گفتیم که مهندسی اجتماعی یعنی بازی با افکار یک فرد (شستشوی مغزی) برای ارایه اطلاعات به مهندس اجتماعی یا هکر. این روش نسبت به بسیاری دیگری از روشهای هک قدرتمندتر است، از این جهت که میتوان با استفاده از آن حتی به ایمنترین سیستمها رخنه کرد، زیرا خود کاربران آسیبپذیرترین بخش سیستم هستند در بخش اول مطلب مهندسی اجتماعی یا Social Engineering و انواع حملات آن به معرفی ساختار مهندسی اجتماعی پرداخته و دو مورد از طبقهبندی حملات مهندسی اجتماعی را بیان کردیم. در قسمت دوم مطلب به بررسی انواع حملات مهندسی اجتماعی پرداختیم و در این قسمت مثالهایی از این نوع حملات را مرور خواهیم کرد.
مثالهایی از حملات مهندسی اجتماعی
در این بخش چند مورد از انواع حملات مهندسی اجتماعی معمول در سطح فردی و سازمانی بیشتر شرح داده خواهد شد:
فیشینگ (Phishing)
رایجترین حمله مهندسی اجتماعی، فیشینگ است. در فیشینگ، حمله از طریق ایمیل، چت، وبسایت یا آگهیهای تبلیغاتی انجام میشود و مهاجم سعی میکند از طریق جعل هویت سازمان یا شرکت، اعتماد قربانی را جلب کند. پیغامهای فیشینگ میتواند از طرف بانک، شرکتهای بزرگ و حتی دولت باشد. رفتارهای فیشینگ بسیار متنوع هستند. برخی از آنها از کاربر نهایی درخواست میکنند که اطلاعات ورود حساب کاربریاش را تائید کند و برای این منظور فرم ورودی با لوگو و ظاهر وبسایت مورد نظر آماده میکنند. برخی از آنها کاربر را برنده یک مسابقه یا قرعهکشی اعلام میکنند و برای پرداخت جایزه، درخواست اجازه دسترسی به حساب بانکی کاربر را دارند. برخی از آنها با سواستفاده از حوادث طبیعی مانند سیل، زلرله و یا تاریخهای خاص شروع به جمعآوری کمکهای مردمی میکنند. فیشینگ انواع مختلفی دارد که مهمترین انواع آن در شکل زیر بیان شده است.
انواع اصلی حمله فیشینگ
به عنوان مثال، نمونه یک حمله فیشینگ میتواند ترکیبی از مراحل زیر باشد:
- ایمیل فیشینگ و جعلی: ارسال لینک صفحه جعلی با درج عناوین جذاب برای کاربر
- کلیک کاربر: هدایت کاربر به یک سایت و درگاه جعلی بانک یا سازمانی خاص
- اشتباه کاربر: ورود به سایت فیشینگ و پرداخت الکترونیکی یا فرم درخواست اطلاعات خاص
- هدایت کاربر: هشدار سوری به کاربر با این عنوان که یک فعالیت مشکوک در حساب یا ورود اطلاعات شما مشاهده گردیده است.
- درخواست از کاربر: ورود اطلاعات مانند نام و نام خانوادگی، آدرس و شماره تماس جهت تأیید
- درخواست از کاربر: وارد کردن اطلاعات و مشخصات کارت بانکی یا اطلاعات سازمانی کاربر طعمه
- درخواست از کاربر: درخواست جعلی جهت آپلود کارت ملی، شناسنامه، گذرنامه یا گواهینامه رانندگی در راستای تأیید صحت اطلاعات کاربر
- هدایت کاربر: به صفحهای جعلی و مشروع جلوه دادن عملیات انجام شده توسط کاربر
- موارد از دست رفته: کلیه مشخصات حساب بانکی و سایر اطلاعات شخصی و سازمانی که به مراتب مهمتر از اطلاعات بانکی است.
طعمهگذاری (Baiting)
طعمهگذاری شبیه فیشینگ است. در این نوع از حمله با ارائه موارد قابل توجه و جذاب به کاربر، از وی درخواست اطلاعات شخصی یا اطلاعات ورود به حسابهای کاربریاش را میکنند. طعمه به شکلهای مختلفی ارائه میشود: از طریق دنیای دیجیتال، مانند دانلود فیلم یا موزیک در سایت peer-to-peer، یا به صورت فیزیکی در دنیای واقعی، مانند جا گذاشتن حافظه USB با برچسب قابل توجه مانند اطلاعات حقوق سه ماه اول، روی میز کارمندان. به محض اینکه موزیک دانلود شد یا حافظه USB به دستگاه کاربر متصل شد، نرمافزارهای مخرب وارد دستگاه کاربر میشوند و خرابکار کار خودش را شروع میکند.
جبرانکردن (Quid Pro Quo)
این نوع حمله مانند طعمهگذاری است. در این حمله، خرابکار در ازای محصول یا خدمتی که به کاربر میدهد از او تقاضای اطلاعات شخصی یا اطلاعات ورود حساب کاربریاش را میکند. برای نمونه تماس تلفنی از هکری که خود را کارمند شرکت کاریابی معرفی میکند و در ازای پیدا کردن شغل برای شما اطلاعات شخصیتان شامل شماره منزل، شماره تلفن همراه، آدرس منزل و مواردی از این دست را میگیرد. مثال دیگر شخصی که خود را کارشناس IT معرفی میکند و در مقابل سرویسهای رایگان IT، از کاربر اطلاعات کاربریاش را تقاضا میکند. یک روش دیگر، ارسال اینگونه وسایل فیزیکی به صورت مجانی و به عنوان هدیه برای طعمه است. به این شکل که مثلا در یک شبکه اجتماعی یا ایمیل، پیغامی حاوی این جمله برای وی ارسال میکنند: «شما برنده یک دستگاه پخشکننده دیجیتال شدهاید!» سپس از طعمه آدرس پستی وی را جهت ارسال دستگاه درخواست مینمایند. کاربر پس از واردکردن آدرس پستی خود، واقعا دستگاه را دریافت میکند؛ اما به محض استفاده از آن، بدافزار نصبشده بر روی دستگاه اطلاعات شخصی وی را دزدیده و برای مهاجم ارسال مینماید.
دستاویزسازی (Pretexting)
این نوع حمله مشابه فیشینگ است. در این نوع حمله هکر خرابکار سعی میکند خودش را شخص دیگری معرفی کند، تا بتواند به اطلاعات حساس و شخصی قربانی دست پیدا کند. در برخی موارد هکر مجبور است یک هویت جدید نیز بسازد. در این حمله هکر خرابکار سعی میکند از طریق دروغهای زیاد، خود را شخص دیگری معرفی کند، و با به وجود آوردن حس اعتماد بین خودش و قربانی، اطلاعات وی را بدست بیاورد. برای نمونه هکری که با یک هویت جعلی در اینترنت شروع به گفتگو با شما میکند و در ازای دادن اطلاعات شخصی از خودش که اتفاقا اشتراکهای زیادی با شما دارد، اعتماد شما را جلب میکند و بر اساس همین اعتماد و اشتراکات، شما هم اطلاعات شخصیتان را به او میدهید. برای این نوع از حمله مهندسی اجتماعی، هکر اطلاعات زیادی را از قربانی و همچنین شخصی که میخواهد خودش را به جای او معرفی کند بدست میآورد.
کولیگرفتن (Piggybacking)
این نوع حمله که همچنین دنبالهروی (Tailgating) نیز نامیده میشود، حملهای است که در آن، فرد غیرمجاز به دنبال فرد مجاز وارد یک سیستم یا منطقه با دسترسی محدود شده میشود. برای نمونه هکری که با تماس تلفنی به کارمند موسسه یا شرکتی از او میخواهد درب را برای آنها باز کند، زیرا فراموش کردهاند کارتشان را همراه خود بیاورند. یا در نمونهای دیگر ابتدا فرد مهاجم یک فرد مجاز را شناسایی کرده، وی را تعقیب میکند و به محض اینکه شخص مورد نظر از درب ورود مورد نظر عبور کرد از فاصله زمانی که بین رد شدن فرد تا بسته شدن درب وجود دارد استفاده کرده و وارد محدوده غیر مجاز میشود. این روش را دزدهای ساختمان هم استفاده میکنند، اگر توجه کرده باشید همیشه پیشنهاد می شود که در هنگام استفاده از درب های پارکینگ اتوماتیک حتما منتظر بمانید تا درب بصورت کامل بسته شود.
هوکس (Hoax)
اینگونه مهندسی اجتماعی را بیشتر در رده آزار و اذیت قرار میدهند تا انتشار کدهای مخرب و تخریب سیستمها. در این نوع از حملات معمولا برای شما نامهای ارسال میشود که در خصوص موضوعی جعلی اطلاع رسانی کرده است و از شما میخواهد که این موضوع را به دیگران و تمام کسانی که می شناسید اطلاعرسانی کنید. در برخی موارد ممکن است از هوکسها برای انجام مراحل اولیه حملات هکری استفاده شود، اما اینکار چندان مرسوم نیست. برای مثال برای شما ایمیلی می آید که شخصی در فلان کشور قصد دارد تمامی ثروت خود را به متخصصان شبکه اختصاص دهد و از شما می خواهد که این پیام را به تمامی دوستان خود که متخصص شبکه هستند ارسال کنید، یا اینکه نامهای میفرستد که سرو ته آن مشخص نیست و فقط در آن عنوان می شود که این نامه را به دوستانتان ارسال کنید. اما هدف کسانی که هوکس ارسال میکنند، بیشتر ایجاد ترافیک بیهدف برای سرویسهای ایمیل است. فراموش نکنید پیامهای بی هویت را به دوستان خود فوروارد نکنید. اگر در ایمیلی، نامهای یا پیامکی، پیامی مبنی بر مشکلات نامعلومی از شخص نامعلومی دریافت کردید و به شما گفته شده بود که در صورت ارسال این پیامک یا ایمیل به ده نفر مشکلات فرد حل میشود، یا اگر بی توجهی کنید بلای آسمانی بر سر شما فرود می آید، به اینگونه موارد توجه نکنید.
جعل هویت (Impersonation)
در این نوع حمله مهاجم هویت شخصی که شما از وی شناخت دارید را جعل کرده و خود را به جای وی جا میزند. موارد بسیاری از این نوع را می توان در فعالیت های روزمره کاربران مشاهده کرد ، کسانی که خود را به عنوان پشتیبان شبکه سازمان معرفی میکنند و از شما میخواهند که نام کاربری و رمز عبورتان را در اختیارشان قرار دهید تا آن را برای شما ریست کنند، کسانی که خود را به عنوان تعمیرکار ساختمان یا سیستم معرفی می کنند و با این روش می توانند از بسیاری از پارامترهای امنیتی شما عبور کنند، کسانی که خود را از دوستان شخصی معرفی میکنند که شما وی را می شناسید یا به او اعتماد دارید و بسیاری دیگر از موارد مشابه. در این مواقع، تا در خصوص فرد مورد نظر اطلاعات دقیق بدست نیاوردهاید، اطلاعاتی در اختیار آنها قرار نداده و یا اینکه به درخواستهای آنها توجه نکنید.
جستجو در زبالههای سازمانی (Dumpster Diving)
در این نوع حمله مهاجم با جستجو در زبالههای سازمانی شما سعی در بدست آوردن اطلاعات مفید در خصوص هدف حمله میکند. در بسیاری از مواقع کاربران و پرسنل شرکتها و سازمانها برگههایی را به درون سطل زباله می اندازند که دارای اطلاعات سازمان است، برگه های رسید، فاکتورها، رمزهای عبور، آدرسهای IP و نامهها و… ممکن است در این سطح ها وجود داشته باشد به همین دلیل است که در سازمان های دولتی مدارک و مستنداتی که بلا استفاده می مانند بایستی با استفاده از دستگاه خردکن از بین بروند.
توصیههایی برای پیشگیری از حملات مهندسی اجتماعی
به طور کلی برای پیشگیری از حملات مهندسی اجتماعی میتوان توصیههای زیر را بیان کرد:
- به تلفنها، ایمیلها و ملاقاتهایی که عموما ناخواسته بوده و در آنها از شما درخواست اطلاعاتی خاص در مورد کارکنان و یا سایر اطلاعات شخصی میگردد، مشکوک بوده و با دید سوء ظن نگاه کنید. در صورتیکه یک فرد ناشناس ادعا میکند که از یک سازمان معتبر است، سعی کنید با سازمان مورد ادعای وی تماس گرفته و نسبت به هویت وی کسب تکلیف کنید.
- هرگز اطلاعات شخصی و یا اطلاعات مربوط به سازمان خود را (مثلا ساختار و یا شبکهها) در اختیار دیگران قرار ندهید، مگر این که اطمینان حاصل کنید که فرد متقاضی مجور لازم به منظور دستیابی به اطلاعات درخواستی را داراست.
- هرگر اطلاعات شخصی و یا مالی خود را در یک ایمیل افشا نکرده و به ایمیلهای ناخواستهای که درخواست این نوع اطلاعات را از شما می نمایند، پاسخ ندهید. به لینکهای موجود در اینگونه نامههای الکترونیکی ناخواسته نیز توجهی نداشته باشید.
- هرگز اطلاعات حساس و مهم شخصی خود و یا سازمان خود را بر روی اینترنت ارسال نکنید. قبل از ارسال اینگونه اطلاعات حساس، باید حریم خصوصی وب سایت مورد نظر به دقت مطالعه شده تا مشخص گردد که اهداف آنان از جمع آوری اطلاعات شخصی شما چیست و نحوه برخورد آنان با اطلاعات به چه صورت است.
- دقت لازم در خصوص آدرس یک وبسایـت را داشته باشید. وبسایتهای مخرب ممکن است خود را مشابه یک وبسایت معتبر ارائه نمایند که آدرس آنان دارای تفاوت اندکی با وبسایـتهای شناخته شده باشد. وجود تفاوت اندک در حروف استفاده شده برای نام سایت و یا تفاوت در دامنه، نمونههایی در این زمینه هستند.
- در صورت عدم اطمینان از معتبر بودن یک ایمیل دریافتی، سعی کنید با برقراری تماس مستقیم با شرکت مربوطه نسبت به هویت آن اطمینان حاصل نمائید. از اطلاعات موجود بر روی یک سایت مخرب به منظور تماس با آنها استفاده نکنید، چرا که این اطلاعات می تواند شما را به مسیری دیگر هدایت نماید که صرفا اهداف مهاجمان را تامین نماید.
- با نصب و نگهداری نرم افزارهای آنتی ویروس ، فایروال ها و فیلترینگ ایمیلهای ناخواسته (Spam)، سعی کنید یک سطح حفاظتی مناسب به منظور کاهش این نوع حملات ایجاد نمائید.
- از سادهترین روشهای مقابله با فیشینگ، دقت به آدرس وب سایت یا ایمیل دریافت شده است. در زمان ورود به حسابهای حساس مانند ایمیل و یا بانک، قبل از وارد کردن نام کاربری و گذرواژه، دقت به آدرس وب سایت حیاتی است. به عنوان نمونه دقت کنید که اول آدرس، حتما https باشد و نه http.
- هرگز به تقاضاهایی که از طریق ایمیل یا پنجرههای pop-up اطلاعات شخصی شما را می خواهند، پاسخ ندهید. اگر شک دارید، با موسسه ای که مدعی ارسال ایمیل یا پنجره pop-up است، تماس بگیرید.
- وبسایتها را با تایپ آدرس آنها در آدرس بار ببینید.
- بررسی کنید تا مطمئن شوید که وبسایت از رمزگذاری استفاده میکند. (به عنوان نمونه از SSL)
- در صورتیکه فکر میکنید به هر دلیلی اطلاعات حساس سازمان خود را در اختیار دیگران (افراد غیرمجاز) قرار دادهاید، بلافاصله موضوع را به اطلاع افراد ذیربط شاغل در سازمان خود (مثلا مدیران شبکه) برسانید. آنها میتوانند در خصوص هرگونه فعالیتهای غیرمعمول ویا مشکوک، هشدارهای لازم را در اسرع وقت در اختیار دیگران قرار دهند.
- در صورتی که فکر میکنید اطلاعات مالی شما ممکن است در معرض تهدید قرار گرفته باشد، بلافاصله با موسسه مالی خود تماس حاصل نموده و تمامی حسابهای مالی در معرض تهدید را مسدود نمائید. در این رابطه لازم است دقت، حساسیت و کنترل لازم در خصوص هرگونه برداشت از حسابهای بانکی خود را داشته باشید. برای پرداخت آنلاین نیز فقط از درگاههای مخصوص بانکها استفاده کنید.
- گزارشی در خصوص نوع تهاجم را تهیه نموده و آن را در اختیار سازمان های ذیربط قانونی قرار دهید.
منابع
Krombholz, K., Hobel, H., Huber, M., & Weippl, E. (2015). Advanced social engineering attacks. Journal of Information Security and applications, ۲۲, ۱۱۳-۱۲۲.
Hadnagy, C. (2010). Social engineering: The art of human hacking. John Wiley & Sons.
Mouton, F., Leenen, L., Malan, M. M., & Venter, H. S. (2014, July). Towards an ontological model defining the social engineering domain. In IFIP International Conference on Human Choice and Computers (pp. 266-279). Springer, Berlin, Heidelberg.
Chhikara, J., Dahiya, R., Garg, N., & Rani, M. (2013). Phishing & anti-phishing techniques: Case study. International journal of advanced research in computer science and software engineering, ۳(۵).