جمعه 10 فروردين 1403  
(مهار تورم، رشد تولید)
پیام های حراستی
مهندسی اجتماعی
مهندسی اجتماعی Social Engineering چیست؟
در واقع مهندسی اجتماعی، مجموعه‌ ای از روش‌ های غیر فنی مبتنی بر استفاده از ویژگی‌ های روانشناسانه افراد، برای نفوذ به سیستم‌ ها و دسترسی به اطلاعات کاربران آنها است که توسط هکرها مورد استفاده قرار می‌گیرد. پایه و اساس این روش‌ها، ارتباط با کاربران و فریب آنها برای اعمال تغییر در روال‌ های معمول امنیت سیستم‌ ها به شمار می رود. مثلا کاربران را در موقعیتی قرار می دهند که به صورت ناخواسته و بدون آگاهی، رمز عبور خود را به مهاجمان منتقل کنند.
مهندسی اجتماعی طیف وسیعی از انواع حملات و فعالیت‌های مخرب را در بر می‌گیرد. مهندسی اجتماعی در شبکه های اجتماعی آن قدر تخصصی هست که می تواند موضوعات خوبی برای پایان نامه های کارشناسی ارشد و دکترا در رشتهICT  باشد. به بررسی نمونه هایی از مهندسی اجتماعی اشاره می کنیم:
    صیادی (Phishing): از میان حملات مهندسی اجتماعی، حمله صیادی معمولترین حمله‌ای است که امروزه مورد استفاده قرار می‌گیرد. این حمله با فعالیت‌های زیر شناخته می‌شود:
جستجو به دنبال مشخصات و اطلاعات تماس قربانی و استخراج شبکه‌ های اجتماعی یا وب‌ گاه‌ های دیگری که وی از آنها استفاده می کند.
ایجاد یک نسخه جعلی از صفحه ورود وب‌گاه و ایجادURL  شبیه به وب‌گاه اصلی برای آن.
ارسال پیغامی به قربانی حاوی پیوندی به صفحه جعلی.
در نگارش این پیام، سعی می‌شود که در قربانی حالت ترس، اضطرار و ... ایجاد کنند تا وی تمرکز فکری خود را از دست داده و از پیوند مورد نظر استفاده کند. با مشاهده صفحه جعلی، قربانی که در وضعیت احساسی خاصی قرار گرفته بصورت نا آگاهانه، بدون توجه بهURL  نامعتبر وب گاه جعلی، اقدام به وارد کردن اطلاعات احراز هویت خود (مثل نام کاربری و رمز عبور) کرده و بدون اینکه متوجه شود، این اطلاعات را در اختیار مهاجم قرار می‌دهد.

      دستاویز سازی (Pretexting): در حمله دستاویز سازی، هکر یا همان کلاهبردار اینترنتی، سناریویی طراحی می‌کند که در آن با دروغ گفتن، بهانه آوردن، وانمود کردن خودبه عنوان دوست و آشنا یا آشنای فلان دوست و فامیل و همکار شما و...، خود را به جای شخص دیگری جا زده و با کسب اعتماد کاربر، اطلاعات شخصی و احراز هویت وی را به دست می‌آورد.
گاهی حمله از طریق خود کاربر صورت نمی‌گیرد، بلکه با فریب متولی یا مسئول فنی یک وب‌گاه یا شبکه اجتماعی، اطلاعات شخصی کاربران شبکه اجتماعی از وی استخراج می‌شود. معمولا قدم اول برای این نوع حمله، به دست آوردن اندکی اطلاعات در مورد قربانی است که مراجعه به شبکه اجتماعی بهترین راه برای استخراج چنین اطلاعاتی است. بعد از آن باتوجه به این اطلاعات، دروغی ساخته می‌شود که با استفاده از آن مهاجم می‌تواند در تماس با قربانی، خود را به جای شخص دیگری جا بزند.

     طعمه‌گذاری (Baiting): در این حمله یک وسیله فیزیکی مانند حافظه USB، پخش کننده‌های صوتی دیجیتال و غیره که حاوی بدافزار یا ویروس است را به نحوی در دسترس قربانی قرار می‌ دهند و با تحریک حس کنجکاوی یا حرص، وی را وادار به استفاده از آن می‌نمایند. یکی از معمول‌ ترین روش‌ های قراردادن این وسایل در اختیار قربانیان، نوشتن برچسب‌ های خاص بر روی آنها و قرار دادن این وسایل در محل‌های خاصی است تا به نظر برسد جا گذاشته شده‌اند.
مثلا در کافه تریای یک شرکت یا سازمان، حافظه USB  با برچسب استراتژی‌ های سازمان یا حقوق و مزایای کارکنان قرار می دهند تا حس کنجکاوی کارمندان را برای مشاهده محتوای آنها برانگیزند. یک روش دیگر، ارسال این گونه وسایل فیزیکی به صورت مجانی و به عنوان هدیه برای قربانی است.
به این شکل که مثلا در یک شبکه اجتماعی، پیغامی حاوی این جمله برای وی ارسال می‌کنند: «شما برنده یک دستگاه پخش کننده دیجیتال شده‌اید». سپس از قربانی آدرس پستی وی را برای ارسال دستگاه درخواست می‌کنند. کاربر پس از واردکردن آدرس پستی خود، واقعا دستگاه را دریافت می‌کند؛ اما به محض استفاده از آن، بدافزار نصب شده بر روی دستگاه اطلاعات شخصی وی را دزدیده و برای مهاجم ارسال می‌نماید.
    جبران کردن (Quid Pro Quo ): در این نوع حمله مانند حمله طعمه‌گذاری عمل می‌شود؛ با این تفاوت که به جای ارائه یک کالا به صورت فیزیکی، به قربانی اعلام می‌کنند تا در ازای دریافت کالا، یک کمک یا خدمت غیر فیزیکی به وی ارائه می‌دهند.


 
 
امتیاز دهی
 
 

خانه | بازگشت |
Guest (PortalGuest)


مجری سایت : شرکت سیگما