مهندسی اجتماعی: سوء استفاده مجرمان از رفتار افراد

مهندسی اجتماعی بیشتر هنر بهره‌گیری از روانشناسی رفتار افراد است تا مجموعه‌ای از تکنیک‌های فنی هک کردن. مجرمان از این هنر برای دسترسی به ساختمان‌ها، سیستم‌ها یا داده‌ها استفاده می‌کنند. با تمرین می‌توان نشانه‌های به‌کارگیری مهندسی اجتماعی را تشخیص داد. در ادامه‌‌ی این مطلب متداول‌ترین تکنیک‌های مهندسی اجتماعی، شناخته شده‌ترین حملات مبتنی بر مهندسی اجتماعی و راهکارهای مقابله با این تکنیک‌ها را بیان خواهیم کرد.

ایده مهندسی اجتماعی و بسیاری از تکنیک‌های موجود در این زمینه قدمتی برابر با وجود کلاهبرداران و کلاهبرداری دارد، امااصطلاح مهندسی اجتماعی در دهه آخر قرن بیستم میلادی عمومیت یافته که هکر مشهور Kevin Mitnick نقشی اساسی در این موضوع داشته است.

حتی به‌کارگیری تمام تجهیزات امنیتی مورد نیاز برای تامین امنیت مراکز داده، فضای ابری و محیط فیزیکی ساختمان شرکت، سرمایه‌گذاری بر روی فناوری‌های دفاعی، استفاده از سیاست‌ها و فرایندهای امنیتی مناسب و بررسی و بهبود مداوم اثرگذاری این سیاست‌ها و فرایندها نیز ممکن است برای جلوگیری از ورود یک مهندس اجتماعی ماهر کافی نباشد.

تکنیک‌های مهندسی اجتماعی

مهندسی اجتماعی ثابت کرده که یک راه بسیار موفقیت‌آمیز ورود به سازمان برای مجرمین است. یک مهندس اجتماعی با دستیابی به گذرواژه یکی از کارکنان می‌تواند وارد سیستم شده و به جستجوی داده‌های حساس بپردازد. مجرمین می‌توانند با استفاده از یک کارت یا کد دسترسی، برای ورود فیزیکی به ساختمان، به داده‌ها دسترسی یافته، دارایی‌ها را به سرقت برده یا حتی به افراد آسیب برسانند.

مثلا ممکن است یک مجرم با استفاده از رویدادهای فعلی، اطلاعات عمومی قابل دسترس از طریق شبکه‌های اجتماعی و لباس یکی از کارکنان شرکت سیسکو (که از یک سایت فروش اجناس مسروقه تهیه کرده است) اقدام به ورود غیرقانونی به یک سازمان نماید. لباس به او کمک می‌کند تا حراست و دیگر کارکنان سازمان را متقاعد سازد که کارمند شرکت سیسکو بوده و در حال انجام یک بازدید پشتیبانی فنی است. پس از ورود، او می‌تواند ورود غیرقانونی سایر هم‌دستان خود را نیز ممکن نماید. علاوه‌براین، با استفاده از پوشش ایجاد نموده برای خود،به راحتی می‌تواند USBهایی را که بدافزارهای زیادی بر روی آن‌ها قرار داده شده است، روی سیستم‌های سازمان قرار داده و شبکه سازمان را هک نماید. همه این اتفاقات در مقابل کارکنان سازمان و بدون جلب توجه آن‌ها صورت می‌گیرد!

برای یک حمله مهندسی اجتماعی ابزار خاصی موردنیاز نیست. این حملات به راحتی بر روی تلفن، ایمیل و رسانه‌های اجتماعی انجام می‌شوند. نکته مشترک در همه این حملات این است که آن‌ها از طبیعت انسانی به سود خود استفاده کرده و از طمع، ترس، حس کنجکاوی و حتی تمایل افراد برای کمک به دیگران بهره می‌برند.

نمونه‌هایی از مهندسی اجتماعی

قبل از اولین حضور در مقابل ساختمان یا اولین تماس تلفنی، مجرمین اغلب هفته‌ها و ماه‌ها صرف آشنایی با محل می‌کنند. یافتن لیست تلفن شرکت یا چارت سازمانی و تحقیق درباره کارکنان در شبکه‌های اجتماعی مانند لینکدین و فیسبوک ممکن است بخشی از مراحل به کار رفته توسط آن‌ها باشد.

• استفاده از تلفن: ممکن است یک مهندس اجتماعی تماس گرفته و تظاهر کند که یکی از همکاران یا یکی از کارکنان یک مرکز بیرونی معتمد (برای مثال یک مامور اجرای قانون یا یک حسابرس) است.
• حضور فیزیکی: “میشه لطفا در را برای من نگه دارید؟ کلید/کارت دسترسی خود را فراموش کرده‌ام.” تاکنون چند بار این جمله را مقابل در ورودی ساختمان خود شنیده‌اید؟ با اینکه ممکن است فرد درخواست‌کننده مشکوک به نظر نرسد، اما این روش یکی از تاکتیک‌های بسیار متداولی است که مهندسین اجتماعی از آن استفاده می‌کنند.
• استفاده از اینترنت: شبکه‌های اجتماعی موجب تسهیل انجام حملات مهندسی اجتماعی شده‌اند. امروزه، مهاجمین می‌توانند با مراجعه به سایت‌هایی چون لینکدین، لیست تمام کارکنان یک شرکت را یافته و از اطلاعات گسترده موجود برای پایه‌ریزی حملات بعدی استفاده کنند.

رویدادهای خبری، تعطیلات مذهبی، فرهنگ عامه و … منابع اطلاعاتی دیگری هستند که مهندسین اجتماعی نهایت استفاده را از آن‌ها می‌برند.

همچنین با سفارشی‌سازی حملات فیشینگ و هدف قرار دادن علایق افراد مثل  هنرمندان، بازیگران و آهنگ‌های موردعلاقه آن‌ها، مهاجمین کاربران را به کلیک بر روی ضمائم حاوی بدافزار ترغیب می‌کنند.

مشهورترین حملات مهندسی اجتماعی صورت گرفته

اطلاع از تاکتیک‌های مهندسی اجتماعی مورد استفاده در گذشته راهی مناسب برای شناخت تاکتیک‌هایی است که باید به آن‌ها توجه کرد. در این بخش تنها بر روی ۳ تکنیک مهندسی اجتماعی بسیار موفق برای کلاهبرداران تمرکز می‌کنیم.

• ارائه یک پیشنهاد جذاب: “بهره‌برداری از طمع و زیاده‌خواهی افراد” پاسخ هر کلاهبرداری به پرسش “ساده‌ترین راه شیادی” است. در این ایده ساده که پایه و اساس “کلاه‌برداری نیجریه‌ای ۴۱۹” کلاسیک بوده، فرد کلاهبردار تلاش می‌کند تا در ازای دریافت درصدی از پول، قربانی را به کمک برای انتقال مقداری پول نامشروع به یک بانک امن در خارج از کشور کلاهبردار تطمیع کند. ایمیل‌های شاهزاده‌ی نیجریه‌ای برای دهه‌ها مساله‌ای بوده که همگان از آن مطلع بوده‌اند اما هنوز هم این تکنیک مهندسی اجتماعی افراد زیادی را به دام می‌کشد: در سال ۲۰۰۷، مسئول امور مالی یکی از بخش‌های ایالت میشیگان آمریکا، با امید به دست آوردن مقدار زیادی پول برای خود، ۱.۲ میلیون دلار از بودجه عمومی شهر را به یک کلاهبردار داد. چشم‌انداز یک شغل بهتر و جدید، چیزی که ظاهرا درصد زیادی از جامعه به دنبال آن هستند، یک ترفند رایج دیگر در این زمینه است: در یک حادثه امنیتی مفتضحانه در سال ۲۰۱۱، چند نفر از کارکنان پایین‌رتبه شرکت امنیتی RSA یک فایل بدافزار ضمیمه شده به یک ایمیل فیشینگ با نام ۲۰۱۱ recruitment plan.xls را باز کرده و امنیت شرکت را به مخاطره انداختند.
• وانمود کردن تا زمان به دستیابی به موفقیت: یکی از ساده‌ترین و با کمال تعجب موفقیت‌آمیزترین تکنیک‌های مهندسی اجتماعی این است که به سادگی وانمود کنید که خودتان قربانی خودتان هستید. در یکی از اولین کلاهبرداری‌های هکر افسانه‌ای Kevin Mitnick، او با تماس با شرکت آمریکایی Digital Equipment Corporation و ادعای اینکه از توسعه‌دهندگان اصلی آن‌ها بوده و در ورود مشکل پیدا کرده است، توانستبه سرورهای توسعه سیستم عامل شرکت دست یابد؛ در این کلاهبرداری فورا یک نام کاربری و گذرواژه در اختیار او قرار گرفت. با توجه به وقوع این اتفاق در سال ۱۹۷۹، ممکن است تصور شود که دیگر این شرایط بهبود یافته باشد. اما این تصور اشتباه است: در سال ۲۰۱۶ یک هکر کنترل یکی از ایمیل‌های وزارت دادگستری آمریکا را در اختیار گرفته و از آن برای جعل هویت یکی از کارکنان این وزارت‌خانه استفاده کرد. هکر موردنظر، با بیان اینکه اولین هفته کاری او است و با روال کار آشنا نیست، توانست یکی از اعضای تیم پشتیبانی را فریب داده و یک توکن دسترسی به شبکه داخلی وزارت دادگستری را به دست آورد.

بسیاری از سازمان‌ها موانعی را جهت جلوگیری از این نوع جعل هویت وضع کرده‌اند، اما اغلب به راحتی می‌توان این موانع را دور زد. در سال ۲۰۰۵، یکی از اعضاء هیئت مدیره شرکت Hewlett-Packard اطلاعات شرکت را در اختیار خبرگزاری‌ها قرار می‌داد. این شرکت برای شناسایی فرد موردنظر، چند کارآگاه  خصوصی را به کار گرفت و چهار رقم آخر شماره تامین اجتماعی مظنونین را در اختیار آن‌ها قرار داد. در ادامه، کارآگاهان توانستند ۴ رقم دریافتی را به عنوان اثبات هویت به پشتیبان فنی شرکت مخابراتی AT&T ارائه کرده و جزئیات تماس‌های مظنون را به دست آورند.

• به گونه‌ای رفتار کنید که گویا مسئول امور هستید: اغلب افراد تمایل دارند به مسئولین و متصدیان امور یا افرادی که رفتار آن‌ها بیانگر برعهده داشتن مسئولیتی در سازمان است، احترام بگذارند. با توجه به این موضوع، مجرمین از دانش مربوط به فرایندهای داخلی یک شرکت برای قانع کردن افراد به حضور در محل‌ها و دیدن چیزهایی که نباید، یا برقراری ارتباط به عنوان شخصی محترم نزد آن‌ها، بهره‌برداری می‌کنند. به عنوان مثال، در سال ۲۰۱۵، کارکنان بخش مالی شرکت Ubiquiti Networks چند میلیون دلار از پول شرکت را به حساب کلاه‌بردارانی منتقل کردند که احتمالا با استفاده از یک آدرس URL مشابه در آدرس ایمیل خود وانمود کرده بودند از مدیران شرکت هستند. در یک رویداد نه چندان فنی، خبرنگارانی که در اواخر قرن بیستم و اوایل قرن فعلی در خبرگزاری‌های انگلیسی مشغول به کار بودند با وانمود به اینکه از کارکنان شرکت هستند، به صندوق‌های صوتی قربانیان دست می‌یافتند؛مثلا در یک مورد، یک کارآگاه خصوصی با تماس و ادعای اینکه “از بخش کنترل اعتبار است”، توانست شرکت مخابراتی Vodafone را متقاعد به تغییر رمز عبور صندوق صوتی Sienna Miller-بازیگر زن آمریکایی-انگلیسی- کند.

گاهی اوقات این مراجع خارجی هستند که درخواست‌های آن‌ها را بدون بررسی انجام می‌دهیم. در سال ۲۰۱۶، هکرهای روسی یک ایمیل فیشینگ را به صورت پیامی از طرف گوگل به John Podesta،-مدیر کمپین تبلیغاتی هیلاری کلینتون- ارسال کرده و از او خواستند تا گذرواژه خود را تغییر دهد. با انجام این اقدام، درحالیکه او فکر می‌کرد حساب کاربری خود را امن کرده است، امنیت حساب خود را به طور کلی از بین برده و اطلاعات موردنیاز برای دسترسی به آن حساب را در اختیار هکرها قرار داد.

مقابله با مهندسی اجتماعی

آموزش آگاهی امنیتی مهم‌ترین راهکار برای مقابله با مهندسی اجتماعی است. کارکنان باید از وجود مهندسی اجتماعی مطلع بوده و با متداول‌ترین تاکتیک‌های موجود در این زمینه آشنا باشند. خوشبختانه، آگاهی از مهندسی اجتماعی به نوعی شنیدن قصه و داستان است و داستان‌ها بسیار جالب‌تر و قابل‌فهم‌تر از توضیحات مربوط به نقص‌های فنی هستند. آزمون‌ها و پوسترهای جذاب و طنزگونه نیز می‌توانند با یادآوری تذکراتی مفید درباره اینکه “افراد آنگونه که ادعا می‌کنند، نیستند”، در این راستا مورد استفاده قرار گیرند.

توجه شود که تنها این کارکنان رده متوسط نیستند که نیازمند آگاهی نسبت به مهندسی اجتماعی هستند، بلکه مدیران ارشد اهداف اصلی تکنیک‌های مهندسی اجتماعی هستند.

۵ نکته برای دفاع در مقابل مهندسی اجتماعی

Dan Lohrmann، پژوهشگر، نویسنده و از مدیران مطرح در حوزه امنیت سایبری توصیه‌های زیر را برای مقابله با مهندسی اجتماعی ارائه کرده است:

• مهم‌ترین راهکار در زمان صحبت از آگاهی امنیتی، آموزش است. باید اطمینان حاصل کرد که یک برنامه جامع آموزشی آگاهی از امنیت وجود دارد که به طور مرتب هم به تهدیدهای فیشینگ عمومی و هم به تهدیدهای سایبری جدید می‌پردازد. علاوه‌بر‌این، باید توجه شود که این مساله تنها درباره کلیک بر روی لینک‌ها نیست.
• یک دستورالعمل دقیق در مورد روند کاری جدیدترین تکنیک‌های جعل در اختیار کارکنان کلیدی قرار دهید. مدیران ارشد شرکت و کسانی که مجوز انتقال پول یا دیگر تبادلات مالی را دارند، از کارکنان کلیدی شرکت هستند. لازم به یادآوری است که در بسیاری از تقلب‌های واقعی رخ داده در ارتباط با کارکنان رده پایین، یکی از مدیران اجرایی شرکت از آن‌ها می‌خواهد تا با دور زدن رویه‌ها و کنترل‌های معمول، اقدامی فوری –را انجام دهند.
• فرایندها، رویه‌ها و تفکیک وظایف مربوط به تراکنش‌های مالی و سایر معاملات مهم را بازبینی کنید. در صورت لزوم، باید کنترل‌های بیشتری را در نظر گرفت. در برخی مواقع ممکن است تهدیدات داخلی تفکیک وظایف و سایر محافظت‌ها را با مخاطره مواجه نماید؛ بنابراین، شاید لازم باشد تا با توجه به تهدیدهای افزایش یافته، گزارش‌های بررسی خطر مجددا تجزیه و تحلیل شود.
• خط مشی‌های جدیدی را برای تراکنش‌های مالی غیرمعقول یا درخواست‌های فوری مدیران اجرایی در نظر بگیرید. دریافت ایمیل از طرف جیمیل یک مدیر ارشد اجرایی باید به طور خودکار باعث حساس شدن کارکنان شود. باید آن‌ها را از جدیدترین تکنیک‌های استفاده شده توسط مهندسین اجتماعی آگاه کرد. همچنین، لازم است یک سری رویه‌های اضطراری در این راستا مصوب شود که برای همگان قابل فهم باشد.
• سیستم‌های مدیریت وقایع و گزارش‌دهی فیشینگ خود را بازبینی، تصحیح و آزمایش کنید. به طور مرتب یک تمرین را با مدیریت و کارکنان کلیدی انجام داده، کنترل‌های موجود را بررسی کرده و به مهندسی معکوس مناطق دارای پتانسیل آسیب‌پذیری بپردازید.

مجموعه ابزار‌های مهندسی اجتماعی

برخی از ارائه‌دهندگان خدمات امنیتی برای اجرای تمرینات مهندسی اجتماعی و یا ایجاد آگاهی کارکنان  مجموعه‌ای از ابزارها و خدمات را از طریق ابزارهایی مانند پوسترها و نشریات ارائه می‌کنند.

یکی از این مجموعه ابزار‌های ارزشمند که دانلود آن هم رابگان است، از طریق لینک https://github.com/trustedsec/social-engineer-toolkit قابل دسترس است. این مجموعه ابزار به خودکارسازی تست‌های نفوذ از طریق مهندسی اجتماعی شامل حملات فیشینگ هدفمند، ایجاد وب‌سایت‌هایی ظاهرا قانونی، حملات مبتنی بر USB و … کمک می‌کند.

دیگر منبع مناسب در این زمینه https://www.social-engineer.org/framework/general-discussion/ است.

در حال حاضر، بهترین دفاع در برابر حملات مهندسی اجتماعی آموزش کاربران و به‌کارگیری لایه‌هایی از فناوری‌های دفاعی برای تشخیص و پاسخگویی بهتر به حملات است. تشخیص کلمات کلیدی در ایمیل‌ها یا تماس‌های تلفنی از جمله تاکتیک‌های مقابله باحملات احتمالی است، اما احتمال موثر واقع شدن این رویکردها در برابر مهندسین اجتماعی ماهر کم است.