مینی دوره مهندسی اجتماعی

رایگان!

افزودن به علاقه مندی
دانلود
تعداد دیدگاه 0
تعداد بازدید 2.08k
زمان 33 دقیقه
حجم 485 مگابایت
روش دریافت دانلودی

توضیحات محصول

امتیاز
0 از 0 رأی
بدون امتیاز 0 رای
رایگان!

مهندسی اجتماعی (Social Engineering) در حوزه امنیت اطلاعات به معنای دستکاری روانشناختی افراد برای انجام کارهای خاص یا افشای اطلاعات متمرکز است.

در واقع هدف از مهندسی اجتماعی دستیابی به اطلاعات، سواستفاده و حمله از این طریق است.

تکنیک های مهندسی اجتماعی به طور کلی شامل ۴ روش فیزیکی، اجتماعی، فنی و فنی-اجتماعی است. شما در این مقاله؛ مهندسی اجتماعی و انواع آن را به زبان ساده خواهید آموخت و همچنین با راه های ساده پیشگیری از حملات مهندسی آشنا خواهید شد.

 

مهندسی اجتماعی چیست؟

مهندسی اجتماعی Social Engineering برای اولین بار در سال ۱۸۹۴ و با این باور که برای مقابله با مشکلات انسانی، وجود افراد حرفه‌ای ضروریست، مطرح شد.

در ابتدا مهندسی اجتماعی جنبۀ مثبتی داشت؛ چون باعث می‌شد افرادِ متخصص، در جامعه مداخلۀ مثبت داشته باشند. اما بعد از مدتی، به جنبۀ منفی گرایش پیدا کرد و به شستشوی مغزی افراد تبدیل شد.

شستشوی مغزی فقط در بحث سیاسی و اجتماعی وارد شده بود نه حوزه فناوری. اما بعدها فردی به نام Kevin Mitnick باعث شد این مفهوم به حوزه فناوری هم وارد شود. کوین میتنیک، هکر معروف دهه ۹۰ میلادی است که بعدها در زمینه امنیت مشغول به فعالیت شد و کتاب معروفی با عنوان هنر فریب را در همین حوزه نوشت.

چرخه حملات مهندسی اجتماعی چگونه است؟

مراحل چرخه مهندسی اجتماعی ۴ مورد زیر است:

  1. جمع ‌آوری اطلاعات Information Gathering
  2. برقراری ارتباط Developing Relationship
  3. بهره برداری Exploitation
  4. اجرا و حمله Execution

شاید هر کدام از این ۴ مرحله، نیاز به تکرار داشته باشند تا نفوذگر به هدف خود برسد.

جمع ‌‌آوری اطلاعات ؛ اولین مرحله در حملات مهندسی اجتماعی

جمع آوری اطلاعات (Information Gathering) مهم‌ترین مرحله در حملات مهندسی اجتماعی است و احتمال موفقیتِ بیشترِ حملات، به این فاز بستگی دارد. به همین دلیل زمان و توجه زیادی در این مرحله صرف می‌شود.از اطلاعات جمع آوری شده برای تعیین مسیر حمله، گذرواژه‌های (Passwords) ممکن، تشخیص پاسخ‌های احتمالی افرادِ مختلف، ساختن سناریوهای قوی و … استفاده می‌شود.

مهندسی اجتماعی

۶ نمونه از بهترین روش‌های مهندسی اجتماعی در هک، دستیابی و سوء استفاده از اطلاعات

  1. باز نگه‌داشتن درب و اجازه ورود به تشکیلات

  2. افشای نام کاربری و گذرواژه (پسورد) پشت تلفن

  3. فراهم کردن تاییدیه اجتماعی (تایید مهاجم توسط قربانی) با معرفی و تایید مهاجم برای سایر پرسنل کمپانی.

  4. وارد کردن یک درایو USB حاوی فایل‌های مخرب در یکی از کامپیوترهای کمپانی

  5. باز کردن یک فایل ضمیمه ایمیلی که آلوده است.

  6. افشای اسرار محرمانه در گفتگویی که ظاهراً با “همکار” انجام می‌شود (یعنی مهاجم هویت همکار را جعل کرده است).

۲. برقراری ارتباط Developing Relationship مرحله دوم در حملات مهندسی اجتماعی

در مرحله برقراری ارتباط، یک رابطۀ کاری با شخص مورد نظر برقرار می‌شود. این مرحله مهم و حیاتی است زیرا کیفیت رابطۀ ایجاد شده توسط مهاجم، سطح همکاری و میزان پیشبرد اهداف با کمک قربانی را مشخص می‌کند.

روند برقراری ارتباط در حملات مهندسی اجتماعی چگونه است؟

مرحله برقراری ارتباط در حمله مهندسی اجتماعی ممکن است خیلی ساده و خلاصه یا پیچیده و در چند بخش باشد. به عنوان مثال؛ ساده به این شکل که، مهاجم با یک لبخند و برقراری تماس چشمی، به سمت شخص مورد نظر حرکت کند تا او در را برای ورودش به داخل سازمان باز کند.

پیچیده به این شکل که شامل برقراری ارتباط شخصی از طریق تلفن یا خیلی شخصی‌تر مثل نشان دادن تصاویر خانوادگی و بازگو کردن داستان‌های خانوادگی به قربانی، در لابی باشد.

همچنین در این مرحله ممکن است، از یک رابطه آنلاین با پروفایل جعلی در شبکه‌های اجتماعی یا سایت‌های دوست‌یابی، استفاده شود.

۳. بهره‌ برداری Exploitation مرحله سوم در حملات مهندسی اجتماعی

در مرحله بهره برداری، مهاجم از اطلاعات و روابط برقرار شده، برای نفوذ و دستیابی به هدف استفاده می‌کند. ممکن است این بهره برداری، از طریق به دست آوردن اطلاعاتِ به ظاهر بی اهمیت یا دستیابی به یکسری دسترسی‌ها انجام شود.

تمرکز مهاجم در مرحله بهره برداری از حمله، بر روی چه چیزی است؟

در فاز بهره برداری، تمرکزِ مهاجم رویِ ۲ مورد زیر است:

  1. حفظ رابطۀ برقرار شده

  2. حفظ رضایت و توافق کسب شده در مرحله قبل بدون ایجاد شک و بدگمانی

۴. اجرای حمله Execution مرحله آخر در چرخه حملات مهندسی اجتماعی

در مرحلۀ اجرای حمله، یا هدف حمله محقق می‌شود یا به دلایل مختلف، حمله به صورتی که شک و ظنی درباره اتفاقات ایجاد نشود، پایان می‌پذیرد.

عموماً بهتر است در مرحله اجرای حمله به گونه‌ای عمل شود که، شخص مورد نظر (قربانی) حس کند کار خوبی برای یک شخص دیگر (مهاجم) انجام داده است و امکان تعاملات بیشتر در آینده هم وجود داشته باشد.

برای جلوگیری از افشای هویت مهاجم در مرحله حمله، باید چه کار کرد؟

برای جلوگیری از افشای هویت مهاجم و حتی مشخص شدنِ اینکه حمله‌ای صورت گرفته است، بهتر است کارهایی مثل پاک کردن اثرات و ردپاهای دیجیتال و اطلاعات باقیمانده از حمله انجام شود. در ضمن هدف نهایی و آخرین اقدامِ مهاجم، ایجاد یک استراتژیِ خروجِ برنامه ریزی شده و دقیق است.

 

۶ مورد متداول در تکنیک های مهندسی اجتماعی و روشهای شستشوی مغزی

در مهندسی اجتماعی حوزه فناوری اطلاعات، مهاجم از شستشوی مغزی استفاده می‌کند تا قربانی را به ارتکاب اشتباه امنیتی، متقاعد کند. به همین دلیل آگاهی از تکنیک های مهندسی اجتماعی و روش های شستشوی مغزی بسیار مهم است. در ادامه 6 مورد از مهمترین تکنیک های مهندسی اجتماعی را شرح می‌دهیم؛

  1. استفاده از متن یا سناریوی آماده
  2. طعمه گذاشتن
  3. حرکت کردن پشت سر افراد مجاز برای ورود به ساختمان
  4. بازی کردن نقش دیگران
  5. جبران یک لطف
  6. القای ترس

مهندسی اجتماعی


۱. استفاده از متن یا سناریوی آماده

در استفاده از متن یا سناریوی آماده، مهاجم وانمود می‌کند که، تماس برقرار شده، بدون هر گونه هدف خرابکارانه‌­ای است. او یک گفتگو را شکل داده و رابطه‌ای دوستانه ایجاد می‌کند و تنها در مراحل پایانیِ حمله، اطلاعات حساس را در خواست می‌کند.

۲. طعمه گذاشتن (Baiting)

با طعمه گذاشتن، مهاجمان، قربانی را فریب می‌دهند تا با انجام یک کار غیر امن، آن‌ها را به خواسته‌شان برساند. به عنوان مثال؛ مهاجمان، یک فلش آلوده را با برچسب‌هایی مثل «لیست پاداش‌های مخفیانه شرکت» بر سر راه قربانی قرار می‌دهند.

۳. حرکت کردن پشت سر افراد مجاز برای ورود به ساختمان

در این نوع حمله، مهاجم با حرکت کردن پشت سر یک فرد مجاز و وانمود کردن به این که او نیز مجاز به ورود داخل ساختمان است، سعی می‌کند وارد محوطه‌ای شود که دسترسی به آنجا محدودیت دارد. هر چند این تعقیب کردن در دنیای فیزیکی انجام می‌شود اما هدف نهایی با حوزه فناوری اطلاعات در ارتباط است (مثلا مهاجم می‌تواند وارد اتاق سرور شود).

۴. بازی کردن نقش دیگران

در روش بازی کردن نقش دیگران، مهاجم وانمود می‌کند که شخص دیگری است؛ شخصی که قدرت و اختیار لازم برای مطرح کردن یک خواسته یا تقاضا را داشته باشد (مثلا فرد مهاجم خود را به جای پشتیبان فنی یا مدیرعامل معرفی می‌کند که از جمله حملات متداول در این گروه است).

۵. جبران یک لطف (Quid Pro Quo)

در روش جبران یک لطف، مهاجم چیزی به شما عرضه کرده و در ازای آن از شما چیزی را درخواست می‌کند. در عین حال، جنبه مخرب و بدخواهانه هدف خود را هم مخفی می‌کند. به عنوان مثال مهاجم در ازای پرداخت یک پاداش نقدی، از شما می‌خواهد رمز عبوری را در اختیار وی قرار دهید. همچنین وانمود می‌کند یک محقق فناوری اطلاعات است که بر روی یک نمونه موردی، مطالعه می‌کند.

۶. القای ترس (Scareware)

با القای ترس مهاجم وانمود می‌کند که یک فرد واسط است و در رابطه با یک خطر، به شما هشدار می‌دهد. مثلاً فردی حساب شما را هک کرده است؛ پس برای حل مسأله، شما باید رمز عبورتان را در اختیار وی قرار دهید.

روش ‌های مهندسی اجتماعی مورد استفاده مهاجمین

روش های مهندسی اجتماعی در حملات، جنبه‌های زیادی دارند که در 4 روش زیر طبقه بندی قرار می‌شوند.

  1. روش‌های فیزیکی
  2. روش‌های اجتماعی
  3. روش‌های فنی
  4. روش‌های فنی – اجتماعی
لینک کوتاه

محصولات مرتبط

چطور با گزارش خوب در سایت‌های داخلی کسب درآمد کنیم؟

کسب درآمد از طریق گزارش باگ در سایت‌های داخلی

چطور با گزارش خوب در سایت‌های داخلی کسب درآمد کنیم؟ مشکل بسیاری از افراد بعد از پیدا کردن آسیب‌پذیری در…

399,000 تومان
دوره درک عمیق آسیب‌پذیری

درک عمیق آسیب‌پذیری

درک عمیق آسیب‌پذیری چیه؟ این دوره با تمامی دوره‌هایی که در اینترنت مشاهده کردید متفاوته.در این دوره قرار نیست فقط…

2,000,000 تومان
گزارش نویسی حرفه ای در باگ هانتینگ

گزارش نویسی حرفه‌ای در Bug Hunting

دوره گزارش نویسی در باگ هانتینگ

در این دوره آموزشی روش‌ حرفه‌ای نوشتن یک گزارش باگ در بحث باگ هانتینگ و باگ بانتی را به شما آموزش میدهیم.

رایگان!

امتیاز خریداران

0
بدون امتیاز 0 رای
رایگان!
0 رأی
5 ستاره
0
4 ستاره
0
3 ستاره
0
2 ستاره
0
1 ستاره
0

نظرات

قوانین ثبت دیدگاه

  • دیدگاه های نامرتبط به مطلب تایید نخواهد شد.
  • از درج دیدگاه های تکراری پرهیز نمایید.
  • فقط خریداران محصول میتوانند امتیاز خود را ثبت کنند.

اولین نفری باشید که نظر می دهید “مینی دوره مهندسی اجتماعی”

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

زمان 33 دقیقه
حجم 485 مگابایت
روش دریافت دانلودی