مهندسی اجتماعی " Social Fngineering" تعاریف زیادی دارد. می توان این مهندسی را به چهار صورت تعریف کرد. به طور کلی در بحث امنیت رایانه ای، مهندسی اجتماعی به مقوله ای اطلاق می شود که نوعی نفوذ و حمله غیرفنی را توصیف می کند که عمدتا بر تعاملات انسانی تکیه دارد و در بر گیرنده روش های فریب دادن دیگران است تا روندهای معمول امنیتی را بشکنند.
تعاریف مهندسی اجتماعی
تعریف دوم: هنر و علم واداشتن دیگران به انجام کاری مطابق خواسته نفوذگر.
تعریف سوم: استفاده یک نفوذگر خارجی از حقه های روان شناسی روی کاربران قانونی یک سیستم کامپیوتری برای به دست آوردن اطلاعات.
تعریف چهارم: به دست آوردن اطلاعات (برای مثال کلمه عبور) از یک فرد، به جای به کارگیری روش های فنی برای ورود غیرمجاز به سیستم (و سپس خرابکاری، ربودن اطلاعات محرمانه و غیره).
مهندسی اجتماعی می تواند همه این تعاریف باشد یا هیچ کدام از این تعاریف نباشد. بستگی دارد به اینکه شما در چه جایگاهی قرار دارید و از چه دیدگاهی مایل به بررسی آن هستید. اما آنچه که به نظر می رسد مورد توافق همه است ، این است که مهندسی اجتماعی عموما بهره گیری هوشمندانه ی یک نفوذگر از تمایل طبیعی انسانها برای اعتماد کردن و کمک کردن را در بر می گیرد.هدف نفوذگر از این عمل به دست آوردن اطلاعاتی است که به وسیله ی آنها دسترسی غیرمجاز به منابع اطلاعات سری میسر می شود. در واقع نفوذگراین بار با هدف قرار دادن ضعیف ترین حلقه ی زنجیره ی امنیت ، یعنی نیروی انسانی ، اهداف دیگری را دنبال می کند؛ اهدافی مانند ارتکاب جرم، نفوذ به شبکه، جاسوسی صنعتی، دزدی هویت و یا خرابکاری در سیستم و شبکه.
مهندسی اجتماعی عموما بهره گیری هوشمندانه ی یک نفوذگر از تمایل طبیعی انسانها برای اعتماد کردن و کمک کردن را در بر می گیرد.هدف نفوذگر از این عمل به دست آوردن اطلاعاتی است که به وسیله ی آنها دسترسی غیرمجاز به منابع اطلاعات سری میسر می شود
روی سیبل نفوذ
توجه به این نکته ضروری است که این نوع حمله ها غالبا ساده تر از بسیاری از انواع نفوذگری های فنی هستند. به همین دلیل سازمان های بسیاری به سادگی و با سهل انگاری، هدف این حملات قرار می گیرند.
سازمان هایی که عمدتا هدف این حملات قرار گرفته و آسیب پذیری بالایی دارند عبارتند از: مراکز پاسخگویی تلفنی، شرکت های بزرگ و معروف، موسسات مالی، مراکز دولتی و نظامی و حتی بیمارستان ها. حملات مهندسی اجتماعی غالباً در دو سطح فیزیکی و روان شناسی انجام می گیرند.
مهندسی اجتماعی معکوس
آنچه از آن تحت عنوان "مهندسی اجتماعی معکوس" یاد می شود در واقع، خود یکی از روش های مهندسی اجتماعی است. به این شکل است که نفوذگر خود را در جایگاه دهنده ی اطلاعات قرار می دهد و با جلب اعتماد افراد، نفوذ خود را عملی می کند.
در یک سناریوی معروف ، نفوذگر عمدا اشکالی در شبکه ایجاد می کند ، سپس با تبلیغات، هدف خود را متقاعد می کند که او فرد مناسب و متخصص برای حل مشکل است و در پایان ، وقتی برای تعمیرات و ارائه ی خدمت حاضر شد ، با زیرکی خاصی ذره ذره اطلاعاتی را که در واقع برای به دست آوردن شان آمده است، با پرسش یا مشاهده استخراج می کند.
از ابزارهای مورد استفاده این نفوذ گران، می توان محیط های گفت و گوی جمعی یا فردی مانند اتاق های چت، فروم ها، پیام کوتاه و تلفن نام برد که با استفاده از هوش و روش های روان شناسی قربانی را مورد حمله روانی قرار می دهند.
تکنیک های تجربی
تکنیک های مهندسی اجتماعی اینترنتی هر فرد حاصل تجربیات روان شناسی فردی و گروهی و جامعه شناسی فرد است که از آن برای مقاصد خود و دست آویز قرار دادن اشخاص، به خصوص اشخاصی که در جایگاه های حساس سازمان ها و شرکت ها فعالیت می کنند، استفاده می کند. این روش از متداول ترین و در عین حال ساده ترین روش های نفوذ بوده و بدون نیاز به داشتن اطلاعات فنی بالا، انجام کدنویسی و کشف حفره های جدید نرم افزاری و شبکه ای، می تواند نتایج بسیار جالب و شگفت انگیزی را برای نفوذگر به دست آورد.
چطور از حملات مهندسان در امان بمانیم
کاربران در اینترنت نه فقط در اتاق های گفت و گو بلکه خیلی جاهای دیگر در معرض خطر حمله مهندسان اجتماعی قرار دارند باید برای در امان ماندن از حملات و حیله های آنان چه کرد؟
یک- به تلفن ها، نامه های الکترونیکی و ملاقات هایی که ناخواسته بوده و در آن از شما درخواست ارایه اطلاعاتی خاص در مورد کارکنان و یا سایر اطلاعات شخصی می شود با دیده سوء ظن نگاه کنید. در صورتی که یک فرد ناشناس ادعا می کند که از یک سازمان معتبر است، سعی کنید با سازمان مورد ادعای وی تماس گرفته و نسبت به هویتش کسب تکلیف کنید.
دوم- هرگز اطلاعات شخصی و یا اطلاعات مربوط به سازمان خود را (مثلا ساختار و یا شبکه ها) در اختیار دیگران قرار ندهید، مگر اینکه اطمینان پیدا کنید که فرد متقاضی مجوز لازم به منظور دستیابی به اطلاعات درخواستی را داراست.
سوم- هرگز اطلاعات شخصی و یا مالی خود را در یک email افشا نکرده و به نامه های الکترونیکی ناخواسته ای که درخواست این نوع اطلاعات را از شما می کنند، پاسخ ندهید (به لینک های موجود در این گونه نامه های ناخواسته نیز توجهی نداشته باشید).
چهارم- هرگز اطلاعات حساس و مهم شخصی خود و یا سازمان تان را روی اینترنت منتشر نکنید. قبل از ارسال این گونه اطلاعات حساس، می بایست Privacy وب سایت مورد نظر به دقت مطالعه شده تا مشخص شود که اهداف آنان از جمع آوری اطلاعات شخصی شما چیست و نحوه برخورد آنان با اطلاعات به چه صورت است؟
پنجم- به آدرس URL وب سایت ها دقت داشته باشید وب سایت های مخرب ممکن است خود را مشابه یک وب سایت معتبر ارایه کنند که آدرس URL آنان تفاوت اندکی با وب سایت های شناخته شده داشته باشد. وجود تفاوت اندک در حروف استفاده شده برای نام سایت و یا تفاوت در domain ،نمونه هایی در این زمینه هستند (مثلا com. در مقابل net).
ششم- با وجود این راهکارها اگر فکر می کنید به هر دلیلی اطلاعات حساس سازمان خود را در اختیار دیگران(افراد غیرمجاز) قرار داده اید، بلافاصله موضوع را به اطلاع افراد ذیربط شاغل در سازمان خود (مثلاً مدیران شبکه) برسانید. آنان می توانند در خصوص هر گونه فعالیت های غیرمعمول یا مشکوک، هشدارهای لازم را در اسرع وقت در اختیار دیگران قرار دهند.
اگر هم فکر می کنید اطلاعات مالی شما ممکن است در معرض تهدید قرار گرفته شده باشد، بلافاصله با موسسه مالی خود تماس بگیرید و تمامی حساب های مالی در معرض تهدید را مسدود کنید. در این رابطه لازم است دقت، حساسیت و کنترل لازم در خصوص هر گونه برداشت از حساب های بانکی خود را داشته باشید.
منبع:
روزنامه فناوران
کلمات کلیدی: