بسیاری از مردم فکر می کنند مهندسی اجتماعی دروغ گفتن به افراد برای به دست آوردن اطلاعات یا فریب دادن آنها برای سرقت چیزی است . این تعریف بسیار ناقص می باشد.

مهندسی اجتماعی تعاریف زیادی دارد اما این یکی بسیار دقیق است:

“عمل دستکاری یک فرد برای انجام هر اقدامی که ممکن است به نفع هدف باشد یا نباشد.”

مهندسی اجتماعی لازم نیست برای اهداف مخرب استفاده شود. به عنوان مثال، پزشکان، روانشناسان و درمانگران اغلب از عناصر مهندسی اجتماعی برای “دستکاری” بیماران خود برای انجام اقداماتی که برای آنها مفید است استفاده می کنند، در حالی که یک فرد کلاهبردار از عناصر مهندسی اجتماعی برای متقاعد کردن هدف خود برای انجام اقداماتی استفاده می کند که منجر به ضرر برای آنها می شود.

یک مهندس اجتماعی می تواند بخشی از یک تیم امنیت سایبری مانند “تیم قرمز” باشد. به طور خلاصه، فعالیت تیم قرمز در جهت  تلاش برای نفوذ به یک شرکت و دسترسی به دارایی های آن است.

هدف از فعالیت این است که ببینیم سازمان چقدر آسیب پذیر است و میزان آگاهی کارکنان را آزمایش کند. فعالیت پس از عقد قرارداد بین تیم و مدیریت شرکت اتفاق می افتد.

معمولاً نقش یک مهندس اجتماعی در چنین تیمی این است که با انجام برخی تکنیک ها علیه برخی از کارمندان، نگهبانان امنیتی یا سایر عوامل بالقوه، آنها را وارد کار کند. همچنین، او درباره کارمندان تحقیق می کند تا ببیند با چه کسی صحبت کند و چه بگوید.

برای اینکه یک مهندس اجتماعی باشید، هیچ مسیر مشخصی وجود ندارد ، اما در ادامه نکاتی است که می تواند به شما کمک کند:

1- دانش امنیت سایبری
لازم نیست شما یک متخصص باشید، اما برخی از دانش های سطح اولیه مفید خواهند بود. اغلب حملات به صورت آنلاین انجام می شود.

مطالعه گواهی‌هایی مانند هکر اخلاقی (CEH) یا گواهی‌های پیشرفته‌تر مانند گواهی امنیتی تهاجمی (OSCP) عالی خواهد بود.

2- ذهنیت
شما باید بتوانید با بررسی آسیب پذیری های هدف، به روشی فکر کنید که جنایتکار برای به خطر انداختن یک قربانی فکر می کند. با این حال، شما پسر خوب اینجا هستید! شما قربانی را مطلع خواهید کرد تا از چنین بردارهای حمله احتمالی آگاه شود.

همچنین در ذهنیت، باید در موقعیت های مختلف انعطاف پذیر باشید. یک مهندس اجتماعی باید چیزی را داشته باشد که «بهانه‌سازی» نامیده می‌شود، به این معنی که شما قبل از برقراری ارتباط با هدف، آماده کرده‌اید که چه بگویید.

گاهی اوقات همه چیز آنطور که انتظار می رود پیش نمی رود، بنابراین باید بتوانید به تغییرات مختلفی که خارج از کنترل شما اتفاق می افتد پاسخ دهید.

بهانه سازی (Pretexting)
مهاجم معمولاً با اعتماد به نفس در مقابل قربانی خود با جعل هویت از همکاران ، پلیس ، مقامات بانکی و مالیاتی یا سایر اشخاصی که دارای قدرت شناخت درست هستند ، شروع می کند. بهانه گیر سوالاتی را مطرح می کند که ظاهراً برای تأیید هویت قربانی لازم است ، و از طریق آنها اطلاعات شخصی مهم را جمع آوری می کند.

3- تفکر انتقادی
همانطور که در نکته ذهنیت اشاره کردیم، باید در موقعیت های مختلف انعطاف پذیر باشید. تفکر انتقادی چیزی است که در این مرحله به شما کمک می کند.

کریستوفر هادنگی، مدیرعامل Social-Engineer, LLC درباره تفکر انتقادی گفت: « احتمالاً یکی از مهمترین جنبه های مهندس اجتماعی بودن ، توانایی تفکر انتقادی است. برای انطباق، انعطاف و تغییر روش های خود در مسیر. برای اینکه بتوانیم خارج از چارچوب فکر کنیم، انگار هیچ جعبه ای وجود ندارد.»

4- تجربه
در حرفه مهندسی اجتماعی، شرکت ها معمولاً نیازی به داشتن مدرک دانشگاهی خاصی ندارند زیرا می دانند که برای خود شغل ضروری نیست.

آنها به دنبال فردی با تجربه می گردند که سابقه ارتباط با افراد مکان ها و موقعیت های مختلف را داشته باشد.

مهندسان اجتماعی کار خود را در مراحل سازمان یافته انجام می دهند تا در نهایت به هدف نهایی خود برسند.

در قسمت بعدی مراحل اولیه را طی می کنیم. یک مهندس اجتماعی بسته به هدف می تواند مراحل بیشتر و یا کمتری داشته باشد:

1. جمع آوری اطلاعات

گام اساسی قبل از هر حمله، شناسایی هدف است، جمع آوری اطلاعات به جمع آوری اطلاعات فعال (active information) و جمع آوری اطلاعات غیرفعال (passive information) تقسیم می شود.

نوع جمع آوری اطلاعات فعال نیاز به تعامل با هدف دارد. به عنوان مثال، شما به صورت حضوری یا تلفنی با هدف ارتباط برقرار خواهید کرد.

برای گام اولیه، جمع آوری اطلاعات غیرفعال کلید راه است. جمع آوری اطلاعات غیرفعال نیازی به تعامل ندارد. هدف نمی‌داند که یک مهندس اجتماعی دنبالش است.

با جمع آوری اطلاعات به اشتراک گذاشته شده به صورت عمومی مانند رسانه های اجتماعی، مهاجم می تواند اطلاعات مفید زیادی را بداند که در هنگام حمله  از آنها استفاده کند، مانند علایق، کار، خانواده و سایر موارد.

2. استخراج یا Elicitation

طبق تعریف FBI، استخراج تکنیکی است که برای جمع‌آوری محتاطانه اطلاعات استفاده می‌شود. به عبارت دیگر، استخراج عبارت است از استفاده استراتژیک از مکالمه گاه به گاه برای استخراج اطلاعات از افراد (هدف ها) بدون اینکه به آنها این احساس را بدهد که برای دریافت اطلاعات مورد بازجویی قرار می گیرند یا تحت فشار قرار می گیرند.

در این مرحله قرار است با هدف ارتباط برقرار کنید.بنابراین باید برخی از عناصر را در نظر بگیرید:

– هدفت چیه؟
قبل از برقراری ارتباط با هدف، باید بدانید که می خواهید چه اطلاعاتی از او کسب کنید و هدف نهایی گفتگو چیست.

– مشاهده
نحوه شروع مکالمه تعیین می کند که آیا هدف پاسخ خواهد داد یا خیر. با مشاهده هدف برای مدتی قبل از صحبت با او می توانید جزئیاتی در مورد شخصیت و خلق و خوی او بدانید. با کلمات و لحن صوت مناسب می توانید مکالمه را شروع کنید.

– استماع
به خاطر داشته باشید که شما آنجا نیستید که در مورد خودتان صحبت کنید، وقتی بحثی را درباره موضوعی باز می کنید، حتی اگر با هدف شما مرتبط نباشد، اجازه دهید طرف مقابل صحبت کند و احساس راحتی کند که اطلاعات را با شما به اشتراک بگذارد.

شما مجبور نیستید همیشه با دیدگاه خود پاسخ دهید، بلکه می توانید نشان دهید که او را درک می کنید و با او موافق هستید. در نهایت، اگر هدف از صحبت کردن احساس خوبی داشته باشد، می توانید برنامه استخراج اطلاعات مورد نیاز خود را آغاز کنید.

– خروج
حال اگر می‌خواهید مکالمه را به پایان برسانید، باید به آرامی و بدون اجازه دادن به هدف در مورد اطلاعاتی که به اشتراک گذاشته بود، به پایان برسد.

3. بهانه دادن
بهانه سازی به عنوان عمل ایجاد یک سناریوی ابداع شده برای متقاعد کردن قربانی هدف برای انتشار اطلاعات یا انجام برخی اقدامات تعریف می شود. ممکن است لازم باشد یک هویت کاملاً جدید ایجاد کنید و سپس از آن هویت برای دستکاری هدف استفاده کنید.

مهندسان اجتماعی می‌توانند از بهانه‌گیری برای جعل هویت افراد در برخی مشاغل و نقش‌ها برای دستیابی به برنامه استفاده کنند، به‌ویژه حملات از طریق تلفن انجام می‌شوند و می‌توانند فرض کنند که آنها هر چیزی هستند که گفته‌اند تا شما را متقاعد کنند که برخی اطلاعات را درز کنید.

نمونه های معروف مجرمانی هستند که خود را از طرف بانک نشان می دهند ، بدین ترتیب با گرفتن اطلاعات حساس مالی افراد ،حساب بانکی آنها را سرقت می کنند.

4. ترفندهای ذهن
هدف این است که به شما اجازه دهد کنترل کننده مکالمه باشید. اگر مطمئن شوید که هدف راحت صحبت می کند، می توانید چنین باشید.

این چیزها می تواند به شما نشان دهد که آیا هدف مورد نظر عصبانی، خوشحال یا غمگین است. دانستن اطلاعات قبلی تعیین می کند که آیا راه خود را ادامه می دهید یا سعی می کنید زمینه گفتگو را تغییر دهید.

5. اقناع
متقاعدسازی می تواند باعث شود هدف نه تنها اقدامی انجام دهد، بلکه بخواهد اقدامی را انجام دهد و شاید حتی در پایان از شما برای آن تشکر کند. این نوع نفوذ قدرتمند است.

رابرت سیالدینی در کتاب خود تکنیک های متقاعدسازی را در 6 اصل دسته بندی کرده است:

– اقتدار: مردم تمایل دارند از شخصیت های معتبر اطاعت کنند.

– متقابل: مردم تمایل دارند که لطفی را جبران کنند.

– کمیابی: مردم تمایل دارند چیزی را که کمیاب تلقی می شود آرزو کنند.

– سازگاری: افراد تمایل دارند بر اساس ایده ها و اهداف خود عمل کنند.

– دوست داشتن: افراد تمایل دارند توسط افرادی که به آنها عشق نشان می دهند متقاعد شوند.

– اثبات اجتماعی: مردم تمایل دارند با کاری که اکثر مردم انجام می دهند مطابقت داشته باشند.

باید بدانید که مهاجم می تواند هر کاری انجام دهد تا اطلاعات مورد نیاز خود را از هدف بدست آورد.

1- فیشینگ
فیشینگ معروف ترین نوع حمله مهندسی اجتماعی است به خصوص اگر هدف یک شرکت باشد. فیشینگ معمولاً از طریق ایمیل‌ها انجام می‌شود، زمانی که هدف ایمیلی با پیوستی برای دانلود یا پیوندی برای بازدید دریافت می‌کند که به مهاجم اجازه می‌دهد از راه دور دسترسی داشته باشد یا بدافزار را روی دستگاه نصب کند.

2- ویشینگ
این حمله از طریق تلفن انجام می شود، جایی که مهاجم فرض می کند شخص دیگری است، بنابراین شما بسته به شخصیتی که او تظاهر می کند برخی از اقدامات را انجام خواهید داد.

مثال:

یک مهاجم با یک کارمند تماس می گیرد و به او می گوید که از تیم فنی است و او به او کمک می کند تا بدافزارها را حذف کند، سپس شروع به گفتن برخی از دستورات به کارمند می کند. در نهایت، او می تواند از راه دور به دستگاه کارمند دسترسی پیدا کند.

3- حملات طعمه ای
حملات طعمه از روانشناسی انسان سوء استفاده می کند. مهاجم با وعده پیشنهادی جذاب برای دریافت فقط اگر کاری برای او انجام دهد، قربانی را به دام می اندازد. این حمله می تواند آفلاین باشد نه فقط آنلاین.

مثال:

مهاجم به قربانی می گوید که یک برنامه را دانلود کند تا برنده جایزه بزرگ شود و البته این برنامه فقط یک تروجان برای فعالیت های مخرب است.

4- Shoulder Surfing
Shoulder Surfing نوعی تکنیک مهندسی اجتماعی است که برای دریافت اطلاعاتی مانند شماره‌های شناسایی شخصی (PIN)، گذرواژه‌ها و سایر داده‌های محرمانه با نگاه از پشت استفاده می‌شود. کاربران غیرمجاز کلیدهای وارد شده بر روی دستگاه را تماشا می کنند یا به اطلاعات حساسی که گفته می شود گوش می دهند.

5- جعل هویت
یکی از رایج‌ترین راه‌ها برای ورود فیزیکی به یک شرکت، زمانی است که مهاجم جعل هویت دیگران است.

به عنوان مثال، یک شرکت انتظار دارد بازرسان کیفیت از آنها بازدید کنند. اگر مهاجم این اطلاعات را بداند، می تواند آنها را فرض کند و به راحتی وارد شرکت شود. سپس، او می تواند برخی از اطلاعات حساس را به دست آورد که می تواند در طول حمله بعدی به او کمک کند.