حملات مهندسی اجتماعی

حملات مهندسی اجتماعی

(social engineering attacks)

چاپ شده در نشریه نظام صنفی رایانه استان آذربایجانشرقی

یکی از بزرگترین دغدغه هایی که  امروزه برای مسئولین امنیت ، شرکت ها و سازمان ها وجود دارد حفظ امنیت داده ها و اطلاعات مهم آنها است.شاید داده های مهم در پشت دیوارهای آتش و انواع مختلف نرم افزارها ، سخت افزارها و سیاست های امنیتی کاملاً امن به نظر برسند ولی خطری که همیشه این شرکت ها و نهادهای به اصطلاح امن را تهدید می کند ، حملات مهندسی اجتماعی است.

• · حمله مهندسی اجتماعی چیست؟

این حمله در بیان کوتاه بهره گیری از آسیب پذیری های موجود در انسان می باشد ، به عبارت دیگر  در این نوع حمله ، حمله کننده می تواند با یا بدون استفاده از تکنولوژی قربانی را وادار به انجام کارهای خاصی بکند که نتیجه آن دسترسی فرد حمله کننده به اطلاعات و داده های حساس می باشد.

شاید برای هریک از ما اتفاق افتاده باشد که ناخواسته اطلاعاتی راکه برایمان مهم است در اختیار افراد دیگر قرار داده باشیم.یک مثال ساده از مهندسی اجتماعی در این جا ذکر می کنیم: فرض کنید تماسی دریافت می کنید و شخص تماس گیرنده خود را از دپارتمان پشتیبانی  ISPشما معرفی می کند و به شما می گوید به دلیل نقص فنی که در سیستم هایشان بوجود آمده در چند روز آتی شما قادر به استفاده از اینترنت نخواهید بود  و از شما نام کاربری و رمز عبور شما را درخواست می کند تا هرچه سریعتر مشکل را برطرف کند.اگر درخواستی را که از شما شده است انجام دهید و اطلاعات محرمانه شما ، قسمت امن مغز شما را ترک کند شما به سادگی قربانی یک حمله بسیار ساده از نوع مهندسی اجتماعی شده اید.

این روش برای اولین بار توسط فردی به نام Kevin Mitnick محبوب شد.این هکر با این روش به مراکز بسیار حساسی مانند پلیس فدرال آمریکا نفوذ کرده بود.طبق گفته Kevin Mitnick اکثر مسئولان امنیتی تهدیدات را از سوی کامپیوتر های سازمان خود می بینند ، در صورتی که باید انگشت اتهام را به سمت تلفن ببرند.وسیله ای که می تواند ذره ذره سبب به خطر افتادن اطلاعاتی شود که در نگاه اول چندان مهم نیستند ولی این ذره ذره ها در صورت جمع شدن می توانند سبب یک فاجعه امنیتی در آن شرکت بشوند.

در این جا به چند نوع مختلف از مهندسی اجتماعی اشاره می کنیم:

1)   روش Pretexting :

در این روش شخص نفوذگر قبل از انجام حمله خود سناریوی کاملی از نحوه اجرای مهندسی اجتماعی تهیه می کند تا احتمال موفقیت این حمله را تا جای ممکن بالا ببرد.در این روش اغلب نفوذگر برای اینکه ذهن قربانی را برای حمله خود آماده کند قبل از هر کاری تلاش می کند تا در ذهن وی اعتمادسازی کند.مثال قبل در مورد تماس از طرف دپارتمان پشتیبانی ISP را به یاد دارید؟ فرض کنید قبل از این که مسئول به «اصطلاح» پشتیبانی از شما رمز عبور و نام کاربری را بپرسد ، بابت اشکال فنی پیش آمده از شما پوزش بخواهد و بگوید به ازای این چند روز خرابی به شما یک ماه شارژ رایگان خواهد داد.آیا شما می توانید این پیشنهاد را رد کنید و از گفتن اطلاعات محرمانه تان خودداری کنید؟ به همین جهت است که همواره گفته میشود برای آسیب پذیری های انسان هیچ وصله امنیتی (patch) وجود ندارد.

در این روش نفوذگر باید آماده پاسخ گویی به هر سوال ناگهانی را داشته باشد ، گاهی هم فقط یک صدای گیرا و جذاب برای این حمله کافی است.

2)   روش Phishing :

در Phishing نفوذگر با روش فریبکارانه ای اطلاعات محرمانه قربانی را بدست می آورد.در این روش معمولا از ایمیل استفاده میشود و فرستنده ایمیل ادعا می کند که از طرف بانک یا یک شرکت مورد اعتماد خرید با کارت بانکی با شما تماس میگیرد و می گوید به دلیل مشکلات پیش آمده در بانک اطلاعاتی آنها ، اطلاعات مربوط به کارت بانکی شما از بین رفته است و از شما درخواست می کند تا این اطلاعات را دوباره ارسال کنید.این ایمیل ها معمولا همراه با یک Fake Page می باشند تا شما اطلاعات محرمانه خود را در آنجا وارد کنید.Fake Page ها صفحاتی هستند که کاملاً مشابه صفحه واقعی بانک یا شرکت خرید اینترنتی مورد اعتماد شما هستند.وجود این صفحه ها باعث می شود احساس کنید در حال وارد کردن اطلاعات محرمانه خود در جای مطمئنی هستید.

این اتفاق در سال 2003 بطور گسترده برای کاربران سایت های مختلف از جمله شرکت e-bay افتاد که در نتیجه اطلاعات صدها کارت اعتیاری در اختیار نفوذگران قرار گرفت.

مثال دیگری برای این روش می زنیم ، فزض کنید شما علاقه زیادی به خرید اینترنتی لوازم منزل خود دارید ، وارد سایتی می شوید که کالاهای مورد علاقه شما را با کیفیت بالاتر و با نصف قیمت می فروشد.وقتی همه چیز مطابق با خواسته شماست و خرید شما به آسانی و فقط با وارد کردن اطلاعات کارت بانکی و آدرس پستی شما به اتمام می رسد ، آیا وسوسه نمی شوید تا از این سایت خرید کنید؟ بلی وسوسه شدن شما یعنی بهره گیری نفوذگر از آسیب پذیری های شما.

3)    روش Baiting :

در این روش نفوذگر برای دسترسی پیدا کردن به داده های قربانی ، از یک طعمه و حس کنجکاوی قربانی استفاده می کند.طرز کار در روش Baiting به این شکل است که نفوذگر ابتدا بدافزارهای جاسوسی خود ( برای مثال نوعی Trojan Horse) را در یک CD  یا یک USB Flash Memory به صورت Autorun نصب می کند و این  CD یا Flash را در جایی نزدیک قربانی قرار می دهد ، جایی که مطمئن شود حس کنجکاوی قربانی را برانگیخته خواهد کرد.برای اینکه حس کنجکاوی قربانی بیش از پیش برانگیخته شود نفوذگر می تواند از برچسب های جذاب استفاده کند و حتی می تواند بر روی CD نام یکی از نزدیکان قربانی را بنویسد!! در این صورت می تواند از عملی شدن نقشه خود تا حدودی اطمینان حاصل کند.

این روش در کامپیوتر هایی که قابلیت Autorun آنها فعال است راحت تر انجام می شود ، یعنی در صورت اتصال Flash Memory یا قرار دادن CD در کامپیوتر ، بلافاصله بد افزار جاسوسی اجرا می شود (و بسته یه نوع این بد افراز) اطلاعات شخصی شما در اختیار نفوذگر قرار می گیرد.

4)   روش Quid pro Quo :

در این روش نفوذگر شماره های تصادفی از یک سازمان را شماره گیری می کند و ادعا می کند به دلیل در خواستی په از شرکت شان شده مبنی بر پشتیبانی فنی با شما تماس گرفته است.در نهایت به قدری این کار را تکرار می کند تا یکی از شماره های تصادفی قربانی حمله مهندسی اجتماعی شوند و با خوشحالی تمام از مشکلی که برای کامپیوترشان پیش آمده برای نفوذگر حرف می زنند.

نفوذگز برای جلب اعتماد بیشتر علاوه بر این که از قربانی می خواهد دستورات مورد نیاز برای دسترسی به سیستم را اجرا کند ، می تواند مشکلات دستگاه قربانی را بعد از اتمام کار خود برطرف کند.

مسلماً روش های مهندسی اجتماعی به این چند مورد ختم نمی شود و هر کس می تواند روش های ابداعی خود را راشته یاشد.

از آنجایی که این نوع حملات ماورای تمهیدات امنیتی نرم افزاری و سخت افزاری می باشند و قابلیت عبور از به روزترین سیستم های امنیتی را دارند ، مدیران IT باید این تهدیدات را بسیار جدی بگیرند

• چه شرکت ها و سازمان هایی نسبت به مهندسی اجتماعی آسیب پذیرتر هستند؟

§        سازمان ها و شرکت هایی که کارمندان زیادی دارند.

§        سازمان ها و شرکت هایی که کارمندان ناراضی دارند.

§        سازمان هایی که اطلاعات مهمی را نگه داری می کنند.

§        سازمان ها و شرکت هایی که بخش خدمات IT خود را برون سپاری کرده اند.

§        سازمان هایی که کارمندان راه دور دارند.

§        و…

• چه نوع کارمندهایی نسبت به مهندسی اجتماعی آسیب پذیرتر هستند؟

§        کارمندانی که حقوق پایینی دارند.

§        کارکنانی که روحیه نامناسبی دارند.

§        کارکنانی که هیچ احساس وابستگی به سازمان ندارند و اهمیتی برای رشد آن قائل نیستند.

§        نگهبانان.

§        استخدام شدگان جدید.

§        کارمندان راه دور.

• مدیران IT باید از چه راهکارهایی استفاده کنند تا در مقابل حملات مهندسی اجتماعی ایمنی نسبی را برقرار کنند؟

§        آموزش تمامی کارکنان سازمان در مورد مسائل امنیتی

تمامی کارکنان باید با مسائل امنیتی آشنا شوند.چه نگهبانان ساده چه کارمندان و سایر مدیران و مسئولان.گرچه نمی توان مسائل روز امنیتی را برای افرادی که اطلاعات زیادی از دنیای IT ندارند بازگو کرد ، ولی حداقل آشنایی آنها با مسائل ساده امنیتی می تواند خطر  بروز این حمله را کاهش دهد.تمامی کارکنان باید در صورت دریافت ایمیل یا تماس مشکوک ، مراتب را به مسئول IT اطلاع دهند.

§        تمامی کارکنان باید در مورد رمز عبور خود و داده های حساس هوشیار باشند

هیچ یک از کارکنان نباید رمز عبور خود را از طریق ایمیل یا تلفن تحت هیچ شرایطی در اختیار دیگران بگدارند حتی اگر فرد تماس گیرنده ادعا کند که از مسئولین مافوق وی است.قبل از هر عکس العملی باید از هویت فرد تماس گیرنده مطمئن شد.

§        دسترسی کارکنان باید محدود شود.

هریک ار کارکنان فقط باید به اطلاعاتی از سازمان دسترسی داشته باشند که در حیطه وظایف آنهاست.در اینصورت می توان با طبقه بندی اطلاعات مهم سازمان ،  احتمال به خطر افتادن آنها را کاهش داد.

§        مراقب کاغذها ، اسناد و زباله هایی که دور می ریزید باشید.

این کاغذ پاره هایی که به هیچ درد شما نمی خورد برای نفوذگران مهندسی اجتماعی بهترین منبع اطلاعاتی هستند.نام کارمندان ، اطلاعات شخصی آنها ، تقویم ها ،  روزهای مهم شرکت مانند جلسات ، طرف حساب ها و مشتریان ، شماره تلفن ها و…..همه و همه متوانند نفوذگر را یک قدم به هدف خود نزدیک تر کنند.

مدت ها قبل شرکت اوراکل برای این که اطلاعاتی درباره شرکت مایکروسافت بدست بیاورد  افرادی را استخدام کرده بود تا کاغذ های دور ریختنی این شرکت را خریداری کنند.

شاید بپرسید چرا نمی توان در مقابل حملات مهندسی اجتماعی ایمنی کامل برقرار کرد؟  جواب ساده است.چون همانطور که گفته شد برای ساده لوحی و سهل انگاری کارکنان هیچ وصله امنیتی(patch) وجود ندارد.

بطور کلی تهیه یک سیاست امنیتی مکتوب از موارد ذکر شده در بالا و ذکر باید ها و نباید ها در آن می تواند بصورت چشمگیری با این حمله مقاله کند.

منابع:

• Hacking Exposed: Network Security Secrets & Solutions, Second Edition  – Stuart McClure (Author) -George Kurtz (Author)

• The Art of Deception: Controlling the Human Element of Security – Kevin D. Mitnick (Author) – William L. Simon (Author)

• Hack I.T.: Security Through Penetration Testing – T. J. Klevinsky (Author)  – Scott Laliberte (Author) – Ajay Gupta (Author)
• www.social-engineer.org

—————————————————–

پی نوشت: به زودی فایل PDF مقاله رو هم پیوست می کنم.