مهندسی اجتماعی بیشتر هنر بهرهگیری از روانشناسی رفتار افراد است تا مجموعهای از تکنیکهای فنی هک کردن. مجرمان از این هنر برای دسترسی به ساختمانها، سیستمها یا دادهها استفاده میکنند. با تمرین میتوان نشانههای بهکارگیری مهندسی اجتماعی را تشخیص داد. در ادامهی این مطلب متداولترین تکنیکهای مهندسی اجتماعی، شناخته شدهترین حملات مبتنی بر مهندسی اجتماعی و راهکارهای مقابله با این تکنیکها را بیان خواهیم کرد.
ایده مهندسی اجتماعی و بسیاری از تکنیکهای موجود در این زمینه قدمتی برابر با وجود کلاهبرداران و کلاهبرداری دارد، امااصطلاح مهندسی اجتماعی در دهه آخر قرن بیستم میلادی عمومیت یافته که هکر مشهور Kevin Mitnick نقشی اساسی در این موضوع داشته است.
حتی بهکارگیری تمام تجهیزات امنیتی مورد نیاز برای تامین امنیت مراکز داده، فضای ابری و محیط فیزیکی ساختمان شرکت، سرمایهگذاری بر روی فناوریهای دفاعی، استفاده از سیاستها و فرایندهای امنیتی مناسب و بررسی و بهبود مداوم اثرگذاری این سیاستها و فرایندها نیز ممکن است برای جلوگیری از ورود یک مهندس اجتماعی ماهر کافی نباشد.
تکنیکهای مهندسی اجتماعی
مهندسی اجتماعی ثابت کرده که یک راه بسیار موفقیتآمیز ورود به سازمان برای مجرمین است. یک مهندس اجتماعی با دستیابی به گذرواژه یکی از کارکنان میتواند وارد سیستم شده و به جستجوی دادههای حساس بپردازد. مجرمین میتوانند با استفاده از یک کارت یا کد دسترسی، برای ورود فیزیکی به ساختمان، به دادهها دسترسی یافته، داراییها را به سرقت برده یا حتی به افراد آسیب برسانند.
مثلا ممکن است یک مجرم با استفاده از رویدادهای فعلی، اطلاعات عمومی قابل دسترس از طریق شبکههای اجتماعی و لباس یکی از کارکنان شرکت سیسکو (که از یک سایت فروش اجناس مسروقه تهیه کرده است) اقدام به ورود غیرقانونی به یک سازمان نماید. لباس به او کمک میکند تا حراست و دیگر کارکنان سازمان را متقاعد سازد که کارمند شرکت سیسکو بوده و در حال انجام یک بازدید پشتیبانی فنی است. پس از ورود، او میتواند ورود غیرقانونی سایر همدستان خود را نیز ممکن نماید. علاوهبراین، با استفاده از پوشش ایجاد نموده برای خود،به راحتی میتواند USBهایی را که بدافزارهای زیادی بر روی آنها قرار داده شده است، روی سیستمهای سازمان قرار داده و شبکه سازمان را هک نماید. همه این اتفاقات در مقابل کارکنان سازمان و بدون جلب توجه آنها صورت میگیرد!
برای یک حمله مهندسی اجتماعی ابزار خاصی موردنیاز نیست. این حملات به راحتی بر روی تلفن، ایمیل و رسانههای اجتماعی انجام میشوند. نکته مشترک در همه این حملات این است که آنها از طبیعت انسانی به سود خود استفاده کرده و از طمع، ترس، حس کنجکاوی و حتی تمایل افراد برای کمک به دیگران بهره میبرند.
نمونههایی از مهندسی اجتماعی
قبل از اولین حضور در مقابل ساختمان یا اولین تماس تلفنی، مجرمین اغلب هفتهها و ماهها صرف آشنایی با محل میکنند. یافتن لیست تلفن شرکت یا چارت سازمانی و تحقیق درباره کارکنان در شبکههای اجتماعی مانند لینکدین و فیسبوک ممکن است بخشی از مراحل به کار رفته توسط آنها باشد.
- استفاده از تلفن: ممکن است یک مهندس اجتماعی تماس گرفته و تظاهر کند که یکی از همکاران یا یکی از کارکنان یک مرکز بیرونی معتمد (برای مثال یک مامور اجرای قانون یا یک حسابرس) است.
- حضور فیزیکی: “میشه لطفا در را برای من نگه دارید؟ کلید/کارت دسترسی خود را فراموش کردهام.” تاکنون چند بار این جمله را مقابل در ورودی ساختمان خود شنیدهاید؟ با اینکه ممکن است فرد درخواستکننده مشکوک به نظر نرسد، اما این روش یکی از تاکتیکهای بسیار متداولی است که مهندسین اجتماعی از آن استفاده میکنند.
- استفاده از اینترنت: شبکههای اجتماعی موجب تسهیل انجام حملات مهندسی اجتماعی شدهاند. امروزه، مهاجمین میتوانند با مراجعه به سایتهایی چون لینکدین، لیست تمام کارکنان یک شرکت را یافته و از اطلاعات گسترده موجود برای پایهریزی حملات بعدی استفاده کنند.
رویدادهای خبری، تعطیلات مذهبی، فرهنگ عامه و … منابع اطلاعاتی دیگری هستند که مهندسین اجتماعی نهایت استفاده را از آنها میبرند.
همچنین با سفارشیسازی حملات فیشینگ و هدف قرار دادن علایق افراد مثل هنرمندان، بازیگران و آهنگهای موردعلاقه آنها، مهاجمین کاربران را به کلیک بر روی ضمائم حاوی بدافزار ترغیب میکنند.
مشهورترین حملات مهندسی اجتماعی صورت گرفته
اطلاع از تاکتیکهای مهندسی اجتماعی مورد استفاده در گذشته راهی مناسب برای شناخت تاکتیکهایی است که باید به آنها توجه کرد. در این بخش تنها بر روی ۳ تکنیک مهندسی اجتماعی بسیار موفق برای کلاهبرداران تمرکز میکنیم.
- ارائه یک پیشنهاد جذاب: “بهرهبرداری از طمع و زیادهخواهی افراد” پاسخ هر کلاهبرداری به پرسش “سادهترین راه شیادی” است. در این ایده ساده که پایه و اساس “کلاهبرداری نیجریهای ۴۱۹” کلاسیک بوده، فرد کلاهبردار تلاش میکند تا در ازای دریافت درصدی از پول، قربانی را به کمک برای انتقال مقداری پول نامشروع به یک بانک امن در خارج از کشور کلاهبردار تطمیع کند. ایمیلهای شاهزادهی نیجریهای برای دههها مسالهای بوده که همگان از آن مطلع بودهاند اما هنوز هم این تکنیک مهندسی اجتماعی افراد زیادی را به دام میکشد: در سال ۲۰۰۷، مسئول امور مالی یکی از بخشهای ایالت میشیگان آمریکا، با امید به دست آوردن مقدار زیادی پول برای خود، ۱.۲ میلیون دلار از بودجه عمومی شهر را به یک کلاهبردار داد. چشمانداز یک شغل بهتر و جدید، چیزی که ظاهرا درصد زیادی از جامعه به دنبال آن هستند، یک ترفند رایج دیگر در این زمینه است: در یک حادثه امنیتی مفتضحانه در سال ۲۰۱۱، چند نفر از کارکنان پایینرتبه شرکت امنیتی RSA یک فایل بدافزار ضمیمه شده به یک ایمیل فیشینگ با نام ۲۰۱۱ recruitment plan.xls را باز کرده و امنیت شرکت را به مخاطره انداختند.
- وانمود کردن تا زمان به دستیابی به موفقیت: یکی از سادهترین و با کمال تعجب موفقیتآمیزترین تکنیکهای مهندسی اجتماعی این است که به سادگی وانمود کنید که خودتان قربانی خودتان هستید. در یکی از اولین کلاهبرداریهای هکر افسانهای Kevin Mitnick، او با تماس با شرکت آمریکایی Digital Equipment Corporation و ادعای اینکه از توسعهدهندگان اصلی آنها بوده و در ورود مشکل پیدا کرده است، توانستبه سرورهای توسعه سیستم عامل شرکت دست یابد؛ در این کلاهبرداری فورا یک نام کاربری و گذرواژه در اختیار او قرار گرفت. با توجه به وقوع این اتفاق در سال ۱۹۷۹، ممکن است تصور شود که دیگر این شرایط بهبود یافته باشد. اما این تصور اشتباه است: در سال ۲۰۱۶ یک هکر کنترل یکی از ایمیلهای وزارت دادگستری آمریکا را در اختیار گرفته و از آن برای جعل هویت یکی از کارکنان این وزارتخانه استفاده کرد. هکر موردنظر، با بیان اینکه اولین هفته کاری او است و با روال کار آشنا نیست، توانست یکی از اعضای تیم پشتیبانی را فریب داده و یک توکن دسترسی به شبکه داخلی وزارت دادگستری را به دست آورد.
بسیاری از سازمانها موانعی را جهت جلوگیری از این نوع جعل هویت وضع کردهاند، اما اغلب به راحتی میتوان این موانع را دور زد. در سال ۲۰۰۵، یکی از اعضاء هیئت مدیره شرکت Hewlett-Packard اطلاعات شرکت را در اختیار خبرگزاریها قرار میداد. این شرکت برای شناسایی فرد موردنظر، چند کارآگاه خصوصی را به کار گرفت و چهار رقم آخر شماره تامین اجتماعی مظنونین را در اختیار آنها قرار داد. در ادامه، کارآگاهان توانستند ۴ رقم دریافتی را به عنوان اثبات هویت به پشتیبان فنی شرکت مخابراتی AT&T ارائه کرده و جزئیات تماسهای مظنون را به دست آورند.
- به گونهای رفتار کنید که گویا مسئول امور هستید: اغلب افراد تمایل دارند به مسئولین و متصدیان امور یا افرادی که رفتار آنها بیانگر برعهده داشتن مسئولیتی در سازمان است، احترام بگذارند. با توجه به این موضوع، مجرمین از دانش مربوط به فرایندهای داخلی یک شرکت برای قانع کردن افراد به حضور در محلها و دیدن چیزهایی که نباید، یا برقراری ارتباط به عنوان شخصی محترم نزد آنها، بهرهبرداری میکنند. به عنوان مثال، در سال ۲۰۱۵، کارکنان بخش مالی شرکت Ubiquiti Networks چند میلیون دلار از پول شرکت را به حساب کلاهبردارانی منتقل کردند که احتمالا با استفاده از یک آدرس URL مشابه در آدرس ایمیل خود وانمود کرده بودند از مدیران شرکت هستند. در یک رویداد نه چندان فنی، خبرنگارانی که در اواخر قرن بیستم و اوایل قرن فعلی در خبرگزاریهای انگلیسی مشغول به کار بودند با وانمود به اینکه از کارکنان شرکت هستند، به صندوقهای صوتی قربانیان دست مییافتند؛مثلا در یک مورد، یک کارآگاه خصوصی با تماس و ادعای اینکه “از بخش کنترل اعتبار است”، توانست شرکت مخابراتی Vodafone را متقاعد به تغییر رمز عبور صندوق صوتی Sienna Miller-بازیگر زن آمریکایی-انگلیسی- کند.
گاهی اوقات این مراجع خارجی هستند که درخواستهای آنها را بدون بررسی انجام میدهیم. در سال ۲۰۱۶، هکرهای روسی یک ایمیل فیشینگ را به صورت پیامی از طرف گوگل به John Podesta،-مدیر کمپین تبلیغاتی هیلاری کلینتون- ارسال کرده و از او خواستند تا گذرواژه خود را تغییر دهد. با انجام این اقدام، درحالیکه او فکر میکرد حساب کاربری خود را امن کرده است، امنیت حساب خود را به طور کلی از بین برده و اطلاعات موردنیاز برای دسترسی به آن حساب را در اختیار هکرها قرار داد.
مقابله با مهندسی اجتماعی
آموزش آگاهی امنیتی مهمترین راهکار برای مقابله با مهندسی اجتماعی است. کارکنان باید از وجود مهندسی اجتماعی مطلع بوده و با متداولترین تاکتیکهای موجود در این زمینه آشنا باشند. خوشبختانه، آگاهی از مهندسی اجتماعی به نوعی شنیدن قصه و داستان است و داستانها بسیار جالبتر و قابلفهمتر از توضیحات مربوط به نقصهای فنی هستند. آزمونها و پوسترهای جذاب و طنزگونه نیز میتوانند با یادآوری تذکراتی مفید درباره اینکه “افراد آنگونه که ادعا میکنند، نیستند”، در این راستا مورد استفاده قرار گیرند.
توجه شود که تنها این کارکنان رده متوسط نیستند که نیازمند آگاهی نسبت به مهندسی اجتماعی هستند، بلکه مدیران ارشد اهداف اصلی تکنیکهای مهندسی اجتماعی هستند.
۵ نکته برای دفاع در مقابل مهندسی اجتماعی
Dan Lohrmann، پژوهشگر، نویسنده و از مدیران مطرح در حوزه امنیت سایبری توصیههای زیر را برای مقابله با مهندسی اجتماعی ارائه کرده است:
- مهمترین راهکار در زمان صحبت از آگاهی امنیتی، آموزش است. باید اطمینان حاصل کرد که یک برنامه جامع آموزشی آگاهی از امنیت وجود دارد که به طور مرتب هم به تهدیدهای فیشینگ عمومی و هم به تهدیدهای سایبری جدید میپردازد. علاوهبراین، باید توجه شود که این مساله تنها درباره کلیک بر روی لینکها نیست.
- یک دستورالعمل دقیق در مورد روند کاری جدیدترین تکنیکهای جعل در اختیار کارکنان کلیدی قرار دهید. مدیران ارشد شرکت و کسانی که مجوز انتقال پول یا دیگر تبادلات مالی را دارند، از کارکنان کلیدی شرکت هستند. لازم به یادآوری است که در بسیاری از تقلبهای واقعی رخ داده در ارتباط با کارکنان رده پایین، یکی از مدیران اجرایی شرکت از آنها میخواهد تا با دور زدن رویهها و کنترلهای معمول، اقدامی فوری –را انجام دهند.
- فرایندها، رویهها و تفکیک وظایف مربوط به تراکنشهای مالی و سایر معاملات مهم را بازبینی کنید. در صورت لزوم، باید کنترلهای بیشتری را در نظر گرفت. در برخی مواقع ممکن است تهدیدات داخلی تفکیک وظایف و سایر محافظتها را با مخاطره مواجه نماید؛ بنابراین، شاید لازم باشد تا با توجه به تهدیدهای افزایش یافته، گزارشهای بررسی خطر مجددا تجزیه و تحلیل شود.
- خط مشیهای جدیدی را برای تراکنشهای مالی غیرمعقول یا درخواستهای فوری مدیران اجرایی در نظر بگیرید. دریافت ایمیل از طرف جیمیل یک مدیر ارشد اجرایی باید به طور خودکار باعث حساس شدن کارکنان شود. باید آنها را از جدیدترین تکنیکهای استفاده شده توسط مهندسین اجتماعی آگاه کرد. همچنین، لازم است یک سری رویههای اضطراری در این راستا مصوب شود که برای همگان قابل فهم باشد.
- سیستمهای مدیریت وقایع و گزارشدهی فیشینگ خود را بازبینی، تصحیح و آزمایش کنید. به طور مرتب یک تمرین را با مدیریت و کارکنان کلیدی انجام داده، کنترلهای موجود را بررسی کرده و به مهندسی معکوس مناطق دارای پتانسیل آسیبپذیری بپردازید.
مجموعه ابزارهای مهندسی اجتماعی
برخی از ارائهدهندگان خدمات امنیتی برای اجرای تمرینات مهندسی اجتماعی و یا ایجاد آگاهی کارکنان مجموعهای از ابزارها و خدمات را از طریق ابزارهایی مانند پوسترها و نشریات ارائه میکنند.
یکی از این مجموعه ابزارهای ارزشمند که دانلود آن هم رابگان است، از طریق لینک https://github.com/trustedsec/social-engineer-toolkit قابل دسترس است. این مجموعه ابزار به خودکارسازی تستهای نفوذ از طریق مهندسی اجتماعی شامل حملات فیشینگ هدفمند، ایجاد وبسایتهایی ظاهرا قانونی، حملات مبتنی بر USB و … کمک میکند.
دیگر منبع مناسب در این زمینه https://www.social-engineer.org/framework/general-discussion/ است.
در حال حاضر، بهترین دفاع در برابر حملات مهندسی اجتماعی آموزش کاربران و بهکارگیری لایههایی از فناوریهای دفاعی برای تشخیص و پاسخگویی بهتر به حملات است. تشخیص کلمات کلیدی در ایمیلها یا تماسهای تلفنی از جمله تاکتیکهای مقابله باحملات احتمالی است، اما احتمال موثر واقع شدن این رویکردها در برابر مهندسین اجتماعی ماهر کم است.