مهندسی اجتماعی

واضح آرشیو وب فارسی:فان پاتوق: عریف و اهداف:
برخی از معروفترین تعریفهای ارائه شده برای مهندسی اجتماعی از این قرارند:
-Bernz: هنر و علم وا داشتن دیگران به انجام کاری مطابق خواسته ی نفوذگر
-Palumbo: استفاده ی یک نفوذگر خارجی از حقه های روان شناسی بر روی کاربران قانونی یک سیستم کامپیوتری ، برای به دست آوردن اطلاعاتی که نفوذگر برای نفوذ به سیستم احتیاج دارد.
-Berg: به دست آوردن اطلاعات (برای مثال کلمه ی عبور) از یک فرد ، به جای به کار گیری روشهای فنی برای ورود غیر مجاز به سیستم.
و تعریف آخر که به نوعی حالت کلی تر تعاریف بالاست بیان می دارد:
مهندسی اجتماعی عبارتست از وادار کردن دیگران به دادن چیزهایی ، اعم از اطلاعات و کالا، به یک فرد دیگر ، در صورتی که قانونا نباید بدهند.
-در بحث امنیت کامپیوتری ، مهندسی اجتماعی به مقوله ای اطلاق می شود که نوعی نفوذ و حمله ی غیر فنی را توصیف می کند که عمدتا بر تعاملات انسانی تکیه دارد و در بر گیرنده ی روشهای فریفتن دیگران است تا روندهای معمول امنیتی را بشکنند.
در واقع مهندسی اجتماعی می تواند همه و یا هیچکدام از این تعاریف باشد. بسته به اینکه شما در چه جایگاهی قرار دارید و از چه دیدگاهی مایل به بررسی آن هستید. اما آنچه که به نظر می رسد مورد توافق همه است ، این است که مهندسی اجتماعی عموما بهره گیری هوشمندانه ی یک نفوذگر از تمایل طبیعی انسانها برای اعتماد کردن و کمک کردن را در بر می گیرد.هدف نفوذگر از این عمل به دست آوردن اطلاعاتی است که به وسیله ی آنها دسترسی غیر مجاز به منابع اطلاعات سری میسر می شود. در واقع نفوذگراین بار با هدف قرار دادن ضعیف ترین حلقه ی زنجیره ی امنیت ، یعنی انسان ، اهداف دیگری را دنبال می کند . از قبیل : ارتکاب جرم، نفوذ به شبکه ، جاسوسی صنعتی (در این مورد در همین مقاله به تفصیل صحبت خواهد شد) ، دزدی هویت و یا خرابکاری در سیستم و شبکه .
توجه به این نکته ضروری است که این نوع حمله ها غالبا ساده تر از بسیاری از انواع نفوذگری های فنی هستند. به همین دلیل سازمانهای بسیاری هدف این حملات قرار می گیرند.
سازمانهایی که عمدتا هدف این حملات قرا رگرفته و آسیب پذیری بالایی دارند عبارتند از: مراکز پاسخگویی تلفنی ، شرکتهای بزرگ و معروف ، موسسات مالی ، مراکز دولتی و ارتشی و حتی بیمارستانها.
حملات مهندسی اجتماعی غالبا در دو سطح فیزیکی و روان شناسی انجام می گیرند که توضیح روشهای آن در بخشهای دیگری از این مقاله خواهد آمد.

یک مفهوم نزدیک و مرتبط: مهندسی اجتماعی معکوس:
آنچه از آن تحت عنوان "مهندسی اجتماعی معکوس" یاد می شود در واقع یکی از روشهای مهندسی اجتماعی است . و به این ترتیب است که نفوذگر خود را در جایگاه دهنده ی اطلاعات قرار می دهد و با جلب اعتماد افراد، نفوذ خود را عملی می کند.
اگر چه این نوع نفوذ آمادگی و تحقیقات بیشتری می طلبد ، اما اگر به درستی برنامه ریزی و اجرا شوند ، شانس موفقیت بیشتری نسبت به سایر روشها دارند.
Rick Nelson در مقاله ای ، مهندسی اجتماعی معکوس را مشتمل بر سه قسمت دانسته :
1. خرابکاری 2 . تبلیغات 3. کمکرسانی
در یک سناریوی معروف ، نفوذگری عمدا اشکالی در شبکه ایجاد می کند ، سپس با تبلیغات، هدف خود را متقاعد می کند که او فرد مناسب و متخصص برای حل مشکل است و در پایان ، وقتی برای تعمیرات و ارائه ی خدمت حاضر شد ، با زیرکی خاصی ذره ذره اطلاعاتی را که در واقع برای به دست آوردنشان آمده است، با پرسش یا مشاهده استخراج می کند.

بررسی روان شناختی حملات مهندسی اجتماعی :
یک قول معروف امنیتی می گوید: "هیچ کامپیوتری تا زمانی که از پریز کشیده نشده امن نیست." و اکنون گفته می شود که هیچ کامپیوتری در هیچ حالی امن نیست! چرا که با مهندسی اجتماعی می توان فردی را متقاعد کرد که کامپیوتر را به پریز زده و آن را روشن کند!
در واقع بخش انسانی یک سیستم کامپیوتری مهمترین و در عین حال آسیب پذیر ترین عنصر امنیتی آن است و این نوع آسیب پذیری مستقل از پلت فرم ، نرم افزار ، سخت افزار و شبکه است.هر انسانی که به صورت فیزیکی یا مجازی به یک سیستم کامپیوتری دسترسی دارد ، یک منبع خطر بالقوه محسوب می شود .نکته ی دیگر اینکه هیچ سیستم کامپیوتری در جهان وجود ندارد که کاملا بی نیاز از حضور انسان باشد. در نتیجه بررسی روان شناختی، به جلوگیری از حملات مهندسی اجتماعی و امن کردن سیستمها کمک شایانی خواهد کرد.
نفوذگر ها از روشهای روان شناسی مختلفی برای تحت تاثیر قرار دادن افراد مورد نظرشان و واداشتن آنها به انجام کارهایی که مد نظرشان است ، استفاده می کنند که بعضی از این روشها موفقیت بیشتری نسبت به بقیه دارند.
در ابتدایی ترین و ساده ترین روش از فرد مستقیما خواسته می شود که کاری را انجام دهد. که شانس موفقیت کمتری در مقایسه با سایر روشها دارد.به خصوص اگر فرد حداقل آموزشی در این زمینه دیده باشد و از یک کمینه هوشیاری و آگاهی بر خوردار باشد.
روشهای دیگری هستند که با جلق موقعیتهای خیالی و قرار دادن فرد در آن موقعیتها ، سعی می کنند به هدف خود برسند. اگر چه این روش نسبت به قبلی کار بیشتری می طلبد و نیازمند آن است که نفوذگر اطلاعات بیشتری از هدف ، قبل از آغاز حمله جمع آوری کند ، اما معمولا موفقتر است.
انسانها معمولا تمایل دارند که همرنگ جماعت شوند که برخی از دلایل آن عبارتست از : عدم تمایل به آزردن دیگران و یا نادیده گرفتن عقاید آنان و مخالفت با آنها و یا وحشت از اینکه در مقابل دیگران نادان به نظر برسند. این تمایل که از آن تحت عنوان " فشار اجتماعی " یاد می شود ، معمولا از سوی نفوذگرها مورد سوء استفاده قرار می گیرد.
همان طور که ذکر آن رفت، دو مورد آخر مستلزم خلق موقعیتهای خیالی اما قابل باور است. این موقعیتها برای اینکه فرد را با نفوذگرهمراه کنند ، باید دارای حداقل یکی از مشخصات زیر باشند:
برداشتن بار مسئولیت از روی دوش فرد. بدین معنی که او را با ایجاد این حس که وی تنها فرد مسئول نیست ، آرام و مطمئن کنند.
فراهم آوردن امکان خوش خدمتی برای فرد. بدین معنی که فرد باور کند با انجام کار خواسته شده ، خود را نزد کارفرمای خود بهتر نشان داده است.
انسانها دوست ندارند احساس گناه کنند و معمولا به این صورت است که اگر فردی وظیفه ی اخلاقی خود را به انجام نرساند ، احساس گناه می کند. پس کافس است نفوذگر، شرایط را به نحوی فراهم کند که فرد حس کند انجام این کار وظیفه ی اخلاقی وی است!
به هر حال هدف نهایی تمام روشهای مهندسی اجتماعی تلاش برای متقاعد کردن افراد به انجام کار خواسته شده از آنهاست و مسلم است که این امر با اعمال زور به نتیجه نمی رسد. بلکه باید تلاش شود حس همکاری داوطلبانه در فرد ایجاد شود. بدین ترتیب فرد حس می کند که شرایط ، تحت کنترل او قرار دارد و حتی به خود افتخار می کند که کسر کوچکی از زمان و انرژی خود را به انتخاب و تصمیم خود و رضایتمندانه در راه رسیدن به منافع بزرگتر فدا کرده است.
برخی فاکتورهایی که به افزایش شانس همکاری فرد با نفوذگر منجر می شوند عبارتند از :
در این راه نفوذگر باید حوصله به خرج دهد و آرام آرام فرد را به سوی هدف خود هدایت کند.
استفاده از "حقه ی اعتماد" . به این معنی که از سابقه ی ذهنی مثبت فرد کمک بگیرد . اگر فرد قبلا تجربه ی موفقی در پاسخ مثبت گفتن به یک در خواست مشابه داشته باشد ، در خصوص در خواست جدید ، بهتر با نفوذگر همکاری خواهد کرد.
ایجاد تماس بهتر با فرد و برقراری ارتباط با تعداد بیشتری از حواس پنجگانه ی او ، شانس موفقیت را بالا می برد. به طور مثال ، احتمال موفقیت در حالتی که فرد ، نفوذگر را ببیند و صدایش را بشنود ، مسلا بیشتر از زمانی است که فقط صدای او را از پشت تلفن بشنود و دلیلی هم که محققان برای این مطلب ذکر می کنند ، این است که به نظر می رسد فرد در اثر تماس بیشتر ، به نوعی در رودر بایستی قرار می گیرد.
موفقیت همچنین تا حد زیادی بستگی به این دارد که فرد مورد حمله تا چه حد در سیستم کامپیوتری در گیراست. می توان گفت که مدیران سیستمها ، کارشناسان امنیت و تکنسین ها که از سیستم به عنوان ابزار اصلی ارتباطات و انجام کارهای خود استفاده می کنند ، از در گیرترین افراد هستند.
افراد درگیر برای قانع شدن و همکاری با شما نیاز به دلایل محکم دارند. دلایل ضعیف و سطحی معمولا اثر معکوس در آنها ایجاد می کنند. به علاوه اینکه برای مواجه با این گونه افراد باید دانش فنی بالاتر از آنان داشت.
نمونه هایی از افرادی که کمتر در سیستم درگیر هستند عبارتند از : نگهبانان ، نظافتچی ها و یا منشی های پذیرش. اینها طبق تعریف افرادی هستند که علاقمندی کمتری به اطلاعاتی که نفوذگر از سیستم کامپیوتری می خواهد نشان می دهند و چون خود را کمتر مسئول می دانند ، معمولا در مواجه با در خواستهای نفوذگرانه خود را برای تحلیل شرایط و سنجش میزان ریسک به زحمت نمی اندازند . در نتیجه برای این افراد دلایل سطحی کفایت می کند. اما توجه به این نکته ضروری است که این نوع افراد از تعدد دلایل (هر چند تا حدودی نا مربوط) به وجد می آیند. بنابراین برای ایجاد همکاری ر این افراد باید نفوذگر تعداد مناسبی دلایل سطحی آماده کند!
حال تعدادی از راههای مبارزه با این حمله ها را از دید روانشناسی بر می شماریم:
سعی شود امنیت را به بخشی از زندگی کارمندان تبدیل کنیم. افراد را بیشتر در مسئله ی حفظ امنیت سیستم درگیر کنیم . بدین ترتیب افراد احساس مسئولیت بیشتری از خود نشان می دهند.
به کارمندان توضیح و آموزش داده شود و در این امر باید باآنها صادق بود و در هر موردی تا حد امکان هر دو روی مسئله برای آنها تشریح شود. چون اگر افراد با دلیل و منطق قانع شوند ( و نه فقط با اعمال قوانین و پیروی کورکورانه از آنها) ، قابلیت اعتماد بیشتری در مواجه با حملات نفوذگرانه از خود نشان می دهند.
مهارتهای فردی و روانی کارمندان را افزایش دهیم، مثلا برگزاری کلاسهای تقویت اعتماد به نفس و راههای مقابله با فشار و اضطراب ، برای کارمندان در سازمان می تواند ایده ی خوبی در جهت بهبود مسائل امنیتی سازمان در بلند مدت باشد.

این صفحه را در گوگل محبوب کنید

[ارسال شده از: فان پاتوق]

[مشاهده در: www.funpatogh.com]

[تعداد بازديد از اين مطلب: 251]