مهندسی اجتماعی در اغلب مقالات به‌عنوان «هنر و علم موافق کردن دیگران با خواست خود»، یا «استفاده هکر از ترفندهای روانشناسی برروی کاربران معتبر یک سیستم رایانه‌یی برای رسیدن به اطلاعاتی که برای دسترسی به سیستم مورد نیاز است»، مطرح شده اما چیزی که همه در مورد آن توافق دارند این است که مهندسی اجتماعی عموما مهارت هوشمندانه فرد هکر در جلب اعتماد و نظر کاربر قربانی است.



هدف هکر این است که اطلاعاتی را به‌دست آورد که به وی اجازه خواهد داد تا به یک سیستم ارزشمند و اطلاعات آن بدون مجوز دسترسی داشته باشد.

اهداف اولیه مهندسی اجتماعی بر اساس گزارشی که از سوی مرکز مدیریت امداد و عملیات رخدادهای رایاه‌یی کشور (ماهر)، منتشر شده، شبیه اهداف هک بوده و عبارت است از به‌دست آوردن دسترسی بدون مجوز به سیستم یا اطلاعات برای کلاهبرداری، نفوذ به شبکه، جاسوسی صنعتی، سرقت هویت و یا از کار انداختن یک سیستم یا یک شبکه.

اهداف نوعی نیز شامل شرکت‌های تلفن، شرکت‌های صاحب نام و موسسات تجاری، آژانس‌های نظامی و دولتی و بیمارستان‌ها می‌باشند. البته این حملات در بسیاری موارد اهداف کوچک‌تری را نیز شامل می‌شوند.

اما در مورد اینکه چرا حملات مهندسی اجتماعی مورد علاقه هکرها هستند، باید به این نکته اشاره کرد که اصولا، پرسیدن کلمه عبور یک نفر به مراتب آسان‌تر از استفاده از روش‌های پیچیده فنی و به‌دست آوردن کلمه عبور وی است.

یک مهندس اجتماعی فردی است که با استفاده از فریب، تشویق، و اثر گذاری سعی می‌کند به اطلاعاتی که در دسترس وی نیست دست پیدا کند. این حقیقت که همیشه کسی هست که اطلاعات را لو بدهد، به مهندسان اجتماعی این فرصت را می‌‌دهد که اغلب مراکز داده امن را در جهان گیر بیندازند.

مهندسی اجتماعی چیزی بیش از جلب اعتماد طرف مقابل و گول زدن وی است، بلکه شامل درک روانشناسی انسان و داشتن یک حرکت روشمند در تاثیر گذاری بر افراد است تا بتوان اطلاعات حساس و یا دسترسی بدون مجوز را از طریق آن‌ها بدست آورد.

* یادگیری زبان شرکت شما

یک مهندس اجتماعی زبان شرکت هدف خود را مطالعه کرده و قادر خواهد بود از آن به خوبی استفاده کند. اگر کسی بتواند از کلمات، عبارات و واژه‌هایی که شما در محیط کار به شنیدن آن‌ها عادت دارید استفاده کند، قطعا شما راحت‌تر به وی اعتماد کرده و اطلاعات مورد نظر را به او تسلیم خواهید کرد. این ترفند چه به‌وسیله تلفن و چه به‌وسیله ای‌میل از اهمیت ویژه‌ای برخوردار است.

* استفاده از موسیقی hold شرکت

فریبکاران موفق به زمان، حوصله و استقامت نیاز دارند. مهاجمان اغلب به آرامی و روشمند کار خود را انجام می‌دهند. آن‌ها برای انجام کار خود، به جزئیات شخصی در مورد افراد و نیز جمع‌آوری یک سری شگردهای اجتماعی احتیاج دارند تا بتوانند هدف خود را اقناع کنند تا وی باور کند که آن‌ها نیز یکی از کارمندان همین سازمان هستند.

یک روش موفق در این مورد، استفاده از موسیقی hold در تلفن است که آن شرکت در زمانی که می‌خواهد تماس گیرنده‌ها را پشت خط نگه دارد، از آن استفاده می‌کند.

فرد مجرم با شرکت تماس گرفته و موسیقی hold را ضبط کرده و سپس، از آن برای مقاصد خود استفاده می‌کند. وقتی این فرد با قربانی تماس می‌گیرد، پس از مدت کوتاهی صحبت مدعی می‌شود که خط دیگرش در حال تماس است و قربانی را پشت خط نگه می‌دارد. فرد قربانی با شنیدن موسیقی hold که همیشه در شرکت آن‌ها مورد استفاده قرار می‌گیرد، راحت‌تر به فرد مهاجم اعتماد می‌کند. این یک شگرد روانی است.

* جعل شماره تلفن

این دسته از مجرمان معمولا با جعل شماره تلفن، کاری می‌کنند که شماره دیگری روی caller ID فرد هدف نمایش داده شود. به این ترتیب در حالی که فرد مجرم از آپارتمان خودش با شما تماس می‌گیرد، به نظر می‌رسد که شماره وی یکی از شماره های داخل سازمان است.

قطعا اگر شماره نشان داده شده در caller ID یکی از شماره‌های سازمان باشد، فرد قربانی با احتمال بسیار زیادی اطلاعات مورد نیاز مجرم مانند کلمات عبور را به وی اعلام خواهد کرد. پیگیری این جرم نیز ممکن نخواهد بود، چرا که تماس گرفتن با شماره‌ای که روی caller ID وجود دارد، شما را به یک شماره داخلی سازمان متصل می‌کند.

در اینگونه موارد بهتر است به خاطر داشته باشید که حتی‌الامکان از تسلیم کردن اطلاعات حساس بصورت تلفنی خودداری کنید.

* استفاده از اخبار بر علیه شما

هرچه که در اخبار مطرح شود، افراد خرابکار از آن اطلاعات به‌عنوان ابزارهای مهندسی اجتماعی برای ارسال هرزنامه، سرقت هویت و سایر روش‌های فریبکاری استفاده می‌کنند. تعداد زیادی از ای‌میل‌های سرقت هویت دیده شده‌اند که به خریداری شدن یک بانک توسط دیگران مرتبط بوده‌اند.

چنین ای‌میلی می‌گوید که بانک شما توسط این بانک خریداری شده است و برای اطمینان از اینکه اطلاعات شما به روز شده است، باید اینجا کلیک کنید. آن‌ها با این کار به اطلاعات حساب شما دسترسی پیدا کرده و به این ترتیب می‌توانند از حساب شما سرقت کنند و یا اینکه اطلاعات آن را به شخص دیگری بفروشند.

بهتر است به خاطر داشته باشید که تقریبا هیچگاه نیاز نیست سرویس دهنده شما، برای مواردی به جز ورود به سیستم و یا تغییر کلمه عبور توسط خود شما، از شما اطلاعات خصوصی را درخواست کند.

* سوء استفاده از شبکه‌های اجتماعی

Facebook، Myspace و Linked In، از مشهورترین سایت‌های شبکه‌های اجتماعی هستند. بسیاری از مردم به این سایت‌ها اعتماد دارند. بسیاری از طرفداران سایت‌های شبکه‌های اجتماعی، ای‌میل‌های زیادی دریافت می‌کنند که ادعا می‌شود از طرف سایت‌هایی مانند Facebook هستند، ولی در حقیقت از طرف فریبکاران اینترنتی ارسال شده‌اند.

این افراد ای‌میل‌هایی با این محتوا دریافت می‌کنند: «این سایت در حال انجام پاره‌ای تغییرات است. برای به‌روزرسانی اطلاعات خود اینجا را کلیک نمایید.» البته وقتی شما روی این لینک کلیک می‌کنید، به سایت افراد خرابکار وارد می‌شوید که از شما می‌خواهد اطلاعات محرمانه خود را وارد کرده و به روز کنید.

باید توجه داشته باشید که بسیار به ندرت ممکن است یک سایت برای شما درخواستی مبنی بر تغییر کلمه عبور و یا به روز رسانی حساب کاربری ارسال کند.

* سوءاستفاده از اشتباه تایپی

افراد خرابکار هم‌چنین از اشتباهات مردم هنگام تایپ کردن در وب سوء استفاده می‌کنند. ممکن است شما یک آدرس URL را تایپ کنید، اما یک حرف آن را اشتباه وارد کنید و ناگهان با نتایج غیرمنتظره‌ای روبه‌رو شوید.

این افراد خرابکار، خود را برای اشتباهات تایپی شما آماده می‌کنند و سایتی بسیار شبیه به سایت مورد نظر شما (که در تایپ آدرس آن اشتباه کرده‌اید) ایجاد می‌کنند. در نتیجه کاربر به جای ورود به سایت مورد نظر خود، وارد یک سایت تقلبی می‌شود و فرد خرابکار می‌تواند اطلاعات وی را سرقت کرده و یا بدافزاری را برروی سیستم وی نصب کند.

* مهندسی اجتماعی معکوس

این روش شامل سه مرحله است: خرابکاری عمدی، تبلیغات و ادعای کمک کردن. در مرحله اول، یک مهندس اجتماعی راهی برای خرابکاری در یک شبکه پیدا می‌کند. این مرحله می‌تواند به پیچیدگی ایجاد یک حمله علیه یک وب سایت و یا به سادگی ارسال یک ای‌میل جعلی و ادعای ویروسی بودن سیستم افراد باشد.

مهم نیست که چه تکنیکی در این مرحله مورد استفاده قرار گیرد، بلکه نکته مهم این است که یا واقعا شبکه هدف را خراب کند و یا صرفا این احساس را در قربانی خود ایجاد کند که شبکه خراب شده است.

در مرحله دوم، مهندس اجتماعی سرویس خود را به‌عنوان یک مشاور امنیتی معرفی می‌کند. این کار می‌تواند به روش‌های مختلف از جمله ارسال ای‌میل، کارت ویزیت و یا ارسال نامه انجام بگیرد.

در این زمان، مهندس اجتماعی یک خرابکاری در شبکه انجام داده و یا وانمود به وقوع یک خرابکاری در شبکه کرده و خود را در موقعیت کمک‌رسانی قرار داده است. شرکتی که قربانی این فرد قرار می‌گیرد، تبلیغات وی را مشاهده کرده و با تصور یک مشاور امنیتی، با این مهندس اجتماعی تماس گرفته و به وی اجازه می‌دهد که روی شبکه آسیب دیده کار کند.

در این هنگام، مهندس اجتماعی وانمود می‌کند که در حال ترمیم مشکل است، اما در حقیقت کار دیگری مثل قرار دادن ثبت کننده کلید در سیستم‌ها و یا سرقت داده‌های محرمانه را انجام می‌دهد.

* درخواست کمک

در این روش مهندس اجتماعی سعی می‌کند احساسات انسان دوستانه شما را تحریک کرده و با طرح درخواست کمک، اطلاعات مورد نظر خود را به‌دست آورد به عنوان مثال حس کمک به همنوع، کارمند یک سازمان را وادار به لو دادن اطلاعات و یا اعطای مجوز به یک شخص فاقد اعتبار می‌کند.

* تهدید

یکی از روش‌های مهندسی اجتماعی این است که با استفاده از تهدید اعتبار فرد، وی ناگزیر به ارائه اطلاعات محرمانه گردد. در این روش، فرد مهاجم خود را به‌عنوان فردی در سازمان هدف جا زده و از کارمند این سازمان می‌خواهد که یک سری اطلاعات را برای انجام کاری به وی ارائه دهد.

احتمالا این کارمند ابتدا با توجه به قوانین از پیش تعریف شده، از ارائه این اطلاعات خودداری می‌کند. اما مهندس اجتماعی به راحتی می‌تواند با تهدید اعتبارات فرد با جملاتی شبیه «هر اتفاق بدی که رخ دهد مسوولیت آن با شماست که همکاری نکرده اید»، وی را راضی به همکاری کند.

تنها راه مقابله با ترفندهای مهندسی اجتماعی، آموزش کاربران و آگاهی دادن به آنان است تا به راحتی فریب مجرمان را نخورند. هم‌چنین تدوین قوانین مناسب که کارمندان سازمان موظف باشند فقط بر اساس آن قوانین اطلاعات محرمانه را به دیگران تسلیم کنند نیز می‌تواند در این زمینه کمک کننده باشد.

منبه: ایسنا