سیدمحمدرضا موسوی پور
چند هفته قبل دوست محترمی تماس گرفت و از پیامکی که برایش ارسال شده بود، اظهار تعجب و نگرانی میکرد.
متن پیام این بود: رضا، الهه قصد دارد در لینک زیر عکسهای شخصی تو را به اشتراک بگذارد و یک لینک تقریبا عجیب هم در ادامه آمده بود.
از او خواستم که عکس العملی نسبت به اینگونه موارد نداشته باشد. چرا که ممکن است دچار یک حمله اینترنتی شود. این دوست عزیز هم در جواب گفت که تنها کشور مبدا ارسال پیامک را شناسایی کرده و نیز آدرس داده شده را در رایانه شخصی خود بررسی نموده است! در اینجا پاسخ من اظهار تاسف و...
این تنها موردی نیست که هر از چند گاهی با آن روبرو میشویم و بارها به روشهای مختلف دچار دردسرهای به ظاهر کوچک، اما با خطرات بالقوه و گاه غیر قابل جبران میگردیم.
از این دست اتفاقات که تعدادشان نیز کم نیست، سبب شد تا به نگارش مقالهای بپردازیم که حاصل آن پیش روی شما قرار گرفته است.
انسانها اغلب ضعیفترین حلقه موجود در زنجیره امنیت هستند. بنابراین، مردم برای درز اطلاعات حساس در حملات مهندسی اجتماعی اهداف مناسبی هستند.
مهندسی اجتماعی یک روش مورد استفاده توسط مهاجمان برای دستکاری و مدیریت رفتار اجتماعی و روانی مردم، برای بهدست آوردن امکان دسترسی به اطلاعات و یا انجام چیزی است که آنها در تنظیم رفتارهای مختلف اجتماعی، مایل به انجام آن نیستند.
در واقع مهندسی اجتماعی سازوکار بهدست آوردن اطلاعات حساس از طریق بهرهبرداری از ویـژگیهای انسانی است. یکی از انگیزههای رایج در حملات مهندسی اجتماعی، بهدست آوردن سیاستهای امنیتی، اسناد حساس، نقشهها و اطلاعات زیربنای شبکه، اطلاعات شخصی مانند نام کاربری و رمز عبور بانک و یا اطلاعات کارت اعتباری از افراد، بهجای شکستن آن از طریق دسترسی به یک رایانه است.
این روشها معمولا در مراحل اولیه رخنه توسط مهاجمان استفاده میشود و اگرچه از اطلاعات فنی زیادی استفاده نمیشود، اما معمولا نتايج بسیار خوبی برای مهاجم در بر دارد. اين روشها گستردگی بسیاری داشته و هر بار به شکلی بروز میکنند.
انواع حملات مهندسی اجتماعی
مهندسی اجتماعی را میتوان به دو دسته انسانی و رایانهای تقسیم نمود. در روش انسانی اطلاعات حساس از طریق روابط متقابل جمعآوری میشود و در واقع مهاجم در نقش یک استفادهکننده قانونی مهم فرو میرود و ضمن دادن مشخصات خود، اطلاعات حساس را درخواست میکند.
همچنین گوشدادن به مکالمات، نگاه کردن به انگشتان شما در هنگام واردکردن رمز، زیر نظر گرفتن برای جمعآوری اطلاعات فنآوریهای جاری شرکت و یا زباله گردی برای بهدست آوردن هرگونه اطلاعات مهم را در این دسته قرار داد.
عمده روشهای هجوم رخنهگران در این دسته، از ویژگیهای انسانی اعتماد، ترس، تمایل به کمک و یا طمع بهره میگیرند.
دسته دیگری از حملات مهندسی اجتماعی، به کمک رایانهها اجرا میشوند. پیوستهای قرار دادهشده در ایمیل، صفحات خود بازشو، سایتهای بختآزمایی، هرزنامهها، نامههای دروغین، پیامرسان گپ فوری و یا هشدارهایی درباره بدافزارهای مقیم در رایانه شما، همگی بخشی از حملات مهندسی اجتماعی رایانهای هستند که برای جمعآوری اطلاعات باارزش شما توسط مهاجمان طراحی شدهاند و هر از چند گاهی با آنها مواجه میشویم.
حتی حمله Phishing نیز از دسته حملات مهندسی اجتماعی رایانهای است که به طور سنتی، کاربران ایمیل را مورد هدف قرار میدهد.
در واقع مهاجمی که از مهندسي اجتماعي استفاده میکند، تلاش مینماید تا اطمينان کسی که اجازه دسترسي به شبکه را دارد، برای رسيدن به اطلاعات مشخصی که امنيت شبکه را به خطر میاندازد، بهدست بياورد.
در این حمله اخیر مهاجم یک وب سایت جعلی را به نحوی ایجاد میکند که ظاهرا یک سایت قانونی، مانند سایت یک موسسه مالی است. بنابراین قربانیها با دیدن سایت جعلی فریب میخورد و متقاعد ميشود تا اطلاعات حیاتی مورد نیاز سایت مانند رمزهای عبور، مشخصات فردی، شماره کارت اعتباری یا کد ملی خود را تسلیم نمایند.
اگرچه فیلترهای هرزنامه و ابزارهای ضد فیشینگ را میتوان برای محافظت در برابر اینگونه حملات استفاده نمود. اما بهترین راهکار توجه به نشانی سایت موجود و مقایسه آن با آدرس سایت قانونی مورد نظر است.
چند نمونه از حملات مهندسی اجتماعی
اجازه دهید چند نمونه رایج از حملات مهندسی اجتماعی که به درک بهتر آن کمک خواهد کرد را در نظر بگیریم. فرض کنید درحالیکه شما در دفتر خود مشغول بهکار هستید، فردی از بخش مدیریت با شما تماس میگیرد.
این شخص در ادامه مکالمه خود را معرفی کرده و به شما میگوید: ما چند ویروس فعال را در بخش کاری شما پیدا کردهایم. رایانه شما نیاز به پاکسازی فوری داشته و باید هرچه زودتر از اطلاعات شما نسخه پشتیبان تهیه شود.
آیا رمز عبور خود را میتوانید در اختیار من بگذارید؟ اگر شما کمی زیرک باشید، با تعجب این سوال را خواهید پرسید که چرا مدیر سیستم، رمز عبور را از من سوال میکند. او که به سادگی میتواند رمز عبور را ریست نموده و بهراحتی آن را پاک نماید!
اما بسیاری از افراد به دام افتاده و رمز عبور خود را اعلام میکنند. در اینجا، مهاجم یکی از ابزارهای مهندسی اجتماعی بهنام اعتمـاد را بهکار میگیرد. اجازه دهید مثال دیگری را در نظر بگیریم که هر از چند گاهی برای ما اتفاق میافتد.
شما از شناسهای که متعلق به یکی از دوستان بسیار صمیمیتان است، یک ایمیل دریافت میکنید. درون ایمیل لینک یک کارتپستالی الکترونیکی برای شما وجود دارد. درصورتیکه هوشمندانه رفتار نمایید، قبل از کلیک کردن بر روی پیوند موجود، درباره آن تحقیق میکنید و در ارسال آن کارت از طرف دوستتان تردید میکنید.
هدف از این کار به چه دلیلی بوده و نحوه نوشتار متن و حواشی آن چگونه است؟ آیا این وضعیت رفتار طبیعی دوستتان است و چندین و چند سوال دیگر. اما اکثریت مردم بر روی پیوند کارت الکترونیکی کلیک میکنند.
بدون اینکه بدانند آدرس ایمیل جعلی بوده و پیوند یک لینک به یک اسب تروآ است. هنگامی که شما بر روی پیوند کلیک میکنید، اسب تروآ بر روی رایانه شما بارگذاری میشود و این سرآغاز هجوم یکی از سختترین حملات رایانه ای میباشد.
چراکه از این پس به هر قسمتی که شما امکان و مجوز دسترسی به آنرا داشته اید، اسب تروا نیز دسترسی خواهد داشت و اطلاعات حساس رایانه و شبکه شما میتواند توسط اسب تروآ به هکر و آدرسی که او در نظر گرفته است، ارسال شود.
حتی ممکن است با همین یک کلیک ساده مهاجم توانسته باشد اختیار رایانه شما را بهدست بگیرد و در واقع آن را بدل به یک زامبی نموده و در ردیف ارتش زامبیهای خود در آورد که به دیگر رایانههای درون شبکه حمله میکنند. در مثال اخیر نیز مهاجم از یک ابزار اجتماعی بهنام اعتماد استفاده کرده است.
گاهی اوقات نیز ممکن است یک نامه الکترونیکی دریافت نمایید که در آن گفته شده است که شما برنده قرعهکشی۲۰ میلیون دلاری شدهاید و یا بلیت سفر به جزایر قناری را بردهاید! در این حالت ابزار اجتماعی مورد استفاده، حرص و طمع انسانها است.
حتی در این حالت برخی که به بیپایه بودن ازایندست نامهها واقف هستند نیز بر اثر بیحوصلگی و یا کنجکاوی در دام مهاجم میافتند. در یک مثال جدیتر، ممکن است ایمیلی را از بانکی دریافت نمایید که در آن گفته شده است، برای اطمینان از ایمنی شما، آنها در حال اعتبارسنجی پایگاه داده بانک هستند و بنابراین از شما خواسته میشود، در اولین فرصت وارد پورتال بانک شده و با بررسی صحت کارکرد شناسه و رمز عبورتان، از ایمنی خود اطمینان حاصل کنید.
شما از روى حسن نيت و بدون آنکه بدانید پیوند موجود در ایمیل، سایت بانک شما نیست، به آن وارد میشوید. غافل از آنکه در طرف دیگر، این سایت مهاجم است که حساب بانکی و رمز عبور شما را به سرقت برده است و شما دچار حمله Phishing شده اید.
به این پست الکترونیکی که ظاهرا از سوی یک سرور ارائه دهنده ایمیل ارسال شده است، توجه کنید. «سلام. شما اين ايميل را به این دلیل دريافت نمودهاید که يک کاربر ثبت شده بر روي سرور ما هستيد.
از آنجا که طي ماه اخير کاربران ثبت شده روي سرور ما افزايش چشمگیری يافته است، مجبور شدهايم حسابهاي کاربري غيرفعال را از پايگاه داده خود پاک نماییم. در صورتی که همچنان بر روی سرور ما مشغول به فعالیت میباشید، لطفا با دنبال نمودن پیوند موجود، ما را در جریان قرار دهید.
درصورتیکه حساب کاربري خود را تا ۴۸ ساعت پس از دريافت اين پيام تایید نکنيد، حساب کاربري شما پاک خواهد شد و قادر به برگرداندن آن نخواهيد بود. با احترام. مديریت سایت». این مثال نیز اشاره به یکی از حملات مهندسی اجتماعی میکند.
مثالهای دیگری نیز میتوان برای دیگر ویژگیهای انسانی مانند ترس و یا تمایل به کمک بیان نمود که هدف آنها نیز بهدست آوردن اطلاعات حساس توسط مهاجم است.
مثلا بازی کردن نقش رئیس عصبانی شرکت شما یا یک مشتری ارزشمند در یک تماس تلفنی و یا وانمود کردن خود بهعنوان کارمند جدید شرکت که دچار مشکلی جدی شده است.
معمولا حملات مهندسی اجتماعی در شرکتها و سازمانها با توجه به ارزش اطلاعات و نیز تعداد افرادی که به اطلاعات دسترسی دارند، خطرناکتر است. بنابراین راهکارهای مشخصی همچون هشدارهای امنیتی، آموزشهای مناسب و یا تغییر دورهای رمزهای عبور باید در نظر گرفته شوند.
کارامدی حملات مهندسی اجتماعی در سازمانها رابطه مستقیمی با عدم وجود انگیزه کافی در میان کارمندان دارد و این موضوع نیز بسیار مورد توجه مهاجمان است. اکنون میتوانید اشتباهاتی که در گذشته مرتکب شدهاید را مرور نموده و در آینده دقت و هوشیاری بیشتری به خرج دهید، تا اسیر دام مهاجمان نشوید.
جمـعبندی
در كنار اشتباهات و حوادث، برخی ويژگيهای ذاتي در گرايشهاي طبيعي انسان همچون حس تمايل به ياري و اطمينان به همنوع وجود دارد که مهاجمان ميتوانند به کمک آنها در برخي موارد موفقيتهاي غافلگيركنندهاي در مغلوب ساختن سيستمهاي امنيتي داشته باشند.
اين قابليت كه افراد بتوانند با استفاده از حيلههاي ساده و معمولي به مكانها و اطلاعات حساس دسترسي پيدا كنند، بهقدری عموميت يافته است كه موجب پيدايش يك اصطلاح بهنام مهندسي اجتماعي گرديده است.
بنابراین کاربران رایانهها و تمامی اشخاصي كه حفاظت و حراست از مكانهاي حساس را برعهده دارند، باید علاوه بر آموزشهاي مرسوم عملياتي و آشنایی با پروتكلهاي امنيتي، بياموزند كه چگونه در برابر تكنيكهاي خلاقانه مهندسي اجتماعي مقاومت نموده و در تله آن گرفتار نشوند.
مدیران نیز باید نسبت به توسعه یک ساختار مدیریت امن اقدام نموده و ضمن ارزیابی اینگونه حملات و مدیریت خطرپذیری آنها، نسبت به تدوین و اجرای روشهای مقابله با مهندسی اجتماعی در سیاستهای امنیتی خود اقدام نمایند. ذکر این نکته ضروری است که یک دفاع موفق بستگی زیادی به داشتن سیاستهای کارآمد و آموزش کاربران جهت پیروی از آن دارد.
مهندسی اجتماعی از نظر دفاع شاید سختترین شکل تهاجم رخنهگران باشد. زیرا نمیتوان تنها با سختافزار و یا نرمافزار با آن مقابله نمود.
باوجود داشتن بهترین دیوار آتش، سیستمهای تشخیص نفوذ و یا آنتیویروسها که فناوری روز آنها را در اختیار قرار میدهد، ابزارهای مهندسی اجتماعی همچنان یک تهدید امنیتی گسترده محسوب میشوند.