مهندسین اجتماعی اصولا افرادی هستند که درب های یک سازمان را باید کسی برایشان باز کند تا مجبور نباشند به زور متوسل شوند ، آنها کار خود را آهسته و با سرعت نسبتا کندی انجام میدهند تا شخصی از نفوذ و شهود آنها مطلع نشود و به نقلی تکه تکه جمع کردن اطلاعات ، فرد یا سازمان مورد نظر را مورد هدف قرار خواهند داد هر شخص و سازمانی میتواند قربانی مهندسی اجتماعی یا هنر فریب قرار بگید
اگر بخوایم تعریفی از مهندسی اجتماعی داشته باشیم شاید بشه گفت:
مهندسی اجتماعی یک هنره؛ هنر هک مغز انسان!
مهندسی اجتماعی برای شرکتها بسیار خطرناک است ، حتی برای شرکت هایی که از قدرت بالای امنیتی بهره میبرند
روش های مهندسی اجتماعی
برقراری ارتباط با هدف یا قربانی شامل دو روش است که در ادامه به جزئیات خواهیم پرداخت.
- روش اول : مبتنی بر انسان
- روش دوم : مبتنی بر کامپیوتر
روش اول مبتنی بر انسان
- در روش اول مبتنی بر انسان : از طریق تماس تلفنی ، چت کردن ، دریافت حالات و روحیات ارتباط با فرد مورد نظر بر قرار می شود
- در این حالت بهترین روش برای نزدیک شدن به هدف اعتماد سازی است
- اكثر ما انسانها به انسانهاي ديگر اعتماد می کنیم ، مگر آنكه در شرايطي قرار بگیریم كه مجبور به تغيير نظر خود بشویم.
- همه مهربان و با ادب بودن را دوست دارند ، هرچه يك مهندس اجتماعي مهربانتر باشد ، شانس بيشتري براي بدست آوردن آنچه كه جستجو ميكند خواهد داشت. اول باید به علاقه های مخاطب پرداخت تا شانس بیشتری برای برقراری ارتباط داشته باشید
- این علاقه ها شامل خواننده ، فیلم ، کتاب ، مکان ها و شهر های تفریحی و… باشد
- پس از مرحله شناسایی کلیت قربانی باید روی باور پذیری خود در ذهن هدف کار کنید
- و بهترین مسیر معرفی خود در جایگاهی که تا بحال قربانی ندیده است مثلا کارمند فلان شرکت تجاری !
فریب از طریق رفتار ها و جملات
یک مهندس اجتماعی حیله گر و ماهر به کسی گفته میشود که از شیوه های مختلف و بصورت ماهرانه به جمع اوری اطلاعات بپردازد
– مطرح نمودن پرسشهاي عجيب
– املاء غلط عبارات در ارتباطات نوشتاري
– تأكيد بيش از حد بر جزئيات
– رفتار بيش از حد دوستانه يا مشتاق
اینها همه از نکاتی است که شخص فریب دهنده باید در برقراری ارتباط با هدف انجام بدهد!
روش دوم مبتنی بر کامپیوتر
در حملات Phishing هکر برای قربانی از طریق ایمیل و هدایت کاربر به سایت های جعلی دست به جمع اوری اطلاعات میکند مثلا با طراحی صفحه جعلی از یک درگاه پرداخت دسترسی به رمز و شماره کارت اعتباری قربانی خواهد داشت.
شبکه های اجتماعی
ساخت اکانت در شبکه های اجتماعی مختلف از جمله :Instagram , Facebook , Linkedin و صفحات قابل اعتماد با تعدادی عکس و معرفی کارکتر خودتون! اغلب از شماره فکس ، ایمیل و شماره تماسی استفاده می کنند که فرد قربانی تصور کند که قابل شناسایی است!
همان طور که در مطالب قبل در مورد نیازمندی های یک هکر صحبت کردیم ، مهم ترین شاخصه ایی که باید هکر مسلط باشد مهندسی اجتماعی و روحیه حیله گرانه وی است . چرا كه حتی سیستم های یك سازمان وقتی از امنیت كامل بر خورد دار است می توان با استفاده از مهندسی اجتماعی و سهل انگاری كاركنان به آن سازمان نفوذ كرد.
صفحات جعلی و استفاده از خطای تایپی
با استفاده از تکنیک ها و شناخت کافی از قربانی صفحات جعلی با ادرس های مشابه طراحی و در دسترس قربانی قرار خواهد گرفت و از این طریق بخشی دیگر از اطلاعات هدف در دسترس شماست.
نکته قابل توجه اینجاست که بعد از بدست آوری رمز و شماره اعتبادی افراد شما به اکثر شبکه های اجتماعی و حساب های بانکی فرد دسترسی خواهید داشت.
مقابله با حملات مهندسی اجتماعی
- به کارمندان خود اموزش های مربوطه را بدهید
- چند وقت یکبار پسوردها را تغییر دهید
- از شماره ملی و شماره موبایل و یا تاریخ تولد برای پسورد استفاده نکنید!
- اطلاعات شرکت یا سازمان بصورت طبقه بندی شده باشد و در دسترس همه کارمندان نباشد!
- و در مقاله و خبرنامه های امنیتی حتما عضو شوید!