ساختار مهندسی اجتماعی یا Social Engineering و انواع حملات آن- بخش اول

امروزه اینترنت، تبدیل به بزرگترین رسانه تبادل اطلاعات و ارتباطات شده است. در زندگی روزمره ما، ارتباطات از طریق کانال‌های ارتباطی آنلاین مختلفی صورت می‌گیرند. علاوه بر ارتباطاتی که از طریق ایمیل و پیام رسان‌های فوری صورت می‌گیرند، سرویس‌های وب مثل توییتر، فیس‌بوک و سایر سایت‌های شبکه‌های اجتماعی تبدیل به بخش مهمی از ارتباطات خصوصی و کاری روزمره ما شده‌اند. سازمان‌ها انتظار دارند که کارمندانشان از نظر فضایی که در آن کار می‌کنند قابلیت انعطاف و جابجایی زیادی داشته باشند و میزان استفاده از دستگاه‌های متعلق به خود کارمندان، هم در محیط کار و هم خارج آن (برای کار) افزایش یافته است. این افزایش انعطاف‌پذیری و کاهش ارتباطات رو در رو و فضای اداری مشترک به معنی افزایش حجم داده‌هایی است که باید از طریق کانال‌های آنلاین بین همکاران به اشتراک گذاشته شود. توسعه سرویس‌های ابری و سرویس‌های دسترسی به داده‌ها منجر به تحولاتی در زمینه به اشتراک‌گذاری فایل و ارتباطاتی شده است که امروزه بیشتر از طریق یک نهاد واسط (شخص ثالث) صورت می‌گیرند؛ این نهاد واسط می‌تواند یک شبکه اجتماعی یا هر پلتفرم دیگری باشد.

در این دنیای ارتباطات مردم در ابزارهای همکاری و ارتباطی آنلاین مثل سرویس‌های ابری و شبکه‌های اجتماعی، آزادانه اطلاعات را منتشر می‌کنند؛ بدون این که به امنیت و حریم خصوصی فکر کنند. افراد اطلاعات و اسناد بسیار حساس را از طریق سرویس‌های ابری با سایر کاربران مجازی در سراسر جهان به اشتراک می‌گذارند. در اکثر مواقع، کاربران فرد مقابل را قابل اطمینان در نظر می‌گیرند، حتی اگر تنها آیتم‌های شناسایی و تعیین هویتی که از آنها دارند یک ایمیل یا یک پروفایل مجازی باشد.

در سال‌های اخیر، از آسیب‌پذیری‌های امنیتی کانال‌های اشتراک داده و ارتباط آنلاین برای نشت اطلاعات حساس سوء استفاده شده است. امکان رفع این آسیب‌پذیری‌ها و تقویت امنیت این کانال‌ها وجود دارد. اما در مواقعی که مهندسین اجتماعی با افکار کاربران بازی می‌کنند، قدرت روش‌های تقویت امنیت از بین می‌رود. اصطلاح کارمندان اطلاعاتی بیش از ۵۰ سال پیش توسط Peter Drucker ابداع شد و هنوز هم از آن برای توصیف کارمندانی که سرمایه اصلی آنها دانش است، مورد استفاده قرار می‌گیرد. قدرتمندترین ابزاری که یک مهاجم می‌تواند از آن جهت دستیابی به این دانش استفاده کند، مهندسی اجتماعی است. مهندسی اجتماعی یعنی بازی با افکار یک فرد (شستشوی مغزی) برای ارایه اطلاعات به مهندس اجتماعی یا هکر. این روش نسبت به بسیاری دیگری از روش‌های هک قدرتمندتر است، از این جهت که می‌توان با استفاده از آن حتی به ایمن‌ترین سیستم‌ها رخنه کرد، زیرا خود کاربران آسیب‌پذیرترین بخش سیستم هستند.

تحقیقات نشان داده که در بسیاری از مواقع می‌توان مهندسی اجتماعی را به آسانی خودکار کرد و به این ترتیب می‌توان آن را در مقیاس بزرگ انجام داد. مهندسی اجتماعی تبدیل به خطری رو به رشد در جوامع مجازی شده است. شرکت‌های چند ملیتی و آژانس‌های خبری هم قربانی حملات هدفمند پیچیده‌ای شده‌اند که علیه سیستم‌های اطلاعاتی آنها اجرا شده است. با توجه افزایش گزارشات رسانه‌ای درباره حوادث امنیتی جدی، سطح آگاهی افراد نسبت به مسائل امنیتی و روش‌های محافظت از حریم خصوصی افزایش یافته است. هدف این نوشته، ارائه یک بررسی جامع و کامل از حملات مهندسی اجتماعی علیه پرسنل سازمانها، طبقه بندی این حملات، ارائه مثال‌هایی در این خصوص و بیان راهکارهای پیشگیری از آن است.

مهندسی اجتماعی یا Social Engineering چیست

مهندسی اجتماعی، هنر متقاعد کردن کاربران برای نفوذ به سیستم‌های اطلاعاتی است. مهندسین اجتماعی به جای استفاده از حملات فنی علیه سیستم‌ها، انسان‌هایی را که به اطلاعاتی خاص دسترسی دارند، مورد هدف قرار داده و آنها را تشویق به افشای اطلاعات حساس می‌کنند و یا حتی حملات مخربشان را از طریق نفوذ به افراد و متقاعد کردن آنها اجرا می‌کنند. در حالی که مردم تصور می‌کنند که در شناسایی چنین حملاتی مهارت دارند، تحقیقات نشان می‌دهند که مردم در شناسایی دروغ و فریب عملکرد ضعیفی دارند.

طبقه بندی حملات مهندسی اجتماعی

در این قسمت طبقه‌بندی انواع حملات مهندسی اجتماعی ارائه می‌شود. شکل۱ ساختار این طبقه‌بندی و سناریوهای حمله را نشان می‌دهد که در ادامه این بخش آنها را شرح خواهیم داد. به طور کلی حملات مهندسی اجتماعی را بر اساس سه معیارکانال، گرداننده و نوع می‌توان دسته‌بندی کرد. در ادامه به تشریح انواع این حملات بر اساس هر کدام از این سه معیار خواهیم پرداخت.

مهندسی اجتماعی

شکل ۱. نمای کلی طبقه‌بندی حملات مهندسی اجتماعی

طبقه بندی حملات مهندسی اجتماعی: کانال

امکان اجرای حملات مهندسی اجتماعی یا Social Engineering از طریق کانال‌های زیر وجود دارد:

  • ایمیل متداول‌ترین کانال مورد استفاده برای اجرای حملات فیشینگ (Phishing) و مهندسی اجتماعی معکوس است.
  • اپلیکیشن‌های پیام رسانی فوری به عنوان ابزارهایی برای اجرای حملات فیشینگ و مهندسی اجتماعی معکوس، روزبه‌روز بین هکرهای مهندسی اجتماعی محبوبیت بیشتری پیدا می‌کنند. می‌توان به راحتی از آنها برای سرقت هویت استفاده کرده و از یک رابطه قابل اعتماد سوء استفاده کرد.
  • کانال‌های تلفنی و مبتنی بر پروتکل صدا روی IP هم جزء کانال‌های محبوب مهندسین اجتماعی محسوب می‌شوند که از آنها جهت دریافت اطلاعات حساس از قربانیان استفاده می‌شود.
  • شبکه‌های اجتماعی، فرصت‌های مختلفی برای اجرای حملات مهندسی اجتماعی فراهم می‌کنند. با توجه به پتانسیل این شبکه‌ها برای ایجاد هویت‌های جعلی و پیچیدگی مدل به اشتراک‌گذاری اطلاعات در این شبکه‌ها، این محیط‌ها باعث می‌شوند مخفی کردن هویت و بهره‌برداری از اطلاعات حساس برای مهاجمین آسان‌تر شود.
  • می‌توان از سرویس‌های ابری برای رسیدن به آگاهی وضعیتی درباره یک سناریوی مشارکتی استفاده کرد. ممکن است مهاجمین یک فایل یا نرم‌افزار را در یک دایرکتوری مشارکتی قرار دهند تا باعث شوند قربانی اطلاعات را از این طریق افشا کند و یا بدافزاری را روی سیستم خود نصب کند..
  • وب‌سایت‌ها بیشتر جهت اجرای حملات waterholing مورد استفاده قرار می‌گیرند. به علاوه می‌توان از آنها به همراه ایمیل برای اجرای حملات فیشینگ استفاده کرد (مثل ارسال ایمیل به مشتری بالقوه یک بانک که حاوی لینکی به سایت مخرب و آلوده‌ای است که شبیه سایت اصلی به نظر می‌رسد).

طبقه بندی حملات مهندسی اجتماعی: گرداننده

حملات مهندسی اجتماعی را با توجه به گرداننده و عامل آن نیز می‌توان طبقه‌بندی کرد. ممکن است اجرا کننده حمله مهندسی اجتماعی یکی از موارد زیر باشد:

  • انسان: حمله‌ای که مستقیماً توسط یک فرد انجام می‌شود. با توجه محدودیت تعداد نفرات، این حمله توسط انسان کمتر صورت می‌گیرد.
  • نرم‌افزار: می‌توان برخی از انواع حملات را با استفاده از نرم‌افزار، اتوماسیون کرد. نمونه بارز این جعبه ابزار مهندسی اجتماعی، SET است که می‌توان از آن برای ساختن ایمیل‌های فیشینگ هدفمند استفاده کرد. تفاوت اصلی حملات خودکار نسبت به حملاتی که توسط انسان انجام می‌شوند، بالا بودن تعداد قربانیان بالقوه‌ای است که می‌توان در یک بازه زمانی محدود به آنها دست پیدا کرد.

در بخش دوم به بیان اواع حملات مهندسی اجتماعی پرداخته و مثال‌هایی از این حملات را بیان خواهیم کرد.

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.