مهندسی اجتماعی یا Social engineering در چارچوب امنیت اطلاعات در واقع دستکاری روان شناختی مردم در انجام اقدامات یا تقسیم اطلاعات محرمانه است، در این مقاله شما را با حملات مهندسی اجتماعی بیشتر آشنا خواهیم کرد، همراه داتیس نتورک باشید.
مهندسی اجتماعی چیست؟
Social engineering در چارچوب امنیت اطلاعات در واقع دستکاری روان شناختی مردم در انجام اقدامات یا تقسیم اطلاعات محرمانه است.
مهندسی اجتماعی سوء استفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است.
در واقع به کمک مجموعهای از تکنیکها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد میکند.
مهاجم به جای استفاده از روشهای معمول و مستقیم نفوذ جمعآوری اطلاعات و عبور از دیواره آتش برای دسترسی به سیستمهای سازمان و پایگاه دادههای آن، از مسیر انسانهایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیکهای فریفتن آنها، به جمعآوری اطلاعات در راستای دستیابی به خواستههای خود اقدام میکند.
دفاع در مقابل حملات مهندسی اجتماعی سختتر از دفاع در برابر سایر مخاطرات امنیتی است.
زیرا رفتارها و واکنش های افراد بسیار پیچیده و غیرقابل پیشبینی است.
بنابراین برای دفاع در مقابل حملات مهندسی اجتماعی، به شناسایی محرکهای روانشناسی متقاعدسازی و سپس تکنیکهای مورد استفاده در حملات نیاز است.
با توجه به اطلاعات سایت مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر)، بسیاری از حملات مهندسی اجتماعی نیازی به اطلاعات فنی تخصصی ندارند و لازم نیست که یک متخصص رایانه و یک هکر حرفهای به شما حمله کند، بلکه هر یک از افراد جامعه میتواند نقش یک مهاجم را ایفا کند.
بنابراین باید همیشه نسبت به محیط اطراف آگاه بود.
انگیزه های انجام حملات Social engineering
نفع شخصی
مهاجم ممکن است خواستار دسترسی و ویرایش اطلاعات مربوط به خود، اعضای خانواده و دوستان باشد.
بهرهبرداری مالی
به دلایل گوناگون، افراد تحت تأثیر دستیابی به پول و ثروت میباشند.
به عنوان مثال فرد ممکن است، باور داشته باشد که وی سزاوار دستمزد بیشتری است یا نیاز به پول بیشتری برای عادات خارج از کنترلی چون قمار دارد.
انتقام
بنابر دلایل قابل درک تنها توسط فرد مهاجم، وی ممکن است دوست، همکار، سازمان یا مجموعهای از افراد را برای ارضا کردن احساسات و شهوات خود در جهت انتقام یا کینهتوزی مورد هدف قرار دهد.
حس کنجکاوی
با توجه به خصایص انسانی به ذات این حس در دورن همه افراد وجود دارد.
فشارهای خارجی
مهاجم ممکن است از سمت دوستان، خانواده یا سندیکایی سازمان یافته، به دلایلی از قبیل بهرهبرداری مالی، منفعت شخصی یا انتقام تحت فشار و تهدیدهای جانی و مالی بوده و چنین کاری را انجام دهد.
انواع حملات مهندسی اجتماعی
حملات مهندسی اجتماعی روش های مختلفی دارد که در اینجا مهمترین ها را معرفی خواهیم کرد.
فیشینگ (Phishing)
یکی از بدترین نوع حمله مهندسی اجتماعی حملهی فیشینگ است.
در این روش حمله کننده از طریق ایمیل، لینک، یا در قالب پیامکهایی به قربانی فرستاده میشود.
که شخص حمله کننده با جعل هویت و وعده های دروغی سعی در جلب اعتماد قربانی داشته تا اطلاعات مورد نظر را سرقت کند.
Pretexting
حمله Pretexting شبیه به حمله Phishing است.
که حمله کننده با وعده های دروغی از پیش طراحی شده، سعی در سرقت اطلاعات و ورود به حساب کاربری دارد.
Piggybacking
حمله ایی است که کاربری برای ورود به سیستم مجاز و فرد غیرمجاز سعی در نفوذ و دسترسی به سیستم را دارد.
تا برنامههای مخرب را نصب یا اطلاعات را سرقت کند.
Quid Pro Quo
در این نوع حمله، حمله کننده سرویسی که در اختیار قربانی قرار میدهد و از قربانی، درخواست اطلاعات شخصی و اطلاعات ورود به حساب کاربریش میکند.
Baiting
در روش طمعه گذاری حمله کننده با جلب توجه کاربر، از قربانی درخواست اطلاعات و ورود به حساب کاربریش میکند.
و اطلاعات قربانی را سرقت میکند.
برای مثال با جا گذاشتن USB، توجه کاربر را جلب میکند و قربانی که USB را متصل میکند برنامههای مخرب وارد سیستم می شوند یا سیستم از کار میافتد.