مهندسي اجتماعي
"مهندسي اجتماعي هنر بهره برداري از رفتارهاي آسيب پذير انسانها براي ايجاد شکاف امنيتي بدون هيچ ظن و گماني از سوي قرباني است."
در راهنماي مطالعه CISSP، مهندسي اجتماعي به اين صورت تعريف شدهاست:"مهارتي است که به وسيله شخصي مجهول، براي بدست آوردن اعتماد افراد درون سازمان و تشويق آنها براي ايجاد تغييرات دلخواه در سيستمهاي IT و در جهت دستيابي به حق دسترسي استفاده ميشود." در نسخه انگلسيي زبان ويکي پديا، مهندسي اجتماعي به اين صورت تعريف شدهاست: :"مهندسي اجتماعي، تکنيک بدست آوردن اطلاعات محرمانه به وسيله تحريک کاربران مجازاست."
Kevin Mitnick يکي از معروف ترين هکرهايي است که دليل موفقيتش، استفاده از تکنيکهاي مهندسي اجتماعي بوده. وي کتابي را پس از آزادي از زندان درباره مهندسي اجتماعي تحت عنوان«هنر فريفتن» تاليف کرده که تعريف زير از کتاب وي آورده شدهاست:
"مهندس اجتماعي انسانها را با روشهاي مختلف فريب داده و با متقاعد کردنشان از آنها براي دستيابي به اطلاعات، سوء استفاده ميکند"
"مهندسي اجتماعي سوء استفاده زيرکانه از تمايل طبيعي انسان به اعتماد کردن است، که به کمک مجموعهاي از تکنيکها، فرد را به فاش کردن اطلاعات يا انجام کارهايي خاص متقاعد ميکند."
همان طور که در شکل نشان داده شدهاست، مهاجم به جاي استفاده از روشهاي معمول و مستقيم نفوذ جمع آوري اطلاعات و عبور از ديواره آتش براي دسترسي به سيستمهاي سازمان و پايگاه دادههاي آن، از مسير انسانهايي که به اين اطلاعات دسترسي دارند و با استفاده از تکنيکهاي فريفتن آنها، به جمع آوري اطلاعات در راستاي دستيابي به خواستههاي خود اقدام ميکند.
منشا حملههاي مهندسي اجتماعي
حملههاي مهندسي اجتماعي از سه ناحيه سرچشمه ميگيرند :
1. داخلي : اکثر تهديدهاي داخلي از سمت کارکناني صورت ميگيرد که ميتوانند به شخصه يا با استفاده از کارکناني که به سيستمهاي IT سازمان دسترسي دارند، به جمع آوري اطلاعات حساس و مهم بپردازند. اين افراد کارکناني هستند که در سازمان از سطح محدودي از اعتماد برخوردارند و اين موضوع امکان حمله را براي آنها ساده کردهاست. اين دسته شامل، کارکنان ناراضي، موقتي و کارگران، از قبيل مسئولين نظافت و پرسنل تعميرات ميباشند.
2. اشخاص مورد اعتماد : اينگونه تهديدها از سمت اشخاصي است که با سازمان در يکسري از بنيانهاي قانوني و رسمي مرتبط ميباشند. اين افراد شامل پيمانکارها، مشاورين و شرکاي سازمان هستند. اغلب، اين اشخاص داراي سطح بالايي از اعتماد سازمان ميباشند و بنابراين به دادههاي حساس و مهم سيستمهاي سازمان دسترسي دارند. با اين حال، اين قبيل مخاطرات پنهاني به ندرت در برنامههاي امنيتي سازمانها در نظر گرفته ميشوند.
3. خارجي : اين تهديدها، از سمت انسانهايي است که هيچگونه ارتباطي با سازمان ندارند. اين مجموعه شامل هکرها، رقبايي که در پي آشکارکردن اطلاعات محرمانه سازمان هستند و يا بزه کاران و دزدان ميباشد. هيچ سطح اعتمادي بين اين افراد و سازمان وجود ندارد، بنابراين آنها به دنبال ايجاد اعتماد کوتاه مدت با استفاده از تکنيکهاي مختلف مهندسي اجتماعي هستند مانند بازي کردن نقش فردي مختار درون سازمان مثل مدير IT، تکنسين تعميرات، کارمند درمانده و غيره.
چرخه حملات مهندسي اجتماعي
سارا گارتنر در مقالهاي راجع به روشهاي دفاع در مقابل حملات مهندسي اجتماعي، اذعان کرد هر جرمي داراي الگوي متداولي ميباشد. براي مهندسي اجتماعي نيز الگويي وجود دارد، که قابل تشخيص و قابل جلوگيري ميباشد. اين الگو را به صورت چرخهاي در شکل نشان داده شدهاست. اين چرخه شامل چهار مرحله، جمع آوري اطلاعات، برقراري ارتباطات بهره کشي و عمل و اجرا است، که مانند تکههاي پازل به هم مرتبط و وابستهاند.
1. جمع آوري اطلاعات : مجموعهاي از تکنيکهاي مختلف، که توسط مهاجم براي جمع آوري اطلاعات درباره هدف، مورد استفاده قرار ميگيرد. مهاجم با استفاده از اين تکنيکها به جمع آوري اطلاعات ساده اما مفيدي مانند ليست شماره تلفنها، تاريخ تولد، نمودار سازماني و... ميپردازد، تا با استفاده از آنها به اطلاعات کليدي و مورد هدف دست يابد.
2. برقراري ارتباطات : مهاجم در اين مرحله از رضايت و ميل شخص قرباني براي ايجاد اعتماد، در جهت برقراي ارتباط، سوء استفاده ميکند. پس از برقراري ارتباط مهاجم خود را در موقعيت اعتماد قرار ميدهد، تا بتواند از اين موقعيت بهره برداري کند.
3. بهره کشي : قرباني در اين مرحله تحت تاثير اعتماد فرد مهاجم در جهت آشکار کردن اطلاعاتي چون پسورد يا انجام کارهايي که در حالت طبيعي انجام نميداده، مانند ساختن شناسه کاربري براي فرد مهاجم و...، قرار ميگيرد.
4. عمل و اجرا : زماني که هدف، عمل خواسته شده از سمت مهاجم را انجام داد، چرخه پايان يافته و مهاجم به خواسته خود رسيدهاست.
هر مرحله چرخه مهندسي اجتماعي بسته به شرايط و تکنيکهاي مختلف مورد استفاده، منحصر به فرد ميباشد. همچنين، هر مرحله به تکميل و موفقيت مرحله قبل وابستهاست. اغلب، براي انجام حملهاي موفق، اين سيکل بارها تکرار ميشود. زيرا برقراري ارتباط و جلب اعتماد کار سادهاي نيست. و مهاجم در اين راه نياز به جمع آوري اطلاعات کافي درباره سازمان، سيستمهاي موجود و کارکنانش دارد.
انگيزه ها
-
بهره برداري مالي : به دلايل گوناگون، افراد تحت تاثير دستيابي به پول و ثروت ميباشند. به عنوان مثال فرد ممکن است، باور داشته باشد که وي سزاوار دستمزد بيشتري است و يا نياز به پول بيشتري براي عادات خارج از کنترلي چون قمار دارد.
-
نفع شخصي : مهاجم ممکن است خواستار دسترسي و اطلاعات مربوط به خود، اعضاي خانواده و دوستان باشد.
-
انتقام : بنابر دلايل قابل درک تنها توسط فرد مهاجم، وي ممکن است دوست، همکار، سازمان و يا مجموعهاي از افراد را براي ارضا کردن احساسات و شهوات خود در جهت انتقام يا کينه توزي مورد هدف قرار دهد.
-
فشارهاي خارجي : مهاجم ممکن است از سمت دوستان، خانواده يا سنديکايي سازمان يافته، به دلايلي از قبيل بهره برداري مالي، منفعت شخصي و يا انتقام تحت فشار و تهديدهاي جاني و مالي بوده و چنين کاري را انجام دهد.
تکنيکها
تکنيکهاي مبتني بر کامپيوتر
-
پنجرههاي Pop-Up
-
پيوست نامههاي الکترونيکي
-
هرزنامههاي زنجيرهاي و فريب آميز
-
وب سايتها
-
بازيابي و تجزيه و تحليل ابزارهاي مستعمل
-
Phishing
تکنيکهاي مبتني بر انسان
مهندسي اجتماعي معکوس
در تمام روشهايي که ذکر شده، مهاجم خود به سراغ هدف رفته و از وي کاري را درخواست ميکند. اما در اين روش، مهاجم شرايطي را فراهم ميآورد تا فرد قرباني، از وي تقاضاي کمک کند، به همين علت، اين روش را مهندسي اجتماعي معکوس مينامند. مثال آن ميتواند فردي باشد که در جادهاي خلوت در حال رانندگي است، ناگهان ماشين وي دچار مشکل ميشود، و چون به ماشينهاي امدادي دسترسي ندارد، براي رفع مشکل از ماشينهاي گذري تقاضاي کمک ميکند. مهندسي اجتماعي معکوس در سه مرحله انجام ميشود:
-
کارشکني و خرابکاري : مهاجم پس از بدست آوردن دسترسيهاي ساده، سيستم کامپيوتري را دچار مشکل ميکند ويا خراب جلوه ميدهد. در نتيجه، کاربر سيستم، متوجه مشکل ميشود و به دنبال کمک ميگردد.
-
بازاريابي: در اين مرحله مهاجم به نحوي خود را به کاربر معرفي ميکند، يا از قبل معرفي کردهاست. به عنوان مثال کارت ويزيت خود را در محل کار کاربر قرار داده ويا شماره تماس خود را با يک پيام اشتباه، بر روي پيغام گير گذاشتهاست. بنابراين، مهاجم اين اطمينان را خواهد داشت که کاربر با وجود خرابي و ديدن ردپاي ناجي با وي تماس خواهد گرفت.
-
پشتيباني و حمايت: در اين مرحله مهاجم به حل مشکل کاربر خواهد پرداخت، با اطمينان از اينکه کاربر هيچ ظن وگماني به وي ندارد و خود خواستار کمک از او شدهاست. مهاجم در اين زمان به دو طريق اطلاعات را جمع آوري ميکند، يا در همان زمان به جمع آوري اطلاعاتي که مورد نظرش ميپردازد، که در اين صورت ممکن است ردپاي خرابکاري خود را بر جاي بگذارد و ديگر فرصت دسترسي به سيستم براي وي فراهم نشود يا اينکه به ايجاد رابطهاي همرا با اعتماد ميپردازد، تا امکان دسترسي مجدد به سيستمهاي سازمان، براي حملههاي آينده را به وجود آورد.
با توجه به تکنيکهايي که ذکر شد، موفقيت آميز بودن حمله مهندسي اجتماعي، مستلزم داشتن پيش زمينه خوب تحقيقاتي، بر روي سازمان مورد هدف و بدست آوردن تصويري از ساختار اوليه و حتي نام دپارتمانها وکارکنان سازمان ميباشد.
محرکهاي روانشناسي
از آنجايي که مهندسي اجتماعي، مبحثي اجتماعي و روانشناسي ميباشد، بنابراين دانستن برخي از مباحث روانشناسي پشت سر آن، براي تدوين طرحي در مقابله با حملات مهندسي اجتماعي مفيد ميباشد. دکتر Robert Cialdinis که يکي از محققين در زمينه مسائل روانشناسي است، حدود 30 سال در زمينه روشهاي متقاعد سازي به تحقيق و بررسي پرداخته و بخاطر مطالعات تخصصي اش در اين زمينه، شهرت جهاني يافتهاست. وي دريافت که اصول پايهاي روانشناسي متقاعد سازي با محرکهاي موجود در درون همه انسانها در ارتباط است. محرکها، اصول روانشناسي ميباشند که منجر به اثر گذاري و فريفتن ديگران ميشود. تحريک و تحت تاثير قرار دادن زياد اين محرکها سبب ميشود تا انسانها قدرت منطق و تصميم گيري خود را از دست بدهند. مهندسي اجتماعي از اين موضوع براي رسيدن به خواستههاي خود استفاده ميکند. بدين ترتيب محرکهاي روانشناسي که در مهندسي اجتماعي استفاده ميشوند، بايد مورد بررسي قرار گيرند. دانستن اين محرکها، در تعيين سطوح دفاعي بطور چند لايه، عليه حملات مهندسي اجتماعي، کمک ميکند.
معامله متقابل
در روابط اجتماعي، معامله کردن رفتاري کاملا شناخته شده به حساب ميآيد. اگر کسي هديهاي به ما بدهد يا قول انجام دادن کاري، ما خود را مديون وي دانسته و اين محبت را به نحوي جبران ميکنيم. حتي اگر آنچه دريافت کردهايم، مورد درخواستمان نباشد نيز ممکن است، کاري را انجام بدهيم و يا هديهاي را به وي تقديم کنيم که بسيار پر بها باشد. اين محرک روانشناسي، کاربردهاي خوبي بخصوص در مهندسي اجتماعي معکوس دارد. بطوريکه مهاجم بعنوان ناجي در شرايطي که مشکلي به وجود آمدهاست، ظاهر شده و مشکل را حل ميکند. در برخي مواقع حتي قبل از اينکه مشکلي را حل کند، قرباني خود را مديون او ميداند. اين شرايط براي مهاجم، شرايط ايده آل محسوب ميگردد.
قدرت
انسانها در برابر قدرت مشروط اند! تحقيق زير اين گرايش را بطور کامل نشان ميدهد. از پرستاران بيست و دو مرکز پرستاري، توسط فردي به عنوان پزشک، که تابحال نديده بودند، خواسته شد که مقدار وعده دارويي بيشتري را به مريضان بدهند. پرستاران بدون بررسي و درميان گذاردن موضوع با سرپرستار، وعده دارويي را حتي تا دو برابر افزايش دادند. اين مثال نشان ميدهد که انسانها چنين کارهاي خطرناک و عجيبي را براي مراجع قدرت انجام ميدهند. و در اين راستا اثر رئيس يا مدير قلابي بر روي فرد ميتواند بسيار قابل توجه باشد. اين محرک زماني که تعيين حقانيت مرجع قدرت کمي چالش برانگيز باشد، استفاده ميشود زيرا در اين شرايط به راحتي ميتوان خود را جاي هر فردي که داراي قدرت است، معرفي کرد.
هماهنگي و يکپارچگي
انسانها گرايش به آن دارند که تعهداتشان را انجام دهند. گرچه آن تعهد در نگاه اول خيلي منطقي به نظر نيايد. براي بسياري، انجام کاري که به آنها گفته شدهاست، نشانه? يکپارچگي ميباشد حتي اگر به درستي آن، شک داشته باشند. اين تمايل آنچنان زياد است که گاهي انسانها به باورهاي زير دستانشان هم عمل ميکنند. مثلا اگر هکر درباره مرخصي با کارمندان صحبت کند، طبق اين محرک ميتواند از غياب آنها سود جويي نمايد. جنبه? ديگري از محرک يکپارچگي آنست که افراد اين گرايش را دارند که بدون هيچ دليل محکمي باور کنند ديگران نگرش مثبتشان را راجع به آنها ميگويند. اين گرايشات و باورها بر اين اساس است که ديگران در ابراز احساساتشان حقيقت را خواهند گفت.
کميابي
اين محرک بيان ميکند که تمايل ما بيشتر به سمت فرصتهايي است که به سختي و با تلاش بسيار به دست آمدهاند. مثال واضحي از اين محرک در زماني است که به مشتري ميگوييم از فلان محصول خاص، تعداد محدودي باقي ماندهاست و مشتري در زمان کوتاه تري آن را ميخرد. فن «تعداد محدود» روزانه هزاران بار توسط فروشندگان بکار ميرود. محرک کميابي، به همراه فن «آخرين مهلت» نيز بکار برده ميشود. بطوريکه فروشنده بيان ميکند يک پيشنهاد فروش خاص تا زمان محدودي ادامه خواهد داشت. به اين ترتيب به مشتري فشاري را وارد کرده تا در زمان کوتاه، تصميمي عجولانه و به نفع فروشنده اتخاذ کند. اين محرک همچنين بر اين اصل روانشناسي استوار است که وقتي دسترسي به چيزي محدود است، احساس ميکنيم آزاديمان را از دست ميدهيم در حاليکه ما همواره تمايل به حفظ آزادي خودمان، داريم. بنابراين در بدست آوردن اقلام کمياب بيشتر سعي ميکنيم. فاکتور ديگري که بر قدرت محرک کميابي ميافزايد، ترکيب آن با عنصر رقابت ميباشد. ما همواره بيشتر مجذوب اقلام کميابي ميشويم که بر سر آن رقابت هم وجود دارد.
زيبايي دوستي
انسانها تمايل بسياري در پذيرش درخواست از سمت کساني را دارند که دوست داشتني هستند. به بيان ساده تر انسانها پاسخ مثبت را به کساني ميدهند که دوستشان دارند و ميشناسند. مهاجماني که به دلايل مختلف به دنبال جلب موافقت شخصي، براي انجام کاري هستند، از اين محرک استفاده ميکنند. محققان فاکتورهاي گوناگوني که بر محرک زيبايي دوستي اثر ميگذارند را شناسايي کردهاند. در بسياري از مطالعات جذابيت ظاهري بعنوان فاکتور اصلي شناخته شدهاست. به طور کلي انسانهاي جذاب بسيار سريع تر مورد دوست داشتن قرار ميگيرند. فاکتور ديگر شباهت ميباشد. به طور کلي ما انسانهايي را دوست خواهيم داشت که به ما شباهت داشته باشند. شباهت ميتواند ابعاد گوناگوني داشته باشد. مانند شباهت در عقائد، پس زمينه زندگي و کاري، شخصيت، شيوه زندگي و غيره. عنصر شباهت در ايجاد علاقه بسيار اثر گذار ميباشد در حاليکه بسياري از افراد، اثر آن را دست کم ميگيرند.
اثر گذاري شديد
محرک تاثير شديد، فرد را از نظر روحي و رواني در شرايطي قرار ميدهد که ديگر نميتواند بطور منطقي فکر کند. اگر قرباني در شرايط شديد تعجب، هيجان، توقع يا عصبانيت قرار گيرد، ديگر بطور معمولي به اين شرايط نگاه نميکند. فرد مهاجم از همان ابتدا با بيان يکسري صحبتها سعي ميکند روي افراد شديدا تاثير بگذارد و اين محرک را در آنها تقويت کند. اثر شديد تنها به هيجان، ترس و اضطراب محدود نميشود، بلکه در نتيجه? قول اهداء پاداشي چند هزار دلاري يا تهديد به آنکه شغل فرد وابسته به تصميم شخص خاصي است، ميتواند ايجاد گردد. ايجاد تشنجهاي شديد در احساسات، موجب حواسپرتي در قرباني شده و توانايي وي را در ارزيابي و تصميم گيري، مختل ميکند. کج خيالي پديدهاي است که در ارتباط با تاثير شديد بيان ميشود. بدينگونه که انتظار براي رسيدن به پاداشي ارزنده، تمام تفکرات منطقي فرد را از مدار خارج ميکند، در حاليکه اصلا به اين موضوع توجه ندارد که دستيابي يه اين پاداش، کاملا دور از دسترس بوده و سرابي بيش نيست.
بارگذاري اضافي
باورهاي غلط درصورتيکه در لابلاي خيل باورهاي صحيح ترکيب شوند و بسيار سريع و پشت سر هم به فرد منتقل شوند، بدون هيچگونه بررسي مورد توافق و پذيرش وي قرار ميگيرند. اين محرک روانشناسي، بارگذاري اضافي ناميده ميشود. سر و کار داشتن با حجم بالايي از اطلاعات در زمان کوتاه، بر روي عملکرد منطقي انسان اثر گذاشته و بارگذاري اضافي حسي را بوجود ميآورد. پردازش حجم بالايي از اطلاعات عقل انسانها را زايل کرده بطوريکه اطلاعات غلط را بدون ارزيابي جذب ميکنند. بحث و گفتگو نيز در صورتيکه از منظر غير قابل انتظاري صورت پذيرد، منجر به بارگذاري اضافي ميشود. قرباني براي تجزيه و تحليل موضوع از منظر جديد، نياز به فرصت دارد در حاليکه فرصتي به وي داده نميشود. بدين ترتيب توانايي فرد در پردازش و تجزيه و تحليل يافتهها تقليل يافته و تمامي گفتهها را ميپذيرد.
روابط فريبنده
محرک روانشناسي ديگر، برقراري ارتباط با قرباني و بهره کشي از وي ميباشد. يک راه انجام آن به اشتراک گذاردن اطلاعات و بحث در مورد دشمن مشترک است. هنگامي که رابطهاي بوجود ميآيد، راههايي براي سوء استفاده از رابطه نيز وجود خواهند داشت. بهترين مثال آن حمله به AOL، بودهاست، که هکر با بخش پشتيباني در حدود يک ساعت به گفتگو پرداخته و در خلال گفتگو به وي ميگويدکه ميخواهد اتومبيلش را بفروشد، سپس نامهاي آلوده را به صندوق الکترونيکي فرد فرستاده و توسط آن نرم افزاري را بر روي کامپيوتر فرد نصب ميکند که نفوذ به شبکه AOL را براي وي تسهيل ميکند.
حس مسئوليت و وظيفه شناسي اخلاقي
محرک حس مسئوليت، زماني بوجود ميآيد که فرد فکر ميکند به تنهايي مسئول عملکردش ميباشد. اين محرک را به همراه وظيفه شناسي اخلاقي، خيلي خوب ميتوان به کار برد. محرک وظيفه شناسي اخلاقي، زماني بوجود ميآيد که فرد تصور ميکند براي نجات کارمندان يا سازمان تلاش ميکند و يا اينکه در حال مبرا کردن خود از اتهامي است. به قرباني اين محرک، اين حس القا ميشود که مسئول تصميمي است، که در شکست يا موفقيت سازمان موثر است. مثلا با تصميم فرد ممکن است کارمندي از کار برکنار شود. اين تصميم گيري براي اکثر انسانها خيلي سخت بوده و فرد براي آنکه مسئوليت اين تصميم گيري را نپذيرد، با فرد هکر سازش خواهد کرد.