مهندسی اجتماعی


به این مفهوم بدون قربانی یک لحظه هم نمی توان به آن فکر کرد که اطلاعات محرمانه را در مورد کار یا  انتقال پول برای فردی ناشناخته افشا می کند. مهندس اجتماعی کاری می کند که مردم  دوست داشته باشند کاری انجام دهند که هرگز قصد آن را ندارند. برخلاف چیزی که شما فکر می کنید، مهندسی اجتماعی تکنیک انگیزشی نیست بلکه یک شکل خاص از تقلب است. ما توضیح می دهیم که مهندسی اجتماعی چه کاری می تواند انجام دهد و شما چگونه می توانید از خود در برابر آن محافظت کنید.

مهندسی اجتماعی چگونه پدید آمد؟

ایده مهندسی اجتماعی از دل فلسفه بیرون آمد. کارل پوپر در سال 1945 این اصطلاح را ساخت و عوامل جامعه شناختی و روان شناختی برای بهبود ساختارهای جامعه را ایجاد کرد. اصل پوپر بر این اساس استوار است که انسان را می توان به عنوان ماشین بهینه سازی کرد. پیروان پوپر، در دهه ی هفتاد، تئوری خود را با برخی از ترفند های روانشناختی تکمیل می کردند. با این حال هدف آنها سرقت داده ها نبود؛ آنها می خواستند مردم را به همزیستی بهتر و آگاهی بیشتر در زمینه بهداشت و درمان هدایت کنند. بار دیگر اعلام می کنم، که این یک دستکاری است اما هدف متفاوت است. با این حال، امروزه در استفاده مشترک ما، مهندسی اجتماعی را به عنوان شکل تقلبی نفوذ متعای شناخته ایم.

مهندسی اجتماعی چگونه کار می کند؟

اگرچه این روش به ریشه های فلسفی خود پایبند است، انگیزه های مهندسان اجتماعی به طور قابل توجهی تغییر کرده است. اگر شما بفهمید که مردم چگونه انتخاب می کنند، می توانید آنها را با کمی تکنیک و روحیه مجرمانه بیشتر مدیریت کنید. اغلب کلاه برداران در قالب یک دوست یا یک فرد یا یک متخصص معتمد که از یک بانک یا اداره آتش نشانی خود را جا می زنند. به این ترتیب مجرمین اطلاعاتی، با اعتماد به نفش اطلاعات حساس شما را دریافت می کنند.

به طور خلاصه، مهندسان اجتماعی سعی می کنند مردم را به اهداف خود سوق دهند. یکی از معروفترین مهندسین اجتماعی، کوین میتنیک هکر است. میتنیک، به دلیل انجام تعداد تعداد زیادی هک، خیلی سریع یکی از محبوب ترین افراد آمریکا شد. گفته می شود او صدها بار به شبکه های مطمئن از سوی دولت امریکا، نفوذ کرده است. او همچنین در وزارت دفاع و حتی ناسا جاسوسی کرده است. میتنیک در کتاب خود به نام هنر فریب می نویسد که مهندسی اجتماعی به اطلاعاتی منجر می شود که بسیار سریعتر از روش های صرفا فنی است. مینتیک به جای توسعه نرم افزارهای جاسوسی، اراده هموطنان خود را برنامه ریزی می کند.

مهندسی اجتماعی در اینترنت چگونه است؟

در عصر دیجیتال، کلاه برداران از این روش در اینترنت استفاده می کنند: اغلب همه چیز از ایمیل یا گاهی اوقات با یک پیام از طریق یک شبکه اجتماعی آغاز می شود. ارسال ایمیل روش فیشینگ است که بر یک سایت جعلی دلالت دارد. اگر اطلاعات خود را در سایت وارد کنید، عملا اطلاعات را به مجرمان انتقال داده اید. گاهی اوقات مجرمان با کنجکاوی قربانیان بازی می کنند و ایمیل هایی با لینک هایی ارسال می کنند که ادعا می شود حامل پیام تبریک از دوست هستند. قربانیان به جای یک پیام تبریک، یک نرم افزار مخرب را دانلود می کنند.  

مثال رابین سیج:

یک نمونه برجسته از مهندسی اجتماعی از طریق شبکه های مجازی موردی از رابین سیج است: سیج جوان، زیبا و فریبنده بود. در سال 2010، توماس راین، متخصص فناوری اطلاعات امریکایی، یک پروفایل در شبکه های اجتماعی با عکس و مشخصات زنی جوان و  جذاب ایجاد کرد. شخصیت داستان رایان با نظامی ها، سرمایه داران و سیست مداران در ارتباط بود و اطلاعات حساس و محرمانه را کشف می کرد. هیچ کدام از افراد تحت تاثیر این شخصیت، او را ملاقات نکرده بودند. رایان تنها در شبکه های اجتماعی، پیام های معتبر و اغوا کننده می فرستاد و بی پرده چت می کرد. رایان نسبت به داده های ضبط شده کمترین نگرانی را داشت. رایان می خواست مردم را به عنوان یک معضل امنیتی نشان دهد و در این کار به موفقیت چشمگیری رسید.

هک انسان یه چه معناست؟

از وقتی که مهندسان اجتماعی انسان را به عنوان یک ضعف امنیتی شناختند، متخصصان فناوری اطلاعات از هک انسان صحبت کردند. به جای یک رایانه، روان انسان هک شد و اطلاعات ناشناخته از او فاش شد که میلی به فاش کردن آنها نداشت. به علاوه ممکن است با دستکاری به اطلاعاتی دست یافت که در واقع انجام شده است. بنابراین انسان ها واقعا یک چالش امنیتی جدی هستند؛ در حالی که آنتی ویروس ها و فایروال از سیستم فناوری اطلاعات محافظت می کنند ، کاربران دستکاری می شوند. در حالی که رایانه ها از منطق پیروی می کنند ، انسان ها به واسطه احساساتشان هدایت می شوند. برخی محققان بر این باورند که 80 درصد تصمیمات ما براساس احساسات است. بنابراین ذهن ما در بسیاری موارد ضعیف است و این دقیقا چیزی است که هک انسانی آن را نشان می دهد.

چه کسی مهندسی اجتماعی را تهدید می کند؟

به همین دلیل است که مهندسی اجتماعی در هر جا که پول و اطلاعات باشد، حضور دارد. بنابراین نهادهای دولتی و مقامات ، توسط شرکت ها یا افراد مورد جاسوسی قرار می گیرند. براساس یک مطالعه از سوی انجمن فناوری اطلاعات بیتکوم، صنعت جاسوسی دیجیتال، خرابکاری یا سرقت اطلاعات، باعث ضرر 51 میلیارد یورویی شرکت های آلمانی در هر سال می شود. 19 درصد از شرکت های مورد بررسی مهندسی اجتماعی را در این زمینه ثبت کرده اند. علاوه بر پول، ایده و داده های مخفی غالبا غارت می شوند. و هر چیزی بدون ناشر، نظر شما را به تقلبی بودن آن جلب می کند.

چرا مردم فریب کلاه برداران را می خورند؟

در مبالغ با حجم بالا، که کلاه برداران را اغوا می کند، یک سوال مطرح می شود: چه چیزی باعث می شود یک فرد فریب بخورد؟ اول از همه، برای تبدیل نشدن به یک قربانی مهندسی اجتماعی، نباید ساده لوح باشید. در سال 2015 یک دانشجوی امریکایی چند تن از کارمندان سازمان سیا را فریب می دهد که یک متخصص فناوری اطلاعات است و مدارک مهمی را به دست آورد. به مدت سه روز به حساب ایمیل مدیر سیا دسترسی داشت. مطلب جالب این است که نقطه قوت سازمان سیا نسبت به آژانی امنیت ملی ، دسترسی به اطلاعات از طریق انسان است.

بر این اساس کارکنان سازمان سیا اغلب با مهندسی اجتماعی آشنا هستند.

از کدام مکانیسم روانی تبعیت می کند؟

مهندسی اجتماعی می تواند موفق باشد به این دلیل که رفتار انسان براساس تفکر او قابل پیش بینی است. روانشناسانی به نام میلز جوردن و هذر جودی به شناخت 12 مورد که عامل موفقترین پروژه های مهندسی اجتماعی در سال های 2001 تا 2004 دست یافتند. از جمله آنها می توان به بی تجربه بودن، کنجکاوی، حرص و طمع و میل به عشق اشاره کرد. بنابراین احساست و صفات شخصیتی بسیار اساسی است و که گاهی حتی ممکن است یکدیگر را تقویت کنند. بنابراین مجرمان کار ساده ای دارند. مبنای مهم برای مهندسی اجتماعی این است که انسان با احساساتش درگیر می شود و ذهن هیچ مشکل دیگری ندارد.        

مهاجمان در مورد قربانیان احتمالی چه می دانند؟

برای اینکه یک نفر ناآگاهانه همدستی کند، همچنین آگاهی نسبت به قربانی احتمالی متفاوت است. فریب دهنده های اسپم کلاسیک در مورد قربانیان خود چیزی نمی دانند. این روش بر مبنای توده ای از ایمیل هایی است که مانند توده اینترنتی بزرگ کار می کنند. با تعداد زیادی آدرس، احتمال زیادی وجود دارد که مهاجمان تلفات داشته باشند. رزوشی که استفاده می کنند انسان را به یاد مهیگیری می اندازد. متاسب با هر ماهی طعمه ای انتخاب می کنند. و اگر ماهی بزرگ باشد، مثل یک کارمند ارشد یک شرکت بین المللی، در مورد شکار یک نهنگ صحبت می کنند. دانش قربانیان به این ترتیب بستگی زیادی به اموال قربانی دارد.

چگونه مجرمان در مورد قربانی های خود اطلاعات کسب می کنند؟

ترکیبی از تلاش های آنلاین و آفلاین با اصطلاح غواصی شناخته می شود، مجرمان به دنیال خطای شخصی از هدف هستند تا در مورد رفتار، منافع و موقعیت زندگی آنها اطاعات کسب کنند. پوشک بچه، جعبه دارو  یا جعبه پیتزا.. مهندسین اجتماعی می توانند اطلاعات را از چنین المان هایی بدست بیارند. روش راحتتر از گشتن در زباله ها، عامل رسانه های اجتماعی است. در پست های عمومی، عکس ها، کاربران بی دقت شخصیت خود را در یک تبلت ارائه می دهند و باعث می شوند که مجرمان با استفاده از مشخصات آنها ، دیگران را فریب دهند.

چگونه می توانم از خود در برابر مهندسی اجتماعی محافظت کنیم؟

رسانه های اجتماعی: نخستین و ساده ترین گام برای امنیت بیشتر این است که به طور انتقادی از چه کسی می خواهید محتوای خصوصی را در رسانه های اجتماعی به اشتراک بگذارید.

پست الکترونیکی: کسانی که مراقب هستند حداقل می توانند خود را از دستکاری بسیار واضحی محافظت کنند. به عنوان مثال، اگر فرستنده پست الکترونیکی ناشناخته باشد و مطمئن چگونه فرد به آدرس رسیده است، باید مشکوک شوید. یا با فرستنده پیام بفرستید و پیام مشکوک را روشن کنید.

تماس: حتی با وجود تماس گیرنده، اگر نمی شناسید نباید اطلاعات حساس را به آنها بدهید.

لینک ها: لینک هایی را که منجر به یک صفحه ورود به سیستم شوند، باز نکنید. در حالت ایده آل صفحات مهمی مانند صفحه اصلی پورتال بانکی آنلاین یا صفحه خرید مورد علاقه خود را نشانه گذاری کنید و از آنها برای ورود به سیستم استفاده کنید. بنابراین می توانید به سرعت  تعیین کنید که ایمیل واقعی یا تقلبی است.

سود: و حتی اگر به شما سود یا پول زیادی وعده داده شده است، باید عاقلانه تصمیم بگیرید. بعد از همه این ها، به سختی کسی چیزی را به کسی می دهد، چه برسد به یک غریبه. به چنین پیام های متنی ، پست الکترونیکی یا تماس تلفنی پاسخ ندهید.

نرم افزار امنیتی: با مسدود کردن هرزنامه و ارائه حفاظت از فیشینگ قابل اعتماد، می توانید         خطر آن را کاهش دهید.

منابع و اطلاعات بیشتر:

  • G DATA White Paper: Dangerous emails
  • G DATA Internet Security
  • Jordan, M., Goudey, H. (2005) "The Signs, Signifiers and Semiotics of the Successful Semantic Attack". In: Proceedings of the EICAR 2005 Conference, pp. 344-364.
  • Mitnick, Kevin D., Simon, William (2003) "The Art of Deception." mitp-Verlag

 

 

              

                         

به اشتراک گذاری :