مقوله امنیت در وب از جنبههای مختلف قابل بررسی است همانطورکه شما سیستمهای خود را مجهز به سامانههای ضد بدافزار و فایروالها میکنید و دیوارهای امنیتی بلند برای اطلاعات خود میسازید از آن سوی دیوار نیز مجرمان چشم دوختهاند تا شکاف های آن را شناسایی و به اطلاعات و حریم خصوصی شما دست درازی کنند.
سارقانی که مغز شما را هک میکنند؟
نویسنده: خانم لیلا سهیلی آزاد
مقدمه
مقوله امنیت در وب از جنبههای مختلف قابل بررسی است همانطورکه شما سیستمهای خود را مجهز به سامانههای ضد بدافزار و فایروالها میکنید و دیوارهای امنیتی بلند برای اطلاعات خود میسازید از آن سوی دیوار نیز مجرمان چشم دوختهاند تا شکاف های آن را شناسایی و به اطلاعات و حریم خصوصی شما دست درازی کنند.
اغلب ما تصور میکنیم که کلاهبرداران اینترنتی از راههای پیچیده فنی سیستمهای ما را آلوده و از اطلاعات ما بهره برداری میکنند در حالیکه در بسیاری موارد آنها به راهی بسیار سادهتر که لزوماً فنی هم نیست متوصل میشوند شیوهای به نام "مهندسی اجتماعی" .
مهندسی اجتماعی در عین زیرکانه بودن یکی از مطلوبترین و کم هزینهترین راهها برای کلاهبرداران است. در این شیوه سارقان با تکیه بر خطاهای شناختی بشر و نیاز فطری او به اعتماد به دیگران، یکی از ضعیفترین بخشهای هر سیستم یعنی "بخش انسانی" را فریب داده و حملات خود را آغاز میکنند، در واقع در این تکنیک خود "شما" مورد توجه سارقین هستید و با قرار داده شدن در حالات خاص با فشارهای روانی اطلاعات را نادانسته تقدیم آنها میکنید!
در این مقاله به بررسی اجمالی مهندسی اجتماعی در حوزه امنیت می پردازیم و با مشخصات آن آشنا خواهیم شد.
تعریف
تماسی از سرویس دهنده اینترنت تان با شما برقرار میشود و کارشناس پشتیبانی اعلام میدارد به دلیل ارتقا سرورهای امنیتی اینترنت شما تا ساعاتی دیگر دچار اختلال خواهد شد و ضمن عذرخواهی برای رفع سریع مشکل از شما درخواست رمز عبور و نام کاربری میکند شما چه میکنید؟
شما هم اکنون هدف یک حمله مهندسی اجتماعی هستید!
طبق تعریف ویکی پدیا مهندسی اجتماعی یا Social Engineering در حوزه امنیت عبارت است از فن بکارگیری و اغوای مردم برای افشای اطلاعات محرمانه. (Wikipedia, n.d)
عموم تکنیک های مهندسی اجتماعی مبتنی بر حس اعتمادجویی انسان و خطاهای شناختی اوست یعنی آن موقعیتهای خاصی که مغز انسان دچار خطا شده و در قضاوت و نتیجه گیری اشتباه میکند.
مهندسی اجتماعی را میتوان ترکیبی از علم و روانشناسی و هنر دانست که در عین ظاهر سادهاش پیچیده و شگفتانگیز است. این شیوه از قدیم مورد توجه بوده است شاید هنوز داستانهایی از کلاهبرداری افرادی در لباس مأموران جمع آوری آمار و یا مأمور برق را به خاطر داشته باشید البته در گذشته کار سختتر بود ولی در عصر دیجیتال اطلاعات به راحتی در دسترس است و سارقان نیاز چندانی به ارتباط مستقیم با قربانی ندارند. (Social Engineerig, n.d)
شاید سایر روشهای هک و نفوذ و سرقت اطلاعات نیازمند تکنیکهای فنی و دانش نرمافزاری باشد اما مهندسی اجتماعی این فرصت را به سارقان میدهد تا به سادگی و با تکیه بر یکی از نیازهای دیرینه بشر یعنی اعتماد به دیگران، به راحتی به اطلاعات ارزشمند دسترسی پیدا کنند و به جای عبور از دیواره آتش و نرم افزارهای امنیتی راه خود را از طریق ذهن افراد باز کنند. (ویکی پدیا، بیتا) کوتاه سخن اینکه کلاهبرداران اینترنتی با استفاده از مهندسی اجتماعی مغز قربانیان خود را هک میکنند. (Savitz, 2012)
البته مهندسی اجتماعی همیشه بد نیست و بسیاری از شاخههای علوم از آن برای کمک به انسانها بهره میبرند، روانشناسان و متخصصان علوم رفتاری، سرویسهای اطلاعاتی و کارشناسان تبلیغات و بازاریابی و فروش برای دستیابی به مقاصد خود به این شاخه توجه دارند اما در کنار این فواید، کلاهبرداران و سارقان هم در جستجوی فرصتاند، شیادان از حس اعتماد انسانها سوءاستفاده کرده و با ترفندهای متنوع مهندسی اجتماعی افراد را به انجام کارهای خاص و یا افشای اطلاعات وا میدارند.
سوال اینجاست که چه کسانی هدف حملات مهندسی اجتماعی هستند؟ پلیس بین الملل معتقد است همه! اینترپل میگوید:" همه افراد در معرض این حملاتند! هر چند افراد سالمند آسیب پذیرتر هستند، اما افراد در سنین مختلف، در همه کشورها، در همه زمینه ها و مشاغل در معرض خطر هستند. همه ما باید نسبت به خطرات کلاهبرداری مهندسی اجتماعی هم در زندگی شخصی و هم حرفه ای هشدار باشیم و اقدامات احتیاطی لازم را اتخاذ می کنیم." (Interpol, n.d)
انواع حملات مهندسی اجتماعی
شکل زیر چرخه اصلی تمام انواع حملات مهندسی اجتماعی است : (Interpol, n.d)
این الگو در اغلب حملات مهندسی اجتماعی مشاهده میشود هر چند امروزه این نوع حملات بسیار گستردهتر و پیچیدهتر شدهاند و ترکیبی از روشهای مختلف در آنها بکار میرود اما از یک منظر میتوان حملات مهندسی اجتماعی را به دو دسته اصلی تقسیم کرد: (Infosec, 2013)
1. حملات مبتنی بر ارتباط انسانی: این دسته نیازمند تعامل با فرد یعنی برقراری ارتباط انسان با انسان است.
جعل هویت :
فرد کلاهبردار از طریق یک تماس تلفنی و یا حتی حضور در مکان مورد نظر با عنوان تعمیرکار، پیمانکار و پرسنل پشتیبانی فنی با افراد شرکت یا سازمان هدف ارتباط برقرار کرده و با داستان سرایی و جلب اعتماد، اطلاعات محرمانه سازمان را بدست میاورد. اغلب کارکنان سطح پایین یا افراد عادی، هیچ سوء ظنی نسبت به کسی که در این موقعیت ظاهر میشود، ندارند.
دزدیده نگاه کردن :
در این شیوه که بیشتر در بانک ها و موسسات شایع است سارقان اینترنتی با گشت و گذار در محل با نگاههای دزدیده از بالای سر کارمندان و یا گوش دادن به صحبتهای رد و بدل شده بین آنها اطلاعات را جمع آوری میکنند مثلا به نام کاربری و کلمه عبوری که موقع ورود به سیستم تایپ میکنند دقت کرده و برای ورود خود به سیستم از آن استفاده میکنند.
زباله گردی :
برای کشف اطلاعات محرمانه شرکت یا سازمان مورد هدف اسناد باطله کاغذی و چاپی در زباله دانها منبع قابل توجهی برای سارقان هستند. هکرها اغلب می توانند رمزهای عبور، نام پروندهها یا سایر اطلاعات محرمانه و سرنخ های مهم را از لابه لای آنها پیدا کنند.
2. حملات مبتنی بر سیستم : در این نوع حملات رایانه و اینترنت و دانش فنی هم به کمک سارقان میآید.
متقاعدسازی :
در این شیوه قربانی از قبل مطالعه و هدفگذاری میشود و برای اعتمادسازی او سناریویی طراحی میشود و با تکیه بر اطلاعاتی که از فرد در شبکه اجتماعی اش موجود است کلاهبرداران اعتماد او را به خود جلب میکنند. در این شیوه تماس تلفنی معمول است و امروزه از سیستمهای تلفنی اینترنتی یا VOIP هم استفاده میشود که قابل ردیابی هم نیست. سارقان با استفاده از تکنیکهای القای ترس شما را نسبت به در خطر بودن دارایی یا دوستان و اعضا خانواده تان مضطرب میکنند. (Lord, 2017) به عنوان مثال از عبارتهایی نظیر " تقاضایی کمک فوری" " یا اقدام فوری برای حفظ موجودی حسابتان" استفاده میکنند و یا القا میکنند که برای یکی از دوستانتان یا اعضای خانواده که در جایی گرفتار شده کاری انجام دهید یا حتی برای کمک فوری به خیریه مورد اعتماد شما که در وضعیت اضطراری است از شما تقاضای پول میشود.
حملات صیادی :
فریب قربانی از طریق ارسال ایمیلهای جعلی یا صفحات تقلبی وب که کاملا مشابه صفحات اصل هستند صورت میگیرد و با هدایت قربانی به سمت این صفحات تقلبی اطلاعات محرمانه او مانند اطلاعات کارت بانکی یا رمز عبور خود در دسترس سارقین قرار میگیرد. امروزه با گستردگی شبکههای اجتماعی این شیوه از طریق لینکها و پیامهای ارسالی در این پیامرسانها مورد استفاه قرار میگیرد. مثلا صفحه ای از طرف بانک شما باز میشود و برای ارزیابی صحت اطلاعات شما درخواست ورود اطلاعات مالیتان را دارد. یا اینکه شما برنده شدهاید و باید برای ارسال مبلغ، اطلاعات خود را وارد کنید.
طعمه گذاری:
در این روش یک ابزار فیزیکی مانند یک لوح فشرده یا فلش دیسک حاوی بدافزار با برچسب هایی جذاب و فریبنده مثل "لیست حقوق مدیر عامل" یا هدیه تبلیغاتی در سر راه افراد – مثلا در آسانسور یا راه پله ها– قرار داده میشود و با تحریک حس کنجکاویِ قربانی او را به دام انداخته و به محض اتصال به رایانه قربانی امکان دسترسی کلاهبرداران به رایانه او فراهم میشود. امروزه با ارسال لینکهای داغ در صفحات مثلا لینک فیلمها و موسیقیهای روز و یا چیزی مشابه آن این کار برای سارقان راحتتر شده است که البته این لینکها طعمه و حاوی بدافزار هستند. (Webroot, n.d)
چطور در برابر حملات مهندسی اجتماعی مصون بمانیم؟
گفتیم حملات مهندسی اجتماعی بر هک کردن ذهن افراد تمرکز دارند و با فریفتن افراد با شیوه های مختلف به اهداف خود دست پیدا میکنند. به نظر میرسد برای مواجهه صحیح با این حملات باید بر عامل کلیدی این حملات یعنی اشخاص که بعضا مردم عادی و نیروهای انسانی سازمانها هستند، متمرکز شد و با آگاه سازی درصد موفقیت این حملات را کاهش داد.
مهمترین قدم برای در امان ماندن از حملات مهندسی اجتماعی آگاهی رسانی به افراد در سطوح مختلف است که این آگاهیرسانی از آموزش والدین به فرزندان تا آموزشهای پیشرفته در سازمانهای امنیتی و اطلاعاتی را شامل میشود. اینکه افراد بپذیرند خطر وجود دارد و در ارتباط با افراد بیرونی ممکن است در معرض این حملات قرار گیرند سبب میشود افراد دادههای شخصی و داخلی خود یا سازمان مرتبط را به سادگی فاش نکنند.
افراد باید در هر سمتی که هستند قدرت تشخیص داشته باشند و میان اطلاعات معمولی و اطلاعاتی که باید در داخل مجموعه، سازمان یا خانواده باقی بماند تفاوت قائل شوند. طیف این آگاهسازی از آموزش طبقهبندی اطلاعات در سازمانها تا آموزش اهمیت حسابهای مالی یک خانواده به فرزندان متغییر است.
گفتیم که در برخی از حملات جدی مهندسی اجتماعی افراد از قبل شناسایی شده و مهاجمان به تدریج اطلاعات را در مورد آنها جمعآوری میکنند. در چنین موارد حتی صحبتهای روزمره و عادی از سفارش پیتزا تا نوشتههای عادی در شبکههای اجتماعی فرصتی برای سارقان است. افرادی که در سازمانهای کلیدی مشغول هستند خانواده آنان باید در مورد فعالیتهای روزمره و عادی خود دقت کنند و ببینند تا چه اندازه به دیگران اجازه میدهند آنها را بشناسند!
مهاجمان معمولا شما را در حالات خاص روانی قرار میدهند تا قدرت تشخیص شما را تضعیف کنند و شما را به تصمیمگیری شتابزده وادار کنند پس خونسرد باشید و هیجانات خود را کنترل کنید.
تعارف را کنار بگذارید و خونسرد باشید و بر صداقت و احراز هویت کسی که به هر نحوی با شما تماس گرفته است تمرکز کنید این فرد میتواند شخصی باشد که خود را مأمور جمعآوری آمار معرفی کرده است یا مخاطب ناشناس در تلگرام، یا فرستنده ناشناس یک ایمیل. (درگاه جامع شاب، 1395)
در مورد حملات مبتنی بر سیستم مراقب باشید.
برای ایمیلهای جدید که تاکنون دریافت نکردهاید وقت بگذارید. آدرس ایمیل فرستنده و یا URL را دقیقاً بررسی کنید و درستی آدرس را با منابع رسمی آن مطابقت دهید.
اگر پیامی دریافت میکنید که انتظار آن را ندارید (حتی از طرف کسی است که میشناسید) یا در یک پیامک یا ایمیل پیشنهادی دریافت می کنید که زیادی خوب است هیچ پیوستی از آن را باز نکنید، بر روی لینکهایش کلیک نکنید، آن ایمیل را جواب ندهید، هیچ پولی ارسال نکنید، مدارک شناسایی (حتی کپی آنها را) را ارسال نکنید، جزئیات حسابهای بانکی یا کارتهای پرداخت خود را ارائه ندهید، پیام را به عنوان هرزنامه گزارش دهید و سپس آن را پاک کنید.
اگر در یک تماس تلفنی احساس راحتی نمیکنید اطلاعاتی ارائه ندهید و مکالمه را پایان دهید.
همچنین میتوانید با تنظیم فیلترهای اسپم به بالاترین سطح و نصب دیوار آتش و نرمافزار ضد ویروس از رایانه و سایر دستگاههای خود محافظت کنید و آنها را به روز نگه دارید. (Interpol, n.d)
نتیجه گیری
مهندسی اجتماعی مجموعهای از روشهای تقریباً غیرفنی و متمرکز بر ویژگیهای روانشناسانه افراد برای نفوذ و دسترسی به اطلاعات کاربران است که توسط سارقان و هکرها مورد استفاده قرار میگیرد. کلاهبرداران و سارقین کاربران را در موقعیتی قرار میدهند که به صورت ناخواسته و بدون آگاهی و یا از روی اضطراب و هیجان اطلاعات حساس خود را به مهاجمان بدهند. به دلیل رشد و گسترش شبکههای اجتماعی و افزایش روزافزون کاربران این سامانهها، بستر بسیار مناسبی برای حملات مهندسی اجتماعی فراهم شده است که در صورت عدم آشنایی با اینگونه حملات، خطر بزرگی کاربران این شبکهها را تهدید خواهد کرد. (شاب، 1395)
با رشد و شیوع دادههای شخصی در بستر اینترنت به نظر نمیرسد که در سال های آینده حملات مهندسی اجتماعی کاهشی پیدا کنند، به واقع نمیتوان در برابر این حملات کاملا مصون ماند چرا که برای سهل انگاری و سادهلوحی هیچ راهِ درمانِ صد در صدی وجود ندارد، اما افزایش آگاهی و هشیاری در سطوح مختلف شغلی و زندگی روزمره از فرصتهای تبهکاران میکاهد.
مراجع
Wikipedia, (n.d), Socail engineering (security), https://en.wikipedia.org/wiki/Social_engineering_(security)
Socail Engineering, (n.d), What is Social Engineering, https://www.social-engineer.org/about/
Savitz, Eric , 2012, Social Engineering: Hacking the human mind, Forbes, https://www.forbes.com/sites/ciocentral/2012/03/29/social-engineering-hacking-the-human-mind/#6a0a692721e3
Interpol, (n.d), Social Engineering fraud, https://www.interpol.int/Crime-areas/Financial-crime/Social-engineering-fraud/Types-of-social-engineering-fraud
Infosec, 2013, Social Engineering: a hacking story, http://resources.infosecinstitute.com/social-engineering-a-hacking-story/
Lord, Net, 2017, don’t get hooked: how to recognize and avoid phishing attacks (infographic), Data Guardian, https://digitalguardian.com/blog/dont-get-hooked-how-recognize-and-avoid-phishing-attacks-infographic
Webroot, (n.d), What is Social Engineering, https://www.webroot.com/us/en/home/resources/tips/online-shopping-banking/secure-what-is-social-engineering
ویکیپدیا، بی تا، مهندسی اجتماعی، https://fa.wikipedia.org/wiki/مهندسی_اجتماعی
شاب، 1395، چگونه در شبکههای اجتماعی، حریم خصوصی خود را حفظ کنیم؟، https://shub.ir/news/25
درگاه جامع شاب، 1395، مهندسی اجتماعی (2)، https://shub.ir/news/15