مهندسی اجتماعی چیست؟
تعریف مهندسی اجتماعی
اگر بخواهیم تعریف خلاصه ای در یک خط از مهندسی اجتماعی داشته باشیم:
مهندسی اجتماعی نوعی کلاهبرداری و سوء استفاده از اطمینان و یا فریب عوامل انسانی به روش هایی فریبکارانه و با کمک علم روانشناسی جهت دسترسی به اطلاعات محرمانه و در مرحله بعد سوء استفاده از این اطلاعات است.
مهاجم در مهندسی اجتماعی به جای اینکه به سراغ روشهای سخت و فنی که نیاز به سطح بالای دانش دارد یا غیر ممکن است برود، از تکنیکهای مهندسی اجتماعی استفاده می کند.
اهداف
در مهندسی اجتماعی که شیوه ای ناپاک است یک سازمان یا شخص قصد حمله به یک سازمان یا شخص دیگر را دارد و در این حمله اهدافی دارد مثل بدست آوردن اطلاعات حساس بانکی یا دیتای محرمانه تجاری و هر نوعی از اطلاعات که دسترسی به آن آزاد نیست.
مراحل
شناسایی و تحقیق از قربانی و به دست آوردن حداکثر اطلاعات
جلب اطمینان قربانی
دریافت اطلاعات مورد نظر
مثال مهندسی اجتماعی
در این مثال مهاجم به جای هک کردن سرور های بانک یا روش های خشن مثل سرقت از بانک تنها با توسل به مهندسی اجتماعی می تواند به سیستم های مالی نفوذ کند:
یک موسسه مالی فرضی از یک نرم افزار سازمانی جهت حسابداری و کنترل دارایی خود و مشتریانش استفاده میکند خود نرم افزار هیچگونه باگی ندارد و شبکه هم فوق العاده امن است و هزینه زیادی صرف حراست فیزیکی و امنیت سخت افزاری و نرم افزاری شده و مهاجم برای نفوذ امکان دسترسی به روشهای معمول هک را ندارد یا اصلا دانش فنی آن را ندارد، ولی در این سازمان کارمندانی مشغول به کار هستند که آموزش لازم در زمینه مهندسی اجتماعی را ندیده اند.
مهاجم با بررسی سازمان و شناسایی کارمندان با یکی از کارمندان تماس می گیرد و خود را مهندس مسئول امور شبکه یا کارشناس نرم افزار موسسه معرفی میکند و با اعلام اینکه در سیستم یک باگ یا مشکل شناسایی شده، از کارمند می خواهد که ابتدا یک دستور در خط فرمان سیستم خود برای تست اجرا کند که این دستور می تواند شروع یک نفوذ باشد و یا رمز سیستم خود را به رمز مورد نظر او مثلا Newversion2 تغییر دهد و امروز بعد از ساعت کاری سیستم خود را خاموش نکند، مهاجم در اینجا به راحتی توانسته رمز عبور یکی از سیستم ها را بدست بیاورد و وارد سیستم مالی شود از این مرحله به بعد او در حد آن کارمند به شبکه آن سازمان یا سیستم های نرم افزاری آنجا دسترسی خواهد داشت.
به همین راحتی مهاجم با روش مهندسی اجتماعی، اطلاعات محرمانه بسیار با ارزش سیستم نرم افزاری سازمان را از کارمندی که تصور میکرد در حال مکالمه با مسئول شبکه سازمان است دریافت کرد و ممکن است مراحل دیگری مثل نفوذ به سطح بالاتر به روشهای دیگر یا ایجاد کاربر جدید و … نیز داشته باشد،
روش ها و تکنیک های مهندسی اجتماعی
تکنیکهای مشخص و از پیش تعریف شده ای برای مهندسی اجتماعی وجود ندارد و کلاهبرداران و مهاجمان مهندسی اجتماعی هر بار، روشی جدید را به کار می گیرند که اگر محرمانگی و طبقه بندی اطلاعات و آموزشهای لازم به درستی رعایت شود تا حدود زیادی جلوی این معضل گرفته خواهد شد.
تعدادی از تکنیکهای مهندسی اجتماعی رایج تر هستند از جمله:
- جعل نام و مشخصات پرسنل یا هویت و تقلید صدای اشخاص
- بازیابی زباله ها و کاغذهای سازمان
- فیشینگ، مشابه سازی صفحات تقلبی با آدرس اصلی سایتهای بانک و … جهت ترغیب کاربر به ورود و وارد نمودن رمز.
- فارمینگ، دستکاری دی ان اس.
- شنود مکالمات
- بازیابی هارد دیسکها و حافظه های به ظاهر معیوب
- فریب پرسنل. اظطراری جلوه دادن شرایط، در فشار قرار دادن منشی، کارمند اداری و پشتیبان فنی و …
- ایجاد بستر برای تماس قربانی، مثل ارسال ویروس و هدایت به سایت آنتی ویروس.
- روانشناسی فرد به فرد و …
هر گونه کپی برداری از این مطلب تنها با درج لینک این صفحه به عنوان منبع از وبلاگ شبکه دی بلامانع است
مطالب مرتبط:
فیشینگ چیست؟ طراحی سایت تاریخ انقضای سایت com. رفع مشکل فلش مموری
