مهندسی اجتماعی چیست ؟

social engineering یا مهندسی اجتماعی روش کسب اعتماد و سواستفاده از نقاط ضعف اشخاص و دریافت اطلاعات حساس و خصوصی از آن ها می باشد.

در سناریوهای مهندسی اجتماعی اولین قدم کسب اعتماد قربانی می باشد.

برای آشنایی به این سناریو ها کتاب the art of deception و نسخه اصلی کتاب CIA dirty tricks

آسیب پذیری های عمومی اشخاص

کم سوادی

معرفی راه های کسب درامد با رقم های بسیار بالا پروژه های crypto currency – سناریوهای بردن اشخاص ناآگاه به پشت ATM برای دریافت جایزه های تلفنی – برنده شدن در قرعه کشی که ثبت نام شده اید !

ترس

تماس با شماره های Unknown یا فرستادن عکس شخصی برای اخاذی

احساسات

نزدیک شدن به اشخاص با شغل های حساس از طریق روابط احساسی – تماس از طرف خانواده و آشنایان برای دریافت کمک مالی در شرایط حساس برادر پسر خواهر شما تصادف کرده پول بریزید به این شماره

غریزه جنسی

ارسال هرزنامه ها یا برنامه های جنسی برای به دام انداختن قربانیان دریافت اطلاعات شخصی و حیاتی از سیستم های اداری یا شخصی

پول

پیشنهاد های مالی برای فروختن یک محصول به شرکت یا قبول کردن یک شرکت خاص در مناقصه ها در ازای دریافت پورسانت های زیاد وارد شدن سخت افزار جاسوسی به جاهای حساس

توجه یا تخریب شخصیت

در بسیار از موارد افرادی برای تحت فشار دادن ادم ها برای حل شدن کارشان از گفت و گو های توجه یا تخریب استفاده می کنند با تماس داخلی در یک شرکت یک کارمند تحت فشار قرار می دهند . لطفا پسورد بدید وگرنه رییس من را ماخذه می کند . یا من واحد ای تی هستم پسورد بدید شخص امتناع می کند هکر به او می گوید اگر مشتریان به مشکل خوردند من به رییس تان گزارش میکنم با ما همکاری نکردید.

دوستی

دوستی های با هدف های خاص بردن مسافرت خرید کادو برای افراد و درخواست لطف ها ظاهرا ناچیز از شخص بردن بسته ای به فرودگاه و …

استخدام افراد ناآگاه

برای واحد حسابداری اشخاص استخدام می شوند تا حقوق برایشان واریز می شود برای کارمندان واریز کنند و در سناریو پول سنگین پس اعتماد سازی چند ماه به شخص واریز می شود و به واسطه اعتماد سازی از او می خواهند نقد پول را به شخص مورد نظر مدیر یا شخص خاص برساند . قربانی پول شویی کرده و هیچ ردی از این افراد کلاه بردار نیست.

 

در گام اول هکر ها اطلاعات را از قربانیان از طریق شبکه های اجتماعی یا دیتابیس که در اینترنت افشا شده اند در میارند و توسط این اطلاعات برای هر شخص سناریوهای خاص طراحی می کنند این سناریو می توانند  بسیار طبیعی باشند و همگی نقطه ضعف قربانی نشانه می روند.

جنسیت سن شغل فرهنگ محل زندگی و دین در طراحی سناریو کلاهبرداری یا مهندسی اجتماعی مد نظر قرار می دهند.

با توجه به پیشرفت هایی که در شبکه های اجتماعی شده اند و تولید شبکه های اجتماعی بسیار معروف افراد برای برقراری ارتباط به دوستان آشنایان یا همکاران از این شبکه ها استفاده می کنند گاهی اوقات افراد فراموش می کنند که رسالت شبکه های اجتماعی افشای اطلاعات شخصی خانوادگی محل زندگی ماشین موبایل یا حتی نمایش پاسپورت یا اطلاعات هویتی آن ها نیست و فرهنگ های غلط باعث می شود اطلاعات مورد نیاز برای سناریو مهندسی اجتماعی در اختیار هکر ها قرار بگیرد.

علایق شخصی – حریم خصوصی ( خانواده ) – اطلاعات شخصی مواردی می باشد که بسیار در شبکه های اجتماعی قرار می گیرد و هکر ها با بدست آوردن این اطلاعات اقدام به مهندسی اجتماعی می کنند.

هر چقدر هکر ها از قربانی اطلاعات بیشتر داشته باشند شخص قربانی ممکن است راحت تر اعتماد بکند یا گول بخورد.

peoplefinder

thatsthem

spokeo

pipl

در بالا لیست سایت هایی است که از آن برای اطلاعات افراد استفاده می کنند

چرا Truecaller یک تهدید حساب می شود تا سایت دریافت اطلاعات

این سایت با هدف به اشتراک گذاری نام صاحب شماره تلفن افراد تهیه شده است در نگاه اول از این سایت برای پیدا کردن اشخصای که به شما زنگ زدند یا مزاحم شما می شوند استفاده می کنید.

نگاه دوم : این سایت محدودیت سرچ دارد برای سرچ بیشتر باید بر روی گوشی نصب شود و یکی از اجازه های که می گیرد درخواست دسترسی به contact list می کند و تمام contact شما را در دیتابیس خود اضافه می کند. مشکل کار کجاست اگر فردی بنا بر شغل که دارد نام دوم دارد خانواده ان را با اسم حقیقی و همکاری ان را با اسم مستعار ذخیره می کند و به این شکل خیلی از افراد اینجا افشا می شوند. نه تنها از نرم افزار بلکه کلیه شبکه های اجتماعی دسترسی به contact های شما دارند و این اطلاعات در دسترس نهادهای امنیتی نظارتی قرار دارد.