روش‌های Hacking مهندسی اجتماعی

● مقدمه
شـرکت‌ها و مؤسسات بـــا بکارگیـری برنامـــــه‌های امـــــن‌تر و پیچیـــــده‌تر و استفاده از نرم افزارهای امنیتی روی سیستـــم‌های کامپیوتـــری، ایمنی و امنیت را افزایش می‌دهند و این شیوة اصلی جلوگیری از حمـلات Hackerها است. ارتقاء سخت‌افزار کامپیوتر و استفاده از آخرین فناوری به رمز در‌آوردن داده‌هــا نیز جزء راه‌حل‌های عمومی رفع مشکل Hacking هستند.Hacker‌ها نیز برای خنثی کردن پیشرفــــت نــــرم‌افزار و سخت‌افــــزار کامپیوتر که از ورود آنها بـه‌درون سیستم‌های امن جلوگیــری می‌کند، انواع روش‌ها را به کار می‌برند. آنها با استفاده از نقاط ضعف موجود که همــــان انسان‌ها هستند، به سیستــم حمله می‌کنند. امـــروزه با وجود کنترل و هدایت وسیع ماشین‌ها و شبکه‌ها به طور خودکـار، حتی یک سیستم کامپیوتری تک و جدا از شبکه هـــم در جهــــان وجود ندارد که متکی به انسان نباشد. Hackerای که از روش‌های مبتنی بر مهندســـی اجتمــاعی استفـــاده می‌کند کاربران را شناسایی کرده و سعـــی می‌کنـــد بــــا بکارگیـری روش‌های غیر مستقیم، اطلاعات را به دســـت آورد (بیشتر اوقات هم ممکن است به طور مستقیم اطلاعات را درخواست کند). هدف مهندسی اجتماعی این است که کاربــــر قانونی سیستم کامپیوتــــری، اطلاعـــات مفید و لازم را برای Hacker آمـــاده سازد که این اطلاعات اغلب پروسیجری است، مثل اسم کلمة عبور برای ورود به سیستم.
● چـــرا از مهنـــدسی اجتماعی استفاده می‌کنند؟
دلایـل استفــاده از مهندسـی اجتماعی، ساده و مشخــــص است: بـزرگترین دلیــل این است که مهندسی اجتماعی می‌تواند بــدون در نظر گرفتن کیفیت سخت‌افـزار و نرم‌افـزار موجود، مورد استفاده قرار گیرد.
مهندسی اجتمــاعی دارای شکل‌هـای بسیاری است اما همة آنهـــا بــراساس قانون تغییر قیافه دادن استوار می‌باشند که در آنها یک Hacker به شکل یک فرد عادی که اجازه دسترسی به اطلاعات را دارد تغییر قیافه می‌دهد. گذشته از سیستــــم‌های امنیتـی بزرگ، شیــوة دفاعی دیگری که مشاغل امنیتی سیستم‌های کامپیوتری کوچکتر به کار می‌برنـد ”امنیت به واسطه گمنـامی“ است، در این روش با فرض اینـکه کاربـران قانونی قبــــلاً آموزش داده شــده‌اند وHacker‌ها از حدس زدن و استفاده از دستورات یا پروسیجرهای مختلف دلسرد خواهند شد، اطلاعـــات کمـی برای کاربر آماده شده و یا هیـچ اطلاعاتی فراهم نمی‌شود. این روش امنیـــت بــه واسطه گمنامی است که آن نیز می‌تواند برای Hacker فاش شود.
● شیوه‌های حمله:
بــــا وجود استفاده از روش‌های مبتنی بر قوانین مشابه وسط مهندسان اجتمـــاعیHackerها، تغییر قیافه دادن آنها بسته به سطح مهارتHacker‌ها و نــوع اطلاعات، ممکن است بسیار متغیر باشد. یکی از روش‌های معمول استفاده شده این است کـــه حمــله کننده وانمود می‌کند سیستم برایش جدید است و برای دستیابی نیازمند کمک است. برایHacker با استعداد در نقش یک فرد جدید (یا ”کاربر ناوارد“ و یا ”مبتدی“) بودن آسان است و به کــــار خود ادامــــه می‌دهـد.Hacker به سادگی می‌توانــــد وانمـود کند که دربارة سیستم زیاد نمی‌داند و هنوز هم در حال کسب اطلاعات است. این حیله عموماً زمانی استفاده می‌شود که حمله کننده قادر نیست بـــطــور کافی و لازم دربارة شرکت تحقیق کرده یا اطلاعات کسب کند. راه سادة این شیوه این است که Hacker بجای شرکت، منشی را فراخوانی کرده و وانمود می‌کند که یک فرد جدید بوده و برای دستیابی به سیستم مشکل دارد. منشی (یا کاربر آموزش‌دهنده دیگر) ممکن است به این کار راغب شده و از اینکه قادر است به فرد جدیدی کمکی ارائه‌دهد، مغرور گردد. ممکن است کاربر نام حساب و کلمة عبور میهمان را به سادگی اعلام کند و یا حتی ممکن است وارد ساختارهای جزئی درون پروسیجرهای برقراری ارتباط با سیستم مربوط بــه بــخش‌های مختلــف شــود. وقتی که مزاحم در حساب میهمان است، قادر است از آنجا به سایر حساب‌های حتـــی مهمتــر نیز دستـــرسی پیـــدا کند. او همچنین ممکن است با استفـــاده از شیـــوة مشابهی به نام ”مهندسی اجتماعی معکوس“ قادر باشـــد اطلاعــــات کافی دربارة شرکت پیدا کند
هدف مهندسی اجتماعی این است که کاربر قانونی سیستم کامپیوتری، اطلاعات مفید و لازم را برای Hacker آماده سازد که این اطلاعات اغلب پروسیجری است، مثل اسم کلمه عبور برای ورود به سیستم.
سایر تغییر قیافه‌های استفاده شده توسط مهندسان اجتماعی این است که به عنوان راهنما یا کمـــک‌کننـــدة کامپیوتر قیافه می‌گیرند و سعی می‌کنند همان طور که شمــا کامپیوتــر را نصب می‌کنید، اطلاعات کسب کنند. این شیوه مبتنی بر این فرض است که سیستم در شبکه را نشان می‌دهد.Hacker با استعداد وانمود خواهد کرد که خطایی در همه حســـاب‌ها رخ داده و نیـــاز است حساب‌ها را‌ مجدداً راه اندازی کند. برای انجام این کار، به کلمات عبور قدیمی کاربران نیاز دارد. اگر کارمنـد به اندازه کافی ساده و بی‌تجربه باشد، با تصور اینکه آنها دارند به شرکت خدمت می‌کنند، اطلاعـــات را فــــاش خواهد کرد، با وجود اینکه شیوه‌های متعدد دیگری وجود دارد، مثال‌های فوق بیشترین رویـــدادهــای ثبـــت شــده توسط مهندسان اجتماعــی هستند. بــا ایـن حــــال، تـــغییــر حیـــله‌هایی کــه Hacker‌ها در مهنــدســی اجتماعی در مقـــابل کاربـــران قانونـــی به کار می‌برند، محدودیــــت‌هایی دارد. در طـــول حــملة مهندسی اجتماعی، Hackerها نقش‌های زیادی ایفا کرده‌اند و برای به انجام رساندن یک حملة موفق، به شانس هم تکیه می‌کنند. مثال‌های بالا بیشتر در مورد کارمندانی کارساز است که از فرم‌های مختلف مهندسی اجتماعی آگاه نیستند یا به امنیت شرکت اهمیتی نمی‌دهند. حتی اگر کارمندی از مهندســـی اجتمـاعی مطلع نباشد، ممکن نیست بدون شناسایی مناسب به Hacker اعتماد کند. او همچنین ممکن است آگاه باشد که بیشتر افراد ناوارد، در دفترشان دارای مدیــــران تمـاس یا سایـــر کسانــی هستند که آنها را یاری دهند، و وقتــی فراخوانی را می‌بیند مشکوک خواهد شد. برای Hacker با استعداد، این مشکلات یک خطر دائمی اســـت و بنابرایـن نوع جدیدی از مهندسی اجتماعی به نام ”مهندسی اجتماعی معکوس“ مطرح می‌شود.
هدف مهندسی اجتماعی این است که کاربــــر قانونی سیستم کامپیوتــــری، اطلاعـــات مفید و لازم را برای Hacker آمـــاده سازد که این اطلاعات اغلب پروسیجری است، مثل اسم کلمة عبور برای ورود به سیستم.
● مهندسی اجتماعی معکوس:
مهندســـی اجتمــاعی معکوس شکل پیشرفتة مهندسی اجتماعی است کـــه با مشکلات عمومی موجود در مهندسی اجتماعی سروکــار دارد. این روش می‌تواند به عنوان حالتی که در آن کاربر قانونی سیستم از Hacker پرسش‌هایی برای کـسب اطلاعـــات می‌کنـــد، مطــــرح شـود. در مهندسی اجتماعی معکوس (RSE) این تصور وجود دارد که Hacker نسبت بــه کاربــر قانونی که در حقیقت خود یک هدف Hacker اســـت، در سطــح بالاتری قرار دارد. با این وجود، برای ادامة حملة مبتنی برRSE، حمله کننده باید از سیستم مطلع بوده و به مهندســی اجتماعی وارد باشد. در اینجا نگاهی اجمالی به SE و RSE خواهیم داشت:
▪ مهندسی اجتماعی: Hacker فراخوانی‌ها را در محلی قرار داده و به کاربر وابسته است.
▪ مهندســی اجتمــــاعی معکــــوس: کاربــر فــراخوانی‌ها را در محلــی قـرارداده و به Hacker وابسته است.
▪ مهندسی اجتماعی: کاربـر احساس می‌کند Hacker مدیون آنها است.
▪ مهنــدسی اجتماعی معکوس: کاربر خودش را مدیون Hacker حس می‌کند.
▪ مهندسی اجتماعی: به کرات پرسشهایی برای هدف (کاربر)، حل نشده باقی ‌می‌ماند. (حالت شک و تردید)
▪ مهندسی اجتماعی معکوس: همة مشکلات حل می‌شوند و هیــچ مشکلی، عملیات پایان (حملةHacker) را منتفی نمی‌کند.
▪ مهندسی اجتماعی: کاربر بواسطه آماده کردن اطلاعات بر اوضاع کنترل دارد.
▪ مهندسی اجتماعـــی معکوس:Hacker دارای کنترل کامل است.
▪ مهندسی اجتماعی: تدارک و آماده‌سازی کمی نیاز است. (گاهی اوقات اصلاً احتیاج نیست.)
▪ مهندســـی اجتماعــی معکوس: بیشتر اوقات طراحی و دسترسی قبلی زیادی لازم است.
حمله RSE شاخص و مبنا، شامل سه قسمت اصلی است: خرابکاری ، اعلان و حمایت.
Hacker بعــــد از دستـــرسی ساده به سایر قسمت‌ها، از طریق خراب کردن ایستگاه و یا تظاهر به خرابی آنها، ایستگاه کـــاربر را تـخریب می‌کند. همان طور که در مهندسی اجتماعی افراد ناوارد می‌تواننــد خرابکاری کنند، در اینجا نیز فـــراوانی پیغـــام‌های غلـــط، تغییر پارامترها یا برنامه‌های مشابه می‌توانند این نوع خرابکاری‌ها را انجام دهند. کاربر سیستم، این خرابکاری‌ها را دیده و سعی می‌نماید با کمک گرفتن از دیگران، این مشکل را حل می‌نماید.
حمله کننده برای اینـــکه بــخواهد کسی باشد که کاربران را فراخوانی می‌کند، بـــاید تبلیـــغ کنـد که توانایی بر‌طرف کردن مشکل را دارد. این کار ممکن است شامل قـــرار دادن کـــارت‌های تجاری جعلی در مورد دفتر و یا حتی آماده کردن شماره‌ای در پیغامی غلط برای تماس گرفتن با آن، باشد.
● چرا مـــهندسی اجتمـاعی مـــؤثر واقـــع می‌شود؟
استفــاده از مهندسی اجتماعی و مهندسی اجتماعـــی معکوس متـــداول است زیرا آنها در مقایســـه با حمــلات نیروهای بی‌رحـــم، اغلب از شرایـــط خوبـی برخوردارند و وقت کمتری می‌گیرند (و بعضـــی اوقــات دانستة کمتری) تا به‌کار خود ادامه دهند. این شیوه‌ها مؤثر واقع می‌شوند زیرا همة افراد بشـــر دارای ویــــژگی‌های روانــی مشخصـــی هستنـــد کـــه می‌تواند مفید باشد. مسئولیـــت پذیری، تمــایل به مورد لطف و توجه قرارگرفتن، احساس درونی و معنوی از‌ جملة این خصوصیات هستند. مسئـــولیت‌پـــذیری وقتـی کاربرد پیدا می‌کند که کاربر قانونی حس می‌کند به تنهایی مسئول کارها نیست و عدم وجود مسئولیت‌پذیری این اجازه را به او می‌دهد که اطلاعات را راحت‌تر تسلیم کند. همچنین کاربر اگر احساس کند کاری انجام می‌دهد که در آینده به آنها کمک خواهد کـــرد مثل نجــات رئیسشان از وضعیت بحرانی، ممکن است اطلاعات را فاش‌کند . احساس معنوی وقتی مطرح است که هدف باور‌کند آنها (Hackerها) برای رفع مشکل به شرکت کمک می‌کنند و اغلب از این کمک خوشحال است. اما عوامل دیگری نیز وجود دارد که به مهندسان اجتماعی این اجازه را می‌دهد تا موفق باشند.
استفاده از مهندسی اجتماعی و مهندسی اجتماعی معکوس متداول است، زیرا آنها در مقایسه با حملات نیروهای بی‌رحم، اغلب از شرایط خوبی برخوردارند و وقت کمتری می گیرند (و بعضی اوقات دانستة کمتری) تا به کار خود ادامه دهند
استفــاده از ”مهندسی اجتماعی“ و ”مهندسی اجتماعـــی معکوس“ متـــداول است، زیرا آنها در مقایســـه با حمــلات نیروهای بی‌رحـــم، اغلب از شرایـــط خوبـی برخوردارند و وقت کمتری می‌گیرند (و بعضـــی اوقــات دانستة کمتری) تا به‌ کار خود ادامه دهند.
● راه‌های جلوگیری:
همــان‌طور که مهندسی اجتماعی و مهندسی اجتمــــاعی معکوس بیشتـــر رایـــج می‌شوند، شرکت‌ها و مدیران شبکـــه نیز سعـــی می‌کنند موفقیت حملات را متوقف سازند. شرکـــت‌هایی کـــه بــه امنیت توجه دارند، متوجه شدند که اگر نتـــوانند از حمـــلات SE وRSE جلوگیری کنند، موجب اتلاف پول زیادی می‌شوند که صرف به‌روز کردن وسایل امنیتی خواهنـــد شــد. پاسخ ساده برای جلـــوگیری از این حملات آموزش صحیح می‌باشد. می‌توان به‌سادگی به کاربر مطلع از سیستم گفت که هیچ وقــــت اطلاعـــات حساب را بدون اجازة سرپرست ارائه ندهد. کاربران باید از روش‌های مـــعمول حمـــلات SE آگاه بوده و همیشه رفتــار مشکــوک را گــزارش دهند. همچنین زمــانی که تشخیص حملات RSE خیلی مشکل‌تر است، آنها باید آگاه باشند درصورت بروز مشکل بــه چه کســی اعتمــاد کنند. از آنجایی که مهندســان اجتماعی می‌توانند برای کسب اطلاعات به هر کارمندی حمله کنند، روش‌های حمله باید مورد توجه همة کارمندان قرار داده‌شود.Hacker‌ها می‌دانند که کارمندان سطح پایین و کاربرانی که از پشتیبانی (آموزش) خوبی از جانب شرکت بهره‌مند نمی‌شوند، اهداف ساده‌ای هستند که Hackerها می‌توانند بدون نیاز به تفکر زیاد از آنها اطلاعات کسب کنند. آموزش کارمندان باید بصورت گروهی و همه جانبه باشد تا به‌طور کامل نسبت به کامپیوتر و امنیت شرکت آگاهی یابند.
● نتیجه:
با توجه به‌اینکه همه سیستم‌های کامپیوتری موجود در جهان بـــه گــردانندگان بشری که خصوصیات آسیب‌پذیر دارنـــد، تکیـــه می‌کنند، لذا اهمیتی ندارد که تجهیزات چقدر از هجوم الکترونیکی ایمن هستند، بلکه مهم این است که اطلاعات و دانش به دســـت آمده از کاربر قانونی اگر بصورت غیر قانونی استفاده شود، ممکن است شبکة کامپیوتر را دچــــار اشکال کند.Hacker‌ها سعی می‌کنند یاد بگیرند چطور کاربران قانونی را به‌سوی آمادگی و در دسترس قرار دادن اطلاعات شبکه‌ای با ارزش سوق ‌دهند. زمانی حتی ممکن است از مهندسی اجتماعی معکوس استفاده نماینـــد تــا دسترسی بیشتری به سیستم پیدا کنند. به‌سادگی می‌توان به وسیلة تعلیم کاربران از ایــن روش بـــا ارزش و انجام عمل hacking جلوگیری کرد ، بدین صورت که کاربران را از ایـــن‌گونـــه حمـــلات آگــــاه کرده و به آنها می‌آموزند که در هنگام دادن اطلاعات شرکت به دیگران قوة تعقل خود را به‌کار برند.