2,733 بازدید

مهندسی اجتماعی در امنیت

چکیده

مهندسی اجتماعی هنر بهره برداری از رفتار آسیب پذیر انسان ها برای ایجاد شکاف امنیتی بدون هیچ ظن و گمان از سوی قربانی می باشد. در این مقاله در ابتدا به شناخت مفهوم مهندسی اجتماعیدر جامعه و در ادامه به صورت جزئی تر به کاربرد آن

درامنیت سازمان ها پرداخته شده است. با تغییر و تحول در نحوه انجام کارها با ورود به عرصه ارتباطات ، روش هایی نیز برای سوء استفاده و کسب منافع شخصی از این طریق به وجود آمده که در اینجا سعی در شفاف سازی این متد ها و نحوه جلوگیری از این

حملات مطرح شده است.

 

کلمات کلیدی

مهندسی اجتماعی، امنیت سازمان – فیشینگ، Social Engineering ، Social Manipulation ، Phishing

 

Social-Engineering
Social-Engineering

۱- مقدمه

یکی از مسایلی که امروزه برای اکثر سازمان ها ارایه دهنده سرویس های اینترنتی و یا حتی موسسات دارنده اطلاعات حساس حایز اهمیت است حفظ محرمانگی و تضمین امنیت اطلاعات سازمان است که مهم ترین سرمایه های سازمان محسوب می شوند.

اگر شما یک مدیر IT کاملا فنی و تکنیکی هستید و در سازمان خود از تجهیزات سخت افزاری ونرم افزاری گران قیمت جهت برقراری امنیت شبکه استفاده می کنید ، وحتی اگر از تکنیکهای تحت شبکه آزمون نفوذ پذیری نیز بهره می برید باز هم ممکن است از

 

شر افراد موسوم به مهندسی اجتماعی که از طریق کارکنان سازمان به اطلاعات مهم وحساس آن دست می یابند ، در امان نباشید. [۱]

دانلود مقاله  مهندسی اجتماعی در امنیت سازمان

 

۲- تعریف مهندسی اجتماعی

مهندسی اجتماعی به مجموعه ای از تکنیکها اتلاق می شود که در آن از کاربران نا آگاه جهت انجام اعمال نفوذی یا فاش نمودن اطلاعات محرمانه سوء استفاده می شود . در این روش حمله گر یا نفوذ کننده در بیشتر موارد خود را پنهان نگاه داشته و از تماس

رو در رو با طرف حمله اجتناب می نماید .

امروزه مهندسی اجتماعی در درجه اول به صورت آنلاین می باشد. این روش از بزرگترین حملات کلاهبرداری شناخته شده است اما هنوز هم سرقت های زیادی به صورت مستقیم انجام می شود. اما فریفتن اشخاص از طریق تلفن آسان تر است و یا به صورت آنلاین؟

در دنیای اینترنت مهندسی اجتماعی ( معروف به دستکاری اجتماعی Social Manipulation ) ، راهی برای نفوذ افراد برای بدست آوردن اطلاعات حساس ( کلمه عبور و اطلاعات کارت اعتباری ) به صورت غیر قانونی می باشد.

مهندسی اجتماعی با مشاهده و بررسی محیط شخصی قربانیان خود و استفاده از هویت جعلی به اطلاعات محرمانه دست میابند و یا از خدمات رایگان استفاده می کنند. [۲]

 

۳- چرخه حملات مهندسی اجتماعی

هر جرمی دارای الگوی متداولی می‌باشد. برای مهندسی اجتماعی نیز الگویی وجود دارد، که قابل تشخیص و قابل جلوگیری می‌باشد این چرخه شامل چهار مرحله، جمع آوری اطلاعات، برقراری ارتباطات بهره کشی و عمل و اجرا است، که مانند تکه‌های پازل به هم مرتبط و وابسته‌اند.

 

Social-Engineering
Social-Engineering

 

شکل (۱) : چرخه حملات مهندسی اجتماعی

 

جمع آوری اطلاعات : مجموعه‌ای از تکنیک‌های مختلف، که توسط مهاجم برای جمع آوری اطلاعات درباره هدف، مورد استفاده قرار می‌گیرد. مهاجم با استفاده از این تکنیک‌ها به جمع آوری اطلاعات ساده اما مفیدی مانند لیست شماره تلفن‌ها، تاریخ تولد، نمودار سازمانی و… می‌پردازد، تا با استفاده از آنها به اطلاعات کلیدی و مورد هدف دست یابد.

برقراری ارتباطات : مهاجم در این مرحله از رضایت و میل شخص قربانی برای ایجاد اعتماد، در جهت برقرای ارتباط، سوء استفاده می‌کند. پس از برقراری ارتباط مهاجم خود را در موقعیت اعتماد قرار می‌دهد، تا بتواند از این موقعیت بهره برداری کند.

بهره کشی : قربانی در این مرحله تحت تاثیر اعتماد فرد مهاجم در جهت آشکار کردن اطلاعاتی چون پسورد یا انجام کارهایی که در حالت طبیعی انجام نمی‌داده، مانند ساختن شناسه کاربری برای فرد مهاجم و…، قرار می‌گیرد.

عمل و اجرا : زمانی که هدف، عمل خواسته شده از سمت مهاجم را انجام داد، چرخه پایان یافته و مهاجم به خواسته خود رسیده‌است.

هر مرحله چرخه مهندسی اجتماعی بسته به شرایط و تکنیک‌های مختلف مورد استفاده، منحصر به فرد می‌باشد. همچنین، هر مرحله به تکمیل و موفقیت مرحله قبل وابسته‌است. اغلب، برای انجام حمله‌ای موفق، این چرخه بارها تکرار می‌شود. زیرا برقراری ارتباط و جلب اعتماد کار ساده‌ای نیست. و مهاجم در این راه نیاز به جمع آوری اطلاعات کافی درباره سازمان،سیستم‌های موجود وکارکنانش دارد [۳]

 

انگیزه‌های مهندسی اجتماعی :

بهره برداری مالی : به دلایل گوناگون، افراد تحت تاثیر دستیابی به پول و ثروت می‌باشند. به عنوان مثال فرد ممکن است، باور داشته باشد که وی سزاوار دستمزد بیشتری است و یا نیاز به پول بیشتری برای عادات خارج از کنترلی چون قمار دارد.

نفع شخصی : مهاجم ممکن است خواستار دسترسی و ویرایش اطلاعات مربوط به خود، اعضای خانواده و دوستان باشد.

انتقام : بنابر دلایل قابل درک تنها توسط فرد مهاجم، وی ممکن است دوست، همکار، سازمان و یا مجموعه‌ای از افراد را برای ارضا کردن احساسات و شهوات خود در جهت انتقام یا کینه توزی مورد هدف قرار دهد.

فشارهای خارجی : مهاجم ممکن است از سمت دوستان، خانواده یا سندیکایی سازمان یافته، به دلایلی از قبیل بهره برداری مالی، منفعت شخصی و یا انتقام تحت فشار و تهدیدهای جانی و مالی بوده و چنین کاری را انجام دهد.

 

۴- تکنیکهای مهندسی اجتماعی

تکنیک های زیادی برای استفاده از مهندسی اجتماعیجهت غلبه برسیستم های امنیتی یک موسسه وجود دارد که در این بخش به برخی از آنان اشاره می شوداین تکنیک ها به دو دسته کلی تقسیم می شوند :

تکنیک‌های مبتنی بر کامپیوتر : بدون دخالت فیزیکی انسان از قبیل پنجره‌های Pop-Up، پیوست نامه‌های الکترونیکی ، هرزنامه‌های زنجیره‌ای و فریب آمیز ، وب‌گاه‌ها ، بازیابی و تجزیه و تحلیل ابزارهای مستعمل،Phishing

تکنیک‌های مبتنی بر انسان : به صورت رو درو و با حضور شخص از قبیل رویکرد مستقیم ، جستجو در زباله‌ها ، جعل هویت ، سوءاستفاده از کاربران مهم ، کارکنان پشتیبان فنی

 

در ادامه تکنیک های پر کاربرد در مهندسی اجتماعی را شرح می دهیم. [۳-۴]

 

 

۱-۴- روش بهانه جویی Pretexting : این روش عبارتست از سناریو سازی ( بهانه جویی ) جهت اخذ اطلاعات ویا انجام عملی ناخواسته توسط فرد مورد هدف که عمدتا” از طریق تلفن صورت می پذیرد .

بهانه جویی چیزی بیش از یک دروغ ساده است ومی تواند با ادعای قانونی بودن تقاضای مورد نظر ، فرد را به دادن اطلاعاتی چون تاریخ تولد ، شماره و رمز حساب ویا حتی مبلغ آخرین فیش حقوقی و… ترغیب نماید .

 

۲-۴- آشغال گردی : در این روش در کاغذها و دورریزهای سازمان به منظور دستیابی به اطلاعات مفید جستجو انجام می گیرد. فهرست تلفن های سازمان، نمودارهای سازمان، یادداشتها، راهنماهای سیاست سازمان، ساعات جلسات، دورریزهای اطلاعات حساس مانند شناسه و رمز، دورریزهای کد برنامه ها، دیسک ها و نوارها همگی حاوی اطلاعاتی خواهند بود که فرد هکر را در دستیابی به اطلاعات مفیدی همچون مشخصات افراد، سمت سازمانی آنها، ساعات عدم حضور کارکنان در اتاق کارشان و بسیاری موارد دیگرکمک می نماید.

یکی از موارد جدیدی که اخیرا در این راستا مورد توجه قرار می گیرد حافظه موقت چاپگر ها می باشد. با توجه به اینکه امروزه اکتر چاپگرها مستقیما به شبکه وصل شده اند و ملاحظات امنیتی نیز در مورد آنان عموما مورد غفلت قرار می گیرد، دسترسی به این حافظه ها می تواند منبع بزرگی برای نفوذ کنندگان باشد تا به اطلاعات طبقه بندی شده بسیار حساس دست یایند.

 

۳-۴- روش سرقت هویت Phishing : این روش عبارتست از دستیابی به اطلاعات خصوصی وشخصی به صورت عوام فریبانه . در این روش نفوذ گر به ارسال پست الکترونیکی از سوی یک شرکت معتبر پرداخته وتقاضای تائید اطلاعات را از طریق یک لینک وب به ظاهر حقوقی می نماید و از این طریق کلیه اطلاعات شخصی از قبیل اسم ، مشخصات شناسنامه ای ، آدرس منزل ، پست الکترونیک ورمز آن ، شماره حساب بانکی ورمز آن وسایراطلاعات را جهت سوء استفاده های بعدی اخذ می نماید .

گونه دیگر این تکنیک سرقت هویت به صورت تلفنی است که به جای لینک وب شماره تماسی به فرد داده می شودوشماره مذکورعموما با استفاده از منشی تلفنی خودکار از تماس گیرنده تقاضای ورود و یا تغییر کلمه رمز خود را می نماید .

حملات فیشینگ معمولاً در قالب‌های زیر ظاهر می‌شوند:

ایمیل از سمت فردی که ادعا می کند مدیر سیستم یا پرسنل مرکز کامپیوتر است.

ایمیل از سمت فردی که ادعا می کند کامپیوتر شما ویروسی می باشد.

ایمیل از طرف فردی که ادعا می‌کند دوست یا همکار شما است.

وب‌سایتی با نامی مشابه وب‌سایت‌هایی که شما متناوباً به آن‌ها سر می‌زنید.

 

۴-۴- روش اسبهای ترو جان Trojan horses

در این روش ضمیمه پست الکترونیکی فرستاده شده از سوی نفوذ گر آلوده به اسب تروجان بوده وبا بازشدن ضمیمه ، رایانه مورد نظر آماده نفوذ می گردد. نوع دیگری از اسبهای تروجان Road Apple نام داشته وعبارتند از هر گونه سخت افزار آلوده اعم از فلاپی ، دیسک فشرده ، حافظه Flash و … که ممکن است با بر چسب های خاص ، کنجکاوی هر فرد عادی را نیز برانگیزند . در این روش حتی ممکن است سخت افزارهای مورد استفاده به صورت مجانی ویا اتفاقی سر راه فرد مورد نظر گذاشته شوند .

 

۵-۴- روش مهندسی اجتماعی معکوس

در این روش نفوذ گر برخی مشکلات را به صورت مستقیم یا از طریق شبکه برای کامپیوتر کاربر ایجاد نموده وسپس خود را به طریقی برای کمک وارد ماجرا می کند وبه این ترتیب علاوه بر جلب اعتماد کاربر به مقاصد خود به راحتی دست می یابد.

 

۶-۴- روش مهندسی اجتماعی انلاین

یکی از نقاط ضعف اکثر کاربران اینست که آنها از کلمه رمز یکسانی برای هر شناسه خود استفاده می نمایند. یکی از روش ها، طراحی فرم های اینترنتی و ارسال آن برای کاربر و درخواست تایپ نام، آدرس ایمیل و کلمه رمز در آن می باشد.

یکی دیگر از روش های آنلاین جازدن خود بجای مدیر سازمان وارسال ایمیلی از طرف مدیر سازمان به کاربر و درخواست کلمه رمز او و یا دستیابی به کلمات رمز از طریق نصب برنامه های خاص می باشد.

 

مشاهده ویدیو مرتبط با روش های نفوذ مهندسین احتماعی

 

Social-Engineering
Social-Engineering

۵- سیاست های دفاع در مقابله با حملات مهندسین اجتماعی

اولین گام در این رابطه شناسایی راههای نفوذ وارائه راهکارهای مناسب در قالب سیاست گذاریهای سازمانی میباشد.بدیهی است هر نوع سیاست گذاری بدون ضمانت اجرایی در این زمینه راه به جایی نخواهد برد. . پس تمام اعضای مدیریت می بایست به طور آگاهانه این سیاستها را درک وسپس اجرایی نمایند . [۳,۵]

 

۱-۵– سیاست های کلمات رمز

استفاده از کارکترهای حرفی ورقمی با هم و به طور همزمان

تغییر کلمات رمز پس از هر مدت زمان مشخص (دوره های چند ماهه)

عدم استفاده از کلمات موجود در لغت نامه ها ، شماره تلفن های شخصی ، شماره شناسنامه ، تاریخ تولد ، نام فرزندان و….

ممنوعیت قرار داشتن کلمه رمز یک فرد نزد افراد دیگر

استفاده از محافظ صفحات با کلمه رمز یا خروج از سیستم موقع ترک آن

 

در پستی قبلا  با عنوان اشنایی با last pass  نگه دارری کلمات عبور به صورت امن

 

۲-۵- سیاست های امنیت فیزیکی

عدم دسترسی مهمانان وبیگانگان به اسناد،سیستم هاوسخت افزارها ی شرکت

اجرای طرح تکریم ارباب رجوع با دقت فراوان

 

۳-۵- سیاست های امحاء مستندات

انهدام کاغذهای کاری در دوره های مشخص ( تکه تکه کردن ، خرد کردن ، سوزاندن و….)

انهدام سخت افزار های حافظه در دوره های مشخص

 

۴-۵- سیاست های امنیت شبکه

محافظت فیزیکی از ابزارهای شبکه ورایانه ها

محافظت نرم افزاری از شبکه و برنامه ها

اعمال سیاستهای دقیق تهیه نسخ پشتیبان

 

۵-۵- سیاستهای آموزش

آموزش نحوه شناسایی مهندسین اجتماعی به تمامی کارکنان

ایجاد پایگاه داده از انواع حملات موجود و رخ داده جهت تصمیم گیری های به موقع

 

۶-۵- سیاست ها ی پیشگیری ومقابله به صورت سازمان یافته

ایجاد واحد وشاغل خاص جهت هماهنگی ، پاسخگویی وجمع آوری انواع اطلاعات

تعریف مکانیزم های گزارش حملات

 

 

۶- نتیجه گیری

مهندسی اجتماعی  با استفاده از تکنیک های خاص به فریفتن افراد پرداخته تا به اطلاعات و اهداف خود دست یابد. اما همیشه راهی برای جلوگیری از این حملات و سوء استفاده ها وجود دارد که یکی از بهترین روش های آن آگاهی از انواع حملات و نوع برخورد با آنها می باشد.

در انتها نباید فراموش کرد که علاوه بر صرف هزینه های هنگفت جهت تجهیز سازمان به انواع مکانیزم های امنیتی، سخت افزارها و نرم افزارهای آنتی ویروس و آنتی هک و آنتی تروژان، استقرار دوربین های مدار بسته، استقرار مکانیزمهای تشخیص هویت و غیره می بایست جهت آموزش افراد و آشناسازی آنها با رفتارهای سودجویانه اما در غالب روابط انسانی دوستانه و مخرب نیزگامهایی برداشت. حفاظت از اطلاعات که مهمترین سرمایه های سازمان هامی باشد گاه به روش هایی ساده که اغلب به آن توجه نمی گردد توسط کلیه افراد و کاربران قابل انجام می باشد.

 

دانلود مقاله  مهندسی اجتماعی در امنیت سازمان

 

————————————————————————————–

مراجع

[۱] محسن کاهانی ، معصومه قهرمانی “مهندسی اجتماعی و امنیت اطلاعات”،

[۲] malcolm allen, “social engineering a means to violate a computer system “, ۲۰۰۶.

[۳] honeybot your man in the middle for automated social engineering ,tobias lauinger,vekko pankakoski , david balzartti, engin kirda

[۴] http://www.symantec.com/connect/articles/social-engineering-fundamentals-part-ii-combat-strategies

[۵] http://technet.microsoft.com/en-us/library/cc875841.aspx

 

یک دیدگاه در “مهندسی اجتماعی در امنیت

  1. با سلام

    شما ترجمه شده این مقاله رو دارین ؟

    social engineering a means to violate a computer system

    ممنون میشم اگه واسه دانلود بذارین

    با تشکر

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

* پاسخ به پرسش امنیتی ! * Time limit is exhausted. Please reload the CAPTCHA.