مهندسی اجتماعی چیست؟ یکی از موضوعاتی که در بسیاری از مقاله های دیگر وب سایت ایران سوشیال؛ مجله امنیت شبکه های مجازی به آن اشاره شده است، مهندسی اجتماعی است که معمولا به صورت مختصر و کوتاه درباره آن توضیحاتی ارائه شده. مهندسی اجتماعی یا Social Engineering یکی از رشته های پر اهمیت در علوم اجتماعی است که در جهت تحت تاثیر قرار دادن نگرش ها و رفتار های اجتماعی است که در مقیاس بسیار بزرگ توسط دولت ها، رسانه ها یا گروه های خصوصی انجام می شود.

اما مهندسی اجتماعی جدا از اینکه یکی از رشته های علوم انسانی و سیاسی است، یک روش خیلی خطرناک در دنیای امنیت نیز می باشد که همه افراد باید با آن آشنا باشند و آن را به خوبی بشناسند. مهندسی اجتماعی یا هنر فریب در دنیای امنیت به این شکل است که هکر از طریق برقراری ارتباط به شما، به شما نزدیک می شود و به این روش، اطلاعاتی که بخواهد را از شما بدست می آورد یا شما را مجاب به انجام دادن برخی از کار ها می کند تا شما را  هک کند.

در ادامه این مقاله در مجله امنیت شبکه های اجتماعی، قصد داریم تا به طور کامل با مهندسی اجتماعی، سطح های مختلف مقابله با آن و استراتژی های مختلف دفاع در برابر مهندسین اجتماعی صحبت کنیم و این موضوع را بررسی کنیم.

 

مهندسی اجتماعی چیست؟

عبارت مهندسی اجتماعی، یکی از عبارات مهم در جهان است که برای اولین بار در سال 1894 مورد استفاده قرار گرفت و اسم آن به گوش خورد. مهندسی اجتماعی برای مدت بسیار طولانی، فقط در رشته های اجتماعی وجود داشت. در ابتدا نیز جنبه مثبتی داشت. افراد توسط این دانش، در جامعه مداخله های مثبت داشتند و تلاش می کردند به واسطه آن، افراد را مجاب کنند تا کار های بهتر را انجام دهند. یکی دیگر از کاربرد های مهندسی اجتماعی در علوم اجتماعی نیز این بود که می توانستند به واسطه آن، آمار دقیق تر و درست تری را در بیاورند و از نظر آماری نیز بسیاری از نمودار ها وضعیت بهتری داشتند.

بعد از گذشت مدت زیادی، مهندسی اجتماعی کم کم  وارد حوزه های مختلف دیگری نیز شد که یکی از مهم ترین این حوزه ها، حوزه امنیت است. هکر ها توانستند با دسترسی فنون مختلف Social Engineering به روش های مختلفی برای هک کردن سیستم های مختلف یا نفوذ دست یافتند و به این شکل بود که خطرناک ترین روش هک ابداع شد که در بعضی از مکان ها آن را هنر فریب می شناسند.

هنر فریب به این شکل انجام می شود که شخص هکر به طور کامل هدف خود شناسایی می کند و اطلاعات مورد نیاز خود را حمع می کند و سپس به وسیله برخی از روش ها اعتماد اشخاص را جلب می کند و سپس حمله خود را انجام می دهد. اگر این پروسه به طور کامل و خوب انجام شود، می تواند به راحتی اشخاص را فریب دهد و دسترسی های لازم را به هکر برساند.

هنر فریب؛ روش خطرناک هک

هنر فریب؛ روش خطرناک هک

چرخه حملات مهندسی اجتماعی

مهندسی اجتماعی و حمله آن در 4 مرحله انجام می شود و این مرحله ها به صورت چرخشی تکرار می شوند و در پروژه های دیگر استفاده می شوند. در ادامه قصد داریم تا کمی بیشتر با این مراحل آشنا شویم.

  1. جمع آوری اطلاعات (Information Gathering)

همانطور که احتمالا از بخش قبل متوجه شدید، جمع آوری اطلاعات، یکی از مهم ترین مراحل مهندسی اجتماعی است که احتمال موفقیت در نقشه، نسبت مستقیمی با این فاز از چرخه دارد. هکر باید در ابتدا تمام اطلاعات لازم را جمع کند تا بتواند مسیر حرکت و نقشه خود را به خوبی طراحی کند. هکر نیاز دارد تا از همه اطلاعاتی که به دست می آورد استفاده کند تا بتواند خود را از طریق مهندسی اجتماعی به شخص نزدیک کند.

  1. برقراری ارتباط (Developing Relationship)

اما بخش مهم مهندسی که باید تا حدی بی نقص انجام شود، برقراری ارتباط است. همانطور که گفته شد مهندسی اجتماعی روشی است که از طریق برقراری ارتباط و ایجاد اعتماد در شخص انجام می شود و هکر باید این مرحله را به قدری خوب انجام دهد که حداقل نصف راه را جلو برود. اگر شنیده باشید، می گویند که در یک رابطه 60 درصد از تاثیر اولیه را شما در 10 ثانیه اول می گذارید. پس این مرحله برای هکر ها اهمیت بسیار زیادی دارد.

  1. بهره برداری (Exploitation)

اتفاقی که در مرحله بهره برداری می افتد این است که مهاجم توسط اطلاعاتی که کسب کرده و روابطی که برقرار کرده، مسیر خود را برای اجرای برنامه اش آماده می کند و نتیجه گیری می کند که از کدام روش و مسیر قصد حمله به هدف را دارد.

  1. اجرای حمله (Execution)

مرحله حمله نیز مرحله آخر می باشد. هکر در این بخش، همه اطلاعات را به دست آورده، ارتباط ها لازمه را برقرار کرده و مسیر جمله خود را نیز بررسی و آماده کرده است و در این مرحله تمام نقشه های خود را عملی می کند.

یک مثال ساده

تصور کنید قصد دارید توسط مهندسی اجتماعی، اکانت توییتر یا اینستاگرام شخصی را هک کنید. در ابتدا شما باید اطلاعات جمع کنید که شخص مورد نظر از چه طریقی وارد اکانت اینستاگرام خود می شود. برای مثال با فرد حساسی سر و کار دارید که هر بار برای ورود به اکانت خود از طریق مرورگر وارد می شود و پس از اتمام کار خود نیز از اکانت Log Out می کند. در این مرحله شما مسیر حرکت خود را تا حدی به دست می آورید.

در مرحله دوم شما با شخص وارد رابطه می شوید و تلاش می کنید از طریق رابطه متوجه شوید که تا چه مقدار به اکانت خود حساس است یا رمز اکانتش تا چه مقدار پیچیده است و آیا می شود با روش های ساده آن را هک کرد یا باید به روش دیگری تکیه کرد. مثلا متوجه می شوید.

مرحله سوم به این شکل است که شما متوجه شده اید که نیاز دارید یک صفحه ورود فیک درست کنید و به طوری شخص را فریب بدهید تا از این صفحه ورود تقلبی شما اطلاعات خود را وارد کند تا بتوانید اطلاعات وی را به دست بیاورید و مرحله چهارم هم به این شکل است که شما باید این صفحه را طراحی کنید و با روش خاصی شخص را مجاب کنید که اطلاعات خود را در این صفحه وارد کند.

6 مورد متداول در تکنیک های مهندسی اجتماعی نیز عبارتند از:

  1. استفاده از متن یا سناریوی آماده
  2. طعمه گذاشتن
  3. حرکت کردن پشت سر افراد مجاز برای ورود به ساختمان
  4. بازی کردن نقش دیگران
  5. جبران یک لطف
  6. القای ترس

6 مورد بالا برخی از روش های مختلف مهندسی اجتماعی برای ورود به مکان خاص است که می توان از روش های مختلف استفاده کرد.

ماجرای هک شدن توییتر

ماجرای هک شدن توییتر

ماجرای هک شدن توییتر با مهندسی اجتماعی

هک شدن توییتر سلبریتی ها؛ یکی از داغ ترین و جنجالی ترین جریان هایی بود که در سال 2019 اتفاق افتاد و سر و صدای زیادی کرد. جریان کامل این ماجرا را می توانید در مثاله «هک توییتر افراد مشهور» بخوانید. اما به طور خلاصه جریان از این قرار بود که در اکانت توییتر ایلان ماسک توییتی منتشر شد که اگر برای من هر مقدار بیت کوینی ارسال کنید، من دو برابر به شما بر میگردانم. این توییت پس از 30 دقیقه برداشته شد و در صفحه یکی سلبریتی دیگر به اشتراک گذاشته شد.

باراک اوباما، جو بایدن، بیل گیتس و حتی توییتر شرکت اپل از اکانت هایی بودند که این اتفاق برایشان افتاد و افراد ساده لوح نیز بیت کوین به آدرسی که در توییت ها گفته شد فرستادند. اینطور بود که 3 هکر جوان 17 تا 21 ساله، توانستند از طریق هک کردن سرور توییتر، 120 هزار دلار بیت کوین به جیب بزنند که البته بعد از مدت کوتاهی دستگیر شدند و نتوانستند از آن استفاده کنند اما تکلیف بیت کوین های دزدیده شده هنوز هم معلوم نیست. اما سوالی که شاید ذهنتان را درگیر کرده این است که چطور 3 جوان توییتر را هک کردند؟

جواب این سوال فقط و فقط یک عبارت است. مهندسی اجتماعی. این سه جوان توانستند با یک برنامه ریزی دقیق و یک نقشه بی نقص با یکی از کارکنان توییتر دوست شده و پس از مدت طولانی رفاقت، یک بار از طریق آن شخص وارد شرکت توییتر شوند. آنها توانستند با یک مهندسی اجتماعی درجه یک به سرور توییتر نفوذ کنند و توییتر و اکانت های سلبریتی های داخل آن را هک کرده و به راحتی 120 هزار بیت کوین به جیب زدند. به خاطر این است که مهندسی اجتماعی را خطرناک ترین روش هک است.

 

دفاع در برابر مهندسی اجتماعی

درباره مراحل مختلف مهندسی اجتماعی صحبت کردیم. اما یک نکته بسیار مهم این است که چطور در مقابل مهندسی اجتماعی ایستادگی کنیم و توسط این روش هک نشویم. تا اینجای کار احتمال می دهم که حسابی از مهندسی اجتماعی ترسیده باشید و دیگر به هیچ کسی اعتماد نداشته باشید. در واقع اعتماد نکردن همیشه اولین راه مقابله با مهندسی اجتماعی به نظر می رسد اما نکته بسیار مهم این است که این روش مناسب نیست. شما با اعتماد نکردن در حال پاک کردن صورت مسئله هستید.

راه حل اصلی مقابله در مقابل مهندسی اجتماعی این است که شما باید مراقب روابط خود باشید و هر چیزی را به اشخاص مختلف نگویید. شما باید اطلاعات مهم را بشناسید و با کار هایی نباید انجامشان بدهید نیز آشنا باشید تا در روابط مختلف خود این کار ها را انجام ندهید و این اطلاعات را به کسی ندهید. برای مثال پسورد شبکه های مجازی شما، موردی است که حتی به نزدیک ترین دوستان خود نیز نباید بگویید. در ادامه با سطوح مختلف دفاع در برابر مهندسی اجتماعی آشنا می شویم.

دفاع در برابر Social Engineering

دفاع در برابر Social Engineering

سطوح مختلف دفاع در برابر مهندسی اجتماعی

کلید دفاع در برابر حملات مهندسی اجتماعی، در این است که بتوانیم در مرحله اول آسیب پذیری های مختلف در سیستم خود را بشناسیم و در مرحله دوم، با تمامی تهدید های ممکن آشنا باشیم تا بتوانیم جلوی آن را بگیریم. مثل آن که روش های هک توییتر را بلد باشیم تا بتوانیم امنیت اکانت خود را در آن بالا ببریم.

 

اول: سطح پایه ای؛ سیاست های امنیتی در برابر مهندسی اجتماعی

سنگر همیشه یکی از مهم ترین عوامل در دفاع است که باید برای یک دفاع خوب در برابر تهدید های مختلف، این است که سنگر دفاعی خود را با استاندارد های بالا بچینیم و سطوح امنیتی را به صورت دوره ای بهتر کنیم و همواره در تلاش برای بهبود آن باشیم. برای مثال اگر قصد دارید که اطلاعات شرکت شما لو نرود؛ باید برای مثال انتقال اطلاعات با فلش درایو ها را قدغن  کنید تا به وسیله فلش ها ویروس وارد سیستم نشود و اطلاعات شما امن بماند.

 

دوم: سطح پارامتر؛ آموزش آگاهی امنیتی برای همه

بخش دوم نیز یکی از بخش هایی است که در افزایش امنیت یک سازمان در برابر حملات مهندسی اجتماعی، این است که همه اشخاص را با این مفهوم و خطرات آن آشنا کنید تا همه با این خطر آشنا باشند و از قوانین مختلف پیروی کنند. برای مثال به کارمندان خود توضیح دهید که چرا استفاده از فلش در سازمان ممنوع می باشد. (با توجه به مثال بخش قبل)

 

سوم: سطح سنگر گیری؛ اقدامات امنیتی

بعد از اینکه تمامی کارکنان شما از قوانین امنیتی، مطلع شدند شما باید برای اقدامات امنیت مختلف آماده شوید تا بتوانید کم کم و به ندرت امنیت سیستم خود را بالا تر ببرید. این کار توسط سه روش مختلف انجام می شود.

  • واکسیناسیون: این روش منطبق بر ایده واکسیناسیون است. در واکسنی که به بدن می زنیم، ویروس های ضعیف شده وجود دارند تا بدن ما در برابر آن ویروس قوی تر شود. در واکسیناسیون یک شرکت، شما باید یک هکر استخدام کنید تا حفره های امنیتی را به شما معرفی کند تا بتوانید این مشکلات را برطرف کنید.
  • پیش آگاهی: پیش آگاهی و اینکه برای تمام تهدید های ممکن آماده باشید و در هنگام رخ دادن یک حادثه توسط یک پیام یا هشدار متوجه آن شوید، نیز یکی از بخش های مهم این سطح است. مثل نصب کردن یک زنگ هشدار برای یک مغازه

 

چهارم: سطح تثبیت و یادآوری

دفاع چند لایه نیاز به یادآوری های متمادی از اهمیت آگاهی دارد. تلنگر های کوچک و مداوم در دوره های زمانی کوتاه می تواند به شما کمک کند تا بتوانید دفاع خود در برابر مهندسی اجتماعی را چند لایه کنید و امنیت سیستم خود در برابر آن را بالا ببرید. برای مثال اخبار هک شدن سیستم های مختلف در جهان را بررسی کنید و همه آنها را بخوانید که مثل یک تلنگر برای شما باشد.

 

پنجم: سطح غیررسمی؛ مین های زمینی مهندسی اجتماعی

در سطح پنجم دفاع در برابر مهندسی اجتماعی، شما باید تله های مختلف مهندس اجتماعی که به آنها SELM گفته می شود را به طور کامل بشناسید و برای دفاع در برابر آنها آماده باشید.

 

ششم: سطح تهاجمی؛ پاسخ دهی به رویداد

همانطور که می دانید هیچ سیستمی در جهان، غیرقابل هک نیست و شما باید در هر حالتی و با هر سیستم امنیتی، این احتمال را بدهید که ممکن است ک شوید و برای پس از هک شدن و فعالیت هایی که باید در آن موقع انجام دهید، آماده باشید. شما باید استراتژی های خود را آماده داشته باشید تا بتوانید در صورت هک شدن، برخورد مناسب را داشته باشید.

 

استراتژی های دفاع

تا این قسمت تلاش داشتیم تا مراحل مختلف دفاع در برابر مهندسی اجتماعی را برای شما شرح دهیم. در این مرحله قصد داریم تا شما را با برخی از شناخته شده ترین روش ها و استراتژی های مهندسی اجتماعی آشنا کنیم.

  • تنظیم سیاست های امنیتی مختلف
  • مدیریت آگاهانه
  • امنیت فیزیکی
  • آموزش و آگاهی
  • معماری صحیح زیرساخت ها
  • ایجاد محدودیت برای پراکندگی داده ها

 

در این مقاله در ایران سوشیال؛ مجله الکترونیک امنیت فضای مجازی، تلاش داشتیم تا شما را با مهندسی اجتماعی، مراحل مختلف انجام دادن آن و سطوح مختلف دفاع در برابر آن را برای شما توضیح دهیم.

 

«اطلاعیه ی مهم»
با درود و احترام بدینوسیله به اطلاع می رساند: فعالیت تیم کارشناسان و متخصصین، صرفاً در جهت آموزش و اطلاع رسانی در خصوص اقدامات پیشگیرانه به منظور افزایش سطح آگاهی و امنیت کاربران شبکه های اجتماعی و جلوگیری از دستیابی غیر مجاز به داده های شما در سیستم های رایانه ای ( هک شدن ) می باشد و این مجموعه هیچ گونه خدماتی در راستای درخواست هک، مسوولیت و پیامدهای ناشی از آن را تحت هیچ عنوان و به هیچ شرطی نمی پذیرد. امیدواریم مطالعه ی مستمر موضوعات آموزشی ما و دنبال کردن آنها ضمن سودمند بودن، راهی مطمئن و قابل اعتماد برای ارتقای امنیت و افزایش درصد ضریب جلوگیری و نفوذ به حوزه های شخصی و خصوصی شما باشد.
آسودگی خاطر شما در استفاده از رسانه های اجتماعی و کمک به محافظت از داده هایی که در فضای مجازی به اشتراک می گذارید هدف و آرمان ماست.
با تجدید احترام