مهندسی اجتماعی یا هنر فریب چیست؟

مهندسی اجتماعی یا هنر فریب چیست؟

اگر بخوایم تعریفی از مهندسی اجتماعی داشته باشیم شاید بشه گفت: مهندسی اجتماعی یک هنره؛ هنر هک مغز انسان!

مهندسی اجتماعی چیست؟

اگر بخواهیم تعریف خلاصه ای در یک خط از مهندسی اجتماعی داشته باشیم:
مهندسی اجتماعی سوء استفاده از اطمینان و یا فریب عوامل انسانی به جهت دسترسی به اطلاعات محرمانه و در مرحله بعد سوء استفاده از این اطلاعات است.
در مهندسی اجتماعی که شیوه ای ناپاک است یک سازمان یا شخص قصد حمله به یک سازمان یا شخص دیگر را دارد و در این حمله اهدافی دارد مثل بدست آوردن شماره و مشخصات کارت اعتباری یا اطلاعات حساس نظامی یا اطلاعات محرمانه تجاری و هر نوعی از اطلاعات که دسترسی به آن آزاد نیست
.
مهاجم در مهندسی اجتماعی به جای اینکه به سراغ روشهای سخت و فنی که نیازمند سطح بالای دانش یا غیر ممکن است برود، از تکنیکهای مهندسی اجتماعی استفاده می کند


:یک مثال

یک موسسه مالی فرضی از یک نرم افزار سازمانی جهت حسابداری و کنترل دارایی خود و مشتریانش استفاده میکند خود نرم افزار هیچگونه باگی ندارد و شبکه هم فوق العاده امن است و هزینه زیادی صرف امنیت سخت افزاری و نرم افزاری شده و مهاجم برای نفوذ امکان دسترسی به روشهای معمول هک را ندارد یا اصلا دانش فنی آن را ندارد، ولی در این سازمان کارمندانی مشغول به کار هستند که آموزش لازم در زمینه مهندسی اجتماعی را ندیده اند.
 مهاجم  در 3 مرحله تحقیقات قبلی، جلب اطمینان و دریافت اطلاعات هدف خود را نزدیک می کند.
در این مثال مهاجم با خونسردی در تماس با یکی از کارمندان خود را مهندس مسئول شبکه یا مسئول نرم افزار موسسه معرفی میکند و با اطلاعاتی که قبلا از سازمان نام و اطلاعات اولیه واحدها نوع نرم افزار مورد استفاده و موارد مشابه بدست آورده و در تماس نهایی:

مهاجم: حسینی هستم مسئول IT درحال ارتقا نسخه نرم افزار هستیم لطفا رمز خود را به Newversion2 تغییر دهید. ضمنا تا یک ساعت وارد سیستم نشید چون هر تراکنشی ممکنه باعث اختلال بشه.
کارمند: خوب هستید آقای حسینی من الان دارم سند میزنم میشه چند دقیقه دیگه این کار رو بکنید ضمنا من یه مشکلی هم با فلش یو اس بی دارم.
مهاجم: ما امروز به همه واحدها اعلام کرده بودیم ولی مشکلی نداره من شما رو درک میکنم. می تونم تغییر سیستم شما رو با 10 دقیقه تاخیر انجام بدم.
کارمند: ولی به بنده اعلام نشده بود، به هر حال ممنونم که همکاری میکنید.
مهاجم: خواهش میکنم، در خصوص مشکلتون هم در فرصت مناسب تری با واحد ما تماس بگیرید، اسمتون رو بفرمایید من سریع کارتون رو انجام میدم، فرمودید شما آقای؟
کارمند: علوی هستم.
مهاجم: پس جناب علوی شما رمز رو الان تغییر بدید بنده هم از 10 دقیقه دیگه برنامه رو ارتقا میدم، راستی نام کاربریتون چی بود؟
کارمند: مثل بقیه نام خانوادگی...

به همین راحتی مهاجم با روش مهندسی اجتماعی، اطلاعات محرمانه بسیار با ارزش سیستم نرم افزاری سازمان را از کارمندی که تصور میکرد در حال مکالمه با مسئول شبکه سازمان است دریافت کرد و ممکن است مراحل دیگری مثل نفوذ به سطح بالاتر به روشهای دیگر یا ایجاد کاربر جدید و ... نیز داشته باشد، بعلاوه اینکه اکثر نامهای کاربری در اختیار مهاجم قرار گرفت:
username: alavi///
password: Newversion2

منبع:

 https://cert.ir/index

https://www.support.day.ir

 

 

 

آمار بازدید خبر: 70
هیچ نظری ثبت نشده است.