هدف از این نوشته آشنایی با موضوع بسیار جذاب در زمینهی امنیت اطلاعات است. جذابیت این موضوع به دلیل انجام یک موضوع کاملن غیر فنی، در بستری کاملن فنی است.
توضیح ساده مهندسی اجتماعی به این شکل است: هنر فریب دادن یا به بیان دیگر، هنر متقاعد سازی افراد به اینکه دادههای حساس و مهم خود را، در شرایطی که احساسی از اینکه تخلیهی اطلاعاتی میشوند نداشته باشند، در اختیار دیگران قرار بدهند؛ و تفاوت اصلی این روش با هک – Hack – کردن، که در آن مهاجم با یافتن مشکل و راه ورود در سیستم اقدام به نفوذ مینماید، در این است که در مهندسی اجتماعی قربانی به شکلی خود خواسته، اما بدون آگاهی از حساسیت موضوع، اقدام به در اختیار گذاردن اطلاعات مهم مینماید.
مهندسی اجتماعی برای نخستین بار در سال ۱۸۹۴ مطرح شد که در آن هنگام تنها منظور جنبههای مثبت و تاثیرگذار آن مد نظر بود؛ اما پس از مدتی جنبههای مثبت کنار گذاشته شده و این موضوع به سمت منفی رفته و گفته شد که هدف از مهندسی اجتماعی شستشوی مغزی افراد است. تعریف دوم با تعریف امروزی کم و بیش نزدیک به هم هستند اما تنها تفاوت آنها این است که در آن سالها از مهندسی اجتماعی تنها در زمینه و کارهای سیاسی استفاده میشد، تا اینکه یک هکر شناخته شده به نام «کوین میتنیک» در دههی ۹۰ میلادی این مبحث را در فضای مجازی هم وارد کرده و پس از آن این موضوع به شکل گسترده در زمینهی فنآوری اطلاعات و دادههای اشخاص هم کاربرد پیدا کرد.
چرخهی حملات در مهندسی اجتماعی دربرگیرندهی چهار گام است:
- گردآوری اطلاعات دربارهی شخص مورد نظر
- برقراری ارتباط با شخص مورد نظر
- بهره برداری
- حمله
البته باید به این نکته هم اشاره کرد که هر یک از این گامها ممکن است نیاز به تکراری چند باره برای رسیدن به هدف خود را داشته باشند.
توضیح دربارهی هر یک از این گامها:
گام ۱: گردآوری اطلاعات یعنی هر دادهی مستقیم و غیرمستقیم، سودمند یا حتا در نگاه نخست غیر سودمند و گذرواژه و دادههای شخصی قربانی را بهدست آورده و به کمک آنها برای نقشههای آینده برنامهریزی و پیشبینی کرد؛ همچنین به کمک این دادهها بتوان پاسخهای احتمالی که قربانی در شرایط گوناگون خواهد داد را حدس زده و آمادهی پاسخگویی به هر یک از آنها بود.
گام ۲: در گام برقراری ارتباط، کیفیت و شیوهی برقراری ارتباط اهمیت بسیاری داشته، زیرا با بهدست آوردن آرام آرام اعتماد قربانی وی برای همکاری کردن راضی شده و به اصطلاح آمادهی تخلیهی اطلاعات میگردد.
گام ۳: منظور از بهره برداری این است که به کمک اطلاعات گردآوری شده در گام یک و همچنین ارتباط برقرار شده با قربانی در گام دوم، یک ارتباط پایدار و مطمن برقرار شده و آرام آرام نفوذ در بخشهای کم اهمیتتر قربانی، به کمک اطلاعات به دست آمده در گذشته، انجام شده و زمینه برای انجام گام پایانی فراهم شود.
گام ۴: در این گام همهی پیش زمینهها برای حمله فراهم بوده و حمله به هدف اصلی در قربانی، که همهی این گامها برای دست یافتن به آن انجام شدهاند، آغاز و انجام میشود.
در دنباله و با بیان یک نمونه تلاش به روشن کردن بیشتر این روند مینماییم:
مهاجم: محمدی هستم مسول IT، درحال ارتقا نسخهی نرمافزار هستیم، لطفن رمز خودتون ر به Newversion2 تغییر دهید. ضمنن تا یک ساعت وارد سیستم نشید چون هر تراکنشی ممکنه باعث اختلال بشه.
{گام ۱ و با شماره تلفن و محل کار کارمند انجام شده}
کارمند: خوب هستید آقای محمدی من الان دارم سند میزنم، میشه چند دقیقه دیگه این کار ر بکنید؟ ضمنن من یه مشکلی هم با فلش یو اس بی دارم.
مهاجم: ما امروز به همهی واحدها اعلام کرده بودیم، ولی مشکلی نداره من شما ر درک میکنم. میتونم تغییر سیستم شما ر با ۱۰ دقیقه تاخیر انجام بدم.
{گام ۲ و اعتمادسازی}
کارمند: ولی به بنده اعلام نشده بود، به هر حال ممنونم که همکاری میکنید.
مهاجم: خواهش میکنم، در خصوص مشکلتون هم در فرصت مناسبتری با واحد ما تماس بگیرید، اسمتون ر بفرمایید من سریع کارتون ر انجام میدم، فرمودید شما آقای؟
{گام ۳ و بهبرهبرداری و گرفتن نامخانوادگی}
کارمند: علوی هستم.
مهاجم: پس جناب علوی شما رمز ر الان تغییر بدید بنده هم از ۱۰ دقیقه دیگه برنامه ر ارتقا میدم، راستی نام کاربریتون چی بود؟
{گام ۳ و بهبرهبرداری و گرفتن نام کاربری}
کارمند: مثل بقیه نام خانوادگی…
{گام ۴ و حمله}
به کمک همین روش ساده، مهاجم اطلاعات بسیاری را بهدست آورد که نه تنها برای این قربانی کاربرد دارند بلکه میتوانند برای نفوذ به لایههای بالاتر، چه به کمک دانستن نام کاربری و چه به کمک کامپیوتر هک شده و ارتباط آن با دیگر رایانهها در شبکهی سازمان، به کار برده شوند.
البته همیشه انجام مهندسی اجتماعی با دسترسی مستقیم به سیستم یکی از کارمندان آغاز نشده و میتواند به روشهای بسیار سادهی دیگری نیز انجام شود؛ یکی از این روشها (Dumpster Diving) یا اشغال گردی نام دارد.
در این روش شخص مهاجم درون زبالههای فیزیکی سازمان به دنبال داده و اطلاعات به درد بخور و سودمند میگردد و تجربه نشان داده است که در بسیاری از موارد هم به اطلاعات بسیار ارزشمندی، که در نگاه نخست برای کارمندان یک سازمان اهمیتی ندارند، دست پیدا میکند.
راههای پیشگیری از پدیدهی مهندسی اجتماعی
بهترین و آسان و ارزانترین راه آموزش هر چه بیشتر کارکنان یک سازمان است، اینکه چه اطلاعاتی را میتوانند اشتراکگذاری نمایند و چه دادههایی را نباید با کسی به اشتراک بگذارند. صحبت دربارهی چه موضوعهایی میتواند ریسک حمله را افزایش دهند. چگونه نام کاربری و گذرواژهی خود را به گونهای تغییر دهند که ساده و قابل حدس زدن نبوده و همچنین بتوان آن را به سادگی به یاد سپرد، همگی از این دست آموزشها هستند.
برای نمونه کسانی که در بخش امنیت اطلاعات یک سازمان در حال کار هستند، چه درون و چه بیرون از سازمان و به شکل برونسپاری شده، نیازی به گذرواژهی پیشین شما نداشته و در صورتی که کسی درخواست چنین موضوعی را بنماید، به احتمال بسیار بالا میتواند به دنبال دست پیدا کرده به اطلاعات شما به کمک مهندسی اجتماعی باشد.
پدیدهی دیگری که از چند سال گذشته برای امنیت شرکت و سازمانها بسیار مشکلساز شده است، شبکههای اجتماعی هستند. بسیاری از کارکنان یک سازمان، ندانسته و بیشتر به دلیل آموزش و آگاهی کم از سوی سازمان، اطلاعات و دادههای حتا در نگاه نخست ساده و پیش پا افتاده را به اشتراک میگذارند که میتوانند برای فرد مهاجم بسیار ارزشمند باشند؛ برای نمونه عکسهای یادگاری با همکاران از محل کار یا اتاق سرور که اطلاعات ارزشمندی از نقشه، جای دوربینها، جای قرار گرفتن گاو صندوق، قفلها، جایگاه قرارگیری نگهبانها و نوع سیستمهای امنیتی و غیره را به آسانی در اختیار مهاجمان میگذارد.
در صورتی که مورد حمله قرار گرفتیم چه کار کنیم
در گام یک باید اقدام به عوض کردن گذرواژهها کرده و تا جای امکان همهی اطلاعات و دادههای ارزشمند را از دسترس خارج نماییم. سپس باید همهی مسولین و مدیران مربوطه در جریان موضوع پیشآمده قرار گرفته و اطلاعاتی که لو رفتهاند را بررسی کرده تا نسبت به آنها پروتوکلهای از پیش تعیین شده، مانند Back-up گرفتن از اطلاعات، قطع کردن شبکهی سازمان، از دسترس خارج کرده همه یا بخشی از سرور و کامپیوترها و دیگر کارهای پیشبینی شده، را انجام داده یا در صورت نداشتن پروتوکل، هر چه زودتر تصمیمهای درخور برای رویارویی با این موضوع را بگیرند.
در پایان هم باید این نکته را یادآوری کرد که به همان اندازه که به امنیت فیزیکی اهمیت میدهیم، باید به امنیت مجازی – Cyber Security – نیز اهمیت دهیم؛ زیرا امروزه در بسیاری از موارد میزان آسیبی که یک سازمان از حملههای مجازی میبیند، بسیار بیشتر از آسیبهایی است که از انجام ندادن کارهای مربوط به امنیت فیزیکی است. همچنین در زمینهی آسیبهای مجازی، خوب است این نکته را به یاد داشته باشیم که بسیاری از سازمانها مجهز به سامانههای امنیت اطلاعات و ضد هک شدن مانند فایروال، آنتیویروس، رمزنگارها و بسیاری دیگر از ابزارها هستند، اما این روشهای رویارویی همگی برای حمله کنندگان بیرون از شبکه سازمان هستند و برای کسانی که به کمک مهندسی اجتماعی به اطلاعات کارمندان سازمان دسترسی دارند، کارایی چندانی ندارند؛ بنابراین و همان گونه که هم در بالا به آن اشاره شده باید نسبت به آموزش و آکاهی کارکنان سازمان از خطر و آسیبها و راههای رویارویی با آنها، از نگاه مهندسی اجتماعی، مانند دیگر روشها اقدام کرد.
گردآوری و توضیح مطالب: خانم ساحل جهاندار
بدون دیدگاه