دانستنی‌های مهندسی اجتماعی

دانستنی‌های مهندسی اجتماعی

مهندسی اجتماعی نقش مهمی در تعداد قابل‌توجهی از حملات کوچک، بزرگ و پیچیده سایبری بازی می‌کند. این امر در تمام دوران اینترنت به‌طور مستمر ادامه داشته است. مهندسی اجتماعی به‌طورکلی یعنی تأثیر روانی یا وادار نمودن مردم به انجام کاری که مجرم می‌خواهد. برای مثال شما می‌توانید بر روی پلیس راهنمایی رانندگی مهندسی اجتماعی اجرا کنید تا او شمارا در زمان پارک کردن جریمه نکند. یا می‌توانید کارمندان را وادار کنید که درخواست افزایش حقوق نکنند.
از دیدگاه جرائم سایبری مهندسی اجتماعی روش و “تاکتیک غیر فنی” هکرها برای جمع‌آوری اطلاعات، انجام کلاه‌برداری و دسترسی غیرقانونی به سیستم‌ها و کامپیوترهای قربانیان است. مهندسی اجتماعی وابسته به تعاملات انسانی بوده و نیاز به گول زدن مردم دارد تا آن‌ها روال‌های امنیتی روزمره خود را نقض کنند. مهندسی اجتماعی درواقع  تأثیر روانی است.
حملات مهندسی اجتماعی معمول شامل ایمیل‌های فیشینگ، تماس‌های تلفنی غیر معتبر از سازمان‌های معتبر (Vishing) و نصب بدافزار بر روی USB های به‌ظاهر معتبر (baiting) می‌باشد که همه این موارد برای ورود به سیستم کاربران طراحی‌شده است. مهندسی اجتماعی را می‌توان در LinkedIn و Facebook بر درخواست دوستان و موارد کاری اعمال نمود. مجرمین از شبکه‌های اجتماعی برای ساخت اعتماد و دریافت داده استفاده می‌کنند که نتیجه نهایی ان باج‌گیری یا سرقت است. این مسئله شامل دزدی انحرافی یا diversion theft می‌باشد که یعنی دزدی چیزی با قصد سرقت مورد بزرگ‌تر بعدازآن. مورد دیگری سواری گرفتن از کاربران برای ورود به zone های امن است که معمولاً در دسترس نمی‌باشند (tailgating). اخیراً یک مجرم کلاه‌بردار در انگلستان از معماری اجتماعی برای فرار از زندان استفاده کرد. او از یک گوشی موبایل غیرمجاز برای ساختن یک حساب ایمیل جعلی استفاده کرد، سپس وانمود کرد که کارمند ارشد دادگاه است و به کارمندان زندان دستور آزادسازی خود را ارسال نمود.او آزاد شد و بعداً به زندان بازگشت و تسلیم شد.
مهندسی اجتماعی یکی از سلاح‌های مؤثر برای مجرمین سایبری است که به آن‌ها اجازه می‌دهد که از سیستم‌های آلوده به بدافزار اطلاعات احراز هویت محرمانه سرقت کنند و یا بابت برگرداندن داده‌های رمزگذاری شده باج‌بگیرند. در اکثر مواقع هدف نهایی سرقت اطلاعات یا پول یا برداشتن هویت کاربر است. کارشناسان امنیتی میگویند که دریافت اسم رمز از طریق فریب کاربر راحت‌تر است تا تلاش برای هک کردن یک سیستم، کامپیوتر یا شبکه. موارد ذیل چیزهایی است که باید درباره مهندسی اجتماعی بدانید.
1.    مهندسی اجتماعی: دیجیتال و فیزیکی
مهندسی اجتماعی از قدیم وجود داشته و موضوع جدیدی نمی‌باشد. در دنیای واقعی مثال‌های زیادی از استفاده از مهندسی اجتماعی وجود دارد. مجرمین بارها و بارها وانمود کرده که آتش‌نشان، تکنیسین، مهندس ساختمان و نظافتچی هستند تا وارد شرکت یا سازمانی شوند و راز یا پول سرقت کنند. در دهه 1990 تماس‌های تلفنی غیر معتبر از سازمان‌های معتبر (Vishing) محبوبیت پیدا کرد و سپس به ایمیل‌های فیشینگ رسید.

2.    کیفیت متفاوت است
کیفیت کلاه‌برداری‌های مهندسی اجتماعی بسیار متفاوت است. برای هر یک نمونه به‌ظاهر معتبر “کلاه‌برداری پیشرفته مهندسی اجتماعی” توسط ایمیل یا تلفن چندین کلاه‌برداری دیگر باکیفیت پایین (زبان و نوشتداری ضعیف، داستان‌های ضدونقیض و اطلاعات گیج‌کننده) وجود دارد. ما روزانه در ایمیل‌های خود شاهد چنین مواردی هستیم. نمونه‌های این ایمیل‌ها اعلام برنده شدن در یک قرعه‌کشی در کشوری، اطلاعیه آماده شدن پول شما در بانکی در آفریقا و غیره می‌باشد.

3.    دولت‌ها مهندسی اجتماعی می‌کنند
در سطوح بالاتر دولت‌ها مشغول به مهندسی اجتماعی هستند و این ابزار را برای حملات تهدیدهای مستمر پیشرفته (APT) استفاده می‌کنند.جاسوسی آنلاین نقش مهمی در فعالیت‌های سایبری برخی از کشورها مانند امریکا و چین بازی می‌کند. APT ها در اکثر موارد از مهندسی اجتماعی سنتی برای ورود به سیستم موردنظر خود استفاده می‌کنند. این سیستم معمولاً متعلق به فردی در درجات بالاتر است که دسترسی به داده‌های حساس دارد.

4.    احتمالاً متوجه حمله نخواهید شد
برای این‌گونه حملات هشدار از پیش وجود ندارد و علائم مشخصی از حمله یا نقض دیده نخواهد شد. یک popup ظاهر نمی‌شود که باید باج پرداخت کنید، برنامه‌ای را دانلود کنید یا به یک مرکز خدمات سر بزنید. در اکثر مواقع مجرمین حملات را انجام می‌دهند، اطلاعات شمارا سرقت می‌کنند و ناپدید می‌شوند. ضمناً متوجه نقض نخواهید شد و نخواهید دانست که داده‌ها در اینترنت حراج شده یا فروخته می‌شود.

5.    مهندسی اجتماعی در سازمان‌ها رونق دارد
مهندسی اجتماعی بر روی همه ما اثر می‌گذارد و با فرکانس بیشتری توسط کلاه‌برداران استفاده می‌شود تا کسب‌وکارهای کوچک و متوسط  را هدف قرار دهد. در سال 2014 مجرمین سایبری سازمان‌ها را به‌صورت گسترده هدف قراردادند. مهندسی اجتماعی امروزه برای هدف قرار دادن مدیران میانی و ارشد استفاده می‌شود. ایمیل‌های فیشینگ امروزه از LinkedIn برای دریافت اطلاعات خود استفاده می‌کنند چون این‌یک منبع بی‌نظیر برای مجرمین سایبری است.