عمومی

چرا مهندسی اجتماعی مهم است؟


حملات مهندسی اجتماعی و روشهای متنوعی

مهندسی اجتماعی روشی غیر تکنیکی برای نفوذ به یک سیستم یا شبکه است. این در واقع کاربران سیستم را فریب می دهد و آنها را متقاعد می کند تا کارهای مفید برای هکرها انجام دهند. مانند به دست آوردن اطلاعاتی از آن که می تواند برای شکستن یا دور زدن مکانیسم ایمنی استفاده شود. درک مفهوم مهندسی اجتماعی از اهمیت بالایی برخوردار است زیرا هکرها می توانند از آن استفاده کنند تا به عنصر انسانی در سیستم حمله کنند و استانداردهای ایمنی فنی را دور بزنند. از این روش می توان برای جمع آوری اطلاعات قبل یا هنگام حمله استفاده کرد.

مهندس اجتماعی معمولاً از تلفن یا اینترنت برای فریب افراد در فاش کردن اطلاعات حساس یا استفاده از آن در برابر قوانین ایمنی موسسه ، استفاده می کند. با استفاده از این روش ، مهندسین اجتماعی تمایل دارند به جای اینکه در داخل آنها آسیب نبینند ، آسیب پذیری های امنیتی رایانه را نقض کنند. البته آنها برای اعتماد به سخنان خود از یک نفر استفاده می کنند. همه قبول دارند که کاربران ارتباط ضعیفی با امنیت دارند. این اصل است که عملکرد مهندسی اجتماعی را ممکن می کند.

در زیر مثالی از مهندسی اجتماعی توسط Kapil Raina ، که هم اکنون متخصص امنیت VeriSign است ، آورده شده است. این مثال براساس یک تجربه کاری واقعی با یک کارمند سابق است.

یک روز صبح ، گروهی از غریبه ها وارد یک شرکت حمل و نقل بزرگ شدند و پس از دسترسی به کل شبکه شرکت ، آنجا را ترک کردند.
چگونه آنها این کار را کردند؟
با دستیابی به مقادیر اندک دسترسی ، کم و بیش از شماری از کارمندان همین شرکت. اول ، آنها حتی قبل از راه رفتن در سایت ، دو روز در شرکت جستجو کردند. به عنوان مثال ، آنها می دانند که کلمه کد برای کارمندان این است که آنها را HR بنامیم. سپس وانمود کردند که کلید درب جلو را گم کرده اند و نگهبان اجازه ورود آنها را داده است ، سپس هنگام ورود به طبقه سوم ، منطقه امن ، وانمود کردند که نشانه های هویت خود را از دست داده و لبخند زدند ، و یک کارمند خوب به در زد. آن را به روی آنها باز کنید.

غریبه ها می دانستند که مدیر عامل شرکت (CFO) خارج از شهر است ، بنابراین آنها موفق به ورود به دفتر وی شدند و از یک کامپیوتر غیر مطمئن اطلاعات مالی دریافت کنند. آنها در سطل زباله سازمان جستجو کردند و انواع اسناد مفید را پیدا کردند. آنها از دربان خواستند که مدارک خود را در سطل زباله بگذارد و آنها را به خارج از شرکت ببرد و به خارج از شرکت تحویل دهد ، و غریبه ها صدای مدیر عامل را آموخته اند تا بتوانند تماس بگیرند و وانمود کنند. آنها مدیر ارشد هستند و مورد حمله قرار گرفته اند و نیازی به رمز عبور شبکه ندارند. از آنجا ، آنها با استفاده از ابزارهای معمول هک کردن ، موفق به دستیابی به کاربر اصلی شدند.

در این حالت ، غریبه ها مشاوران امنیت شبکه بودند که بدون اطلاع از کارکنان این سازمان ، چک امنیتی برای مدیرعامل انجام دادند. آنها هیچ گونه اطلاعات خصوصی از مدیرعامل دریافت نکردند ، اما توانستند از طریق مهندسی اجتماعی به تمام دسترسی های مورد نیاز دسترسی پیدا کنند.

خطرناک ترین بخش مهندسی اجتماعی این است که شرکت هایی که دارای عملیات شناسایی ، فایروال ها ، شبکه های خصوصی مجازی (VPN) و برنامه های نظارت بر شبکه هستند ، همچنان در برابر حملات ضعیف و شکننده بسیار باز هستند ، زیرا مهندسی اجتماعی ارتباط مستقیمی با عدم حمله به استانداردهای امنیتی دارد. در عوض ، حمله مهندسی اجتماعی فراتر از استانداردهای امنیتی است و عناصر انسانی سازمان را جستجو می کند.

مهندسی اجتماعی کسب اطلاعات حساس یا نقاط دسترسی نامناسب توسط یک غریبه بر اساس اعتماد نامناسب به روابط است. هدف یک مهندس اجتماعی فریب شخص برای تهیه اطلاعات با ارزش یا دستیابی به آن اطلاعات است. مهندسی اجتماعی به خصوصیات طبیعی انسانی مانند تمایل به مفید بودن ، میل به اعتماد به نفس و ترس از شکار متکی است. هکرها در صورت توانایی ادغام و ظاهر شدن در بخشی از سازمان ، موفق ترین فرد در حملات مهندسی اجتماعی هستند. از توانایی اتحاد با مردم غالباً به عنوان بخشی از هنر سوء استفاده استفاده می شود. مردم معمولاً ضعیف ترین حلقه در زنجیره ایمنی هستند. دفاع موفقیت آمیز به داشتن سیاست ها ، سیاست ها و آموزش کارکنان بستگی دارد. مهندسی اجتماعی سخت ترین نوع دفاع برای دفاع است زیرا شرکت نمی تواند از سخت افزار یا نرم افزار محافظت کند.

حملات مهندسی اجتماعی را می توان به دو نوع معمول تقسیم کرد:

تکیه بر انسان است

مهندسی اجتماعی مبتنی بر انسانی به شخصی تعامل دارد که برای بازیابی اطلاعات هدفمند با فرد در تعامل است. نمونه ای از این امر تماس با میز راهنما برای یافتن رمز عبور است.

بستگی به رایانه دارد

مهندسی اجتماعی مبتنی بر رایانه نشانگر وجود برنامه های رایانه ای است که تلاش می کنند اطلاعات هدف را بازیابی کنند. مثالهایی از جمله ارسال ایمیل و درخواست از آنها برای تأیید دوباره رمز عبور خود در صفحه جدید است. حمله مهندسی اجتماعی نیز فیشینگ نامیده می شود.

تکنیک های مهندسی اجتماعی مبتنی بر انسان را می توان به طور گسترده به دسته های زیر تقسیم کرد:

صدای یک کارمند یا کاربر مجاز را تقلید کنید : در حملات مهندسی اجتماعی مانند واج ، هکر وانمود می کند که یک کارمند یا کاربر مورد تأیید سیستم است. هکر همچنین می تواند با تظاهر به کار بودن ، کارمند یا پیمانکار ، دسترسی بدنی را بدست آورد. وقتی کارها آسانتر می شوند ، هکر اطلاعات را از سطل زباله ، رایانه های رومیزی یا سیستم های رایانه جمع می کند.

وانمود می شود کاربر مهمی است : در این نوع حمله ، هکر وانمود می کند که یک کاربر مهم است ، مانند یک مدیر عامل یا مدیر ارشد عالی رتبه ، که برای دسترسی به رایانه ، سیستم یا پرونده به کمک فوری نیاز دارد. هکر از تهدیدات برای کمک به یک کارمند سطح پایین ، مانند یک مرکز کمک ، برای دسترسی به سیستم استفاده می کند. اکثر کارمندان سطح پایین از افراد قدرت سؤال نمی کنند.

از شخص ثالث استفاده کنید نوع دیگر حمله مهندسی اجتماعی استفاده شخص ثالث است. با استفاده از رویکرد شخص ثالث ، هکر وانمود می کند که از یک منبع مجاز برای استفاده از سیستم مجوز دریافت می کند. این حمله بسیار مؤثر است ، به ویژه اگر منبع موثقی باشد که در ایام تعطیلات ارائه می شود و برای تأیید نمی توان با آنها تماس گرفت.

تماس پشتیبانی فنی برای کمک به فناوری کلاسیک مهندسی اجتماعی با پشتیبانی فنی تماس بگیرید. میز کمک و کارمندان پشتیبانی فنی آموزش داده شده اند تا به کاربران کمک کنند تا آنها را به طعمه خوبی برای حملات مهندسی اجتماعی تبدیل کنند.

نمایش گذرواژه‌ها به صورت دستی: حملات مهندسی اجتماعی مرور شانه یک تکنیک برای جمع آوری گذرواژه‌ها با مراجعه به دست شخص هنگام ورود به سیستم است. هکر می تواند ورود صحیح را برای کاربر مشاهده کرده و سپس از این رمز عبور برای دسترسی به سیستم استفاده کند.

از Dumpster استفاده کنید: Dumpster Dumpster برای یافتن اطلاعات نوشته شده بر روی کاغذ یا نتایج چاپ شده در رایانه زباله جستجو کنید. هکرها اغلب گذرواژه‌ها ، نام پرونده ها یا سایر اطلاعات محرمانه را پیدا می کنند.

یک روش پیشرفته تر برای به دست آوردن اطلاعات غیرمجاز به عنوان مهندسی اجتماعی معکوس شناخته می شود. با استفاده از این تکنیک ، هکر شخصیتی را ایجاد می کند که در موقعیتی از قدرت ظاهر می شود که کارمندان به جای روش های دیگر ، اطلاعاتی درباره هکر را درخواست می کنند. به عنوان مثال ، یک هکر می تواند نقش یک کارمند میز کمک را بازی کند و اطلاعاتی مانند رمز عبور را به کاربر بدهد.

حملات مهندسی اجتماعی مبتنی بر رایانه می تواند شامل موارد زیر باشد:

پیوست های ایمیل پیوست های ایمیل

سایتهای جعلی ، سایتهای جعلی

پنجره های باز شو

به خودی حمله می کند

حمله داخل (حمله از درون کارمندان) اگر هکر نتواند راه دیگری برای هک شدن در سازمان پیدا کند ، بهترین گزینه بعدی ورود به سازمان با استخدام کارمند یا یافتن یک کارمند دلسوز برای کمک به حمله است. حملات داخلی می تواند قدرتمند باشد زیرا کارکنان دسترسی بدنی دارند و می توانند آزادانه در سازمان حرکت کنند. یک مثال ، با پوشیدن لباس فرم و دستیابی به آن ، ممکن است خود را به عنوان مامور تحویل قرار داده و به اتاق زایمان یا محل تحویل دسترسی داشته باشد. احتمال دیگر این است که شخصی خود را جایگزین پاک کننده ای کند که بتواند به قسمت داخلی ساختمان دسترسی داشته باشد و معمولاً می تواند بین دفاتر حرکت کند. به عنوان آخرین راه حل ، یک متجاوز می تواند یک کارمند را رشوه یا اجبار کند تا اطلاعاتی مانند گذرواژه‌ها را در حمله با او به اشتراک بگذارد.

سرقت هویت : هکر می تواند وانمود کند که یک کارمند است یا یک شناسه تأیید هویت را برای انجام حمله به سرقت می برد. اطلاعات جمع آوری شده از جمع آوری زباله یا سرقت رمز عبور به صورت دستی یا ترکیبی از آن با شناسه های کاذب می تواند هکر را به درون سازمان سوق دهد. هدف از هویت ایجاد شخصیتی است که بتواند بدون چالش وارد ساختمان شود.

حملات فیشینگ : حملات مهندسی اجتماعی مانند فیشینگ نیاز به ارسال نامه الکترونیکی دارد و معمولاً خود را به عنوان بانک ، شرکت کارت اعتباری یا سازمان مالی دیگر تنظیم می کنند. درخواست های ایمیل که گیرنده اطلاعات بانکی را تأیید می کنند یا رمز ورود جدید یا کد پین خود را بازنشانی می کنند. کاربر روی پیوند موجود در ایمیل کلیک می کند و به یک صفحه وب جعلی هدایت می شود. سپس هکر قادر به دستیابی به این اطلاعات و استفاده از آن برای به دست آوردن مزایای مالی یا انجام حملات دیگر خواهد بود. ایمیل ها ادعا می کنند که فرستنده پول زیادی دارد اما برای بدست آوردن آن نیاز به شخصی از خارج از کشور دارد. اینها نمونه هایی از حملات فیشینگ است. حملات افراد عادی را برای دستیابی به کدهای حساب بانکی و سایر اطلاعات محرمانه برای نفوذ ، هدف قرار می دهد.

کلاهبرداری آنلاین برخی از سایتهایی که پیشنهادات رایگان یا سایر معاملات ویژه ارائه می دهند می توانند قربانی را جذب کنند تا بتواند نام کاربری و رمز عبوری را وارد کند که ممکن است همان استفاده شده در سیستم دسترسی به تجارت باشد. هکر می تواند هنگام ورود اطلاعات به فرم سایت ، از نام کاربری و رمز عبور معتبر استفاده کند.

از پیوست های ایمیل می توان برای ارسال کد مخرب به سیستم قربانی استفاده کرد ، که می تواند به طور خودکار چیزی مانند keylogger را برای گرفتن کلمه عبور اجرا کند. ویروس ها ، تروجان ها و کرم ها را می توان هوشمندانه در پیام های نامه الکترونیکی مختلط قرار داد تا قربانی را مجبور به باز کردن آنها کند. این نمونه ای از یک پیام الکترونیکی است که در تلاش برای متقاعد کردن گیرنده برای باز کردن پیوست ناامن است.

گزارش سرور پست الکترونیکی: فایروال ما ایمیلهایی را که حاوی نسخه هایی از کرمهای ارسال شده از رایانه شما هستند ، تشخیص می دهد. امروزه این اتفاق در بسیاری از رایانه ها رخ می دهد زیرا این نوع جدید ویروس (کرم های شبکه) است که از یک خطای جدید در ویندوز استفاده می کند ، این ویروس ها کامپیوتر را به شدت آلوده می کنند. ویروس پس از نفوذ به رایانه ، کلیه آدرس های ایمیل را حذف کرده و یک نسخه از آن را به آدرس ایمیل خود ارسال می کند.

پاپ آپ همچنین می تواند در حملات مهندسی اجتماعی مبتنی بر رایانه ، دقیقاً مانند پیوست های ایمیل استفاده شود. پنجره های بازشو که شامل پیشنهادات ویژه یا چیزهای رایگان هستند می توانند کاربر را برای نصب بدافزار ترغیب کنند.

مخلوط کردن آدرس: معمولاً از URL در URL مرورگر برای دسترسی به یک سایت خاص استفاده می شود. به عبارت دیگر ، URL آدرس وب سایت است.

ابهام URL شامل مخفی کردن URL جعلی است بنابراین یک URL معتبر از وب سایت نشان داده می شود. آدرس در حملات فیشینگ و برخی از کلاهبرداری های آنلاین مورد استفاده قرار می گیرد تا تقلب قانونی تر شود. آدرس وب سایت ممکن است به عنوان یک نام واقعی یا یک آرم برای یک سازمان ظاهر شود ، اما پیوند کاربر به یک آدرس IP یا وب سایت جعلی هدایت می شود. هنگامی که کاربران بر روی یک لینک کلیک می کنند ، از قبل به سایت هکر هدایت می شوند.

برخورد با حملات مهندسی اجتماعی

دانستن چگونگی مبارزه با مهندسی اجتماعی برای هر هکر اخلاقی بسیار مهم است. در اینجا چند روش برای انجام این کار آورده شده است: سیاست های امنیتی قابل اعتماد و نرم افزار امنیتی مهمترین مؤلفه های هر نرم افزار امنیتی هستند. در صورت عدم تحمیل کارکنان و آموزش آنها ، سیاستها و رویه های خوب مؤثر نخواهد بود. برای تأیید اهمیت آنها ، سیاست ها باید به کارکنان ابلاغ شود و سپس توسط مدیریت اعمال می شود. پس از دریافت آموزش آگاهی امنیتی ، کارکنان متعهد به پشتیبانی و اجرای سیاستهای امنیتی سازمان خواهند شد.
خط مشی های امنیتی ثبت شده باید هنگام نصب و پایان یافتن حساب های کاربری مشخص کند ، گذرواژها هر از گاهی تغییر می کند ، چه کسی به داده ها دسترسی دارد ، و چگونه می توان این خط مشی ها را اداره کرد. این خط مشی همچنین باید به روشهای میز راهنما برای تکالیف گذشته و همچنین یک فرآیند شناسایی کارمندان ، مانند استفاده از شماره کارمند یا سایر اطلاعات برای تأیید تغییر رمز ورود ، جزئیات دهد. یکی دیگر از زمینه های امنیتی که سیاست های امنیتی باید به آن بپردازند تخریب اسناد کاغذی و جلوگیری از دسترسی فیزیکی است. سرانجام ، این سیاست باید به حوزه های فنی مانند استفاده از مودم ها و کنترل ویروس بپردازد.
یکی از مزایای داشتن سیاستهای امنیتی قوی این است که بدون در نظر گرفتن اینکه آیا تماس دریافتی درخواست هکر است ، مسئولیت کارمندان را در داوری تماسها از بین می برد. اگر خط مشی مورد نیاز با این سیاست ممنوع باشد ، کارمند دستورالعمل عدم پذیرش آن را دارد.
مهمترین تعامل مهندسی اجتماعی ، آموزش کارمندان است. باید به همه کارمندان آموزش داده شود که چگونه اطلاعات محرمانه را ایمن نگه دارند. تیم های مدیریتی در ایجاد و اجرای سیاست های امنیتی درگیر هستند ، به گونه ای که آنها را در سراسر سازمان کاملاً درک و پشتیبانی می کنند. گزارش خط مشی های امنیتی شرکت باید کلیه کارمندان جدید را در روندهای امنیتی بگنجاند. برای یادآوری و به روزرسانی اطلاعات کارمندان باید از کلاسهای سالانه استفاده شود. راه دیگر برای افزایش مشارکت کارمندان با سیاست ها می تواند از طریق روزنامه های ماهانه با مقالات اطلاعات ایمنی باشد.

در آخر ، پیشنهاد می کنم موارد زیر را بخوانید:

فیلم آموزشی در چاه ها

هکر کیست؟ فواید دزدی دریایی چیست؟

بدافزار چیست؟ + راه های مقابله با آن

اهمیت فیشینگ چیست؟ انواع روش های فیشینگ

فیشینگ – اطلاعات خود را بدون فشار دادن یک دکمه سرقت کنید

جهت دیدن مقالات بیشتردر مجموعه مطالب عمومی کلیک کنید 


منبع خبر: چرا مهندسی اجتماعی مهم است؟

مسوولیت کلیه محتوای سایت بر عهده منابع اصلی بوده و بانک مشاغل اینفوجاب هیچ مسوولیتی در قبال محتوا ندارد.

دکمه بازگشت به بالا