مهندسي اجتماعي در خدمت هكرهاي خلاق
تاريخ  :  1392/08/25
نويسنده  :  سيدمحمدرضا موسوي پور
منبع مقاله : ايتنا
 انسان‌ها اغلب ضعيف‌ترين حلقه موجود در زنجيره امنيت هستند. بنابراين، مردم براي درز اطلاعات حساس در حملات مهندسي اجتماعي اهداف مناسبي هستند.


چند نمونه از حملات مهندسی اجتماعی

جازه دهید چند نمونه‌ رایج از حملات مهندسی اجتماعی که به درک بهتر آن کمک خواهد کرد را در نظر بگیریم. فرض کنید درحالی‌که شما در دفتر خود مشغول به‌کار هستید، فردی از بخش مدیریت با شما تماس می‌گیرد.
این شخص در ادامه مکالمه خود را معرفی کرده و به شما می‌گوید: ما چند ویروس فعال را در بخش کاری شما پیدا کرده‌ایم. رایانه شما نیاز به پاک‌سازی فوری داشته و باید هرچه زودتر از اطلاعات شما نسخه پشتیبان تهیه شود.


آیا رمز عبور خود را می‌توانید در اختیار من بگذارید؟ اگر شما کمی زیرک باشید، با تعجب این سوال را خواهید پرسید که چرا مدیر سیستم، رمز عبور را از من سوال می‌کند. او که به سادگی می‌تواند رمز عبور را ریست نموده و به‌راحتی آن را پاک نماید!
اما بسیاری از افراد به دام افتاده و رمز عبور خود را اعلام می‌کنند. در اینجا، مهاجم یکی از ابزارهای مهندسی اجتماعی به‌نام اعتمـاد را به‌کار می‌گیرد. اجازه دهید مثال دیگری را در نظر بگیریم که هر از چند گاهی برای ما اتفاق می‌افتد.


شما از شناسه‌ای که متعلق به یکی از دوستان بسیار صمیمی‌تان است، یک ایمیل دریافت می‌کنید. درون ایمیل لینک یک کارت‌پستالی الکترونیکی برای شما وجود دارد. درصورتی‌که هوشمندانه رفتار نمایید، قبل از کلیک کردن بر روی پیوند موجود، درباره آن تحقیق می‌کنید و در ارسال آن کارت از طرف دوستتان تردید می‌کنید.
هدف از این کار به چه دلیلی بوده و نحوه نوشتار متن و حواشی آن چگونه است؟ آیا این وضعیت رفتار طبیعی دوستتان است و چندین و چند سوال دیگر. اما اکثریت مردم بر روی پیوند کارت الکترونیکی کلیک می‌کنند.


بدون اینکه بدانند آدرس ایمیل جعلی بوده و پیوند یک لینک به یک اسب تروآ است. هنگامی که شما بر روی پیوند کلیک می‌کنید، اسب تروآ بر روی رایانه شما بارگذاری می‌شود و این سرآغاز هجوم یکی از سخت‌ترین حملات رایانه ای می‌باشد.
چراکه از این پس به هر قسمتی که شما امکان و مجوز دسترسی به آن‌را داشته اید، اسب تروا نیز دسترسی خواهد داشت و اطلاعات حساس رایانه و شبکه شما می‌تواند توسط اسب تروآ به هکر و آدرسی که او در نظر گرفته است، ارسال شود.


حتی ممکن است با همین یک کلیک ساده مهاجم توانسته باشد اختیار رایانه شما را به‌دست بگیرد و در واقع آن را بدل به یک زامبی نموده و در ردیف ارتش زامبی‌های خود در آورد که به دیگر رایانه‌های درون شبکه حمله می‌کنند. در مثال اخیر نیز مهاجم از یک ابزار اجتماعی به‌نام اعتماد استفاده کرده است.
گاهی اوقات نیز ممکن است یک نامه الکترونیکی دریافت نمایید که در آن گفته شده است که شما برنده قرعه‌کشی۲۰ میلیون دلاری شده‌اید و یا بلیت سفر به جزایر قناری را برده‌اید! در این حالت ابزار اجتماعی مورد استفاده، حرص و طمع انسان‌ها است.


حتی در این حالت برخی که به بی‌پایه بودن ازاین‌دست نامه‌ها واقف هستند نیز بر اثر بی‌حوصلگی و یا کنجکاوی در دام مهاجم می‌افتند. در یک مثال جدی‌تر‌، ممکن است ایمیلی را از بانکی دریافت نمایید که در آن گفته شده است، برای اطمینان از ایمنی شما، آنها در حال اعتبار‌سنجی پایگاه داده بانک هستند و بنابراین از شما خواسته می‌شود، در اولین فرصت وارد پورتال بانک شده و با بررسی صحت کارکرد شناسه و رمز عبورتان، از ایمنی خود اطمینان حاصل کنید.


شما از روى حسن نيت و بدون آنکه بدانید پیوند موجود در ایمیل، سایت بانک شما نیست، به آن وارد می‌شوید. غافل از آن‌که در طرف دیگر، این سایت مهاجم است که حساب بانکی و رمز عبور شما را به سرقت برده است و شما دچار حمله Phishing شده اید.
به این پست الکترونیکی که ظاهرا از سوی یک سرور ارائه دهنده ایمیل ارسال شده است، توجه کنید. «سلام. شما اين ايميل را به این دلیل دريافت نموده‌اید که يک کاربر ثبت شده بر روي سرور ما هستيد.


از آنجا که طي ماه اخير کاربران ثبت شده روي سرور ما افزايش چشمگیری يافته است، مجبور شده‌ايم حساب‌هاي کاربري غيرفعال را از پايگاه داده خود پاک نماییم. در صورتی که همچنان بر روی سرور ما مشغول به فعالیت می‌باشید، لطفا با دنبال نمودن پیوند موجود، ما را در جریان قرار دهید.
درصورتی‌که حساب کاربري خود را تا ۴۸ ساعت پس از دريافت اين پيام تایید نکنيد، حساب کاربري شما پاک خواهد شد و قادر به برگرداندن آن نخواهيد بود. با احترام. مديریت سایت». این مثال نیز اشاره به یکی از حملات مهندسی اجتماعی می‌کند.


مثال‌های دیگری نیز می‌توان برای‌ دیگر ویژگی‌های انسانی مانند ترس و یا تمایل به کمک بیان نمود که هدف آنها نیز به‌دست آوردن اطلاعات حساس توسط مهاجم است.
مثلا بازی کردن نقش رئیس عصبانی شرکت شما یا یک مشتری ارزشمند در یک تماس تلفنی و یا وانمود کردن خود به‌عنوان کارمند جدید شرکت که دچار مشکلی جدی شده است.


معمولا حملات مهندسی اجتماعی در شرکت‌ها و سازمان‌ها با توجه به ارزش اطلاعات و نیز تعداد افرادی که به اطلاعات دسترسی دارند، خطرناک‌تر است. بنابراین راهکارهای مشخصی همچون هشدارهای امنیتی، آموزش‌های مناسب و یا تغییر دوره‌ای رمزهای عبور باید در نظر گرفته شوند.
کارامدی حملات مهندسی اجتماعی در سازمان‌ها رابطه مستقیمی با عدم وجود انگیزه کافی در میان کارمندان دارد و این موضوع نیز بسیار مورد توجه مهاجمان است. اکنون می‌توانید اشتباهاتی که در گذشته مرتکب شده‌اید را مرور نموده و در آینده دقت و هوشیاری بیشتری به خرج دهید، تا اسیر دام مهاجمان نشوید.


جمـع‌بندی

در كنار اشتباهات و حوادث، برخی ويژگي‌های ذاتي در گرايش‌هاي طبيعي انسان همچون حس تمايل به ياري و اطمينان به همنوع وجود دارد که مهاجمان مي‌توانند به کمک آنها در برخي موارد موفقيت‌هاي غافلگيركننده‌اي در مغلوب ساختن سيستم‌هاي امنيتي داشته باشند.
اين قابليت كه افراد بتوانند با استفاده از حيله‌هاي ساده و معمولي به مكان‌ها و اطلاعات حساس دسترسي پيدا كنند، به‌قدری عموميت يافته است كه موجب پيدايش يك اصطلاح به‌نام مهندسي اجتماعي گرديده است.


بنابراین کاربران رایانه‌ها و تمامی اشخاصي كه حفاظت و حراست از مكان‌هاي حساس را برعهده دارند، باید علاوه بر آموزش‌هاي مرسوم عملياتي و آشنایی با پروتكل‌هاي امنيتي، بياموزند كه چگونه در برابر تكنيك‌هاي خلاقانه مهندسي اجتماعي مقاومت نموده و در تله آن گرفتار نشوند.


مدیران نیز باید نسبت به توسعه یک ساختار مدیریت امن اقدام نموده و ضمن ارزیابی این‌گونه حملات‌ و مدیریت خطرپذیری آنها، نسبت به تدوین و اجرای روش‌های مقابله با مهندسی اجتماعی در سیاست‌های امنیتی خود اقدام نمایند. ذکر این نکته ضروری است که یک دفاع موفق بستگی زیادی به داشتن سیاست‌های کارآمد و آموزش کاربران جهت پیروی از آن دارد.


مهندسی اجتماعی از نظر دفاع شاید سخت‌ترین شکل تهاجم رخنه‌گران باشد. زیرا نمی‌توان تنها با سخت‌افزار و یا نرم‌افزار با آن مقابله نمود.
باوجود داشتن بهترین دیوار آتش، سیستم‌های تشخیص نفوذ و یا آنتی‌ویروس‌ها که فناوری روز آنها را در اختیار قرار می‌دهد، ابزارهای مهندسی اجتماعی همچنان یک تهدید امنیتی گسترده محسوب می‌شوند


صفحات -> 1 - 2


5/5 امتياز (2)
نظرات
نام
نام خانوادگي
نشاني پست الكترونيكي
متن
Site : www.vwideas.com
Email : info@vwideas.com
Phone : 021 - 66901190
TelFax : 021 - 66901190