محمد نصیری
هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات

حمله مهندسی اجتماعی چیست؟ معرفی انواع حملات Social Engineering

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

مهندسی اجتماعی چیست؟ حمله Social Engineering چیست؟ چند نوع حمله مهندسی اجتماعی وجود دارد؟ در این مقاله می خواهیم در خصوص یکی از رایج ترین روش های هک صحبت کنیم که بدون نیاز به داشتن هرگونه دانش فنی در خصوص فناوری اطلاعات قابل اجرا می باشد. به اینگونه حملات در اصطلاح فنی Social Engineering یا مهندسی اجتماعی گفته می شود. مبانی اینگونه حملات بسیار ساده است ، در اینگونه حملات به جای اینکه سیستم ها مورد هدف قرار بگیرند ، افراد بصورت مستقیم مورد هدف قرار می گیرند.


حملات مهندسی اجتماعی یا Social Engineering

منطق این حملات بسیار ساده است : اگر در خصوص چیزی اطلاعاتی می خواهید ، سئوال کنید .... انجام اینگونه حملات در اثر بعد روانشناسی به نام اعتماد است که پرسنل یا افراد به دیگران می کنند. در اینگونه حملات مهاجمین از طریق ایجاد روابط صمیمی و دوستانه خود را به هدف خود نزدیک می کنند ، آنها سعی بر آن دارند که اعتماد قربانی را جلب کنند.

بعد از اینکه اعتماد قربانی جلب شد از وی درخواست اطلاعات یا کاری را می کنند که به آن نیاز دارند ، معمولا افرادی که با چاپلوسی و لاس زنی و زبان بازی میانه خوبی دارند می توانند در انجام اینگونه حملات موفق باشند. اینگونه مهاجمین ابتدا سعی می کنند خود را به شما از لحاظ فکری و کلامی نزدیک کنند و در ادامه با شما دوست شوند.

سپس از شما درخواست اطلاعات می کنند هر چند در وهله اول این اطلاعات ممکن است کم و بی ارزش به نظر برسد ، اینگونه مهاجمین معمولا به یک فرد اکتفا نمی کنند و همین عملیات روانی را با چندین نفر مختلف انجام می دهند تا در نهایت بتوانند اطلاعات بیشتری بدست بیاورند ، معمولا درخواستشان را به گونه ای به شما ارائه می دهند که برای شما قابل باور باشد.


حملات مهندسی اجتماعی یا Social Engineering

برای اینکه درک بهتری از انواع حملات مهندسی اجتماعی داشته باشید به سراغ یک مثال عملی می رویم ، شخصی به درب سازمان شما مراجعه می کند و از نگهبان می خواهد که با مدیر سازمان ملاقات کند ، یا اینکه نامه ای دارد که برای مدیر سازمان می باشد و بایستی شخصا توسط وی مفتوح شود ، نگهبان به وی می گوید که آقای X امروز در سازمان نمی باشد و برای ماموریت به فلان شهرستان رفته است .

مهاجم این خبر را به همکاران خود می دهد ، آنها با شماره داخلی سازمان به ویژه شما واحد فناوری اطلاعات تماس می گیرند و خود را به عنوان مدیر عامل سازمان معرفی می کنند ، بعد از معرفی به مسئول مربوط می گویند که قصد ورود به ایمیل سازمانی خود را دارند و ظاهرا رمز را فراموش کرده اند و هر چه سریعتر بایستی به یک نامه حساس سازمانی دسترسی پیدا کنند ، مسئول مربوطه برای وی رمز را ریست می کند و رمز را به مهاجم اعلام می کند .... آیا در این حمله نیازی به داشتن دانش فنی بود ؟ روش های متعددی برای انجام حملات مهندسی اجتماعی وجود دارد که شما فقط با یکی از آنها در این مورد آشنایی پیدا کردید ، انواع روش های حمله به روش مهندسی اجتماعی به شرح زیر می باشند :

حمله جعل هویت چیست؟ بررسی مفهوم حمله Impersonation

در این نوع حمله مهاجم هویت شخصی که شما از وی شناخت دارید را جعل کرده و خود را به جای وی جا می زند . مثالی که در پاراگراف قبلی عنوان شد نمونه ای از جعل هویت بود . موارد بسیاری از این نوع را می توان در فعالیت های روزمره کاربران مشاهده کرد ، کسانی که خود را به عنوان پشتیبان شبکه سازمان معرفی می کنند و از شما می خواهند که نام کاربری و رمز عبورتان را در اختیارشان قرار دهید تا آن را برای شما ریست کنند .

کسانی که خود را به عنوان تعمیرکار ساختمان یا سیستم معرفی می کنند و با این روش می توانند از بسیاری از پارامترهای امنیتی شما عبور کنند ، کسانی که خود را از دوستان شخصی معرفی می کنند که شما وی را می شناسید یا به او اعتماد دارید و بسیاری دیگر از موارد مشابه ... در این مواقع به کاربران خود همواره آموزش دهید که تا در خصوص فرد مورد نظر اطلاعات دقیق بدست نیاورده اند ، اطلاعاتی در اختیار آنها قرار نداده و یا اینکه به درخواست های آنها توجه نکنند.

حمله فیشینگ چیست؟ بررسی حمله Phishing به زبان ساده

در اینگونه حملات که بیشتر توسط ایمیل انجام می شود ، برای شما ایمیلی ارسال می شود که در آن از طرف بانکی که شما در آن حساب سپرده دارید درخواست شده است که نام کاربری و رمز عبور خود را در کادر مشخص شده وارد کنید تا حساب شما فعال شود و یا اینکه هر درخواستی مبنی بر وارد کردن اطلاعات شخصی کاربران را از طریق ایمیل از شما می خواهند. اینگونه ایمیل ها معمولا به گونه ای طراحی می شود که به ظاهر از طرف سایت معتبر و قانونی ارسال شده است و دارای محتوای قانونی نیز می باشد .

برای مثال لوگوی بانک مربوطه را در ایمیل قرار می دهند و یا اینکه از ادبیاتی استفاده می کنند که برای کاربر به عنوان ادبیات مرسوم ارتباطات بانکی شناخته می شود و بدین ترتیب از کاربران غیر مطلع می توانند اخاذی کنند. در خصوص این نوع از حملات توجه کنید که ایمیل هایی که از شما درخواست اطلاعات فردی یا بانکی یا هرگونه اطلاعات مشابه را می خواهند را حتما توسط سایت مرجع اصلی بررسی کنید و از وارد کردن اطلاعات شخصی در چنین ایمیل هایی خودداری کنید ، البته راهکارهای دیگری نیز وجود دارد که در ادامه در خصوص آنها صحبت خواهیم کرد. حملات Phishing انواع و اقسام مختلفی دارند که در ادامه به معرفی برخی از آنها می پردازیم.


امنیت اطلاعات قسمت پنجم - حملات مهندسی اجتماعی و انواع آنها

حمله فارمینگ چیست؟ بررسی حمله Pharming به زبان ساده

در حملات فیشینگ عادی ، مهاجم برای شما یک فرم ارسال اطلاعات می فرستد که شما اطلاعات را در آن وارد کنید و به نوعی می توان گفت حملات نوع فیشینگ حملاتی غیر فعال یا Passive هستند ، اما در برخی از این حملات مهاجم با استفاده از یک لینک وب سایت که به ظاهر به وب سایت اصلی بانک یا مرجع مورد نظر متصل است شما را فریب می دهد و یک وب سایت جعلی مشابه وب سایت اصلی طراحی و به شما برای وارد کردن اطلاعات معرفی می کند.

اینگونه حملات معمولا از تکنیک های هکینگ سرویس DNS برای جعل آدرس وب سایت استفاده می کنند که معمولا با استفاده از دستکاری فایل Hosts موجود بر روی سیستم شما و یا نقاط ضعفی که بر روی سرور DNS وجود دارد انجام می شود. شناسایی اینگونه حملات برای افراد عادی کمی دشوار است اما همیشه توجه کنید که ضمن توجه به آدرس دقیق وب سایت مراجعه شده ، آدرس IP آن نیز مورد تایید و درست باشد.


امنیت اطلاعات قسمت پنجم - حملات مهندسی اجتماعی و انواع آنها

حمله فیشینگ هدفمند چیست؟ بررسی حمله Spear Phishing به زبان ساده

فیشینگ ها اغلب بصورت تصادفی و همگانی انجام می شوند اما در نوع خاصی از حملات فیشینگ که فیشینگ هدفمند یا Spear Phishing نامیده می شود ، مهاجم ابتدا در خصوص افراد هدفی که می خواهد به آنها حمله کند اطلاعاتی بدست آورده و با استفاده از این اطلاعات بدست آمده حمله خود را انجام می دهد ، معمولا اینگونه حملات با توجه به اینکه شناخت بهتری از هدف وجود دارد بیشتر جواب می دهند.

برای مثال شخصی می خواهد محمد نصیری مدیر انجمن تخصصی فناوری اطلاعات ایران را هک کرده و اطلاعات مربوط به وی را بدست بیاورد ، با توجه به اینکه وی علاقه شدیدی به مسائل امنیتی دارد ، مهاجم هدف خود را با توجه به مسائل امنیتی طرح ریزی می کند و این باعث می شود احتمال اعتماد کردن محمد نصیری به ایمیل دریافت شده بیشتر شود.


امنیت اطلاعات قسمت پنجم - حملات مهندسی اجتماعی و انواع آنها

حمله Whaling Phishing چیست؟

این نوع حمله تا حدود زیادی مشابه حملات فیشینگ هدفمند است با این تفاوت که به جای اینکه اهداف عادی را در نظر بگیرد افراد ثروتمند و پرنفوذ را مورد حمله قرار می دهد ، برای مثال شخصی می خواهد از رئیس جمهور یک کشور یا مدیر عامل یک سازمان دولتی اطلاعات اعتباری یا مالی بدست بیاورد ، به این نوع حملات Whaling گفته می شود ، منظور از Whale در اینجا همان وال یا نهنگ می باشد و استعاره از این است که در این نوع حملات طعمه ها افراد بزرگ و پر نفوذ هستند . اگر شخص پر نفوذ و ثروتمندی نیستید پس چندان نگران اینگونه حملات نباشید ، جیب خالی از این حملات در امان است .

امنیت اطلاعات قسمت پنجم - حملات مهندسی اجتماعی و انواع آنها

حمله Vishing چیست؟

واژه این نوع حمله از دو کلمه تشکیل شده است Voice و Phishing ، در این نوع حمله مهاجم با استفاده از تلفن با قربانی تماس گرفته و از وی می خواهد که برای تکمیل اطلاعات بانکی خود با یک شماره تلفن تماس بگیرد ، بعد از پایان یافتن تماس ، قربانی با شماره مورد نظر تماس می گیرد و شخص مهاجم یا همدست وی از قربانی شماره و مشخصات مورد نیاز را دریافت می کند .

توجه کنید که ممکن است در طرف مقابل برای جلب اعتماد شما یک دستگاه خودکار پاسخگوی تلفن راه اندازی شده باشد ، بدین ترتیب اطلاعات حساس بانکی افراد دچار مشکل خواهد شد. این نوع حملات از طریق سامانه های پیامک نیز امروزه در کشور ها بسیار رایج شده اند ، توجه کنید هیچوقت اطلاعات حساس اعتباری و مالی خود را در اختیار افرادی که خود را مجاز معرفی می کنند قرار ندهید مگر اینکه از هویت شخص اطمینان حاصل کرده باشید.


امنیت اطلاعات قسمت پنجم - حملات مهندسی اجتماعی و انواع آنها

چگونه حملات مهندسی اجتماعی را شناسایی کنیم؟

تا اینجا با چند نوع از این حملات آشنا شدیم ، بهتر است کمی هم در مورد روش های شناسایی آنها صحبت کنیم ، بیشتر مدر نظر ما مقابله در خصوص حملات فیشینگ است . توجه کنید که لینک هایی که در این نوع ایمیل ها استفاده می شود به شکلی جالب فریبنده و شبیه به لینک های قانونی وب سایت اصلی هستند ، اما معمولا در این میان از علامت @ بسیار استفاده می شود که می تواند باعث شناسایی این لینک های جعلی باشد.

توجه کنید که معمولا لوگوهای سایت های معتبر که از طریق ایمیل برای شما ارسال می شوند به سایت اصلی لینک شده اند ، این موضوع قطعی نیست اما می تواند باعث شناسایی ایمیل جعلی بشود ، به آدرس های ایمیل فرستنده توجه کنید ، معمولا ایمیل هایی که از طرف وب سایت معتبری ارسال می شوند دارای ساختار مرتب و منظمی می باشند ، برای مثال اگر شما ایمیلی از طرف وب سایت انجمن تخصصی فناوری اطلاعات ایران دریافت کردید که به این شکل بود ( notification-reporing@itproo.ir ) ابتدا این موضوع رو بررسی کنید که آیا لینک وب سایت دقیقا همانی است که اشاره شده است ؟

در این مثال آدرس اصلی tosinso.com است و ایمیل itproo.ir که با اضافه شدن یک حرف o توانسه کاربر را گول بزند ، از طرفی ایمیل های اطلاع رسانی معمولا یک کلمه ای و خلاصه هستند برای مثال notify@tosinso.com یک ایمیل درست اطلاع رسانی است. توجه کنید که اینگونه ایمیل ها از شما درخواست های آنی می کنند ، یعنی تلاش دارند در کمترین زمان ممکن از شما اطلاعات دریافت کنند بنابراین از کلماتی مثل آخرین مهلت ، به سرعت اقدام شود ، در سریعترین زمان ممکن و .... استفاده می کنند که روش شناسایی اینگونه ایمیل ها نیز می باشد.

اسپم چیست؟ بررسی مفهوم کلاهبرداری به نام Spam

اسپم ها ایمیل های ناخواسته ای هستند که برای شما ارسال می شوند و می توانند واقعا در نقش یک ابزار تخریبی برای قربانی نقش آفرینی کنند. اولویت کاری و هدف اصلی یک اسپم انتشار بدافزارها و کدهای مخرب می باشد اما امروزه ارسال ایمیل های تبلیغاتی به عنوان یک تجارت رایگان در جهان گسترش یافته است که به اینگونه تجارت نیز Spamming گفته می شود

در خصوص اسپم و تکنیک های مورد استفاده در آن می توانید به نکته ای که خودم در قسمت نکات انجمن تخصصی فناوری اطلاعات ایران قرار داده ام به این آدرس مراجعه کنید و اطلاعات بیشتری بدست بیاورید. اسپمر یا Spammer ها کسانی هستند که اسپم ارسال می کنند ، آنها هر روشی که بتوانند را استفاده می کنند تا بتوانند پیام ها و کدهای مخرب خود را گسترش دهند ، یکی از روش های دیگری که در اسپم ها استفاده می شود استفاده از سرویس های Instant Messaging مانند Yahoo Messenger و امثال نها می باشد که در اصطلاح فنی به آن اسپیم یا Spim گفته می شود.

امنیت اطلاعات قسمت پنجم - حملات مهندسی اجتماعی و انواع آنها

بررسی تکنیک های ارسال اسپم در مهندسی اجتماعی

روش های متنوهی برای ارسال اسپم وجود دارد که برخی از این روش ها بسیار مرسوم هستند که از آن جمله می توان به اسپم های تصویری یا Image Spam’s اشاره کرد ، در این نوع اسپم تصویری حاوی متن های زیاد برای افراد ارسال می شود که هر کدام از این متن ها دارای می توانند سیستم های فیلترینگ اسپم را دچار ابهام کنند ، این کد ها به محض اینکه کاربر مورد نظر بر روی آنها کلیک کند فعال شده و کاربر را فریب می دهند.

برخی اوقات پیش می آید که محتوای متنی اینگونه ایمیل ها کاملا بی معنی و چرت و پرت است و از این حالت متن می توان به مخرب بودن آن پی برد. تکنیک GIF Layering یکی از تکنیکهای رایج در ارسال ایمیل های حاوی تصاویر و اسپم می باشد ، تصاویر GIF می توانند حالت متحرک داشته باشند و در لایه های مختلف خود چندین تصویر را ذخیره کنند ، مجموع تمامی لایه ها در نهایت باعث نمایش یک تصویر واحد می شود

اسپمر ها از این ترکیب لایه ها برای مخفی کردن کدها یا لینک های خود استفاده می کنند. یکی دیگر از تکنیکهای مورد استفاده توسط اسپمرها شکستن کلمات بصورت افقی یا Word Splitting می باشد که کلمات از وسط به دو نمی تقسیم می شوند اما همچنان توسط چشم انسان قابل تشخصی می باشند ، این روشی دیگر برای جلوگیری از تشخیص داده شدن توسط سیستم های فیلترینگ اسپم می باشد.

آخرین روش مورد استفاده به نام مغایرت هندسی یا Geometric Variance شناخته می شود ، در این نوع تکنیک اسپمر هر بار شکل و ظاهر متن یا تصاویر را بصورت تصادفی عوض می کند تا از شناسایی توسط سیستم های تشخیص اسپم در امان بماند. روش های دیگری نیز وجود دارند که به امید خدا در مقاله ای جداگانه به آنها خواهیم پرداخت.

امنیت اطلاعات قسمت پنجم - حملات مهندسی اجتماعی و انواع آنها


امنیت اطلاعات قسمت پنجم - حملات مهندسی اجتماعی و انواع آنها


امنیت اطلاعات قسمت پنجم - حملات مهندسی اجتماعی و انواع آنها


امنیت اطلاعات قسمت پنجم - حملات مهندسی اجتماعی و انواع آنها


امنیت اطلاعات قسمت پنجم - حملات مهندسی اجتماعی و انواع آنها

هوکس چیست؟ بررسی حمله Hoax در مهندسی اجتماعی

اینگونه مهندسی های اجتماعی را بیشتر در رده بندی آزار و اذیت قرار می دهند تا انتشار کدهای مخرب و تخریب سیستم ها ، در این نوع از حملات معمولا برای شما نامه ای ارسال می شود که در خصوص موضوعی جعلی اطلاع رسانی کرده است و از شما می خواهد که این موضوع را به دیگران و تمام کسانی که می شناسید اطلاع رسانی کنید ، در برخی موارد ممکن است از Hoax ها برای انجام مراحل اولیه حملات هکری استفاده شود اما اینکار چندان مرسوم نیست

برای مثال برای شما ایمیلی می آید که شخصی در فلان کشور قصد دارد تمامی ثروت خود را به متخصصان شبکه اختصاص دهد و از شما می خواهد که این پیام را به تمامی دوستان خود که متخصص شبکه هستند ارسال کنید ، یا اینکه نامه ای می فرستد که سرو ته آن مشخص نیست و فقط در آن عنوان می شود که این نامه را به دوستانتان ارسال کنید ، فلانی بی توجهی کرد فلان شد

البته من هر چقدر سعی کردم اصل این نامه را بدست بیاورم موفق نشدم ، اما هدف کسانی که Hoax ارسال می کنند بیشتر ایجد ترافیک بی هدف برای سرویس های ایمیل است ، فراموش نکنید ، پیام های بی هویت را به دوستان خود Forward نکنید. از محمد نصیری بشنوید اگر در ایمیلی یا نامه ای یا اس ام اسی پیامی مبنی بر مشکلات نامعلومی از شخص نامعلومی دریافت کردید و به شما گفته شده بود که در صورت ارسال این اس ام اس یا ایمیل به 10 نفر مشکلات فرد حل می شود اگر بی توجهی کنید بلای آسمانی بر سر شما فرود می آید ، پیشاپیش این بلای آسمانی شما را خریداریم ... به اینگونه موارد توجه نکنید.

امنیت اطلاعات قسمت پنجم - حملات مهندسی اجتماعی و انواع آنها

معرفی روش های فیزیکی حمله مهندسی اجتماعی

غیر از روش های تکنیکی مهندسی اجتماعی روش های دیگری هم وجود دارند که اصلا ارتباطی به حوزه فناوری اطلاعات ، ایمیل و چت و ... ندارند و دستورالعمل های آنها بصورت فیزیکی اجرا می شود . سه مورد از مهمترین این روش ها به نام جستجو در زباله های سازمانی یا Dumpster Diving است ، در این نوع حمله مهاجم با جستجو در زباله های سازمانی شما سعی در بدست آوردن اطلاعات مفید در خصوص هدف حمله می کند 

در بسیاری از مواقع کاربران و پرسنل شرکت ها و سازمان ها برگه هایی را به درون سطل زباله می اندازند که دارای اطلاعات سازمان می باشد ، برگه های رسید ، فاکتورها ، رمزهای عبور ، آدرس های IP و نامه ها و ... ممکن است در این سطح ها وجود داشته باشد به همین دلیل است که در سازمان های دولتی مدارک و مستنداتی که بلا استفاده می مانند بایستی با استفاده از دستگاه خردکن از بین بروند.

امنیت اطلاعات قسمت پنجم - حملات مهندسی اجتماعی و انواع آنها

روش بعدی به نام Tailgating معروف است ، این نوع حمله معمولا برای عبور از حفاظ های فیزیکی مانند درب ها و دروازه های عبور مورد استفاده قرار می گیرد ، در این روش ابتدا فرد مهاجم یک فرد مجاز را شناسایی کرده ، وی را تعقیب می کند و به محض اینکه شخص مورد نظر از درب ورود مورد نظر عبور کرد از فاصله زمانی که بین رد شدن فرد تا بسته شدن درب وجود دارد استفاده کرده و وارد محدوده غیر مجاز می شود ، این روش را دزدهای ساختمان هم استفاده می کنند

اگر توجه کرده باشید همیشه پیشنهاد می شود که در هنگام استفاده از درب های پارکینگ اتوماتیک حتما منتظر بمانید تا درب بصورت کامل بسته شود سپس به ادامه کار خود بپردازید ، این دقیقا راهکار مقابله با Tailgating است. البته در روش های دیگر شخصی ممکن است بدون اینکه چهره خود را نمایش بدهد کارتن بزرگی را با خود به نزدیک درب بیاورد و از شما خواهش کند که درب را باز نگه دارید تا بتواند رد شود این روش ها برای عبور از درب های حفاظتی کاربردی هستند.

روش دیگری به نام Shoulder Surfing وجود دارد که برای بدست آوردن اطلاعاتی است که شما بر روی کیبورد خود وارد می کنید در این روش همانطور که از نامش نیز پیداست شخص مهاجم در بالای سر قربانی قرار گرفته و زیر چشمی به کلید هایی که وی بر روی کیبورد خود وارد می کند نگاه می کند و از این طریق می تواند رمز عبور وی را حدس بزند.

امنیت اطلاعات قسمت پنجم - حملات مهندسی اجتماعی و انواع آنها
    • مهندسی اجتماعی چیست؟

      به حملات هکری که از طریق فریب ، گول زدن ، روانشناسی و بصورت کلی استفاده و سوء استفاده از آسیب پذیری های مغز انسان صورت می گیرد ، مهندسی اجتماعی گفته می شود

    محمد نصیری
    محمد نصیری

    هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات

    هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، بیش از 12 هزار ساعت سابقه تدریس در بیش از 40 سازمان دولتی ، خصوصی و نظامی ، علاقه مند به یادگیری بیشتر و عاشق محیط زیست ، عضو کوچکی از مجموعه توسینسو

    19 شهریور 1392 این مطلب را ارسال کرده

    نظرات