از سوی دیگر ، نسل جدیدی از مهاجمین شکل گرفته که از تخصص خود برای نفوذ به دل راهکارها و ابزارهای سازمانها بهره میگیرند. این نسل جدید از مهاجمین را تحت عنوان مهندسین اجتماعی میشناسند که کار آنها به نوعی مشابه با کار هکرها است؛ در هر حال، هدف اصلی از آنها دست گذاشتن روی نقطه ضعف هر انسان یعنی روان او است. مهندسان اجتماعی از رسانههایی نظیر تماسهای تلفنی و شبکههای اجتماعی برای فریب افراد استفاده میکنند تا بتوانند به اطلاعات مهم و حساسشان دسترسی پیدا کنند. مهندسی اجتماعی شامل گسترهای از فعالیتهای مخرب میشود که از طرق متنوع نظیر دستاویزسازی، فیشینگ (سرقت هویت)، جبران کردن، طعمه گذاری، دنباله روی و مواردی از این دست انجام میگیرد.
فیشینگ به عنوان شایعترین نوع مهندسی اجتماعی مطرح است که مهاجمین دنیای امروز از آن بهره میگیرند. کلاه برداری های فیشینگ دارای ویژگی های منحصر به فردی نظیر کسب اطلاعات خصوصی از جمله نام، شماره ملی و آدرس اهداف است؛ همچنین در این روشها نوعی حس ترس، اضطرار و تهدید را برای فریب دادن اهدافشان استفاده میکنند تا سرعت کارشان افزایش پیدا کند؛ همچنین از لینک گذاری یا کوتاه سازی لینک برای هدایت اهدافشان به سمت وب سایتهای مشکوک استفاده میکنند، درحالی که کل فرآیند و URL مورد استفاده به نظر سالم و قانونی میآید.
اگر چه تعدادی از ایمیلهای فیشینگ با کمترین ظرافت ممکن طراحی شده و دارای خطاهای گرامری و املای غلط لغات هستند، اما از آنها بازهم می توانند اهدافشان را به سمت وبسایتهای جعلی هدایت نمایند. ایمیلهای فیشینگ به منظور سرقت اطلاعات حساب و سایر اطلاعات شخصی اهداف استفاده میشوند. غالبا مهاجمینی که از ایمیلهای فیشینگ استفاده میکنند از یک بدافزار نیز در نقشهشان بهره میگیرند تا توان دسترسی به اطلاعات کاربر را داشته باشند. به عنوان مثال، در یکی از کلاه برداری های گزارش شده، مهاجمین ایمیلهایی را به اهدافشان میفرستادند؛ از اهداف خواسته میشد که یک فایل APK کرک شده را از طریق google play books نصب نمایند. اما این فایل ها از پیش با یک بدافزار بارگزاری شده بودند.
مهندسی اجتماعی یک روش دسترسی به سیستمها، دادهها یا ساختمانها است که در آن از روان شناسی انسانی بهره برداری میشود. به جای استفاده از تکنیکهای فنی یا ورود به زور، در مهندسی اجتماعی از طرحواره های غیرفنی توسط مهاجمین استفاده میشود. به عنوان مثال، مهاجم میتواند با هدف تماس بگیرد یا اینکه خود را یک مهندس IT معرفی کند و به بهانه تعمیر نرم افزار در کمپانی هدف به آن ورود کند. در ادامه مهاجم به نوع هدفش را فریب میدهد تا رمز عبورش را به دست آورد. هدف اولیه مهندسان اجتماعی به دست آوردن اعتماد در میان بیشترین اهداف ممکن در یک کمپانی معین است. در دهه ۹۰ میلادی کوین میتنیک که یک هکر معروف بود عبارت مهندسی اجتماعی را مطرح کرد هر چند که مفهوم فریفتن افراد و دسترسی به اطلاعات حساس سالهای سال است که در سرتاسر دنیا مطرح میشود.
اشکال متنوعی از مهندسی اجتماعی وجود دارد این کار یا به صورت دوستانه و یا هدف تخریب انجام میگیرد و میتواند موجب ارتقاء یا متلاشی کردن یک سازمان شود. باید انواع مختلف مهندسی اجتماعی را بشناسید تا توان مقابله با آن را داشته باشید.
هکرها به عنوان معروفترین و غالب ترین نوع مهندسان اجتماعی مطرح هستند. حتی اگر شرکتهای نرم افزاری موفق به توسعه سیستمهای نرم افزاری پیچیده و بسیار ایمن شوند، باز هم هکرهایی هستند که بتوانند بر آنها غلبه کنند. متغیرهای تهاجم به شبکه و نرم افزار که شامل هک کردن نیز میشود، به عنوان بخشی از مهندسی اجتماعی مطرح هستند. غالبا این نوع از مهندسی اجتماعی، ترکیبی از مهارتهای شخصی و سخت افزاری را به کار گرفته و از هک کردن برای شکاف های کوچک یا بزرگ در دنیا استفاده میشود.
آزمونگر نفوذ تشابه زیادی با یک هکر دارد، زیرا آنها نیز از مهارتهای هک کردن برای نفوذ به کمپانی یا سیستم امنیتی هدف استفاده میکنند. آزمونگرها افرادی هستند که از تواناییهای مخرب و کلاه مشکی استفاده میکنند، در هر حال، آنها از اطلاعات حاصله برای آسیب زدن به هدف یا منابع شخصی استفاده نمیکنند.
سرقت هویت اشاره به استفاده از اطلاعات شخصی فرد نظیر نام آدرس، شماره حساب بانک شماره ملی و تاریخ تولد است بدون این که وی از آن اطلاعی داشته باشد. این امر جرم بوده و میتواند از پوشیدن یک یونیفرم و تقلید از یک فرد تا تهاجمات پیچیده تر را شامل شود. سارقان هویت نیز تعدادی از مهارتهای مهندسی اجتماعی را به کار میگیرند. امروزه سارقان هویت خلاقتر شده و از ترفندهای ویژهای برای اجرای کارشان استفاده میکنند.
جاسوسها افرادی هستند که از مهارتهای مهندسی اجتماعی به عنوان بخشی اساسی از زندگیشان بهره میگیرند. جاسوسها به عنوان متخصص علم مطرح میشوند زیرا روش های متنوعی برای حقه زدن و فریفتن اهداف به آنها آموزش میشود. همچنین جاسوس های سرتاسر دنیا به مهارتهای مهندسی اجتماعی مجهز میشوند تا بتوانند اعتماد دیگران را جلب کرده و البته به درستی فرد مقابل را بازجویی کنند.
متاسفانه تعداد زیادی از روشهای بهره برداری مختلف در مهندسی اجتماعی وجود دارد. مهاجمان می توانند با نشان دادن یک صفحه اینترنتی جعلی بارگذاشتن یک در، دریافت سندی که حاوی کدهای مخرب است یا حتی گذاشتن یک USB در کامپیور هدفشان دسترسی پیدا کنند. تعدادی از ترفندهای معمول که به مهندسی اجتماعی مرتبط میشوند. عبارتند از :
دوستی : این ترفند شامل کسب اعتماد هدف، توسط مهندس اجتماعی است و از طریق این دوستی، پیوندهای ضمایم حاوی بدافزار به شخص هدف، انتقال داده میشود. این بدافزار معمولا شامل تهدیدی است که موجب تنزل سیستم شرکت میشود. وقتی که مهندس اجتماعی به سیستم شرکت دسترسی یافت و نقطه ی ضعف آن را از طریق بدافزار کشف کرد، میتواند بهره برداری از آن را اغاز کند. به عنوان مثال، مهندس اجتماعی میتواند مکالمه آنلاین با اهدافش را آغاز کند و وی را به افشای اطلاعات حساس و مفیدش ترغیب کند.
استفاده از شبکه های اجتماعی: در این ترفند، مهندس اجتماعی با استفاده از نامی آشنا به هدف یا دوستان هدفش توئیتی را ارسال میکند. در این پیغام مواردی نظیر داده های محل کار یا یکی از صفحات اکسل شرکت از هدف درخواست میشود لازم به ذکر است که مهندسان اجتماعی می توانند هرچیزی که بر روی سیستم کامپیوتری می بینند را دست کاری کرده و کلاه برداری کنند.
تظاهر به خودی بودن: در این ترفند، مهندس اجتماعی به عنوان یک پیمانکار یاریرسان در زمینه IT یا کارگر معمولی وارد سازمان شده و اطلاعاتی نظیر رمز عبور اهداف را به دست میآورند.
حالا که مشخص شد مهندسی اجتماعی چیست و چطور عمل میکند، در ادامه نگاهی به چند نمونه از هکهای مشهور به روش مهندسی اجتماعی خواهیم داشت. متوجه خواهید شد که امکان رخ دادن این اتفاق برای هر فردی صرفنظر از میزان بزرگی یا کوچکی وی وجود دارد. ممکن است فقط یک لحظه غفلت منجر به نفوذ به داخل سیستمهای شما شود.
بخش اصلی باج افزار، AIDS نام داشت و مثل یک تروجان عمل میکرد. این بخش دقیقاً در یک کنفرانس علمی و توسط یک محقق زیستشناسی تکاملی منتشر شد که ادعا میکرد قصد دارد برای مقابله با ایدز، سطح آگاهی را افزایش داده و پول جمعآوری کند.
در واقع این تروجان، پدربزرگ تمام کدهای باج افزاری است که پس از آن منتشر شدند. این بخش از طریق یک فلاپی دیسک منتشر شده و سپس با ایمیل به قربانیان اولیه ارسال میشد. قربانیان تصور میکردند ایمیل مربوطه حاوی اطلاعاتی درباره نحوه کمک به مقابله با ایدز است. از این جهت این آلودگی یک نوع حمله مهندسی اجتماعی محسوب میشد که از تمایل افراد برای کمک به دیگران سوءاستفاده میکرد.
Kevin Mitnick هکر متخصص در زمینه مهندسی اجتماعی (که بعداً تبدیل به یک محقق امنیتی شد) دقیقاً از طریق حملهای که به شرکت تجهیزات دیجیتال (Digital Equipment Corporation یا به اختصار DEC) انجام داد، در دهه ۹۰ میلادی شهرت زیادی کسب کرد. از آنجایی که او همپیمان با هکرهایی بود که قصد داشتند نگاهی به سیستم عامل DEC داشته باشند اما بدون اطلاعات لاگین قادر به ورود به این سیستم نبودند، Mitnick خیلی ساده یک تماس گرفت و این اطلاعات را درخواست کرد.
Kevin Mitnick با مدیر سیستم شرکت DEC تماس گرفته و ادعا کرد که یکی از کارمندان تیم توسعهدهنده است که موقتاً از حسابش خارج شده و امکان دسترسی به آن را ندارد. سپس مدیر سیستم، یک نام کاربری و رمز عبور جدید به او داد که سطح دسترسی بالایی داشت.
در سال ۲۰۰۵ و ۲۰۰۶، شرکت Hewlett-Packard به دلیل نشت اطلاعات در رسانهها دچار مشکلاتی شد. این شرکت در راستای تلاش برای شناسایی کارمندانی که موجب نشت اطلاعات شده بودند، تعدادی بازرس خصوصی را استخدام کرد که موفق شدند تماسهای ضبط شده افراد مورد نظر توسط شرکت مخابراتی AT&T را با این ادعا که خودشان این افراد هستند، دریافت کنند.
این اقدام طبق قوانین فدرال غیرقانونی شمرده شد اما قطعاً افقهای جدیدی را در زمینه روشهای مهندسی اجتماعی باز کرد.
این هک بزرگ که باعث شد در سال ۲۰۱۴ هکرها اطلاعات شخصی بیش از ۵۰۰ میلیون کاربر را به دست آوردند، به فیشینگ هدفمند متکی بود. هکرها توانستند فقط با هدف گرفتن کارمندان سطح بالای شرکت یاهو از طریق پیامهای ویژه و خاص به سرورهای یاهو دسترسی پیدا کنند. از آنجا به بعد مهاجمان از رمزنگاری و کوکیهای جعلی برای نفوذ به حساب کاربری کاربران معمولی یاهو استفاده کردند.
وزارت دادگستری آمریکا هم حتی از حملات مهندسی اجتماعی در امان نبوده است. تا زمانی که انسانها در چنین محیطی کار کنند، امکان طعمه شدن در برابر تاکتیکهای مهندسی اجتماعی وجود دارد. هکری که ناامید شده و به این نتیجه رسیده بود که بدون داشتن کد دسترسی قادر به نفوذ به سیستم نیست، یک تماس ساده گرفت و ادعا کرد که یکی از کارمندان است. هکر پس از به دست آوردن کد توانست عملیات را ادامه داده و ارتباطات داخلی را شنود کند. وی برای اثبات این هک، یکسری اطلاعات مهم را افشا کرده و به وزارت دادگستری هشدار داد که امنیت را جدیتر بگیرد.
شرکت کمبریج آنالیتیکا متهم شد که به روشی بسیار پیچیده و با ساختن پروفایلهای اجتماعی از روی تکتک اطلاعاتی که درباره افراد پیدا کرده، توانسته است که با کمک شرکت فیسبوک با موفقیت بر انتخابات ریاست جمهوری آمریکا و رفراندوم بریتانیا درباره برگزیت تأثیرگذار شود. این رسوایی نشان داد که هکهای مهندسی اجتماعی گاهی وقتها به ریشه اصلی این واژه نزدیک میشوند (یعنی تغییر در جامعه).
در سال ۲۰۱۵ یک حمله ساده هک ایمیل کسب و کاری (به اختصار BEC)، منجر به نفوذ به شرکت Ubiquiti networks شده و باعث شد هکرها ۷.۴۶ میلیون دلار را به سرقت ببرند. این حمله به همین سادگی صورت گرفت که در آن مهاجمان با کارمندان بخش مالی تماس گرفته و خواستار اجرای یک تراکنش شدند.
توکنهای احراز هویت دومرحلهای SecurID از شرکت RSA به میزان زیادی غیرقابل هک شناخته میشوند. با این وجود، در سال ۲۰۱۱ شرایط تغییر کرد و در آن زمان یکسری از افراد داخلی شرکت طعمه حمله فیشینگ شده، دادههای سازمانی را افشا کرده و منجر به خسارت ۶۶ میلیون دلاری شدند.
در ابتدا کارمندان RSA یک ایمیل جعلی دریافت کردند که وانمود میشد از طرف بخش استخدام یک شرکت دیگر ارسال شده است. یک فایل صفحه گسترده آلوده اکسل هم به این پیام پیوست شده بود. در صورت باز شدن این فایل پیوست، یک آسیبپذیری روز صفر در نرم افزار فلش امکان نصب یک تروجان در پشتی بر روی رایانه آلوده را برای هکرها فراهم میکرد.
هر چند نمیتوان به صورت مناسب و درست میزان جدیت این رخنه را ارزیابی کرد اما محققان RSA باور دارند که ممکن است این هک بر امنیت فناوری توکن احراز هویت دومرحلهای آنها تأثیر گذاشته باشد و در نتیجه لازم باشد که این طراحی از صفر دوباره انجام شود. این حمله نشان داد که گاهی اوقات یک هک میتواند موجب شود که نیاز به بازسازی کامل فناوری ایجاد شود که قبلاً غیرقابل نفوذ تصور میشد.
سیستم پایانه فروش Target در سال ۲۰۱۳ توسط هکرها مورد حمله قرار گرفته و آنها موفق به افشا و سرقت اطلاعات کارت بانکی بیش از ۴۰ میلیون مشتری Target شدند. اگر چه اطلاعات از طریق یک اسکریپت بدافزاری به سرقت رفتند اما نقطه ورود این بدافزار، یک حمله مهندسی اجتماعی هوشمندانه بود. مهاجمان که میدانستند برای راحتتر شدن کار میتوانند در ابتدا یک طعمه کوچکتر را هدف بگیرند، از طریق فیشینگ، امنیت Fazio Mechanical Services را دچار اختلال کردند.
پیش از این امکان دسترسی به سیستمهای Target برای یک تأمینکننده شخص سوم فراهم شده بود. بنابراین مهاجمان با هدف قرار دادن آن توانستند به سمت خود Target حرکت کنند.
در دهه ۹۰ میلادی، برادران Badir خارقالعادهترین هکرهایی بودند که خاورمیانه را به ستوه آورند. این سه برادر، همگی نابینا بودند اما استعداد قابل توجهی در زمینه هک داشتند و البته برای هک علاوه بر روشهای فنی از روشهای مهندسی اجتماعی هم استفاده میکردند.
آنها میتوانستند پشت تلفن، تمام صداها را تقلید کنند (حتی بازرسی که به دنبال آنها بود) و میتوانستند فقط با شنیدن صدای تایپ، پین کد قربانی را تشخیص دهند. همچنین با منشیهای مدیران رده بالای شرکتی چت میکردند و با خوشرویی از آنها اطلاعاتی را درخواست میکردند. آنها در نهایت توانستند به اطلاعات شخصی این مدیران، دست پیدا کرده و با موفقیت رمز عبور آنها را حدس بزنند.
تمام این مهارتها، به آنها کمک کرد تا بتوانند در سراسر خاورمیانه یکسری حملات مهندسی اجتماعی موفق را اجرا کنند.
متأسفانه دقیقاً به این دلیل که حملات مهندسی اجتماعی متکی بر اعتماد مردم هستند، محافظت در برابر آنها فقط با استفاده از ابزارهای فنی ممکن نیست. مفهوم مهندسی اجتماعی هم دقیقاً همین است. یعنی فریب دادن و بازی با افکار مردم برای کمک کردن به هکرها جهت دور زدن سازوکارهای محافظتی موجود.
اما در این زمینه هم خبرهای خوب و هم خبرهای بدی وجود دارد. خبر بد این است که هر چقدر ابزارهای امنیت سایبری مورد استفاده شما قوی باشد باز هم در صورتی که به افراد نادرستی اعتماد کنید، امکان هک این ابزارها از طریق مهندسی اجتماعی وجود دارد و خبر خوب این است که مادامی که خود شما و تمام کارمندان سازمان درباره مهندسی اجتماعی و تازهترین روشهای آن اطلاعات داشته باشید، آسیبپذیر نخواهید بود.
منبع : باشگاه خبرنگاران