در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

مهندسی اجتماعی چیست؟

سلام به دوستان گل آی‌تی پرویی و علاقه‌مندان به مباحث امنیت شبکه. در این مقاله سعی شده است تا در رابطه با یکی از مهمترین زمینه‌های سرقت اطلاعات و نفوذ به سیستم و اختلال در شبکه‌ی یک شرکت بحث شود. مطلبی که متاسفانه در دید افرادی که هک را بصورت تجربی دنبال می‌کنند معمولا جایی ندارد. شاید به‌جرات بتوان گفت یکی از کاراترین و موثرترین حملات، حملات مبتنی بر مهندسی اجتماعی هستند که بنا به زمینه اجتماعی کمتر به آن توجه می‌شود.امیدوارم این مطلب مورد استفاده عزیزان قرار بگیرد.

مهندسی اجتماعی چیست؟


اصطلاح مهندسی اجتماعی به روشی تاثیرگذار در ترغیب خواسته و یا ناخواسته مردم به فاش نمودن اطلاعات حساس به منظور انجام برخی اعمال خرابکارانه بر میگردد. با کمک روش های موجود در مهندسی اجتماعی، مهاجمان می‌توانند براحتی به اطلاعات محرمانه، جزئیات دسترسی‌ها و مجوزهای ورود کاربران دسترسی پیدا کنند.مهاجمان می‌توانند براحتی و با استفاده از مهندسی اجتماعی قوانین امنیتی یک شرکت را نقض کرده و با اعمال مجرمانه خود آن را بشکنند. تمام فشارها و سخت گیری‌های امنیتی به تصویب رسیده در غالب شرکت‌ها با اجرای مهندسی اجتماعی در مورد کارکنان، همه نقش بر آب خواهد شد.به عنوان نمونه از مهندسی اجتماعی میتوان به پاسخ‌های ناخواسته به افراد غریبه از طرف کارمندان، پاسخ به ایمیل‌های اسپم و لاف زدن جلوی کارکنان شرکت اشاره کرد. نفوذگران از توسعه و گسترش مهارت‌های مهندسی اجتماعی سود زیادی عایدشان می‌شود و چنان مهارتی در انجام این کار از خودشان نشان می‌دهند که ممکن است قربانیان هرگز متوجه کلاهبرداری آن‌ها نشوند. با وجود قوانین امنیتی موجود، شرکت‌ها همچنان در معرض خطر هستند چرا که حملات طرح‌ریزی شده بر اساس مهندسی اجتماعی ضعیف‌ترین افراد در شرکت که اطلاعات زیادی را با خود دارند، نشانه می‌گیرند.

نفوذگران همواره بدنبال راه‌های جدید برای بدست آوردن اطلاعات هستند؛ آن‌ها از محیط مورد نفوذ و افرادی که در حلقه امنیتی آن محیط کار می‌کنند، همچنین از منشی‌ها و هلپ‌دسک‌ها به منظور سوء استفاده از خطاهای سهوی آن‌ها تا حد ممکن مطمئن شده و سپس با دیدی باز دست به مهندسی اجتماعی هدف می‌زنند. افرادی برای این کار کاندید خواهند شد که بیش از حد مشکوک و مرموز به نظر نرسند؛ رفتاری همراه با اعتماد به نفس و ظاهری با مشخصات افراد شناخته شده در محیط نفوذ داشته باشند. برای مثال دیدن فردی با لباس یونیفرم و درحال حمل کردن جعبه هایی برای تحویل، شما را متقاعد خواهد ساخت که او یک پیک است. علاوه بر این ممکن است شرکت آگهی‌ای مبنی بر استخدام فردی با تخصص بالا در زمینه دیتابیس های اوراکل و سرورهای یونیکس منتشر کرده باشد. همین اطلاعات به فرد نفوذگر کمک خواهد کرد تا متوجه شود که در محیط مورد نفوذ از چه سرورها و دیتابیس‌هایی استفاده می‌کنند. این اقدامات در فاز شناسایی بکار می‌رود.

استفاده از آسیب‌پذیری‌های رفتاری و شخصیتی در نفوذ


یک نفوذگر میتواند از رفتارها و ذات طبیعی مردم که در ادامه به آن‌ها پرداخته خواهد شد، با هدف اجرای یک حمله بر اساس مهندسی اجتماعی، نهایت استفاده را ببرد. این رفتارها ممکن است در حملات مهندسی اجتماعی، آسیب پذیری محسوب شوند:

  • خصوصیت اطمینان قلبی هرکس به خودش، اصلی ترین پایه در حملات مهندسی اجتماعی است. بنابراین خصوصیت هریک از کارمندان خود را عاری از هرگونه ضعف در برابر حملات مهندسی اجتماعی می‌داند و دقیقا همین بزرگترین نقطه ضعف است. شرکت‌ها باید در مورد راه‌ها و آسیب‌پذیری‌های مهندسی اجتماعی، کارکنان خود را کاملا آموزش دهند.
  • وقتی کارها با تهدید پیش نمی‌رود، نفوذگر طعمه خود را با مواردی مانند پول و یا دیگر مزیت‌ها تطمیع می‌کند. در چنین موقعیتی فرد طعمه، ممکن است فریب بخورد و اطلاعات حساس شرکت را لو دهد.
  • در چنین زمان‌هایی اهداف مورد نظر بر اساس تعهدی که با مهندسان اجتماعی بسته‌اند، اقدام به همکاری با آن‌ها می‌کنند.
  • عدم آگاهی‌دهی یک شرکت درمورد مهندسی اجتماعی و تاثیران آن بر نیروی کاری خود، آن شرکت را هدف آسانی در زمینه مهندسی اجتماعی قرار می‌دهد.
  • در مواردی ممکن است که یک فرد برای فرار از اتهام کم‌کاری و این که اطلاعات لازم را بسرعت در اختیار نگذاشته است و این کارش ممکن است بر کار شرکت اثر گذارد، بی‌فکر و بدون دقت لازم اطلاعات حساس را فاش می‌کند.

پارامترهای آسیب‌پذیری شرکت‌ها در برابر حملات


مهندسی اجتماعی می‌تواند تهدیدی بزرگ برای شرکت‌ها باشد. قابل پیش‌بینی نیست و فقط و فقط با اطلاع‌رسانی کارکنان درباره مهندسی اجتماعی و حملات مرتبط با آن قابل پیشگیری است.فاکتورهای زیادی وجود دارد که یک شرکت را در برابر مهندسی اجتماعی آسیب‌پذیر می‌کند. در زیر محتصرا به چند عامل اشاره شده است:

  • آموزش ناکافی در زمینه امنیت: حداقل وظیفه یک شرکت در این مورد، آموزش کارکنان خود درباره جنبه‌های مختلف امنیت به منظور کاهش هرچه بیشتر ضربات احتمالی، است. بجز کسانی که اطلاعاتی در زمینه مهندسی اجتماعی و فوت و فن‌های آن دارند، اکثرا حتی از این که مورد هدف واقع شده‌اند هم مطلع نمی‌شوند. بنابراین توصیه می‌شود که هر شرکت باید در این موارد کارکنان خود را بدقت آموزش دهد.
  • عدم وجود قوانین امنیتی مناسب: استاندارهای امنیتی بشدت باید توسط شرکت‌ها افزایش یابد تا بدین وسیله به کارکنان نیز آگاهی بخشی هم شده باشد. وضع سخت‌گیری‌های مفرط در مورد هرنوع احتمال حمله امنیتی یا آسیب‌پذیری. حتی رعایت ساده‌ترین قوانین مثل قانون تغیر پسوردها، محدودیت دسترسی‌ها، شناسه‌های کاربری منحصربفرد، امنیت مرکزی و مواردی از این دست نیز می‌تواند در جای خود مفید باشد. همچنین باید قانون به اشتراک گذاری را وضع و اجرا کنید.
  • دسترسی آسان به اطلاعات: برای هر شرکتی قطعا مهمترین دارایی آن، دیتابیس‌اش است. بنابراین باید با ایجاد امنیتی قوی از آن محافظت کنند.

کارکنان باید در دسترسی به آن محدود شود و افراد کلیدی که به اطلاعات حساس دسترسی دارند باید در بشدت آموزش دیده باشند.

  • وجود چندین دفتر یا شعبه: برای یک نفوذگر بسیار ساده است که بتواند اطلاعات شعبات مختلف یک شرکت که به منظور تبلیغات یا اهداف دیگر منتشر شده‌اند را از اینترنت بدست آورد.

مراحل مختلف مهندسی اجتماعی


نفوذ گر یک حمله مهندسی اجتماعی را بترتیب مراحل زیر انجام میدهد:

  • تحقیق درباره شرکت هدف: نفوذگر در ابتدا درباره شرکت هدف تحقیق میکند تا اطلاعاتی نظیر نوع تجارت، محل شرکت، شماره داخلی‌ها و غیره را بدست آورد. در این مرحله نفوذگر حتی زباله‌دانی شرکت را نیز به منظور بدست آوردن اطلاعات دور ریخته شده، مورد جستجو قرار می‌دهد.
  • انتخاب قربانی: پس از بدست آوردن اطلاعات مورد نیاز در رابطه با شرکت، نفوذگر باید فرد قربانی خود را انتخاب کند. این فرد دو مشخصه اصلی باید داشته باشد. اول آن که بشود براحتی آن را فریب داد و دوم آن که بتوان با سوء استفاده از آن حداکثر اطلاعات لازم را بدست آورد.
  • افزایش رابطه دوستی با قربانی: طبیعی است که در وهله اول و به عنوان شخصی غریبه و یا حتی تظاهر به همکار بودن، نمی‌توان اطلاعات زیادی را از قربانی استخراج نمود و درست زمانی که رابطه دوستی با او افزایش داده شد، دست نفوذگر برای سوء استفاده از اعتماد او و نزدیک شدن به اطلاعات حساس و همچنین زیر زبان کشیدن غیر ملموس از وی بازترخواهد بود.
  • سوء استفاده از روابط دوستی: هنگامی که رابطه دوستی با قربانی گسترش پیدا کرد، نفوذگر سعی خواهد مرد تا با سوء استفاده از این رابطه، اطلاعات حساس مثل اطلاعات شناسه، اطلاعات مالی، فنآوری مورد استفاده، پروژه‌های شرکت و غیره، را بدست آورد.

قربانیان مرسوم در حملات اجتماعی


پرسنل پذیرش به علت ارتباط مستقیم با افراد غریبه، پرسنل هلپ دسک(پشتیبانی کاربران) به علت ارتباط مستقیم با تمام پرسنل و داشتن اطلاعات آن‌ها، تکنیسین‌های اجرایی، مدیران و در نهایت کاربران شبکه از جمله مرسوم ترین اهداف مورد علاقه نفوذگران هستند.

نویسنده: احسان امجدی

منبع: جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر نام منبع و نویسنده اشکال اخلاقی دارد.

#انواع_حملات_هکری #مراحل_مختلف_مهندسی_اجتماعی #مهندسی_اجتماعی_چیست؟ #معرفي_حملات_مهندسی_اجتماعی #social_engineering_چیست #معرفی_حملات_مهندسی_اجتماعی #مهندسی_اجتماعی_چیست #قربانیان_حملات_اجتماعی #مهندسی_اجتماعی #مهندس_اجتماعی_کیست
عنوان
1 مهندسی اجتماعی چیست؟ رایگان
2 از حملات Social Engineering یا مهندسی اجتماعی چه میدانیم؟ رایگان
3 مهندسی اجتماعی به چه روش‌هایی انجام می‌شود؟ رایگان
4 حمله مهندسی اجتماعی کامپیوتری چیست ؟ تفاوت با Human Based رایگان
زمان و قیمت کل 0″ 0
3 نظر
sevillana

مرسی

ولی چرا نفوز ؟

احسان امجدی

یکی از اهداف اصلی مهندسی اجتماعی، پی بردن به رمزها و شناسه های کاربری و متعاقبا نفوذ به سیستم های حساس شرکت به عنوان یک کاربر قانونی از طریق زیر زبان کشیدن، سرقت حضوری اطلاعات و یا تخلیه تلفنی و روش های مشابه در مهندسی اجتماعی است.

این نظر توسط UNITY در تاریخ دوشنبه, 24 آذر 1393 حذف شده است.

دلیل: مطلب فاقد بعد فنی می باشد

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....