مهندسی اجتماعی چیست ؟

مهندسی اجتماعی درواقع به معنای کار روی یک شخص، باهدف ترغیب وی به انجام کارهایی برای حصول فرد ترغیب‌کننده به اهدافی چون دستیابی به داده‌ها، اطلاعات دسترسی یا دستکاری سیستم یا شبکه هدف برای انجام کاری خاص تعریف می‌شود. به واسطه طبیعت رازگونه این مهارت تاریک، معمولاً افراد از آن گریزان بوده و احساس می‌کنند قادر به اجرای یک آزمون موفق مهندسی اجتماعی نمی‌باشند. اگرچه هر زمان که شما سعی در وادار نمودن کسی به انجام کار موردنظر خود نمایید، یک عمل مهندسی اجتماعی را انجام داده‌اید. از یک کودک که سعی در وادار نمودن والدین به خرید اسباب‌بازی موردنظر خود می‌نماید تا تلاش افراد بزرگسال برای بدست آوردن یک شغل یا ارتقاء شغلی، همگی شکلی از مهندسی اجتماعی را در برمی‌گیرند. 

مهندسی اجتماعی، از ضعیف‌ترین اتصال در خطوط دفاعی امنیت اطلاعات هر سازمان، یعنی نیروی انسانی بهره‌گیری می‌نماید. به زبان ساده، مهندسی اجتماعی، به معنای «هک کردن» افراد بوده و با سوءاستفاده از طبیعت اعتماد متقابل بین انسان‌ها، به اطلاعاتی که می‌توانند برای کسب منا فع شخصی مورد استفاده قرار گیرند، دستیابی حاصل می‌گردد. 

اصول مهندسی اجتماعی 

هکرها معمولاً وانمود می‌کنند شخص دیگری هستند تا بتوانند به اطلاعاتی دسترسی پیدا کنند که در غیراین صورت برای آنها غیرقابل دسترسی خواهند بود. آنها اطلاعات بدست آمده از قربانیان خود را جمع‌آوری کرده و به منابع شبکه حمله می‌کنند، فایل‌ها را سرقت یا حذف می‌نمایند و حتی اقدام به جاسوسی صنعتی یا سایر انواع جرائم بر علیه سازمان‌هایی که مورد حمله قرار داده‌اند، می‌کنند. مهندسی اجتماعی با مشکلات امنیت فیزیکی نظیر جاسوسی سیستم‌ها (مثلاً سرک کشیدن برای مشاهده کلمه عبور کارمندی که درحال Login به سیستم می‌باشد) یا جستجوی زباله‌ها (برای یافتن اطلاعاتی که سهواً یا عمداً به عنوان زباله دفع شده‌اند) تفاوت دارد. با این‌حال، این دو فرآیند با یکدیگر مرتبط هستند. 

مهندسین اجتماعی، گاهی‌اوقات هویت کارکنان دارای نفوذ و مطلع (نظیر مدیران و معاونین) را جعل می‌کنند. در مواردی نیز ممکن است آنها نقش کارکنان فوق‌العاده بی‌اطلاع و ساده‌لوح را بازی کنند. برحسب اینکه آنها درحال صحبت کردن با چه کسی هستند، غالباً از یک حالت به حالت دیگر سوئیچ می‌کنند. 

مهندسی اجتماعی، یکی از دشوارترین تکنیک‌های هک به حساب می‌آید، زیرا به مهارت فوق‌العاده‌ای برای جلب اعتماد یک فرد بیگانه نیاز دارد. ازسوی دیگر، این شیوه یکی از دشوارترین تکنیک‌های هک از دیدگاه مقابله با آن است، زیرا با مردم سروکار دارد.

مهندسین اجتماعی حیله‌گر، می‌توانند اطلاعات داخلی را به شیوه‌های مختلفی، از قربانیان خود بدست آورند. آنها غالباً ماهرانه صحبت می‌کنند و بر روی پیشرفت مکالمات خود تمرکز می‌کنند، بدون‌آنکه وقت زیادی به قربانیان خود بدهند تا درمورد آنچه که می‌گویند فکر کنند. با اینحال، اگر آنها در طول حملات مهندسی خود بی‌دقت یا بیش از حد مشتاق باشند، جزئیات زیر می‌توانند مانع کارشان شوند: 

- رفتار بیش از حد دوستانه یا مشتاق 

- ذکر نام افراد برجسته در داخل شرکت 

- لاف زدن درمورد مقام خود در داخل شرکت 

- تهدید به توبیخ کارمندان درصورت اجابت نشدن درخواست‌ها 

- رفتار عصبی درهنگام مواجه شدن با پرسش‌ها (گزیدن لب‌ها و ناآرامی، خصوصاً دست‌ها و پاها، زیرا برای کنترل قسمت‌هایی از بدن که از صورت دورتر هستند، تلاش هوشیارانه‌تری لازم است) 

- تأکید بیش از حد بر جزئیات 

- تغییرات فیزیولوژیکی نظیر بازشدن مردمک‌ها یا تغییر در گام صدا 

- رفتار عجولانه 

- امتناع از ارائه اطلاعات 

- ارائه داوطلبانه اطلاعات و پاسخ دادن به پرسش‌های مطرح نشده 

- آگاهی از اطلاعاتی که یک فرد خارجی نباید آنها را در اختیار داشته باشد. 

- یک فرد خارجی شناخته شده که از اصطلاحات یا زبان داخلی سازمان استفاده می‌کند. 

- مطرح نمودن پرسش‌های عجیب 

- املاء غلط عبارات در ارتباطات نوشتاری 

یک مهندس اجتماعی متبحّر، با رفتارهای فوق، قابل شناسایی نخواهد بود، اما اینها تعدادی از علائمی هستند که درهنگام یک رفتار مجرمانه مشاهده می‌شوند. هکرها، غالباً به یک نفر لطف می‌کنند، سپس بازگشته و از او می‌خواهند که به آنها کمک نماید. این یک حیله متداول در مهندسی اجتماعی است که به خوبی کار می‌کند. هکرها همچنین غالباً از روشی که «مهندسی اجتماعی معکوس» نامیده می‌شود، استفاده می‌کنند. در این شیوه، آنها به برطرف نمودن یک مشکل خاص کمک می‌کنند. مدّتی می‌گذرد و مشکل مجدداً روی می‌دهد (غالباً به طور عمدی توسط خود هکر) و آنها بازهم به برطرف نمودن مشکل کمک می‌کنند. به این ترتیب، آنها می‌توانند به قهرمانانی تبدیل شوند که همین مسئله باعث تقویت انگیزه‌شان می‌گردد. همچنین ممکن است هکرها به سادگی از یک کارمند ناآگاه بخواهند که به آنها لطفی بکند. بله، آنها آشکارا یک لطف را درخواست می‌کنند. بسیاری از مردم به سادگی در این تله می‌افتند. 

جعل هویت یک کارمند بسیار آسان است. مهندسین اجتماعی می‌توانند یک یونیفورم مشابه را بپوشند، از یک نشان ID جعلی استفاده کنند و یا به سادگی لباس کارکنان واقعی را بر تن نمایند. به این ترتیب، مردم تصور می‌کنند که «بله، ظاهر و رفتار او مثل من است، پس باید یکی از ما باشد». مهندسین اجتماعی درعین‌حال وانمود می‌کنند کارمندانی هستند که از یک خط خارجی با داخل سازمان تماس گرفته‌اند. این یک شیوه بسیار مشهور برای بهره‌برداری از پرسنل میز اطلاعات و مرکز تلفن سازمان است.

منبع سایت راسخون