مهندسی اجتماعی

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به: ناوبری، جستجو

«مهندسی اجتماعی سوء استفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است، که به کمک مجموعه‌ای از تکنیک‌ها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد می‌کند.» همان طور که در شکل نشان داده شده‌است، مهاجم به جای استفاده از روش‌های معمول و مستقیم نفوذ جمع آوری اطلاعات و عبور از دیواره آتش برای دسترسی به سیستم‌های سازمان و پایگاه داده‌های آن، از مسیر انسانهایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیک‌های فریفتن آنها، به جمع آوری اطلاعات در راستای دستیابی به خواسته‌های خود اقدام می‌کند.

منشا حمله‌های مهندسی اجتماعی[ویرایش]

حمله‌های مهندسی اجتماعی از سه ناحیه سرچشمه می‌گیرند : 1- داخلی 2-خارجی

چرخه حملات مهندسی اجتماعی[ویرایش]

سارا گارتنر در مقاله‌ای راجع به روش‌های دفاع در مقابل حملات مهندسی اجتماعی، اذعان کرد هر جرمی دارای الگوی متداولی می‌باشد. برای مهندسی اجتماعی نیز الگویی وجود دارد، که قابل تشخیص و قابل جلوگیری می‌باشد. این الگو را به صورت چرخه‌ای در شکل نشان داده شده‌است. این چرخه شامل چهار مرحله، جمع آوری اطلاعات، برقراری ارتباطات بهره کشی و عمل و اجرا است، که مانند تکه‌های پازل به هم مرتبط و وابسته‌اند.

    1. جمع آوری اطلاعات.
    2. برقراری ارتباطات.
    3. بهره کشی .
    4. عمل و اجرا .


Socialengcycle.jpg

انگیزه‌ها[ویرایش]

  • بهره برداری مالی : به دلایل گوناگون، افراد تحت تاثیر دستیابی به پول و ثروت می‌باشند. به عنوان مثال فرد ممکن است، باور داشته باشد که وی سزاوار دستمزد بیشتری است و یا نیاز به پول بیشتری برای عادات خارج از کنترلی چون قمار دارد.
  • نفع شخصی : مهاجم ممکن است خواستار دسترسی و ویرایش اطلاعات مربوط به خود، اعضای خانواده و دوستان باشد.
  • انتقام : بنابر دلایل قابل درک تنها توسط فرد مهاجم، وی ممکن است دوست، همکار، سازمان و یا مجموعه‌ای از افراد را برای ارضا کردن احساسات و شهوات خود در جهت انتقام یا کینه توزی مورد هدف قرار دهد.
  • فشارهای خارجی : مهاجم ممکن است از سمت دوستان، خانواده یا سندیکایی سازمان یافته، به دلایلی از قبیل بهره برداری مالی، منفعت شخصی و یا انتقام تحت فشار و تهدیدهای جانی و مالی بوده و چنین کاری را انجام دهد.
  • حس کنجکاوی : با توجه به خصایص انسانی به ذات این حس در دورن همه افراد وجود دارد.

تکنیک‌ها[ویرایش]

تکنیک‌های مبتنی بر کامپیوتر[ویرایش]

  • پنجره‌های Pop-Up
  • پیوست نامه‌های الکترونیکی
  • هرزنامه‌های زنجیره‌ای و فریب آمیز
  • وب‌گاه‌ها
  • بازیابی و تجزیه و تحلیل ابزارهای مستعمل
  • Phishing

تکنیک‌های مبتنی بر انسان[ویرایش]

  • رویکرد مستقیم
  • جستجو در زباله‌ها
  • جعل هویت
  • سوءاستفاده از کاربران مهم
  • کارکنان پشتیبان فنی
  • کاربر درمانده
  • Shoulder Surfing
  • شایعه پراکنی
  • جاسوسی و استراق سمع

جستارهای وابسته[ویرایش]

منابع[ویرایش]