محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

Social Network Footprinting چیست؟ کاربرد شبکه اجتماعی در هک

شبکه های اجتماعی یا Social Network ها امروزه عضو جداناشدنی زندگی انسان ها شده اند. این شبکه ها که در واقع سرویس های آنلاینی هستند که انسان ها را به هم متصل می کنند و ارتباط بین آنها را از طریق الگوریتم های آدم یابی ( هه هه هه ... ) برقرار می کنند . امروزه از هر کسی که بپرسید تقریبا در یکی از شبکه های اجتماعی آنلاین اینترنتی عضویت دارد و به فعالیت مشغول است. از مهمترین و شناخته شده ترین نوع شبکه های اجتماعی می توانیم به شبکه اجتماعی فیسبوک ، گوگل پلاس ، لینکداین ، اینستاگرام ، MySpace ، توئیتر و ... اشاره کنیم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

هر کدام از این شبکه های اجتماعی اهداف و شکل کاری خاص خودشان را دارند ، برخی از این شبکه های اجتماعی برای برقراری ارتباط بین آدم ها و دوستان و آشنایان آنها هستند و برخی برای ایجاد کردن شبکه ای از افراد متخصص و حرفه ای در کار خودشان تشکیل شده اند ، به هر حال شبکه های اجتماعی برای همه و در هر مکان قابل دسترس هستند و افراد برای ایجاد کردن روابط بهتر و بیشتر از خودشان اطلاعاتی در این شبکه های اجتماعی به اشتراک می گذارند.

هک کردن از طریق شبکه های اجتماعی

هکرها یا بهتر بگوییم مهاجمین و سودجویان ( که البته در اینجا منظور ما هکرهای قانونمند است ) می توانند از این اطلاعات به اشتراک گذاری شده نهایت استفاده و سوء استفاده را ببرند و بعضا به اطلاعات محرمانه و حیاتی از شرکت و سازمان هدفشان بدست بیاورند ، برخی اوقات اصلا نیازی به Login کردن به این شبکه های اجتماعی هم نیست و فقط با مشاهده کردن اطلاعات عمومی که افراد در این شبکه های اجتماعی به اشتراک می گذارند می توان اطلاعات جالبی بدست آورد.

حداقل کاری که یک هکر در یک شبکه اجتماعی می تواند انجام دهد این است که یک پروفایل جعلی ایجاد کرده و از طریق آن پروفایل با شما یا سازمان هدف وارد ارتباط و کسب اطلاعات می شود. این وب سایت ها به کاربرانشان اجازه می دهند که تا می توانند در خصوص خودشان ، کارشان و زندگیشان چه خصوصی و چه عمومی اطلاعاتی را با سایر افراد به اشتراک بگذارند. در اینگونه شبکه های اجتماعی افراد اطلاعاتی از قبیل تاریخ تولد ، مدرک دانشگاهی و رشته تحصیلی ، سابقه کاری و ... را قرار می دهند و شرکت ها نیز اطلاعاتی از قبیل همکاران تجاری ، وب سایت ها ، خبرهای جدید و ... را در خصوص شرکت در این صفحات به اشتراک می گذارند.

بدست آوردن اطلاعات افراد از طریق شبکه های اجتماعی

برای یک مهاجم اینگونه اطلاعات مثل یک گنج است که می توانند از طریق آن حملات خود را به ویژه حملات مهندسی اجتماعی خودشان را برنامه ریزی کنند. مهاجمین براحتی می توانند از طریق صفحات عمومی اطلاعات شما یا سازمان مورد حمله را پیدا کنند و اینکار را صرفا از طریق بررسی صفحات عمومی این شرکت ها انجام می دهند. ممکن است برخی اطلاعات بصورت عمومی و برای همگان وجود نداشته باشد که در این مواقع مهاجم می تواند با ایجاد کردن یک حساب کاربری جعلی و جا زدن خودش به جای آشنایان یا دوستان وارد حریم خصوصی افراد شود و اطلاعات مورد نظر خودش را بدست بیاورد.

چه اطلاعاتی از شبکه های اجتماعی قابل استخراج است ؟

قبلا در انجمن تخصصی فناوری اطلاعات ایران در خصوص میزان اطلاعاتی که ما در شبکه های اجتماعی قرار می دهیم مطلبی با عنوان این منم فیسبوک کبیر قرار داده ام ، اما در این خصوص دیگر مطمئن باشید که مهاجمین می توانند با بررسی صفحات شبکه های اجتماعی شما اطلاعات جامعی در خصوص شما بدست بیاورند که در فرآیند نفوذ به آنها کمک خواهد کرد. ما می خواهیم در خصوص انواع اطلاعاتی که می توان از طریق این صفحات برای هک استفاده کرد صحبت کنیم.

کاربران شبکه های اجتماعی برای اینکه بتوانند با کاربران دیگر ارتباط برقرار کنند یک حداقل اطلاعات از خودشان بایستی در شبکه های اجتماعی قرار بدهند تا وب سرویس مورد نظر بر اساس این اطلاعات افراد متناسب با آنها را پیدا کند و ارتباط بین آنها را برقرار کند. کاربران معمولا اطلاعاتی از قبیل نام و نام خانوادگی ، اطلاعات تماس ، شماره تلفن یا آدرس ایمیل ، شماره یا اطلاعاتی در خصوص دوستان ، علاقه مندی ها ، اعضای خانواده ، فعالیت ها و ... را درون پروفایل خودشان قرار می دهند.

Footprinting از طریق فیسبوک و شبکه های اجتماعی

معمولا کاربران در شبکه های اجتماعی دوست دارند با دیگران ارتباط برقرار کرده و با آنها چت کنند ، یک مهاجم خودش را به عنوان یک دوست جا می زند و با کاربر مورد نظر چت می کند. مهاجم می تواند از طریق چت اطلاعات بسیار مهمی را از شخص خورد حمله بدست بیاورد . شبکه های اجتماعی طبعا به کاربرانشان اجازه می دهند که بتوانند تصاویر و ویدیوهای خودشان را نیز به اشتراک بگذارند ، اگر کاربران به تنظیمات حریم خصوصی که برای عکس ها و فیلم ها تعبیه شده است بی توجهی کنند مهاجمین نیز می توانند این تصاویر و ویدیوها را مشاهده کنند.

مهاجمین می توانند با نگاه کردن به لیست علاقه مندی های یک کاربر به خصوصیات اخلاقی وی پی ببرند و بر همین اساس حملات مهندسی اجتماعی خودشان را طراحی کنند. کاربران ممکن است در خصوص رخدادهایی که قرار است در آینده برای آنها اتفاق بیوفتد اعلان بگذارند ، با استفاده از همین اعلان ها مهاجم می تواند اطلاعات بسیار خوبی در خصوص فعالیت های یک کاربر داشته باشد. پسند زدن یا Like کردن مطالب افراد می تواند علاقه مندی های رفتاری اشخاص را نشان بدهد. در کل هر نوع فعالیت در شبکه های اجتماعی می تواند کاملا برای یک مهاجم برای بدست آوردن اطلاعات و هدفمند کردن هر چه بیشتر یک حمله کمک کند.

تصور کنید که به عنوان یک هکر قانونمند اطلاعات پروفایل یکی از پرسنل سازمانی را بدست آورده اید ، می دانید که این شخص علاقه خاصی به گل مریم دارد ، این شخص به رنگ سفید علاقه دارد ، این شخص فرزند بزرگ یک خانواده است ، این شخص به صورت ویژه ای عاشق جملات و کتابهای ارنست همینگوی است ، این متولد 11 دی است .

حالا بر اساس همین موارد می توانید حمله مهندسی اجتماعی خودتان را برنامه ریزی کنید ، یک روز که این شخص از شرکت مورد حمله خارج می شود با او همراه شوید در محیط عمومی مثل تاکسی یا اتوبوس در کنار او قرار بگیرید و ناگهان سر صحبت را با او باز کنید و شروع به بیان کردن نقاط مشترک کنید که چقدر جالب است که شما هم متولد 11 دی هستید ، شما هم رنگ سفید را دوست دارید و عاشق ارنست همینگوی هستید و ... تبریک ، شما با این شخص دوست شده اید و به مرور زمان می توانید اطلاعات حساس تری را از طریق وی به دست بیاورید. ITPRO باشید

نویسنده : محمد نصیری

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشید


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات