آموزشگاه شبکه و امنیت ایفل

اولین آموزشگاه تضمین کننده اشتغال دانشجویان در ایران

ایفل نت

مهندسی اجتماعی چیست؟

آیا می‌دانید یکی از ابزارهای مهم برای هک کردن و دسترسی به اطلاعات شما مهندسی اجتماعی است؟ مجرمان سایبری از عواطف و احساسات شما استفاده می‌کنند تا به اطلاعات مهم سازمانی دست پیدا کنند.

مهندسی اجتماعی چیست؟

مهندسی اجتماعی شامل تمام کارها و ترفندهایی است که هکرها و مجرمان سایبری برای دزدیدن اطلاعات مهم و حساس مثل رمز حساب‌های بانکی یا ورود به اکانت‌های مهم شما انجام می‌دهند.

نکته قابل توجه در مهندسی اجتماعی این است که مجرمان سایبری تمام این کارها را با استفاده از روش‌های روانشناسی و دوستانه انجام می‌دهد.

در مهندسی اجتماعی افراد با روش‌های فریبکارانه مجبور می‌شوند اطلاعات ارزشمند خود را بدون اینکه متوجه شوند در اختیار مجرمان سایبری قرار می‌دهند.

اصطلاح مهندسی اجتماعی از کجا آمد؟

کوین میتنیک مهمترین و تحت تعقیب‌ترین هکر آمریکایی در دهه 90 بود. او بعد از دستگیری اعلام کرد که برای دستیابی به رمزهای عبور و اطلاعات محرمانه از هیچ روش دیجیتال و روش هک خاصی به جز مهندسی اجتماعی استفاده نکرده است.

دانلود کتاب هنر فریفتن

طعمه‌های مهندسی اجتماعی

مهندس‌های امنیت و شبکه با تلاش‌های شبانه‌روزی و افزودن لایه‌های مختلف به شبکه تلاش می‌کنند ریسک هک شدن و از دست رفتن اطلاعات حساس را کاهش دهند.

اما همیشه قدرت زنجیر را ضعیف‌ترین حلقه آن تعیین می‌کند و متاسفانه در سازمان‌ها  این ضعیف‌ترین حلقه، کارمندان آن سازمان هستند.

مهندسی اجتماعی

کارمندان معمولا نمی‌دانند که اطلاعات کوچک و بی‌ارزش تا چه اندازه می‌تواند برای هکرها مهم باشد.

چرخه حملات مهندسی اجتماعی

  • جمع‌آوری اطلاعات Information Gathering
  • برقراری ارتباط Developing Relationship
  • بهره‌برداری Exploitation
  • اجرا و حمله Execution

جمع‌آوری اطلاعات

موفقیت حملات مهندسی اجتماعی در گرو جمع‌آوری اطلاعات کامل و جامع است.

هکر پس از جمع‌آوری اطلاعات تصمیم می‌گیرد تا با چه روش و حمله‎ای به مقصود خود برسد.

در مرحله جمع‌آوری اطلاعات مجرم سایبری سازمان مورد نظر خود را رصد می‌کند و یک یا چند قربانی را انتخاب می‌کند تا بتواند راهی برای ورود به سازمان پیدا کند.

مهندسی اجتماعی 2

برقراری ارتباط

در این مرحله مجرم سایبری تلاش می‌کند که با قربانی رابطه‌ای صمیمانه برقرار کند، برای اینکه اعتماد او را جلب کند.

ممکن است این برقراری رابطه به سادگی زدن یک لبخند باشد یا ممکن است هکر برای جلب اعتماد کارمند قربانی ماه‌ها تلاش کند و با او طرح دوستی بریزد.

بهره‌برداری

در این مرحله هکر تلاش می‌کند تا با استفاده از اطلاعاتی که در مرحله اول به دست آورده و ارتباطاتی که در مرحله دوم ایجاد کرده به سازمان یا سیستم مورد نظر خود نفوذ کند.

اجرا و حمله

در این مرحله هکر به هدف خود که گرفتن دسترسی به سیستم قربانی است، دست پیدا کند.

ویژگی‌های حملات مهندسی اجتماعی

ممکن است کارمندان با این رفتارها گمراه شوند:

بازی با احساسات و عواطف کارمندان

همیشه بازی کردن با احساسات و عواطف کارمندان باعث می‌شود تا مهاجمان دست بالا را داشته باشند.

انسان‌ها 80 درصد تصمیمات خود را براساس احساسات خود می‌گیرند و اگر کارمندان در وضعیت‌های احساسی خاصی قرار بگیرند، احتمال رفتارهای غیرمنطقی و مخاطره‌آمیز بیشتر می‌شود.

مهاجمان با استفاده از تحریک احساسات زیر می‌توانند از کارمندان سواستفاده کنند:

  • ترس
  • هیجان
  • کنجکاوی
  • عصبانیت
  • احساس گناه
  • غم و اندوه

ضرورت زمانی

فرصت‌ها یا درخواست‌هایی که باید در زمان‌های خاصی انجام  شوند، خوراک مجرمان سایبری هستند. مشکلاتی که باید در زمان مشخصی حل شوند یا پاداش‌ها و جوایزی که اگر در زمان مشخصی دریافت نشوند، از بین می‌روند، مثال‌هایی از ضرورت زمانی هستند.

ضرورت زمانی ممکن است بر قدرت تفکر انتقادی کارمندان اثر بگذارد.

اعتماد

باورپذیری برای حمله مهندسی اجتماعی بسیار ارزشمند و ضروری است. از آنجایی که مهاجم به کارمندان دروغ می‌گوید، اعتماد به نفسش نقش مهمی را در اینجا ایفا می‌کند. آن‌ها به اندازه کافی در مورد کارمندان و سازمان تحقیق کرده‌اند تا روایتی بسازند که باورش آسان باشد و کسی به آن شک نکند.

مهندسی اجتماعی 3

چند نمونه از حملاتی که مهندسی اجتماعی در آن نقش مهمی ایفا می‌کند

این حملات در دوره CEH به صورت کامل بررسی می‌شوند:

Phishing

Baiting

Scareware

Pretexting