مهندسی اجتماعی چیست ؟
دراین اموزش به مبحث مهم و جذاب مهندسی اجتماعی میپرداریم و یاد میگیریم نفوذگر به چه صورت بدون داشتن تخصص فنی قادر خواهد بود تا اطلاعات مهمی را بدست اورد.
اشنایی با مهندسی اجتماعی
به زبان ساده مهندسی اجتماعی به معنای هنر فریب دادن است. منطق این نوع حملالت بسیار ساده است
در ادامه توجه شما را به مثال های ذیل جلب میکنم
اولین قدم نفوذگر جمع اوری اطلاعات است و زمانی که اطلاعاتی ازجمله رفتار ها و شخصیت شما به دست اورد شخصیت و افکار خود را دقیقا با شخصیت و افکار شما هماهنگ میکند. سوالی که ممکن است توجه شما را به خود جلب کند این است که یکی کردن افکار و شخصیت نفوذگر با قربانی چه مزیتی دارد
معمولا انسان ها به افرادی که شخصیت و طرز فکر همنوع خودشان را دارند سریعتر اعتماد میکنند و نفوذگرها و مهندسین اجتماعی از این ضعف سو استفاده میکنند. در مرحله بعدی نفوذگر با شما یک ارتباط صمیمی را ایجاد میکند و به نحوی از شما اطلاعات میگیرد که به هیچ وجه متوجه دادن اطلاعات نخواهید شد.
در ادامه شما را با مثالی اشنا میکنم تا بهتر این موضوع را درک کنید
جمع اوری اطلاعات
نفوذگر سعی براین دارد تا وارد حساب کاربری شما بشود ودر زمان انجام عملیات به یک سوال امنیتی برخورد میکند که (نام حیوان خانگی شما چیست؟) در این مرحله نفوذگر متوجه میشود
که قربانی دارای یک حیوان خانگی می باشد و برای نفوذ به اکانت کاربری شما به ان نام احتیاج دارد
در مرحله بعدی به هر نحوی با شما ارتباط برقرار میکند و به صورت مستقیم یا غیر مستقیم و با سخن های احساسی خودش را دوست دار حیوانات معرفی میکند ، در این مرحله به دلیل اینکه قربانی حیوانی خانگی دارد این موضوع را به نفوذگر ارائه میدهد
در مرحله بعدی نفوذگر خواستار نام حیوان خانگی قربانی میشود
که در واقع درمرحله بعدی نفوذگر به سادگی داخل اکانت قربانی وارد خواهد شد.
جعل هویت
یکی از روش های دیگر مهندسی اجتماعی جعل هویت است به عنوان مثال نفوذگر خود را به عنوان پشتیبانی شبکه معرفی میکند و خواستار یکسری از اطلاعات از شما میشود که با استفاده از این روش در چندین سال پیش چند شخص ایرانی توانستند به سایت Twitter دسترسی بگیرند و صفحه اصلی این سایت را دیفیس کنند.
روش مهندسی اجتماعی به دو دسته کلی تقسیم میشود
- – 1 مهندسی اجتماعی مبتنی بر کامپیوتر
- – 2 مهندسی اجتماعی مبتنی بر انسان
حملات مهندسی اجتماعی شاخه های مختلفی دارد همانند vishing , Phishing یکی از ساده ترین روش ها روش Shoulder Surfing است که در ادامه با سه نوع روش مهندسی اجتماعی اشنا میشویم
Phishing یا فیشینگ چیست ؟
تصور کنید برای خرید کالایی اقدام به پرداخت اینترنتی میکنید و به سایت مربوطه مراجعه میکنید و زمانی که به درگاه پرداخت اینترتی بانک هدایت میشوید باید اطلاعات بانکی خود را وارد کنید
و اقدام به پرداخت نمایید و پس از ان کالای مورد نظر خود را دریافت کنید.
اما به این سادگی ها هم نیستدرواقع شما وقتی وارد درگاه پرداخت اینترنتی بانک میشوید دوحالت وجود دارد
حالت اول : صفحه درگاه یک صفحه واقعی است و اطلاعات شما مستقیم به بانک ارسال میشود
حالت دوم : ممکن است ان صفحه یک صفحه جعلی باشد که توسط یک نفوذگر ساخته شده است
و اطلاعات شما مستقیم به دست نفوذگر میرسد.
نکته : زمانی که وارد یک صفحه پرداخت اینترنتی میشویم
باید بسیار هوشیار باشیم تا بتوانیم صفحات جعلی را شناسایی کنیم.
چطور صفحات فیشینگ را از صفحات اورجینال تشخیص بدهیم ؟
در قدم نخست باید به ادرس درگاه پرداخت اینترنتی بانک مورد نظر توجه کنیم و اگر ادرس بار ان صفحه با http شروع میشد متوجه میشویم که این صفحه یک صفحه کاملا جعلی است ولی اگر با https شروع شد احتمال اورجینال بودن سایت وجود دارد اما باز هم نیمیتوان به طور کامل به ان ادرس اعتماد کرد.
در مرحله بعدی باید به ادرس بار یا همان URL توجه کنیم برای مثال به ادرس بار بانک ملت توجه کنید
bpm.shaparak.ir
در بالا ادرس اصلی را مشاهده میکنید
نفوذگر دامنه ای خریداری میکند که شباهت بسیار زیادی با دامنه اصلی دارد
به دامنه زیر توجه کنید
bpm.shaparaak.ir
در ادرس بار بالا اگر دقت کنید متوجه ان میشوید که یک حرف a به دامنه اصلی اضافه شده است
در قدم بعد نفوذگر صفحه جعلی که دقیقا مشابه صفحه پرداخت می باشد را ساخته است و ان را بر ان دامنه قرار میدهد و شما را به هر نحوی با استفاده از مهندسی اجتماعی به ان صفحه جعلی هدایت میکند و شما پس از وارد کردن اطلاعات , اطلاعات خود را مستقیم برای نفوذگر ارسال میکنید و اطلاعات شما به سرقت میرود
پس ما حتما باید قبل از عملیات پرداخت و ورود به حساب کاربری در هر جایی به ادرس سایت دقت داشته باشیم
اما اگر ادرس سایت دقیقا شبیه به ادرس اصلی بود مجددا احتمال جعلی بودن سایت وجود دارد.
در قدم بعدی یاد میگیریم که به چه صورت جعلی بودن یک صفحه را تشخیص دهیم
شما زمانی که به صفحه پرداخت هدایت شدید اول ازهرعملیاتی یک اطلاعات فیک را در فرم ها وارد کنید
(اطلاعاتی که به هیچ وجه وجود نداشته باشد)
حالت های وارد کردن اطلاعات فیک برای مقابله با مهندسی اجتماعی
زمانی که اطلاعات فیک را وارد کردیم دو حالت پیش روی ماست
حالت اول : اخطار غلط بودن اطلاعات را به ما نمایش میدهد که در این حالت متوجه میشویم که صفحه اورجینال است اما همچنان هم نمیتوان به طور 100% گفت صفحه جعلی نیست چرا که ممکن است این ارور را نفوذگر برای گمراه کردن کابر قرار داده باشد
حالت دوم : پیام عملیات با موفقیت انجام شد را به ما نمایش میدهد
که در این حالت متوجه میشویم که صفحه یک صفحه جعلی بوده و قصد سو استفاده را از کاربر را داشته است.
ممکن است این سوال برای شما به وجود بیاید که دلیل اینکه می گوییم اگر اطلاعات غلط وارد کردید و پیام موفقیت امیز دریافت کردید , ان صفحه جعلی است چیست ؟ شما زمانی که از یک صفحه اورجینال اقدام به پرداخت میکنید اطلاعات شما به سرور اصلی بانک ارسال می شود و اطلاعات وارد شده توسط شما را در دیتابیس مورد جستجو قرار میدهد
اگر اطلاعات شما درست باشد و ان در دیتابیس وجود داشته باشد پیام موفقیت امیز را نشان میدهد
و هر زمانی که اطلاعات غلطی را وارد کرده اید و پیغام خطا دریافت میکنید
این پیغام خطا نشان دهنده این است که صفحه اورجینال است.
اما زمانی که شما وارد یک صفحه جعلی می شوید و اطلاعات خود را در ان صفحه وارد میکنید اطلاعات شما مستقیم به دست نفوذگر میرسد و اطلاعات شما در هیچ دیتابیسی مورد بررسی قرار نمیگیرد و با پیغام پرداخت عملیات با موفقیت انجام شد را به را میشوید و چون اطلاعات غلطی وارد کردیم و پیغام موفقیت امیز دریافت میکنیم بدون شک ان صفحه جعلی می باشد.
مهندسی اجتماعی و Vishing چیست ؟
در روش ویشینگ نفوذگر با شما تماس گرفته و خود را جای افرادی ازجمله کارمند بانک قرار میدهد
و از شما درخواست اطلاعاتی را میکند و به نحوی از شما اطلاعات را میگیرد که اصلا متوجه نمیشوید برای مثال ساعت 1:30 دقیقه با شما تماس میگیرد و میگوید که برای حساب شما مشکلی پیش امده و اطلاعات لازم را در اختیار من قرار دهید تا مشکل حساب شما را برطرف کنیم و امروز روز اخر مهلت ان است و با صحبت هایی که میکند شما را در برابر حجمی عظیم از استرس قرار میدهد و شما ساعت را مشاهده میکنید که زمان زیادی تا پایان زمان اداری در اختیار ندارید و درطرف دیگر تلفن , نفوذگر حواس شما را از کاری که قرار است انجام دهید منحرف میکند و با عصبانیت و خشونت با شما صحبت میکند
برای مثال (لطفا سریع تر باشید ساعت اداری رو به اتمام است)
و کارهای لازم رو انجام میدهد تا شما به هیچ وجه به چیزی شک نکنید و در نهایت اطلاعات شما را در اختیار میگیرد و مورد سو استفاده قرار میدهد. دقت داشته باشید که بانک ها اطلاعات بانکی شما را در اختیار دارند و به هیچ عنوان نیاز به تماس با شما و گرفتن اطلاعات از شما ندارند پس حواستان را جمع کنید تا در دام این حملات قرار نگیرید.
Shoulder Surfing چیست ؟
روش Shoulder Surfing یکی از روش های بسیار ساده اما جالب است که در مثال زیر با ان اشنا میشوید
برای مثال تصور کنید شما کنار دوستانتان نشسته اید و دوست شما وارد اکانت خود می شود
و در همان زمان شما پسورد را مشاهده میکنید و ان پسورد را حفظ میکنید به همین راحتی
در اینجا با چندین روش از روش های مهندسی اجتماعی اشنا شدید و پیشنهاد میکنم اگر علاقه مند به فعالیت در این زمینه هستید باید خلاقیت خود را بیشتر کنید و در راه های درست از این روش ها استفاده کنید.
خالقیت اکسیژن هکر ها است
همیشه در نظر داشته باشید امنیت هیچگاه صد درصد نیست بهترین امنیت کارها باید بهترین هکرها باشند
در اموزش های بعدی به مباحث دیگر مهندسی اجتماعی مانند هوموگراف میپردازیم
موفق و پیروز باشید.
۴ دیدگاه در “مهندسی اجتماعی چیست ؟”
ممنون
مطلب مفیدی بود.
از سایت خوبتان بسیار متشکرم
یک سوال:در حالت فیشینگ وقتی اطلاعات بانکی غلط در صفحه بانکی جعلی وارد کردیم و نفوذگر برای گمراه سازی ما پیام “اطلاعات وارد شده صحیح نیست” را قرار داده بود در این حالت چه کنیم؟
دوباره اطلاعات غلط بدهیم؟ واگر دفعه دوم پیام “پرداخت با موفقیت انجام شد” را گرفتیم از جعلی بودن آن صفحه اطمینان حاصل کنیم؟
یعنی هر بار دوسه بار اطلاعات را غلط وارد کنیم؟
درود
از دیدگاه خوبتون سپاس گذاریم
این روش ۱۰۰% نیست و ممکن است صفحه های فیشینگ متفاوت باشند و ارور های مختلفی دهند برای مطمئن شدن دامنه را مورد برسی دقیق قرار دهید
ارگر با وارد کردن اطلاعات اشتباه پیغام پرداخت با موفقیت انجام شد دریافت کرده اید مطمئن باشید صفحه جعلی بوده است
ممنون از سایت خوبتون
درود بر شما
مرسی از دیدگاه خوبتون