مهندسی اجتماعی Social Engineering - وبلاگ چت روم کامپیوتر و شبکه در سایت الفور

کسی که مردم را دست می اندازد، نباید [امام صادق علیه السلام]

امروز: پنج شنبه 103 آذر 22

مهندسی اجتماعی Social Engineering

مقدمه :

اگر شما یک مدیر IT کاملا"فنی و تکنیکی هستید و در سازمان خود از تجهیزات سخت افزاری ونرم افزاری گران قیمت جهت برقراری امنیت شبکه استفاده می کنید ، وحتی اگر از تکنیکهای تحت شبکه آزمون نفوذ پذیری نیز بهره می برید باز هم ممکن است از شر افراد موسوم به مهندسان اجتماعی که از طریق کارکنان سازمان به اطلاعات مهم وحساس آن دست می یابند ، در امان نباشید .

همچنین اگر شما یک کارمند خوش خلق وکارا هستید وبا ارتباطات اجتماعی قوی بر قوانین خشک حاکم بر سازمان غلبه کرده وبدین وسیله در زمان کوتاهتر وظایف خود را به اتمام می رسانید و همواره از اجتماعی بودن سود برده اید ، باید بدانید که بیش از دیگران در معرض حملات مهندسان اجتماعی قرار دارید .

این مقاله در ابتدا به معرفی مهندسی اجتماعی و روشهای حمله توسط این نوع نفوذ گران پرداخته وسپس انواع سیاست گزاریهای مبتنی بر پیشگیری ومقابله با این نوع حملات را مورد بررسی قرار می دهد .

تعریف : مهندسی اجتماعی به مجموعه ای از تکنیکها اتلاق می شود که در آن از کاربران نا آگاه جهت انجام اعمال نفوذی یا فاش نمودن اطلاعات محرمانه سوء استفاده می شود . در این روش حمله گر یا نفوذ کننده در بیشتر موارد خود را پنهان نگاه داشته و از تماس رو در رو با طرف حمله اجتناب می نماید .

تکنیکهای مهندسی اجتماعی :

گاهی اوقات از تکنیکهای مهندسی اجتماعی تحت عنوان خطا های سخت افزاری انسان یاد می شود .

برخی از این تکنیکها عبارتند از :

- روش بهانه جویی Pretexting

این روش عبارتست از سناریو سازی ( بهانه جویی ) جهت اخذ اطلاعات ویا انجام عملی ناخواسته توسط فرد مورد هدف که عمدتا" از طریق تلفن صورت می پذیرد .

بهانه جویی چیزی بیش از یک دروغ ساده است ومی تواند با ادعای قانونی بودن تقاضای مورد نظر ، فرد را به دادن اطلاعاتی چون تاریخ تولد ، شماره و رمز حساب ویا حتی مبلغ آخرین فیش حقوقی و... ترغیب نماید .

امروز برنامه های Voice over IP استفاده از تکنیک Pretexting را ساده تر نموده اند چرا که رد یابی یک نفوذ گر از طریق آدرس IP به مراتب مشکل تر از خطوط تلفن است .

- روش سرقت هویت Phishing

این روش عبارتست از دستیابی به اطلاعات خصوصی وشخصی به صورت عوام فریبانه . در این روش نفوذ گر به

ارسال پست الکترونیکی از سوی یک شرکت معتبر پرداخته وتقاضای تائید اطلاعات را از طریق یک لینک وب

به ظاهر حقوقی می نماید و از این طریق کلیه اطلاعات شخصی از قبیل اسم ، مشخصات شناسنامه ای ،

آدرس منزل ، پست الکترونیک ورمز آن ، شماره حساب بانکی ورمز آن وسایراطلاعات را جهت سوء استفاده-

های بعدی اخذ می نماید .

گونه دیگر این تکنیک سرقت هویت به صورت تلفنی است که به جای لینک وب شماره تماسی به فرد داده می شود

وشماره مذکورعموما" با استفاده از منشی تلفنی خودکار از تماس گیرنده تقاضای ورود و یا تغییر کلمه رمز خود را

می نماید .

- روش اسبهای ترو جان Trojan horses

در این روش ضمیمه پست الکترونیکی فرستاده شده از سوی نفوذ گر آلوده به اسب تروجان بوده وبا بازشدن ضمیمه ، رایانه مورد نظر آماده نفوذ می گردد. نوع دیگری از اسبهای تروجان Road Apple نام داشته وعبارتند از هر گونه سخت افزار آلوده اعم از فلاپی ، دیسک فشرده ، حافظه Flash و ... که ممکن است با بر چسب های خاص ، کنجکاوی هر فرد عادی را نیز برانگیزند . در این روش حتی ممکن است سخت افزارهای مورد استفاده به صورت مجانی ویا اتفاقی سر راه فرد مورد نظر گذاشته شوند .

- روش مهندسی اجتماعی معکوس Quid Pro quo

در این روش نفوذ گر برخی مشکلات را به صورت مستقیم یا از طریق شبکه برای کامپیوتر کاربر ایجاد نموده وسپس

خود را به طریقی برای کمک وارد ماجرا می کند وبه این ترتیب علاوه بر جلب اعتماد کاربر به مقاصد خود به راحتی

دست می یابد.

- روش استفاده از مستندات قدیمی

در این روش از کاغذهای باطله ، مستندات بایگانی شده قدیمی ویا دیسکهای حاوی اطلاعات بایگانی شده جهت نفوذ استفاده می شود .

حال این سؤال مطرح می شود که چگونه شما می توانید در مقابل حملات مهندسی اجتماعی ایمن شوید ؟

اولین گام در این رابطه شناسایی راههای نفوذ وارائه راهکارهای مناسب در قالب سیاست گذاریهای سازمانی میباشد.بدیهی است هر نوع سیاست گذاری بدون ضمانت اجرایی در این زمینه راه به جایی نخواهد برد. . پس تمام اعضای مدیریت می بایست به طور آگاهانه این سیاستها را درک وسپس اجرایی نمایند .

در ذیل به برخی از این سیاستها که در ظاهر ساده اما کارا هستند می پردازیم:

- سیاستهای کلمات رمز
1- استفاده از کارکترهای حرفی ورقمی با هم و به طور همزمان
2- تغییر کلمات رمز پس از هر مدت زمان مشخص ( دوره های چند ماهه )
3- عدم استفاده از کلمات موجود در لغت نامه ها ، شماره تلفن های شخصی ، شماره شناسنامه ، تاریخ تولد ، نام فرزندان و....
4- ممنوعیت قرار داشتن کلمه رمز یک فرد نزد افراد دیگر
5- استفاده از محافظ صفحات با کلمه رمز یا خروج از سیستم موقع ترک آن
- سیاست های امنیت فیزیکی

1- عدم دسترسی مهمانان وبیگانگان به اسناد ، سیستم ها وسخت افزارها ی شرکت

2- اجرای طرح تکریم ارباب رجوع با دقت فراوان

- سیاستهای امحاء مستندات

1- انهدام کاغذهای کاری در دوره های مشخص ( تکه تکه کردن ، خرد کردن ، سوزاندن و....)

2- انهدام سخت افزار های حافظه در دوره های مشخص

- سیاستهای امنیت شبکه

1- محافظت فیزیکی از ابزارهای شبکه ورایانه ها

2- محافظت نرم افزاری از شبکه و برنامه ها

3- اعمال سیاستهای دقیق تهیه نسخ پشتیبان

- سیاستهای آموزش

1- آموزش نحوه شناسایی مهندسین اجتماعی به تمامی کارکنان

2- ایجاد پایگاه داده از انواع حملات موجود و رخ داده جهت تصمیم گیری های به موقع

- سیاستها ی پیشگیری ومقابله به صورت سازمان یافته

1- ایجاد واحد وشاغل خاص جهت هماهنگی ، پاسخگویی وجمع آوری انواع اطلاعات

2- تعریف مکانیزم های گزارش حملات

جمع بندی :

مهندسی اجتماعی یکی از آسان ترین و در عین حال پر زیان ترین راههای نفوذ در شبکه های سازمانها می باشد . با این حال به نظر می رسد هنوز فرهنگ ایمن سازی شبکه در مقابل سوء استفاده از نیروی انسانی آن طور که باید وشاید بوجود نیامده است .بدیهی است در این راه پیشگیری بهتر از درمان بوده وبی شک آموزش کارکنان سازمان به عنوان عوامل اصلی مورد حمله، مهمترین مرحله پیشگیری محسوب می گردد.

فهرست منابع وموُاخذ :

1- سایت ویکی پدیا en.wikipedia.org

2-سایت شرکت سخا روش www.Srco.ir

3- سایت پرشین هک www.Persianhack.com

4- مبانی مهندسی اجتماعی از سایت .com ww.Securityfocus

گردآورنده ومترجم : مهسا سمواتی - کارشناس ارشد اتوماسیون اداری) امور بهره وری شرکت ملی پالایش وپخش)

واژگان کلیدی : مهندسی اجتماعی - امنیت شبکه - Social Engineering - ‌Phishing - LAN Security