هر زمان که خواستیم مهندسی اجتماعی را تعریف کنیم از تعاریف ۱۰ سال قبل استفاده شده است. بیایید آن را کمی اصلاح کنیم؛ اما قبل اینکه به تعریف مهندسی اجتماعی برسیم بیایید یک نکته بسیار مهم را بررسی کنیم: مهندسی اجتماعی از نظر سیاسی درست نیست! شاید درک این مطلب برای مردم سخت باشد اما این واقعیت دارد که مهندسی اجتماعی از چنین واقعیت هایی همچون سوگیری جنسیتی٬ تعصب نژادی و سوگیری سنی ٬ و همچنین ترکیبی از آنها استفاهد میکند.
برای مثال فرض کنید باید به ساختمان مشتری نفوذ کنید٬ برای اینکار باید بهانه ای را ایجاد کنید تا بتوانید به راحتی وارد ساختمان شوید.و تیم شما از افراد مختلف تشکیل شده است. اگر تشخیص دهید که بهترین بهانه برای انجام نفوذ ٬ کارکنان سرایداری میباشد٬ کدام یک از افراد زیر را انتخاب میکند؟ کدام یک مناسب تر خواهد بود؟
-- مرد ۴۰ ساله با رنگ موی سفید
-- زن آسیایی ۴۳ ساله
-- زن ۲۷ ساله لاتین تبار
و اگر تشخیص دهید که بهترین بهانه برای نفوذ به ساختمان استفاده از آشپزخانه بین سازمانی ( ارائه آشپز) باشد کدام را انتخاب میکنید؟
-- مرد ۴۰ ساله با رنگ موی سفید
-- زن آسیایی ۴۳ ساله
-- زن ۲۷ ساله لاتین تبار
واقعیت این است که یک مهندس اجتماعی ماهر میتواند هر یک را که انتخاب کند از آن بهترین خروجی کار را دریافت میکند با کمترین تفکر. اما کدام یک میتواند بهترین انتخاب ما باشد؟ باید به یاد داشته باشید که تفکر٬ تفکر دشمن است برای یک مهندس اجتماعی.
با در نظر گرفتن این موضوع بیایید مهندسی اجتماعی را تعریف کنیم...
مهندسی اجتماعی هر نوع عملی است که فرد را در شرایط مختلف تحت تاثیر قرار میدهد تا کاری را انجام دهد که یا به سود او باشد و یا به ضرر او.
حالا چرا اینقدر گسترده و کلی تعریف کردیم ؟ چون من معتقدم که مهندسی اجتماعی همیشه دارای ابعاد منفی نیست.
زمانی بود که میتوانستید بگویید : ( من یک هکر هستم ) بدون اینکه مردم برای مراقبت از خودشون فرار بکنند یا هر دستگاه دیجیتالی خود را از خود دور نمایند. هکر بودن زمانی به معنای این بود که کسی که بتواند و بداند که چه کاری انجام میدهد. - مثلا زمانی به کسی که بتونه یک صندلی رو در یک مکان گنبدی شکل در یک پایه بندازه و ثابت بمونه و در عمل کار خارق العاده ای انجام بده هکر میگفتیم. هکر تبلیغات فقط به دانش قانع نبود و میخواست در درونیات هرچیزی را کاوش کند.سپس بعد اینکه فهمید حالا هکر میبیند که میتواند دور بزند یا آن را بهبود دهد یا از آن بهره برداری کند؟ و یا هدف اصلی را تغییر دهد. وقتی شروع به نوشتن کردم نمیخواستم این مطالب همیشه ابعاد منفی ٬ کلاهبرداری و وحشت را داشته باشد. در اصل همان اصولی که افراد بد از آن استفاده میکنند میشود افراد خوب نیز از آن استفاده بکنند در واقع همین رو میخواهیم نشون بدیم.
وقتی بتوانید بفهمید که چگونه تصمیم گیری میشود میتوانید بفهمید یک مهاجم چگونه در عرض ثانیه های اندک با استفاده از احساسات عاطفی شما و... میتواند شما را وادار به انجام کاری بدون تفکر کند.
ما در بدن هورمونی به نام اکسی توسین وجود دارد. این هورمون با اعتماد بسیار مرتبط است و زمانی ترشح میشود که احساس میکنیم کسی به ما اعتماد دارد. و این نکته را داشته باشید که مغز شما نه تنها هورمون اکسی توسین را هنگامی که کسی به شما اعتماد کرده است بلکه زمانی که شما به کسی اعتماد کرده اید نیز ترشح میکند.این پدیده حضوری ٬ تلفنی ٬ اینترنتی نیز شکل میگیرد.
ماده شیمیایی دیگری که مغز ما تولید میکند دوپامین است. دوپامین یک انتقال دهنده عصبی است که توسط مغز ما تولید میشود در لحظات شادی ٬ لذت و تحریک آزاد میشود.حالا اکسی توسین را با دوپامین ترکیب کنید :) حالا یک کوکتل مغزی مهندسی اجتماعی خواهید داشت که میتوانید هر دری را که میخواهید باز کنید. دوپامین و اکسی توسین در طول زمان صمیمیت های ما ترشح میشوند٬ البته میتوان در لحظات صحبت عادی نیز ترشح شد. دقیقا این گفتگو ها در هسته مهندسی اجتماعی قرار دارند.
من معتقدم ما روزانه با همسر ٬ روسا ٬ همکاران ٬ روحانیون ٬ درمانگر ها ٬ افراد خدماتی و هر کس که با آنها دیدار میکنید به شکل ناآگاهانی از همین اصول استفاده میکنیم. در نتیجه درک مهندسی اجتماعی و برقراری ارتباط اکنون برای همه مردم ضروری است. در دنیای فناوری برقراری ارتباط با استفاده از ۲۸۰ یا بیشتر ایموجی شکل گرفته است یادگیری نحوه مکالمه سخت تر شده چه برسد به اینکه چه زمانی از این مهارت علیه ما استفاده شده است... حتی جلوتر بریم میبینیم که رسانه های اجتماعی جامعه ای را ایجاد کرده اند که گفتن همه چیز درباره خود به همه قابل قبوله و حتی تبلیغ نیز محسوب میشه. وقتی از یک دیدگاه مخرب مهندسی اجتماعی را بررسی میکنم آن را به ۴ بردار زیر تقسیم میکنم:
SMSshing:
بله این یک چیز واقعی است در واقع همان SMS فیشینگ میباشد که از طریق پیام های متنی میباشد مانند شکل زیر:
این برای ولز فارگو هستش اما چیزی که دیوانه کننده هست اینه که من حتی اصلا از آن استفاده نمیکنم ولی این حمله را دریافت کردم. این حملات برای سرقت اطلاعات کاربر و یا نصب بدافزار در دستگاه تلفن شما و گاهی اوقات هر دو انجام میشود.
Vishing:
این فیشینگ در واقع از حالت صوتی استفاده میکند. از به عنوان یک بردار از سال ۲۰۱۶ به بعد بسیار روند افزایشی به خود دیده است. برای مهاجم آسان ٬ ارزان و سود آور است. و همچنین غیر ممکن است که مهاجم را که از شماره های جعلی خارج از کشور استفاده میکند را شناسایی و پیدا کنید.
Phishing:
موضوعی که بیشترین بحث را در زمینه مهندسی اجتماعی دربرمیگیرد فیشینگ است٬ فیشینگ برای تعطیل کردن کارخانه ها ٬ هک کردند DNS ٬ ایجاد نقض در کاخ سفید و همچنین ده ها شرکت بزرگ و سرقت میلیون ها دلار از کلاهبرداری های مختلف و میتوان به راحتی گفت فیشینگ خطرناکترین بردار حمله میباشد.
Impersonation / جعل هویت :
این یکی متفاوت بوده و تنها کاری که میتوانستیم انجام دهیم قرار دادن آن در آخر لیست میبود. با این حال قرار گرفتن آن در لیست بسیار ما را خوشحال خواهد کرد. در ۱۲ ماه گذشته ما داشتیم صد ها داستان از افرادی که هویت پلیس ٬ ماموران فدرال و حتی کارمندان میبود را جمع آوری میکردیم ٬ که مرتکب جنایات واقعا وحشتناکی شده بودند. مثلا در آوریل ۲۰۱۷ مردی هویت خود را پلیس معرفی کرده بود و آن را جعل کرده بود که البته دستگیر شد ٬ او با پورنوگرافی کودکان کار میکرد و از جعل هویت خود سو استفاده میکرد.
تمام حملات اجتماعی که میخوانید را میتوان در این چهار بردار تقسیم کرده و جای داد. و اما ما اخیرا شاهد حملاتی هستیم که به آنها حملات ترکیبی میگویند. مهندسان اجتماعی مخرب از ترکیبی از اینها برای دستیابی به منافع خود استفاده میکنند. وقتی این نوع حملات را تجزیه و تحلیل میکنیم ٬ شروع به دیدن یک سری الگو ها میکنیم که نه تنها انواع ابزار ها و فرایند ها را شناسایی میکند بلکه میتوانند به یک متخصص امنیت نیز کمک کند تا نحوه انجام این حملات را با وضوح بیشتری تعریف کند و سپس از نتایج جهت آموزش و محافظت استفاده کند که من آن را هرم مهندسی اجتماعی نامیده ام.
ادامه دارد
بخش دوم