مهندسی اجتماعی چیست؟

مهندسی اجتماعی اگرچه اصطلاحی نسبتا مدرن است ولی پدیده ای است که از گذشته ، زمانی که انسان ها شروع به تعامل با یکدیگر کردند به وجود آمد .

مهندسی اجتماعی به صورت فلسفی یعنی تو چیزی داری که من میخواهم تورا به هر طریقی قانع کنم که آن را به من بدهی یا کاری را که میخواهم برایم انجام دهی حتی اگر به ضرر تو باشد .

در مهندسی اجتماعی این ذهن افراد است که هک میشود ، نه کامپیوتری در کار است و نه مهارت استفاده از آن .

هکر ها یک جمله معروفی در این باره دارند که میگه ” ضعیف ترین و آسیب پذیر ترین حلقه در زنجیره امنیت سایبری ، انسان ها هستند” زیرا انسان ها بیشتر تصمیمات خود را از روی احساسات میگیرند و از آنجا که منطق سهم ناچیزی در تصمیمات ما دارد ، میتوان دلیل موفقیت چشم گیر مهندسی اجتماعی را درک کرد.

اصطلاح مهندسی اجتماعی اولین بار توسط شخصی به نام کوین میتنیک (kevin Mitnick) مورد استفاده قرار گرفت ، چون این شخص در دهه 90 بعد از سال ها به کار گیری حقه و ترفند برای دستیابی به اطلاعات و دستکاری روان شناختی افراد به مهندس اجتماعی شهرت یافت .

در حالیکه او فقط 13 سال داشت ، توانست توسط تکنیک های مهندسی اجتماعی ، تمام اتوبوس های شهری لس آنجلس را به صورت رایگان سوار شود و بعد ها موفق شد به شبکه های شرکت دیجیتالی اکویپمنت و شرکت مخابراتی پسفیک بلز ، دسترسی غیر مجاز پیدا کند. ماجراجویی های کوین در این زمینه باعث شد سرانجام به زندان بیافتد . در حال حاضر کوین این کار را کنار گذاشته و اکنون متخصص امنیت سایبری شده است .

• گوشی تاشدنی اوپو فایند N2 احتمالا سبک‌تر از آیفون ۱۴ پرو مکس خواهد بود
• اقتصاد دیجیتال در مسیر ایران‌خودرویی شدن

مهندسی اجتماعی دقیقا چیست؟

در حملات مهندسی اجتماعی اطلاعاتی که فرد قصد فاش کردن آن را ندارد ، بدون آن که متوجه شود آنها را در اختیار مهاجم قرار میدهد یا تحت تاثیر آن تشویق یا وادار به انجام کاری میشود که بعدا از انجام آن کار پشیمان میشود .

مهندسی اجتماعی قبلا جنبه مثبتی داشت یعنی روانشناسان و دکتر ها از این تکنیک ها استفاده میکردند تا به بیمار خود کمک کنند مثلا یک روان شناس به اطلاعاتی نیاز دارد تا بیمار خود را معالجه کند اما بیمار اطلاعاتی که روانشناس میخواهد را در اختیار او قرار نمیدهد . روانشناس با این تکنیک ها اطلاعات را بدون اینکه بیمار متوجه شود به دست میاورد و از آن اطلاعات در جهت معالجه بیمار استفاده میکند .

ولی اکنون مهندسی اجتماعی جنبه منفی به خود گرفته چون دزد ها و هکر ها از این روش برای سرقت و استخراج اطلاعات استفاده میکنند.

تاریخچه مهندسی اجتماعی

ریشه مهندسی اجتماعی را میتوان در داستان های کهن نیز یافت برای مثال داستان اسب تروا .

این داستان روایت گر جنگ یونان با تروا است.

در این جنگ یونانیان به مدت 10 سال پشت دروازه های شهر مانده بودند که بلاخره یکی از سربازان یونانی به اسم ادیسه که سربازی باهوش بود ، یک نقشه ای میچیند که بتوانند سرباز هارا بدون زور و درگیری وارد شهر کند . طبق نقشه ادیسه سربازان یک اسب چوبی بزرگی درست میکنند و عده ای سرباز در آن قرار میگیرند و الباقی سربازان سوار کشتی شده و به یونان باز میگردند که اهالی شهر فکر کنند یونانیان تسلیم شده اند . آنان قبل رفتن به اهالی شهر گفتند این اسب پیشکش ما به خدایان شما است تا جان مارا تا برگشت به خانه حفظ کند .

اهالی شهر این اسب را میپذیرند و آن را وارد شهر میکنند بدون آنکه از درون آن مطلع باشند . با این نقشه زیرکانه یونان در جنگی که در ذهن اهالی تروا شکست خورده بود پیروز میشود .

تکنیک های مهندسی اجتماعی

1.نقش آفرینی

در این روش مهاجم ابتدا درباره قربانی تحقیق میکند تا اطلاعاتی مثل شماره تلفن ، کد ملی ،تاریخ تولد و… را بدست بیاورد و بعد با قربانی تماس میگیرد و به کمک این اطلاعات یک داستان خیالی طرح میکند و با نقش بازی کردن اعتماد او را جلب میکند . مثلا مهاجم بعد از تحقیق ها میفهمد که قربانی دنبال یک شغل است .مهاجم با نقش بازی کردن مثلا یک مدیر که به کارمند نیاز دارد اطلاعات حساس را از قربانی میگیرد.

2.سرقت انحرافی

در این روش سارق با جعل کردن ایمیل یا نشانی سازمانی به کارمندی که نیاز به اطلاعات آن دارد پیام میدهد و با درست کردن یک داستان خیالی اطلاعات اون شخص را میگیرد. مثلا به کارمند میگوید که فلانی میخواهد از شرکت بازدید کند و نیاز به لیست اطلاعات کارمندان دارد ، لطفا اطلاعات خودتان را به این نشانی ایمیل کنید.

3.فیشینگ

در این ترفند مهاجم خود را جای یک فرد یا نهاد قابل اعتماد جا میزند و با تقش بازی کردن قصد دارد به داده های حساس نظیر رمز عبور ، نام کاربری ، اطلاعات کریدت کارت و… دسترسی پیدا کند.

این روش خود به چند بخش تقسیم میشود:

فیشینگ با قلاب:

مهاجم در شبکه های اجتماعی حساب خدمات مشتری جعل میکند.مثلا یک پیج در اینستاگرام خرید و فروش پوشاک دارد و هر بار هرکسی از آن خرید میکند در استوری اعلام میکند. مهاجم هم یک پیج خدامات مشتری فیک میزند و به اون شخص پیام میدهد که مثلا به کالا های ما از یک تا ده در لینکی که درج شده امتیاز دهید ، بعد از وارد شدن کاربر به لینک نفوذ مهاجم ممکن میشود.

فارمینگ:

مهاجم کاربران را بجای سایت اصلی به وب سایت جعلی راهنمایی میکند و میخواهد اطلاعات حساس را وارد کند یا پول به یک حسابی بزنند.

فیشینگ نیزه ای:

مهاجم حمله خود را تنها روی یک فرد متمرکز میکند تا با استفاده از اون شخص بتواند به کل سیستم نفوذ کند.

تب قاپی:

مهاجم تب های مرورگر کاربر را که مدتی است غیر فعال مانده با محتوای مخرب جایگزین میکند.

شکار نهنگ:

مهاجم در این روش به جای کاربران عادی ، سراغ مدیران شرکت یا سازمان میرود و مستقیم اطلاعات حساس را از خود مدیر به سرقت میبرد.

طعمه گذاری:

در این روش مهاجم چیزی به ظاهر وسوسه کننده را جلوی قربانی قرار میدهد و قربانی را وادار به انجام کاری میکند یا با استفاده از آن اطلاعات آن را بدست بیاورد . برای مثال مهاجم یک فلش usb آلوده را روی یکی از صندلی های مترو از عمد جا میگزارد تا قربانی فکر کند چه شانسی دارد که یک فلش پیدا کرده و بعد آن را به سیستم خود میزند و این کار نفوذ مهاجم به سیستم را ممکن میکند.

ترس افزار:

این روش شبیه روش قبل وقتی قربانی فلش را به سیستم خود وصل میکند مهاجم به سیستم او دسترسی دارد ولی اگر مهاجم بخواهد دسترسی بیشتری به سیستم داشته باشد باید کاری بکند که کاربر مجبور به انجام آن کار بشود . برای مثال مهاجم یک اخطار پاپ آپ روی سیستم قربانی ظاهر میکند و میگوید که مثلا آنتی ویروس شما نیاز به آپدیت دارد و در آن اخطار یک لینک مخرب وجود دارد که کاربر برای آپدیت آنتی ویروس روی آن کلیک میکند و دسترسی مهاجم به سیستم آن شخص بیشتر میشود .