مهندسی اجتماعی چیست؟

مهندسی اجتماعی انسان‌ها ضعیف‌ترین حلقه زنجیره امنیت سایبری هستند و این اساس حمله «مهندسی اجتماعی» است. برای محافظت دربرابر این حمله فراگیر با این مقاله از تدریس24 همراه شوید.

نائوکی هیروشیما کاربر عادی توییتر مثل من و شما بود؛ با این تفاوت که نام کاربری حساب توییترش خاص و تک‌حرفی (N@) بود و برخی حاضر بودند تا ۵۰ هزار دلار برای خریدش پول بدهند. اما در یکی از روزهای سال ۲۰۱۴، نائوکی مجبور شد نام کاربری تک‌حرفی ۵۰ هزار دلاری خود را دراختیار هکری قرار دهد که موفق شد با ترفندی ساده به آنچه می‌خواست برسد.

ماجرا از این قرار بود که هکر برای دزدیدن نام کاربری توییتر نائوکی به خدمات مشتری پی‌پال زنگ زده و با وانمود کردن به اینکه کارمند بخش دیگر این شرکت است، اطلاعات مربوط به چهار رقم آخر کارت اعتباری نائوکی را از آن‌ها می‌گیرد. بعد با شرکت ثبت دامنه و میزبانی وب GoDaddy تماس می‌گیرد که وب‌سایت نائوکی در آنجا میزبانی می‌شد.

این هکر با داشتن چهار رقم کارت اعتباری، از GoDaddy می‌خواهد رمزعبور وب‌سایت نائوکی را ریست کند. حالا هکر این قدرت را داشت تا تمام اطلاعات وب‌سایت نائوکی را پاک کند و این تهدید کافی بود تا نائوکی حاضر شود نام کاربری خود را دراختیار هکر قرار دهد.

خوشبختانه نائوکی بعدا موفق شد نام کاربری خود را پس بگیرد، اما اتفاقی که برای او افتاد نوعی حمله مهندسی اجتماعی بود که مدت‌ها است بسیاری از کاربران اینترنت و کارمندان سازمان‌های کوچک و بزرگ را با دردسرهای جدی روبه‌رو کرده است. بارها شده هکرها با نقش بازی کردن، تهدید و ترفندهای دیگر، کنترل اکانت‌های کاربران را به دست گرفته‌ یا مبالغ زیادی را به حساب‌های بانکی خود سرازیر کرده‌اند. برای بسیاری از افراد، امنیت اکانت‌های اینترنتی توهمی بیش نیست.

مهندسی اجتماعی چیست؟

مهندسی اجتماعی اگرچه اصطلاح نسبتاً مدرنی است، پدیده‌ای است که از دیرباز و زمانی که انسان‌ها با یکدیگر شروع به تعامل کرده‌اند، وجود داشته است. فلسفه مهندسی اجتماعی از این قرار است: تو چیزی داری که من می‌خواهم و من می‌خواهم تو را به هر طریقی قانع کنم آن را به من بدهی یا کاری را که من می‌خواهم انجام دهی، حتی اگر به ضررت تمام شود.

اصطلاح مهندسی اجتماعی توسط کوین میتنیک که خود یکی از معروف‌ترین مهندسان اجتماعی عصر حاضر است (اما دیگر توبه کرده و اکنون به‌عنوان متخصص امنیت سایبری فعالیت می‌کند)، سر زبان‌ها افتاد. مهندسی اجتماعی در دوران مدرن و در حوزه امنیت سایبری، هنر فریب دادن، سواستفاده از نقطه‌ضعف‌ها و تحت تأثیر قرار دادن فرد برای انجام کاری که به ضرر او است یا دسترسی به داده‌های شخصی و حساس در سیستم‌های کامپیوتری است.

هکر یا مهندس اجتماعی ازطریق تلفن، پیامک، ایمیل، درایو USB آلوده یا تعامل حضوری و به کمک ترفندهای زیرکانه‌ای موفق می‌شود آنچه را که به دنبالش است، نه به کمک بدافزار و حملات سایبری، بلکه تنها ازطریق پرسیدن از فردی که به این اطلاعات دسترسی دارد، به دست آورد.

به همین خاطر است که گفته می‌شود در مهندسی اجتماعی این ذهن افراد است که هک می‌شود، نه کامپیوتر. در حمله مهندسی اجتماعی، اطلاعاتی را که فرد قصد فاش کردن آن را نداشته، بدون آنکه متوجه شود، دراختیار مهاجم قرار می‌دهد یا تحت تأثیر آنچه دستکاری روانشناختی نامیده می‌شود، تشویق یا وادار به انجام کاری می‌شود که از انجام آن پشیمان خواهد شد.

به بیان ساده‌تر، انسان‌ها خود نوعی تهدید امنیتی محسوب می‌شوند و به قول هکرها، ضعیف‌ترین و آسیب‌پذیرترین حلقه در زنجیره امنیت سایبری هستند. ما انسان‌ها تقریباً ۸۰ درصد تصمیمات خود را بر پایه احساسات می‌گیریم و ازآنجاکه منطق سهم بسیار ناچیزی در این تصمیم‌گیری‌ها دارد، می‌توان دلیل موفقیت چشمگیر حملات مهندسی اجتماعی را به خوبی درک کرد.

تاریخچه مهندسی اجتماعی

ریشه‌های مهندسی اجتماعی را می‌توان در داستان‌های کهن، به‌خصوص اسطوره‌های یونان، از داستان پرومتئوس که با ترفندی زئوس را فریب داد و آتش را به انسان‌ها بخشید تا داستان مشهور اسب تروآ یافت که اتفاقا نام خود را به شایع‌ترین نوع بدافزار داده است.

داستان اسب تروآ به جرات یکی از جذاب‌ترین نمونه‌های مهندسی اجتماعی است. در زمان جنگ تروآ، هنگامی که یونانیان به مدت ده سال پشت دروازه‌های شهر تروجان از پیشروی بازمانده بودند، یکی از جنگجویان حیله‌گر یونانی به نام ادیسه که به حق مهندس اجتماعی زبردستی بود، نقشه‌ای ریخت تا همرزمانش بتوانند به داخل شهر راه پیدا کنند؛

نه به زور و شکستن دیوارهای شهر، بلکه به دست خود تروجان‌ها. به دستور اودیسه، سربازان یونانی اسب چوبی غول‌پیکری ساختند و درون آن مخفی شدند. بعد، برخی از آن‌ها با کشتی تروجان را ترک کردند تا اهالی شهر فکر کنند یونانی‌ها شکست را پذیرفته و در حال عقب‌نشینی هستند.

بااین‌حال، یک سرباز یونانی کنار اسب غول‌پیکر بیرون دروازه شهر باقی ماند. این سرباز که سینون نام داشت، به اهالی شهر تروجان گفت که این اسب پیشکش یونانیان به خدایان است تا جان آن‌ها را در طول سفر بازگشت به خانه حفظ کنند؛ این اسب هم از این جهت به این اندازه بزرگ ساخته شده تا اهالی شهر نتوانند آن را به داخل ببرند و یونانی‌های سوار بر کشتی را با بداقبالی روبه‌رو کنند.

تروجان‌ها فریب حرف‌های سینون را خوردند و برای نفرین سربازهای یونانی، تصمیم گرفتند اسب را به داخل شهر بیاورند؛ غافل از اینکه درون این اسب، سربازهای یونانی در انتظار به آتش کشیدن شهر بودند. به خاطر حمله مهندسی اجتماعی اودیسه، یونانی‌ها در جنگی که به چشم تروجان‌ها باخته بودند، پیروز شدند.

کوین میتنیک (Kevin Mitnick) را پدر مهندسی اجتماعی می‌دادند، چون او بود که در دهه ۱۹۹۰، بعد از سال‌ها به‌کارگیری حقه و ترفند برای دستیبای به اطلاعات و دستکاری روانشناختی افراد، اصطلاح مهندسی اجتماعی را در دنیای امنیت سایبری به شهرت رساند. میتنیک درحالیکه فقط ۱۳ سال داشت با حقه مهندسی اجتماعی به‌طور رایگان از اتوبوس‌های لس‌آنجلس استفاده می‌کرد .

بعدها موفق شد به شبکه‌های شرکت دیجیتال اکویپمنت و شرکت مخابراتی پسیفیک بلز دسترسی غیرمجاز پیدا کند. ماجراجویی‌های میتنیک در حوزه مهندسی اجتماعی به قدری شاخ و برگ پیدا کرده بود که وقتی سرانجام به زندان افتاد، درباره او می‌گفتند که می‌تواند «با سوت زدن از پشت خط تلفن، جنگ اتمی راه بیندازد.»

چرخه حملات مهندسی اجتماعی چگونه است؟

مراحل چرخه مهندسی اجتماعی ۴ مورد زیر است:

جمع ‌آوری اطلاعات Information Gathering

برقراری ارتباط Developing Relationship

بهره برداری Exploitation

اجرا و حمله Execution

شاید هر کدام از این ۴ مرحله، نیاز به تکرار داشته باشند تا نفوذگر به هدف خود برسد.

۱. جمع ‌‌آوری اطلاعات ؛ اولین مرحله در حملات مهندسی اجتماعی

جمع آوری اطلاعات (Information Gathering) مهم‌ترین مرحله در حملات مهندسی اجتماعی است و احتمال موفقیتِ بیشترِ حملات، به این فاز بستگی دارد. به همین دلیل زمان و توجه زیادی در این مرحله صرف می‌شود.

از اطلاعات جمع آوری شده برای تعیین مسیر حمله، گذرواژه‌های (Passwords) ممکن، تشخیص پاسخ‌های احتمالی افرادِ مختلف، ساختن سناریوهای قوی و … استفاده می‌شود.

۶ نمونه از بهترین روش‌های مهندسی اجتماعی در هک، دستیابی و سوء استفاده از اطلاعات

باز نگه‌داشتن درب و اجازه ورود به تشکیلات

افشای نام کاربری و گذرواژه (پسورد) پشت تلفن

فراهم کردن تاییدیه اجتماعی (تایید مهاجم توسط قربانی) با معرفی و تایید مهاجم برای سایر پرسنل کمپانی.

وارد کردن یک درایو USB حاوی فایل‌های مخرب در یکی از کامپیوترهای کمپانی

باز کردن یک فایل ضمیمه ایمیلی که آلوده است.

افشای اسرار محرمانه در گفتگویی که ظاهراً با “همکار” انجام می‌شود (یعنی مهاجم هویت همکار را جعل کرده است).

۲. برقراری ارتباط Developing Relationship مرحله دوم در حملات مهندسی اجتماعی

در مرحله برقراری ارتباط، یک رابطۀ کاری با شخص مورد نظر برقرار می‌شود. این مرحله مهم و حیاتی است زیرا کیفیت رابطۀ ایجاد شده توسط مهاجم، سطح همکاری و میزان پیشبرد اهداف با کمک قربانی را مشخص می‌کند.

روند برقراری ارتباط در حملات مهندسی اجتماعی چگونه است؟

مرحله برقراری ارتباط در حمله مهندسی اجتماعی ممکن است خیلی ساده و خلاصه یا پیچیده و در چند بخش باشد. به عنوان مثال؛ ساده به این شکل که، مهاجم با یک لبخند و برقراری تماس چشمی، به سمت شخص مورد نظر حرکت کند تا او در را برای ورودش به داخل سازمان باز کند.

پیچیده به این شکل که شامل برقراری ارتباط شخصی از طریق تلفن یا خیلی شخصی‌تر مثل نشان دادن تصاویر خانوادگی و بازگو کردن داستان‌های خانوادگی به قربانی، در لابی باشد.

همچنین در این مرحله ممکن است، از یک رابطه آنلاین با پروفایل جعلی در شبکه‌های اجتماعی یا سایت‌های دوست‌یابی، استفاده شود.

۳. بهره‌ برداری Exploitation مرحله سوم در حملات مهندسی اجتماعی

در مرحله بهره برداری، مهاجم از اطلاعات و روابط برقرار شده، برای نفوذ و دستیابی به هدف استفاده می‌کند. ممکن است این بهره برداری، از طریق به دست آوردن اطلاعاتِ به ظاهر بی اهمیت یا دستیابی به یکسری دسترسی‌ها انجام شود.

تمرکز مهاجم در مرحله بهره برداری از حمله، بر روی چه چیزی است؟

در فاز بهره برداری، تمرکزِ مهاجم رویِ ۲ مورد زیر است:

حفظ رابطۀ برقرار شده

حفظ رضایت و توافق کسب شده در مرحله قبل بدون ایجاد شک و بدگمانی

۴. اجرای حمله Execution مرحله آخر در چرخه حملات مهندسی اجتماعی

در مرحلۀ اجرای حمله، یا هدف حمله محقق می‌شود یا به دلایل مختلف، حمله به صورتی که شک و ظنی درباره اتفاقات ایجاد نشود، پایان می‌پذیرد.

عموماً بهتر است در مرحله اجرای حمله به گونه‌ای عمل شود که، شخص مورد نظر (قربانی) حس کند کار خوبی برای یک شخص دیگر (مهاجم) انجام داده است و امکان تعاملات بیشتر در آینده هم وجود داشته باشد.