مهندسي اجتماعي در خدمت هكرهاي خلاق
تاريخ  :  1392/08/25
نويسنده  :  سيدمحمدرضا موسوي پور
منبع مقاله : ايتنا
 انسان‌ها اغلب ضعيف‌ترين حلقه موجود در زنجيره امنيت هستند. بنابراين، مردم براي درز اطلاعات حساس در حملات مهندسي اجتماعي اهداف مناسبي هستند.


چند هفته قبل دوست محترمی تماس گرفت و از پیامکی که برایش ارسال شده بود، اظهار تعجب و نگرانی می‌کرد.
متن پیام این بود: رضا، الهه قصد دارد در لینک زیر عکس‌های شخصی تو را به اشتراک بگذارد و یک لینک تقریبا عجیب هم در ادامه آمده بود.


از او خواستم که عکس العملی نسبت به این‌گونه موارد نداشته باشد. چرا که ممکن است دچار یک حمله اینترنتی شود. این دوست عزیز هم در جواب گفت که تنها کشور مبدا ارسال پیامک را شناسایی کرده و نیز آدرس داده شده را در رایانه شخصی خود بررسی نموده است! در اینجا پاسخ من اظهار تاسف و...


این تنها موردی نیست که هر از چند گاهی با آن روبرو می‌شویم و بارها به روش‌های مختلف دچار دردسرهای به ظاهر کوچک، اما با خطرات بالقوه و گاه غیر قابل جبران می‌گردیم.
از این دست اتفاقات که تعدادشان نیز کم نیست، سبب شد تا به نگارش مقاله‌ای بپردازیم که حاصل آن پیش روی شما قرار گرفته است.


انسان‌ها اغلب ضعیف‌ترین حلقه موجود در زنجیره امنیت هستند. بنابراین، مردم برای درز اطلاعات حساس در حملات مهندسی اجتماعی اهداف مناسبی هستند.
مهندسی اجتماعی یک روش مورد استفاده توسط مهاجمان برای دست‌کاری و مدیریت رفتار اجتماعی و روانی مردم، برای به‌دست آوردن امکان دسترسی به اطلاعات و یا انجام چیزی است که آنها در تنظیم رفتارهای مختلف اجتماعی، مایل به انجام آن نیستند.


در واقع مهندسی اجتماعی سازوکار به‌دست آوردن اطلاعات حساس از طریق بهره‌برداری از ویـژگی‌های انسانی است. یکی از انگیزه‌های رایج در حملات مهندسی اجتماعی، به‌دست آوردن سیاست‌های امنیتی، اسناد حساس، نقشه‌ها و اطلاعات زیربنای شبکه، اطلاعات شخصی مانند نام کاربری و رمز عبور بانک و یا اطلاعات کارت اعتباری از افراد، به‌جای شکستن آن از طریق دسترسی به یک رایانه است.

این روش‌ها معمولا در مراحل اولیه رخنه توسط مهاجمان استفاده می‌شود و اگرچه از اطلاعات فنی زیادی استفاده نمی‌شود، اما معمولا نتايج بسیار خوبی برای مهاجم در بر دارد. اين روش‌ها گستردگی بسیاری داشته و هر بار به شکلی بروز می‌کنند.


انواع حملات مهندسی اجتماعی

مهندسی اجتماعی را می‌توان به دو دسته انسانی و رایانه‌ای تقسیم نمود. در روش انسانی اطلاعات حساس از طریق روابط متقابل جمع‌آوری می‌شود و در واقع مهاجم در نقش یک استفاده‌کننده قانونی مهم فرو می‌رود و ضمن دادن مشخصات خود، اطلاعات حساس را درخواست می‌کند.


همچنین گوش‌دادن به مکالمات، نگاه کردن به انگشتان شما در هنگام واردکردن رمز، زیر نظر گرفتن برای جمع‌‌آوری اطلاعات فن‌آوری‌های جاری شرکت و یا زباله گردی برای به‌دست آوردن هرگونه اطلاعات مهم را در این دسته قرار داد.
عمده روش‌های هجوم رخنه‌گران در این دسته، از ویژگی‌های انسانی اعتماد، ترس، تمایل به کمک و یا طمع بهره می‌گیرند.


دسته دیگری از حملات مهندسی اجتماعی، به کمک رایانه‌ها اجرا می‌شوند. پیوست‌‌های قرار داده‌شده در ایمیل، صفحات خود بازشو، سایت‌های بخت‌آزمایی، هرزنامه‌ها، نامه‌های دروغین، پیام‌رسان گپ فوری و یا هشدارهایی درباره بدافزارهای مقیم در رایانه شما، همگی بخشی از حملات مهندسی اجتماعی رایانه‌ای هستند که برای جمع‌آوری اطلاعات باارزش شما توسط مهاجمان طراحی شده‌اند و هر از چند گاهی با آنها مواجه می‌شویم.


حتی حمله Phishing نیز از دسته حملات مهندسی اجتماعی رایانه‌ای است که به طور سنتی، کاربران ایمیل را مورد هدف قرار می‌دهد.
در واقع مهاجمی که از مهندسي اجتماعي استفاده می‌کند، تلاش می‌نماید تا اطمينان کسی که اجازه دسترسي به شبکه را دارد، برای رسيدن به اطلاعات مشخصی که امنيت شبکه را به خطر می‌اندازد، به‌دست بياورد.


در این حمله اخیر مهاجم یک وب سایت جعلی را به نحوی ایجاد می‌کند که ظاهرا یک سایت قانونی، مانند سایت یک موسسه مالی است. بنابراین قربانی‌ها با دیدن سایت جعلی فریب می‌خورد و متقاعد مي‌شود تا اطلاعات حیاتی مورد نیاز سایت مانند رمزهای عبور، مشخصات فردی، شماره کارت اعتباری یا کد ملی خود را تسلیم ‌نمایند.


اگرچه فیلترهای هرزنامه و ابزارهای ضد فیشینگ را می‌توان برای محافظت در برابر این‌گونه حملات استفاده نمود. اما بهترین راهکار توجه به نشانی سایت موجود و مقایسه آن با آدرس سایت قانونی مورد نظر است.



صفحات -> 1 - 2


5/5 امتياز (2)
نظرات
نام
نام خانوادگي
نشاني پست الكترونيكي
متن
Site : www.vwideas.com
Email : info@vwideas.com
Phone : 021 - 66925810
TelFax : 021 - 66924750