مهندسی اجتماعی Social Engineering چیست؟
در واقع مهندسی اجتماعی، مجموعه ای از روش های غیر فنی مبتنی بر استفاده از ویژگی های روانشناسانه افراد، برای نفوذ به سیستم ها و دسترسی به اطلاعات کاربران آنها است که توسط هکرها مورد استفاده قرار میگیرد. پایه و اساس این روشها، ارتباط با کاربران و فریب آنها برای اعمال تغییر در روال های معمول امنیت سیستم ها به شمار می رود. مثلا کاربران را در موقعیتی قرار می دهند که به صورت ناخواسته و بدون آگاهی، رمز عبور خود را به مهاجمان منتقل کنند.
مهندسی اجتماعی طیف وسیعی از انواع حملات و فعالیتهای مخرب را در بر میگیرد. مهندسی اجتماعی در شبکه های اجتماعی آن قدر تخصصی هست که می تواند موضوعات خوبی برای پایان نامه های کارشناسی ارشد و دکترا در رشتهICT باشد. به بررسی نمونه هایی از مهندسی اجتماعی اشاره می کنیم:
صیادی (Phishing): از میان حملات مهندسی اجتماعی، حمله صیادی معمولترین حملهای است که امروزه مورد استفاده قرار میگیرد. این حمله با فعالیتهای زیر شناخته میشود:
جستجو به دنبال مشخصات و اطلاعات تماس قربانی و استخراج شبکه های اجتماعی یا وب گاه های دیگری که وی از آنها استفاده می کند.
ایجاد یک نسخه جعلی از صفحه ورود وبگاه و ایجادURL شبیه به وبگاه اصلی برای آن.
ارسال پیغامی به قربانی حاوی پیوندی به صفحه جعلی.
در نگارش این پیام، سعی میشود که در قربانی حالت ترس، اضطرار و ... ایجاد کنند تا وی تمرکز فکری خود را از دست داده و از پیوند مورد نظر استفاده کند. با مشاهده صفحه جعلی، قربانی که در وضعیت احساسی خاصی قرار گرفته بصورت نا آگاهانه، بدون توجه بهURL نامعتبر وب گاه جعلی، اقدام به وارد کردن اطلاعات احراز هویت خود (مثل نام کاربری و رمز عبور) کرده و بدون اینکه متوجه شود، این اطلاعات را در اختیار مهاجم قرار میدهد.
دستاویز سازی (Pretexting): در حمله دستاویز سازی، هکر یا همان کلاهبردار اینترنتی، سناریویی طراحی میکند که در آن با دروغ گفتن، بهانه آوردن، وانمود کردن خودبه عنوان دوست و آشنا یا آشنای فلان دوست و فامیل و همکار شما و...، خود را به جای شخص دیگری جا زده و با کسب اعتماد کاربر، اطلاعات شخصی و احراز هویت وی را به دست میآورد.
گاهی حمله از طریق خود کاربر صورت نمیگیرد، بلکه با فریب متولی یا مسئول فنی یک وبگاه یا شبکه اجتماعی، اطلاعات شخصی کاربران شبکه اجتماعی از وی استخراج میشود. معمولا قدم اول برای این نوع حمله، به دست آوردن اندکی اطلاعات در مورد قربانی است که مراجعه به شبکه اجتماعی بهترین راه برای استخراج چنین اطلاعاتی است. بعد از آن باتوجه به این اطلاعات، دروغی ساخته میشود که با استفاده از آن مهاجم میتواند در تماس با قربانی، خود را به جای شخص دیگری جا بزند.
طعمهگذاری (Baiting): در این حمله یک وسیله فیزیکی مانند حافظه USB، پخش کنندههای صوتی دیجیتال و غیره که حاوی بدافزار یا ویروس است را به نحوی در دسترس قربانی قرار می دهند و با تحریک حس کنجکاوی یا حرص، وی را وادار به استفاده از آن مینمایند. یکی از معمول ترین روش های قراردادن این وسایل در اختیار قربانیان، نوشتن برچسب های خاص بر روی آنها و قرار دادن این وسایل در محلهای خاصی است تا به نظر برسد جا گذاشته شدهاند.
مثلا در کافه تریای یک شرکت یا سازمان، حافظه USB با برچسب استراتژی های سازمان یا حقوق و مزایای کارکنان قرار می دهند تا حس کنجکاوی کارمندان را برای مشاهده محتوای آنها برانگیزند. یک روش دیگر، ارسال این گونه وسایل فیزیکی به صورت مجانی و به عنوان هدیه برای قربانی است.
به این شکل که مثلا در یک شبکه اجتماعی، پیغامی حاوی این جمله برای وی ارسال میکنند: «شما برنده یک دستگاه پخش کننده دیجیتال شدهاید». سپس از قربانی آدرس پستی وی را برای ارسال دستگاه درخواست میکنند. کاربر پس از واردکردن آدرس پستی خود، واقعا دستگاه را دریافت میکند؛ اما به محض استفاده از آن، بدافزار نصب شده بر روی دستگاه اطلاعات شخصی وی را دزدیده و برای مهاجم ارسال مینماید.
جبران کردن (Quid Pro Quo ): در این نوع حمله مانند حمله طعمهگذاری عمل میشود؛ با این تفاوت که به جای ارائه یک کالا به صورت فیزیکی، به قربانی اعلام میکنند تا در ازای دریافت کالا، یک کمک یا خدمت غیر فیزیکی به وی ارائه میدهند.