«مهندسی اجتماعی هنر بهره برداری از رفتارهای آسیب پذیر انسانها برای ایجاد شکاف امنیتی بدون هیچ ظن و گمانی از سوی قربانی است.»
در راهنمای مطالعه CISSP، مهندسی اجتماعی به این صورت تعریف شدهاست: «مهارتی است که به وسیله شخصی مجهول، برای بدست آوردن اعتماد افراد درون سازمان و تشویق آنها برای ایجاد تغییرات دلخواه در سیستمهای IT و در جهت دستیابی به حق دسترسی استفاده میشود.» در نسخه انگلسیی زبان ویکیپدیا، مهندسی اجتماعی به این صورت تعریف شدهاست: :«مهندسی اجتماعی، تکنیک بدست آوردن اطلاعات محرمانه به وسیله تحریک کاربران مجازاست.»
کوین میتنیک(Kevin Mitnick) یکی از معروفترین هکرهایی است که دلیل موفقیتش، استفاده از تکنیکهای مهندسی اجتماعی بوده. وی کتابی را پس از آزادی از زندان درباره مهندسی اجتماعی تحت عنوان«هنر فریفتن» تالیف کرده که تعریف زیر از کتاب وی آورده شدهاست:
«مهندس اجتماعی انسانها را با روشهای مختلف فریب داده و با متقاعد کردنشان از آنها برای دستیابی به اطلاعات، سوء استفاده میکند»
«مهندسی اجتماعی سوء استفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است، که به کمک مجموعهای از تکنیکها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد میکند.»
همان طور که در شکل نشان داده شدهاست، مهاجم به جای استفاده از روشهای معمول و مستقیم نفوذ جمع آوری اطلاعات و عبور از دیواره آتش برای دسترسی به سیستمهای سازمان و پایگاه دادههای آن، از مسیر انسانهایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیکهای فریفتن آنها، به جمع آوری اطلاعات در راستای دستیابی به خواستههای خود اقدام میکند.
منشا حملههای مهندسی اجتماعی
حملههای مهندسی اجتماعی از سه ناحیه سرچشمه میگیرند :
1. داخلی : اکثر تهدیدهای داخلی از سمت کارکنانی صورت میگیرد که میتوانند به شخصه یا با استفاده از کارکنانی که به سیستمهای IT سازمان دسترسی دارند، به جمع آوری اطلاعات حساس و مهم بپردازند. این افراد کارکنانی هستند که در سازمان از سطح محدودی از اعتماد برخوردارند و این موضوع امکان حمله را برای آنها ساده کردهاست. این دسته شامل، کارکنان ناراضی، موقتی و کارگران، از قبیل مسئولین نظافت و پرسنل تعمیرات میباشند.
2. اشخاص مورد اعتماد : اینگونه تهدیدها از سمت اشخاصی است که با سازمان در یکسری از بنیانهای قانونی و رسمی مرتبط میباشند. این افراد شامل پیمانکارها، مشاورین و شرکای سازمان هستند. اغلب، این اشخاص دارای سطح بالایی از اعتماد سازمان میباشند و بنابراین به دادههای حساس و مهم سیستمهای سازمان دسترسی دارند. با این حال، این قبیل مخاطرات پنهانی به ندرت در برنامههای امنیتی سازمانها در نظر گرفته میشوند.
3. خارجی : این تهدیدها، از سمت انسانهایی است که هیچگونه ارتباطی با سازمان ندارند. این مجموعه شامل هکرها، رقبایی که در پی آشکارکردن اطلاعات محرمانه سازمان هستند و یا بزه کاران و دزدان میباشد. هیچ سطح اعتمادی بین این افراد و سازمان وجود ندارد، بنابراین آنها به دنبال ایجاد اعتماد کوتاه مدت با استفاده از تکنیکهای مختلف مهندسی اجتماعی هستند مانند بازی کردن نقش فردی مختار درون سازمان مثل مدیر IT، تکنسین تعمیرات، کارمند درمانده و غیره.
چرخه حملات مهندسی اجتماعی
سارا گارتنر در مقالهای راجع به روشهای دفاع در مقابل حملات مهندسی اجتماعی، اذعان کرد هر جرمی دارای الگوی متداولی میباشد. برای مهندسی اجتماعی نیز الگویی وجود دارد، که قابل تشخیص و قابل جلوگیری میباشد. این الگو را به صورت چرخهای در شکل نشان داده شدهاست. این چرخه شامل چهار مرحله، جمع آوری اطلاعات، برقراری ارتباطات بهره کشی و عمل و اجرا است، که مانند تکههای پازل به هم مرتبط و وابستهاند.
*
1. جمع آوری اطلاعات : مجموعهای از تکنیکهای مختلف، که توسط مهاجم برای جمع آوری اطلاعات درباره هدف، مورد استفاده قرار میگیرد. مهاجم با استفاده از این تکنیکها به جمع آوری اطلاعات ساده اما مفیدی مانند لیست شماره تلفنها، تاریخ تولد، نمودار سازمانی و... میپردازد، تا با استفاده از آنها به اطلاعات کلیدی و مورد هدف دست یابد.
2. برقراری ارتباطات : مهاجم در این مرحله از رضایت و میل شخص قربانی برای ایجاد اعتماد، در جهت برقرای ارتباط، سوء استفاده میکند. پس از برقراری ارتباط مهاجم خود را در موقعیت اعتماد قرار میدهد، تا بتواند از این موقعیت بهره برداری کند.
3. بهره کشی : قربانی در این مرحله تحت تاثیر اعتماد فرد مهاجم در جهت آشکار کردن اطلاعاتی چون پسورد یا انجام کارهایی که در حالت طبیعی انجام نمیداده، مانند ساختن شناسه کاربری برای فرد مهاجم و...، قرار میگیرد.
4. عمل و اجرا : زمانی که هدف، عمل خواسته شده از سمت مهاجم را انجام داد، چرخه پایان یافته و مهاجم به خواسته خود رسیدهاست.
هر مرحله چرخه مهندسی اجتماعی بسته به شرایط و تکنیکهای مختلف مورد استفاده، منحصر به فرد میباشد. همچنین، هر مرحله به تکمیل و موفقیت مرحله قبل وابستهاست. اغلب، برای انجام حملهای موفق، این سیکل بارها تکرار میشود. زیرا برقراری ارتباط و جلب اعتماد کار سادهای نیست. و مهاجم در این راه نیاز به جمع آوری اطلاعات کافی درباره سازمان، سیستمهای موجود و کارکنانش دارد.
انگیزهها
* بهره برداری مالی : به دلایل گوناگون، افراد تحت تاثیر دستیابی به پول و ثروت میباشند. به عنوان مثال فرد ممکن است، باور داشته باشد که وی سزاوار دستمزد بیشتری است و یا نیاز به پول بیشتری برای عادات خارج از کنترلی چون قمار دارد.
* نفع شخصی : مهاجم ممکن است خواستار دسترسی و ویرایش اطلاعات مربوط به خود، اعضای خانواده و دوستان باشد.
* انتقام : بنابر دلایل قابل درک تنها توسط فرد مهاجم، وی ممکن است دوست، همکار، سازمان و یا مجموعهای از افراد را برای ارضا کردن احساسات و شهوات خود در جهت انتقام یا کینه توزی مورد هدف قرار دهد.
* فشارهای خارجی : مهاجم ممکن است از سمت دوستان، خانواده یا سندیکایی سازمان یافته، به دلایلی از قبیل بهره برداری مالی، منفعت شخصی و یا انتقام تحت فشار و تهدیدهای جانی و مالی بوده و چنین کاری را انجام دهد.
مهندسی اجتماعی معکوس
در تمام روشهایی که ذکر شده، مهاجم خود به سراغ هدف رفته و از وی کاری را درخواست میکند. اما در این روش، مهاجم شرایطی را فراهم میآورد تا فرد قربانی، از وی تقاضای کمک کند، به همین علت، این روش را مهندسی اجتماعی معکوس مینامند. مثال آن میتواند فردی باشد که در جادهای خلوت در حال رانندگی است، ناگهان ماشین وی دچار مشکل میشود، و چون به ماشینهای امدادی دسترسی ندارد، برای رفع مشکل از ماشینهای گذری تقاضای کمک میکند. مهندسی اجتماعی معکوس در سه مرحله انجام میشود:
* کارشکنی و خرابکاری : مهاجم پس از بدست آوردن دسترسیهای ساده، سیستم کامپیوتری را دچار مشکل میکند ویا خراب جلوه میدهد. در نتیجه، کاربر سیستم، متوجه مشکل میشود و به دنبال کمک میگردد.
* بازاریابی: در این مرحله مهاجم به نحوی خود را به کاربر معرفی میکند، یا از قبل معرفی کردهاست. به عنوان مثال کارت ویزیت خود را در محل کار کاربر قرار داده ویا شماره تماس خود را با یک پیام اشتباه، بر روی پیغام گیر گذاشتهاست. بنابراین، مهاجم این اطمینان را خواهد داشت که کاربر با وجود خرابی و دیدن ردپای ناجی با وی تماس خواهد گرفت.
* پشتیبانی و حمایت: در این مرحله مهاجم به حل مشکل کاربر خواهد پرداخت، با اطمینان از اینکه کاربر هیچ ظن وگمانی به وی ندارد و خود خواستار کمک از او شدهاست. مهاجم در این زمان به دو طریق اطلاعات را جمع آوری میکند، یا در همان زمان به جمع آوری اطلاعاتی که مورد نظرش میپردازد، که در این صورت ممکن است ردپای خرابکاری خود را بر جای بگذارد و دیگر فرصت دسترسی به سیستم برای وی فراهم نشود یا اینکه به ایجاد رابطهای همرا با اعتماد میپردازد، تا امکان دسترسی مجدد به سیستمهای سازمان، برای حملههای آینده را به وجود آورد.
با توجه به تکنیکهایی که ذکر شد، موفقیت آمیز بودن حمله مهندسی اجتماعی، مستلزم داشتن پیش زمینه خوب تحقیقاتی، بر روی سازمان مورد هدف و بدست آوردن تصویری از ساختار اولیه و حتی نام دپارتمانها وکارکنان سازمان میباشد.
محرکهای روانشناسی
از آنجایی که مهندسی اجتماعی، مبحثی اجتماعی و روانشناسی میباشد، بنابراین دانستن برخی از مباحث روانشناسی پشت سر آن، برای تدوین طرحی در مقابله با حملات مهندسی اجتماعی مفید میباشد. دکتر Robert Cialdinis که یکی از محققین در زمینه مسائل روانشناسی است، حدود ۳۰ سال در زمینه روشهای متقاعد سازی به تحقیق و بررسی پرداخته و بخاطر مطالعات تخصصی اش در این زمینه، شهرت جهانی یافتهاست. وی دریافت که اصول پایهای روانشناسی متقاعد سازی با محرکهای موجود در درون همه انسانها در ارتباط است. محرکها، اصول روانشناسی میباشند که منجر به اثر گذاری و فریفتن دیگران میشود. تحریک و تحت تاثیر قرار دادن زیاد این محرکها سبب میشود تا انسانها قدرت منطق و تصمیم گیری خود را از دست بدهند. مهندسی اجتماعی از این موضوع برای رسیدن به خواستههای خود استفاده میکند. بدین ترتیب محرکهای روانشناسی که در مهندسی اجتماعی استفاده میشوند، باید مورد بررسی قرار گیرند. دانستن این محرکها، در تعیین سطوح دفاعی بطور چند لایه، علیه حملات مهندسی اجتماعی، کمک میکند.
در راهنمای مطالعه CISSP، مهندسی اجتماعی به این صورت تعریف شدهاست: «مهارتی است که به وسیله شخصی مجهول، برای بدست آوردن اعتماد افراد درون سازمان و تشویق آنها برای ایجاد تغییرات دلخواه در سیستمهای IT و در جهت دستیابی به حق دسترسی استفاده میشود.» در نسخه انگلسیی زبان ویکیپدیا، مهندسی اجتماعی به این صورت تعریف شدهاست: :«مهندسی اجتماعی، تکنیک بدست آوردن اطلاعات محرمانه به وسیله تحریک کاربران مجازاست.»
کوین میتنیک(Kevin Mitnick) یکی از معروفترین هکرهایی است که دلیل موفقیتش، استفاده از تکنیکهای مهندسی اجتماعی بوده. وی کتابی را پس از آزادی از زندان درباره مهندسی اجتماعی تحت عنوان«هنر فریفتن» تالیف کرده که تعریف زیر از کتاب وی آورده شدهاست:
«مهندس اجتماعی انسانها را با روشهای مختلف فریب داده و با متقاعد کردنشان از آنها برای دستیابی به اطلاعات، سوء استفاده میکند»
«مهندسی اجتماعی سوء استفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است، که به کمک مجموعهای از تکنیکها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد میکند.»
همان طور که در شکل نشان داده شدهاست، مهاجم به جای استفاده از روشهای معمول و مستقیم نفوذ جمع آوری اطلاعات و عبور از دیواره آتش برای دسترسی به سیستمهای سازمان و پایگاه دادههای آن، از مسیر انسانهایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیکهای فریفتن آنها، به جمع آوری اطلاعات در راستای دستیابی به خواستههای خود اقدام میکند.
منشا حملههای مهندسی اجتماعی
حملههای مهندسی اجتماعی از سه ناحیه سرچشمه میگیرند :
1. داخلی : اکثر تهدیدهای داخلی از سمت کارکنانی صورت میگیرد که میتوانند به شخصه یا با استفاده از کارکنانی که به سیستمهای IT سازمان دسترسی دارند، به جمع آوری اطلاعات حساس و مهم بپردازند. این افراد کارکنانی هستند که در سازمان از سطح محدودی از اعتماد برخوردارند و این موضوع امکان حمله را برای آنها ساده کردهاست. این دسته شامل، کارکنان ناراضی، موقتی و کارگران، از قبیل مسئولین نظافت و پرسنل تعمیرات میباشند.
2. اشخاص مورد اعتماد : اینگونه تهدیدها از سمت اشخاصی است که با سازمان در یکسری از بنیانهای قانونی و رسمی مرتبط میباشند. این افراد شامل پیمانکارها، مشاورین و شرکای سازمان هستند. اغلب، این اشخاص دارای سطح بالایی از اعتماد سازمان میباشند و بنابراین به دادههای حساس و مهم سیستمهای سازمان دسترسی دارند. با این حال، این قبیل مخاطرات پنهانی به ندرت در برنامههای امنیتی سازمانها در نظر گرفته میشوند.
3. خارجی : این تهدیدها، از سمت انسانهایی است که هیچگونه ارتباطی با سازمان ندارند. این مجموعه شامل هکرها، رقبایی که در پی آشکارکردن اطلاعات محرمانه سازمان هستند و یا بزه کاران و دزدان میباشد. هیچ سطح اعتمادی بین این افراد و سازمان وجود ندارد، بنابراین آنها به دنبال ایجاد اعتماد کوتاه مدت با استفاده از تکنیکهای مختلف مهندسی اجتماعی هستند مانند بازی کردن نقش فردی مختار درون سازمان مثل مدیر IT، تکنسین تعمیرات، کارمند درمانده و غیره.
چرخه حملات مهندسی اجتماعی
سارا گارتنر در مقالهای راجع به روشهای دفاع در مقابل حملات مهندسی اجتماعی، اذعان کرد هر جرمی دارای الگوی متداولی میباشد. برای مهندسی اجتماعی نیز الگویی وجود دارد، که قابل تشخیص و قابل جلوگیری میباشد. این الگو را به صورت چرخهای در شکل نشان داده شدهاست. این چرخه شامل چهار مرحله، جمع آوری اطلاعات، برقراری ارتباطات بهره کشی و عمل و اجرا است، که مانند تکههای پازل به هم مرتبط و وابستهاند.
*
1. جمع آوری اطلاعات : مجموعهای از تکنیکهای مختلف، که توسط مهاجم برای جمع آوری اطلاعات درباره هدف، مورد استفاده قرار میگیرد. مهاجم با استفاده از این تکنیکها به جمع آوری اطلاعات ساده اما مفیدی مانند لیست شماره تلفنها، تاریخ تولد، نمودار سازمانی و... میپردازد، تا با استفاده از آنها به اطلاعات کلیدی و مورد هدف دست یابد.
2. برقراری ارتباطات : مهاجم در این مرحله از رضایت و میل شخص قربانی برای ایجاد اعتماد، در جهت برقرای ارتباط، سوء استفاده میکند. پس از برقراری ارتباط مهاجم خود را در موقعیت اعتماد قرار میدهد، تا بتواند از این موقعیت بهره برداری کند.
3. بهره کشی : قربانی در این مرحله تحت تاثیر اعتماد فرد مهاجم در جهت آشکار کردن اطلاعاتی چون پسورد یا انجام کارهایی که در حالت طبیعی انجام نمیداده، مانند ساختن شناسه کاربری برای فرد مهاجم و...، قرار میگیرد.
4. عمل و اجرا : زمانی که هدف، عمل خواسته شده از سمت مهاجم را انجام داد، چرخه پایان یافته و مهاجم به خواسته خود رسیدهاست.
هر مرحله چرخه مهندسی اجتماعی بسته به شرایط و تکنیکهای مختلف مورد استفاده، منحصر به فرد میباشد. همچنین، هر مرحله به تکمیل و موفقیت مرحله قبل وابستهاست. اغلب، برای انجام حملهای موفق، این سیکل بارها تکرار میشود. زیرا برقراری ارتباط و جلب اعتماد کار سادهای نیست. و مهاجم در این راه نیاز به جمع آوری اطلاعات کافی درباره سازمان، سیستمهای موجود و کارکنانش دارد.
انگیزهها
* بهره برداری مالی : به دلایل گوناگون، افراد تحت تاثیر دستیابی به پول و ثروت میباشند. به عنوان مثال فرد ممکن است، باور داشته باشد که وی سزاوار دستمزد بیشتری است و یا نیاز به پول بیشتری برای عادات خارج از کنترلی چون قمار دارد.
* نفع شخصی : مهاجم ممکن است خواستار دسترسی و ویرایش اطلاعات مربوط به خود، اعضای خانواده و دوستان باشد.
* انتقام : بنابر دلایل قابل درک تنها توسط فرد مهاجم، وی ممکن است دوست، همکار، سازمان و یا مجموعهای از افراد را برای ارضا کردن احساسات و شهوات خود در جهت انتقام یا کینه توزی مورد هدف قرار دهد.
* فشارهای خارجی : مهاجم ممکن است از سمت دوستان، خانواده یا سندیکایی سازمان یافته، به دلایلی از قبیل بهره برداری مالی، منفعت شخصی و یا انتقام تحت فشار و تهدیدهای جانی و مالی بوده و چنین کاری را انجام دهد.
مهندسی اجتماعی معکوس
در تمام روشهایی که ذکر شده، مهاجم خود به سراغ هدف رفته و از وی کاری را درخواست میکند. اما در این روش، مهاجم شرایطی را فراهم میآورد تا فرد قربانی، از وی تقاضای کمک کند، به همین علت، این روش را مهندسی اجتماعی معکوس مینامند. مثال آن میتواند فردی باشد که در جادهای خلوت در حال رانندگی است، ناگهان ماشین وی دچار مشکل میشود، و چون به ماشینهای امدادی دسترسی ندارد، برای رفع مشکل از ماشینهای گذری تقاضای کمک میکند. مهندسی اجتماعی معکوس در سه مرحله انجام میشود:
* کارشکنی و خرابکاری : مهاجم پس از بدست آوردن دسترسیهای ساده، سیستم کامپیوتری را دچار مشکل میکند ویا خراب جلوه میدهد. در نتیجه، کاربر سیستم، متوجه مشکل میشود و به دنبال کمک میگردد.
* بازاریابی: در این مرحله مهاجم به نحوی خود را به کاربر معرفی میکند، یا از قبل معرفی کردهاست. به عنوان مثال کارت ویزیت خود را در محل کار کاربر قرار داده ویا شماره تماس خود را با یک پیام اشتباه، بر روی پیغام گیر گذاشتهاست. بنابراین، مهاجم این اطمینان را خواهد داشت که کاربر با وجود خرابی و دیدن ردپای ناجی با وی تماس خواهد گرفت.
* پشتیبانی و حمایت: در این مرحله مهاجم به حل مشکل کاربر خواهد پرداخت، با اطمینان از اینکه کاربر هیچ ظن وگمانی به وی ندارد و خود خواستار کمک از او شدهاست. مهاجم در این زمان به دو طریق اطلاعات را جمع آوری میکند، یا در همان زمان به جمع آوری اطلاعاتی که مورد نظرش میپردازد، که در این صورت ممکن است ردپای خرابکاری خود را بر جای بگذارد و دیگر فرصت دسترسی به سیستم برای وی فراهم نشود یا اینکه به ایجاد رابطهای همرا با اعتماد میپردازد، تا امکان دسترسی مجدد به سیستمهای سازمان، برای حملههای آینده را به وجود آورد.
با توجه به تکنیکهایی که ذکر شد، موفقیت آمیز بودن حمله مهندسی اجتماعی، مستلزم داشتن پیش زمینه خوب تحقیقاتی، بر روی سازمان مورد هدف و بدست آوردن تصویری از ساختار اولیه و حتی نام دپارتمانها وکارکنان سازمان میباشد.
محرکهای روانشناسی
از آنجایی که مهندسی اجتماعی، مبحثی اجتماعی و روانشناسی میباشد، بنابراین دانستن برخی از مباحث روانشناسی پشت سر آن، برای تدوین طرحی در مقابله با حملات مهندسی اجتماعی مفید میباشد. دکتر Robert Cialdinis که یکی از محققین در زمینه مسائل روانشناسی است، حدود ۳۰ سال در زمینه روشهای متقاعد سازی به تحقیق و بررسی پرداخته و بخاطر مطالعات تخصصی اش در این زمینه، شهرت جهانی یافتهاست. وی دریافت که اصول پایهای روانشناسی متقاعد سازی با محرکهای موجود در درون همه انسانها در ارتباط است. محرکها، اصول روانشناسی میباشند که منجر به اثر گذاری و فریفتن دیگران میشود. تحریک و تحت تاثیر قرار دادن زیاد این محرکها سبب میشود تا انسانها قدرت منطق و تصمیم گیری خود را از دست بدهند. مهندسی اجتماعی از این موضوع برای رسیدن به خواستههای خود استفاده میکند. بدین ترتیب محرکهای روانشناسی که در مهندسی اجتماعی استفاده میشوند، باید مورد بررسی قرار گیرند. دانستن این محرکها، در تعیین سطوح دفاعی بطور چند لایه، علیه حملات مهندسی اجتماعی، کمک میکند.