ايتنا - مهندسی اجتماعی در خدمت هکرهای خلاق

سیدمحمدرضا موسوی پور
چند هفته قبل دوست محترمی تماس گرفت و از پیامکی که برایش ارسال شده بود، اظهار تعجب و نگرانی می‌کرد.
متن پیام این بود: رضا، الهه قصد دارد در لینک زیر عکس‌های شخصی تو را به اشتراک بگذارد و یک لینک تقریبا عجیب هم در ادامه آمده بود.

از او خواستم که عکس العملی نسبت به این‌گونه موارد نداشته باشد. چرا که ممکن است دچار یک حمله اینترنتی شود. این دوست عزیز هم در جواب گفت که تنها کشور مبدا ارسال پیامک را شناسایی کرده و نیز آدرس داده شده را در رایانه شخصی خود بررسی نموده است! در اینجا پاسخ من اظهار تاسف و...

این تنها موردی نیست که هر از چند گاهی با آن روبرو می‌شویم و بارها به روش‌های مختلف دچار دردسرهای به ظاهر کوچک، اما با خطرات بالقوه و گاه غیر قابل جبران می‌گردیم.

از این دست اتفاقات که تعدادشان نیز کم نیست، سبب شد تا به نگارش مقاله‌ای بپردازیم که حاصل آن پیش روی شما قرار گرفته است.

انسان‌ها اغلب ضعیف‌ترین حلقه موجود در زنجیره امنیت هستند. بنابراین، مردم برای درز اطلاعات حساس در حملات مهندسی اجتماعی اهداف مناسبی هستند.

مهندسی اجتماعی یک روش مورد استفاده توسط مهاجمان برای دست‌کاری و مدیریت رفتار اجتماعی و روانی مردم، برای به‌دست آوردن امکان دسترسی به اطلاعات و یا انجام چیزی است که آنها در تنظیم رفتارهای مختلف اجتماعی، مایل به انجام آن نیستند.

در واقع مهندسی اجتماعی سازوکار به‌دست آوردن اطلاعات حساس از طریق بهره‌برداری از ویـژگی‌های انسانی است. یکی از انگیزه‌های رایج در حملات مهندسی اجتماعی، به‌دست آوردن سیاست‌های امنیتی، اسناد حساس، نقشه‌ها و اطلاعات زیربنای شبکه، اطلاعات شخصی مانند نام کاربری و رمز عبور بانک و یا اطلاعات کارت اعتباری از افراد، به‌جای شکستن آن از طریق دسترسی به یک رایانه است.

این روش‌ها معمولا در مراحل اولیه رخنه توسط مهاجمان استفاده می‌شود و اگرچه از اطلاعات فنی زیادی استفاده نمی‌شود، اما معمولا نتايج بسیار خوبی برای مهاجم در بر دارد. اين روش‌ها گستردگی بسیاری داشته و هر بار به شکلی بروز می‌کنند.

انواع حملات مهندسی اجتماعی
مهندسی اجتماعی را می‌توان به دو دسته انسانی و رایانه‌ای تقسیم نمود. در روش انسانی اطلاعات حساس از طریق روابط متقابل جمع‌آوری می‌شود و در واقع مهاجم در نقش یک استفاده‌کننده قانونی مهم فرو می‌رود و ضمن دادن مشخصات خود، اطلاعات حساس را درخواست می‌کند.

همچنین گوش‌دادن به مکالمات، نگاه کردن به انگشتان شما در هنگام واردکردن رمز، زیر نظر گرفتن برای جمع‌‌آوری اطلاعات فن‌آوری‌های جاری شرکت و یا زباله گردی برای به‌دست آوردن هرگونه اطلاعات مهم را در این دسته قرار داد.

عمده روش‌های هجوم رخنه‌گران در این دسته، از ویژگی‌های انسانی اعتماد، ترس، تمایل به کمک و یا طمع بهره می‌گیرند.

دسته دیگری از حملات مهندسی اجتماعی، به کمک رایانه‌ها اجرا می‌شوند. پیوست‌‌های قرار داده‌شده در ایمیل، صفحات خود بازشو، سایت‌های بخت‌آزمایی، هرزنامه‌ها، نامه‌های دروغین، پیام‌رسان گپ فوری و یا هشدارهایی درباره بدافزارهای مقیم در رایانه شما، همگی بخشی از حملات مهندسی اجتماعی رایانه‌ای هستند که برای جمع‌آوری اطلاعات باارزش شما توسط مهاجمان طراحی شده‌اند و هر از چند گاهی با آنها مواجه می‌شویم.

حتی حمله Phishing نیز از دسته حملات مهندسی اجتماعی رایانه‌ای است که به طور سنتی، کاربران ایمیل را مورد هدف قرار می‌دهد.

در واقع مهاجمی که از مهندسي اجتماعي استفاده می‌کند، تلاش می‌نماید تا اطمينان کسی که اجازه دسترسي به شبکه را دارد، برای رسيدن به اطلاعات مشخصی که امنيت شبکه را به خطر می‌اندازد، به‌دست بياورد.

در این حمله اخیر مهاجم یک وب سایت جعلی را به نحوی ایجاد می‌کند که ظاهرا یک سایت قانونی، مانند سایت یک موسسه مالی است. بنابراین قربانی‌ها با دیدن سایت جعلی فریب می‌خورد و متقاعد مي‌شود تا اطلاعات حیاتی مورد نیاز سایت مانند رمزهای عبور، مشخصات فردی، شماره کارت اعتباری یا کد ملی خود را تسلیم ‌نمایند.

اگرچه فیلترهای هرزنامه و ابزارهای ضد فیشینگ را می‌توان برای محافظت در برابر این‌گونه حملات استفاده نمود. اما بهترین راهکار توجه به نشانی سایت موجود و مقایسه آن با آدرس سایت قانونی مورد نظر است.

چند نمونه از حملات مهندسی اجتماعی
اجازه دهید چند نمونه‌ رایج از حملات مهندسی اجتماعی که به درک بهتر آن کمک خواهد کرد را در نظر بگیریم. فرض کنید درحالی‌که شما در دفتر خود مشغول به‌کار هستید، فردی از بخش مدیریت با شما تماس می‌گیرد.

این شخص در ادامه مکالمه خود را معرفی کرده و به شما می‌گوید: ما چند ویروس فعال را در بخش کاری شما پیدا کرده‌ایم. رایانه شما نیاز به پاک‌سازی فوری داشته و باید هرچه زودتر از اطلاعات شما نسخه پشتیبان تهیه شود.

آیا رمز عبور خود را می‌توانید در اختیار من بگذارید؟ اگر شما کمی زیرک باشید، با تعجب این سوال را خواهید پرسید که چرا مدیر سیستم، رمز عبور را از من سوال می‌کند. او که به سادگی می‌تواند رمز عبور را ریست نموده و به‌راحتی آن را پاک نماید!

اما بسیاری از افراد به دام افتاده و رمز عبور خود را اعلام می‌کنند. در اینجا، مهاجم یکی از ابزارهای مهندسی اجتماعی به‌نام اعتمـاد را به‌کار می‌گیرد. اجازه دهید مثال دیگری را در نظر بگیریم که هر از چند گاهی برای ما اتفاق می‌افتد.

شما از شناسه‌ای که متعلق به یکی از دوستان بسیار صمیمی‌تان است، یک ایمیل دریافت می‌کنید. درون ایمیل لینک یک کارت‌پستالی الکترونیکی برای شما وجود دارد. درصورتی‌که هوشمندانه رفتار نمایید، قبل از کلیک کردن بر روی پیوند موجود، درباره آن تحقیق می‌کنید و در ارسال آن کارت از طرف دوستتان تردید می‌کنید.

هدف از این کار به چه دلیلی بوده و نحوه نوشتار متن و حواشی آن چگونه است؟ آیا این وضعیت رفتار طبیعی دوستتان است و چندین و چند سوال دیگر. اما اکثریت مردم بر روی پیوند کارت الکترونیکی کلیک می‌کنند.

بدون اینکه بدانند آدرس ایمیل جعلی بوده و پیوند یک لینک به یک اسب تروآ است. هنگامی که شما بر روی پیوند کلیک می‌کنید، اسب تروآ بر روی رایانه شما بارگذاری می‌شود و این سرآغاز هجوم یکی از سخت‌ترین حملات رایانه ای می‌باشد.

چراکه از این پس به هر قسمتی که شما امکان و مجوز دسترسی به آن‌را داشته اید، اسب تروا نیز دسترسی خواهد داشت و اطلاعات حساس رایانه و شبکه شما می‌تواند توسط اسب تروآ به هکر و آدرسی که او در نظر گرفته است، ارسال شود.

حتی ممکن است با همین یک کلیک ساده مهاجم توانسته باشد اختیار رایانه شما را به‌دست بگیرد و در واقع آن را بدل به یک زامبی نموده و در ردیف ارتش زامبی‌های خود در آورد که به دیگر رایانه‌های درون شبکه حمله می‌کنند. در مثال اخیر نیز مهاجم از یک ابزار اجتماعی به‌نام اعتماد استفاده کرده است.

گاهی اوقات نیز ممکن است یک نامه الکترونیکی دریافت نمایید که در آن گفته شده است که شما برنده قرعه‌کشی۲۰ میلیون دلاری شده‌اید و یا بلیت سفر به جزایر قناری را برده‌اید! در این حالت ابزار اجتماعی مورد استفاده، حرص و طمع انسان‌ها است.

حتی در این حالت برخی که به بی‌پایه بودن ازاین‌دست نامه‌ها واقف هستند نیز بر اثر بی‌حوصلگی و یا کنجکاوی در دام مهاجم می‌افتند. در یک مثال جدی‌تر‌، ممکن است ایمیلی را از بانکی دریافت نمایید که در آن گفته شده است، برای اطمینان از ایمنی شما، آنها در حال اعتبار‌سنجی پایگاه داده بانک هستند و بنابراین از شما خواسته می‌شود، در اولین فرصت وارد پورتال بانک شده و با بررسی صحت کارکرد شناسه و رمز عبورتان، از ایمنی خود اطمینان حاصل کنید.

شما از روى حسن نيت و بدون آنکه بدانید پیوند موجود در ایمیل، سایت بانک شما نیست، به آن وارد می‌شوید. غافل از آن‌که در طرف دیگر، این سایت مهاجم است که حساب بانکی و رمز عبور شما را به سرقت برده است و شما دچار حمله Phishing شده اید.

به این پست الکترونیکی که ظاهرا از سوی یک سرور ارائه دهنده ایمیل ارسال شده است، توجه کنید. «سلام. شما اين ايميل را به این دلیل دريافت نموده‌اید که يک کاربر ثبت شده بر روي سرور ما هستيد.

از آنجا که طي ماه اخير کاربران ثبت شده روي سرور ما افزايش چشمگیری يافته است، مجبور شده‌ايم حساب‌هاي کاربري غيرفعال را از پايگاه داده خود پاک نماییم. در صورتی که همچنان بر روی سرور ما مشغول به فعالیت می‌باشید، لطفا با دنبال نمودن پیوند موجود، ما را در جریان قرار دهید.

درصورتی‌که حساب کاربري خود را تا ۴۸ ساعت پس از دريافت اين پيام تایید نکنيد، حساب کاربري شما پاک خواهد شد و قادر به برگرداندن آن نخواهيد بود. با احترام. مديریت سایت». این مثال نیز اشاره به یکی از حملات مهندسی اجتماعی می‌کند.

مثال‌های دیگری نیز می‌توان برای‌ دیگر ویژگی‌های انسانی مانند ترس و یا تمایل به کمک بیان نمود که هدف آنها نیز به‌دست آوردن اطلاعات حساس توسط مهاجم است.

مثلا بازی کردن نقش رئیس عصبانی شرکت شما یا یک مشتری ارزشمند در یک تماس تلفنی و یا وانمود کردن خود به‌عنوان کارمند جدید شرکت که دچار مشکلی جدی شده است.

معمولا حملات مهندسی اجتماعی در شرکت‌ها و سازمان‌ها با توجه به ارزش اطلاعات و نیز تعداد افرادی که به اطلاعات دسترسی دارند، خطرناک‌تر است. بنابراین راهکارهای مشخصی همچون هشدارهای امنیتی، آموزش‌های مناسب و یا تغییر دوره‌ای رمزهای عبور باید در نظر گرفته شوند.

کارامدی حملات مهندسی اجتماعی در سازمان‌ها رابطه مستقیمی با عدم وجود انگیزه کافی در میان کارمندان دارد و این موضوع نیز بسیار مورد توجه مهاجمان است. اکنون می‌توانید اشتباهاتی که در گذشته مرتکب شده‌اید را مرور نموده و در آینده دقت و هوشیاری بیشتری به خرج دهید، تا اسیر دام مهاجمان نشوید.

جمـع‌بندی
در كنار اشتباهات و حوادث، برخی ويژگي‌های ذاتي در گرايش‌هاي طبيعي انسان همچون حس تمايل به ياري و اطمينان به همنوع وجود دارد که مهاجمان مي‌توانند به کمک آنها در برخي موارد موفقيت‌هاي غافلگيركننده‌اي در مغلوب ساختن سيستم‌هاي امنيتي داشته باشند.

اين قابليت كه افراد بتوانند با استفاده از حيله‌هاي ساده و معمولي به مكان‌ها و اطلاعات حساس دسترسي پيدا كنند، به‌قدری عموميت يافته است كه موجب پيدايش يك اصطلاح به‌نام مهندسي اجتماعي گرديده است.

بنابراین کاربران رایانه‌ها و تمامی اشخاصي كه حفاظت و حراست از مكان‌هاي حساس را برعهده دارند، باید علاوه بر آموزش‌هاي مرسوم عملياتي و آشنایی با پروتكل‌هاي امنيتي، بياموزند كه چگونه در برابر تكنيك‌هاي خلاقانه مهندسي اجتماعي مقاومت نموده و در تله آن گرفتار نشوند.

مدیران نیز باید نسبت به توسعه یک ساختار مدیریت امن اقدام نموده و ضمن ارزیابی این‌گونه حملات‌ و مدیریت خطرپذیری آنها، نسبت به تدوین و اجرای روش‌های مقابله با مهندسی اجتماعی در سیاست‌های امنیتی خود اقدام نمایند. ذکر این نکته ضروری است که یک دفاع موفق بستگی زیادی به داشتن سیاست‌های کارآمد و آموزش کاربران جهت پیروی از آن دارد.

مهندسی اجتماعی از نظر دفاع شاید سخت‌ترین شکل تهاجم رخنه‌گران باشد. زیرا نمی‌توان تنها با سخت‌افزار و یا نرم‌افزار با آن مقابله نمود.
باوجود داشتن بهترین دیوار آتش، سیستم‌های تشخیص نفوذ و یا آنتی‌ویروس‌ها که فناوری روز آنها را در اختیار قرار می‌دهد، ابزارهای مهندسی اجتماعی همچنان یک تهدید امنیتی گسترده محسوب می‌شوند.