مهندسی اجتماعی (علوم سیاسی): تفاوت میان نسخهها
←مهندسی اجتماعی: حذف عنوان تکراری |
جز ربات: حذف میانویکی موجود در ویکیداده: ۱۴ میانویکی + {{تداخل میانویکی}} |
||
خط ۸۶: | خط ۸۶: | ||
=== روابط فریبنده === |
=== روابط فریبنده === |
||
محرک روانشناسی دیگر، برقراری ارتباط با قربانی و بهره کشی از وی میباشد. یک راه انجام آن به اشتراک گذاردن اطلاعات و بحث در مورد دشمن مشترک است. هنگامی که رابطهای بوجود میآید، راههایی برای سوء استفاده از رابطه نیز وجود خواهند داشت. بهترین مثال آن حمله به AOL، بودهاست، که هکر با بخش پشتیبانی در حدود یک ساعت به گفتگو پرداخته و در خلال گفتگو به وی میگویدکه میخواهد اتومبیلش را بفروشد، سپس نامهای آلوده را به صندوق الکترونیکی فرد فرستاده و توسط آن نرمافزاری را بر روی کامپیوتر فرد نصب میکند که نفوذ به شبکه AOL را برای وی تسهیل میکند. |
محرک روانشناسی دیگر، برقراری ارتباط با قربانی و بهره کشی از وی میباشد. یک راه انجام آن به اشتراک گذاردن اطلاعات و بحث در مورد دشمن مشترک است. هنگامی که رابطهای بوجود میآید، راههایی برای سوء استفاده از رابطه نیز وجود خواهند داشت. بهترین مثال آن حمله به AOL، بودهاست، که هکر با بخش پشتیبانی در حدود یک ساعت به گفتگو پرداخته و در خلال گفتگو به وی میگویدکه میخواهد اتومبیلش را بفروشد، سپس نامهای آلوده را به صندوق الکترونیکی فرد فرستاده و توسط آن نرمافزاری را بر روی کامپیوتر فرد نصب میکند که نفوذ به شبکه AOL را برای وی تسهیل میکند. |
||
=== حس مسئولیت و وظیفهشناسی اخلاقی === |
=== حس مسئولیت و وظیفهشناسی اخلاقی === |
||
خط ۱۱۶: | خط ۱۱۵: | ||
[[رده:امنیت اطلاعات]] |
[[رده:امنیت اطلاعات]] |
||
[[ar:هندسة اجتماعية (أمن)]] |
|||
[[ca:Enginyeria social (informàtica)]] |
|||
[[cs:Sociální inženýrství (bezpečnost)]] |
[[cs:Sociální inženýrství (bezpečnost)]] |
||
[[de:Social Engineering (Sicherheit)]] |
|||
[[el:Κοινωνική μηχανική]] |
[[el:Κοινωνική μηχανική]] |
||
[[es:Ingeniería social (seguridad informática)]] |
|||
[[eu:Ingeniaritza sozial (segurtasun informatikoa)]] |
[[eu:Ingeniaritza sozial (segurtasun informatikoa)]] |
||
[[en:Social engineering (security)]] |
|||
[[fr:Ingénierie sociale (sécurité de l'information)]] |
[[fr:Ingénierie sociale (sécurité de l'information)]] |
||
[[ko:사회공학 (보안)]] |
|||
[[id:Social engineering (keamanan)]] |
[[id:Social engineering (keamanan)]] |
||
[[it:Ingegneria sociale]] |
|||
[[he:הנדסה חברתית (אבטחת מידע)]] |
|||
[[hu:Pszichológiai manipuláció (informatika)]] |
|||
[[mk:Социјален инженеринг (безбедност)]] |
[[mk:Социјален инженеринг (безбедност)]] |
||
[[nl:Social engineering (informatica)]] |
[[nl:Social engineering (informatica)]] |
||
[[ja:ソーシャル・エンジニアリング]] |
|||
[[no:Sosial manipulering]] |
[[no:Sosial manipulering]] |
||
[[pl:Inżynieria społeczna (informatyka)]] |
|||
[[pt:Engenharia social (segurança da informação)]] |
|||
[[ru:Социальная инженерия]] |
|||
[[simple:Social engineering]] |
[[simple:Social engineering]] |
||
[[sr:Социјално планирање]] |
[[sr:Социјално планирање]] |
||
[[fi:Käyttäjän manipulointi]] |
[[fi:Käyttäjän manipulointi]] |
||
[[sv:Social manipulation]] |
|||
[[th:วิศวกรรมสังคม]] |
[[th:วิศวกรรมสังคม]] |
||
[[uk:Соціальна інженерія]] |
[[uk:Соціальна інженерія]] |
||
{{تداخل میانویکی}} |
نسخهٔ ۱۰ مارس ۲۰۱۳، ساعت ۰۱:۰۷
این مقاله نیازمند ویکیسازی است. لطفاً با توجه به راهنمای ویرایش و شیوهنامه، محتوای آن را بهبود بخشید. |
مهندسی اجتماعی هنر بهره برداری از رفتارهای آسیب پذیر انسانها برای ایجاد شکاف امنیتی بدون هیچ ظن و گمانی از سوی قربانی است.
در راهنمای مطالعه CISSP، مهندسی اجتماعی به این صورت تعریف شدهاست: «مهارتی است که به وسیله شخصی مجهول، برای بدست آوردن اعتماد افراد درون سازمان و تشویق آنها برای ایجاد تغییرات دلخواه در سیستمهای IT و در جهت دستیابی به حق دسترسی استفاده میشود.» در نسخه انگلسیی زبان ویکیپدیا، مهندسی اجتماعی به این صورت تعریف شدهاست: :«مهندسی اجتماعی، تکنیک بدست آوردن اطلاعات محرمانه به وسیله تحریک کاربران مجازاست.»
کوین میتنیک(Kevin Mitnick) یکی از معروفترین هکرهایی است که دلیل موفقیتش، استفاده از تکنیکهای مهندسی اجتماعی بوده. وی کتابی را پس از آزادی از زندان درباره مهندسی اجتماعی تحت عنوان«هنر فریفتن» تالیف کرده که تعریف زیر از کتاب وی آورده شدهاست:
- «مهندس اجتماعی انسانها را با روشهای مختلف فریب داده و با متقاعد کردنشان از آنها برای دستیابی به اطلاعات، سوء استفاده میکند»
- «مهندسی اجتماعی سوء استفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است، که به کمک مجموعهای از تکنیکها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد میکند.»
همان طور که در شکل نشان داده شدهاست، مهاجم به جای استفاده از روشهای معمول و مستقیم نفوذ جمع آوری اطلاعات و عبور از دیواره آتش برای دسترسی به سیستمهای سازمان و پایگاه دادههای آن، از مسیر انسانهایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیکهای فریفتن آنها، به جمع آوری اطلاعات در راستای دستیابی به خواستههای خود اقدام میکند.
منشا حملههای مهندسی اجتماعی
حملههای مهندسی اجتماعی از سه ناحیه سرچشمه میگیرند :
- داخلی : اکثر تهدیدهای داخلی از سمت کارکنانی صورت میگیرد که میتوانند به شخصه یا با استفاده از کارکنانی که به سیستمهای IT سازمان دسترسی دارند، به جمع آوری اطلاعات حساس و مهم بپردازند. این افراد کارکنانی هستند که در سازمان از سطح محدودی از اعتماد برخوردارند و این موضوع امکان حمله را برای آنها ساده کردهاست. این دسته شامل، کارکنان ناراضی، موقتی و کارگران، از قبیل مسئولین نظافت و پرسنل تعمیرات میباشند.
- اشخاص مورد اعتماد : اینگونه تهدیدها از سمت اشخاصی است که با سازمان در یکسری از بنیانهای قانونی و رسمی مرتبط میباشند. این افراد شامل پیمانکارها، مشاورین و شرکای سازمان هستند. اغلب، این اشخاص دارای سطح بالایی از اعتماد سازمان میباشند و بنابراین به دادههای حساس و مهم سیستمهای سازمان دسترسی دارند. با این حال، این قبیل مخاطرات پنهانی به ندرت در برنامههای امنیتی سازمانها در نظر گرفته میشوند.
- خارجی : این تهدیدها، از سمت انسانهایی است که هیچگونه ارتباطی با سازمان ندارند. این مجموعه شامل هکرها، رقبایی که در پی آشکارکردن اطلاعات محرمانه سازمان هستند و یا بزه کاران و دزدان میباشد. هیچ سطح اعتمادی بین این افراد و سازمان وجود ندارد، بنابراین آنها به دنبال ایجاد اعتماد کوتاه مدت با استفاده از تکنیکهای مختلف مهندسی اجتماعی هستند مانند بازی کردن نقش فردی مختار درون سازمان مثل مدیر IT، تکنسین تعمیرات، کارمند درمانده و غیره.
چرخه حملات مهندسی اجتماعی
سارا گارتنر در مقالهای راجع به روشهای دفاع در مقابل حملات مهندسی اجتماعی، اذعان کرد هر جرمی دارای الگوی متداولی میباشد. برای مهندسی اجتماعی نیز الگویی وجود دارد، که قابل تشخیص و قابل جلوگیری میباشد. این الگو را به صورت چرخهای در شکل نشان داده شدهاست. این چرخه شامل چهار مرحله، جمع آوری اطلاعات، برقراری ارتباطات بهره کشی و عمل و اجرا است، که مانند تکههای پازل به هم مرتبط و وابستهاند.
- جمع آوری اطلاعات : مجموعهای از تکنیکهای مختلف، که توسط مهاجم برای جمع آوری اطلاعات درباره هدف، مورد استفاده قرار میگیرد. مهاجم با استفاده از این تکنیکها به جمع آوری اطلاعات ساده اما مفیدی مانند لیست شماره تلفنها، تاریخ تولد، نمودار سازمانی و... میپردازد، تا با استفاده از آنها به اطلاعات کلیدی و مورد هدف دست یابد.
- برقراری ارتباطات : مهاجم در این مرحله از رضایت و میل شخص قربانی برای ایجاد اعتماد، در جهت برقرای ارتباط، سوء استفاده میکند. پس از برقراری ارتباط مهاجم خود را در موقعیت اعتماد قرار میدهد، تا بتواند از این موقعیت بهره برداری کند.
- بهره کشی : قربانی در این مرحله تحت تاثیر اعتماد فرد مهاجم در جهت آشکار کردن اطلاعاتی چون پسورد یا انجام کارهایی که در حالت طبیعی انجام نمیداده، مانند ساختن شناسه کاربری برای فرد مهاجم و...، قرار میگیرد.
- عمل و اجرا : زمانی که هدف، عمل خواسته شده از سمت مهاجم را انجام داد، چرخه پایان یافته و مهاجم به خواسته خود رسیدهاست.
هر مرحله چرخه مهندسی اجتماعی بسته به شرایط و تکنیکهای مختلف مورد استفاده، منحصر به فرد میباشد. همچنین، هر مرحله به تکمیل و موفقیت مرحله قبل وابستهاست. اغلب، برای انجام حملهای موفق، این سیکل بارها تکرار میشود. زیرا برقراری ارتباط و جلب اعتماد کار سادهای نیست. و مهاجم در این راه نیاز به جمع آوری اطلاعات کافی درباره سازمان، سیستمهای موجود و کارکنانش دارد.
انگیزهها
- بهره برداری مالی : به دلایل گوناگون، افراد تحت تاثیر دستیابی به پول و ثروت میباشند. به عنوان مثال فرد ممکن است، باور داشته باشد که وی سزاوار دستمزد بیشتری است و یا نیاز به پول بیشتری برای عادات خارج از کنترلی چون قمار دارد.
- نفع شخصی : مهاجم ممکن است خواستار دسترسی و ویرایش اطلاعات مربوط به خود، اعضای خانواده و دوستان باشد.
- انتقام : بنابر دلایل قابل درک تنها توسط فرد مهاجم، وی ممکن است دوست، همکار، سازمان و یا مجموعهای از افراد را برای ارضا کردن احساسات و شهوات خود در جهت انتقام یا کینه توزی مورد هدف قرار دهد.
- فشارهای خارجی : مهاجم ممکن است از سمت دوستان، خانواده یا سندیکایی سازمان یافته، به دلایلی از قبیل بهره برداری مالی، منفعت شخصی و یا انتقام تحت فشار و تهدیدهای جانی و مالی بوده و چنین کاری را انجام دهد.
تکنیکها
تکنیکهای مبتنی بر کامپیوتر
- پنجرههای Pop-Up
- پیوست نامههای الکترونیکی
- هرزنامههای زنجیرهای و فریب آمیز
- وبگاهها
- بازیابی و تجزیه و تحلیل ابزارهای مستعمل
- Phishing
تکنیکهای مبتنی بر انسان
- رویکرد مستقیم
- جستجو در زبالهها
- جعل هویت
- سوءاستفاده از کاربران مهم
- کارکنان پشتیبان فنی
- کاربر درمانده
- Shoulder Surfing
- شایعه پراکنی
- جاسوسی و استراق سمع
مهندسی اجتماعی معکوس
در تمام روشهایی که ذکر شده، مهاجم خود به سراغ هدف رفته و از وی کاری را درخواست میکند. اما در این روش، مهاجم شرایطی را فراهم میآورد تا فرد قربانی، از وی تقاضای کمک کند، به همین علت، این روش را مهندسی اجتماعی معکوس مینامند. مثال آن میتواند فردی باشد که در جادهای خلوت در حال رانندگی است، ناگهان ماشین وی دچار مشکل میشود، و چون به ماشینهای امدادی دسترسی ندارد، برای رفع مشکل از ماشینهای گذری تقاضای کمک میکند. مهندسی اجتماعی معکوس در سه مرحله انجام میشود:
- کارشکنی و خرابکاری : مهاجم پس از بدست آوردن دسترسیهای ساده، سیستم کامپیوتری را دچار مشکل میکند ویا خراب جلوه میدهد. در نتیجه، کاربر سیستم، متوجه مشکل میشود و به دنبال کمک میگردد.
- بازاریابی: در این مرحله مهاجم به نحوی خود را به کاربر معرفی میکند، یا از قبل معرفی کردهاست. به عنوان مثال کارت ویزیت خود را در محل کار کاربر قرار داده ویا شماره تماس خود را با یک پیام اشتباه، بر روی پیغام گیر گذاشتهاست. بنابراین، مهاجم این اطمینان را خواهد داشت که کاربر با وجود خرابی و دیدن ردپای ناجی با وی تماس خواهد گرفت.
- پشتیبانی و حمایت: در این مرحله مهاجم به حل مشکل کاربر خواهد پرداخت، با اطمینان از اینکه کاربر هیچ ظن وگمانی به وی ندارد و خود خواستار کمک از او شدهاست. مهاجم در این زمان به دو طریق اطلاعات را جمع آوری میکند، یا در همان زمان به جمع آوری اطلاعاتی که مورد نظرش میپردازد، که در این صورت ممکن است ردپای خرابکاری خود را بر جای بگذارد و دیگر فرصت دسترسی به سیستم برای وی فراهم نشود یا اینکه به ایجاد رابطهای همرا با اعتماد میپردازد، تا امکان دسترسی مجدد به سیستمهای سازمان، برای حملههای آینده را به وجود آورد.
با توجه به تکنیکهایی که ذکر شد، موفقیت آمیز بودن حمله مهندسی اجتماعی، مستلزم داشتن پیش زمینه خوب تحقیقاتی، بر روی سازمان مورد هدف و بدست آوردن تصویری از ساختار اولیه و حتی نام دپارتمانها وکارکنان سازمان میباشد.
محرکهای روانشناسی
از آنجایی که مهندسی اجتماعی، مبحثی اجتماعی و روانشناسی میباشد، بنابراین دانستن برخی از مباحث روانشناسی پشت سر آن، برای تدوین طرحی در مقابله با حملات مهندسی اجتماعی مفید میباشد. دکتر Robert Cialdinis که یکی از محققین در زمینه مسائل روانشناسی است، حدود ۳۰ سال در زمینه روشهای متقاعد سازی به تحقیق و بررسی پرداخته و بخاطر مطالعات تخصصی اش در این زمینه، شهرت جهانی یافتهاست. وی دریافت که اصول پایهای روانشناسی متقاعد سازی با محرکهای موجود در درون همه انسانها در ارتباط است. محرکها، اصول روانشناسی میباشند که منجر به اثر گذاری و فریفتن دیگران میشود. تحریک و تحت تاثیر قرار دادن زیاد این محرکها سبب میشود تا انسانها قدرت منطق و تصمیم گیری خود را از دست بدهند. مهندسی اجتماعی از این موضوع برای رسیدن به خواستههای خود استفاده میکند. بدین ترتیب محرکهای روانشناسی که در مهندسی اجتماعی استفاده میشوند، باید مورد بررسی قرار گیرند. دانستن این محرکها، در تعیین سطوح دفاعی بطور چند لایه، علیه حملات مهندسی اجتماعی، کمک میکند.
معامله متقابل
در روابط اجتماعی، معامله کردن رفتاری کاملا شناخته شده به حساب میآید. اگر کسی هدیهای به ما بدهد یا قول انجام دادن کاری، ما خود را مدیون وی دانسته و این محبت را به نحوی جبران میکنیم. حتی اگر آنچه دریافت کردهایم، مورد درخواستمان نباشد نیز ممکن است، کاری را انجام بدهیم و یا هدیهای را به وی تقدیم کنیم که بسیار پر بها باشد. این محرک روانشناسی، کاربردهای خوبی بخصوص در مهندسی اجتماعی معکوس دارد. بطوریکه مهاجم بعنوان ناجی در شرایطی که مشکلی به وجود آمدهاست، ظاهر شده و مشکل را حل میکند. در برخی مواقع حتی قبل از اینکه مشکلی را حل کند، قربانی خود را مدیون او میداند. این شرایط برای مهاجم، شرایط ایده آل محسوب میگردد.
قدرت
انسانها در برابر قدرت مشروط اند! تحقیق زیر این گرایش را بطور کامل نشان میدهد. از پرستاران بیست و دو مرکز پرستاری، توسط فردی به عنوان پزشک، که تابحال ندیده بودند، خواسته شد که مقدار وعده دارویی بیشتری را به مریضان بدهند. پرستاران بدون بررسی و درمیان گذاردن موضوع با سرپرستار، وعده دارویی را حتی تا دو برابر افزایش دادند. این مثال نشان میدهد که انسانها چنین کارهای خطرناک و عجیبی را برای مراجع قدرت انجام میدهند. و در این راستا اثر رئیس یا مدیر قلابی بر روی فرد میتواند بسیار قابل توجه باشد. این محرک زمانی که تعیین حقانیت مرجع قدرت کمی چالش برانگیز باشد، استفاده میشود زیرا در این شرایط به راحتی میتوان خود را جای هر فردی که دارای قدرت است، معرفی کرد. به عنوان مثال مهاجم می تواند با عنوان واحد امنیتی و حفاظتی از کاربران بخواهد اطلاعاتی خاص را رایاه یا منابعی از سیستم خود را به استراک بگذارند. D:
هماهنگی و یکپارچگی
انسانها گرایش به آن دارند که تعهداتشان را انجام دهند. گرچه آن تعهد در نگاه اول خیلی منطقی به نظر نیاید. برای بسیاری، انجام کاری که به آنها گفته شدهاست، نشانهٔ یکپارچگی میباشد حتی اگر به درستی آن، شک داشته باشند. این تمایل آنچنان زیاد است که گاهی انسانها به باورهای زیر دستانشان هم عمل میکنند. مثلا اگر هکر درباره مرخصی با کارمندان صحبت کند، طبق این محرک میتواند از غیاب آنها سود جویی نماید. جنبهٔ دیگری از محرک یکپارچگی آنست که افراد این گرایش را دارند که بدون هیچ دلیل محکمی باور کنند دیگران نگرش مثبتشان را راجع به آنها میگویند. این گرایشها و باورها بر این اساس است که دیگران در ابراز احساساتشان حقیقت را خواهند گفت.
کمیابی
این محرک بیان میکند که تمایل ما بیشتر به سمت فرصتهایی است که به سختی و با تلاش بسیار به دست آمدهاند. مثال واضحی از این محرک در زمانی است که به مشتری میگوییم از فلان محصول خاص، تعداد محدودی باقی ماندهاست و مشتری در زمان کوتاه تری آن را میخرد. فن «تعداد محدود» روزانه هزاران بار توسط فروشندگان بکار میرود. محرک کمیابی، به همراه فن «آخرین مهلت» نیز بکار برده میشود. بطوریکه فروشنده بیان میکند یک پیشنهاد فروش خاص تا زمان محدودی ادامه خواهد داشت. به این ترتیب به مشتری فشاری را وارد کرده تا در زمان کوتاه، تصمیمی عجولانه و به نفع فروشنده اتخاذ کند. این محرک همچنین بر این اصل روانشناسی استوار است که وقتی دسترسی به چیزی محدود است، احساس میکنیم آزادیمان را از دست میدهیم در حالیکه ما همواره تمایل به حفظ آزادی خودمان، داریم. بنابراین در بدست آوردن اقلام کمیاب بیشتر سعی میکنیم. فاکتور دیگری که بر قدرت محرک کمیابی میافزاید، ترکیب آن با عنصر رقابت میباشد. ما همواره بیشتر مجذوب اقلام کمیابی میشویم که بر سر آن رقابت هم وجود دارد.
زیبایی دوستی
انسانها تمایل بسیاری در پذیرش درخواست از سمت کسانی را دارند که دوست داشتنی هستند. به بیان ساده تر انسانها پاسخ مثبت را به کسانی میدهند که دوستشان دارند و میشناسند. مهاجمانی که به دلایل مختلف به دنبال جلب موافقت شخصی، برای انجام کاری هستند، از این محرک استفاده میکنند. محققان فاکتورهای گوناگونی که بر محرک زیبایی دوستی اثر میگذارند را شناسایی کردهاند. در بسیاری از مطالعات جذابیت ظاهری بعنوان فاکتور اصلی شناخته شدهاست. به طور کلی انسانهای جذاب بسیار سریع تر مورد دوست داشتن قرار میگیرند. فاکتور دیگر شباهت میباشد. به طور کلی ما انسانهایی را دوست خواهیم داشت که به ما شباهت داشته باشند. شباهت میتواند ابعاد گوناگونی داشته باشد. مانند شباهت در عقائد، پس زمینه زندگی و کاری، شخصیت، شیوه زندگی و غیره. عنصر شباهت در ایجاد علاقه بسیار اثر گذار میباشد در حالیکه بسیاری از افراد، اثر آن را دست کم میگیرند.
اثر گذاری شدید
محرک تاثیر شدید، فرد را از نظر روحی و روانی در شرایطی قرار میدهد که دیگر نمیتواند بطور منطقی فکر کند. اگر قربانی در شرایط شدید تعجب، هیجان، توقع یا عصبانیت قرار گیرد، دیگر بطور معمولی به این شرایط نگاه نمیکند. فرد مهاجم از همان ابتدا با بیان یکسری صحبتها سعی میکند روی افراد شدیدا تاثیر بگذارد و این محرک را در آنها تقویت کند. اثر شدید تنها به هیجان، ترس و اضطراب محدود نمیشود، بلکه در نتیجهٔ قول اهداء پاداشی چند هزار دلاری یا تهدید به آنکه شغل فرد وابسته به تصمیم شخص خاصی است، میتواند ایجاد گردد. ایجاد تشنجهای شدید در احساسات، موجب حواسپرتی در قربانی شده و توانایی وی را در ارزیابی و تصمیم گیری، مختل میکند. کج خیالی پدیدهای است که در ارتباط با تاثیر شدید بیان میشود. بدینگونه که انتظار برای رسیدن به پاداشی ارزنده، تمام تفکرات منطقی فرد را از مدار خارج میکند، در حالیکه اصلا به این موضوع توجه ندارد که دستیابی یه این پاداش، کاملا دور از دسترس بوده و سرابی بیش نیست.
بارگذاری اضافی
باورهای غلط درصورتیکه در لابلای خیل باورهای صحیح ترکیب شوند و بسیار سریع و پشت سر هم به فرد منتقل شوند، بدون هیچگونه بررسی مورد توافق و پذیرش وی قرار میگیرند. این محرک روانشناسی، بارگذاری اضافی نامیده میشود. سر و کار داشتن با حجم بالایی از اطلاعات در زمان کوتاه، بر روی عملکرد منطقی انسان اثر گذاشته و بارگذاری اضافی حسی را بوجود میآورد. پردازش حجم بالایی از اطلاعات عقل انسانها را زایل کرده بطوریکه اطلاعات غلط را بدون ارزیابی جذب میکنند. بحث و گفتگو نیز در صورتیکه از منظر غیر قابل انتظاری صورت پذیرد، منجر به بارگذاری اضافی میشود. قربانی برای تجزیه و تحلیل موضوع از منظر جدید، نیاز به فرصت دارد در حالیکه فرصتی به وی داده نمیشود. بدین ترتیب توانایی فرد در پردازش و تجزیه و تحلیل یافتهها تقلیل یافته و تمامی گفتهها را میپذیرد.
روابط فریبنده
محرک روانشناسی دیگر، برقراری ارتباط با قربانی و بهره کشی از وی میباشد. یک راه انجام آن به اشتراک گذاردن اطلاعات و بحث در مورد دشمن مشترک است. هنگامی که رابطهای بوجود میآید، راههایی برای سوء استفاده از رابطه نیز وجود خواهند داشت. بهترین مثال آن حمله به AOL، بودهاست، که هکر با بخش پشتیبانی در حدود یک ساعت به گفتگو پرداخته و در خلال گفتگو به وی میگویدکه میخواهد اتومبیلش را بفروشد، سپس نامهای آلوده را به صندوق الکترونیکی فرد فرستاده و توسط آن نرمافزاری را بر روی کامپیوتر فرد نصب میکند که نفوذ به شبکه AOL را برای وی تسهیل میکند.
حس مسئولیت و وظیفهشناسی اخلاقی
محرک حس مسئولیت، زمانی بوجود میآید که فرد فکر میکند به تنهایی مسئول عملکردش میباشد. این محرک را به همراه وظیفهشناسی اخلاقی، خیلی خوب میتوان به کار برد. محرک وظیفهشناسی اخلاقی، زمانی بوجود میآید که فرد تصور میکند برای نجات کارمندان یا سازمان تلاش میکند و یا اینکه در حال مبرا کردن خود از اتهامی است. به قربانی این محرک، این حس القا میشود که مسئول تصمیمی است، که در شکست یا موفقیت سازمان موثر است. مثلا با تصمیم فرد ممکن است کارمندی از کار برکنار شود. این تصمیم گیری برای اکثر انسانها خیلی سخت بوده و فرد برای آنکه مسئولیت این تصمیم گیری را نپذیرد، با فرد هکر سازش خواهد کرد.
جُستارهای وابسته
منابع
- «Social Engineering». Wikipedia
- Mikael Hermansson & Robert Ravne, “Fighting Social Engineering’’, March ۲۰۰۵ URL:www. dsv. su. se/en/seclab/pages/pdf-files/۲۰۰۵-x-۲۸۱.pdf
- Malcolm Allen, “The use of “Social Engineering” as a means of violating compute systems”,June۲۰۰۶ URL:http://www.sans.org/rr/paper.php?id=529
- Wendy Arthurs, “A proactive defense to Social Engineering”, SANS Institute ۲۰۰۱ URL:http://www.sans.org/rr/paper.php?id=511
- Tims, Rick “Social Engineering: Policies and Education a Must” SANS Institute, February۱۶٬۲۰۰۱ URL:http://www.sans.org/infosecFAQ/social/policies.htm
- David Gragg, “A multi-level defense against Social Engineering”, December ۲۰۰۲ URL: http://www. sans. org/rr/papers/۵۱/۹۲۰.pdf
- NISCC Briefing “Social engineering against information systems: what is it and how do you protect yourself?, ۰۲ June ۲۰۰۶ URL:www.cpni.gouk/docs/SocialEngineering۰۸a۰۶.pdf
- Radha Gulati, “The Threat of Social Engineering and Your Defence Against It”, SANSInstitute۲۰۰۳ URL:http://www.sans.org/rr/papers/index. php?id=۱۲۳۲
- Granger, Sarah. “Social Engineering Fundamentals, Part I : Hacker Tactics”, December ۸, ۲۰۰۱ URL:http://www.securityfocus.com/infocus/1527
- Granger, Sarah. “Social Engineering Fundamentals, Part II : Combat Strategies”. January ۹٬۲۰۰۲ URL:http://www.securityfocus.com/infocus/1533
- Sara Gartner “There Are No Secrets: Social Engineering and Privacy” URL:http://www.gartner.com/gc/webletter/security/issue1/index.html
- Michael Bruck, “A Little-Known Security Threat” URL:http://www.entrepreneur.com/article/0,4621,309221,00.html
- Lemos, Robert. “Mitnick teaches ‘Social Engineering’. ” July ۱۷, ۲۰۰۰. ZDNet News. URL:http://zdnet.com.com/2100522261. html?legacy=zdnn
- McDowell, Mindi. “Avoiding Social Engineering and Phishing Attacks”, US-CERT Cyber Security TipST۰۴-۰۱۴. URL:http://www.us-cert. gov/cas/tips/ST۰۴-۰۱۴.html
- Jason Hiner, “Change your company’s culture to combat Social Engineering attacks”, May ۳۰, ۲۰۰۲ URL:http://articles.techrepublic.com.com/5100-1035_11-1047991.html