تصور بسیاری از مردم از یک هکر، فردی با دانش فنی بسیار بالاست که از تخصص خود برای نفوذ به سیستمهای رایانهای و دسترسی به اطلاعات حساس استفاده میکند. بر اساس همین ذهنیت، همواره سعی میکنیم با استفاده از نرمافزارهای مختلفی اعم از ضدویروس و ضد بدافزار و بهروز نگهداشتن آنها، تمهیدات لازم برای مقابله با حملات این هکرها را فراهم آوریم. اما در کنار اینگونه حملات، دسته دیگری از حملات هم هستند که دانش فنی چندانی لازم ندارند و بر پایه روانشناسی و ارتباطات انسانی بنا شدهاند. به این دسته از حملات، مهندسی اجتماعی اطلاق میشود.
در واقع مهندسی اجتماعی، مجموعهای از روشهای غیرفنی مبتنی بر استفاده از ویژگیهای روانشناسانه افراد برای نفوذ به سیستمها و دسترسی به اطلاعات کاربران آنها است که توسط مخاصمان و هکرها مورد استفاده قرار میگیرد. پایه و اساس این روشها، ارتباط با کاربران و فریب آنها برای اعمال تغییر در روالهای معمول امنیت سیستمهاست. مثلا کاربران را در موقعیتی قرار دهند که به صورت ناخواسته و بدون آگاهی، رمز عبور خود را به مهاجمان منتقل کنند. به دلیل رشد و گسترش شبکههای اجتماعی و افزایش روزافزون کاربران این سامانهها، بستر بسیار مناسبی برای حملات مهندسی اجتماعی فراهم شده است که در صورت عدم آشنایی با اینگونه حملات، خطر بزرگی کاربران این شبکهها را تهدید خواهد کرد.
مهندسی اجتماعی طیف وسیعی از انواع حملات و فعالیتهای مخرب را در بر میگیرد. در این آگاهیرسانی، ما روی معمولترین آنها که در شبکههای اجتماعی مورد استفاده قرار میگیرند، تمرکز میکنیم:
با مشاهده صفحه جعلی، قربانی که در وضعیت احساسی خاصی قرار گرفته، به صورت ناگاهانه بدون توجه به URL نامعتبر وبگاه جعلی، اقدام به واردکردن اطلاعات احراز هویت خود (مثل نام کاربری و رمز عبور) کرده و بدون اینکه متوجه شود، این اطلاعات را در اختیار مهاجم قرار میدهد.
2. دستاویزسازی (Pretexting):
در حمله دستاویزسازی، مهاجم سناریویی طراحی میکند که در آن با دروغگفتن، بهانهآوردن، وانمودکردن و غیره، خود را به جای شخص دیگری جا زده و با کسب اعتماد کاربر، اطلاعات شخصی و احراز هویت وی را به دست میآورد. گاهی حمله از طریق خود کاربر صورت نمیگیرد، بلکه با فریب متولی یا مسئول فنی یک وبگاه یا شبکه اجتماعی، اطلاعات شخصی کاربران شبکه اجتماعی از وی استخراج میشود.
معمولا قدم اول برای این نوع حمله، به دستآوردن اندکی اطلاعات در مورد قربانی است که مراجعه به شبکه اجتماعی بهترین راه برای استخراج چنین اطلاعاتی است. بعد از آن با توجه به این اطلاعات، دروغی ساخته میشود که با استفاده از آن مهاجم میتواند در تماس با قربانی، خود را به جای شخص دیگری جا بزند. به علت ارائه بخشی از اطلاعات و مهارت مهاجم در دروغسازی، قربانی به وی اعتماد کرده و اطلاعات شخصی و احراز هویت خود را در اختیار وی قرار میدهد و یا هر کار دیگری که مهاجم از وی درخواست کند را انجام میدهد. همانند حمله صیادی، معمولا مهاجم در ارتباط با قربانی سعی میکند تا در وی حالت ترس، اضطرار و غیره ایجاد کند تا قربانی تمرکز خود را از دست بدهد.
3. طعمهگذاری (Baiting):
در این حمله یک وسیله فیزیکی مانند حافظه USB، پخشکنندههای صوتی دیجیتال و غیره که حاوی بدافزار یا ویروس است را به نحوی در دسترس قربانی قرار میدهند و با تحریک حس کنجکاوی یا حرص، وی را وادار به استفاده از آن مینمایند. یکی از معمولترین روشهای قراردادن این وسایل در اختیار قربانیان، نوشتن برچسبهای خاص بر روی آنها و قرار دادن این وسایل در محلهای خاصی است تا به نظر برسد جا گذاشته شدهاند. مثلا در کافه تریای یک شرکت یا سازمان، حافظه USB با برچسب استراتژیهای سازمان یا حقوق و مزایای کارکنان قرار میدهند تا حس کنجکاوی کارمندان را جهت مشاهده محتوای آنها برانگیزند.
یک روش دیگر، ارسال اینگونه وسایل فیزیکی به صورت مجانی و به عنوان هدیه برای قربانی است. به این شکل که مثلا در یک شبکه اجتماعی، پیغامی حاوی این جمله برای وی ارسال میکنند: «شما برنده یک دستگاه پخشکننده دیجیتال شدهاید!». سپس از قربانی آدرس پستی وی را جهت ارسال دستگاه درخواست مینمایند. کاربر پس از واردکردن آدرس پستی خود، واقعا دستگاه را دریافت میکند؛ اما به محض استفاده از آن، بدافزار نصبشده بر روی دستگاه اطلاعات شخصی وی را دزدیده و برای مهاجم ارسال مینماید.
4.جبرانکردن (Quid Pro Quo):
در این نوع حمله مانند حمله طعمهگذاری عمل میشود؛ با این تفاوت که به جای ارائه یک کالا به صورت فیزیکی، به قربانی اعلام میکنند تا در ازای دریافت کالا، یک کمک یا خدمت غیر فیزیکی به وی ارائه میدهند. همانند حمله طعمهگذاری، مهاجم با تعداد زیادی از افراد تماس گرفته و ارائه یک خدمت خاص را به صورت رایگان و یا با قیمت بسیار نازل، به آنها پیشنهاد مینماید. مثلا با گرفتن شماره تماس کارمندان یک شرکت به صورت تصادفی، به ایشان پیشنهاد کمک برای حل مشکلات مرتبط با رایانه آنها را میدهد. با قبول این پیشنهاد از سوی تعدادی از این افراد، فایل بدافزار برای آنها فرستاده میشود (که حتی ممکن است مشکلات رایانهای آنها را نیز حل نماید). این فایل به دزدیدن اطلاعات قربانی و ارسال آنها برای مهاجم خواهد پرداخت. در موارد دیگر، ممکن است مهاجم از قربانی بخواهد که برای دریاف خدمت، عمل خاصی را انجام دهد و یا اطلاعات خاصی را به وی ارائه دهد.