Social Engineering

مهندسی اجتماعی کلیات، اهداف، تکنیک های پدافند غیرعامل سایبری

در واقع مهندسی اجتماعی هنر دسترسی به ساختمانها، سیستم های کامپیوتری، و یا هرگونه داده دیگر با بهره گیری از علم روانشناسی انسان به جای مخفیانه وارد شدن یا استفاده…

در واقع مهندسی اجتماعی هنر دسترسی به ساختمانها، سیستم های کامپیوتری، و یا هرگونه داده دیگر با بهره گیری از علم روانشناسی انسان به جای مخفیانه وارد شدن یا استفاده از تکنیکهای هکری و … میباشد.

مهندسی اجتماعی به بیان ساده متقاعدسازی افراد برای افشای اطلاعات محرمانه یا انجام کاری خاص میباشد. نکته مهم اینکه برقراری ارتباط و نفوذ به افراد بسیار ساده تر از نفوذ به شرکت ها یا نرم افزارها میباشد.

مهندسی اجتماعی ( Social Engineering )  به طور کلی در دو حوزه مطرح می گردد

– جامعه شناسی

مهندسی اجتماعی شاخه ای از علم جامعه شناسی است که شامل مجموعه فعالیتهای  انجام شده توسط دولت، رسانه ها و یا مجموعه های غیر دولتی به منظور القاء یک نگرش خاص در یک جامعه هدف می باشد که حاصل آن پدیدار شدن ویژگی های خاصی رفتاری است.

-امنیت اطلاعات

مهندسی اجتماعی در حوزه امنیت سایبری و امنیت اطلاعات، به فرآیند استفاده از تکنیکهای روانشناسی به منظور برقراری ارتباط با افراد و اعتمادسازی و سپس کسب و استخراج اطلاعات مورد نیاز از ایشان یا متعلقاتشان، یا متقاعدسازی افراد برای انجام کاری خاص گفته میشود. در مهندسی امنیت اطلاعات، این فرآیند در حقیقت نوعی حمله محسوب میشود.

به عنوان مثال به جای بررسی و یافتن یک آسیب پذیری نرم افزاری جهت ورود به سامانه های یک سازمان، یک مهندس اجتماعی با یکی از کارمندان شرکت تولید کننده نرم افزار تماس گرفته و خود را به عنوان یکی از افراد بخش پشتیبانی فناوری اطلاعات همان شرکت معرفی میکند و با مطرح کردن این موضوع که برای برقراری ارتباط با سیستم آن کارمند و رفع مشکل وی، نیاز به اطلاعات حساب کاربری وی دارد، نام کاربری و رمز عبور وی را بدست می آورد.

اولین مرحله در هر گونه تهاجم عامل یا غیرعامل، شناخت هدف و کسب اطلاعات در مورد آن میباشد.

یکی از ساده ترین و در عین حال موثرترین روشهای کسب اطلاعات در مورد هدف، تکنیکهای مهندسی اجتماعی و کسب اطلاعات از افراد مرتبط با هدف تهاجم می باشد به همین دلیل رفتار کارکنان یک سازمان و آگاهی آنان به اصول طبقه بندی و حفاظت اطلاعات قابل ملاحظه ای بر امنیت اطلاعات دارد.

مفاهیم و عادات فرهنگی (مهمان نوازی، پاسخگویی با روی باز، خونگرمی و …) موجود در جامعه پرسنل سازمان، گاه ممکن است در جهت افزایش بهره وری کارکنان و پیشرفت کار باشد و گاه ممکن است منجر به نشت اطلاعات و بروز رخدادهای امنیت اطلاعات شده و به کاهش اعتبار سازمان و بروز مشکلات در عملکرد سازمان بیانجامد.

اهمیت آگاهی در خصوص مهندسی اجتماعی

3 تهدید سایبری دارای رتبه بالاتر در لیست تهدیدات سایبری سال 2016  (نقل از Observer.com)

Social Engineering

منشاء امکانپذیری مهندسی اجتماعی

منشاء بروز و امکان پذیری مهندسی اجتماعی وجود نواقص و اشکالاتی در بخشی از سیستم تصمیم سازی انسان است. در فرآیند تصمیم سازی انسانی ویژگی های بخصوصی وجود دارد که از آن تحت عنوان “جهت گیریهای شناختی” یاد میشود.

کلیه تکنیک های مهندسی اجتماعی مبتنی بر بهره برداری از یک یا مجموعه ای از این جهت گیریهای شناختی است.

برخی از این جهت گیری ها عبارتند از

– اثر ابهام: تمایل برای پرهیز از گزینه‌هایی که در آن‌ها اطلاعات مفقود باعث می‌شوند احتمال “نامعلوم” به نظر برسد.

-جهت گیری اطلاع: تمایل برای یافتن اطلاعات حتی وقتی که نمی‌تواند عمل را تحت تأثیر قرار دهد.

– اثر سوال: اشتباه کردن سوالی که قبلا پرسیده شده با اتفاقی که رخ داده.

– توهم سازمان خارجی: وقتی مردم خواسته‌هایی که از خود شخص تولید شده را، در عوض، معلول سازمان‌ها یا آژانس‌های هشیوار، نافذ و بدخواه می‌بینند.

رفتارهای آسیب پذیر در برابر مهندسی اجتماعی

– تمایل ذاتی انسان به اعتماد کردن: این خصلت انسان، مهمترین آسیب پذیری مورد استفاده در مهندسی اجتماعی است.

– غفلت و تسامح سازمانها در مقابل حملات مهندسی اجتماعی: این سیاست اشتباه سازمانی باعث و بانی بروز مشکلات عدیده در سازمان ها میباشد.

– ترس: ترس از بروز خسارات جدی در صورت مخالفت با تقاضای مهندسی اجتماعی، از عوامل مهم موفقیت این حملات است.

– وعده پاداش و ارتقا در ازای هیچ!: مهندسین اجتماعی به خوبی از حس طمع و تمایل انسان برای بدست آوردن چیزی بدون تلاش برای آن بهره برداری میکنند.

– تمایل ذاتی برای کمک و همدردی: مهندس اجتماعی خود را فردی در شرایط نیاز و بحران معرفی و توصیف میکند و فرد قربانی به دلیل تمایل ذاتی برای همدردی و کمک خواسته مهندس اجتماعی را برآورده میکند.

دلایل موثر بودن مهندسی اجتماعی

– معمولا استحکام و قدرت سیاست های امنیتی سازمانها برابر با قوت و استحکام ضعیف ترین حلقه از زنجیره امنیت است. ضعیف ترین حلقه در زنجیره امنیت، نیروی انسانی است.

– دلیل بعدی، سخت بودن کشف حملات مهندسی اجتماعی است.

– روش جامعی برای اطمینان کامل از مصون بودن در مقابل حملات مهندسی اجتماعی وجود ندارد.

– نرم افزار یا سخت افزار خاصی هم برای حفاظت در مقابل حملات مهندسی اجتماعی وجود ندارد.

انگیزه حملات مهندسی اجتماعی

Social Engineering

مراحل حمله مهندسی اجتماعی

The stages of social engineering attack

نمونه ای حملات مهندسی اجتماعی

کلاهبرداری از مردم عادی با استفاده از تماس تلفنی و ادعای برنده شدن فرد در قرعه کشی یا مسابقه ای تلویزیونی.

-ساده ترین نمونه مهندسی اجتماعی، انواع متن های اغواکننده تبلیغاتی است.

-نمونه دیگر مهندسی اجتماعی که اخیرا به دفعات در کشور مشاهده شد یکی از انواع مختلف حملات مهندسی اجتماعی مبتنی بر رویارویی مستقیم است که ترکیبی از چندتکنیک را مورد استفاده قرار میدهد. در این حمله مهندس اجتماعی با قربانی تماس گرفته و با بیان خبر برنده شدن قربانی در یک مسابقه یا قرعه کشی ابتدا با استفاده از طمع و حس شادی جویی انسان، رابطه را برقرار کرده و سپس با استفاده از تکنیک های همزادپنداری و تکنیک های اغوا، قربانی را وادار به رفتن پای ATM کرده و نهایتا با استفاده از ناآگاهی و عدم تسلط ایشان موفق به انتقال وجه از حساب قربانی به حساب خود می شود.

 

تکنیکهای مهندسی اجتماعی

تکنیک های مبتنی بر تلفن همراه

 

تکنیک های مبتنی بر تکنولوژی های ارتباطی

 

تکنیک های مبتنی بر انسان

 

– حملات مبتنی بر پیامک

-حملات مبتنی بر اپلیکیشنهای تلفن همراه

-حملات مبتنی بر شبکه های اجتماعی

 

– پنجره های Pop-Up

– پیوست نامه‌های الکترونیکی

– هرزنامه‌های زنجیره‌ای و فریب آمیز

– وب‌سایت های جعلی

– بازیابی و تجزیه و تحلیل ابزارهای مستعمل

– فیشینگ

– رویکرد مستقیم

– جستجو در زباله‌ها

– جعل هویت

– سوءاستفاده از کاربران مهم

– کارکنان پشتیبان فنی

– کاربر درمانده

– Shoulder Surfing

– شایعه پراکنی

– جاسوسی و استراق سمع

تکنیک های مبتنی بر انسان

سرقت اطلاعات شخصی با مهندسی اجتماعی، رویارویی مستقیم

از آنجا که بر اساس جهت گیری های شناختی اغلب انسانها در ارتباطات خود به دنبال یافتن وجه اشتراک هستند، معمولا اولین تکنیک مهندسی اجتماعی همزادپنداری است. مثال

– شما در محلی در حال انجام کار هستید

– شخصی به شما نزدیک شده و ادعا میکند شما را قبلا در جایی دیده و حتی در موارد پیشرفته ممکن است نام دوستان شما را ذکر کرده و خاطره ای از دیدار و آشنایی با شما تعریف کند(که شما احتمالا به خاطر نمی آورید!)

– در این مرحله ارتباط و اعتمادسازی اولیه صورت گرفته و با ادامه صحبت و بالارفتن سطح اعتماد، مهندس اجتماعی با طرح سوالهایش در قالب نکات تعجب آور یا مسایل پیش پا افتاده، اطلاعات لازم را کسب میکند.

Social Engineering Techniques

تکنیکهای مبتنی بر انسان

– رویکرد مستقیم

– جستجو در زباله‌ها

– جعل هویت

– سوءاستفاده از کاربران مهم

– کارکنان پشتیبان فنی

– کاربر درمانده

– Shoulder Surfing

– شایعه پراکنی

– جاسوسی و استراق سمع

Social Engineering Techniques human

مهندسی اجتماعی در سازمان ها

-تهدیدات داخل سازمانی: تهدیدات و حملات از طرف افراد داخل سازمان که در جریان امور و اطلاعات سازمان هستند. در صورتیکه این افراد هوشیار نباشند امکان درز اطلاعات از سمت ایشان بسیار زیاد است.

-تهدیدات خارج از سازمان: این تهدید از سمت افراد خارج از سازمان از جمله هکرها، جاسوس ها و یا رقبایی که قصد آسیب زدن به سازمان را دارند صورت میگیرد. افراد مذکر نقش تکنسین IT، تکنسین تعمیرات، پرسنل تاسیسات و … وارد محیطها و محوطه های مختلف سازمان شده و به کسب اطلاعات برای پیاده سازی مقاصد بعدی خود میپردازند.

-تهدیدات وارد از افراد مورد اعتماد سازمان: این تهدید از طرف کسانی مطرح میشود که خارج از سازمان بوده ولی با سازمان تعامل داشته و تا اندازه ای مورد اعتماد سازمان میباشند(پیمانکاران، مشاوران و …). با توجه به ارتباط ایشان با سازمان و دسترسی ایشان به اطلاعات سازمان، در صورتیکه این افراد آگاهی و آمادگی کافی نداشته باشند خود میتوانند منبعی برای درز اطلاعات سازمانی باشند.

 تکنیکهای مبتنی بر فضای مجازی

 – پنجره‌های Pop-Up

 – پیوست نامه‌های الکترونیکی

 – هرزنامه‌های زنجیره‌ای و فریب آمیز

 – وب‌سایت های جعلی

 – بازیابی و تجزیه و تحلیل ابزارهای مستعمل

 – فیشینگ

 تکنیکهای مبتنی بر فضای مجازی

 – پنجره‌های Pop-Up

Cybersecurity Techniques

 – ارسال بدافزار از طریق ایمیل

Cybersecurity Techniques malware

– حملات مبتنی بر پیامک

-حملات مبتنی بر شبکه های اجتماعی

-حملات مبتنی بر اپلیکیشنهای تلفن همراه

حملات مبتنی بر تلفن همراه

 attack message

حملات مبتنی بر تلفن همراه (شبکه های اجتماعی)

-برقراری ارتباط با افراد از طریق شبکه های اجتماعی و اعتماد سازی و سپس کسب اطلاعات

-ارسال پیام های گمراه کننده جهت فریفتن کاربر به منظور ارسال اطلاعات حساب کاربری خود

-ایجاد پروفایل های مجازی قلابی اغوا کننده جهت فریب قربانیان

– ارسال فایلهای آلوده با عناوین اغواکننده برای افراد در شبکه های اجتماعی

social Cybersecurity Techniques

حملات مبتنی بر تلفن همراه (اپلیکیشن ها)

Mobile based attacks apps

پیاده سازی یک نمونه عملی

– پیاده سازی ساختار و سیاستهای امنیتی مستند و کارشناسی شده

– ارزیابی ریسک

– آموزش و افزایش سطح آگاهی و آمادگی

– ممیزی

– مدیریت هویت (با استفاده از سیستم های نظارتی، تشخیص و احراز هویت)

– پیاده سازی دستورالعملهای صریح و شفاف عملیاتی جهت کاهش امکان حملات مهندسی اجتماعی

– مدیریت رخدادهای امنیتی

پیشگیری و حفاظت در مقابل حملات مهندسی اجتماعی

دسته: امنیت شبکه
نتیجه‌ای پیدا نشد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
برای ادامه، شما باید با قوانین موافقت کنید

keyboard_arrow_up