گفتیم که مهندسی اجتماعی یعنی بازی با افکار یک فرد (شستشوی مغزی) برای ارایه اطلاعات به مهندس اجتماعی یا هکر. این روش نسبت به بسیاری دیگری از روشهای هک قدرتمندتر است، از این جهت که میتوان با استفاده از آن حتی به ایمنترین سیستمها رخنه کرد، زیرا خود کاربران آسیبپذیرترین بخش سیستم هستند در بخش اول مطلب مهندسی اجتماعی یا Social Engineering و انواع حملات آن به معرفی ساختار مهندسی اجتماعی پرداخته و دو مورد از طبقهبندی حملات مهندسی اجتماعی را بیان کردیم. دراین قسمت به بررسی آخرین طبقه از حملات مهندسی اجتماعی یعنی انواع آن میپردازیم.
طبقهبندی حملات مهندسی اجتماعی: انواع
حملات مهندسی اجتماعی جنبههای مختلفی دارند که شامل جنبههای فیزیکی، اجتماعی و فنی میشوند و در مراحل مختلف حمله از آنها استفاده میشود. در این بخش روشهای مختلف مورد استفاده مهاجمین را توضیح میدهیم:
- روشهای فیزیکی: همانطور که از نام این روشها پیداست در این روشها مهاجم به نوعی یک اقدام فیزیکی را انجام میدهد تا اطلاعاتی را درباره قربانی جمعآوری کند. این اطلاعات میتواند شامل اطلاعات شخصی (مثل شماره تامین اجتماعی و تاریخ تولد) یا اطلاعات لاگین و ورود به یک سیستم کامپیوتری باشد. یکی از روشهای پر کاربرد، شیرجه در زباله یعنی جستجوی زبالههای یک سازمان (کاغذهای پاره شده) است. چنین حملهای میتواند یک منبع اطلاعاتی ارزشمند برای مهاجمین باشد و از این طریق به اطلاعات شخصی مربوط به کارمندان، دفترچههای راهنما، یادداشتها و حتی نسخههای چاپی اطلاعات حساس مثل اطلاعات لاگین کاربران، دست پیدا کنند. اگر مهاجمی بتواند به دفاتر سازمان مورد هدف دسترسی پیدا کند، ممکن است اطلاعاتی مثل پسوردها را به صورت نوشته شده روی برگههای یادداشت پیدا کند. حملات فیزیکی با پیچیدگی کمتر شامل سرقت اطلاعات یا اخاذی برای دستیابی به اطلاعات هستند.
- روشهای اجتماعی: مهمترین جنبه حملات مهندسی اجتماعی موفق، جنبه اجتماعی آنهاست. از این مرحله به بعد، مهاجم بر تکنیکهای روانشناسی مثل اصول متقاعدکردن برای شستشوی مغزی قربانی متکی است. یک نمونه از روشهای متقاعد کردن استفاده از قدرت (ادعایی) است. یکی از روشها، کنجکاوی است که از آن در حملات فیشینگ هدفمند و طعمه گذاشتن (baiting) استفاده میشود. برای افزایش احتمال موفقیت چنین حملاتی، مجرمان اغلب سعی میکنند یک رابطه با قربانیان آیندهشان برقرار کنند. جدیدترین نوع حملات مهندسی اجتماعی، حملاتی هستند که از طریق تلفن اجرا میشوند. جاگذاری فلش در سازمان برای توسعه بدافزار روش دوم این افراد است.
- مهندسی اجتماعی معکوس: در این روش به جای برقراری تماس مستقیم با قربانی، مهاجم سعی میکند قربانی را به این باور برساند که وی یک شخص یا موجودیت قابل اطمینان است. هدف این است که قربانی سعی کند به مهاجم نزدیک شود، مثلاً از او تقاضای کمک کند. به این روش غیرمستقیم، مهندسی اجتماعی معکوس هم گفته میشود که از سه مرحله تشکیل شده است: خرابکاری عمدی، تبلیغ و کمک رسانی. اولین مرحله در این حمله، خرابکاری در سیستم کامپیوتری سازمان است. این خرابکاریها بسیار متنوع هستند و از موارد سادهای مثل قطع کردن ارتباط فرد با شبکه سازمان تا موارد پیچیدهای مثل دستکاری اپلیکیشنهای قربانی هستند. سپس مهاجمین تبلیغاتی میکنند مبنی بر این که قادر به حل مشکل هستند. وقتی قربانی از آنها تقاضای کمک میکند، مهندس اجتماعی مشکلی را که قبلاً خودش ایجاد کرده رفع میکند و همزمان پسورد قربانی را از او درخواست میکند (تا بتواند مشکل را حل کند) یا به وی میگوید نرمافزار خاصی را نصب کند.
- روشهای فنی: روشهای فنی عمدتاً از طریق اینترنت انجام میشوند. با توجه به این که کاربران در بسیاری موارد از رمز عبور یکسان (و ضعیف) برای حسابهای کاربری مختلف استفاده میکنند، اینترنت برای مهندسین اجتماعی ابزاری جذاب جهت دستیابی به گذرواژهها است. اکثر افراد توجه ندارند که آزادانه اطلاعات شخصی بسیاری را در اختیار مهاجمین (یا هر کسی که آن را جستجو میکند) قرار میدهند. مهاجمین در اغلب اوقات از موتورهای جستجو برای جمعآوری اطلاعات شخصی درباره قربانیان آیندهشان استفاده میکنند. همچنین، ابزارهایی وجود دارند که قادر به جمعآوری و تجمیع اطلاعات از منابع اینترنتی مختلف هستند.
- روشهای فنی- اجتماعی: در حملات اجتماعی موفق اغلب موارد ترکیبی از روشهای مختلفی که در بالا مورد بررسی قرار گرفتند، استفاده میشوند. اما روشهای فنی– اجتماعی منجر به ایجاد قویترین سلاحها برای مهندسین اجتماعی شدهاند. یک نمونه از این روشها، به نام حمله طعمهگذاری شناخته میشود که در آن مهاجمین یک رسانه ذخیره اطلاعات آلوده به بدافزار را در محلی قرار میدهند که احتمال پیدا کردن آن توسط قربانی وجود دارد. ممکن است یک درایو USB آلوده به تروجان باشند. بهعلاوه، مهاجمین سعی میکنند با استفاده از برچسبهای وسوسه انگیزی مثل “محرمانه” یا “کارمندان اخراجی ۱۳۹۸” از حس کنجکاوی افراد استفاده کنند. فیشینگ یکی دیگر از ترکیبات متداول روشهای اجتماعی و فنی است. معمولاً فیشینگ از طریق ایمیل و یا پیامرسانهای فوری انجام میشود و مثل اسپم گروه بزرگتری از کاربران را مورد هدف قرار میدهد. اما در مقابل، مهندسی اجتماعی معمولاً افراد خاص یا گروههای کوچکتری از افراد را مورد هدف قرار میدهد. تبهکاران امیدوارند که با ارسال پیام به تعداد زیادی از کاربران بتوانند عده زیادی را فریب دهند تا حمله آنها سودآور باشد. حملات فیشینگ هدفمند، متشکل از پیامهای بهشدت هدفمندی هستند که پس از یک داده کاوی اولیه انجام میشوند. در برخی از موارد از وبسایتهای شبکههای اجتماعی برای استخراج اطلاعات درباره افراد استفاده کرده و سپس پیامی به آنها ارسال کردند که به نظر میرسید توسط یکی از دوستان ارسال شده است. بنابراین، فیشینگ هدفمند ترکیبی از روشهای تکنولوژیکی و مهندسی اجتماعی محسوب میشود.
در قسمت سوم این مطلب به بیان مثالهایی از حملات مهندسی اجتماعی خواهیم پرداخت.