امروزه اینترنت، تبدیل به بزرگترین رسانه تبادل اطلاعات و ارتباطات شده است. در زندگی روزمره ما، ارتباطات از طریق کانالهای ارتباطی آنلاین مختلفی صورت میگیرند. علاوه بر ارتباطاتی که از طریق ایمیل و پیام رسانهای فوری صورت میگیرند، سرویسهای وب مثل توییتر، فیسبوک و سایر سایتهای شبکههای اجتماعی تبدیل به بخش مهمی از ارتباطات خصوصی و کاری روزمره ما شدهاند. سازمانها انتظار دارند که کارمندانشان از نظر فضایی که در آن کار میکنند قابلیت انعطاف و جابجایی زیادی داشته باشند و میزان استفاده از دستگاههای متعلق به خود کارمندان، هم در محیط کار و هم خارج آن (برای کار) افزایش یافته است. این افزایش انعطافپذیری و کاهش ارتباطات رو در رو و فضای اداری مشترک به معنی افزایش حجم دادههایی است که باید از طریق کانالهای آنلاین بین همکاران به اشتراک گذاشته شود. توسعه سرویسهای ابری و سرویسهای دسترسی به دادهها منجر به تحولاتی در زمینه به اشتراکگذاری فایل و ارتباطاتی شده است که امروزه بیشتر از طریق یک نهاد واسط (شخص ثالث) صورت میگیرند؛ این نهاد واسط میتواند یک شبکه اجتماعی یا هر پلتفرم دیگری باشد.
در این دنیای ارتباطات مردم در ابزارهای همکاری و ارتباطی آنلاین مثل سرویسهای ابری و شبکههای اجتماعی، آزادانه اطلاعات را منتشر میکنند؛ بدون این که به امنیت و حریم خصوصی فکر کنند. افراد اطلاعات و اسناد بسیار حساس را از طریق سرویسهای ابری با سایر کاربران مجازی در سراسر جهان به اشتراک میگذارند. در اکثر مواقع، کاربران فرد مقابل را قابل اطمینان در نظر میگیرند، حتی اگر تنها آیتمهای شناسایی و تعیین هویتی که از آنها دارند یک ایمیل یا یک پروفایل مجازی باشد.
در سالهای اخیر، از آسیبپذیریهای امنیتی کانالهای اشتراک داده و ارتباط آنلاین برای نشت اطلاعات حساس سوء استفاده شده است. امکان رفع این آسیبپذیریها و تقویت امنیت این کانالها وجود دارد. اما در مواقعی که مهندسین اجتماعی با افکار کاربران بازی میکنند، قدرت روشهای تقویت امنیت از بین میرود. اصطلاح کارمندان اطلاعاتی بیش از ۵۰ سال پیش توسط Peter Drucker ابداع شد و هنوز هم از آن برای توصیف کارمندانی که سرمایه اصلی آنها دانش است، مورد استفاده قرار میگیرد. قدرتمندترین ابزاری که یک مهاجم میتواند از آن جهت دستیابی به این دانش استفاده کند، مهندسی اجتماعی است. مهندسی اجتماعی یعنی بازی با افکار یک فرد (شستشوی مغزی) برای ارایه اطلاعات به مهندس اجتماعی یا هکر. این روش نسبت به بسیاری دیگری از روشهای هک قدرتمندتر است، از این جهت که میتوان با استفاده از آن حتی به ایمنترین سیستمها رخنه کرد، زیرا خود کاربران آسیبپذیرترین بخش سیستم هستند.
تحقیقات نشان داده که در بسیاری از مواقع میتوان مهندسی اجتماعی را به آسانی خودکار کرد و به این ترتیب میتوان آن را در مقیاس بزرگ انجام داد. مهندسی اجتماعی تبدیل به خطری رو به رشد در جوامع مجازی شده است. شرکتهای چند ملیتی و آژانسهای خبری هم قربانی حملات هدفمند پیچیدهای شدهاند که علیه سیستمهای اطلاعاتی آنها اجرا شده است. با توجه افزایش گزارشات رسانهای درباره حوادث امنیتی جدی، سطح آگاهی افراد نسبت به مسائل امنیتی و روشهای محافظت از حریم خصوصی افزایش یافته است. هدف این نوشته، ارائه یک بررسی جامع و کامل از حملات مهندسی اجتماعی علیه پرسنل سازمانها، طبقه بندی این حملات، ارائه مثالهایی در این خصوص و بیان راهکارهای پیشگیری از آن است.
مهندسی اجتماعی یا Social Engineering چیست
مهندسی اجتماعی، هنر متقاعد کردن کاربران برای نفوذ به سیستمهای اطلاعاتی است. مهندسین اجتماعی به جای استفاده از حملات فنی علیه سیستمها، انسانهایی را که به اطلاعاتی خاص دسترسی دارند، مورد هدف قرار داده و آنها را تشویق به افشای اطلاعات حساس میکنند و یا حتی حملات مخربشان را از طریق نفوذ به افراد و متقاعد کردن آنها اجرا میکنند. در حالی که مردم تصور میکنند که در شناسایی چنین حملاتی مهارت دارند، تحقیقات نشان میدهند که مردم در شناسایی دروغ و فریب عملکرد ضعیفی دارند.
طبقه بندی حملات مهندسی اجتماعی
در این قسمت طبقهبندی انواع حملات مهندسی اجتماعی ارائه میشود. شکل۱ ساختار این طبقهبندی و سناریوهای حمله را نشان میدهد که در ادامه این بخش آنها را شرح خواهیم داد. به طور کلی حملات مهندسی اجتماعی را بر اساس سه معیارکانال، گرداننده و نوع میتوان دستهبندی کرد. در ادامه به تشریح انواع این حملات بر اساس هر کدام از این سه معیار خواهیم پرداخت.
شکل ۱. نمای کلی طبقهبندی حملات مهندسی اجتماعی
طبقه بندی حملات مهندسی اجتماعی: کانال
امکان اجرای حملات مهندسی اجتماعی یا Social Engineering از طریق کانالهای زیر وجود دارد:
- ایمیل متداولترین کانال مورد استفاده برای اجرای حملات فیشینگ (Phishing) و مهندسی اجتماعی معکوس است.
- اپلیکیشنهای پیام رسانی فوری به عنوان ابزارهایی برای اجرای حملات فیشینگ و مهندسی اجتماعی معکوس، روزبهروز بین هکرهای مهندسی اجتماعی محبوبیت بیشتری پیدا میکنند. میتوان به راحتی از آنها برای سرقت هویت استفاده کرده و از یک رابطه قابل اعتماد سوء استفاده کرد.
- کانالهای تلفنی و مبتنی بر پروتکل صدا روی IP هم جزء کانالهای محبوب مهندسین اجتماعی محسوب میشوند که از آنها جهت دریافت اطلاعات حساس از قربانیان استفاده میشود.
- شبکههای اجتماعی، فرصتهای مختلفی برای اجرای حملات مهندسی اجتماعی فراهم میکنند. با توجه به پتانسیل این شبکهها برای ایجاد هویتهای جعلی و پیچیدگی مدل به اشتراکگذاری اطلاعات در این شبکهها، این محیطها باعث میشوند مخفی کردن هویت و بهرهبرداری از اطلاعات حساس برای مهاجمین آسانتر شود.
- میتوان از سرویسهای ابری برای رسیدن به آگاهی وضعیتی درباره یک سناریوی مشارکتی استفاده کرد. ممکن است مهاجمین یک فایل یا نرمافزار را در یک دایرکتوری مشارکتی قرار دهند تا باعث شوند قربانی اطلاعات را از این طریق افشا کند و یا بدافزاری را روی سیستم خود نصب کند..
- وبسایتها بیشتر جهت اجرای حملات waterholing مورد استفاده قرار میگیرند. به علاوه میتوان از آنها به همراه ایمیل برای اجرای حملات فیشینگ استفاده کرد (مثل ارسال ایمیل به مشتری بالقوه یک بانک که حاوی لینکی به سایت مخرب و آلودهای است که شبیه سایت اصلی به نظر میرسد).
طبقه بندی حملات مهندسی اجتماعی: گرداننده
حملات مهندسی اجتماعی را با توجه به گرداننده و عامل آن نیز میتوان طبقهبندی کرد. ممکن است اجرا کننده حمله مهندسی اجتماعی یکی از موارد زیر باشد:
- انسان: حملهای که مستقیماً توسط یک فرد انجام میشود. با توجه محدودیت تعداد نفرات، این حمله توسط انسان کمتر صورت میگیرد.
- نرمافزار: میتوان برخی از انواع حملات را با استفاده از نرمافزار، اتوماسیون کرد. نمونه بارز این جعبه ابزار مهندسی اجتماعی، SET است که میتوان از آن برای ساختن ایمیلهای فیشینگ هدفمند استفاده کرد. تفاوت اصلی حملات خودکار نسبت به حملاتی که توسط انسان انجام میشوند، بالا بودن تعداد قربانیان بالقوهای است که میتوان در یک بازه زمانی محدود به آنها دست پیدا کرد.
در بخش دوم به بیان اواع حملات مهندسی اجتماعی پرداخته و مثالهایی از این حملات را بیان خواهیم کرد.