به این امتیاز دهید post

مهندسی اجتماعی را می توان یکی از خطرناک ترین روش های هک کردن و به خطر انداختن امنیت کاربران در بستر اینترنت دانست. Social Engineering یک هنر فریب افراد می باشد که هکر ها با استفاده از آن، کاربران را متقاعد می کنند تا برخی از اطلاعات را به صورت کاملا ناخودآگاه در اختیارشان قرار دهند.

مهندسی اجتماعی چیست؟

مهندسی اجتماعی یکی از زیر شاخه های مهم رشته ارتباطات و علوم اجتماعی است که در سال ۱۸۹۴ برای نخستین بار به کار برده شد. این علم در سال های گذشته به اندازه ای اهمیت پیدا کرد که به عنوان یک رشته تحصیلی جدا مورد استفاده قرار گرفت. این رشته در زمان های گذشته موجب می شد تا افرادی که آن را به طور تخصصی فرا گرفته بودند، با مردم عادی ارتباط موثری تر و صمیمی تری را برقرار کنند و آن ها را برای شرکت در فعالیت های مختلف و کار های بهتر و مناسب تر تشویق نمایند.

همچنین ارتباط مهندسان اجتماعی با مردم، موجب می شد تا نمودار های آماری، به صورت دقیق تری آماده شوند. البته در سال های اخیر از این رشته اجتماعی به عنوان یکی از روش های بسیار خطرناک نام برده می شود که می تواند امنیت فعالان حاضر در بستر اینترنت را به خطر بیندازد. امروزه از ترفند ها و فنون Social Engineering برای به سرقت بردن اطلاعات کاربران مجازی استفاده می شود.

بدین صورت که هکر ها با تحصیل در این رشته و فراگیری تمامی تکنیک ها و فنون آن، می توانند اطلاعات فردی که قصد هک کردنش را دارند، جمع آوری کنند و سپس به آن ها نزدیک شده و اعتماد را در او ایجاد نمایند. در آخر نیز حمله خود را آغاز کرده و اطلاعات شخصی فرد را به دست می آورند.

مهندسی اجتماعی چیست؟
مهندسی اجتماعی چیست؟

چرخه حملات مهندسی اجتماعی

همان طور که ذکر شد، هکر ها با استفاده از ترفند های مخصوص و حرفه ای مهندسی اجتماعی می توانند به کاربران مختلف نزدیک شوند و با ایجاد صمیمیت، مسیر خود را برای نفوذ به اطلاعات شخصی و مهم افراد، هموار سازند. برخی از افراد به این روش، هنر فریب می گویند و از آن جایی که تشخیص آن توسط کاربران بسیار سخت می باشد، چهره های متعددی با این روش به دام هکر ها افتاده اند. باید بدانید که هکر ها با استفاده از این ترفند، در ۴ مرحله به فرد مورد نظر خود حمله می کنند که این ۴ مرحله برای تمام پروژه های مربوط به Social Engineering یکسان می باشد.

چرخه حملات مهندسی اجتماعی
چرخه حملات مهندسی اجتماعی

جمع آوری اطلاعات (Information Gathering)

برای این که یک هکر بتواند یک فرد را به طور کامل هک کند و بتواند به اطلاعات مهم و دقیق او دسترسی پیدا نماید، باید در ابتدا برخی از اطلاعات عادی را در مورد آن شخص به دست آورد. در واقع این مرحله را باید یکی از اصلی ترین و همچنین مهم ترین مراحل استفاده از ترفند های مهندسی اجتماعی دانست که به هکر کمک می کند تا بتواند نقشه خود را بهتر به پیش ببرد و راحت تر صمیمیت و اعتماد را در بین افراد ایجاد نماید.

برقراری ارتباط (Developing Relationship)

پس از این که هکر ها تا حدودی توانستند اطلاعات مورد نیاز خود را نسبت به فردی که تصمیم به هک کردنش را دارند، به دست آوردند، لازم است تا وارد فاز بعدی یعنی برقراری ارتباط شوند. در واقع این مرحله باید در بی نقص ترین حالت خود انجام بگیرد. زیرا که تاثیر مستقیمی در ایجاد اعتماد میان افراد دارد. از این جهت برقراری یک ارتباط صحیح و بی نقص در ابتدا رابطه، می تواند تمام اهداف و نقشه های هکر ها را به پیش ببرد. باید بدانید که برقراری ارتباط صحیح با طعمه تا ۶۰ درصد در ایجاد یک رابطه صمیمی تاثیر گذار می باشد و از این جهت آن را مهم ترین مرحله در چرخه حملات مهندسی اجتماعی می دانند.

جمع آوری اطلاعات (Information Gathering)
جمع آوری اطلاعات (Information Gathering)

بهره برداری (Exploitation)

در مرحله بهره برداری، هکر ها تا حد زیادی توانسته اند به طعمه خود نزدیک شوند و اعتماد را در او به وجود آورند. در واقع آن ها در این مرحله با به دست آوردن اطلاعات بیشتری از طعمه و بررسی روابط خود با او، مسیر دقیقی را برای ادامه فعالیت های سودجویانه خود انتخاب می کنند تا بتوانند در کوتاه ترین زمان ممکن، حمله خود را آغاز نمایند. در واقع این مرحله یکی از مراحل ابتدایی آغاز حملات مهندسی اجتماعی می باشد و می تواند سرنوشت طعمه را دستخوش تغییرات گسترده ای کند.

اجرای حمله (Execution)

آخرین مرحله ای که در چرخه حملات هکر ها با استفاده از ترفند های مهندسی اجتماعی، مشاهده می شود، مرحله عملی کردن نقشه خود می باشد. در این مرحله هکر ها با جلب اعتماد فردی که قرار است او را هک نمایند، توانسته اند ارتباط گسترده ای را با او برقرار کنند و یک مسیر دقیق و مشخص را نیز برای پیشبرد اهداف خود، انتخاب نمایند. در این لحظه، تنها عملی کردن فرایند حمله باقی مانده است و هکر ها با عملی کردن نقشه های نهایی خود، آخرین ضربه را به طعمه وارد خواهند کرد.

اجرای حمله (Execution)
اجرای حمله (Execution)

یک مثال ساده

برای مثال اگر هکری تصمیم به سرقت اطلاعات کاربری فردی در اینستاگرام و یا سایر شبکه های اجتماعی با روش مهندسی اجتماعی داشته باشد، در مرحله نخست باید بدین اطلاعات دست پیدا کند که فرد مورد نظر چگونه وارد اکانت اینستاگرام خود می شود. پس از آن در می یابد که طعمه خود یک فرد حساس است که در هر بار ورود و خروج، اکانت خود را log out می کند. در مرحله دوم باید با فرد مورد نظر ارتباط برقرار کند و به سادگی یا دشواری رمز اکانت کاربری او دست پیدا کند تا بتواند روش هک او را به دست آورد.

در مرحله سوم، هکر با بررسی تمامی اطلاعات به دست آورده اش، استفاده از ساخت صفحه جعلی را برای پیشبرد اهداف خود انتخاب می کند و در مرحله آخر نیز صفحه فیک را برای طعمه ارسال کرده با ترفند هایی نظیر القای ترس، گذاشتن طعمه، نقش بازی کردن، استفاده از سناریو های آماده، جبران کردن یک لطف و یا حرکت کردن در پشت سر افراد مجاز برای ورود به یک ساختمان، او را مجبور به استفاده از صفحه و ثبت اطلاعاتش می کند. پس از آن به راحتی به اطلاعات ثبت شده در صفحه فیک دسترسی پیدا خواهد کرد و حمله خود را به اتمام می رساند.

هک شدن توییتر با مهندسی اجتماعی
هک شدن توییتر با مهندسی اجتماعی

ماجرای هک شدن توییتر با مهندسی اجتماعی

توییتر از شبکه های اجتماعی بسیار محبوبی می باشد که تاکنون هکر های مختلفی نسبت به هک سرور های آن اقدام کرده اند. اما در نهایت سرور های این شبکه توسط سه جوان که حدود ۱۷ الی ۲۱ سال، سن داشتند، هک شد. این سه جوان با استفاده از ترفند های بسیار حرفه ای مهندسی اجتماعی توانستند اعتماد یکی از کارکنان توییتر را جلب کرده و از این طریق وارد شرکت این شبکه مجازی شده و به اکانت های چهره های شناخته شده دست پیدا کنند.

این سه جوان در اکانت های ایلان ماسک، بیل گیتس، جو بایدن، شرکت اپل و باراک اوباما توییتی را مبنی بر این که با ارسال هر بیت کوین، دو برابر آن را تحویل بگیرید، توانستند ۱۲۰ هزار دلار بیت کوین را به دست آورند. این ماجرا مربوط به سال ۲۰۱۹ می باشد و پس از مدتی، هکر های جوان توییتر دستگیر شدند. اما همچنان سرنوشت بیت کوین های دزدیده شده مشخص نیست.

ماجرای هک شدن توییتر با مهندسی اجتماعی
ماجرای هک شدن توییتر با مهندسی اجتماعی

دفاع در برابر مهندسی اجتماعی

در حال حاضر افراد متعددی به دنبال راه حل درستی برای مقابله با روش مهندسی اجتماعی و جلوگیری از هک شدنشان می گردند. در وحله نخست، تمام کاربران فکر می کنند که با اعتماد نکردن به هیچ فردی، می توانند در مقابل روش Social Engineering ایستادگی کنند. اما باید بدانید که این روش، یک روش قطعی نیست و همانند پاک کردن صورت مسئله می باشد.

در واقع راهکار صحیح مقابله با مهندسان اجتماعی، این است که در روابط خود با هر فردی حد و مرزی را مشخص نمایید. شما باید تمام اطلاعات شخصی و مهم خود را شناسایی کرده و آگاه باشید که آن ها را حتی در اختیار نزدیک ترین دوستان و آشنایانتان نیز قرار ندهید. از این جهت با ایجاد حد و حدود در روابط خود، دیگر اجازه نزدیکی بیش از اندازه به مهندسان اجتماعی را نخواهید داد.

دفاع در برابر مهندسی اجتماعی
دفاع در برابر مهندسی اجتماعی

سطوح مختلف دفاع در برابر این روش

برای این که بتوان در برابر حملات مهندسی اجتماعی ایستادگی کرد، ابتدا باید ضعف های سیستم های رایانه ای و یا تلفن های همراه خود را شناسایی نمایید و با یادگیری ترفند های Social Engineering، با آن ها مقابله کنید. در واقع این عملکرد مانند این است که با استفاده از روش های مختلف هک کردن، امنیت شبکه های اینترنتی خود را افزایش داده و با حدس رفتار هکر ها، به مقابله با آن ها بپردازید. از این جهت استفاده از روش مقابله به مثل، می تواند تا حد چشمگیری روند هک شدنتان را توسط مهندسان اجتماعی، کُند نماید.

سطوح مختلف دفاع در برابر این روش
سطوح مختلف دفاع در برابر این روش

اول: سطح پایه ای؛ سیاست های امنیتی در برابر این روش

سطح پایه ای دفاع در برابر روش مهندسی اجتماعی بدین معنی است که باید تمرکزتان را بر روی بهبود سنگر دفاعی خود قرار دهید و سعی کنید تا با رعایت موارد مختلفی، امنیت خود را ارتقاء بخشید. افزایش امنیت با سنگر های دفاعی، می تواند به عنوان یکی از بهترین انواع دفاع در برابر مهندسان اجتماعی به حساب آید. برای فهم بهتر این امر، باید بگوییم که اگر شرکتی تصمیم داشته باشد که تمامی اطلاعات خود را مخفی نگه دارد و آن ها را فاش نکند، باید از ورود هر گونه فلش درایو به سیستم های رایانه ای خود جلوگیری کند. زیرا که از این طریق ممکن است ویروس ها به سیستم های رایانه ای حمله کنند و اطلاعات را به سرقت ببرند. در واقع عدم استفاده از فلش درایو ها، به عنوان نخستین سنگر دفاعی این شرکت شناخته می شود.

سیاست های امنیتی در برابر این روش
سیاست های امنیتی در برابر این روش

دوم: سطح پارامتر؛ آموزش آگاهی امنیتی برای همه

افزایش آگاهی افراد با روش مهندسی اجتماعی و همچنین ترفند ها و خطرات آن، می تواند به عنوان دومین سطح دفاع در مقابل این روش شناخته شود. با افزایش آگاهی میان افراد، تمامی آن ها سعی می کنند تا در روابط خود با سایر افراد، محتاطانه تر عمل کنند. با توجه به مثالی که در سطح اول به آن اشاره کردیم، شرکت مورد نظر باید به طور کامل دلیل عدم استفاده از فلش درایو ها را به کارکنان خود توضیح دهد و آن ها را تشویق به رعایت این قانون کند تا اطلاعات شرکت محرمانه باقی بماند.

سوم: سطح سنگر گیری؛ اقدامات امنیتی

پس از این که تمامی کارمندان شرکت از قوانین امنیتی در برابر ترفند های مهندسی اجتماعی آگاه شدند و نسبت به رعایت آن ها، خود را مسئول دانستند، نوبت به آن می رسد که امنیت را در تمامی سیستم های شرکت بالا ببرید که برای انجام آن باید از روش های مختلفی استفاده کرد. نخستین روش افزایش امنیت سیستم های رایانه ای شرکت، با عنوان روش واکسیناسیون شناخته می شود.

بدین صورت که با استخدام یک هکر حرفه ای، می توانید تمام ضعف ها و حفره های پنهان سیستم ها را شناسایی کنید و نسبت به رفع آن ها اقداماتی را انجام دهید. در روش دوم، باید تمامی کارمندان نسبت به اقدامات پس از هک شدن و به سرقت رفتن اطلاعات شرکت، پیش آگاهی داشته باشند. در واقع باید بسیار دقت داشته باشند که با مشاهده یک پیام مشکوک، متوجه اختلال در سیستم ها شوند و با در نظر گرفتن احتمال هک شدن، اقدامات بعدی را به سرعت انجام دهند.

چهارم: سطح تثبیت و یادآوری

یکی دیگر از سنگر های دفاعی در برابر ترفند های مهندسی اجتماعی، این است که از دفاع چند لایه استفاده کنید. در واقع یکی از مهم ترین مراحل در دفاع چند لایه، این است که کارمندان به صورت مداوم به ترفند های حرفه ای مهندسان اجتماعی فکر کنند و آگاهی خود را در برابر آن ها افزایش دهند. به همین ترتیب می توانید به صورت مداوم اخبار مربوط به هک شدن سیستم های رایانه و تلفن های همراه و به سرقت رفتن اطلاعات شخصی را مطالعه کنید و از آن ها به عنوان یک تلنگر استفاده نمایید. بدین ترتیب به صورت روزانه به دنبال افزایش امنیت سیستم های خود خواهید بود و ذهن هوشیار تان نسبت به تمامی پیام ها و ارتباطات مشکوک واکنش نشان خواهد داد.

پنجم: سطح غیر رسمی؛ مین های زمینی Social Engineering

در واقع منظور از مین های زمینی، همان تله ها و ترفند های مهندسی اجتماعی می باشند که هکر ها با استفاده از آن ها به دزدیدن اطلاعات مشغول می شوند. این تله ها اغلب با عنوان SELM شناخته می شوند و آگاهی از آن ها برای دفاع در برابر مهندسان اجتماعی لازم و ضروری می باشد. با یادگیری این تله ها، می توانید روش مقابله با آن ها را نیز فرا بگیرید و با آن ها مقابله کنید. در واقع ذهنتان به طور کامل با آن ها آشنا می شود و به سرعت می تواند این تله ها را شناسایی کند.

ششم: سطح تهاجمی؛ پاسخ دهی به رویداد

در سطح تهاجمی، باید بدانید که هیچ کدام از سیستم های جهانی با بالاترین امنیت نیز، غیر قابل هک نیستند و همچنین باید اقدامات مناسب پس از هک شدن را یاد بگیرید. در واقع بهتر است که هر لحظه احتمال هک شدنتان را با خود مرور کنید و یک استراتژی مخصوص برای مقابله با مهندسی اجتماعی، را برای خود انتخاب نمایید. تا در صورت نفوذ هکر ها به سیستم های شما، بتوانید با استفاده از استراتژی خود، از اطلاعاتتان محافظت کنید و یا آن ها را به سرعت برگردانید.

استراتژی های دفاع

انتخاب یک استراتژی های صحیح، می تواند به بازگرداندن اطلاعات کمک نماید. در حال حاضر تنظیم سیاست های امنیتی در سطوح مختلف، محدود کردن پراکندگی برای داده ها، استفاده از اقدامات امنیت فیزیکی، افزایش امنیت زیر ساخت ها و پایه گذاری صحیح آن ها، مدیریت با آگاهی کامل و آموزش ترفند ها و افزایش آگاهی کارکنان، از استراتژی های قدرتمند برای مقابله با مهندسی اجتماعی می باشد.

سوالات متداول

عملکرد روش مهندسی اجتماعی چگونه است؟

2021 11 22 15.48.05

این روش با برقراری ارتباط گسترده با کاربران، نسبت به سوء استفاده از آن ها اقدام می کند.

حمله مهندسان اجتماعی در چند مرحله است؟

2021 11 22 15.48.03

یک چرخه ۴ مرحله ای شامل جمع آوری اطلاعات، برقراری ارتباطات، بهره برداری و حمله می باشد.

راهکار مقابله با مهندسان اجتماعی چیست؟

2021 11 22 15.48.01

تعیین حد و مرز در برقراری ارتباط با دیگران و به کارگیری تمام سطوح امنیتی، راهکار اصلی مقابله با مهندسان اجتماعی می باشد.

در این مقاله در ردیاب موبایل؛ مجله الکترونیک امنیت فضای مجازی، تلاش داشتیم تا شما را با مهندسی اجتماعی، مراحل مختلف انجام دادن آن و سطوح مختلف دفاع در برابر آن را برای شما توضیح دهیم.