در هر تکنولوژی مزایا و معایبی وچود دارد و از وقنی که اینترنت و موبایل و فضای مجازی در کشور رواج پیدا کرده درصد زیادی از مردم از معایب و کلاهبرداری‌های آن صحبت می‌کنند و گاهی هم مباحثی مطرح می‌کنند که شامل ۷ مورد اصلی می باشد

۱- فیشینگ

۲- کلاهبرداری نیجریه‌ای

۳- کلاهبرداری به بهانه برنده شدن در قرعه‌کشی

۴- سایت‌های شرط‌ بندی

۵- روش اسکیمر

۶- هتک حیثیت و نشر اکاذیب

۷- ارسال لینک و برنامه‌های مخرب در شبکه‌های اجتماعی و سایت‌ها است.

اما اگر بخواهیم در این باره بیشتر صحبت کنیم یک گزینه دیگر هم باید به این موضوع اضافه کنیم و بگوییم که این مورد می‌تواند در همه موارد دیگر هم دخیل باشد و طبق آمارهاکه پلیس فتا گزارش داده است بیشتر شکایت‌ها در حیطه این موضوع است. تمامی این شکایات ضعف و مشکل فضای مجازی نیست و بلکه فرهنگ و سواد رسانه‌ای است!

و خواهیم گفت که این مورد مهندسی اجتماعی و مهندسی معکوس نام دارد که هر کدام تعریف جدایی دارند.

این موضوع آن‌قدر مهم است که خیلی از مهاجم‌ها توانسته‌اند خانواده‌ها را بعد از  کلاهبرداری و آبروریزی به  جدایی و طلاق برسانند و متاسفانه در مورد عنوان یاد شده هر از گاهی مطالب و صحبت‌هایی شده اما در این مورد نه! و اما مهندسی اجتماعی چیست؟

اگر بخواهیم تعریف خلاصه‌ای در یک خط از مهندسی اجتماعی داشته باشیم، باید بگوییم:

مهندسی اجتماعی سوءاستفاده از اطمینان و یا فریب عوامل انسانی به جهت دسترسی به اطلاعات محرمانه است  و در مرحله بعد سوءاستفاده از این اطلاعات است.

در مهندسی اجتماعی که شیوه‌ای ناپاک است یک سازمان یا شخص قصد حمله به یک سازمان یا شخص دیگر را دارد و در این حمله اهدافی مانند به دست آوردن شماره و مشخصات کارت اعتباری یا اطلاعات حساس نظامی یا اطلاعات محرمانه تجاری و هر نوعی از اطلاعات که دسترسی به آن آزاد نیست، دارد.

شخص مهاجم در مهندسی اجتماعی به جای این‌که به سراغ روش‌های سخت و فنی که نیازمند سطح بالای دانش یا غیر ممکن است، برود، از تکنیکهای مهندسی اجتماعی استفاده می‌کند.

یک مثال :

یک موسسه مالی فرضی از یک نرم افزار سازمانی برای حسابداری و کنترل دارایی خود و مشتریانش استفاده می‌کند. این نرم افزار هیچگونه باگی ندارد و شبکه هم فوق‌العاده امن است و هزینه زیادی صرف امنیت سخت‌افزاری و نرم‌افزاری آن شده و مهاجم برای نفوذ امکان دسترسی به روش‌های معمول هک ندارد یا اصلا دانش فنی آن را ندارد، اما در این سازمان کارمندانی مشغول به کار هستند که آموزش لازم در زمینه مهندسی اجتماعی را ندیده‌اند. مهاجم  در ۳ مرحله تحقیقات قبلی، جلب اطمینان و دریافت اطلاعات هدف خود را نزدیک می‌کند.

در این مثال شخص مهاجم با خونسردی در تماس با یکی از کارمندان خود را مهندس مسئول شبکه یا مسئول نرم افزار موسسه معرفی می‌کند و با اطلاعاتی که قبلا از سازمان نام و اطلاعات اولیه واحدها نوع نرم افزار مورد استفاده و موارد مشابه به دست آورده و در تماس نهایی:

مهاجم: مرادی هستم مسئول IT در حال ارتقا نسخه نرم افزار هستیم لطفا رمز خود را به Newversion3 تغییر دهید. ضمنا تا یک ساعت وارد سیستم نشید چون هر تراکنشی ممکنه باعث اختلال بشه.

کارمند: خوب هستید آقای مرادی من الان دارم سند میزنم میشه چند دقیقه دیگه این کار رو بکنید ضمنا من یه مشکلی هم با فلش یو اس بی دارم.

مهاجم: ما امروز به همه واحدها اعلام کرده بودیم اما مشکلی نداره من شما رو درک میکنم. می‌تونم تغییر سیستم شما رو با ۱۰ دقیقه تاخیر انجام بدم.

کارمند: ولی به بنده اعلام نشده بود، به هر حال ممنونم که همکاری می‌کنید.

مهاجم: خواهش میکنم، در خصوص مشکلتون هم در فرصت مناسب تری با واحد ما تماس بگیرید، اسمتون رو بفرمایید من سریع کارتون رو انجام میدم، فرمودید شما آقای؟

کارمند: جوادی هستم.

مهاجم: پس جناب جوادی شما رمز رو الان تغییر بدید بنده هم از ۱۰ دقیقه دیگه برنامه رو ارتقا میدم، راستی نام کاربریتون چی بود؟

کارمند: مثل بقیه نام خانوادگی…

به همین راحتی شخص مهاجم با روش مهندسی اجتماعی، اطلاعات محرمانه بسیار با ارزش سیستم نرم افزاری سازمان را از کارمندی که تصور می‌کرد در حال مکالمه با مسئول شبکه سازمان است دریافت کرد و ممکن است مراحل دیگری مثل نفوذ به سطح بالاتر به روش‌های دیگر یا ایجاد کاربر جدید و … نیز داشته باشد، به علاوه این‌که اکثر نامهای کاربری در اختیار مهاجم قرار گرفت:

username: adminavali

password: Newversion3

اشخاص مهاجم چند مرحله تا رسیدن به هدف فاصله دارند:

در مرحله اول تحقیقات اولیه، سپس جلب اطمینان و مرحله سوم دریافت اطلاعات و در نهایت سوءاستفاده از اطلاعات که هدف بوده.

حال همین موارد را اگر بخواهیم در خصوص اطلاعات شخصی که شامل اطلاعات بانکی، شماره تماس‌های مخاطبین و حساب‌های کاربری است، ببینیم. تصور کنید که از یک ترفند تا کجاها و چه اطلاعاتی می‌شود پیش رفت و چه کارهایی انجام داد.

 

تکنیک‌های مشخص و از پیش تعریف شده‌ای برای مهندسی اجتماعی وجود ندارد و هر بار کلاهبرداران و مهاجمان مهندسی اجتماعی، روشی جدید را به کار می‌گیرند که اگر محرمانگی و طبقه‌بندی اطلاعات و آموزش‌های لازم به درستی رعایت شود تا حدود زیادی جلوی این معضل گرفته خواهد شد.

تعدادی از تکنیک‌های مهندسی اجتماعی که رایج‌تر هستند :

-جعل نام و مشخصات پرسنل یا هویت و تقلید صدای اشخاص

-بازیابی زباله‌ها (متاسفانه در زباله‌های بسیاری از شرکت‌ها روزانه مقدار زیادی اطلاعات قبل از معدوم شدن به بیرون منتقل می‌شوند).

-فیشینگ، مشابه‌سازی صفحات تقلبی با آدرس اصلی سایت‌های بانک و … برای ترغیب کاربر به ورود و واردکردن رمز.

فارمینگ، دستکاری دی ان اس.

جاسوسی

شنود مکالمات

بازیابی هارد دیسک‌ها و حافظه‌های به ظاهر معیوب

فریب پرسنل. اضطراری جلوه دادن شرایط، در فشار قرار دادن منشی، کارمند اداری و پشتیبان فنی و …

ایجاد بستر برای تماس قربانی، مثل ارسال ویروس و هدایت به سایت آنتی ویروس.

روان‌شناسی فرد به فرد و …

در مقابل حملات مهندسی اجتماعی چه باید کرد ؟

سارا گارتنر در مقاله‌ای راجع به روش‌های دفاع در مقابل حملات مهندسی اجتماعی، اذعان کرد هر جرمی دارای الگوی متداولی می‌باشد. برای مهندسی اجتماعی نیز الگویی وجود دارد، که قابل تشخیص و قابل جلوگیری می‌باشد. این الگو به صورت چرخه‌ای در شکل نشان داده شده‌است. این چرخه شامل چهار مرحله، جمع‌آوری اطلاعات، برقراری ارتباطات بهره‌کشی و عمل و اجرا است، که مانند تکه‌های پازل به هم مرتبط و وابسته‌اند.

1. جمع‌آوری اطلاعات
2. برقراری ارتباطات
3. بهره‌کشی
4. عمل و اجرا

پشتیبانی : 05132727070