مهندسی اجتماعی

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به: ناوبری، جستجو


مهندسی اجتماعی هنر بهره برداری از رفتارهای آسیب پذیر انسان‌ها برای ایجاد شکاف امنیتی بدون هیچ ظن و گمانی از سوی قربانی است.

در راهنمای مطالعه CISSP، مهندسی اجتماعی به این صورت تعریف شده‌است: «مهارتی است که به وسیله شخصی مجهول، برای بدست آوردن اعتماد افراد درون سازمان و تشویق آنها برای ایجاد تغییرات دلخواه در سیستم‌های IT و در جهت دستیابی به حق دسترسی استفاده می‌شود.» در نسخه انگلسیی زبان ویکی‌پدیا، مهندسی اجتماعی به این صورت تعریف شده‌است: :«مهندسی اجتماعی، تکنیک بدست آوردن اطلاعات محرمانه به وسیله تحریک کاربران مجازاست.»

کوین میتنیک(Kevin Mitnick) یکی از معروف‌ترین هکرهایی است که دلیل موفقیتش، استفاده از تکنیک‌های مهندسی اجتماعی بوده. وی کتابی را پس از آزادی از زندان درباره مهندسی اجتماعی تحت عنوان«هنر فریفتن» تالیف کرده که تعریف زیر از کتاب وی آورده شده‌است:

«مهندس اجتماعی انسانها را با روش‌های مختلف فریب داده و با متقاعد کردنشان از آنها برای دستیابی به اطلاعات، سوء استفاده می‌کند»
«مهندسی اجتماعی سوء استفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است، که به کمک مجموعه‌ای از تکنیک‌ها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد می‌کند.»

همان طور که در شکل نشان داده شده‌است، مهاجم به جای استفاده از روش‌های معمول و مستقیم نفوذ جمع آوری اطلاعات و عبور از دیواره آتش برای دسترسی به سیستم‌های سازمان و پایگاه داده‌های آن، از مسیر انسانهایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیک‌های فریفتن آنها، به جمع آوری اطلاعات در راستای دستیابی به خواسته‌های خود اقدام می‌کند.

منشا حمله‌های مهندسی اجتماعی[ویرایش]

حمله‌های مهندسی اجتماعی از سه ناحیه سرچشمه می‌گیرند :

    1. داخلی : اکثر تهدیدهای داخلی از سمت کارکنانی صورت می‌گیرد که می‌توانند به شخصه یا با استفاده از کارکنانی که به سیستم‌های IT سازمان دسترسی دارند، به جمع آوری اطلاعات حساس و مهم بپردازند. این افراد کارکنانی هستند که در سازمان از سطح محدودی از اعتماد برخوردارند و این موضوع امکان حمله را برای آنها ساده کرده‌است. این دسته شامل، کارکنان ناراضی، موقتی و کارگران، از قبیل مسئولین نظافت و پرسنل تعمیرات می‌باشند.
    2. اشخاص مورد اعتماد : اینگونه تهدیدها از سمت اشخاصی است که با سازمان در یکسری از بنیان‌های قانونی و رسمی مرتبط می‌باشند. این افراد شامل پیمانکارها، مشاورین و شرکای سازمان هستند. اغلب، این اشخاص دارای سطح بالایی از اعتماد سازمان می‌باشند و بنابراین به داده‌های حساس و مهم سیستم‌های سازمان دسترسی دارند. با این حال، این قبیل مخاطرات پنهانی به ندرت در برنامه‌های امنیتی سازمان‌ها در نظر گرفته می‌شوند.
    3. خارجی : این تهدیدها، از سمت انسان‌هایی است که هیچگونه ارتباطی با سازمان ندارند. این مجموعه شامل هکرها، رقبایی که در پی آشکارکردن اطلاعات محرمانه سازمان هستند و یا بزه کاران و دزدان می‌باشد. هیچ سطح اعتمادی بین این افراد و سازمان وجود ندارد، بنابراین آنها به دنبال ایجاد اعتماد کوتاه مدت با استفاده از تکنیک‌های مختلف مهندسی اجتماعی هستند مانند بازی کردن نقش فردی مختار درون سازمان مثل مدیر IT، تکنسین تعمیرات، کارمند درمانده و غیره.

چرخه حملات مهندسی اجتماعی[ویرایش]

سارا گارتنر در مقاله‌ای راجع به روش‌های دفاع در مقابل حملات مهندسی اجتماعی، اذعان کرد هر جرمی دارای الگوی متداولی می‌باشد. برای مهندسی اجتماعی نیز الگویی وجود دارد، که قابل تشخیص و قابل جلوگیری می‌باشد. این الگو را به صورت چرخه‌ای در شکل نشان داده شده‌است. این چرخه شامل چهار مرحله، جمع آوری اطلاعات، برقراری ارتباطات بهره کشی و عمل و اجرا است، که مانند تکه‌های پازل به هم مرتبط و وابسته‌اند.

    1. جمع آوری اطلاعات : مجموعه‌ای از تکنیک‌های مختلف، که توسط مهاجم برای جمع آوری اطلاعات درباره هدف، مورد استفاده قرار می‌گیرد. مهاجم با استفاده از این تکنیک‌ها به جمع آوری اطلاعات ساده اما مفیدی مانند لیست شماره تلفن‌ها، تاریخ تولد، نمودار سازمانی و... می‌پردازد، تا با استفاده از آنها به اطلاعات کلیدی و مورد هدف دست یابد.
    2. برقراری ارتباطات : مهاجم در این مرحله از رضایت و میل شخص قربانی برای ایجاد اعتماد، در جهت برقرای ارتباط، سوء استفاده می‌کند. پس از برقراری ارتباط مهاجم خود را در موقعیت اعتماد قرار می‌دهد، تا بتواند از این موقعیت بهره برداری کند.
    3. بهره کشی : قربانی در این مرحله تحت تاثیر اعتماد فرد مهاجم در جهت آشکار کردن اطلاعاتی چون پسورد یا انجام کارهایی که در حالت طبیعی انجام نمی‌داده، مانند ساختن شناسه کاربری برای فرد مهاجم و...، قرار می‌گیرد.
    4. عمل و اجرا : زمانی که هدف، عمل خواسته شده از سمت مهاجم را انجام داد، چرخه پایان یافته و مهاجم به خواسته خود رسیده‌است.

هر مرحله چرخه مهندسی اجتماعی بسته به شرایط و تکنیک‌های مختلف مورد استفاده، منحصربه‌فرد می‌باشد. همچنین، هر مرحله به تکمیل و موفقیت مرحله قبل وابسته‌است. اغلب، برای انجام حمله‌ای موفق، این سیکل بارها تکرار می‌شود. زیرا برقراری ارتباط و جلب اعتماد کار ساده‌ای نیست. و مهاجم در این راه نیاز به جمع آوری اطلاعات کافی درباره سازمان، سیستم‌های موجود و کارکنانش دارد.


Socialengcycle.jpg

انگیزه‌ها[ویرایش]

  • بهره برداری مالی : به دلایل گوناگون، افراد تحت تاثیر دستیابی به پول و ثروت می‌باشند. به عنوان مثال فرد ممکن است، باور داشته باشد که وی سزاوار دستمزد بیشتری است و یا نیاز به پول بیشتری برای عادات خارج از کنترلی چون قمار دارد.
  • نفع شخصی : مهاجم ممکن است خواستار دسترسی و ویرایش اطلاعات مربوط به خود، اعضای خانواده و دوستان باشد.
  • انتقام : بنابر دلایل قابل درک تنها توسط فرد مهاجم، وی ممکن است دوست، همکار، سازمان و یا مجموعه‌ای از افراد را برای ارضا کردن احساسات و شهوات خود در جهت انتقام یا کینه توزی مورد هدف قرار دهد.
  • فشارهای خارجی : مهاجم ممکن است از سمت دوستان، خانواده یا سندیکایی سازمان یافته، به دلایلی از قبیل بهره برداری مالی، منفعت شخصی و یا انتقام تحت فشار و تهدیدهای جانی و مالی بوده و چنین کاری را انجام دهد.
  • حس کنجکاوی : با توجه به خصایص انسانی به ذات این حس در دورن همه افراد وجود دارد.

تکنیک‌ها[ویرایش]

تکنیک‌های مبتنی بر کامپیوتر[ویرایش]

  • پنجره‌های Pop-Up
  • پیوست نامه‌های الکترونیکی
  • هرزنامه‌های زنجیره‌ای و فریب آمیز
  • وب‌گاه‌ها
  • بازیابی و تجزیه و تحلیل ابزارهای مستعمل
  • Phishing

تکنیک‌های مبتنی بر انسان[ویرایش]

  • رویکرد مستقیم
  • جستجو در زباله‌ها
  • جعل هویت
  • سوءاستفاده از کاربران مهم
  • کارکنان پشتیبان فنی
  • کاربر درمانده
  • Shoulder Surfing
  • شایعه پراکنی
  • جاسوسی و استراق سمع

مهندسی اجتماعی معکوس[ویرایش]

در تمام روش‌هایی که ذکر شده، مهاجم خود به سراغ هدف رفته و از وی کاری را درخواست می‌کند. اما در این روش، مهاجم شرایطی را فراهم می‌آورد تا فرد قربانی، از وی تقاضای کمک کند، به همین علت، این روش را مهندسی اجتماعی معکوس می‌نامند. مثال آن می‌تواند فردی باشد که در جاده‌ای خلوت در حال رانندگی است، ناگهان ماشین وی دچار مشکل می‌شود، و چون به ماشین‌های امدادی دسترسی ندارد، برای رفع مشکل از ماشین‌های گذری تقاضای کمک می‌کند. مهندسی اجتماعی معکوس در سه مرحله انجام می‌شود:

  • کارشکنی و خرابکاری : مهاجم پس از بدست آوردن دسترسی‌های ساده، سیستم کامپیوتری را دچار مشکل می‌کند ویا خراب جلوه می‌دهد. در نتیجه، کاربر سیستم، متوجه مشکل می‌شود و به دنبال کمک می‌گردد.
  • بازاریابی: در این مرحله مهاجم به نحوی خود را به کاربر معرفی می‌کند، یا از قبل معرفی کرده‌است. به عنوان مثال کارت ویزیت خود را در محل کار کاربر قرار داده ویا شماره تماس خود را با یک پیام اشتباه، بر روی پیغام گیر گذاشته‌است. بنابراین، مهاجم این اطمینان را خواهد داشت که کاربر با وجود خرابی و دیدن ردپای ناجی با وی تماس خواهد گرفت.
  • پشتیبانی و حمایت: در این مرحله مهاجم به حل مشکل کاربر خواهد پرداخت، با اطمینان از اینکه کاربر هیچ ظن وگمانی به وی ندارد و خود خواستار کمک از او شده‌است. مهاجم در این زمان به دو طریق اطلاعات را جمع آوری می‌کند، یا در همان زمان به جمع آوری اطلاعاتی که مورد نظرش می‌پردازد، که در این صورت ممکن است ردپای خرابکاری خود را بر جای بگذارد و دیگر فرصت دسترسی به سیستم برای وی فراهم نشود یا اینکه به ایجاد رابطه‌ای همرا با اعتماد می‌پردازد، تا امکان دسترسی مجدد به سیستم‌های سازمان، برای حمله‌های آینده را به وجود آورد.

با توجه به تکنیک‌هایی که ذکر شد، موفقیت آمیز بودن حمله مهندسی اجتماعی، مستلزم داشتن پیش زمینه خوب تحقیقاتی، بر روی سازمان مورد هدف و بدست آوردن تصویری از ساختار اولیه و حتی نام دپارتمان‌ها وکارکنان سازمان می‌باشد.

محرک‌های روانشناسی[ویرایش]

از آنجایی که مهندسی اجتماعی، مبحثی اجتماعی و روانشناسی می‌باشد، بنابراین دانستن برخی از مباحث روانشناسی پشت سر آن، برای تدوین طرحی در مقابله با حملات مهندسی اجتماعی مفید می‌باشد. دکتر Robert Cialdinis که یکی از محققین در زمینه مسائل روانشناسی است، حدود ۳۰ سال در زمینه روش‌های متقاعد سازی به تحقیق و بررسی پرداخته و بخاطر مطالعات تخصصی اش در این زمینه، شهرت جهانی یافته‌است. وی دریافت که اصول پایه‌ای روانشناسی متقاعد سازی با محرک‌های موجود در درون همه انسان‌ها در ارتباط است. محرک‌ها، اصول روانشناسی می‌باشند که منجر به اثر گذاری و فریفتن دیگران می‌شود. تحریک و تحت تاثیر قرار دادن زیاد این محرک‌ها سبب می‌شود تا انسان‌ها قدرت منطق و تصمیم گیری خود را از دست بدهند. مهندسی اجتماعی از این موضوع برای رسیدن به خواسته‌های خود استفاده می‌کند. بدین ترتیب محرک‌های روانشناسی که در مهندسی اجتماعی استفاده می‌شوند، باید مورد بررسی قرار گیرند. دانستن این محرک‌ها، در تعیین سطوح دفاعی بطور چند لایه، علیه حملات مهندسی اجتماعی، کمک می‌کند.

معامله متقابل[ویرایش]

در روابط اجتماعی، معامله کردن رفتاری کاملاً شناخته شده به حساب می‌آید. اگر کسی هدیه‌ای به ما بدهد یا قول انجام دادن کاری، ما خود را مدیون وی دانسته و این محبت را به نحوی جبران می‌کنیم. حتی اگر آنچه دریافت کرده‌ایم، مورد درخواستمان نباشد نیز ممکن است، کاری را انجام بدهیم و یا هدیه‌ای را به وی تقدیم کنیم که بسیار پر بها باشد. این محرک روانشناسی، کاربردهای خوبی بخصوص در مهندسی اجتماعی معکوس دارد. بطوریکه مهاجم بعنوان ناجی در شرایطی که مشکلی به وجود آمده‌است، ظاهر شده و مشکل را حل می‌کند. در برخی مواقع حتی قبل از اینکه مشکلی را حل کند، قربانی خود را مدیون او می‌داند. این شرایط برای مهاجم، شرایط ایده‌آل محسوب می‌گردد.

قدرت[ویرایش]

انسانها در برابر قدرت مشروط اند! تحقیق زیر این گرایش را بطور کامل نشان می‌دهد. از پرستاران بیست و دو مرکز پرستاری، توسط فردی به عنوان پزشک، که تابحال ندیده بودند، خواسته شد که مقدار وعده دارویی بیشتری را به مریضان بدهند. پرستاران بدون بررسی و درمیان گذاردن موضوع با سرپرستار، وعده دارویی را حتی تا دو برابر افزایش دادند. این مثال نشان می‌دهد که انسانها چنین کارهای خطرناک و عجیبی را برای مراجع قدرت انجام می‌دهند. و در این راستا اثر رئیس یا مدیر قلابی بر روی فرد می‌تواند بسیار قابل توجه باشد. این محرک زمانی که تعیین حقانیت مرجع قدرت کمی چالش برانگیز باشد، استفاده می‌شود زیرا در این شرایط به راحتی می‌توان خود را جای هر فردی که دارای قدرت است، معرفی کرد. به عنوان مثال مهاجم می تواند با عنوان واحد امنیتی و حفاظتی از کاربران بخواهد اطلاعاتی خاص رایانه یا منابعی از سیستم خود را به اشتراک بگذارند.

هماهنگی و یکپارچگی[ویرایش]

انسانها گرایش به آن دارند که تعهداتشان را انجام دهند. گرچه آن تعهد در نگاه اول خیلی منطقی به نظر نیاید. برای بسیاری، انجام کاری که به آنها گفته شده‌است، نشانهٔ یکپارچگی می‌باشد حتی اگر به درستی آن، شک داشته باشند. این تمایل آنچنان زیاد است که گاهی انسانها به باورهای زیر دستانشان هم عمل می‌کنند. مثلاً اگر هکر درباره مرخصی با کارمندان صحبت کند، طبق این محرک می‌تواند از غیاب آنها سود جویی نماید. جنبهٔ دیگری از محرک یکپارچگی آنست که افراد این گرایش را دارند که بدون هیچ دلیل محکمی باور کنند دیگران نگرش مثبتشان را راجع به آنها می‌گویند. این گرایش‌ها و باورها بر این اساس است که دیگران در ابراز احساساتشان حقیقت را خواهند گفت.

کمیابی[ویرایش]

این محرک بیان می‌کند که تمایل ما بیشتر به سمت فرصت‌هایی است که به سختی و با تلاش بسیار به دست آمده‌اند. مثال واضحی از این محرک در زمانی است که به مشتری می‌گوییم از فلان محصول خاص، تعداد محدودی باقی‌مانده‌است و مشتری در زمان کوتاه تری آن را می‌خرد. فن «تعداد محدود» روزانه هزاران بار توسط فروشندگان بکار می‌رود. محرک کمیابی، به همراه فن «آخرین مهلت» نیز بکار برده می‌شود. بطوریکه فروشنده بیان می‌کند یک پیشنهاد فروش خاص تا زمان محدودی ادامه خواهد داشت. به این ترتیب به مشتری فشاری را وارد کرده تا در زمان کوتاه، تصمیمی عجولانه و به نفع فروشنده اتخاذ کند. این محرک همچنین بر این اصل روانشناسی استوار است که وقتی دسترسی به چیزی محدود است، احساس می‌کنیم آزادیمان را از دست می‌دهیم در حالیکه ما همواره تمایل به حفظ آزادی خودمان، داریم. بنابراین در بدست آوردن اقلام کمیاب بیشتر سعی می‌کنیم. فاکتور دیگری که بر قدرت محرک کمیابی می‌افزاید، ترکیب آن با عنصر رقابت می‌باشد. ما همواره بیشتر مجذوب اقلام کمیابی می‌شویم که بر سر آن رقابت هم وجود دارد.

زیبایی دوستی[ویرایش]

انسان‌ها تمایل بسیاری در پذیرش درخواست از سمت کسانی را دارند که دوست داشتنی هستند. به بیان ساده تر انسان‌ها پاسخ مثبت را به کسانی می‌دهند که دوستشان دارند و می‌شناسند. مهاجمانی که به دلایل مختلف به دنبال جلب موافقت شخصی، برای انجام کاری هستند، از این محرک استفاده می‌کنند. محققان فاکتورهای گوناگونی که بر محرک زیبایی دوستی اثر می‌گذارند را شناسایی کرده‌اند. در بسیاری از مطالعات جذابیت ظاهری بعنوان فاکتور اصلی شناخته شده‌است. به طور کلی انسان‌های جذاب بسیار سریع تر مورد دوست داشتن قرار می‌گیرند. فاکتور دیگر شباهت می‌باشد. به طور کلی ما انسانهایی را دوست خواهیم داشت که به ما شباهت داشته باشند. شباهت می‌تواند ابعاد گوناگونی داشته باشد. مانند شباهت در عقائد، پس زمینه زندگی و کاری، شخصیت، شیوه زندگی و غیره. عنصر شباهت در ایجاد علاقه بسیار اثر گذار می‌باشد در حالیکه بسیاری از افراد، اثر آن را دست کم می‌گیرند.

اثر گذاری شدید[ویرایش]

محرک تاثیر شدید، فرد را از نظر روحی و روانی در شرایطی قرار می‌دهد که دیگر نمی‌تواند بطور منطقی فکر کند. اگر قربانی در شرایط شدید تعجب، هیجان، توقع یا عصبانیت قرار گیرد، دیگر بطور معمولی به این شرایط نگاه نمی‌کند. فرد مهاجم از همان ابتدا با بیان یکسری صحبت‌ها سعی می‌کند روی افراد شدیداً تاثیر بگذارد و این محرک را در آنها تقویت کند. اثر شدید تنها به هیجان، ترس و اضطراب محدود نمی‌شود، بلکه در نتیجهٔ قول اهداء پاداشی چند هزار دلاری یا تهدید به آنکه شغل فرد وابسته به تصمیم شخص خاصی است، می‌تواند ایجاد گردد. ایجاد تشنج‌های شدید در احساسات، موجب حواسپرتی در قربانی شده و توانایی وی را در ارزیابی و تصمیم گیری، مختل می‌کند. کج خیالی پدیده‌ای است که در ارتباط با تاثیر شدید بیان می‌شود. بدینگونه که انتظار برای رسیدن به پاداشی ارزنده، تمام تفکرات منطقی فرد را از مدار خارج می‌کند، در حالیکه اصلاً به این موضوع توجه ندارد که دستیابی یه این پاداش، کاملاً دور از دسترس بوده و سرابی بیش نیست.

بارگذاری اضافی[ویرایش]

باورهای غلط درصورتیکه در لابلای خیل باورهای صحیح ترکیب شوند و بسیار سریع و پشت سر هم به فرد منتقل شوند، بدون هیچگونه بررسی مورد توافق و پذیرش وی قرار می‌گیرند. این محرک روانشناسی، بارگذاری اضافی نامیده می‌شود. سر و کار داشتن با حجم بالایی از اطلاعات در زمان کوتاه، بر روی عملکرد منطقی انسان اثر گذاشته و بارگذاری اضافی حسی را بوجود می‌آورد. پردازش حجم بالایی از اطلاعات عقل انسانها را زایل کرده بطوریکه اطلاعات غلط را بدون ارزیابی جذب می‌کنند. بحث و گفتگو نیز در صورتیکه از منظر غیر قابل انتظاری صورت پذیرد، منجر به بارگذاری اضافی می‌شود. قربانی برای تجزیه و تحلیل موضوع از منظر جدید، نیاز به فرصت دارد در حالیکه فرصتی به وی داده نمی‌شود. بدین ترتیب توانایی فرد در پردازش و تجزیه و تحلیل یافته‌ها تقلیل یافته و تمامی گفته‌ها را می‌پذیرد.

روابط فریبنده[ویرایش]

محرک روانشناسی دیگر، برقراری ارتباط با قربانی و بهره کشی از وی می‌باشد. یک راه انجام آن به اشتراک گذاردن اطلاعات و بحث در مورد دشمن مشترک است. هنگامی که رابطه‌ای بوجود می‌آید، راه‌هایی برای سوء استفاده از رابطه نیز وجود خواهند داشت. بهترین مثال آن حمله به AOL، بوده‌است، که هکر با بخش پشتیبانی در حدود یک ساعت به گفتگو پرداخته و در خلال گفتگو به وی می‌گویدکه می‌خواهد اتومبیلش را بفروشد، سپس نامه‌ای آلوده را به صندوق الکترونیکی فرد فرستاده و توسط آن نرم‌افزاری را بر روی کامپیوتر فرد نصب می‌کند که نفوذ به شبکه AOL را برای وی تسهیل می‌کند.

حس مسئولیت و وظیفه‌شناسی اخلاقی[ویرایش]

محرک حس مسئولیت، زمانی بوجود می‌آید که فرد فکر می‌کند به تنهایی مسئول عملکردش می‌باشد. این محرک را به همراه وظیفه‌شناسی اخلاقی، خیلی خوب می‌توان به کار برد. محرک وظیفه‌شناسی اخلاقی، زمانی بوجود می‌آید که فرد تصور می‌کند برای نجات کارمندان یا سازمان تلاش می‌کند و یا اینکه در حال مبرا کردن خود از اتهامی است. به قربانی این محرک، این حس القا می‌شود که مسئول تصمیمی است، که در شکست یا موفقیت سازمان موثر است. مثلاً با تصمیم فرد ممکن است کارمندی از کار برکنار شود. این تصمیم گیری برای اکثر انسانها خیلی سخت بوده و فرد برای آنکه مسئولیت این تصمیم گیری را نپذیرد، با فرد هکر سازش خواهد کرد.

جستارهای وابسته[ویرایش]

منابع[ویرایش]