مهندسی اجتماعی - حفاظت در برابر هک انسان را درک کنید

یک خبر اخیر باعث شد متوجه شوم که چگونه می توان از احساسات و افکار انسانی به نفع دیگران استفاده کرد (یا استفاده کرد). تقریباً همه شما ادوارد اسنودن(Edward Snowden) را می شناسید ، افشاگر آژانس امنیت ملی(NSA) که در سراسر جهان جاسوسی می کند. رویترز گزارش داد که او از حدود 20 تا 25 نفر از افراد NSA خواست تا رمزهای عبور خود را برای بازیابی برخی از اطلاعاتی که بعداً درز کرده بود به او تحویل دهند [1]. تصور(Imagine) کنید شبکه شرکتی شما حتی با قوی ترین و بهترین نرم افزار امنیتی چقدر می تواند شکننده باشد!

مهندسی اجتماعی

مهندسی اجتماعی چیست؟

ضعف انسانی(Human) ، کنجکاوی، احساسات، و سایر ویژگی‌ها اغلب در استخراج غیرقانونی داده‌ها استفاده می‌شوند - خواه هر صنعتی باشد. با این حال، صنعت فناوری اطلاعات(IT Industry) نام مهندسی اجتماعی را به آن داده است. من مهندسی اجتماعی را اینگونه تعریف می کنم:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

در اینجا خط دیگری از همان خبر [1] است که می‌خواهم نقل کنم – « سازمان‌های امنیتی با این ایده که ممکن است مردی که در اتاقک بعدی است قابل اعتماد نباشد، مشکل دارند(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable) ». من بیانیه را کمی تغییر دادم تا در متن اینجا قرار گیرد. می توانید متن کامل خبر را با استفاده از لینک موجود در بخش مراجع(References) مطالعه کنید.

به عبارت دیگر، شما کنترل کاملی بر امنیت سازمان های خود ندارید، زیرا مهندسی اجتماعی بسیار سریعتر از تکنیک های مقابله با آن در حال تکامل است. مهندسی اجتماعی(Social) می‌تواند چیزی شبیه به تماس گرفتن با فردی باشد که بگوید پشتیبان فنی هستید و از آنها اعتبارنامه ورود به سیستم را بخواهید. حتماً ایمیل‌های فیشینگ در مورد بخت‌آزمایی‌ها، افراد ثروتمند در شرق میانه(Mid East) و آفریقا(Africa) که شرکای تجاری می‌خواهند، و پیشنهادهای کاری برای پرسیدن جزئیات شما دریافت کرده‌اید.

بر خلاف حملات فیشینگ، مهندسی اجتماعی بیشتر در تعامل مستقیم فرد به فرد است. اولی (فیشینگ) از طعمه استفاده می کند - یعنی افرادی که «ماهیگیری» چیزی را به شما پیشنهاد می کنند به این امید که شما در دام آن بیفتید. مهندسی اجتماعی(Social) بیشتر در مورد جلب اعتماد کارمندان داخلی است تا آنها جزئیات شرکت مورد نیاز شما را فاش کنند.

بخوانید: (Read:) روش های محبوب مهندسی اجتماعی .

تکنیک های مهندسی اجتماعی شناخته شده

تعداد زیادی وجود دارد و همه آنها از تمایلات اولیه انسانی برای ورود به پایگاه داده هر سازمانی استفاده می کنند. پرکاربردترین تکنیک مهندسی اجتماعی (احتمالاً قدیمی) این است که با مردم تماس بگیرید و ملاقات کنید و به آنها فکر کنید که از پشتیبانی فنی هستند که باید رایانه شما را بررسی کنند. آنها همچنین می توانند برای ایجاد اعتماد، کارت شناسایی جعلی ایجاد کنند. در برخی موارد، مقصران به عنوان مقامات دولتی ظاهر می شوند.

یکی دیگر از تکنیک های معروف این است که فرد خود را به عنوان کارمند در سازمان هدف استخدام کنید. اکنون، از آنجایی که این کلاهبردار همکار شماست، ممکن است جزئیات شرکت را به او اعتماد کنید. کارمند خارجی ممکن است در موردی به شما کمک کند، بنابراین شما احساس وظیفه می کنید، و در آن زمان است که آنها می توانند حداکثر را تشخیص دهند.

من همچنین گزارش هایی در مورد استفاده مردم از هدایای الکترونیکی خواندم. یک فلش USB(USB) فانتزی که در آدرس شرکت شما به شما تحویل داده می شود یا یک درایو خودکار در ماشین شما می تواند فاجعه را ثابت کند. در یک مورد، شخصی برخی از درایوهای USB را به عمد در پارکینگ به عنوان طعمه رها کرد [2].

اگر شبکه شرکت شما تدابیر امنیتی خوبی در هر گره دارد، خوشا به حال شما. در غیر این صورت، این گره‌ها یک گذر آسان برای بدافزار - در آن درایوهای قلم هدیه یا "فراموش شده" - به سیستم‌های مرکزی فراهم می‌کنند.

به این ترتیب ما نمی توانیم فهرست جامعی از روش های مهندسی اجتماعی ارائه کنیم. این یک علم در هسته است که با هنر در راس ترکیب شده است. و می دانید که هیچ یک از آنها هیچ مرزی ندارند. افراد مهندسی اجتماعی(Social) در حین توسعه نرم‌افزاری که می‌تواند از دستگاه‌های بی‌سیم برای دسترسی به Wi-Fi شرکت سوء استفاده کند، همچنان به خلاقیت خود ادامه می‌دهند .

بخوانید: (Read:) بدافزار مهندسی اجتماعی چیست ؟

جلوگیری از مهندسی اجتماعی

شخصاً فکر نمی‌کنم قضیه‌ای وجود داشته باشد که مدیران بتوانند از آن برای جلوگیری از هک‌های مهندسی اجتماعی استفاده کنند. تکنیک‌های مهندسی اجتماعی همچنان در حال تغییر هستند، و از این رو پیگیری آنچه اتفاق می‌افتد برای مدیران فناوری اطلاعات دشوار می‌شود.

البته لازم است که اخبار مهندسی اجتماعی را مد نظر داشته باشید تا افراد از آگاهی کافی برای اتخاذ تدابیر امنیتی مناسب برخوردار باشند. به عنوان مثال، در مورد دستگاه‌های USB ، ادمین‌ها می‌توانند درایوهای USB را روی گره‌های جداگانه مسدود کنند و به آنها اجازه دهند فقط روی سروری که سیستم امنیتی بهتری دارد. به همین ترتیب(Likewise) ، Wi-Fi به رمزگذاری بهتری نسبت به اکثر ISP(ISPs) های محلی نیاز دارد.

آموزش کارکنان و انجام تست های تصادفی بر روی گروه های مختلف کارکنان می تواند به شناسایی نقاط ضعف در سازمان کمک کند. آموزش دادن و احتیاط دادن به افراد ضعیف تر آسان خواهد بود. هوشیاری(Alertness) بهترین دفاع است. استرس باید این باشد که اطلاعات ورود حتی با رهبران تیم - صرف نظر از فشار - به اشتراک گذاشته نشود. اگر یک رهبر تیم نیاز به دسترسی به ورود یک عضو داشته باشد، می تواند از رمز عبور اصلی استفاده کند. این تنها یک پیشنهاد برای ایمن ماندن و جلوگیری از هک های مهندسی اجتماعی است.

نتیجه نهایی این است که به غیر از بدافزار و هکرهای آنلاین، افراد فناوری اطلاعات باید از مهندسی اجتماعی نیز مراقبت کنند. هنگام شناسایی روش های نقض داده ها (مانند نوشتن رمز عبور و غیره)، مدیران باید همچنین اطمینان حاصل کنند که کارکنان آنها به اندازه کافی باهوش هستند تا تکنیک مهندسی اجتماعی را شناسایی کنند تا از آن کاملاً جلوگیری کنند. به نظر شما بهترین روش برای جلوگیری از مهندسی اجتماعی چیست؟ اگر به مورد جالبی برخورد کردید، لطفا با ما در میان بگذارید.

این کتاب الکترونیکی درباره حملات مهندسی اجتماعی منتشر شده توسط مایکروسافت را دانلود کنید و یاد بگیرید که چگونه می توانید چنین حملاتی را در سازمان خود شناسایی و از آن جلوگیری کنید.(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)

منابع(References)

[1] رویترز(Reuters) ، اسنودن (Snowden)کارکنان NSA را(NSA Employees Into) متقاعد کردند تا اطلاعات(Info) ورود خود را به دست آورند

[2] Boing Net ، درایوهای قلمی که برای (Pen)انتشار بدافزار(Spread Malware) استفاده می‌شوند .



فرزین عزیزی

About the author

من یک مهندس نرم افزار هستم که هم در کروم و هم در برنامه های بازی تجربه دارم. من در 4 سال گذشته روی راه حل های مرورگر گوگل کروم کار کرده ام و همچنین روی بازی های چندین پلتفرم مختلف کار کرده ام. مهارت های من در طراحی، آزمایش و مدیریت پروژه های نرم افزاری نهفته است. من علاوه بر کارم به عنوان مهندس نرم افزار، در زمینه حفظ حریم خصوصی، حساب های کاربری و مسائل ایمنی خانواده نیز تجربه دارم.


Related posts