«Social engineering» یا «مهندسی اجتماعی» واژه ای بسیار پیچیده و در عین حال بی نهایت ساده است اما این واژه چه معنایی دارد؟
به گزارش خبرنگار بادیجی، در واقع این واژه به روشی اثرگذار اشاره دارد که در آن مردم خواسته یا ناخواسته به فاش نمودن اطلاعات حساس خود سوق پیدا می کنند.
از اهداف دسترسی به اطلاعات، می توان به انجام برخی اعمال خرابکارانه اشاره کرد.
با کمک روش های موجود در مهندسی اجتماعی، مهاجمان میتوانند به راحتی به اطلاعات محرمانه، جزئیات دسترسیها و مجوزهای ورود کاربران دسترسی پیدا کنند.
در واقع مهاجمان با بهره گیری از مهندسی اجتماعی قوانین یک شرکت را زیر پا گذاشته و با انجام اعمال خلافکارانه سعی در شکستن سیستم امنیتی آن دارند.
در صورت عملی شدن اهداف مهاجمان، تمام نقشه ها، فشارها و سختگیریهای امنیتی به تصویب رسیده در غالب شرکتها، همه نقش بر آب خواهد شد.
به عنوان نمونه از مهندسی اجتماعی می توان به پاسخهای ناخواسته در مقابل افراد غریبه از طرف کارمندان، پاسخ به ایمیلهای اسپم و لاف زدن جلوی کارکنان شرکت اشاره کرد.
این مهاجمان چنان مهارتی در به انجام رساندن کار خود دارند که ممکن است قربانیان هرگز متوجه کلاهبرداری انجام گرفته نشوند که در پی این اتفاق نفوذگران با توسعه مهارتهای خود، سود بسیاری به دست می آورند.
با وجود قوانین امنیتی موجود، شرکتها همچنان در معرض خطر هستند چرا که حملات طرحریزی شده بر اساس مهندسی اجتماعی ضعیفترین افراد در شرکت که اطلاعات زیادی را با خود دارند، نشانه میگیرند.
روش های مهندسی اجتماعی
در واقع برای انجام هر جرمی، روشی متداول وجود دارد که مهندسی اجتماعی نیز از این قاعده مستثنی نیست.
همان طور که در تصویر زیر مشاهده می شود، می توان گفت که این الگوها قابل شناسایی و پیشگیری است.
این چرخه شامل چهار مرحله، جمعآوری اطلاعات، برقراری ارتباطات بهرهکشی و عمل و اجرا است که مانند تکههای پازل به هم مرتبط و وابسته هستند.
بهره گیری از آسیب های شخصیتی در نفوذ
در بسیاری از موارد مشاهده می شود که یک مهاجم از ذات طبیعی مردم برای اجرای نقشه حمله خود بهره می گیرد.
این رفتارها ممکن است در حملات مهندسی اجتماعی، آسیب پذیری محسوب شوند:
- اطمینان قلبی افراد به خودشان، یکی از مهمترین ویژگی های مورد استفاده مهاجمان است.
بنابراین خصوصیت، هر یک از کارمندان خود را عاری از هرگونه ضعف در برابر حملات مهندسی اجتماعی میداند و دقیقا همین بزرگترین نقطه ضعف است.
شرکتها باید در مورد راهها و آسیبپذیریهای مهندسی اجتماعی، کارکنان خود را کاملا آموزش دهند. - گاه به غیر از تهدید مهاجم، قربانی را با وعده پول یا مزیت های مشابه تطمیع می کنند.
در چنین شرایطی ممکن است فرد مهاجم فریب خورده و اطلاعات مهمی را در اختیار نفوذگر قرار دهد. - در چنین زمانهایی اهداف مورد نظر بر اساس تعهدی که با مهندسان اجتماعی بستهاند، اقدام به همکاری با آنها میکنند.
- عدم آگاهیدهی یک شرکت در مورد مهندسی اجتماعی و تأثیر آن بر نیروی کاری خود، آن شرکت را هدف آسانی در زمینه مهندسی اجتماعی قرار میدهد.
- در مواردی ممکن است که یک فرد برای فرار از اتهام کمکاری و این که اطلاعات لازم را به سرعت در اختیار نگذاشته و این کارش ممکن است بر کار شرکت اثر گذارد، بیفکر و بدون دقت لازم اطلاعات حساس را فاش کند.
لازم به ذکر است که در اغلب حملات، پرسنل پذیرش به علت ارتباط مستقیم با افراد غریبه، پرسنل هلپ دسک (پشتیبانی کاربران) به علت ارتباط مستقیم با تمام پرسنل و داشتن اطلاعات آنها، تکنیسینهای اجرایی، مدیران و در نهایت کاربران شبکه از جمله مرسوم ترین اهداف مورد علاقه نفوذگران هستند.
نمونه هایی از مهندسی اجتماعی
- پرسنل جعلی پشتیبانی مدعی می شوند که باید نسخه دیگری از نرم افزار را بر روی سیستم یک کاربر نصب کنند که در نهایت کنترل سیستم قربانی را در اختیار خواهند گرفت.
- فروشندگان دروغین، با این ادعا که بايد ارتقاءهایی را بر روی بسته حسابداری سازمان يا سيستم تلفن آن اعمال نمايند، كلمه عبور سرپرستی را پرسیده و دسترسی كامل به سيستم را بدست میآورند.
- نامههای الكترونيكی Phishing كه توسط هكرها ارسال شدهاند، ID كاربری و كلمات عبور دريافتكنندگان زود باور را جمعآوری میكنند.
سپس، هكرها از اين كلمات عبور برای كسب دسترسی به حسابهای بانكی و ساير اطلاعات مهم استفاده میكنند. - كاركنان جعلی، به بخش امنيت سازمان اطلاع میدهند كه كليدهای خود برای ورود به اتاق كامپيوتر را گم كردهاند، مجموعهای از اين كليدها را دريافت كرده و دسترسی غيرمجاز به اطلاعات فيزيكی و الكترونيكی را بدست میآورند.
اقدامات متقابل مهندسی اجتماعی
شاید بتوان گفت هر نقشه و امکاناتی که شما جهت تامین ایمنی اطلاعاتتان در اختیار گیرید، با وجود یک کاربر بی تجریه می تواند نقش بر آب شود و ممکن است امكان ورود مهندس اجتماعي به داخل شبكه ایجاد شود.
هيچگاه قدرت مهندسی اجتماعی را دستكم نگيريد.
چند اقدام جهت مقابله با مهندسی سایبری
- آموزش
- آگاه باشید چه چیزی را منتشر می کنید
- داشته های خود را بشناسید
- سیاست های امنیتی تعیین کنید
انتهای پیام/
نظرات کاربران