مهندسی اجتماعی چیست ؟ [پرونده ویژه]

مهندسی اجتماعی به مجموعه‌ای از روش‌ها گفته می‌شود که با استفاده از آن‌ها، افراد را فریب می‌دهند و اطلاعات محرمانه آن‌ها را سرقت می‌کنند. به عبارت دقیق‌تر، مهندسی اجتماعی، مجموعه‌ای از روش‌ها است که در آن، بدون استفاده از تکنیک‌های فنی و تنها با آگاهی از شرایط افراد جامعه و تکنیک‌های روانشناسی، آن‌ها را فریب داده و اطلاعات محرمانه‌شان را سرقت می‌کنند.

بسیاری از سوء استفاده‌های مهندسی اجتماعی متکی به تمایل افراد برای کمک یا ترس از مجازات است. به عنوان مثال، مهاجم ممکن است وانمود کند که یک همکار است و نوعی مشکل فوری دارد که نیاز به دسترسی به منابع اضافی شبکه دارد و این عجله باعث می‌شود فرد درست فکر نکند و عکس العمل فوری باعث اشتباه وی شود.

چیزی که در مهندسی اجتماعی اهمیت دارد، این است که فرد بتواند به مهاجم اعتماد کند و باور کند که مهاجم همان فردی است که به آن تظاهر می‌کند. اگر مهاجم بتواند این اطمینان را در قربانی ایجاد کند، می‌توان گفت که به هدف خود رسیده است. جالب است بدانید که بسیاری از حملات سایبری که منجر به فیشینگ یا نقض اطلاعات می‌شوند، از طریق مهندسی اجتماعی صورت می‌گیرند.
تاریخچه مهندسی اجتماعی

مهندسی اجتماعی Social Engineering برای اولین بار در سال ۱۸۹۴ و با این باور که برای مقابله با مشکلات انسانی، وجود افراد حرفه‌ای ضروریست، مطرح شد.

در ابتدا مهندسی اجتماعی جنبۀ مثبتی داشت؛ چون باعث می‌شد افرادِ متخصص، در جامعه مداخلۀ مثبت داشته باشند. اما بعد از مدتی، به جنبۀ منفی گرایش پیدا کرد و به شستشوی مغزی افراد تبدیل شد.
شستشوی مغزی فقط در بحث سیاسی و اجتماعی وارد شده بود نه حوزه فناوری. اما بعد‌ها فردی به نام Kevin Mitnick باعث شد این مفهوم به حوزه فناوری هم وارد شود. کوین میتنیک، هکر معروف دهه ۹۰ میلادی است که بعد‌ها در زمینه امنیت مشغول به فعالیت شد و کتاب معروفی با عنوان هنر فریب را در همین حوزه نوشت.

هنر فریب به این شکل انجام می‌شود که شخص هکر به طور کامل هدف خود شناسایی می‌کند و اطلاعات مورد نیاز خود را حمع می‌کند و سپس به وسیله برخی از روش‌ها اعتماد اشخاص را جلب می‌کند و سپس حمله خود را انجام می‌دهد. اگر این پروسه به طور کامل و خوب انجام شود، می‌تواند به راحتی اشخاص را فریب دهد و دسترسی‌های لازم را به هکر برساند.

در ابتدا افراد توسط این دانش، در جامعه مداخله‌های مثبت داشتند و تلاش می‌کردند به واسطه آن، افراد را مجاب کنند تا کار‌های بهتر را انجام دهند. یکی دیگر از کاربرد‌های مهندسی اجتماعی در علوم اجتماعی نیز این بود که می‌توانستند به واسطه آن، آمار دقیق‌تر و درست تری را در بیاورند و از نظر آماری نیز بسیاری از نمودار‌ها وضعیت بهتری داشتند.

مهندسی اجتماعی چگونه عمل می‌کند؟

مهندسان اجتماعی از روش‌های مختلفی برای انجام حملات سایبری استفاده می‌کنند. اولین قدم در بیشتر حملات مهندسی اجتماعی، شناسایی قربانی و انجام تحقیقات پیرامون او است. به عنوان مثال، اگر هدف یک شرکت باشد، هکر ممکن است اطلاعاتی را در مورد ساختار سازمانی، عملیات داخلی، ادبیات رایج مورد استفاده در صنعت و شرکای تجاری احتمالی و سایر اطلاعات جمع آوری کند.

یکی از تاکتیک‌های معمول مهندسان اجتماعی تمرکز بر رفتار‌ها و الگو‌های کارکنانی است که حوزه دسترسی کم، اما پایه‌ای دارند، مانند نگهبان یا پذیرشگر.

مهاجمان می‌توانند پروفایل شبکه‌های اجتماعی را برای اطلاعات شخصی اسکن کرده و رفتار آن‌ها را بصورت آنلاین و حضوری مطالعه کنند.

به این ترتیب مهندس اجتماعی حمله‌ای را بر اساس اطلاعات جمع آوری شده طراحی کرده و از نقاط ضعفی که مرحله شناسایی یافته، استفاده کند. در صورت موفقیت آمیز بودن حمله، مهاجم به اطلاعات محرمانه مانند رمز عبورها، اطلاعات کارت اعتباری یا حساب بانکی دسترسی پیدا می‌کند.

انواع حملات مهندسی اجتماعی

حملاتی که در آن‌ها از مهندسی اجتماعی استفاده می‌شود، شباهت‌های زیادی با یکدیگر دارند و در عین حال ممکن است در قالب‌های مختلفی انجام شوند. در ادامه، به بررسی انواع مختلف حملات اجتماعی می‌پردازیم::

• گذاشتن طعمه (Baiting): مهاجم یک دستگاه فیزیکی آلوده به بدافزار مانند فلش مموری را در مکانی که مطمئن است پیدا می‌شود، رها می‌کند. قربانی دستگاه را برداشته و آن را در کامپیوتر خود قرار می‌دهد و بدافزار را ناخواسته نصب می‌کند.

• فیشینگ (Phishing): زمانی اتفاق می‌افتد که هکر یک ایمیل تقلبی به عنوان یک ایمیل واقعی ارسال و وانمود می‌کند که از یک منبع قابل اعتماد است. این پیام به منظور فریب گیرنده است تا اطلاعات مالی یا شخصی را به اشتراک بگذارد یا روی لینکی که بدافزار یا ویروس را نصب می‌کند کلیک کند.
• فیشینگ هدفدار (Spear phishing): این حمله مانند فیشینگ است، اما برای فرد یا سازمان خاصی طراحی می‌شود.

• ویشینگ (Vishing): که به عنوان فیشینگ صوتی نیز شناخته می‌شود، شامل استفاده از مهندسی اجتماعی از طریق تلفن برای جمع آوری اطلاعات مالی یا شخصی از هدف است.

• حمله Whaling: نوع خاصی از حملات فیشینگ، حمله نهنگ است که با جا زدن خود به عنوان کارکنان برجسته مانند مدیر مالی یا مدیر اجرایی، کارمند هدف را فریب می‌دهد تا اطلاعات حساس را فاش کند.

• بهانه‌تراشی (Pretexting): یکی از طرفین برای دسترسی به داده‌های محرمانه به دیگری دروغ می‌گوید. به عنوان مثال، یک کلاهبردار به بهانه‌ای تظاهر می‌کند که برای تأیید هویت گیرنده به داده‌های مالی یا شخصی نیاز دارد.

• ترس‌افزار (Scareware): این حمله قربانی را فریب می‌دهد تا فکر کند آلوده به بدافزار شده است یا سهواً محتوای غیرقانونی دانلود کرده است. در عین حال مهاجم به قربانی راه‌حلی ارائه می‌دهد که مشکل ساختگی را برطرف می‌کند. در واقع، قربانی به سادگی فریب داده می‌شود تا بدافزار مهاجم را دانلود و نصب کند.

• گودال آب (Watering hole): مهاجم سعی می‌ند گروه خاصی از افراد را با آلوده کردن وب‌سایت‌هایی که شناخته شده‌اند، به خطر اندازد.

• سرقت انحرافی (Diversion theft): در این نوع حملات، مهندسان اجتماعی یک شرکت حمل و نقل یا پیک را فریب می‌دهند تا به محل تحویل یا خروج اشتباه برود، بنابراین معامله را قطع می‌کند.

• طعمه‌گذاری Quid pro quo: طی این حمله مهاجم وانمود می‌کند که در ازای اطلاعات یا کمک قربانی، چیزی ارائه می‌دهد. به عنوان مثال، یک هکر با مجموعه‌ای از شماره‌های تصادفی در یک سازمان تماس می‌گیرد و وانمود می‌کند که یک متخصص پشتیبانی فنی است. در نهایت، هکر شخصی را پیدا می‌کند که دارای مشکل فنی یا قانونی است و سپس تظاهر می‌کند که قصد دارد به او کمک کند. از طریق این تعامل، هکر می‌تواند به اطلاعات رمز عبور دسترسی پیدا کند.

• هانی پات (Honey trap): در این حمله، مهندس اجتماعی وانمود می‌کند که فردی جذاب برای تعامل با یک فرد آنلاین، جعل یک رابطه آنلاین و جمع آوری اطلاعات حساس از طریق آن رابطه است.

• نرم افزار امنیتی سرکش (Rogue security software): این یک نوع بدافزار است که هدف آن دریافت باج، برای حذف جعلی بدافزار است.

• شیرجه در زباله (Dumpster diving): این یک حمله مهندسی اجتماعی است که به موجب آن شخصی برای یافتن اطلاعاتی مانند گذرواژه یا کد‌های دسترسی نوشته شده روی کاغذ‌های یادداشت که می‌تواند برای نفوذ به شبکه سازمان مورد استفاده قرار گیرد، سطل زباله شرکت را جستجو می‌کند.

• فارمینگ (Pharming): با این نوع کلاهبرداری آنلاین، یک مجرم سایبری کد مخرب را روی رایانه یا سرور نصب می‌کند که به طور خودکار کاربر را به یک وب سایت جعلی هدایت می‌کند؛ جایی که ممکن است کاربر در ارائه اطلاعات شخصی فریب بخورد.

نمونه‌های واقعی حمله در جهان

۱. شرکت RSA در سال ۲۰۱۱

شرکت RSA در سال ۲۰۱۱ قربانی حمله‌ای شد که از طریق یک تهدید پیشرفته و مستمر انجام شده بود. تعدادی از کارمندان ایمیلی تحت عنوان “برنامه استخدام سال ۲۰۱۱ ” دریافت کردند. هر چند اکثر آن‌ها این ایمیل را در فولدر هرزنامه (Spam) پیدا کرده بودند، اما این ایمیل به اندازه‌ای خوب طراحی شده بود که گیرنده شکی به آن نمی‌کرد؛ بنابراین تعدادی از کارمندان ایمیل را مستقیما از پوشه هرزنامه باز کردند.

یک فایل صفحه گسترده، به این ایمیل پیوست شده بود. این فایل صفحه گسترده، حاوی یک اکسپلویت روز صفر بود که به کمک یکی از آسیب‌پذیری‌های ادوبی فلش، یک در پشتی نصب می‌کرد. مهاجم، از یک آسیب‌پذیری برای کنترل دستگاه از راه دور استفاده کرده بود که در ابتدا شناسایی نشد. پس از تکمیل فاز اولیه مهندسی اجتماعی، مهاجمین به سیستم‌های بیشتری در شبکه محلی نفوذ کردند. سپس آن‌ها با موفقیت، تعدادی از اکانت‌های استراتژیک و مهم را هک کرده و توانستند اطلاعات مهمی را درباره سیستم SecurID شرکت RSA سرقت کنند. در نهایت به دلیل موفقیت این حمله مهندسی اجتماعی، RSA مجبور به جایگزینی میلیون‌ها توکن SecurID شد.

۲. توییتر در سال ۲۰۱۹

هک شدن توییتر سلبریتی‌ها؛ یکی از داغ‌ترین و جنجالی‌ترین جریان‌هایی بود که در سال ۲۰۱۹ اتفاق افتاد و سر و صدای زیادی به پا کرد. به طور خلاصه جریان از این قرار بود که در اکانت توییتر ایلان ماسک توییتی منتشر شد که اگر برای من هر مقدار بیت کوینی ارسال کنید، من دو برابر به شما بر میگردانم. این توییت پس از ۳۰ دقیقه برداشته شد و در صفحه یکی سلبریتی دیگر به اشتراک گذاشته شد.

باراک اوباما، جو بایدن، بیل گیتس و حتی توییتر شرکت اپل از اکانت‌هایی بودند که هک شدند و افراد فریب‌خورده نیز بیت کوین به آدرسی که در توییت‌ها گفته شد فرستادند. به این ترتیب ۳ هکر جوان ۱۷ تا ۲۱ ساله، توانستند از طریق هک کردن سرور توییتر، ۱۲۰ هزار دلار بیت کوین به جیب بزنند که البته بعد از مدت کوتاهی دستگیر شدند، اما تکلیف بیت کوین‌های دزدیده شده هنوز هم معلوم نیست. اما سوالی که شاید ذهنتان را درگیر کرده این است که چطور ۳ جوان توییتر را هک کردند؟

جواب این سوال فقط و فقط یک عبارت است؛ مهندسی اجتماعی. این سه جوان توانستند با یک برنامه ریزی دقیق و یک نقشه بی‌نقص با یکی از کارکنان توییتر طرح دوستی ریخته و پس از مدت طولانی رفاقت، یک بار از طریق آن شخص وارد شرکت توییتر شوند. آن‌ها توانستند با یک مهندسی اجتماعی درجه یک به سرور توییتر نفوذ کنند و توییتر و اکانت‌های مشهور داخل آن را هک کرده و به راحتی ۱۲۰ هزار بیت کوین به جیب بزنند.

۳. نیویورک تایمز در سال ۲۰۱۳

نیویورک تایمز هم در سال ۲۰۱۳، هدف حمله‌ای مشابه RSA قرار گرفت. هکر‌های چینی یک حمله هدفمند ۴ ماهه اجرا و به سیستم‌های کامپیوتری نیویورک تایمز نفوذ کردند. آن‌ها اطلاعات ورود (Login) کارمندان را به دست آوردند. تحقیقات نشان می‌دهد که شواهدی درباره انگیزه‌های سیاسی در این حمله وجود داشت. مهاجمین حساب‌های ایمیل را هک کرده و سعی کردند منبع ترافیک را برای نیویورک تایمز مخفی کنند و ترافیکِ ایجاد شده توسط حملات را از طریق کامپیوتر‌های دانشگاهی مستقر در آمریکا مسیریابی کنند.

باز هم مسیر اولیه حمله، یک حمله فیشینگ هدفمند بود که اعلامیه‌های جعلی فدکس (شرکت پست امریکایی) را ارسال می‌کرد. نیویورک تایمز، کارشناسان امنیت کامپیوتر را استخدام کرد تا این حمله را تحلیل کرده و از ایجاد تهدیدی مستمر پیشگیری کنند. آن‌ها متوجه شدند که برخی روش‌های مورد استفاده برای نفوذ به زیرساخت کمپانی با ارتش چین در ارتباط است. بعلاوه، بدافزار نصب شده برای دسترسی به کامپیوتر‌های شبکه کمپانی از الگو‌هایی مشابه به حملات قبلی چین تبعیت می‌کرد. قبلاً از کامپیوتر‌های همان دانشگاه در آمریکا توسط هکر‌های ارتش چین استفاده شده است.

با این حمله، هکر‌ها پسورد تمام کارمندان نیویورک تایمز را به سرقت بردند و توانستند به دستگاه‌های شخصی ۵۳ نفر دسترسی پیدا کنند. اما طبق اعلام نیویورک تایمز، هیچ اطلاعات کامپیوتری به سرقت نرفته بود. خصوصیات این حمله به وضوح حکایت از یک انگیزه سیاسی داشت.

چطور قربانی این حملات نشویم؟

راه‌های جلوگیری از حملات مهندسی اجتماعی بسیار ساده است. کمی دقت کافی است تا بتوانید یک پیام واقعی را از پیام جعلی تشخیص دهید.
مواردی که باید به یاد داشته باشید عبارت است از:

• آرام باشید. این همان چیزی است که مهاجمان نمی‌خواهند. پس اگر پیامی دریافت کردید که از شما درخواست اقدام فوری داشت، تردید کنید.

• مطمئن شوید. اگر ایمیل از طرف شخص یا شرکت معروفی بود، آدرس یا شماره تلفن را در یک موتور جستجوگر جستجو کنید تا مطمئن شوید که معتبر و واقعی است.

• روی لینک کلیک نکنید. به جای کلیک روی لینک، آدرس صفحه مورد نظر را از طریق موتور جستجوگر پیدا کنید یا آدرس صفحه را در مرورگر تایپ کنید.

• ممکن است ایمیل اطرافیان شما هک شده باشند. این اتفاق بسیار شایع است و حتی اگر پیامی از طریق افراد مورد اعتماد خود دریافت کردید، بررسی کنید که حتما در جریان باشند.

• هر چیزی را دانلود نکنید. اگر فرستنده را نمی‌شناسید، از دانلود فایل‌های ارسالی از طرف آن‌ها خودداری کنید.

• پیشنهاد‌های خارجی جعلی هستند. پیام‌هایی با مضمون برنده شدن در یک قرعه‌کشی خارجی، پول از طرف اقوام ناشناس یا درخواست انتقال وجه از یک کشور خارجی و دریافت سهمی از آن، مسلما کلاهبرداری است و واقعیت ندارد.

_______________________

منابع:

https://liangroup.net/blog/what-is-social-engineering/

https://faranesh.com/blog/social-engineering-techniques

https://iransoicalsec.me/social-engineering/

https://topsite98.com/post/792/what-is-social-engineering

https://liangroup.net/blog/what-is-social-engineering/