آرام رضایی
انسانها ضعیفترین حلقه زنجیره امنیت سایبری هستند و این اساس حمله «مهندسی اجتماعی» است. مهندسی اجتماعی اگرچه اصطلاح نسبتاً مدرنی است، پدیدهای است که از دیرباز و زمانی که انسانها با یکدیگر شروع به تعامل کردهاند، وجود داشته است. فلسفه مهندسی اجتماعی از این قرار است: تو چیزی داری که من میخواهم و من میخواهم تو را به هر طریقی قانع کنم آن را به من بدهی یا کاری را که من میخواهم انجام دهی، حتی اگر به ضررت تمام شود.
اصطلاح مهندسی اجتماعی توسط کوین میتنیک که خود یکی از معروفترین مهندسان اجتماعی عصر حاضر است (اما دیگر توبه کرده و اکنون بهعنوان متخصص امنیت سایبری فعالیت میکند)، سر زبانها افتاد. مهندسی اجتماعی در دوران مدرن و در حوزه امنیت سایبری، هنر فریب دادن، سواستفاده از نقطهضعفها و تحت تأثیر قرار دادن فرد برای انجام کاری که به ضرر او است یا دسترسی به دادههای شخصی و حساس در سیستمهای کامپیوتری است. هکر یا مهندس اجتماعی ازطریق تلفن، پیامک، ایمیل، درایو USB آلوده یا تعامل حضوری و به کمک ترفندهای زیرکانهای موفق میشود آنچه را که به دنبالش است، نه به کمک بدافزار و حملات سایبری، بلکه تنها از طریق پرسیدن از فردی که به این اطلاعات دسترسی دارد، به دست آورد.
به همین خاطر است که گفته میشود در مهندسی اجتماعی این ذهن افراد است که هک میشود، نه کامپیوتر. در حمله مهندسی اجتماعی، اطلاعاتی را که فرد قصد فاش کردن آن را نداشته، بدون آنکه متوجه شود، دراختیار مهاجم قرار میدهد یا تحت تأثیر آنچه دستکاری روانشناختی نامیده میشود، تشویق یا وادار به انجام کاری میشود که از انجام آن پشیمان خواهد شد. به بیان سادهتر، انسانها خود نوعی تهدید امنیتی محسوب میشوند و به قول هکرها، ضعیفترین و آسیبپذیرترین حلقه در زنجیره امنیت سایبری هستند. ما انسانها تقریباً ۸۰ درصد تصمیمات خود را بر پایه احساسات میگیریم و از آنجا که منطق سهم بسیار ناچیزی در این تصمیمگیریها دارد، میتوان دلیل موفقیت چشمگیر حملات مهندسی اجتماعی را به خوبی درک کرد.
تعریف مهندسی اجتماعی اینگونه است:
مهندسی اجتماعی نوعی کلاهبرداری و سوءاستفاده از اطمینان و یا فریب عوامل انسانی به روش هایی فریبکارانه و با کمک علم روانشناسی جهت دسترسی به اطلاعات محرمانه و در مرحله بعد سوءاستفاده از این اطلاعات است. در مهندسی اجتماعی، مهاجم به جای اینکه به سراغ روشهای سخت و فنی که نیاز به سطح بالای دانش دارد یا غیر ممکن است برود، از تکنیکهای مهندسی اجتماعی مانند تحقیقات دقیق درباره قربانی، جلب اعتماد، و بهرهگیری از روابط دوستانه با قربانیها استفاده میکند و از طریق این روش، میتوانند به سیستمها و اطلاعاتی دسترسی پیدا کنند که با روشهای فنی معمول ممکن نبودهاست.
Ad placeholder
مراحل عمده در یک حمله مهندسی اجتماعی
- شناسایی و تحقیق (Research):
در این مرحله، مهاجم اطلاعات لازم را در مورد هدف خود به دست میآورد. این شامل شناخت بهتر از هدف، ساختار سازمانی، کارکنان و هرگونه اطلاعات مورد نیاز برای دستیابی به اهدافش میشود. این اطلاعات از منابع مختلفی جمع آوری میشوند؛ به عنوان مثال جستجوی سطل زباله، وبسایت شرکت، فایلها و اسناد غیر محرمانه، فعالیتهای فیزیکی و نظایر آن. - جلب اطمینان (Hook):
مهاجم سعی میکند اعتماد و اطمینان هدف را جلب کند. این ممکن است از طریق تحول به یک نقش معتبر در سازمان، ارائه اطلاعات و تحلیلهایی که به نظر میآید مفید باشند یا حتی ارائه خدمات به شکلی که به هدف به نظر میرسد کمک میکند. - دریافت اطلاعات مورد نیاز (Play):
در این مرحله، مهاجم اطلاعات حساس یا دسترسی به سیستمها را به دست میآورد. این ممکن است از طریق گمانهزنی، پرسشهای فریبنده، ایجاد فشار روانی یا حتی تشویق هدف به انجام اقدامات مشخصی باشد. در این مرحله ارتباط باید آنقدر قوی و صمیمانه شود که مهاجم بتواند در سایه این ارتباط، سوءاستفاده مورد نظر را انجام داده و به اطلاعاتی که اساساً ارتباط برای رسیدن به آنها شکل گرفته بود، برسد. همچنین، این اطلاعات ممکن است برای حملات بعدی استفاده شود، از جمله نفوذ به سیستمهای کامپیوتری، دزدیدن اطلاعات حساس، یا حتی تغییرات روی رفتار و تصمیمگیریهای فرد هدف. - خارج شدن (Exit):
این مرحله آخرین فاز از حمله مهندسی اجتماعی است که مهاجم از صحنه جرم فرار میکند و یا ارتباط خود را با قربانی قطع میکند. پس از دستیابی به هدف مورد نظر، این عمل باید به گونهای انجام پذیرد که شک قربانی را بدنبال نداشته باشد.
انواع تکنیکهای مهندسی اجتماعی
- فریب و تقلب:
در این روش، مهندسین اجتماعی با استفاده از ترفندها و فریبهای مختلف، افراد را متقاعد به ارائه اطلاعات حساس میکنند. این میتواند شامل جعل به عنوان یک فرد معتبر، جعل به عنوان یک مأمور امنیتی، یا حتی بهرهگیری از اطلاعات شخصی یافته شده از طریق شبکههای اجتماعی باشد. - حملات فیزیکی:
در این روش، مهندسین اجتماعی به صورت مستقیم به محیط فیزیکی هدف مراجعه کرده و با استفاده از ابزارهای اجتماعی و فنی موجود، سعی در نفوذ و به دست آوردن اطلاعات دارند.
برای مقابله با این نوع حملات چه کنیم؟
- کنترل دسترسی:
اعمال محدودیتهای دسترسی به اماکن حساس و محدود کردن دسترسیها. - نظارت و پایش:
استفاده از سیستمهای نظارت و پایش برای شناسایی فعالیتهای مشکوک در محیطهای فیزیکی.
۳. حملات آنلاین:
شامل ارسال ایمیلهای فریبنده، سوءاستفاده از شبکههای اجتماعی و فریب افراد برای ارائه اطلاعات حساس به مهندسین اجتماعی است.
برای مقابله با این نوع حملات چه کنیم؟
- فیلترینگ ایمیل:
استفاده از سیستمهای فیلترینگ ایمیل برای تشخیص و مسدود کردن ایمیلهای فریبنده. - آموزش افراد:
آموزش به افراد در مورد شناسایی و جلوگیری از حملات فیشینگ و ایمیلهای فریبنده. - استفاده از فناوری:
اجرای فایروال، ضد ویروس، و سیستمهای تشخیص نفوذ به عنوان راهکارهای تکنولوژیکی برای مقابله با مهندسی اجتماعی.
Ad placeholder
در پایان، برای جلوگیری از حملات مهندسی اجتماعی، ضروری است که افراد به طور مداوم آموزش داده شوند تا بتوانند تشخیص دهند که هنگامی که با چنین حملاتی مواجه میشوند، چطور عمل کنند. علاوه بر این، ایجاد سیاستها و راهکارهای امنیتی مناسب در سازمانها و استفاده از فنآوریهای امنیتی جدید میتواند به شدت کمک کند تا حملات مهندسی اجتماعی به حداقل برسند و آسیبی به سازمانها و افراد وارد نشود. همچنین در صورت مواجهه با چنین حملاتی، اطلاعرسانی به دیگر افراد میتواند آنان را حساستر کرده و از آسیبپذیری آنها جلوگیری کند.