مهندسی اجتماعی

تعدادی از افراد مهندسی اجتماعی را روشی ساده برای دروغ گوئی و کلاه برداری برای بدست آوردن چیزهای کم ارزش ، مثل قاپیدن تکه ای پیتزا نگاه می کنند! سایر افراد فکر می کنند مهندسی اجتماعی به ابزارهایی اشاره دارد که توسط افراد مجرم و کلاه بردار استفاده می شود و برخی مهندسی اجتماعی را علم و هنری مرموز می دانند که می تواند به اعضای خود توانایی استفاده از حیله های ذهنی قوی ، مثل آینده نگری ، تردستی یا جادوگری بدهد. واقعیت این است که مهندسی اجتماعی ، همه روزه توسط همه افراد ، در موقعیت های گوناگون استفاده می شود! کودکی که می کوشد به یک سالن آبنبات راه پیدا کند ، کارمندی که دنبال گرفتن ترفیع است ، کاسبی که می خواهد جنس خود را بفروشد ، دانش آموزی که دنبال نمره دلخواه است یا حتی کلاه برداری که قصد فریب مردم را دارد همگی به نوعی  از مهندسی اجتماعی استفاده می کنند. مهندسی اجتماعی همچون هر ابزار دیگری می تواند جنبه های خوب یا بد داشته باشد. مهندسی اجتماعی چه در راه مثبت و چه در راه منفی یعنی مهارت در نفوذ و هک انسانها!

یک مهندس اجتماعی می تواند نابغه ای باشد که بر دانش های فراوانی از جمله روانشناسی ، رفتار شناسی ، فناوری اطلاعات و حتی جدیدترین متد دفاعی و جاسوسی اشراف کامل داشته باشد پس هیچوقت یک مهندس اجتماعی حرفه ای را دست کم نگیرید!

تاکتیک های پایه ای

مهندسان اجتماعی معمولا از چهار اصول کلی و ساده جهت جلب اعتماد و رسیدن به اهداف سازمانی خود استفاده می کنند.

برانگیختن حس اعتماد و اطمینان

یکی از گامهای اولیه برای فریب، القاء حس اعتماد و اطمینان است. بطور مثال شخصی را در نظر بگیرید که قصد دارد وارد ساختمانی شود. او ممکن است از آرم و نشان جعلی استفاده کند تا وانمود نماید که از سوی یک شرکت خدماتی اعزام شده است. نکته کلیدی موفقیت در این کار آن است که او کاملا مانند شما رفتار کند تا حس اعتماد را به شما القاء کند و این عمل او باعث می شود تا نشان دهد هیچ چیزی برای پنهان کردن ندارد. القاء این حس می تواند با نوع رفتار، نحوه برخورد و حرکات بدن، صورت پذیرد. طبق بررسی های صورت گرفته، معمولا افراد امنیتی در جلسات محرمانه به آرم و علائم مهمانان توجه ندارند بلکه آنها به ظاهر و رفتار طرف مقابل دقت می کنند و همیشه با خود می گویند " چه کسی خود را جای مهمان جازده است و سعی می کند دزدکی وارد شود و چه کسی واقعا برای شرکت در جلسه حضور پیدا کرده است؟ "

روش دیگری که  از آن استفاده می کنند، سوال پرسیدن است. شخصی که سوال می پرسد، کنترل مکالمه را در اختیار می گیرد. وقتی شخصی از شما سوال می پرسد، او فورا شما را به حالت دفاعی می برد و شما خود را تحت یک فشار روانی احساس می کنید، تا بتوانید پاسخ صحیح یا مناسب را بیان نمائید. 

راهکار : به کارکنان خود توصیه کنید که براحتی به افراد غریبه اجازه ورود به ساختمان را ندهند. مراجعه کنندگان (و پیمانکاران) می بایست بطور کامل از لحاظ اعتبار مدارک مورد بررسی قرار گیرند حتی اگر از چهره های آشنا باشند. هر چند که این کار فقط پنجاه درصد از خطر را کم خواهد کرد!

دادن هدیه و یا ارائه خدمات رایگان

عکس العمل متقابل، حربه ی دیگری است که مهندسان اجتماعی از آن استفاده می کنند. وقتی افراد چیزی را به عنوان هدیه دریافت می کنند (حتی اگر آن هدیه از شخصی باشد که او را دوست ندارند)، احساس می کنند باید آنرا به شکلی برای او جبران کنند.

فاصله زمانی بین دادن هدیه و درخواست انجام یک کار، بسیار مهم است. اگر شما هدیه ای را به کسی داده اید و بلافاصله از او انجام کاری را درخواست کنید، طرف مقابل، به احتمال زیاد آنرا رشوه تلقی کرده و ممکن است رفتار غیرمحترمانه ای داشته باشد. در عوض، یک مهندس اجتماعی ، هدیه ای را به کارمند ، مثلا انتظامات یا (نگهبان) در اوایل روز می دهد و چند ساعت بعد به آنجا مراجعه کرده و ادعا می نماید که گیج شده است و درخواست کمک می نماید. مهندسین اجتماعی طوری با شما رفتار می کنند که عکس العمل پیش بینی شده و مد نظر آنها را انجام دهید.

راهکار : به کارمندان توصیه کنید به کسانی که قصد دادن هدیه و یا ارائه خدمات به آنها را دارند ، شک کنند. البته گاهی اوقات این کارمندان هستند که خود را همچون لقمه ای سهل الوصول در اختیار مهاجم قرار داده و از آنها هدیه یا خدمات خاصی را مطالبه می کنند! بسته به میزان ریسک ، یک مهندس با تجربه ممکن است هفته ها وقت خود را به منظور ایجاد زمینه و بستر مناسب برای القاء رابطه متقابل با کارمندان در جهت رسیدن به نتیجه مورد نظر یا دسترسی به هدف پیش بینی شده اش، صرف نماید.

شوخی و مزاح

عموما مردم از معاشرت با افرادی که حس شوخ طبعی دارند، لذت می برند. مهندسین اجتماعی به خوبی با این موضوع آشنا هستند و از آن برای کسب اطلاعات ، گمراه نمودن نگهبان یا حتی فرار از مخمصه استفاده می کنند.

در برخی از سناریوهای نفوذ ، مهندسان اجتماعی سعی می کنند تا با چت کردن ، اطلاعات اولیه و مورد نظر خود را از طرف مقابل کسب نمایند. یک مثال خوب در مورد این موضوع ، یک تماس جعلی از مرکز پشتیبانی IT می تواند باشد که نفوذگر رمز عبور کارمند را از او درخواست می کند. این موضوع زمانی راحت تر اتفاق خواهد افتاد که مکالمه صورت گرفته همراه با چاشنی خنده و شوخی باشد.

راهکار : به کارمندان خود یاد دهید که تا هویت شخصی برایشان کاملا اثبات نشده از دادن اطلاعات حساس به او طفره بروند.

حاضر جوابی

مهندسان اجتماعی همیشه جوابی در آستین دارند. بر اساس نتایج حاصل از تحقیقات و مطالعات دانشگاه هاروارد، مردم مایلند تا به تقاضاهایی که در آن از کلمه "زیرا" استفاده شده باشد ، پاسخ مثبت دهند. در تحقیق مذکور، از گروهی از افراد خواسته شد تا از دستگاه کپی یک کتابخانه برای کپی گرفتن استفاده نمایند و در همین حین شخصی به آنها مراجعه کرده و سپس بیان داشت " معذرت می خواهم من 5 صفحه برای کپی گرفتن دارم، آیا ممکن است من از دستگاه کپی استفاده کنم؟ " و مشاهده گردید که فقط %60 افراد تقاضای او را پذیرفتند. در گروه بعدی  تقاضا اینگونه مطرح شد " معذرت می خواهم من 5 صفحه برای کپی گرفتن دارم، آیا ممکن است من از دستگاه کپی استفاده کنم؟ زیرا من به این کپی ها نیاز دارم. " حتی با این دلیل بظاهر مضحک ، %93 افراد به تقاضای او پاسخ مثبت داده و نوبت خود را به او دادند.

این دقیقا مانند آن است که اگر شما شخصی را در جایی زیاد دیدید ، فرض کنید که آن شخص به آنجا تعلق دارد و به همین منوال اگر شخصی از کلمه " زیرا " استفاده کرد مردم فرض کنند که او دلیلی منطقی دارد. محققان معتقدند که استفاده از همکاری افراد، فقط نیاز به بیان و باور علت دارد حتی اگر آن دلیل، دلیلی غیرمنطقی بنظر برسد.

راهکار : در مورد چیزهایی که در محیط کارتان رخ می دهد، دقت بیشتری به خرج دهید. هوشیاری و حضور ذهن ، برترین راهکار برای جلوگیری از سوء استفاده نفوذگران است.  از نظر یک مهندس اجتماعی  ، کسب اطلاعات پس از یک روز کاری پرمشغله از افراد بسیار راحت تر خواهد بود.

خطر نفوذ ، بیخ گوش شماست!

هیچ سازمانی از خطر و تهدید مهندسی اجتماعی در امان نیست. اگر برای شخصیت کارمندان خود ارزش قائل نشوید و یا حق و حقوقشان را پایمال کنید ، صد در صد بدانید که با دست خود سازمان خود را نابود کرده اید! نود و نه درصد موفقیت نفوذگران مستقیما به عدم رضایت کارمندان هر سازمانی مربوط می شود. در یک آزمایش عملی ، 140 تماس تلفنی با کارکنان یک شرکت هدف برقرار شد که اغلب آنها به نحوی اطلاعات را لو دادند. فقط 5 نفر از آنان این کار را نکردند و %90 کارکنان روی URL موجود در ایمیل ارسالی از مهاجم ، کلیک کردند با آنکه به هیچ وجه شخص ارسال کننده ایمیل را نمی شناختند. با این مثال می توان به عمق خطر مهندسی اجتماعی در سازمانها پی برد.

درس 1 : نداشتن اطلاعات فردی ، عدم آگاهی از رویکرد ذهنی و ندانستن اطلاعات شخصی کارکنان سازمان ها ، یکی از محدودیت های پیش روی یک مهندس اجتماعی می باشد.

درس 2 : اغلب افرادی که خود را مدعی امنیت یک سازمان نشان می دهند ، خود خطر بزرگی برای آن سازمان هستند. بسیاری از کارشناسان معتقدند که مدیران ، ساده ترین هدف برای مهندسان اجتماعی محسوب می شوند.

درس3 : سیاستهای امنیتی ، زمانی خوب هستند که خوب پیاده سازی و اجرا شوند.

درس 4 : نفوذگران اغلب سعی می کنند خود را همسو با تمایلات کارکنان نشان دهند تا آنان را با ارزش جلوه داده و همسو با خود گردانند.

درس 5 : مهندسان اجتماعی در ابتدا بدنبال اهداف راحت و بی دردسر هستند. اگر امنیت سازمان پایین باشد یا با کارمندان خود بد رفتاری کند یا حقوقشان را پایمال نماید ، هر شخصی می تواند هدف مهندس اجتماعی باشد.

این مقاله فقط قسمت کوچکی از گستره مهندسی اجتماعی را به شما معرفی کرد ... راه و روش های این مهارت همه روزه در حال تغییر و گسترش است و در جهات مثبت و منفی زیادی کارائی دارد و تنها هکی است که پایانی ندارد!

نظر شما چیست؟