخرب و کلاه مشکی استفاده می‌کنند، در هر حال، آن‌ها از اطلاعات حاصله برای آسیب زدن به هدف یا منابع شخصی استفاده نمی‌کنند.

سارقان هویت

سرقت هویت اشاره به استفاده از اطلاعات شخصی فرد نظیر نام  آدرس، شماره حساب بانک  شماره ملی و تاریخ تولد است بدون این که وی از آن اطلاعی داشته باشد. این امر جرم بوده و می‌تواند از پوشیدن یک یونیفرم و تقلید از یک فرد تا تهاجمات پیچیده تر را شامل شود. سارقان هویت نیز تعدادی از مهارت‌های مهندسی اجتماعی را به کار می‌‌گیرند. امروزه سارقان هویت  خلاق‌تر شده و از ترفندهای ویژه‌ای برای اجرای کارشان استفاده می‌کنند.

جاسوس ها

جاسوس‌ها افرادی هستند که از مهارت‌های مهندسی اجتماعی به عنوان بخشی اساسی از زندگی‌شان بهره می‌‌گیرند. جاسوس‌ها به عنوان متخصص علم مطرح می‌‌شوند زیرا روش های متنوعی برای حقه زدن و فریفتن اهداف به آن‌ها آموزش می‌شود. همچنین جاسوس های سرتاسر دنیا به مهارت‌های مهندسی اجتماعی مجهز می‌شوند تا بتوانند اعتماد دیگران را جلب کرده و البته به درستی فرد مقابل را بازجویی کنند.

ترفندهای مهندسی اجتماعی

متاسفانه تعداد زیادی از روش‌های بهره برداری مختلف در مهندسی اجتماعی وجود دارد. مهاجمان می‌ توانند با نشان دادن یک صفحه اینترنتی جعلی بارگذاشتن یک در، دریافت سندی که حاوی کدهای مخرب است یا حتی گذاشتن یک USB در کامپیور هدفشان دسترسی پیدا کنند. تعدادی از ترفندهای معمول که به مهندسی اجتماعی مرتبط می‌شوند. عبارتند از :

دوستی : این ترفند شامل کسب اعتماد هدف، توسط مهندس اجتماعی است و از طریق این دوستی، پیوندهای ضمایم حاوی بدافزار به شخص هدف،  انتقال داده می‌شود. این بدافزار معمولا شامل تهدیدی است که موجب تنزل سیستم شرکت می‌شود. وقتی که مهندس اجتماعی به سیستم شرکت دسترسی یافت و نقطه ی ضعف آن را از طریق بدافزار کشف کرد، می‌تواند بهره برداری از آن را اغاز کند. به عنوان مثال، مهندس اجتماعی می‌تواند مکالمه آنلاین با اهدافش را آغاز کند و وی را به افشای اطلاعات حساس و مفیدش ترغیب کند.

استفاده از شبکه های اجتماعی: در این ترفند، مهندس اجتماعی با استفاده از نامی‌ آشنا به هدف یا دوستان هدفش توئیتی را ارسال می‌کند. در این پیغام مواردی نظیر داده های محل کار یا یکی از صفحات اکسل شرکت از هدف درخواست می‌شود لازم به ذکر است که مهندسان اجتماعی می‌ توانند هرچیزی که بر روی سیستم کامپیوتری می‌ بینند را دست کاری کرده و کلاه برداری کنند.

تظاهر به خودی بودن: در این ترفند، مهندس اجتماعی به عنوان یک پیمانکار یاری‌رسان در زمینه IT یا کارگر معمولی وارد سازمان شده و اطلاعاتی نظیر رمز عبور اهداف را به دست می‌آورند.

مثال مشهور از کلاهبرداری‌های مهندسی اجتماعی

حالا که مشخص شد مهندسی اجتماعی چیست و چطور عمل می‌‌کند، در ادامه نگاهی به چند نمونه از هک‌های مشهور به روش مهندسی اجتماعی خواهیم داشت. متوجه خواهید شد که امکان رخ دادن این اتفاق برای هر فردی صرف‌نظر از میزان بزرگی یا کوچکی وی وجود دارد. ممکن است فقط یک لحظه غفلت منجر به نفوذ به داخل سیستم‌های شما شود.

AIDS یا باج افزار اصلی

بخش اصلی باج افزار، AIDS نام داشت و مثل یک تروجان عمل می‌‌کرد. این بخش دقیقاً در یک کنفرانس علمی‌ و توسط یک محقق زیست‌شناسی تکاملی منتشر شد که ادعا می‌‌کرد قصد دارد برای مقابله با ایدز، سطح آگاهی را افزایش داده و پول جمع‌آوری کند.

در واقع این تروجان، پدربزرگ تمام کدهای باج افزاری است که پس از آن منتشر شدند. این بخش از طریق یک فلاپی دیسک منتشر شده و سپس با ایمیل به قربانیان اولیه ارسال می‌­‌شد. قربانیان تصور می‌‌کردند ایمیل مربوطه حاوی اطلاعاتی درباره نحوه کمک به مقابله با ایدز است. از این جهت این آلودگی یک نوع حمله مهندسی اجتماعی محسوب می‌‌شد که از تمایل افراد برای کمک به دیگران سوءاستفاده می‌‌کرد.

حمله Kevin Mitnick به DEC

Kevin Mitnick هکر متخصص در زمینه مهندسی اجتماعی (که بعداً تبدیل به یک محقق امنیتی شد) دقیقاً از طریق حمله‌ای که به شرکت تجهیزات دیجیتال (Digital Equipment Corporation یا به اختصار DEC) انجام داد، در دهه ۹۰ میلادی شهرت زیادی کسب کرد. از آنجایی که او هم‌پیمان با هکرهایی بود که قصد داشتند نگاهی به سیستم عامل DEC داشته باشند اما بدون اطلاعات لاگین قادر به ورود به این سیستم نبودند، Mitnick خیلی ساده یک تماس گرفت و این اطلاعات را درخواست کرد.

Kevin Mitnick با مدیر سیستم شرکت DEC تماس گرفته و ادعا کرد که یکی از کارمندان تیم توسعه‌دهنده است که موقتاً از حسابش خارج شده و امکان دسترسی به آن را ندارد. سپس مدیر سیستم، یک نام کاربری و رمز عبور جدید به او داد که سطح دسترسی بالایی داشت.

مشکلات داخلی HP با کارمندان

در سال ۲۰۰۵ و ۲۰۰۶، شرکت Hewlett-Packard به دلیل نشت اطلاعات در رسانه‌ها دچار مشکلاتی شد. این شرکت در راستای تلاش برای شناسایی کارمندانی که موجب نشت اطلاعات شده بودند، تعدادی بازرس خصوصی را استخدام کرد که موفق شدند تماس‌های ضبط شده افراد مورد نظر توسط شرکت مخابراتی AT&T را با این ادعا که خودشان این افراد هستند، دریافت کنند.

این اقدام طبق قوانین فدرال غیرقانونی شمرده شد اما قطعاً افق‌های جدیدی را در زمینه روش‌های مهندسی اجتماعی باز کرد.

هک یاهو در سال ۲۰۱۵

این هک بزرگ که باعث شد در سال ۲۰۱۴ هکرها اطلاعات شخصی بیش از ۵۰۰ میلیون کاربر را به دست آوردند، به فیشینگ هدفمند متکی بود. هکرها توانستند فقط با هدف گرفتن کارمندان سطح بالای شرکت یاهو از طریق پیام‌های ویژه و خاص به سرورهای یاهو دسترسی پیدا کنند. از آنجا به بعد مهاجمان از رمزنگاری و کوکی‌های جعلی برای نفوذ به حساب کاربری کاربران معمولی یاهو استفاده کردند.

هک وزارت دادگستری ایالات متحده

وزارت دادگستری آمریکا هم حتی از حملات مهندسی اجتماعی در امان نبوده است. تا زمانی که انسان‌ها در چنین محیطی کار کنند، امکان طعمه شدن در برابر تاکتیک‌های مهندسی اجتماعی وجود دارد. هکری که ناامید شده و به این نتیجه رسیده بود که بدون داشتن کد دسترسی قادر به نفوذ به سیستم نیست، یک تماس ساده گرفت و ادعا کرد که یکی از کارمندان است. هکر پس از به دست آوردن کد توانست عملیات را ادامه داده و ارتباطات داخلی را شنود کند. وی برای اثبات این هک، یکسری اطلاعات مهم را افشا کرده و به وزارت دادگستری هشدار داد که امنیت را جدی‌تر بگیرد.

رسوایی مشهور فیس‌بوک و شرکت کمبریج آنالیتیکا

شرکت کمبریج آنالیتیکا متهم شد که به روشی بسیار پیچیده و با ساختن پروفایل‌های اجتماعی از روی تک­‌تک اطلاعاتی که درباره افراد پیدا کرده، توانسته است که با کمک شرکت فیس‌بوک با موفقیت بر انتخابات ریاست جمهوری آمریکا و رفراندوم بریتانیا درباره برگزیت تأثیرگذار شود. این رسوایی نشان داد که هک‌های مهندسی اجتماعی گاهی وقت‌­ها به ریشه اصلی این واژه نزدیک می‌‌شوند (یعنی تغییر در جامعه).

حمله BEC به شرکت Ubiquiti Networks

در سال ۲۰۱۵ یک حمله ساده هک ایمیل کسب و کاری (به اختصار BEC)، منجر به نفوذ به شرکت Ubiquiti networks شده و باعث شد هکرها ۷.۴۶ میلیون دلار را به سرقت ببرند. این حمله به همین سادگی صورت گرفت که در آن مهاجمان با کارمندان بخش مالی تماس گرفته و خواستار اجرای یک تراکنش شدند.

رخنه احراز هویت دومرحله‌ای RSA

توکن‌های احراز هویت دومرحله‌ای SecurID از شرکت RSA به میزان زیادی غیرقابل هک شناخته می‌‌شوند. با این وجود، در سال ۲۰۱۱ شرایط تغییر کرد و در آن زمان یکسری از افراد داخلی شرکت طعمه حمله فیشینگ شده، داده‌های سازمانی را افشا کرده و منجر به خسارت ۶۶ میلیون دلاری شدند.

در ابتدا کارمندان RSA یک ایمیل جعلی دریافت کردند که وانمود می‌‌شد از طرف بخش استخدام یک شرکت دیگر ارسال شده است. یک فایل صفحه گسترده آلوده اکسل هم به این پیام پیوست شده بود. در صورت باز شدن این فایل پیوست، یک آسیب‌پذیری روز صفر در نرم افزار فلش امکان نصب یک تروجان در پشتی بر روی رایانه آلوده را برای هکرها فراهم می‌‌کرد.

هر چند نمی‌‌توان به صورت مناسب و درست میزان جدیت این رخنه را ارزیابی کرد اما محققان RSA باور دارند که ممکن است این هک بر امنیت فناوری توکن احراز هویت دومرحله‌ای آنها تأثیر گذاشته باشد و در نتیجه لازم باشد که این طراحی از صفر دوباره انجام شود. این حمله نشان داد که گاهی اوقات یک هک می‌‌تواند موجب شود که نیاز به بازسازی کامل فناوری ایجاد شود که قبلاً غیرقابل نفوذ تصور می‌‌شد.

رخنه Target در سال ۲۰۱۳

سیستم پایانه فروش Target در سال ۲۰۱۳ توسط هکرها مورد حمله قرار گرفته و آنها موفق به افشا و سرقت اطلاعات کارت بانکی بیش از ۴۰ میلیون مشتری Target شدند. اگر چه اطلاعات از طریق یک اسکریپت بدافزاری به سرقت رفتند اما نقطه ورود این بدافزار، یک حمله مهندسی اجتماعی هوشمندانه بود. مهاجمان که می‌‌دانستند برای راحت‌تر شدن کار می‌‌توانند در ابتدا یک طعمه کوچک‌تر را هدف بگیرند، از طریق فیشینگ، امنیت Fazio Mechanical Services را دچار اختلال کردند.

پیش از این امکان دسترسی به سیستم‌های Target برای یک تأمین‌کننده شخص سوم فراهم شده بود. بنابراین مهاجمان با هدف قرار دادن آن توانستند به سمت خود Target حرکت کنند.

برادران Badir

در دهه ۹۰ میلادی، برادران Badir خارق‌العاده‌ترین هکرهایی بودند که خاورمیانه را به ستوه آورند. این سه برادر، همگی نابینا بودند اما استعداد قابل توجهی در زمینه هک داشتند و البته برای هک علاوه بر روش‌های فنی از روش‌های مهندسی اجتماعی هم استفاده می‌‌کردند.

آنها می‌‌توانستند پشت تلفن، تمام صداها را تقلید کنند (حتی بازرسی که به دنبال آنها بود) و می‌‌توانستند فقط با شنیدن صدای تایپ، پین کد قربانی را تشخیص دهند. همچنین با منشی‌های مدیران رده بالای شرکتی چت می‌‌کردند و با خوش‌رویی از آنها اطلاعاتی را درخواست می‌‌کردند. آنها در نهایت توانستند به اطلاعات شخصی این مدیران، دست پیدا کرده و با موفقیت رمز عبور آنها را حدس بزنند.

تمام این مهارت‌ها، به آنها کمک کرد تا بتوانند در سراسر خاورمیانه یکسری حملات مهندسی اجتماعی موفق را اجرا کنند.

نحوه محافظت در برابر حملات مهندسی اجتماعی

متأسفانه دقیقاً به این دلیل که حملات مهندسی اجتماعی متکی بر اعتماد مردم هستند، محافظت در برابر آنها فقط با استفاده از ابزارهای فنی ممکن نیست. مفهوم مهندسی اجتماعی هم دقیقاً همین است. یعنی فریب دادن و بازی با افکار مردم برای کمک کردن به هکرها جهت دور زدن سازوکارهای محافظتی موجود.

اما در این زمینه هم خبرهای خوب و هم خبرهای بدی وجود دارد. خبر بد این است که هر چقدر ابزارهای امنیت سایبری مورد استفاده شما قوی باشد باز هم در صورتی که به افراد نادرستی اعتماد کنید، امکان هک این ابزارها از طریق مهندسی اجتماعی وجود دارد و خبر خوب این است که مادامی‌ که خود شما و تمام کارمندان سازمان درباره مهندسی اجتماعی و تازه‌ترین روش‌های آن اطلاعات داشته باشید، آسیب‌پذیر نخواهید بود.

گزارش از معصومه شیری

انتهای پیام/