مهندسی اجتماعی یا Social Engineering چیست ؟
مهندسی اجتماعی هنر متقاعد کردن افراد برای افشای اطلاعات محرمانه است. یا متقاعد کردن آن ها برای انجام یک سری کارها. یک مثال بسیار ساده کودک برای رسیدن به اسباب بازی یا خوراکی مورد علاقه اش از همان بچگی با متقاعد کردن اطرافیان خود به خواسته های خودش می رسد پس مهندسی اجتماعی به صورت ذاتی در انسان وجود دارد و آن قدرت زبان و بکارگیری آن می باشد.
هکرها از چه طریق احساسات را دستکاری می کنند
۱-Human Nature of Trust:
انسان ها ذاتا می خواهند اعتماد کنند و در صورتی که هکر بتواند اعتماد قربانی را بدست بیاورد می تواند هر اطلاعات از او بگیرد.
۲-Ignorance about social engineering:انکار مهندسی اجتماعی یا اینکه این نوع فکر چون من امنیت بلدم هیچ کس نمی تواند روی من مهندسی اجتماعی انجام دهد یا اطلاعات من ارزشی ندارد چرا باید کسی روی من مهندسی اجتماعی انجام دهند.
۳-Fear of serve losses: ترس از دست دادن مثل مورد فشار قرار دادن یک کارمند که اگر هکر را کمک نکند به رییسش گزارش می دهید یا به دردسر می افتد.
۴-Greediness:حرص یکی از ویژگی های انسان هست که باعث می شود به راحتی قربانی مهندسی اجتماعی شود قربانی یک money muling استخدام یک فرد برای مدیریت مالی دریافت پول به حساب شخصی کارمند و تحویل پول به صورت نقد یک جور پول شویی برای شرکت های کلاه بردار.
۵-comply out of a sense of moral obligation: سواستفاده از افرادی که تعهد اخلاقی دارند مثلا فردی ناتوان ببینید و در صورت کمک خواستن آن را از گیت رد کنید. یا شخصی شیاد از شما کمک مالی بخواهد در صورت که اصلا ناتوان نیست برای دریافت پول خیلی متداول.یا هکر خودش را شخصی عاجز نشان دهد برای کمک کردن برای دریافت اطلاعات از شما یا کمک برای ارسال گزارش به رییس.
نکته ۱:هکرها هیچگاه به عنوان هکر به شما نزدیک نمی شوند آن ها به عنوان دوست پسر یا دوست دختر یه شما نزدیک می شوند و با توجه به موقعیت اجتماعی و موقعیت کاری که دارید و همچنین ارتباطاتی که دارید با برقراری یک رابطه عاطفی و برقراری اعتماد سعی به دریافت اطلاعات را دارند.
نکته ۲:به هیچ وجه موبایل یا لپ تاب یا سیستم خود را به هیچ تعمیرکاری ندهید در صورتی که قرار دهید آن ها با دسترسی فیزیکی می توانند بدافزار نصب کنند. یا حتی با نصب یک certificate روی سیستم شما قادر به شنود اطلاعات شما توسط SSL strip2 هستند.
در دنیای امنیت سایبری بالای ۹۰ درصد حملات به زیرساخت های حساس توسط مهندسی اجتماعی بوده است نمونه های مثل colonial pipeline و JBS و .. که در چند وقت اخیر رخ داده اند.اما حملات مهندسی اجتماعی را می توان به سه نوع کلی تقسیم بندی کرد ۱-حملاتی که احساسات انسان را مورد هدف قرار می دهند.۲-تکنیک هایی که توسط ابزارهای کامپیوتری پیاده سازی می شوند.۳-تکنیک هایی که سمت موبایل انجام می شوند.
تکنیک هایی که برای دستکاری عواطف و احساسات مورد استفاده قرار می گیرند.
۱-Impersonation: جعل هویت یا استفاده از شخصیت کسی برای بدست آوردن اطلاعات یا متقاعد کردن یکی از معمول ترین شیوه های تو دنیای IT جا زدن به عنوان Administrator بودن Repair man تعمیر کار جا زدن برای وارد شدن به مکان خاص یا پرسنل سازمانی برای رد شدن از حفاظت فیزیکی
۲-Vishing: استفاده از سرورهای Voice over ip VOIP که هک شده اند یا یک خط تلفن مثل skype یا هر سرویس رایگان دیگر برای برقراری تماس تلفنی ترکیب با جازدن به عنوان کسی برای دریافت اطلاعات یا متقاعد کردن به دادن دسترسی به سیستم اداری مثلا از سمت منشی یک شرکت به شرکت زنگ زده شده درخواست گزارش می کند و خود را شخصی عاجز نشان می دهد تا دو عامل همدردی یا احساس مفید بودن یا قهرمان بودن قربانی برانگیزد.
۳- :Reverse Social Engineering هکر خودش را جای شخصی امنیتی جا می زند و درخواست چک کردن موبایل یا کامپیوتر شما را می کند تا ببیند اطلاعات از سمت شما به بیرون درز کرده یا شما هک شدید یا نه!
۴-Dumpster Diving: اشقال گردی در کنار سازمان هایی که مستندات خود را بدون معدوم کردن یا shred کردن دور می اندازد هکرها را به اطلاعات حساس سازمان و یا مشتریان می رساند.
۵-Tailgating:یک روش هست که هکر برای عبور از گیت حفاظت فیزیکی با پوشیدن لباس شبیه کارمندان پرسنل و یا تعقیب و جا زدن جای آشنای کارمندان از گیت رد می شوند در واقع وانمود میکنند که اجازه رد شدن را دارند یا حتی security badge دارند.
۶-Eavesdropping: شنود یا استراق سمع یکی از معمول ترین روش های برای بدست آوردن اطلاعات اولیه از قربانیان هست. هکر در کنار قربانی قرار می گیرد و می تواند به مکالمات شما گوش بدهد و از همین اطلاعاتی که با همکارتان رد و بدل می کنید استفاده کند تا خودش را آشنا جا بزند.
۷-shoulder surfing: یکی دیگر از روش ها این است که هکر بالا سر شما یا پشت شما قرار می گیرد که در هنگام وارد کردن پین کد امنیتی یا پسورد بتواند آن را بدست آورد. حتما اگر در حال استفاده از پوز برای دریافت پول هستید یا وارد کردن پسورد در محل کار خود هستید نگذارید کیبورد شما را مشاهده کنند.
۸-piggybacking: مشابه tailgating با این تفاوت که هکر اعلام میکند security badge را جا گذاشته و نیازدارد شما کمک کنید رد بشود.
تکنیک هایی که توسط کامپیوتر پیاده سازی می شوند
۱-phishing: به صورت تحت الفظی به معنای ماهی گیری است هکر سعی می کند با طعمه های مختلف قربانی ها را گول بزند که اطلاعاتشان را بدهند حال می تواند اطلاعات مالی باشد درگاه های فیشینگ و چه باز کردن لینک مخرب یا دانلود فایل آلوده. به صورت کلی چندین نوع فیشینگ وجود دارد.
۱-۱-spear phishing:هکر با آماده کردن یک محتوای شخصی سازی شده برای سازمان قربانی یا یک گروه IT سازمان آن ها را مورد هدف قرار می دهد.
۱-۲-whaling: هیل به معنی نهنگ هست منظور از این نوع حمله مورد هدف قرار دادن C-level های سازمان یا افراد با درجه اهمیت بالا یا اصطلاحا High profile هستند مثلا سیاسی هستند یا خبرنگار یا فعال سیاسی هستند.از طریق spoof کردن نام دامین مورد اعتماد آن ها مثل جمیل.
۱-۳-pharming:هکر با استفاده از دستکاری DNS توسط حملاتی مثل Dnc cache posining یا تغییر در Host file کامپیوتر قربانی آن ها را مورد هدف قرار می دهند.
۱-۴-spimming: معمولا با اکسپلویت آسیب پذیری روی Messenger سعی در ارسال اسپم از طریق قربانی به لیست contact ها دوستان او دارد و معمولا جهت سرقت اطلاعات هویتی و مالی این جور حملات صورت می گیرد. قبل باز کردن هر نوع لینک حتی از همکار یا آشنایان با Virustotal چک کنید.
https://www.virustotal.com/gui/home/url
https://addons.mozilla.org/en-US/firefox/addon/mitaka/
https://chrome.google.com/webstore/detail/mitaka/bfjbejmeoibbdpfdbmbacmefcbannnbg?hl=en
۲-spam Mail: معمولا با این ایمیل روزانه به تعدادی زیادی مواجه هستید که این اسپم می خواند شما را با یک کسب و کار عالی آشنا کنند یا یک فرصت خاص و همگی از شما اطلاعات شخصی و مالی می خواند!
۳-Pop-up Window Attacks: یکی از تکنیک هایی است که با بازکردن سایت های آلوده یا آلوده شده یک صفحه باز می شود و درخواست احراز هویت می کند در شبکه های اجتماعی یا درخواست می کند جمیل خودتان را وارد کنید با پسورد.
“یک سناریو عملی توسط beef پیاده سازی شده است که می توانید از طریق لینک زیر مشاهده کنید”
https://www.youtube.com/watch?v=5HGlWR7NeBE&t=72s
۴-Instant Chat Messenger: با ارسال یک پیام از طریق پیام رسان سعی به گرفتن اطلاعات از قربانی می شود.
تکنیک هایی که از طریق برنامه های موبایل انجام می شوند.
۱-Publishing Malicious Apps:این تکنیک خیلی متداول هست هکرها معمولا Remote Access Trojan به اسم برنامه های کاربردی در سرتاسر اینترنت مخصوصا گروه های تلگرام یا واتس اپ پخش می کنند به اسم فیلترشکن یا هک وای فای.
۲-:Using Fake Security Applications ساخت و پخش کردن این نوع برنامه های سخت هست برای اینکه هکر باید یک برنامه مشابه Google 2 factor بسازد و آن را بتواند در Store های اندرویید یا IOS بگذارید تا قربانیان دانلود کنند. معمولا با دسترسی فیزیکی هکرها این عمل را انجام می دهند.
۳-:Repackaging Legitimate Appsدانلود و تغییر در برنامه های کاربردی و منتشر کردن دوباره برنامه با اسم اینکه شکل شمایل خاص دارد یا این بازی هک شده و کردیت بی نهایت دارد.
۴-SMishing(SMS Phishing): هکرها با هک کردن Sms server قادر با ارسال SMS به افراد هستند با ارسال SMS و جازدن به جای یک نهاد قضایی درخواست رفتن به مکان خاص دارند یا درخواست پرداخت قبض یا واریز به حساب خاص می تواند از جمله سناریوها باشد.
مطالب دیگری در مورد این موضوع که در قالب خلاصه رویداد بود را می توانید از طریق لینک های زیر مشاهده کنید:
https://blog.peneter.com/social-network-privacy/
https://blog.peneter.com/clubhouse-general-social-engineering-3-malware/