حملات مهندسی اجتماعی

19 سپتامبر
0 comment
Want create site? Find Free WordPress Themes and plugins.

مهندسی اجتماعی چیست ؟ انواع مهندسی اجتماعی کدامند ؟ چه شیوه هایی برای حملات مهندسی اجتماعی وجود دارد ؟ در این مطلب ابتدا تعریف جامعی از مهندسی اجتماعی ارایه می کنیم تا بدانید که مهندسی اجتماعی چیست و درک درستی از موضوع پیدا کنید . در ادامه با ارایه یک مثال دنیای واقعی موضوع را ملموس تر می کنیم . در پایان انواع مهندسی اجتماعی و شیوه های موجود حملات مهندسی اجتماعی را بیان می کنیم

حملات مهندسی اجتماعی چیست ؟

مهندسی اجتماعی یک متد غیر فنی نفوذ به یک سیستم یا یک شبکه است .  این کار پروسه فریب دادن کاربران یک سیستم و متقاعد کردن آنها به انجام کارهای پرفایده برای هکر است . مثل گرفتن اطلاعاتی از آنها که بتوان در شکستن یا دور زدن مکانیزم امنیتی استفاده کرد . درک مفهوم مهندسی اجتماعی مهم است زیرا هکرها می توانند با استفاده از آن به عنصر انسانی یک سیستم حمله کرد و معیارهای فنی امنیتی را دور زد . این متد را می توان در جمع آوری اطلاعات قبل یا طی یک حمله استفاده کرد .

یک مهندس اجتماعی معمولا از تلفن یا اینترنت برای فریب مردم به منظور آشکارسازی اطلاعات حساس استفاده می کند یا با گرفتن آنها بر ضد قوانین امنیتی سازمان استفاده می کند .با استفاده از این شیوه مهندسین اجتماعی به جای نفوذ به حفره های امنیتی کامپیوتر , از گرایش طبیعی یک شخص بهره می گیرند تا شخص به سخنانشان اعتماد کنند. همگان موافقند که کاربران پیوند  ضعیفی در امنیت هستند . این اصل چیزی است که عملکرد مهندسی اجتماعی را ممکن می سازد .

در زیر یک مثال از مهندسی اجتماعی توسط Kapil Raina که وی هم اکنون از متخصصین امنیتی VeriSign است آورده شده است . این مثال بر پایه یک تجربه واقعی محیط کاری با یک کارمند اسبق می باشد  .

مثالی واقعی از  حملات مهندسی اجتماعی

یک روز صبح سالها قبل گروهی از افراد غریبه وارد یک شرکت بزرگ حمل و نقل می شوند و پس از دسترسی به کل شبکه سازمانی خارج می شوند .
آنها چگونه این کار را صورت دادند ؟
از طریق بدست آوردن مقادیر اندک دسترسی , بیت به بیت , از شماری از کارمندان همان شرکت . اول آنها حتی قبل از اینکه به محل شرکت پا بگذارند درباره این شرکت به مدت دو روز تحقیق و جستجو کردند . برای مثال یادگرفتند که کلمه رمز نام کارمندان صدا کردن آنها با کلمه HR است . سپس وانمود کردند کلید درب جلویی را گم کرده اند و مرد نگهبان هم اجازه ورود به آنها را داد .سپس وقتی وارد طبقه سوم یعنی منطقه ایمن شدند وانمود کردند که نشان های شناسایی خود را گم کرده اند و لبخندی زدند و یک کارمند مهربان در را برای آنها باز کرد .

افراد غریبه می دونستند که مدیر ارشد اجرایی (CFO) خارج از شهر است , پس قادر بودند تا که به دفتر وی وارد شوند و داده های مالی را از کامپیوتر قفل نشده وی بدست آورند . آنها داخل سطل زباله سازمان جستجو کردند و  انواع اسناد مفید را پیدا کردند . آنها از یک سرایدار درخواست کردند تا اسناد خود را در داخل محفظه انتقال زباله گذاشته و به خارج شرکت منتقل کند و خارج از شرکت تحویل آنها دهد .غریب ها صدای مدیر ارشد اجرایی را یادگرفته بودند بنابراین آنها قادر بودند تا تلفن بزنند و وانمود کنند که مدیر ارشد هستند و در یک حمله قرار گرفته اند و به سختی نیازمند پسورد شبکه هستند . از آنجا آنها با استفاده از ابزارهای معمول هک به دسترسی کاربر ارشد دست یافتند .

در این مورد , افراد غریبه مشاورین امنیتی شبکه بودند که بدون داشتن هیچ دانشی از کارمندان سازمان , یک بازرسی امنیتی برای مدیر ارشد اجرایی انجام دادند . آنها هرگز هیچ اطلاعات ممتاز و خاصی از مدیر ارشد اجرایی دریافت نکردند اما قادر بودند که تمام دسترسی های خواسته شده را از طریق مهندسی اجتماعی انجام دهند .

خطرناک ترین بخش مهندسی اجتماعی این است که شرکت ها با پروسه های تشخیص هویت , فایروال ها , شبکه های خصوصی مجازی (VPNs) و نرم افزارهای مانیتور شبکه هنوز هم خیلی به روی حملات باز و آسیب پذیر هستند , چونکه مهندسی اجتماعی به طور مستقیم به معیارهای امنیتی حمله نمی کند . به جای آن یک حمله مهندسی اجتماعی معیارهای امنیتی را دورزده و به دنبال عناصر انسانی یک سازمان می رود .

هنر دستکاری و سو استفاده

مهندسی اجتماعی عبارت است از بدست آوردن اطلاعات حساس یا امتیاز دسترسی ناشایست توسط یک شخص بیگانه بر اساس بنای نامناسب اعتماد در روابط می باشد . هدف یک مهندس اجتماعی فریب دادن شخصی به منظور فراهم کردن اطلاعات ارزشمند یا دسترسی به آن اطلاعات است . مهندسی اجتماعی بر اساس خصوصیت های طبیعی بشر همچون آرزوی مفید بودن , تمایل به اعتماد به مردم و ترس از دچار مشکل شدن شکار می کند . هکرها افرادی که قادر به قاطی شدن و پدیدار شدن به عنوان بخشی از سازمان هستند بیشترین موفقیت را در حمله های مهندسی اجتماعی بدست می آورند . توانایی یکی شدن با افراد معمولا به عنوان بخشی از هنر سواستفاده است . مردم معمولا ضعیف ترین پیوند زنجیره امنیت هستند . یک دفاع موفق بستگی به داشتن پالیسی ها و سیاست ها و آموزش آنها به کارمندان می باشد . مهندسی اجتماعی سخت ترین شکل حمله برای دفاع مقابل می باشد چونکه در آن  یک شرکت نمی تواند بوسیله سخت افزار یا نرم افزار از خود محافظت کند .

 

انواع حملات مهندسی اجتماعی

حملات مهندسی اجتماعی را می توان به دو نوع معمول تقسیم بندی کرد :

  • متکی به انسان : مهندسی اجتماعی متکی به انسان , به هم کنش شخص به شخص برای بازیابی اطلاعات هدف اشاره دارد . یک مثال صدا کردن یک Help Desk به منظور پیداکردن یک پسورد است .
  • متکی به کامپیوتر : مهندسی اجتماعی متکی به کامپیوتر , به داشتن نرم افزار کامپیوتر که تلاش کند اطلاعات هدف را بازیابی کند , اشاره دارد . مثالی از آن فرستادن یک ایمیل و درخواست از آنها برای ورود مجدد پسورد در یک صفحه جدید به منظور تایید آن می باشد . این حمله مهندسی اجتماعی همچنین با نام Phishing نیز خواند می شود .

حملات مهندسی اجتماعی مبتنی بر انسان

تکنیک های مهندسی اجتماعی مبتنی بر انسان را می توان به طور گسترده به دسته بندی های زیر تقسیم کرد :

  • تقلید صدای یک کارمند یا یک کاربر مورد تایید : در حملات مهندسی اجتماعی از نوع تقلید صدا , هکر وانمود می کند که یکی از کارمندان یا کاربران مورد تایید سیستم است . یک هکر می تواند از طریق تظاهر به این که یک سرایدار , کارمند یا پیمانکار است دسترسی فیزیکی نیز پیدا کند . وقتی که کار راحت شد هکر از سطل زباله , دسکتاپ یا سیستم ها کامپیوتری اطلاعات را جمع آوری می کند .
  • وانمود کردن بعنوان یک کاربر مهم : در این نوع حمله , هکر وانمود می کند که یکی از کاربران مهم همچون یکی از قوای اجرایی یا مدیران سطح بالاست که نیاز دستیاری فوری به دسترسی به یکی از کامپیوترها سیستم یا فایل ها دارد . هکر از تهدید استفاده می کند تا یک کارمند سطح پایین تر همچون یک Help Desk به او برای بدست آوردن دسترسی به سیستم کمک کند . اکثر کارمندان سطح پایین از اشخاصی که در جایگاه قدرت قرار می گیرند سوالی نمی پرسند .
  • استفاده از سوم شخص : یکی از دیگر از انواع حملات مهندسی اجتماعی استفاده از سوم شخص می باشد . با استفاده از رویکرد سوم شخص , یک هکر وانمود می کند که اجازه ای از یک منبع مجاز برای استفاده از یک سیستم دارد . این حمله بویژه اگر منبع مجاز معرفی شده در تعطیلات باشد و به منظور تایید نتوان با وی تماس گرفت بسیار موثر خواهد بود .
  • تماس پشتیانی فنی : تماس پشتیبانی فنی برای کمک یک تکنیک کلاسیک مهندسی اجتماعی می باشد . Help Desk و پرسنل پشتیبان فنی آموزش دیده اند تا به کاربران کمک کنند که آنها را به طعمه خوبی برای حمله های مهندسی اجتماعی تبدیل می کند.
  • مشاهده پسورد از روی دست : حملات مهندسی اجتماعی Shoulder surfing یک تکنیک جمع آوری پسوردها از طریق نگاه کردن به دست فرد هنگام لاگین کردن به سیستم است . یک هکر می تواند یک لاگین صحیح کاربر را تماشا کند و سپس از آن پسورد برای دسترسی به سیستم استفاده کند .
  • استفاده از زباله دان : Dumpster diving مستلزم  جستجو در سطل زباله برای پیدا کردن اطلاعات نوشته شده بر روی تکه های کاغذ یا نتایج چاپی کامپیوتر است . هکر غالبا پسوردها , اسامی فایل ها و یا دیگر قطعه های اطلاعاتی محرمانه را پیدا می کنند .
  • یک متد پیشرفته تر بدست آوردن اطلاعات غیر مجاز با نام مهندسی معکوس اجتماعی معروف است . با استفاده از این تکنیک یک هکر شخصیتی می سازد که در موقعیتی از قدرت نمایان شود که کارمندان اطلاعات خود را از هکر پرسش کنند , به جای دیگر راهها . برای مثال, یک هکر می تواند نقش یک کارمند Help Desk را بازی کند و به کاربر اطلاعاتی همچون پسورد را بدهد .

Adopt boston terrier pittsburgh, Nissan note drom, Nissan qashqai 1.5 dci mpg

Did you find apk for android? You can find new Free Android Games and apps.

Leave your thought