ورود به دنيای هک - SOCIAL ENGINEERING (مهندسی اجتماعی)

آخرين به روز رسانی: 12 تير 1382

بازگشت به صفحه اصلی هک

نگارنده : سراج

  برای روشن تر شدن مطلب، بحث را با دو مثال آغاز میکنم:

سناريوی اول:

- (در یک تماس تلفنی، خطاب به تلفنچی یا منشی یک شرکت): سلام، ممکنه با آقای X از بخش تحقیقات و توسعه صحبت کنم؟

- متاسفم، ایشان تا آخر هفته در مرخصی هستند.

- اوه، بسیار خوب. چه کسی در این مدت جانشین ایشان هستند؟

- آقای Y. (به این ترتیب شخص نام آقای Y را یادگرفته و در مرحله بعد آنرا مورد استفاده قرار میدهد)

... یکی دو روز بعد در تماس تلفنی با یکی از کارمندان بخش تحقیقات و توسعه:

- جناب Z، راستش قبل از اینکه آقای X به مسافرت برود، از من خواستند که طرح جدید را مورد بررسی قرار دهم. من با آقای Y صحبت کردم و ایشان گفتند کافی است شما آنرا با فکس یا E-mail برای من بفرستید. ممکن است لطفا هرچه سریعتر این کار را انجام دهید؟ شماره من ...است. متشکرم.

سناريوی دوم:

- سلام. من از بخش فروش شرکت X تماس میگیرم (ممکن است واقعا شرکتی با این نام وجود داشته باشد یا اصلا وجود خارجی نداشته باشد.). ما یک سری فروش فوق العاده در زمینه Routerها، Firewallها و Serverها داریم. ممکن است به من بگوئید آیا از سخت افزارهای مورد استفاده خود رضایت دارید یا خیر؟...

«مهندسی اجتماعی» را می توان Hack کردن انسانها نامید. شخص هکر با اعمال انواع فریب ها و حقه ها شخص مورد نظر را وادار می کند تا بطور ناآگاهانه اطلاعاتی را (در ارتباط با خودش، درباره یک سازمان و ...) در اختیار او قرار دهد یا بدون اینکه خود متوجه باشد در رسیدن به هدف مورد نظر نفوذگر، با وی همکاری نماید. و ریشه این موضوع در خاصیت فطری انسان که اعتماد (هرچند بیجا) به اشخاص به ظاهر مورد اعتماد است دارد.

در مثال اول، نفوذگر با ممکن است به یک طرح یا برنامه مهم از شرکت مورد نظر دست یابد و در مثال دوم هرگونه اطلاعات به دست آمده از مکالمه درباره سرویس دهنده ها، مسیریاب ها و دیواره های آتش می تواند جهت حمله به وب سایت شرکت مورد نظر بکار گرفته شود.

به تعریف مهندسی اجتماعی در کنسرسیوم جهانی وب (W3W) و RFC 2828 دقت کنید:

«استفاده از روشهای غیرفنی و یا با ارزش فنی کم، مانند دروغ گفتن، جعل هویت، نیرنگ زدن، تطمیع کردن، استفاده از E-mailهای فریب دهنده و آلوده و حتی تهدید کردن، جهت حمله به سیستم های اطلاعاتی.» هرگونه اقدامی از سوی شخص نفوذگر که مستقیم یا غیرمستقیم منجر به آسیب رسانی به یک سیستم اطلاعاتی شود نیز در محدوده مهندسی اجتماعی قرارگرفته، جرم محسوب میشود و در کشورهایی که برای جرایم سایبر یا جرایم اینترنتی (Cyber Crime) قانون وضع شده است، طبق قانون مجازات در نظر گرفته میشود. شدیدترین جرم اینترنتی تحت عنوان Cyber terrorism یا سایبر تروریسم است که جریمه ای معادل 392000$ دارد.!

مهندسی اجتماعی به اشکال مختلف احتمالا از بدو پیدایش بشر بر کره خاکی وجود داشته است. ابتدایی ترین و بدیهی ترین دلیل آن شاید این باشد که انسان بطور ذاتی و طبیعی به همنوع خود اطمینان میکرده و همیشه دوست داشته که برای دیگران فردی سودمند باشد. ویروس Love Bug را به خاطر دارید؟؛ دلیل موفقیت آن نگاه روانشناسانه طراح یا طراحانش به یک نیاز فطری همه انسانها بوده است:«دوست دشته شدن و مورد محبت قرار گرفتن». تنها هنگامی که قربانیان, E-mailهای آلوده به این ویروس را گشودند، متوجه شدند که احتمالا دیگر هیچوقت دوست ندارند تا آخر عمر چنین دوست داشته شوند و مورد محبت قرار گیرند!. اجازه دهید برای آشنایی بیشتر با مهندسی اجتماعی، برخی وضعیتها و حالات مرسوم وقوع آنرا بررسی کنیم و به خاطر داشته باشیم که مهندسی اجتماعی، به حالتهای بیشمار دیگری می تواند وجود داشته باشد.:

تماس گرفتن با یک کاربر، خود را بجای Administrator جا زدن و درخواست کردن اطلاعاتی راجع به Account مورد استفاده اش (معمولا کد کاربری و رمز عبور).

شخصی چنین وانمود می کند که کلید اتاق Server را گم کرده و از فردی که صاحب اختیار است می خواهد که وی را وارد اتاق نماید.

ورود به یک اتاق گفتگوی (Online (chat room با استفاده از یک ID یا نام رسمی معنی دار و درخواست ارائه Password به یک یا چند کاربر، ظاهرا برای تائید هویت آنان و حتی تهدید آنها به خارج کردنشان از اتاق گفتگو در صورت سرپیچی از انجام این کار.

ارسال E-mail به یک شخص و تبلیغ در مورد یک مسابقه با جوایز با ارزش و ارائه یک آدرس وب جهت ثبت نام در مسابقه. چنین وب سایتی طبیعتا بسیار منطقی و موجه جلوه مینماید که در آن کد کاربری و نام عبور شخص برای ورود پرسیده شود!.

جالب است بدانید این تاکتیک یک روش مورد علاقه نفوذگران بوده که در یکی دو سال گذشته برای فریب دادن کابران سایت AOL بکار رفته است. صفحه وب جعلی ارائه شده به کاربران در این حالت درست مانند صفحه وب اصلی AOL بوده است. مورد مشابهی نیز اخیرا برای فریب کاربران سایت مشهور !Yahoo دیده شده است.

اسبهای تراوا از جمله ابزارهای مورد استفاده نفوذگران می باشند که برای فعال شدن نیاز به اجرای بخشی از برنامه بر روی سیستم هدف قرارگرفته شده دارند. اگرچه استفاده از اسبهای تراوا جهت حمله به سیستمهای کامپیوتری در زمره روشهای فنی قرار میگیرد اما آن بخش از این حمله که مربوط به فریب کاربر به منظور اجرای فایل اجرایی مورد نظر روی سیستم خود می باشد و به عبارت دیگر مجموعه ترفندهایی که نفوذگر جهت ترغیب قربانی به اجرای فایل آلوده بهکار می برد از مصادیق بارز مهندسی اجتماعی می باشد.

حال که صحبت از AOL و اسبهای تراوا شد خالی از لطف نیست که بدانید AOL یکبار با همین ترفند یعنی تلفیق مهندسی اجتماعی و استفاده از یک Trojan مورد حمله قرار گرفت و هک شد.

ماجرا از این قرار است که شخص هکر طی یک تماس تلفنی با یکی از کارمندان بخش پشتیبانی فنی AOL و ظاهرا جهت درخواست کمک فنی به مدت یک ساعت صحبت می کند. در حین مکالمه هکر به طریقی اظهار میکند که ماشینی را به قیمت پایینی به فروش گذاشته است! کارمند بخش پشتیبانی به این موضوع علاقمند می شود و متعاقب آن شخص نفوذگر یک E-mail حاوی عکس ماشین یادشده برای کارمند ارسال می کند. فایل ذکر شده پس از گشوده شدن به اصطلاح یک Backdoor بر روی یکی از کامپیوترهای AOL ایجاد میکند که باعث ایجاد یک کانال ارتباطی از درون Firewall شرکت AOL به خارج میگردد. با استفاده از این تلفیق، یعنی یک حمله فنی همراه با مهندسی اجتماعی، نفوذگر به شبکه داخلی شرکت راه پیدا کرد. با وجود خطرات و تهدیدات متعدد و بی شماری که منهدسی اجتماعی برای اهالی کامپیوتر و شبکه ایجاد میکند، ممکن است این سئوال به ذهن بیاید که چرا کمتر در مورد آن میگوییم یا می شنویم؟؛ شاید جواب این باشد که مردم مهندسی اجتماعی را حمله به هوش و عقلانیت خود تلقی میکنند. شاید کمتر کسی دوست داشته باشد که دیگران او را به دلیل گشودن یک E-mail آلوده، احمق فرض کنند و همینطور کمتر کسی حاضر شود اعتراف کند که تنها از طریق یک تماس تلفنی فریب خورده و اطلاعات مهمی از سازمان خود را در اختیار دیگری قرار داده است؛ زیرا چنین تصور میکند که به دلیل مورد مهندسی اجتماعی قرار گرفتنش احمق است و خود را سرزنش می نماید اما فریب خوردن با این تاکتیک ساده لوح و یا احمق بودن شخص فریب خورده را نمی رساند زیرا هرکس ممکن است مورد این حمله روانشناسانه قرار گیرد. اجازه دهید اتفاقی که زمانی برای «نِد راسل»، نویسنده امریکایی پیش آمده را برایتان بازگو کنم:

«یک E-mail (به صورت Forward شده) از یک شخص آشنا دریافت کردم که در آن گفته شده بود ممکن است ویروس خطرناکی بنام JAVA روی کامپیوترم باشد که در فلان تاریخ و ساعت فعال خواهد شد. ممکن است شما هم آنرا به خاطر بیاورید. این فایل در حقیقت روی همه سیستم ها وجود داشت؛ چرا که یکی از فایلهای Windows 98 بود! به این ترتیب گیرندکان نامه تشویق به پاک کردن آن فایل ا ز روی کامپیوتر خود شده بودند (به چنین نامه های الکترونیکی که بصورت زنجیره ای در اینترنت پخش می شوند و حاوی اطلاعات جعلی برای فریب گیرنده نامه و یا آلوده به ویروسها و ابزارها برای آسیب رساندن به سیستم مقصد می باشند، اصطلاحا Hoax E-mail گفته میشود.)؛ من متاسفانه بدون توجه به Forward بودن نامه، بدون مطالعه دقیق آن و از آنجا که آنرا از یک شخص معتبر دریافت کرده بودم، آنرا برای تعدادی از دوستانم Forward کردم! بله من ناخواسته و از طریق یک Hoax مورد مهندسی اجتماعی قرار گرفته بودم. خوشبختانه در این مورد خاص، فایل مورد نظر اهمیت زیادی نداشت و حداقل اینکه به راحتی قابل جایگزینی مجدد بود؛ اما من هک شده بودم.!»

آنچه اهمیت دارد این است که باید بدانیم هرکه هستیم همواره در معرض خطر حمله از نوع مهندسی اجتماعی قرار داریم. پس بهتر است با این واقعیت روبه رو شویم، با روشهای انجام این حمله حتی الامکان بیشتر آشنا گردیم و راههای مقابله با آن را بیاموزیم.

نکات زیر را برای مقابله با حملات مبتنی بر مهندسی اجتماعی به خاطر بسپارید:

آموزش، آموزش و آموزش. بهترین روش برای آگاهی هرچه بیشتر کارمندان اداره شما و یا کاربران شبکه تحت سرپرستی شما و یا خود شما جهت مقابله با انواع حملات مهندسی اجتماعی می ـ باشد.

هیچ کس در هیچ شرکت یا سازمانی که خدمات اینترنت به شما ارائه میکند هرگز از شما کد کابری و یا Password تان را نخواهد پرسید؛ حتی اگر او Administrator شبکه شما هم باشد هیچ نیازی به دانستن رمز عبور شما ندارد؛ اگر زمانی رمز عبورتان را سئوال کردند به احتمال زیاد هدف یک حمله از نوع مهندسی اجتماعی قرار گرفته اید.

از سئوال کردن هراسی به خود راه ندهید. اگربه هنگام گفتگو با شخصی (حتی اگر ظاهرا یا واقعا رتبه کاری بالاتری از شما دارد) به نکته مبهم یا غیر منطقی برخوردید، برای رفع این ابهام پیش از پاسخگویی از او سئوال کنید. مخصوصا ما ایرانیها به علت تعارفی بودنمان عادت به این مسئله نداریم و اینطور تصور میکنیم که سئوال ما بی مورد خواهد بود و چون او را قابل اعتماد ندانسته ـ ایم ادبی به طرف مقابل باشد؛ در صورتی که این مسئله ارتباطی به مطمئن یا غیر مطمئن تلقی کردن شخص مقابل ندارد و صرفا پاسخگویی به عقلانیت و منطق خود است که میتوان آنرا «احتیاط» تعبیر کرد.

به عنوان یک مدیر یا مقام مسئول توجه داشته باشید که:

- کارمندان و افراد تازه کار بیش از سایرین در معرض مهندسی اجتماعی قرار دارند. افرادی را مأمور آموزش به آنان نمائید. هنگامی که مثلا به آنها میگوئید که چگونه از تلفن های خود و سایر بخشها استفاده کنند، سیاستهای شرکت خود را در رابطه با مهندسی اجتماعی را هم برایشان توضیح دهید.

- سرایداران، منشی ها و نگهبانان از دیگر گروه هایی هستند که ممکن است راحت تر مورد این نوع حمله قرار گیرند؛ چرا که از پیچیدگیهای عمل نفوذگری کمتر اطلاع دارند.

برای چندمین بار! E-mail های ناشناس را هرگز باز نکنید!!

سوالات خود را در زمينه هک ، امنيت و حفظ اصلاعات شخصی روی اينترنت با ما در ميان بگذاريد تا حتی الامکان در همين سايت جواب آنها را دريافت نماييد. به ايميلهايی که به جای سوال، درخواست انجام هک داشته باشند، حتی پاسخ هم داده نخواهد شد.
 

تمامی حقوق مربوط به اين نوشته برای سايت همسفر محفوظ است.

لازم به يادآوری است که چاپ و يا استفاده از تمام يا بخشی از اين مطالب بدون اجازه کتبی ما حتی با ذکر منبع ممنوع است.

 لينک دادن به اين صفحه (حتی از داخل frame) بدون اشکال است.