شبکه های اجتماعی بستری مناسب برای حملات مهندسی اجتماعی
پارسینه: به دلیل گسترش شبکه های اجتماعی و افزایش روزافزون کاربران این سامانه ها، بستر بسیار مناسبی برای حملات مهندسی اجتماعی فراهم شده که درصورت عدم آشنایی با اینگونه حملات، خطربزرگی کاربران این شبکه ها را تهدید خواهد کرد.
تصور بسیاری از مردم از یک هکر، فردی با دانش فنی بسیار بالاست که از تخصص خود برای نفوذ به سیستم های رایانه ای و دسترسی به اطلاعات حساس استفاده می کند.براساس همین ذهنیت، همواره سعی می کنیم با استفاده از نرم افزارهای مختلفی اعم از ضدویروس و ضد بدافزار و به روز نگه داشتن آنها، تمهیدات لازم برای مقابله با حملات این هکر ها را فراهم آوریم.
اما در کنار اینگونه حملات، دسته دیگری از حملات هم هستند که دانش فنی چندانی لازم ندارند و برپایه روان شناسی و ارتباطات انسانی بنا شدند. به این دسته از حملات مهندسی اجتماعی اطلاق می شود.
در واقع مهندسی اجتماعی، مجموعه ای از روش های غیرفنی مبتنی بر استفاده از ویژگی های روانشناسانه افراد برای نفوذ به سیستم ها و دسترسی به اطلاعات کاربران آنها است که توسط هکرها مورد استفاده قرار می گیرد.
پایه و اساس این روش ها، ارتباط با کاربران و فریب آنها برای اعمال تغییر در روال های معمول امنیت سیستم ها است. مثلا کاربران را در موقعیتی قرار دهند که به صورت ناخواسته و بدون آگاهی، رمز عبور خود را به مهاجمان منتقل کنند.
مهندسی اجتماعی طیف وسیعی از انواع حملات و فعالیت های مخرب را در بر می گیرد. در این آگاهی رسانی، ما روی معمول ترین آنها که در شبکه های اجتماعی مورد استفاده قرار می گیرند، تمرکز می کنیم:
1. صیادی (Phishing):
از میان حملات مهندسی اجتماعی، حمله صیادی معمولترین حمله ای است که امروزه مورد استفاده قرار می گیرد. این حمله با فعالیت های زیر شناخته می شود:
1. جستجو به دنبال مشخصات و اطلاعات تماس قربانی و استخراج شبکه های اجتماعی یا وب گاه های دیگری که وی از آنها استفاده می نماید.
2. ایجاد یک نسخه جعلی از صفحه ورود وب گاه و ایجاد URL شبیه به وب گاه اصلی برای آن
3. ارسال پیغامی به قربانی حاوی پیوندی به صفحه جعلی؛ در نگارش این پیام، سعی می شود که در قربانی حالت ترس، اضطرار و غیره ایجاد کنند تا وی تمرکز فکری خود را از دست داده و از پیوند مورد نظر استفاده کند.
با مشاهده صفحه جعلی، قربانی که در وضعیت احساسی خاصی قرار گرفته بصورت نا گاهانه بدون توجه به URL نامعتبر وب گاه جعلی، اقدام به واردکردن اطلاعات احراز هویت خود (مثل نام کاربری و رمز عبور) کرده و بدون اینکه متوجه شود، این اطلاعات را در اختیار مهاجم قرار می دهد.
2. دستاویزسازی (Pretexting):
در حمله دستاویز سازی، مهاجم سناریویی طراحی می کند که در آن با دروغ گفتن، بهانه آوردن، وانمودکردن و غیره، خود را به جای شخص دیگری جا زده و با کسب اعتماد کاربر، اطلاعات شخصی و احراز هویت وی را به دست می آورد.
گاهی حمله از طریق خود کاربر صورت نمی گیرد، بلکه با فریب متولی یا مسئول فنی یک وب گاه یا شبکه اجتماعی، اطلاعات شخصی کاربران شبکه اجتماعی از وی استخراج می شود.
معمولا قدم اول برای این نوع حمله، به دست آوردن اندکی اطلاعات در مورد قربانی است که مراجعه به شبکه اجتماعی بهترین راه برای استخراج چنین اطلاعاتی است.
بعد از آن باتوجه به این اطلاعات، دروغی ساخته می شود که با استفاده از آن مهاجم می تواند در تماس با قربانی، خود را به جای شخص دیگری جا بزند. به علت ارائه بخشی از اطلاعات و مهارت مهاجم در دروغ سازی، قربانی به وی اعتماد کرده و اطلاعات شخصی و احراز هویت خود را در اختیار وی قرار می دهد و یا هر کار دیگری که مهاجم از وی درخواست کند را انجام می دهد.
همانند حمله صیادی، معمولا مهاجم در ارتباط با قربانی سعی می کند تا در وی حالت ترس، اضطرار و غیره ایجاد کند تا قربانی تمرکز خود را از دست بدهد.
3. طعمه گذاری ( Baiting):
در این حمله یک وسیله فیزیکی مانند حافظه USB، پخش کننده های صوتی دیجیتال و غیره که حاوی بدافزار یا ویروس است را به نحوی در دسترس قربانی قرار می دهند و با تحریک حس کنجکاوی یا حرص، وی را وادار به استفاده از آن می نمایند.
یکی از معمول ترین روش های قراردادن این وسایل در اختیار قربانیان، نوشتن برچسب های خاص بر روی آنها و قرار دادن این وسایل در محل های خاصی است تا به نظر برسد جا گذاشته شده اند. مثلا در کافه تریای یک شرکت یا سازمان، حافظه USB با برچسب استراتژی های سازمان یا حقوق و مزایای کارکنان قرار می دهند تا حس کنجکاوی کارمندان را برای مشاهده محتوای آنها برانگیزند.
یک روش دیگر، ارسال اینگونه وسایل فیزیکی به صورت مجانی و به عنوان هدیه برای قربانی است. به این شکل که مثلا در یک شبکه اجتماعی، پیغامی حاوی این جمله برای وی ارسال می کنند: «شما برنده یک دستگاه پخش کننده دیجیتال شده اید».
سپس از قربانی آدرس پستی وی را برای ارسال دستگاه درخواست می کنند. کاربر پس از واردکردن آدرس پستی خود، واقعا دستگاه را دریافت می کند؛ اما به محض استفاده از آن، بدافزار نصب شده بر روی دستگاه اطلاعات شخصی وی را دزدیده و برای مهاجم ارسال می نماید.
4. جبران کردن (Quid Pro Quo):
در این نوع حمله مانند حمله طعمه گذاری عمل می شود؛ با این تفاوت که به جای ارائه یک کالا به صورت فیزیکی، به قربانی اعلام می کنند تا در ازای دریافت کالا، یک کمک یا خدمت غیر فیزیکی به وی ارائه می دهند.
همانند حمله طعمه گذاری، مهاجم با تعداد زیادی از افراد تماس گرفته و ارائه یک خدمت خاص را به صورت رایگان و یا با قیمت بسیار نازل، به آنها پیشنهاد می نماید. مثلا با گرفتن شماره تماس کارمندان یک شرکت به صورت تصادفی، به ایشان پیشنهاد کمک برای حل مشکلات مرتبط با رایانه آنها را می دهد.
با قبول این پیشنهاد از سوی تعدادی از این افراد، فایل بدافزار برای آنها فرستاده می شود (که حتی ممکن است مشکلات رایانه ای آنها را نیز حل نماید). این فایل به دزدیدن اطلاعات قربانی و ارسال آنها برای مهاجم خواهد پرداخت.
در موارد دیگر، ممکن است مهاجم از قربانی بخواهد که برای دریاف خدمت، عمل خاصی را انجام دهد و یا اطلاعات خاصی را به وی ارائه دهد.
منبع:
خبرگزاری ایرنا
ارسال نظر