کتاب مهندسی اجتماعی، هنر جنگ‌افزار روانی، ترغیب، فریب، و هک ‌کردن انسان

مهندسی اجتماعی چیست؟

مهندسی اجتماعی روشی است که با بهره‌گیری از روان‌شناسی انسان، به دنبال دستیابی به سیستم‌ها، داده‌ها، یا ساختمان هاست. به جای استفاده از روش‌های فنی یا دزدی، مهندسی اجتماعی شامل طرح‌ها و برنامه‌هایی غیر فنی می‌شود که مهاجمان از آن‌ها استفاده می‌کنند. مثلا، شاید مهاجم به جای یافتن ضعفی نرم افزاری در شرکت هدف، خود را در نقش پشتیبان IT جا بزند و از آن طریق با کارمند یا فرد هدف مورد نظر تماس برقرار کند. سپس مهاجم، با فریب هدف مورد نظر خود، رمز عبور وی را در اختیار می‌گیرد. هدف اولیه مهندسان اجتماعی دست یابی به اعتماد هرچه بیشتر افراد هدف در یک شرکت مشخص است.

در دهه ۹۰ میلادی، هکر معروف کوین میتنیک، اصطلاح «مهندسی اجتماعی» را عمومی کرد، اگرچه پیش از آن نیز سالها بود که مفهوم فریب یک فرد برای فاش کردن اطلاعات حساس وجود داشت.

مهندسی اجتماعی انواع بسیاری دارد. مهندسی اجتماعی یا دوستانه است یا بدخواهانه، و می‌تواند یک فرد هدف را بالا ببرد و سرنگون کند. آگاهی از گونه‌های مهندسی اجتماعی مهم است، تا فرد بداند چگونه می‌تواند به آن‌ها واکنش نشان دهد.

امروزه، شمار زیادی از مردم با هکرها آشنایی پیدا کرده‌اند؛ افرادی که به دنبال سودجویی از داده‌های حساس و سیستم‌های کامپیوتری محافظت شده سازمانهای مختلفی چون بانک‌ها، شرکت‌ها، و حتا سازمان‌های دولتی هستند.

اکثر اوقات چیزهایی درباره هکرها می‌شنوید که شما را وامی دارد تا از نیرنگ‌های‌شان دوری کنید. اغلب سازمانها در مقابله با استخراج اطلاعات و سودجویی هکرها، برای قوی‌تر کردن دیوارهای دفاعی خود، در تکنولوژی‌های به روز و جدید سرمایه گذاری می کنند.

از طرف دیگر، گونه جدیدی از مهاجمان وجود دارند که از تجربیات خود برای عبور از این راه حل‌ها و ابزارهای سازمان‌ها استفاده می‌کنند. به این گونه جدید از مهاجمان، مهندسان اجتماعی می‌گوییم. هدف اولیه این افراد ضربه زدن به نقطه ضعف افراد، یا به تعبیری دیگر روان‌شناسی انسان است. مهندسان اجتماعی از رسانه‌هایی چون تماس‌های تلفنی و همین طور رسانه‌های اجتماعی استفاده می‌کنند تا مردم را فریب دهند و از این طریق به اطلاعات مهم و حساس دست پیدا کنند.

مهندسی اجتماعی حیطه ای گسترده از فعالیت‌های مشتمل بر سوءنیت را در بر می‌گیرد، که به طرق مختلفی اجرا می‌شوند؛ از جمله وانمودساختن، فیشینگT بده بستان، طعمه گذاری، فعالیت‌های تعقیبی و غیره.

وانمود ساختن، نوعی روش مهندسی اجتماعی ست که در آن مهاجمان به جعل یک موقعیت یا یک بهانه خوب می‌پردازند تا از آن طریق اطلاعات شخصی فرد را سرقت کنند. اغلب، مهاجمانی که از روش وانمودساختن استفاده می‌کنند با «کلاهبرداران» اشتباه گرفته می‌شوند؛ افرادی که اغلب برای تأیید هویت فرد مورد هدف، تظاهر می کنند به اطلاعات شخصی او نیاز دارند.

فیشینگ، به عنوان یکی از رایج‌ترین روش‌های مهندسی اجتماعی در نظر گرفته می‌شود، که امروزه مهاجمان از آن استفاده می‌کنند. کلاهبرداری‌های با استفاده از فیشینگ ویژگی‌های مشخصی دارند، مانند دستیابی به اطلاعات شخصی، از جمله اسامی، شماره‌های ملی و نشانی افراد هدف؛ ترکیب ترس و احساس اضطرار و تهدید، تا از آن طریق افراد هدف سریع‌تر عمل کنند؛ و استفاده از لینک‌های جاسازی شده یا لینک‌های میانبر برای اتصال مستقیم گروه مورد هدف به وب سایت‌های مشکوک از طریق URL‌هایی که ظاهری قانونی و معتبر دارند.

بده بستان، شکل دیگری از مهندسی اجتماعی است، که دربرگیرنده تعهدی از طرف مهاجمان است که در صورت مبادله اطلاعاتی خاص، سودی نصیب فرد هدف می‌شود. سودی که مهاجمان وعده آن را به گروه هدف می‌دهند به جای کالا، به شکل خدمات است.

«طعمه گذاری، شکل دیگری از مهندسی اجتماعی است، که از بسیاری جهات همانند فیشینگ و بده بستان است. مهاجمانی که از طعمه گذاری استفاده می‌کنند، طرح‌های آنلاینی را برای جذب گروه هدف به کار می‌گیرند تا به ازای یک کالا یا یک شیء، اطلاعات شناسایی ورود خود را به یک سایت مشکوک واگذار کنند. اکثر مواقع، مهاجمان به گروه هدف خود وعده‌هایی چون دانلود رایگان موسیقی یا فیلم می‌دهند.

فعالیتهای تعقیبی که «سواری گرفتن» نیز نامیده می‌شود، یک نوع مهندسی اجتماعی ست که در آن مهاجمان هیچ گونه اعتبار قانونی در یک سازمان ندارند. مهاجمان با دنبال کردن کارکنان به مناطق ممنوعه سازمان دست پیدا می‌کنند.

در یک حمله تعقیبی اغلب، مهاجمان به صورت رانندگان تحویل بار در پارکینگ سازمان منتظر می‌مانند. مهاجم معمولا «یک کالا را برای تحویل» حمل می‌نماید و زمانی که کارمندی را ببینند که دارای تاییدیه امنیتی ست از او می‌خواهد تا در را برایش باز نگه دارد. به این طریق، با بهره‌گیری از فردی که اجازه قانونی تردد دارد وارد سازمان می‌شود.

کتاب مهندسی اجتماعی، هنر جنگ‌افزار روانی، ترغیب، فریب، و هک ‌کردن انسان، اطلاعاتی با ارزش در مورد مهندسی اجتماعی ارائه می‌کند.

در گفتاریکم، می آموزید که مهندسی اجتماعی چیست و مهندسان اجتماعی خواهان چه چیزی هستند؛ روش‌های متفاوتی را که مهاجمان از آن‌ها استفاده می‌کنند نیز فرا می‌گیرید.

گفتار دوم این کتاب اطلاعاتی مناسب در مورد فنون روانی پایه‌ای ارائه می‌دهد که مهاجمان از آن‌ها برای پیاده‌سازی برنامه‌های مهندسی اجتماعی خود استفاده می‌کنند.

کتاب مهندسی اجتماعی
هنرجنگ‌افزار روانی، ترغیب،فریب، و هک کردن انسان
نویسنده : وینس ری نولدز
مترجم : مریم‌سادات آرین
نشر سیفتال
۷۶ صفحه