مهندسی اجتماعی چیست و چه پیآمدهایی دارد؟

هدف از این نوشته آشنایی با موضوع بسیار جذاب در زمینه‌ی امنیت اطلاعات است. جذابیت این موضوع به دلیل انجام یک موضوع کاملن غیر فنی، در بستری کاملن فنی است.

توضیح ساده مهندسی اجتماعی به این شکل است: هنر فریب دادن یا به بیان دیگر، هنر متقاعد سازی افراد به این‌که داده‌های حساس و مهم خود را، در شرایطی که احساسی از این‌که تخلیه‌ی اطلاعاتی می‌شوند نداشته باشند، در اختیار دیگران قرار بدهند؛ و تفاوت اصلی این روش با هک – Hack – کردن، که در آن مهاجم با یافتن مشکل و راه ورود در سیستم اقدام به نفوذ می‌نماید، در این است که در مهندسی اجتماعی قربانی به شکلی خود خواسته، اما بدون آگاهی از حساسیت موضوع، اقدام به در اختیار گذاردن اطلاعات مهم می‌نماید.
 مهندسی اجتماعی برای نخستین بار در سال ۱۸۹۴ مطرح شد که در آن هنگام تنها منظور جنبه‌های مثبت و تاثیرگذار آن مد نظر بود؛ اما پس از مدتی جنبه‌های مثبت کنار گذاشته شده و این موضوع به سمت منفی رفته و گفته شد که هدف از مهندسی اجتماعی شستشوی مغزی افراد است. تعریف دوم با تعریف امروزی کم و بیش نزدیک به هم هستند اما تنها تفاوت آن‌ها این است که در آن سال‌ها از مهندسی اجتماعی تنها در زمینه و کارهای سیاسی استفاده می‌شد، تا این‌که یک هکر شناخته شده به نام «کوین میتنیک» در دهه‌ی ۹۰ میلادی این مبحث را در فضای مجازی هم وارد کرده و پس از آن این موضوع به شکل گسترده در زمینه‌ی فن‌آوری اطلاعات و داده‌های اشخاص هم کاربرد پیدا کرد.

چرخه‌ی حملات در مهندسی اجتماعی دربرگیرنده‌ی چهار گام است:

1. گردآوری اطلاعات درباره‌ی شخص مورد نظر
2. برقراری ارتباط با شخص مورد نظر 
3. بهره برداری 
4. حمله
   البته باید به این نکته هم اشاره کرد که هر یک از این گام‌ها ممکن است نیاز به تکراری چند باره برای رسیدن به هدف خود را داشته باشند.

توضیح درباره‌ی هر یک از این گام‌ها:

گام ۱: گردآوری اطلاعات یعنی هر داده‌ی مستقیم و غیرمستقیم، سودمند یا حتا در نگاه نخست غیر سودمند و گذرواژه و داده‌های شخصی قربانی را به‌دست آورده و به کمک آن‌ها برای نقشه‌های آینده برنامه‌ریزی و پیش‌بینی کرد؛ همچنین به کمک این داده‌ها بتوان پاسخ‌های احتمالی که قربانی در شرایط گوناگون خواهد داد را حدس زده و آماده‌ی پاسخگویی به هر یک از آن‌ها بود.
گام ۲: در گام برقراری ارتباط، کیفیت و شیوه‌ی برقراری ارتباط اهمیت بسیاری داشته، زیرا با به‌دست آوردن آرام آرام اعتماد قربانی وی برای همکاری کردن راضی شده و به اصطلاح آماده‌ی تخلیه‌ی اطلاعات می‌گردد.
گام ۳: منظور از بهره برداری این است که به کمک اطلاعات گردآوری شده در گام یک و همچنین ارتباط برقرار شده با قربانی در گام دوم، یک ارتباط پایدار و مطمن برقرار شده و آرام آرام نفوذ در بخش‌های کم اهمیت‌تر قربانی، به کمک اطلاعات به دست آمده در گذشته، انجام شده و زمینه برای انجام گام پایانی فراهم شود.
گام ۴: در این گام همه‌ی پیش زمینه‌ها برای حمله فراهم بوده و حمله‌ به هدف اصلی در قربانی، که همه‌ی این گام‌ها برای دست یافتن به آن انجام شده‌اند، آغاز و انجام می‌شود.

در دنباله و با بیان یک نمونه تلاش به روشن کردن بیشتر این روند می‌نماییم:

مهاجم: محمدی هستم مسول IT، درحال ارتقا نسخه‌ی نرم‌افزار هستیم، لطفن رمز خودتون ر به Newversion2 تغییر دهید. ضمنن تا یک ساعت وارد سیستم نشید چون هر تراکنشی ممکنه باعث اختلال بشه. 

{گام ۱ و با شماره تلفن و محل کار کارمند انجام شده}

کارمند: خوب هستید آقای محمدی من الان دارم سند می‌زنم، می‌شه چند دقیقه دیگه این کار ر بکنید؟ ضمنن من یه مشکلی هم با فلش یو اس بی دارم.

مهاجم: ما امروز به همه‌ی واحدها اعلام کرده بودیم، ولی مشکلی نداره من شما ر درک می‌کنم. می‌تونم تغییر سیستم شما ر با ۱۰ دقیقه تاخیر انجام بدم.

{گام ۲ و اعتمادسازی}

کارمند: ولی به بنده اعلام نشده بود، به هر حال ممنونم که همکاری می‌کنید.

مهاجم: خواهش می‌کنم، در خصوص مشکلتون هم در فرصت مناسب‌تری با واحد ما تماس بگیرید، اسمتون ر بفرمایید من سریع کارتون ر انجام می‌دم، فرمودید شما آقای؟

{گام ۳ و بهبره‌برداری و گرفتن نام‌خانوادگی}

کارمند: علوی هستم.

مهاجم: پس جناب علوی شما رمز ر الان تغییر بدید بنده هم از ۱۰ دقیقه دیگه برنامه ر ارتقا می‌دم، راستی نام کاربریتون چی بود؟

{گام ۳ و بهبره‌برداری و گرفتن نام کاربری}

کارمند: مثل بقیه نام خانوادگی…

{گام ۴ و حمله}

به کمک همین روش ساده، مهاجم اطلاعات بسیاری را به‌دست آورد که نه تنها برای این قربانی کاربرد دارند بلکه می‌توانند برای نفوذ به لایه‌های بالاتر، چه به کمک دانستن نام کاربری و چه به کمک کامپیوتر هک شده و ارتباط آن با دیگر رایانه‌ها در شبکه‌ی سازمان، به کار برده شوند.
البته همیشه انجام مهندسی اجتماعی با دسترسی مستقیم به سیستم یکی از کارمندان آغاز نشده و می‌تواند به روش‌های بسیار ساده‌ی دیگری نیز انجام شود؛ یکی از این روش‌ها (Dumpster Diving) یا اشغال گردی نام دارد.
در این روش شخص مهاجم درون زباله‌های فیزیکی سازمان به دنبال داده و اطلاعات به درد بخور و سودمند می‌گردد و تجربه نشان داده است که در بسیاری از موارد هم به اطلاعات بسیار ارزشمندی، که در نگاه نخست برای کارمندان یک سازمان اهمیتی ندارند، دست پیدا می‌کند.

راه‌های پیشگیری از پدیده‌ی مهندسی اجتماعی
بهترین و آسان‌ و ارزان‌ترین راه آموزش هر چه بیشتر کارکنان یک سازمان است، این‌که چه اطلاعاتی را می‌توانند اشتراک‌گذاری نمایند و چه داده‌هایی را نباید با کسی به اشتراک بگذارند. صحبت درباره‌ی چه موضوع‌هایی می‌تواند ریسک حمله را افزایش دهند. چگونه نام کاربری و گذرواژه‌ی خود را به گونه‌ای تغییر دهند که ساده و قابل حدس زدن نبوده و همچنین بتوان آن را به سادگی به یاد سپرد، همگی از این دست آموزش‌ها هستند.
برای نمونه کسانی که در بخش امنیت اطلاعات یک سازمان در حال کار هستند، چه درون و چه بیرون از سازمان و به شکل برون‌سپاری شده، نیازی به گذرواژه‌ی پیشین شما نداشته و در صورتی که کسی درخواست چنین موضوعی را بنماید، به احتمال بسیار بالا می‌تواند به دنبال دست پیدا کرده به اطلاعات شما به کمک مهندسی اجتماعی باشد.
پدیده‌ی دیگری که از چند سال گذشته برای امنیت شرکت و سازمان‌ها بسیار مشکل‌ساز شده است، شبکه‌های اجتماعی هستند. بسیاری از کارکنان یک سازمان، ندانسته و بیشتر به دلیل آموزش و آگاه‌ی کم از سوی سازمان، اطلاعات و داده‌های حتا در نگاه نخست ساده و پیش‌ پا افتاده‌ را به اشتراک می‌گذارند که می‌توانند برای فرد مهاجم بسیار ارزشمند باشند؛ برای نمونه عکس‌های یادگاری با همکاران از محل کار یا اتاق سرور که اطلاعات ارزشمندی از نقشه، جای دوربین‌ها، جای قرار گرفتن گاو صندوق، قفل‌ها، جایگاه قرارگیری نگهبان‌ها و نوع سیستم‌های امنیتی و غیره را به آسانی در اختیار مهاجمان می‌گذارد.

در صورتی که مورد حمله قرار گرفتیم چه کار کنیم
در گام یک باید اقدام به عوض کردن گذرواژه‌ها کرده و تا جای امکان همه‌ی اطلاعات و داده‌های ارزشمند را از دسترس خارج نماییم. سپس باید همه‌ی مسولین و مدیران مربوطه در جریان موضوع پیش‌آمده قرار گرفته و اطلاعاتی که لو رفته‌اند را بررسی کرده تا نسبت به آن‌ها پروتوکل‌های از پیش تعیین شده، مانند Back-up گرفتن از اطلاعات، قطع کردن شبکه‌ی سازمان، از دسترس خارج کرده همه یا بخشی از سرور و کامپیوترها و دیگر کارهای پیش‌بینی شده، را انجام داده یا در صورت نداشتن پروتوکل، هر چه زودتر تصمیم‌های درخور برای رویارویی با این موضوع را بگیرند.

در پایان هم باید این نکته را یادآوری کرد که به همان اندازه که به امنیت فیزیکی اهمیت می‌دهیم، باید به امنیت مجازی – Cyber Security – نیز اهمیت دهیم؛ زیرا امروزه در بسیاری از موارد میزان آسیبی که یک سازمان از حمله‌های مجازی می‌بیند، بسیار بیشتر از آسیب‌هایی است که از انجام ندادن کارهای مربوط به امنیت فیزیکی است. همچنین در زمینه‌ی آسیب‌های مجازی، خوب است این نکته را به یاد داشته باشیم که بسیاری از سازمان‌ها مجهز به سامانه‌های امنیت اطلاعات و ضد هک شدن مانند فایروال‌، آنتی‌ویروس، رمزنگارها و بسیاری دیگر از ابزارها هستند، اما این روش‌های رویارویی همگی برای حمله کنندگان بیرون از شبکه سازمان هستند و برای کسانی که به کمک مهندسی اجتماعی به اطلاعات کارمندان سازمان دسترسی دارند، کارایی چندانی ندارند؛ بنابراین و همان گونه که هم در بالا به آن اشاره شده باید نسبت به آموزش و آکاه‌ی کارکنان سازمان از خطر و آسیب‌ها و راه‌های رویارویی با آن‌ها، از نگاه مهندسی اجتماعی، مانند دیگر روش‌ها اقدام کرد.

گردآوری و توضیح مطالب: خانم ساحل جهاندار