کتاب مهندسی اجتماعی، هنر جنگافزار روانی، ترغیب، فریب، و هک کردن انسان
مهندسی اجتماعی چیست؟
مهندسی اجتماعی روشی است که با بهرهگیری از روانشناسی انسان، به دنبال دستیابی به سیستمها، دادهها، یا ساختمان هاست. به جای استفاده از روشهای فنی یا دزدی، مهندسی اجتماعی شامل طرحها و برنامههایی غیر فنی میشود که مهاجمان از آنها استفاده میکنند. مثلا، شاید مهاجم به جای یافتن ضعفی نرم افزاری در شرکت هدف، خود را در نقش پشتیبان IT جا بزند و از آن طریق با کارمند یا فرد هدف مورد نظر تماس برقرار کند. سپس مهاجم، با فریب هدف مورد نظر خود، رمز عبور وی را در اختیار میگیرد. هدف اولیه مهندسان اجتماعی دست یابی به اعتماد هرچه بیشتر افراد هدف در یک شرکت مشخص است.
در دهه ۹۰ میلادی، هکر معروف کوین میتنیک، اصطلاح «مهندسی اجتماعی» را عمومی کرد، اگرچه پیش از آن نیز سالها بود که مفهوم فریب یک فرد برای فاش کردن اطلاعات حساس وجود داشت.
مهندسی اجتماعی انواع بسیاری دارد. مهندسی اجتماعی یا دوستانه است یا بدخواهانه، و میتواند یک فرد هدف را بالا ببرد و سرنگون کند. آگاهی از گونههای مهندسی اجتماعی مهم است، تا فرد بداند چگونه میتواند به آنها واکنش نشان دهد.
امروزه، شمار زیادی از مردم با هکرها آشنایی پیدا کردهاند؛ افرادی که به دنبال سودجویی از دادههای حساس و سیستمهای کامپیوتری محافظت شده سازمانهای مختلفی چون بانکها، شرکتها، و حتا سازمانهای دولتی هستند.
اکثر اوقات چیزهایی درباره هکرها میشنوید که شما را وامی دارد تا از نیرنگهایشان دوری کنید. اغلب سازمانها در مقابله با استخراج اطلاعات و سودجویی هکرها، برای قویتر کردن دیوارهای دفاعی خود، در تکنولوژیهای به روز و جدید سرمایه گذاری می کنند.
از طرف دیگر، گونه جدیدی از مهاجمان وجود دارند که از تجربیات خود برای عبور از این راه حلها و ابزارهای سازمانها استفاده میکنند. به این گونه جدید از مهاجمان، مهندسان اجتماعی میگوییم. هدف اولیه این افراد ضربه زدن به نقطه ضعف افراد، یا به تعبیری دیگر روانشناسی انسان است. مهندسان اجتماعی از رسانههایی چون تماسهای تلفنی و همین طور رسانههای اجتماعی استفاده میکنند تا مردم را فریب دهند و از این طریق به اطلاعات مهم و حساس دست پیدا کنند.
مهندسی اجتماعی حیطه ای گسترده از فعالیتهای مشتمل بر سوءنیت را در بر میگیرد، که به طرق مختلفی اجرا میشوند؛ از جمله وانمودساختن، فیشینگT بده بستان، طعمه گذاری، فعالیتهای تعقیبی و غیره.
وانمود ساختن، نوعی روش مهندسی اجتماعی ست که در آن مهاجمان به جعل یک موقعیت یا یک بهانه خوب میپردازند تا از آن طریق اطلاعات شخصی فرد را سرقت کنند. اغلب، مهاجمانی که از روش وانمودساختن استفاده میکنند با «کلاهبرداران» اشتباه گرفته میشوند؛ افرادی که اغلب برای تأیید هویت فرد مورد هدف، تظاهر می کنند به اطلاعات شخصی او نیاز دارند.
فیشینگ، به عنوان یکی از رایجترین روشهای مهندسی اجتماعی در نظر گرفته میشود، که امروزه مهاجمان از آن استفاده میکنند. کلاهبرداریهای با استفاده از فیشینگ ویژگیهای مشخصی دارند، مانند دستیابی به اطلاعات شخصی، از جمله اسامی، شمارههای ملی و نشانی افراد هدف؛ ترکیب ترس و احساس اضطرار و تهدید، تا از آن طریق افراد هدف سریعتر عمل کنند؛ و استفاده از لینکهای جاسازی شده یا لینکهای میانبر برای اتصال مستقیم گروه مورد هدف به وب سایتهای مشکوک از طریق URLهایی که ظاهری قانونی و معتبر دارند.
بده بستان، شکل دیگری از مهندسی اجتماعی است، که دربرگیرنده تعهدی از طرف مهاجمان است که در صورت مبادله اطلاعاتی خاص، سودی نصیب فرد هدف میشود. سودی که مهاجمان وعده آن را به گروه هدف میدهند به جای کالا، به شکل خدمات است.
«طعمه گذاری، شکل دیگری از مهندسی اجتماعی است، که از بسیاری جهات همانند فیشینگ و بده بستان است. مهاجمانی که از طعمه گذاری استفاده میکنند، طرحهای آنلاینی را برای جذب گروه هدف به کار میگیرند تا به ازای یک کالا یا یک شیء، اطلاعات شناسایی ورود خود را به یک سایت مشکوک واگذار کنند. اکثر مواقع، مهاجمان به گروه هدف خود وعدههایی چون دانلود رایگان موسیقی یا فیلم میدهند.
فعالیتهای تعقیبی که «سواری گرفتن» نیز نامیده میشود، یک نوع مهندسی اجتماعی ست که در آن مهاجمان هیچ گونه اعتبار قانونی در یک سازمان ندارند. مهاجمان با دنبال کردن کارکنان به مناطق ممنوعه سازمان دست پیدا میکنند.
در یک حمله تعقیبی اغلب، مهاجمان به صورت رانندگان تحویل بار در پارکینگ سازمان منتظر میمانند. مهاجم معمولا «یک کالا را برای تحویل» حمل مینماید و زمانی که کارمندی را ببینند که دارای تاییدیه امنیتی ست از او میخواهد تا در را برایش باز نگه دارد. به این طریق، با بهرهگیری از فردی که اجازه قانونی تردد دارد وارد سازمان میشود.
کتاب مهندسی اجتماعی، هنر جنگافزار روانی، ترغیب، فریب، و هک کردن انسان، اطلاعاتی با ارزش در مورد مهندسی اجتماعی ارائه میکند.
در گفتاریکم، می آموزید که مهندسی اجتماعی چیست و مهندسان اجتماعی خواهان چه چیزی هستند؛ روشهای متفاوتی را که مهاجمان از آنها استفاده میکنند نیز فرا میگیرید.
گفتار دوم این کتاب اطلاعاتی مناسب در مورد فنون روانی پایهای ارائه میدهد که مهاجمان از آنها برای پیادهسازی برنامههای مهندسی اجتماعی خود استفاده میکنند.
کتاب مهندسی اجتماعی
هنرجنگافزار روانی، ترغیب،فریب، و هک کردن انسان
نویسنده : وینس ری نولدز
مترجم : مریمسادات آرین
نشر سیفتال
۷۶ صفحه