آموزش گام به گام هک از پایه جلسه ششم __ Social Engineering
سه شنبه, ۱ دی ۱۳۹۴، ۰۷:۳۰ ب.ظ
مهندسی اجتماعی جلسه ششم
مهندسی اجتماعی
«مهندسی اجتماعی هنر بهره برداری از رفتارهای آسیب پذیر انسان ها برای ایجاد شکاف امنیتی بدون هیچ ظن و گمانی از سوی قربانی است.»
در راهنمای مطالعه CISSP، مهندسی اجتماعی به این صورت تعریف شده است: «مهارتی است که به وسیله شخصی مجهول، برای بدست آوردن اعتماد افراد درون سازمان و تشویق آنها برای ایجاد تغییرات دلخواه در سیستم های IT و در جهت دستیابی به حق دسترسی استفاده می شود.» در نسخه انگلسیی زبان ویکی پدیا، مهندسی اجتماعی به این صورت تعریف شده است: :«مهندسی اجتماعی، تکنیک بدست آوردن اطلاعات محرمانه به وسیله تحریک کاربران مجازاست.»
کوین میتنیک(Kevin Mitnick) یکی از معروف ترین هکرهایی است که دلیل موفقیتش، استفاده از تکنیک های مهندسی اجتماعی بوده. وی کتابی را پس از آزادی از زندان درباره مهندسی اجتماعی تحت عنوان«هنر فریفتن» تالیف کرده که تعریف زیر از کتاب وی آورده شده است:
«مهندس اجتماعی انسانها را با روش های مختلف فریب داده و با متقاعد کردنشان از آنها برای دستیابی به اطلاعات، سوء استفاده می کند»
«مهندسی اجتماعی سوء استفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است، که به کمک مجموعه ای از تکنیک ها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد می کند.»
در این روش مهاجم به جای استفاده از روش های معمول و مستقیم نفوذ جمع آوری اطلاعات و عبور از دیواره آتش برای دسترسی به سیستم های سازمان و پایگاه داده های آن، از مسیر انسانهایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیک های فریفتن آنها، به جمع آوری اطلاعات در راستای دستیابی به خواسته های خود اقدام می کند.
تکنیک های مهندسی اجتماعی
* پنجره های Pop-Up
* پیوست نامه های الکترونیکی
* هرزنامه های زنجیره ای و فریب آمیز
* وب گاه ها
* بازیابی و تجزیه و تحلیل ابزارهای مستعمل
* Phishing
مهندسی اجتماعی معکوس
در تمام روش هایی که ذکر شده، مهاجم خود به سراغ هدف رفته و از وی کاری را درخواست می کند. اما در این روش، مهاجم شرایطی را فراهم می آورد تا فرد قربانی، از وی تقاضای کمک کند، به همین علت، این روش را مهندسی اجتماعی معکوس می نامند. مثال آن می تواند فردی باشد که در جاده ای خلوت در حال رانندگی است، ناگهان ماشین وی دچار مشکل می شود، و چون به ماشین های امدادی دسترسی ندارد، برای رفع مشکل از ماشین های گذری تقاضای کمک می کند. مهندسی اجتماعی معکوس در سه مرحله انجام می شود:
* کارشکنی و خرابکاری : مهاجم پس از بدست آوردن دسترسی های ساده، سیستم کامپیوتری را دچار مشکل می کند ویا خراب جلوه می دهد. در نتیجه، کاربر سیستم، متوجه مشکل می شود و به دنبال کمک می گردد.
* بازاریابی: در این مرحله مهاجم به نحوی خود را به کاربر معرفی می کند، یا از قبل معرفی کرده است. به عنوان مثال کارت ویزیت خود را در محل کار کاربر قرار داده ویا شماره تماس خود را با یک پیام اشتباه، بر روی پیغام گیر گذاشته است. بنابراین، مهاجم این اطمینان را خواهد داشت که کاربر با وجود خرابی و دیدن ردپای ناجی با وی تماس خواهد گرفت.
* پشتیبانی و حمایت: در این مرحله مهاجم به حل مشکل کاربر خواهد پرداخت، با اطمینان از اینکه کاربر هیچ ظن وگمانی به وی ندارد و خود خواستار کمک از او شده است. مهاجم در این زمان به دو طریق اطلاعات را جمع آوری می کند، یا در همان زمان به جمع آوری اطلاعاتی که مورد نظرش می پردازد، که در این صورت ممکن است ردپای خرابکاری خود را بر جای بگذارد و دیگر فرصت دسترسی به سیستم برای وی فراهم نشود یا اینکه به ایجاد رابطه ای همرا با اعتماد می پردازد، تا امکان دسترسی مجدد به سیستم های سازمان، برای حمله های آینده را به وجود آورد.
با توجه به تکنیک هایی که ذکر شد، موفقیت آمیز بودن حمله مهندسی اجتماعی، مستلزم داشتن پیش زمینه خوب تحقیقاتی، بر روی سازمان مورد هدف و بدست آوردن تصویری از ساختار اولیه و حتی نام دپارتمان ها وکارکنان سازمان می باشد.
منبع : ashiyane.org
آموزش گام به گام هک از پایه __ Social Engineering
:..: جلسه ششم :..:
مهندسی اجتماعی
«مهندسی اجتماعی هنر بهره برداری از رفتارهای آسیب پذیر انسان ها برای ایجاد شکاف امنیتی بدون هیچ ظن و گمانی از سوی قربانی است.»
در راهنمای مطالعه CISSP، مهندسی اجتماعی به این صورت تعریف شده است: «مهارتی است که به وسیله شخصی مجهول، برای بدست آوردن اعتماد افراد درون سازمان و تشویق آنها برای ایجاد تغییرات دلخواه در سیستم های IT و در جهت دستیابی به حق دسترسی استفاده می شود.» در نسخه انگلسیی زبان ویکی پدیا، مهندسی اجتماعی به این صورت تعریف شده است: :«مهندسی اجتماعی، تکنیک بدست آوردن اطلاعات محرمانه به وسیله تحریک کاربران مجازاست.»
کوین میتنیک(Kevin Mitnick) یکی از معروف ترین هکرهایی است که دلیل موفقیتش، استفاده از تکنیک های مهندسی اجتماعی بوده. وی کتابی را پس از آزادی از زندان درباره مهندسی اجتماعی تحت عنوان«هنر فریفتن» تالیف کرده که تعریف زیر از کتاب وی آورده شده است:
«مهندس اجتماعی انسانها را با روش های مختلف فریب داده و با متقاعد کردنشان از آنها برای دستیابی به اطلاعات، سوء استفاده می کند»
«مهندسی اجتماعی سوء استفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است، که به کمک مجموعه ای از تکنیک ها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد می کند.»
در این روش مهاجم به جای استفاده از روش های معمول و مستقیم نفوذ جمع آوری اطلاعات و عبور از دیواره آتش برای دسترسی به سیستم های سازمان و پایگاه داده های آن، از مسیر انسانهایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیک های فریفتن آنها، به جمع آوری اطلاعات در راستای دستیابی به خواسته های خود اقدام می کند.
تکنیک های مهندسی اجتماعی
* پنجره های Pop-Up
* پیوست نامه های الکترونیکی
* هرزنامه های زنجیره ای و فریب آمیز
* وب گاه ها
* بازیابی و تجزیه و تحلیل ابزارهای مستعمل
* Phishing
مهندسی اجتماعی معکوس
در تمام روش هایی که ذکر شده، مهاجم خود به سراغ هدف رفته و از وی کاری را درخواست می کند. اما در این روش، مهاجم شرایطی را فراهم می آورد تا فرد قربانی، از وی تقاضای کمک کند، به همین علت، این روش را مهندسی اجتماعی معکوس می نامند. مثال آن می تواند فردی باشد که در جاده ای خلوت در حال رانندگی است، ناگهان ماشین وی دچار مشکل می شود، و چون به ماشین های امدادی دسترسی ندارد، برای رفع مشکل از ماشین های گذری تقاضای کمک می کند. مهندسی اجتماعی معکوس در سه مرحله انجام می شود:
* کارشکنی و خرابکاری : مهاجم پس از بدست آوردن دسترسی های ساده، سیستم کامپیوتری را دچار مشکل می کند ویا خراب جلوه می دهد. در نتیجه، کاربر سیستم، متوجه مشکل می شود و به دنبال کمک می گردد.
* بازاریابی: در این مرحله مهاجم به نحوی خود را به کاربر معرفی می کند، یا از قبل معرفی کرده است. به عنوان مثال کارت ویزیت خود را در محل کار کاربر قرار داده ویا شماره تماس خود را با یک پیام اشتباه، بر روی پیغام گیر گذاشته است. بنابراین، مهاجم این اطمینان را خواهد داشت که کاربر با وجود خرابی و دیدن ردپای ناجی با وی تماس خواهد گرفت.
* پشتیبانی و حمایت: در این مرحله مهاجم به حل مشکل کاربر خواهد پرداخت، با اطمینان از اینکه کاربر هیچ ظن وگمانی به وی ندارد و خود خواستار کمک از او شده است. مهاجم در این زمان به دو طریق اطلاعات را جمع آوری می کند، یا در همان زمان به جمع آوری اطلاعاتی که مورد نظرش می پردازد، که در این صورت ممکن است ردپای خرابکاری خود را بر جای بگذارد و دیگر فرصت دسترسی به سیستم برای وی فراهم نشود یا اینکه به ایجاد رابطه ای همرا با اعتماد می پردازد، تا امکان دسترسی مجدد به سیستم های سازمان، برای حمله های آینده را به وجود آورد.
با توجه به تکنیک هایی که ذکر شد، موفقیت آمیز بودن حمله مهندسی اجتماعی، مستلزم داشتن پیش زمینه خوب تحقیقاتی، بر روی سازمان مورد هدف و بدست آوردن تصویری از ساختار اولیه و حتی نام دپارتمان ها وکارکنان سازمان می باشد.
منبع : ashiyane.org
