بخشی از مقاله
معرفی مهندسی اجتماعی و ابزارهای آن
چکیده
مهندسی اجتماعی سوء استفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است، که به کمک مجموعه ای از تکنیکها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد می کند. در مهندسی اجتماعی مهاجم به جای استفاده از روش های معمول و مستقیم نفوذ جمع آوری اطلاعات و عبور از دیواره آتش برای دسترسی به سیستم های سازمان و پایگاه دادههای آن، از مسیر انسانهایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیکهای فریفتن آنها، به جمع آوری اطلاعات در راستای دستیابی به خواستههای خود اقدام می کند. ما در این مقاله ضمن توضیح مهندسی اجتماعی و کاربردهای آن به معرفی دو ابزار کارآمد مهندسی اجتماعی به نام های MaltegO و مجموعه ابزارهای OSINT می پردازیم. بخش اول مقدمات و تعاریف مهندسی اجتماعی مانند اصول مهندسی اجتماعی، انواع مهندسین اجتماعی، چرخه حملات مهندسی اجتماعی، مهندسی اجتماعی معکوس بیان میگردد. در بخش دوم به معرفی مجموعه ابزارهای OSINT و انواع ابزار و سرویسهای میپردازیم . OSINT مبنایی برای پیدا کردن (جستجو) اطلاعات عمومی موجود در بستر اینترنت، تجزیه و تحلیل آن و سپس استفاده از آن برای اهداف متفاوت است. این اطلاعات برای یک هکر بسیار ار به طور شگفت انگیزی در اغلب مشاغل از اهمیت OSINT در مباحت امنیتی چشم پوشی می شود و به اصطلاح ابزارهای OSINT را
شمند است. علاوه بر این از OSINT به عنوان ابزاری برای تست نفوذ در شبکه نیز استفاده می شود.
بیشتر شرکت ها و سازمانهای دولتی و خصوصی نادیده می گیرند. به کمک OSINT می توان اطلاعات مفیدی راجع به زیر ساخت شبکه در یک سازمان و همچنین اطلاعات عمومی دیگری از جمله پست الکترونیکی مدیران و کارمندان و... را به دست آورد که این خود میتواند نقطه آغازی برای انجام حملات مهندسی اجتماعی باشد. اگر شما از نقش OSINT در شبکههای اجتماعی آگاهی نداشته باشید، یک عامل بالقوه برای از دست دادن بخشی از اطلاعات حیاتی و ارزشمند خود در بستر شبکه اینترنت هستید. در بخش سوم به بررسی یکی از بهترین ابزارهای مهندسی اجتماعی به نام MaltegO میپردازیم. MaltegO یک ابزار جمع اوری اطلاعات است که به کاربران امکان میدهد تا اطلاعاتی راجع به زیر ساختهای شبکه؛ اشخاص و ... به روشی ساده جمع آوری نموده و روابط بین آنها را به صورت گرافیکی مشاهده کنند.
۱- مهندسی اجتماعی
۱-۱- مقدمه ما هیچگاه نمی توانیم شبکههای خود را کاملا" ایمن کنیم اما اگر هم روزی بخواهیم به منطق ۹۹.۹٪ ایمنی برسیم نمیتوانیم عامل انسان را از چک لیستهای تست امنیتی خود حذف کنیم . علوم
مهندسی اجتماعی یک هنر است و یاد گیری این هنر برای کلیه کارمندان و مدیران سازمانها ضرورت دارد تا افشای اطلاعات از طریق عامل انسان را به صفر برسانند. اگر با این علم در هیچ حدی اشنایی ندارید پس جالب است بدانید مهاجمین خبره قادرند بدون هیچ گونه تماس فیزیکی، به اطلاعات و مستندات حساس شما دسترسی پیدا کنند. آنها با وانمود کردن خود به عنوان یکی از کارمندان دیگر شعب، شرکا و یا حتی کارمند بخشهای داخلی سازمان و تلاش می کنند تا با اغفال افراد و تحریک آنها با
تکنیکهای خاص خود بپردازند . ||۹| مهندسی اجتماعی هنر بهره برداری از رفتارهای آسیبپذیر انسانها برای ایجاد شکاف امنیتی بدون هیچ ظن و گمانی از سوی قربانی است.
در راهنمای مطالعه SSP Ci، مهندسی اجتماعی به این صورت تعریف شده است: «مهارتی است که به وسیله شخصی مجهول، برای بدست آوردن اعتماد افراد درون سازمان و تشویق آنها برای ایجاد تغییرات دلخواه در سیستمهای آا و در جهت دستیابی به حق دسترسی استفاده می شود». در نسخه انگلیسی زبان ویکی پدیا، مهندسی اجتماعی به این صورت تعریف شده است : « مهندسی اجتماعی، تکنیک بدست آوردن اطلاعات محرمانه به وسیله تحریک کاربران مجاز است»
کوین میتنیک (KeVin Mitnick) یکی از معروفترین هکرهایی است که دلیل موفقیتش، استفاده از تکنیکهای مهندسی اجتماعی بوده. وی کتابی را پس از آزادی از زندان درباره مهندسی اجتماعی تحت عنوان «هنر فریفتن» تالیف کرده که تعریف زیر از کتاب وی آورده شدهاست:
«مهندسی اجتماعی انسانها را با روش های مختلف فریب داده و با متقاعد کردنشان از آنها برای دستیابی به اطلاعات، سوء استفاده می کند» [۲]
مهندسی اجتماعی سوء استفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است، که به کمک مجموعه ای از تکنیکها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد میکند.
مهاجم به جای استفاده از روش های معمول و مستقیم نفوذ جمع آوری اطلاعات و عبور از دیواره آتش برای دسترسی به سیستمهای سازمان و پایگاه دادههای آن، از مسیر انسانهایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیکهای فریفتن آنها، به جمع آوری اطلاعات در راستای دستیابی به خواسته های خود اقدام می کند. بعد از اتمام کار مهندسی اجتماعی هیچ گونه فناوری پیچیده از جمله رمز گشایی و رمز گذاری اطلاعات وجود ندارد و نتیجه ای که به دست آمده دقیقا همان چیزی است که مهندس اجتماعی به آن نیاز داشته است. هر زمان که شما سعی در وادار نمودن کسی به انجام کار موردنظر خود نمایید، یک عمل مهندسی اجتماعی را انجام دادهاید. از یک کودک که سعی در وادار نمودن والدین به خرید اسباب بازی مورد نظر خود می نماید تا تلاش افراد
بزرگسال برای بدست آوردن یک شغل یا ارتقاء شغلی، همگی شکلی از مهندسی اجتماعی را در برمی گیرند. مهندسی اجتماعی، از ضعیف ترین اتصال در خطوط دفاعی امنیت اطلاعات هر سازمان، یعنی نیروی انسانی بهرهگیری می نماید. به زبان ساده، مهندسی اجتماعی، به معنای «هک کردن» افراد بوده و با سوء استفاده از طبیعت اعتماد متقابل بین انسانها، به اطلاعاتی که میتوانند برای کسب منافع شخصی مورد استفاده قرار گیرند، دستیابی حاصل می گردد.[۱٫۲٫۳٫۴]
۲-۱- یک شخصی با قابلیت مهندسی اجتماعی کیست؟
جدول (۱): انواع مهندسین اجتماعی
به فردی که با حیله، تحریک، متقاعد سازی و نفوذ در اشخاص در حین برقراری تماس با آنها میتوانند اطلاعات مورد نیاز خود را به دست آورند یک مهندسی اجتماعی یا Social Engineer گویند. در گروه مهندسان بر پایه اطلاعات فنی این هکرها و فیشرها هستند که با اطلاعات خود مانور می دهند مانند کسانی که اقدام به طراحی و توسعه صفحات دروغین بانکها و موسسات مالی به منظور سرقت نام های کاربری و کلمه عبور می نمایند و یا کسانی که سعی می کنند در کارهای خود از تلفیقی علوم فنی خود و مهندسی اجتماعی استفاده نمایند مانند هکرهایی که با ارسال ایمیل با متنهای تحریک کننده کاربر را وادار به دریافت فایلهای ضمیمه می کنند.
اهداف خود را با ایجاد ارتباط با اشخاص به وسیله تلفن و یا تماسی فیزیکی انجام میدهند. این گونه افراد معمولا دارای اطلاعات فنی زیادی نبوده و با شریک شدن با متخصصین ماهر تاثیر و قدرت حمله خود را دو چندان می نمایند. مهندسین اجتماعی اقدام به جمع آوری اطلاعات می کنند که بعدها توسط کارشناسی مهاجم
تکنیکی برای دسترسی به کار گرفته میشود.[۱۳٫۹]
۳-۱- منشا حمله های مهندسی اجتماعی
حمله های مهندسی اجتماعی از سه ناحیه سرچشمه میگیرند :
داخلی : اکثر تهدیدهای داخلی از سمت کارکنانی صورت می گیرد که میتوانند به شخصه یا با استفاده از کارکنانی که به سیستمهای آا سازمان دسترسی دارند، به جمع آوری اطلاعات حساسی و مهم بپردازند و شامل شامل، کارکنان ناراضی، موقتی و کارگران، از قبیل مسئولین نظافت و پرسنل تعمیرات میباشند. .8 اشخاص مورد اعتماد: اینگونه تهدیدها از سمت اشخاصی است که با سازمان در یکسری از بنیان های قانونی و رسمی مرتبط می باشند. این افراد شامل پیمانکارها، مشاورین و شرکای سازمان هستند.
* خارجی : این تهدیدها، از سمت انسانهایی است که هیچگونه ارتباطی با سازمان ندارند. این مجموعه شامل هکرها، رقبایی که در پی آشکار کردن اطلاعات محرمانه سازمان هستند و یا
بزه کاران و دزدان میباشد.[۵٫۷]
۱- ۴- انگیزه ها
* بهره برداری مالی: به دلایل گوناگون، افراد تحت تاثیر دستیابی به پول و ثروت می باشند. به عنوان مثال فرد ممکن است، باور داشته باشد که وی سزاوار دستمزد بیشتری است و یا نیاز به پول بیشتری برای عادات خارج از کنترلی چون قمار دارد.
* نفع شخصی: مهاجم ممکن است خواستار دسترسی و ویرایش اطلاعات مربوط به خود، اعضای خانواده و دوستان باشد. & انتقام : بنابر دلایل قابل درک تنها توسط فرد مهاجم، وی
ممکن است دوست، همکار، سازمان و یا مجموعه ای از افراد را برای ارضا کردن احساسات و شهوات خود در جهت انتقام یا کینه توزی مورد هدف قرار دهد.
.* فشارهای خارجی: مهاجم ممکن است از سمت دوستان، خانواده یا سندیکایی سازمان یافته، به دلایلی از قبیل بهره برداری مالی، منفعت شخصی و یا انتقام تحت فشار و تهدیدهای جانی و مالی بوده و چنین کاری را انجام دهد.[۵٫۷]
۱ - ۵- چرخه حملات مهندسی
چرخه حملات مهندسی اجتماعی شامل چهار مرحله است
* جمع آوری اطلاعات: مجموعه ای از تکنیکهای مختلف، که توسط مهاجم برای جمع آوری اطلاعات درباره هدف، مورد استفاده قرار میگیرد. مهاجم با استفاده از این تکنیکها به جمع آوری اطلاعات ساده اما مفیدی مانند لیست شماره تلفن ها، تاریخ تولد، نمودار سازمانی و... میپردازد، تا با استفاده از انها به اطلاعات کلیدی و مورد هدف دست یابد.
** برقراری ارتباطات: مهاجم در این مرحله از رضایت و میل شخص قربانی برای ایجاد اعتماد، در جهت برقرای ارتباط، سوء استفاده می کند.
** بهره کشی: قربانی در این مرحله تحت تاثیر اعتماد فرد مهاجم در جهت آشکار کردن اطلاعاتی چون رمز عبور یا انجام کارهایی که در حالت طبیعی انجام نمیداده، مانند ساختن شناسه کاربری برای فرد مهاجم و... قرار میگیرد.
* عمل و اجرا: زمانی که قربانی عمل خواسته شده از سمت مهاجم را انجام داد، چرخه پایان یافته و مهاجم به خواسته خود رسیده است.
شکل (۱):الگوی حملات مهندسی اجتماعی
هر مرحله چرخه مهندسی اجتماعی بسته به شرایط و تکنیکهای مختلف مورد استفاده، منحصر به فرد می باشد. همچنین، هر مرحله به تکمیل و موفقیت مرحله قبلی وابسته است. اغلب، برای انجام حمله ای موفق، این سیکل بارها تکرار می شود. زیرا برقراری ارتباط و جلب اعتماد کار سادهای نیست.||||||||۷|||||||
۶-۱- مهندسی اجتماعی معکوس
در تمام روش هایی که ذکر شده، مهاجم خود به سراغ هدف رفته و از وی کاری را درخواست می کند. اما در این روش، مهاجم شرایطی را فراهم می آورد تا فرد قربانی، از وی تقاضای کمک کند، به همین
علت، این روش را مهندسی اجتماعی معکوس مینامند. مهندسی اجتماعی معکوس در سه مرحله انجام می شود:
* کارشکنی و خرابکاری: مهاجم پس از بدست آوردن دسترسی های ساده، سیستم کامپیوتری را دچار مشکل می کند و یا خراب جلوه میدهد. در نتیجه، کاربر سیستم، متوجه مشکل می شود و به دنبال کمک میگردد.
* بازاریابی: در این مرحله مهاجم به نحوی خود را به کاربر معرفی می کند، یا از قبل معرفی کرده است. به عنوان مثال کارت ویزیت خود را در محل کار کاربر قرار داده و یا شماره تماس خود را با یک پیام اشتباه، بر روی پیغام گیر گذاشته است. بنابراین، مهاجم این اطمینان را خواهد داشت که کاربر با وجود خرابی و دیدن ردپای ناجی با وی تماس خواهد گرفت .
* پشتیبانی و حمایت: در این مرحله مهاجم به حل مشکل کاربر خواهد پرداخت، با اطمینان از اینکه کاربر هیچ ظن و گمانی به وی ندارد و خود خواستار کمک از او شده است. مهاجم در این زمان به دو طریق اطلاعات را جمع آوری می کند، یا در همان زمان به جمع آوری اطلاعاتی که مورد نظرش می پردازد، که در این صورت ممکن است ردپای خرابکاری خود را بر جای بگذارد و دیگر فرصت دسترسی به سیستم برای وی فراهم نشود یا اینکه به ایجاد رابطهای همراه با اعتماد میپردازد، تا امکان دسترسی مجدد به سیستمهای سازمان، برای حمله های آینده را به وجود آورد.
۷-۱- هشدار به حرفه ای ها در اینجا خاطره یک متخصصیit را مطالعه می کنید که به خاطر تجربه خود تصور می کرد که هیچ گاه در تله مهندسی اجتماعی نخواهد افتاد. او میگوید: «یک روز من با اتصال اینترنت پرسرعت خود مشکل داشتم. به این فکر افتادم که از دسترسی Dialup استفاده کنم، زیرا به هرحال، بهتر از عدم دسترسی به e-mail ها و سایر کارهای ابتدایی Online بود. من با isp خود تماس گرفته و به مسئول پشتیبانی فنی گفتم که کلمه عبور Dial-up خود را فراموشی کردهام. این وضعیت، میتوانست آغاز یک فرآیند مهندسی اجتماعی باشد که من می توانستم دربرابر آن مقاومت کنم، ولی من در آن فرو رفتم. متصدی پشتیبانی فنی، برای یک دقیقه مکث کرد و به نظر میرسید که در حال بررسی اطلاعات حساب Dial-up من است.» از من پرسید: «شما چه کلمه عبوری را امتحان می کنید؟»
من به شکل احمقانه ای تمام عباراتی که میتوانستند کلمه عبورم باشند را بیان کردم. برای چند لحظه، سکوت در تماس تلفنی ما حاکم شد. او کلمه عبور من را تعویض کرد و رمز جدید را به من اطلاع داد. پس از قطع کردن تلفن، من به خودم گفتم «اینجا چه اتفاقی افتاد؟ من در معرض مهندسی اجتماعی قرار گرفتم. یعنی من دیوانه شدهام؟». من تمام کلمات عبوری که در رابطه با حساب کاربری اینترنت خود فاش کرده بودم را تغییر
