Social Engineering چیست ؟

بابک فخریلو

Social engineering نوعی از حملات امنیتی است که در آن، فرد مهاجم دیگران را تشویق به فاش کردن اطلاعاتشان می کند. این اطلاعات می تواند برای سرقت داده، دستیابی به سیستم ها، دستیابی به تلفن های سلولی، پول یا حتی هویت خود شما مورد استفاده قرار بگیرد. چنین حملاتی می توانند خلیی ساده یا خیلی پیچیده باشند. دستیابی به اطلاعات تلفن از طریق وب سایت هایی که بازدید می کنید، بعد جدیدی را به Social Engineering اضافه کرده است.

در این مقاله به بررسی شیوه های فریب دادن افراد، سازمان های دولتی،نظامی و شرکت ها برای فاش کردن اطلاعات، می پردازیم.

در مهندسی اجتماعی که قصد مهاجم  حصول به داده های حساس یا برخورداری از امتیاز های دستیابی نابجا است، فردی از محیط خارج رابطه ای را با افراد داخل برقرار می سازد. البته واژه «فردی از محیط خارج»، بدین معنی نیست که شخص کارمند آن محیط نیست؛ او می تواند کارمند آنجا هم باشد که قصد دور زدن سیاست ها و استناردهای تعریف شده را دارد.

به عبارتی دیگر، هدف مهندسی اجتماعی فریب دادن شخصی برای در اختیار قرار دادن اطلاعات ارزشمند یا دسترسی به منابع داده ها است. افرادی که از این روش برای حمله کردن استفاده می کنند، خصوصیات طبعیت انسان ها را طعمه خود می کنند ، مانند :

  • تلاش برای مفید بودن.
    ما کارمندان را خوب تربیت کرده ایم. آنها باید مطمئن شوند که مشتری راضی است. بهترین راه برای ارزیابی کردن، مطلع شدن از واکنش آنهایی است که نیاز به کمک دارند. بیشتر کارمندان ما می خواهند مفید باشند و همین باعث از دست دادن بیش از حد اطلاعات می شود.
  • تمایل به اعتماد به مردم
    طبیعت انسان طوری است که واقعا به دیگران اعتماد می کند، مگر زمانی که ثابت شود آنها قابل اعتماد نیستند. اگر شخصی به ما بگوید که فرد قابل اعتمادی است، ما غالبا آن را می پذیریم.
  • ترس از دچار دردسر شدن
    بسیاری از ما واکنش منفی مقامات بالاتر از خودمان را، وقتی که تعیین هویت زمان زیادی برده است، یا کارمندی دچار رنجش و ناراحتی شده دیده ایم. مدیریت باید از همه کارمندانی که وطایف خود را انجام می دهند و از منابع اطلاعاتی حافظت می کنند، حمایت کند.
  • میل به کار کمتر
    گاهی اوقات ما تنبل می شویم. گذرواژه ها را به صفحه نمایش می فرستیم یا چیزهای مهم را در جایی قرار می دهیم که هرکسی بتواند آنها را ببیند.

در طول سال های که مساله امنیت کامپیوتر اهمیت پیدا کرده است، راه کارهای زیادی برای آن مطرح شده است. نصب بسته های کنترل دسترسی، آنتی ویروس، دیوار های آتش، شناسایی عوامل مخرب و کلید های عمومی همه راه حل هایی بوده اند که در دوره های مختلف مطرح شده اند. اما در بحث مهندسی اجتماعی، عامل انسان است که مورد بحث قرار می گیرد.

افراد با مهارتی که از این روش استفاده می کنند، غالبا تلاش دارند تا از این ضعف برای بدست آورد گذرواژه ها یا دسترسی به سیستم ها استفاده کنند، تا این که وقت و انرژی خود را روی روش های دیگر صرف کنند. وقتی با یک تماس تلفنی ساده به کارمند شرکت می توان نام کاربری و رمز عبور را بدست آورد، چه دلیلی دارد که نرم افزار را بر سر راه آن شبکه قرار دهیم تا همان اطلاعات را با زحمت بیشتری بدست بیاید. مهندسی اجتماعی از آن دسته حمله هایی است که دفاع کردن مقابل آن بسیار سخت است، چرا که دیگر ابزار های سخت افزاری و نرم افزاری کارساز نیستند. با پیاده کردن سیاست ها و استاندارد ها و پیدا کردن آسیب پذیری های سیستم، می توان یک ساختار امنیت اطلاعاتی کارا را برای مقابله ای موفق ایجاد کرد.

منبع :

Information security fundamentals / Thomas R. Peltier, Justin Peltier, John Blackley

ادامه دارد.

Advertisements

دربارهٔ Persian Developer

I Love Developing applications

Posted on ژوئیه 24, 2010, in امنیت and tagged , , , . Bookmark the permalink. 6 دیدگاه.

  1. فرد مهاجم دیگران را تشویق می کند تا به فاش کردن اطلاعاتشان ترقیب می کند.
    بابک جون نمیخواد این کامنتم رو بذاری این جمله ای که برات گذاشتم نیاز به ویرایش داره

  2. محسن مرسی که میخونی اتفاقا نظرت رو منتشر می کنم برای این که برام همه. یه خورده عصبی بودم موقع نوشتن این مطلب

  3. هرجور راحتی!!!!
    عصبی نباش به چیزای خوب فکر کن مثلا میتونی به من فکر کنیD:

  4. محسن قضیه رو عاشقانه نکن بابا

  5. سلام………….با تشکر از مطلب خوبی که گذاشتید واقعا به نکات مهمی اشاره کردید ولی من شنیدم که نسخه جدید آنتی ویروس کاسپر اسکای به نام Pureمی تونه تا حدی از این حملات جلوگیری کنه یعنی اجازه باز شدن صفحه اینترنتی که در آن امکان فریب کاری هست را مسدود میکنه.فقط حیف که گران است(80000 تومن پول رایج مملکت)

    هنوز اینترنت ندارم که مطلب بذارم.

  6. علی آقا ممنون. البته آنتی ویروس ها روز به روز تو تحلیل رفتار سیستم ها قوی تر میشن، اما همون طور که اشاره کردم تو مهندسی اجتماعی، ضعف های شخصیتی افراد وسیله ای برای نفوذ هکر هاست تا خود سیستم ها. ای شالا زود اینترنت وصل شه.

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

%d وب‌نوشت‌نویس این را دوست دارند: