در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

هک کردن بدون دانش فنی یا مهندسی اجتماعی

دنیای امروزه دنیای اطلاعات و ارتباطات است و حفاظت از اطلاعات و تامین امنیت در ارتباطات از اصول مهم می باشد.هرگاه سخن از نفوذ به اطلاعات و از بین رفتن امنیت به میان می آید ، همگی به فکر روش های نوین کامپیوتری و استفاده از ابزارهای پیشرفته می افتند، اما آیا براستی این گونه است؟؟؟ پاسخ این سوال ، تنها یک کلمه است: خیر به راحتی و بدون نیاز به کوچکترین ابزار نفوذی ، می توان به محرمانه ترین اطلاعات دسترسی پیدا کرد و از آنها سوء استفاده کرد، که یکی از روش های آن مهندسی اجتماعی یا Social Engineering می باشد.

حملات مهندسی اجتماعی

اگر بخواهیم تعریف ساده و در عین حال جامعی از مهندسی اجتماعی داشته باشیم ، می توانیم اینگونه بیان کنیم :مهندسي اجتماعي درواقع به معناي هنر جلب اعتماد يك شخص، با هدف تشویق وي به انجام اعمالی براي دستيابي مهاجم به داده‌ها، اطلاعات دسترسي يا دستكاري سيستم يا شبكه می باشد.

مهندسی اجتماعی یا Social Engineering

هر چند در مهندسی اجتماعی ابزار پیشرفته کامپیوتری مورد استفاده قرار نمی گیرد اما فرد مهاجم نیازمند مهارت بالا در برقراری ارتباط و ایجاد حس اعتماد در فرد قربانی است ، که خود کم هنری نیست. فعالیت هکرها در مهندسی اجتماعی معمولا شامل 4 مرحله میباشد:

مراحل حمله مهندسی اجتماعی

1-جمع آوری اطلاعات( Foot-printing) : در جهت تحقق هدف، هکر شروع به جمع آوری اطلاعات می کنند . این اطلاعات می تواند شامل :

  • لیست پرسنل و فعالیت آنها
  • چارت سازمانی
  • موقعیت جغرافیایی
  • ساختار امنیتی
  • ....

باشد.

2-برقراری ارتباطات(Establishing Trust) : در این مرحله با انتخاب روش مناسب شروع به برقراری ارتباط و ایجاد اعتماد در قربانی می کند. فرد قربانی عموما شخصی آگاه و آشنا به امور می باشد.

3-عمل و اجرا (Psychological Manipulation):در این مرحله هکر یا استفاده از اعتماد کسب کرده در مرحله قبل ، شروع به جمع آوری اطلاعات مورد نظر و فعالیت می کند .

4-پایان : پس از کسب اطلاعات لازم و رسیدن به هدف هکر تمامی ردپاهای خود را پاک می کند تا قابل ردیابی نباشد.

با توجه به 4 مرحله ذکر شده ،روش های متفاوت و مختلفی در مهندسی اجتماعی مورد استفاده قرار می گیرد که در اینجا تنها به متداول ترین روش های مهندسی اجتماعی اشاره خواهیم کرد:

1-برقراری ارتباط با کاربر قربانی

این ساده ترین روش در مهندسی اجتماعی به شمار می رود. هکر بعد از یافتن فردی که اطلاعات موردنظر را دارد، شروع به برقراری ارتباط نزدیک و دوستی با او می کند و طی رفت و آمدهای متوالی به هدف خود دست می یابد و اطلاعات لازم را از وی واکشی می نماید.

2-مهندسی اجتماعی توسط تلفن، پست الکترونیکی و یا چت

شایعترین نوع حملات مهندسی اجتماعی از این طریق انجام می شود. هکر با برقراری تماس و جازدن خود به جای فردی آشنا و مجاز شروع به کشیدن اطلاعات از قربانی می نماید. هکر می تواند خود را تکنسین سیستم و یا حتی مدیر امنیت اطلاعات معرفی نماید و درخواست نام کاربری و رمز عبور را از فرد قربانی کند.

مهندسی اجتماعی با تلفن

3-جستجو در زباله ها(Dumpster Diving)

زباله های هر سازمان بهترین محل برای کسب اطلاعات است. معمولا سازمانها از روشهای مناسب امحا برای از بین بردن کاغذها و زباله های اطلاعاتی خود استفاده نمی کنند .بنابراین با یک جستجوی سطحی در زباله ها می توان اطلاعات محرمانه و مفیدی از جمله چارت سازمانی، قرار ملاقات ها، شیفت کاری پرسنل و ... پیدا کرد. یک مثال ساده برگه هایی است که به عنوان چک پرینت در سازمانها استفاده می شود که معمولا در روی مخدوش آن اطلاعات زیادی وجود دارد. در این روش هکر می تواند براحتی از یک جستجوی ساده در زباله های سازمان به اطلاعات مفیدی دست پیدا کند.

مهندسی اجتماعی و Dumpster Diving

4-تروجان (Trojan Horses)

یک روش شناخته شده تروجان ها هستند. به این طریق که هکر فرد قربانی را تشویق به دانلود یک نرم افزار و یا برنامه حاوی تروجان می کند ،در این حالت در واقع هکر یک راه ورود به سیستم قربانی باز می نماید که می تواند برای نفوذ و جمع آوری اطلاعات از آن استفاده کند. برای استفاده از این روش هکر باید شناخت لازم از قربانی و علاقه مندی های وی داشته باشد ، تا بتواند به هدف خود برسد.

کاربرد تروجان در مهندسی اجتماعی

5-مهندسی اجتماعی توسط پست الکترونیکی(Phishing)

در این روش ایمیل هایی به قربانی ارسال می شود و از وی درخواست ارسال رمز عبور یا تغییر آن را به دلایل مختلف می کند. به محض ورود رمز عبور و یا تغییر آن ، رمز در اختیار هکر قرار می گیرد چرا که در واقع هکر بوده که درخواست ورود رمز و یا تغییر آن را به کاربر داده است. این کار نه تنها توسط ایمیل بلکه توسط سایت های غیر واقعی نیز انجام پذیر است.برای مثال سایت های مربوط به اینترنت بانک .

مهندسی اجتماعی با استفاده از ایمیل

6-استفاده از وب سایت و تالارهای گفتگوی(Surfing Online Content)

یکی از موارد مورد استفاده هکرها اطلاعات موجود در روی وب سایت و تالارهای گفتگوی سازمان می باشد.

7-Shoulder Surfing

به معنای ایستادن کنار فرد و مشاهده رمز عبور هنگام وارد کردن توسط فرد قربانی است. نمونه روشن این نوع حمله در عابر بانک ها مشهود است . به این ترتیب هکر براحتی می تواند به رمز عبور دسترسی پیدا کند و در موقع لزوم از آن استفاده نماید.

8-مهندسی اجتماعی معکوس

این روش دقیقا برخلاف روش معمول مهندسی اجتماعی است.در مهندسی اجتماعی معکوس ،هکر با دسترسی های محدودی که بدست آورده اختلالاتی در سازمان هدف خود ایجاد می کند .هنگامی که کاربر یا سازمان قربانی متوجه مشکل بوجود آمده می شوند هکر وانمود می کند که قادر به حل مشکل سازمان یا فرد قربانی است و کلید حل مشکلات در دستان اوست. در این حالت با ورود به سازمان به منظور حل مشکل ، دسترسی های خود را افزایش می دهد و اطلاعات مورد نیاز را جمع آوری می کند.


روش های مقابله با مهندسی اجتماعی

می توان اینطور گفت که روش مشخص و صددرصدی برای مقابله با این نوع حمله ها وجود ندارد و تنها می توان با پیاده سازی تمهیداتی احتمال وقوع آنها را کاهش داد. در زیر به برخی از آنها اشاره شده است:

  • آموزش کامل و جامع پرسنل در خصوص رعایت نکات امنیتی
  • استفاده از برنامه های کاربردی امنیتی مانند آنتی ویروس ، آنتی اسپم بروری دستگاهها و مدیریت متمرکز آنها
  • استفاده از تجهیزات امنیتی از قبیل فایروال ها
  • برقراری امنیت فیزیکی
  • جلوگیری از دسترسی های غیرمجاز
  • دقت نظر در خصوص اطلاعات موجود برروی وب سایت سازمان
  • استفاده از کیبورد مجازی در هنگام ورود نام کاربری و رمز عبور

نویسنده :نیوشا جلالی زاده

منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع دارای اشکال اخلاقی میباشد

#فیشینگ_یا_phishing_چيست #dumpster_diving_چیست #مهندسی_اجتماعی_چیست؟ #social_engineering_چیست؟ #معرفي_حملات_مهندسی_اجتماعی #footprinting_چیست #social_engineering_چیست #معرفی_حملات_مهندسی_اجتماعی #مهندسی_اجتماعی_چیست #مهندسی_اجتماعی #shoulder_surfing_چیست
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....