مهندسی اجتماعی: حقه‌ای به قدمت تاریخ

مهندسی اجتماعی: حقه‌ای به قدمت تاریخ

امروزه، مهندسی اجتماعی به شکل‌های مختلفی از جمله، Phishing، Spear Phishing، Vishing (Voice Phishing) ، Pretexting (جعل هویت)، Whaling (Phishing  با هدف قرار دادن C-Suite)، Smishing (SMS Phishing) و موارد دیگر وجود دارد. به نظر می‌رسد که Phishing و Spear Phishing از بین این موارد از بقیه متداول‌تر باشند.

جمع‌آوری هوشمند اطلاعات Open Source یا به اختصار OSINT

ارزیابی افراد معمولا به طور جامع صورت می­گیرد و رفتار آنها هم درون و هم خارج از محیط کار مورد بررسی قرار می‌گیرد. چطور می‌توان رابطه‌ای میان این اطلاعات ایجاد نمود؟ از طریق رسانه‌های اجتماعی چه اطلاعاتی را می‌توان در مورد آنها به دست آورد و خارج از بافت این شبکه‌ها چه چیزی را می‌توان در مورد آن‌ها فهمید؟ آیا فرد از محل کار خود عکس و سلفی به اشتراک می‌گذارد؟ آیا مجبور است از تجیهزات محافظتی شخصی یا به اختصار PPE استفاده نماید؟ آیا تصاویری از فرد با کنترل‌های امنیتی فیزیکی مانند نشان‌ها و رمز‌های عبور وجود دارد؟

نکاتی که در بالا ذکر شدند، همگی مثال‌هایی از OSINT می‌باشند. با استفاده از نتایج به دست آمده از نظرسنجیِ DEF CON Social Engineering Capture the Flag یا به اختصار SECTF، به موارد زیر نیز می‌توان اشاره نمود:

·         سطل زباله ­ها یا همان مکان‌های Trash Company و Dumpster

·         خدمات نظافتی

·         خدمات غذایی

·         Vendorها و مشتریان IT

·         تکنولوژی‌های مورد استفاده، مانند شبکه‌ی خصوصی مجازی یا به اختصار VPN، شناسه‌ی مجموعه‌ی سرویس (SSID) و وایرلس، سیستم عامل (OS)، مرورگر و آنتی‌ویروس

·         برنامه‌ی کاری

·         الگوهای آموزشی

·         Exterminatorها

Baiting، Vishing و Phishing

حملات مهندسی اجتماعی شامل انواع بسیاری از تهدیدات می‌باشد، اما در این مطلب تنها به سه نوع Baiting، Vishing و Phishing پرداخته خواهد شد.

Baiting ساده‌ترین نوع این حملات است: مهاجم از طریق USB Drive یا یک QR Code که اختصاصا به منظور وسوسه کردن هدف‌ها به دانلود داده‌های مخرب Label شده است Payload را که معمولا بدافزار یا یک Shell معکوس است روی سیستم هدف قرار می‌دهد.

Vishing کمی پیچیده‌تر است. می‌توان گفت که این روش حساس‌ترین حالت مهندسی اجتماعی است زیرا مهاجم باید به صورت Real-Time از طریق تلفن با هدف تعامل داشته و برای لو نرفتن نیت خود، ناچار است در لحظه و بصورت فی‌البداهه پاسخ‌های مناسبی به هدف بدهد.

در آخر، Email Phishing متداول‌ترین نوع مهندسی اجتماعی است. مهاجم به سادگی ایمیلی را برای هدف می‌فرستد تا دریافت‌کننده را ترغیب به کلیک کردن روی لینکی مخرب، دانلود یک بدافزار و یا وارد کردن اطلاعات خصوصی کند.

آموزش و آگاهی از Phishing

سازمان‌ها برای دفاع از خود در مقابل انواع مختلف حملات Phishing می‌باید به صورت دوره‌ای آموزش پایه‌ای یکسانی را برای تمامی کارمندان ترتیب دهند و به عنوان بخشی از آموزش در جهت افزایش آگاهی، برای آزمودن کارمندان خود، فعالانه شبیه‌سازی‌های Phishing را اجرا نمایند. کارمندان می‌باید در هنگام گزارش یک حادثه‌ی Phishing موارد زیر را در نظر داشته باشند:

·         بدانند با چه کسی تماس بگیرند

·         بدانند چگونه با گروه‌های مربوطه تماس برقرار بگیرند

·         چه اطلاعاتی را باید فراهم نمایند

·         چه تصمیمی باید درمورد رایانه یا دستگاهی که دچار مشکل شده گرفته شود

در نهایت، می‌باید سیاست‌های غیرتنبیهی برای Phishing به کار گرفته شود. احتمال کلیک کردن بر روی لینکی مخرب برای همه‌ی افراد وجود دارد و بدترین اتفاق این است که افراد از ترس مجازات شدن یا اخراج، فعالیت‌های مشکوک را گزارش ندهند.