چطور هک نشویم؟ امنیت سایبری برای عموم
-70%
1,665,000 تومان499,500 تومان
مهندسی اجتماعی (Social Engineering) چیست؟
مهندسی اجتماعی یک حمله روانشناختی علیه یک شرکت یا سازمانه که هدفش سوء استفاده از تمایل طبیعی افراد به اعتماد کردن به دیگرانه. اگر علاقمند به آموزش هک هستید با ما همراه باشید.
فهرست مطالب
- مهندسی اجتماعی (Social Engineering) چیست؟
- مهندسی اجتماعی (Social Engineering) چطور کار میکنه؟
- مهندسی اجتماعی چقدر جسورانه است؟
- مهندسی اجتماعی چه ربطی به امنیت نرم افزار داره؟
- رایج ترین حملات مهندسی اجتماعی کدوم ها هستن؟
- پیامدهای احتمالی یک حمله موفق مهندسی اجتماعی چیه؟
- چطور میشه جلوی حملات مهندسی اجتماعی رو گرفت؟
مهاجم با ساختن یک سناریوی ساختگی که برای هدف ها آشنا به نظر میرسه، از تعصبات شناختی قربانیان سوء استفاده میکنه تا اون ها رو به یک حس امنیت و اعتماد کاذب بکشونه.
به طور خلاصه، مهاجم یک هویت جعلی رو به خودش میگیره که از نظر قربانی ها به طور طبیعی قابل اعتماد به نظر میرسه.
مهندسی اجتماعی (Social Engineering) چطور کار میکنه؟
مهاجم از این رابطه جعلی و ساخته شده برای فریب قربانی استفاده میکنه تا اون ها رو وادار کنه که اطلاعات حساس رو فاش کنن یا کاری انجام بدن که معمولاً انجام نمیدن.
گاهی این اطلاعات مثل نام کاربری و رمز عبور ممکنه هدف نهایی مهاجم باشه.
اما بعضی وقت ها اطلاعاتی به ظاهر بی اهمیت مثل نام مدیر یک بخش میتونه فقط یک قدم در مسیر رسیدن به هدف اصلی باشه.
نکته جالب اینه که این نوع داده های به ظاهر بی اهمیت از دو جهت برای مهاجم مفیدن:
- چون به نظر کم اهمیت میان، قربانی معمولاً بدون شک و تردید اون ها رو فاش میکنه
- مهندسی اجتماعی یک فرآیند مرحله به مرحله هست و هر اطلاعات کوچیکی میتونه به مهاجم کمک کنه سناریوی خودش رو قوی تر کنه و اعتماد بیشتری جلب کنه تا بتونه به اطلاعات حساس تری دسترسی پیدا کنه
مهندسی اجتماعی چقدر جسورانه است؟
این روش یکی از جسورانه ترین روش های هک به حساب میاد چون معمولا نیاز داره که مهاجم مستقیم با قربانی ارتباط برقرار کنه، چه از طریق تلفن و چه به صورت حضوری.
در پیشرفته ترین حالت، مهاجم ممکنه حتی به فضاهایی که برای عموم محدود هستن مثل اتاق سرور یا گاوصندوق ها دسترسی فیزیکی پیدا کنه.
همین تاکتیک های مهندسی اجتماعی جسورانه، الهام بخش بسیاری از فیلم های سرقت در هالیوود بوده.
اما درست مثل فیلم ها، مهندسی اجتماعی در دنیای واقعی نیاز به تحقیقات دقیق، برنامه ریزی هوشمندانه و طراحی سناریوهای پیچیده داره.
مهندسی اجتماعی چه ربطی به امنیت نرم افزار داره؟
مهندسی اجتماعی اغلب یک هدف نهایی نیست، بلکه بخشی از یک حمله بزرگتر و پیچیده تره.
برای مثال، فرض کنید یک مهاجم از طریق یک آسیب پذیری فنی به اطلاعات کاربری یک شخص دسترسی پیدا میکنه
اما هدف اصلیش دسترسی به سیستمیه که نیاز به احراز هویت دو مرحله ای داره و از یک توکن امنیتی برای تولید کدهای شش رقمی استفاده میکنه.
اینجاست که مهاجم از مهندسی اجتماعی استفاده میکنه و با یک سناریوی قانع کننده، قربانی رو فریب میده تا اطلاعات احراز هویت چندمرحله ای رو در اختیارش بذاره.
رایج ترین حملات مهندسی اجتماعی کدوم ها هستن؟
مهاجمان معمولا سعی میکنن خودشون رو به عنوان کارکنان IT یا مرکز پشتیبانی جا بزنن تا اطلاعات فنی حساس رو از قربانی بگیرن.
اونا از اطلاعات منبع باز (OSINT) برای جمع آوری اطلاعات از سایت های عمومی، شبکه های اجتماعی و منابع دیگه استفاده میکنن تا یک سناریوی قانع کننده بسازن.
چهار نوع حمله پرکاربرد مهندسی اجتماعی شامل این موارده:
- حملات تلفنی:
تماس مستقیم با قربانیان و هدایت اون ها به سایت های فیشینگ یا درخواست اطلاعات حساس - حملات حضوری:
جا زدن به عنوان کارکنان تعمیرات، کارگران ساختمانی یا نقش های مشابه برای دسترسی به مناطق محدود - دنباله روی (Tailgating):
جا زدن به عنوان یک کارمند و دنبال کردن افراد مجاز برای عبور از درهای قفل شده و ورود به مناطق حفاظت شده - حملات از طریق اشخاص ثالث:
هدف قرار دادن افراد از طریق یک شخص ثالث خارج از سازمان هدف، مثل سایت های دوستیابی یا شبکه های اجتماعی، برای آلوده کردن دستگاه اون ها با بدافزار و دسترسی به شبکه سازمان
پیامدهای احتمالی یک حمله موفق مهندسی اجتماعی چیه؟
ضعیف ترین حلقه در هر سیستم، اغلب عامل انسانی هست.
چون حملات مهندسی اجتماعی مستقیماً انسان ها رو هدف قرار میدن، معمولاً از بسیاری از کنترل های امنیتی فنی عبور میکنن بدون اینکه شناسایی بشن.
به طور خلاصه، یک حمله موفق مهندسی اجتماعی میتونه به مهاجم این امکان رو بده که به سیستم های یک سازمان نفوذ کنه و دسترسی مشابه با یک عضو واقعی سازمان مثل یک کارمند رو به دست بیاره.
در اصل، این یعنی مهاجم میتونه مثل یک نفوذی مخرب از داخل عمل کنه و به چندین سیستم دسترسی پیدا کنه و اطلاعات حساس رو سرقت کنه.
در نهایت، مهندسی اجتماعی میتونه منجر به نفوذ کامل به سازمان بشه، به این معنی که تمام داده های سازمان (مثل ایمیل ها، اطلاعات کاربری، کد منبع، اطلاعات مشتریان و غیره) ممکنه توسط مهاجمان سرقت بشه.
چطور میشه جلوی حملات مهندسی اجتماعی رو گرفت؟
ارزیابی تیم قرمز (Red Team Assessment)
برای به حداقل رسوندن آسیب های ناشی از نفوذ مهندسی اجتماعی، بسیاری از سازمان ها از ارزیابی تیم قرمز استفاده میکنن.
این ارزیابی سناریوی یک حمله واقعی رو شبیه سازی میکنه که شامل تکنیک های مهندسی اجتماعی هم هست.
ارزش این ارزیابی اینه که بعد از تکمیلش، ارزیاب ها میتونن اقدامات اصلاحی پیشنهاد بدن که وضعیت امنیتی کلی سازمان رو تقویت کنه و با نیازهای تجاری سازمان هماهنگ باشه.
آموزش آگاهی از مهندسی اجتماعی (Awareness Training)
یکی از بهترین راه های دفاع در برابر حملات مهندسی اجتماعی، آموزش آگاهی به کارکنانه.
این آموزش به کارمندان کمک میکنه از ریسک ها آگاه بشن و در برابر فعالیت های مشکوک دچار تردید و احتیاط بشن.
هدف نهایی این آموزش ایجاد یک فرهنگ امنیت محور در محیط کاری هست.
نمونه هایی از این آموزش ها شامل:
- جلوگیری از دنباله روی (Tailgating)
- مواجهه با افراد مشکوک
- تایید هویت افراد ناشناس قبل از صحبت درباره اطلاعات حساس
- گزارش فعالیت های مشکوک
معماری امن (Secure Architecture)
یک سیستم امن از ابتدا با این فرض طراحی میشه که ممکنه یک یا چند مؤلفه در نهایت آسیب پذیر بشن.
بنابراین، سیستم های امن شامل مکانیزم های ایمن سازی خودکار هستن که در صورت بروز شکست، آسیب های جانبی رو به حداقل برسونن.
این ویژگی های طراحی حتی میتونن بعد از راه اندازی سیستم و از طریق یک بازبینی طراحی و معماری ایمن هم به سیستم اضافه بشن.
در انتها اگر این مطلب براتون مفید بود، نظراتتون رو با ما به اشتراک بگذارین.
