مهندسی اجتماعی (Social Engineering) چیست؟

تا به حال در مورد مهندسی اجتماعی چیزی شنیده اید؟ آیا تا به حال پیام های عجیب و وسوسه انگیز با لینک های مشکوک دریافت کرده اید؟ نگران اطلاعات خود هستید؟ در دنیای امروزی که ما به انواع وب سایت ها دسترسی داریم و با فضاهای مجازی در زندگی خود ارتباط زیادی داریم و اطلاعات ما برای ما ارزشمند است. بهتر است مهندسی اجتماعی را بدانید تا از دام های فراوان در این زمینه جلوگیری کنید. در این مقاله در مورد مهندسی اجتماعی صحبت کرده ایم که قطعا به نفع شما خواهد بود. پس در ادامه همراه پورتال جامع مهندسین ایران باشید.

مهندسی اجتماعی چیست؟

مهندسی اجتماعی Social Engineering برای اولین بار در سال ۱۸۹۴ و با این باور که برای مقابله با مشکلات انسانی، وجود افراد حرفه‌ای ضروریست، مطرح شد.

در ابتدا مهندسی اجتماعی جنبۀ مثبتی داشت؛ چون باعث می‌شد افرادِ متخصص، در جامعه مداخلۀ مثبت داشته باشند. اما بعد از مدتی، به جنبۀ منفی گرایش پیدا کرد و به شستشوی مغزی افراد تبدیل شد.

شستشوی مغزی فقط در بحث سیاسی و اجتماعی وارد شده بود نه حوزه فناوری. اما بعدها فردی به نام Kevin Mitnick باعث شد این مفهوم به حوزه فناوری هم وارد شود. کوین میتنیک، هکر معروف دهه ۹۰ میلادی است که بعدها در زمینه امنیت مشغول به فعالیت شد و کتاب معروفی با عنوان هنر فریب را در همین حوزه نوشت.

تاریخچه مهندسی اجتماعی

ریشه‌های مهندسی اجتماعی را می‌توان در داستان‌های کهن، به‌خصوص اسطوره‌های یونان، از داستان پرومتئوس که با ترفندی زئوس را فریب داد و آتش را به انسان‌ها بخشید تا داستان مشهور اسب تروآ یافت که اتفاقا نام خود را به شایع‌ترین نوع بدافزار داده است.

داستان اسب تروآ به جرات یکی از جذاب‌ترین نمونه‌های مهندسی اجتماعی است. در زمان جنگ تروآ، هنگامی که یونانیان به مدت ده سال پشت دروازه‌های شهر تروجان از پیشروی بازمانده بودند، یکی از جنگجویان حیله‌گر یونانی به نام ادیسه که به حق مهندس اجتماعی زبردستی بود، نقشه‌ای ریخت تا همرزمانش بتوانند به داخل شهر راه پیدا کنند؛ نه به زور و شکستن دیوارهای شهر، بلکه به دست خود تروجان‌ها. به دستور اودیسه، سربازان یونانی اسب چوبی غول‌پیکری ساختند و درون آن مخفی شدند. بعد، برخی از آن‌ها با کشتی تروجان را ترک کردند تا اهالی شهر فکر کنند یونانی‌ها شکست را پذیرفته و در حال عقب‌نشینی هستند.

بااین‌حال، یک سرباز یونانی کنار اسب غول‌پیکر بیرون دروازه شهر باقی ماند. این سرباز که سینون نام داشت، به اهالی شهر تروجان گفت که این اسب پیشکش یونانیان به خدایان است تا جان آن‌ها را در طول سفر بازگشت به خانه حفظ کنند؛ این اسب هم از این جهت به این اندازه بزرگ ساخته شده تا اهالی شهر نتوانند آن را به داخل ببرند و یونانی‌های سوار بر کشتی را با بداقبالی روبه‌رو کنند. تروجان‌ها فریب حرف‌های سینون را خوردند و برای نفرین سربازهای یونانی، تصمیم گرفتند اسب را به داخل شهر بیاورند؛ غافل از اینکه درون این اسب، سربازهای یونانی در انتظار به آتش کشیدن شهر بودند. به خاطر حمله مهندسی اجتماعی اودیسه، یونانی‌ها در جنگی که به چشم تروجان‌ها باخته بودند، پیروز شدند.

کوین میتنیک (Kevin Mitnick) را پدر مهندسی اجتماعی می‌دادند، چون او بود که در دهه ۱۹۹۰، بعد از سال‌ها به‌کارگیری حقه و ترفند برای دستیبای به اطلاعات و دستکاری روانشناختی افراد، اصطلاح مهندسی اجتماعی را در دنیای امنیت سایبری به شهرت رساند. میتنیک درحالیکه فقط ۱۳ سال داشت با حقه مهندسی اجتماعی به‌طور رایگان از اتوبوس‌های لس‌آنجلس استفاده می‌کرد و بعدها موفق شد به شبکه‌های شرکت دیجیتال اکویپمنت و شرکت مخابراتی پسیفیک بلز دسترسی غیرمجاز پیدا کند. ماجراجویی‌های میتنیک در حوزه مهندسی اجتماعی به قدری شاخ و برگ پیدا کرده بود که وقتی سرانجام به زندان افتاد، درباره او می‌گفتند که می‌تواند «با سوت زدن از پشت خط تلفن، جنگ اتمی راه بیندازد.»

مهندسان اجتماعی چه کسانی هستند؟

هکر یا مهندسان اجتماعی کسانی هستند که از طریق پیامک، ایمیل، حساب‌های مجازی‌، درایو‌های آلوده و یا ارتباطات حضوری و نه با حملات سایبری، بلکه با ترفند‌هایی زیرکانه و سوال کردن از افراد، اطلاعات مورد نظرشان را بدست می‌آورند. گاه خود فرد قربانی با احساساتش به تسریع فرایند حمله بسیار کمک می‌کند؛ به همین دلیل هکر‌ها، انسان‌ها را ضعیف‌ترین عامل در حلقه امنیت سایبری می‌دانند.

اساس کار مهندسان اجتماعی چیست؟

اساس کار مهندسان اجتماعی برپایه‌ی احساساتی چون ترس، طمع، محبت و کنجکاوی است. برخی از حملات این مهندسان بدون حضورشان صورت می‌گیرد؛ مثل تهدید از طریق پیام‌ها با برانگیختن ترس یا با درایو فلش‌های آلوده با برانگیختن حس طمع به‌دست‌آوردن وسیله‌ای رایگان! بهتر است در ادامه با چند ترفند رایج مهندسان اجتماعی آشنا شویم:

• با اکانت‌های جعلی (درخواست کمک، دوستی و…)
• وب‌سایت‌های واریز وجه جعلی
• لینک‌های مخرب و آلوده
• استفاده از درایو فلش آلوده
• وارد کردن قربانی به تشکیلاتی جعلی
• تبلیغاتی که ناگهانی باز می‌شوند و اطلاعاتی می‌خواهند.

از استعداد‌های لازم برای مهندسان اجتماعی‌‌‌، خوب تظاهر کردن (خوب نقش بازی کردن) است تا سناریو را بهتر و باورپذیر‌تر کنند و خیلی ساده‌تر و حرفه‌ای‌تر بتوانند اطلاعات مورد نیاز را از قربانی خود به‌دست آورند.

چرخه حملات مهندسی اجتماعی چگونه است؟

مراحل چرخه مهندسی اجتماعی ۴ مورد زیر است:

• جمع ‌آوری اطلاعات (Information Gathering)
• برقراری ارتباط (Developing Relationship)
• بهره برداری (Exploitation)
• اجرا و حمله (Execution)

شاید هر کدام از این ۴ مرحله، نیاز به تکرار داشته باشند تا نفوذگر به هدف خود برسد.

۱. جمع ‌‌آوری اطلاعات

جمع آوری اطلاعات (Information Gathering) مهم‌ترین مرحله در حملات مهندسی اجتماعی است و احتمال موفقیتِ بیشترِ حملات، به این فاز بستگی دارد. به همین دلیل زمان و توجه زیادی در این مرحله صرف می‌شود.

از اطلاعات جمع آوری شده برای تعیین مسیر حمله، گذرواژه‌های (Passwords) ممکن، تشخیص پاسخ‌های احتمالی افرادِ مختلف، ساختن سناریوهای قوی و … استفاده می‌شود.

۶ نمونه از بهترین روش‌های مهندسی اجتماعی در هک، دستیابی و سوء استفاده از اطلاعات

1. باز نگه‌داشتن درب و اجازه ورود به تشکیلات
2. افشای نام کاربری و گذرواژه (پسورد) پشت تلفن
3. فراهم کردن تاییدیه اجتماعی (تایید مهاجم توسط قربانی) با معرفی و تایید مهاجم برای سایر پرسنل کمپانی.
4. وارد کردن یک درایو USB حاوی فایل‌های مخرب در یکی از کامپیوترهای کمپانی
5. باز کردن یک فایل ضمیمه ایمیلی که آلوده است.
6. افشای اسرار محرمانه در گفتگویی که ظاهراً با “همکار” انجام می‌شود (یعنی مهاجم هویت همکار را جعل کرده است).

۲. برقراری ارتباط Developing Relationship

در مرحله برقراری ارتباط، یک رابطۀ کاری با شخص مورد نظر برقرار می‌شود. این مرحله مهم و حیاتی است زیرا کیفیت رابطۀ ایجاد شده توسط مهاجم، سطح همکاری و میزان پیشبرد اهداف با کمک قربانی را مشخص می‌کند.

روند برقراری ارتباط در حملات مهندسی اجتماعی چگونه است؟

مرحله برقراری ارتباط در حمله مهندسی اجتماعی ممکن است خیلی ساده و خلاصه یا پیچیده و در چند بخش باشد. به عنوان مثال؛ ساده به این شکل که، مهاجم با یک لبخند و برقراری تماس چشمی، به سمت شخص مورد نظر حرکت کند تا او در را برای ورودش به داخل سازمان باز کند.

پیچیده به این شکل که شامل برقراری ارتباط شخصی از طریق تلفن یا خیلی شخصی‌تر مثل نشان دادن تصاویر خانوادگی و بازگو کردن داستان‌های خانوادگی به قربانی، در لابی باشد.

همچنین در این مرحله ممکن است، از یک رابطه آنلاین با پروفایل جعلی در شبکه‌های اجتماعی یا سایت‌های دوست‌یابی، استفاده شود.

۳. بهره‌ برداری Exploitation 

در مرحله بهره برداری، مهاجم از اطلاعات و روابط برقرار شده، برای نفوذ و دستیابی به هدف استفاده می‌کند. ممکن است این بهره برداری، از طریق به دست آوردن اطلاعاتِ به ظاهر بی اهمیت یا دستیابی به یکسری دسترسی‌ها انجام شود.

تمرکز مهاجم در مرحله بهره برداری از حمله، بر روی چه چیزی است؟

در فاز بهره برداری، تمرکزِ مهاجم رویِ ۲ مورد زیر است:

• حفظ رابطۀ برقرار شده
• حفظ رضایت و توافق کسب شده در مرحله قبل بدون ایجاد شک و بدگمانی

۴. اجرای حمله Execution 

در مرحلۀ اجرای حمله، یا هدف حمله محقق می‌شود یا به دلایل مختلف، حمله به صورتی که شک و ظنی درباره اتفاقات ایجاد نشود، پایان می‌پذیرد.

عموماً بهتر است در مرحله اجرای حمله به گونه‌ای عمل شود که، شخص مورد نظر (قربانی) حس کند کار خوبی برای یک شخص دیگر (مهاجم) انجام داده است و امکان تعاملات بیشتر در آینده هم وجود داشته باشد.

برای جلوگیری از افشای هویت مهاجم در مرحله حمله، باید چه کار کرد؟

برای جلوگیری از افشای هویت مهاجم و حتی مشخص شدنِ اینکه حمله‌ای صورت گرفته است، بهتر است کارهایی مثل پاک کردن اثرات و ردپاهای دیجیتال و اطلاعات باقیمانده از حمله انجام شود. در ضمن هدف نهایی و آخرین اقدامِ مهاجم، ایجاد یک استراتژیِ خروجِ برنامه ریزی شده و دقیق است.

تکنیک های مهندسی اجتماعی

در فیلم «اگه می‌تونی منو بگیر» (۲۰۰۲) به کارگردانی استیون اسپیلبرگ، لئوناردو دی‌کاپریو نقش کلاهبردار زبردستی به نام فرانک ابگنیل را بازی می‌کند که قبل از ۱۹ سالگی‌اش، با جا زدن خود به‌عنوان خلبان هواپیما، دکتر و وکیل، موفق شد میلیون‌ها دلار به جیب بزند. ابگنیل بعدها از استعداد خود در امر مهندسی اجتماعی استفاده کرد تا به‌عنوان مشاور امنیتی مشغول به کار شود.

داستان ابگنیل شباهت زیادی به کوین میتنیک، پدر مهندسی اجتماعی، دارد، چون او هم با سناریوسازی و نقش بازی کردن موفق به کلاهبرداری و دسترسی غیرمجاز به اطلاعات سازمان‌ها و بعد از دستگیری و حبس، تصمیم گرفت از استعداد خود به‌عنوان مشاور امنیت سایبری استفاده کند. در واقع، داستان مهندسان اجتماعی شباهت زیادی به یکدیگر دارد، چون روش‌هایی که برای حملات خود استفاده می‌کنند، تقریباً یکی است. در اینجا با ۱۰ مورد از معروف‌ترین تکنیک‌های مهندسی اجتماعی آشنا خواهید شد:‌

نقش‌آفرینی

در این روش متداول که اولین مرحله اکثر ترفندهای مهندسی اجتماعی محسوب می‌شود، مهاجم ابتدا درباره قربانی تحقیق می‌کند تا اطلاعات درست و واقعی درباره او، مثلا تاریخ تولد یا کد ملی، به دست آورد. بعد به کمک این اطلاعات یک سناریو خیالی طراحی می‌کند، با قربانی تماس می‌گیرد، اعتماد او را جلب می‌کند و با نقش بازی کردن (مثلا کاربری که به کمک نیاز دارد یا مدیری که از کارمند خود درخواست فوری دارد)، از او می‌خواهد اطلاعات مهمی را در اختیارش قرار دهد. اغلب همه چیز با یک سلام دوستانه یا جمله «می‌توانم کمی وقتتان را بگیرم» شروع می‌شود و در پایان تماس، سازمان و فرد مورد هدف قرار گرفته، دچار خسارت مالی هنگفتی می‌شود.

سرقت انحرافی

سرقت انحرافی (diversion theft) هم به صورت سنتی و هم به صورت اینترنتی صورت می‌گیرد. در مدل سنتی، سارق با ترفند مهندسی اجتماعی راننده پیک را متقاعد می‌کند محموله را به مکان دیگری برده و به شخص دیگری که گیرنده اصلی نیست، تحویل دهد. سرقت انحرافی در اینترنت به این صورت است که سارق با جعل کردن ایمیل سازمانی، از یکی از کارمندان شرکت مورد هدف می‌خواهد داده‌های حساس و مهم را به ایمیل فرد اشتباهی بفرستد.

فیشینگ

در ترفند فیشینگ (اشاره به ماهی‌گیری که در آن از طعمه برای گیرانداختن صید استفاده می‌شود)، فرد مهاجم خود را جای فرد یا نهاد قابل اعتمادی جا می‌زند و با نقش بازی کردن سعی دارد به داده‌های حساس نظیر نام کاربری، رمز عبور یا اطلاعات مربوط به کارت‌های اعتباری دسترسی پیدا کند. ایمیل‌هایی که ادعا می‌کنند از طرف وب‌سایت‌های معروف، بانک‌ها، حراجی‌ها یا بخش IT سازمان‌ها فرستاده شدند تا از گیرنده، اطلاعات شخصی آن‌ها را بپرسند، مهندسی اجتماعی از نوع فیشینگ (phishing) هستند.

ترفند فیشینگ خود به انواع مختلفی تقسیم می‌شود:

• فیشینگ با قلاب (angler phishing) که در آن مهاجم در شبکه‌های اجتماعی، حساب خدمات مشتری جعلی ایجاد می‌کند؛
• جعل ایمیل سازمانی (BEC) که در آن مهاجم خود را جای یکی از مدیران ارشد سازمان جا می‌زند و در ایمیلی از کارمند می‌خواهد پولی را به حساب او بریزد یا داده حساسی را به او ایمیل کند؛
• فارمینگ (pharming) که در آن مهاجم، کاربران را به جای وب‌سایت اصلی به وب‌سایت جعلی و کلون شده هدایت می‌کند تا اطلاعاتی را که کاربر وارد می‌کند، سرقت کند؛
• فیشینگ نیزه‌ای‌ (spear phishing) که یادآور ماهی‌گیری با نیزه است و در آن مهاجم حمله خود را تنها روی فرد خاصی متمرکز می‌کند تا ازطریق او بتواند به کل سیستم نفوذ کند.
• تب‌قاپی (tabnabbing) که در آن مهاجم، تب‌های مرورگر کاربر را که مدتی است غیرفعال مانده با محتوای مخرب جایگزین می‌کند و او را متقاعد می‌کند اطلاعات خود را برای ورود به وب‌سایت، در این صفحه جعلی وارد کند.
• شکار نهنگ (whaling) که در آن مهاجم، به جای کاربران عادی، سراغ مدیران ارشد یا اعضای هیئت رئیسه می‌رود و با ترفند مهندسی اجتماعی سعی می‌کند اطلاعات بسیار حیاتی سازمان را مستقما از آن‌ها سرقت کند.

حمله چاله آبیاری

در ترفند چاله آبیاری (water-holing)، مهاجم سراغ وب‌سایتی می‌رود که گروه هدف به آن اعتماد دارند و مرتب از آن بازدید می‌کنند. مهاجم درباره این وب‌سایت تحقیق می‌کند تا نقاط آسیب‌پذیر آن را پیدا کند. به مرور زمان، سیستم اعضای گروه هدف به بدافزار آلوده شده و مهاجم راهی برای نفوذ به سیستم پیدا می‌کند.

طعمه‌گذاری

طعمه‌گذاری (Baiting) تکنیکی است که در آن مهاجم چیز به ظاهر وسوسه‌انگیزی را جلوی چشمان کاربر قرار می‌دهد و با هدف گرفتن حس طمعش، او را به انجام کار مخربی وسوسه می‌کند؛ مثلا بدافزار خود را به صورت لینکی در دکمه دانلود رایگان آهنگ مخفی می‌کند تا کاربر به تصور اینکه قرار است آهنگ مورد‌علاقه خود را دانلود کند، بدافزار طراحی شده توسط مهاجم را دانلود کرده و باعث آلوده شدن سیستم خود می‌شود. یا مثلا درایو USB آلوده به بدافزار را در مکان عمومی جا می‌گذارند تا قربانی به خیال اینکه شانسی آن را پیدا کرده، درایو را به سیستم خود وصل کرده و دسترسی هکر را ممکن کند.

چیزی به جای دیگری

حمله «چیزی به جای دیگری» (Quid Pro Quo) روشی است که در آن مهاجم در ازای وعده منفعتی که قرار است به قربانی برساند، از او درخواست به اشتراک‌گذاری اطلاعات می‌کند. مثلا هکر خود را جای پشتیبان IT جا می‌زند، با کارمندان سازمان هدف تماس گرفته و می‌گوید برای افزایش امنیت سیستم لازم است پچ امنیتی را که به آن‌ها ایمیل کرده،‌ نصب کنند، غافل از اینکه این بسته حاوی بدافزار است و به محض نصب شدن، به هکر اجازه دسترسی به سیستم را می‌دهد.

ترس‌ افزار

ترس‌افزار (scareware)‌ نوعی نرم‌افزار مخرب است که ازطریق ترساندن کاربر، او را متقاعد به انجام کاری می‌کند. ترس‌افزار به‌طور معمول به شکل پیام هشدار پاپ‌آپ ظاهر شده و به کاربر می‌گوید برنامه آنتی‌ویروس سیستم آن‌ها نیاز به آپدیت دارد یا محتوای مخربی در دستگاه آن‌ها کشف شده که باید همین حالا پاک شود. این پیام هشدار جعلی کاربر را متقاعد می‌کند تا بدافزار را دانلود کرده و روی سیستم خود نصب کند؛ بدین ترتیب،‌ هکر با مهندسی اجتماعی و سواستفاده از ترس کاربر موفق به دستیابی به اطلاعات سیستم او می‌شود.

کلاهبرداری نیجریه‌ای

این مدل حمله مهندسی اجتماعی که به کلاهبرداری «۴۱۹»‌ و «شاهزاده نیجریه‌ای» نیز معروف است، از قربانی می‌خواهد جزئیات مربوط به حساب بانکی خود یا مبلغی را دراختیار هکر قرار دهد تا در انتقال حجم زیادی پول به خارج از کشور به آن‌ها کمک کنند و سهمی از این انتقال پول برداند. البته که در واقعیت، هیچ انتقالی در کار نیست و کلاهبردار از این راه به حساب بانکی قربانی دسترسی پیدا می‌کند یا مبلغی را از او گرفته و بعد ناپدید می‌شود. این کلاهبرداری نام خود را از ماجرای مشابه‌ای که در نیجریه اتفاق افتاد، گرفته است و هنوز هم برخی از کلاهبرداران با ادعای اینکه شاهزاده نیجریه هستند، از کاربران ناآگاه و زودباور کلاهبرداری می‌کنند. عدد ۴۱۹ نیز به بخشی از قوانین جنایی نیجریه اشاره دارد که این روش را غیرقانونی اعلام کرده است.

 

۴ شرکت بزرگ که هدف مهندسی اجتماعی و حملات آن شدند

شرکت‌ها و سازمان‌های معروفی به نام‌های RSA، نیویورک تایمز، کاسپر اسکی و… مورد تهاجم قرار گرفته‌اند که در ادامه به معرفی ۴ مورد از آن‌ها می‌پردازیم:

۱. شرکت RSA در سال ۲۰۱۱

شرکت RSA در سال ۲۰۱۱ قربانی حمله‌ای شد که از طریق یک تهدید پیشرفته و مستمر انجام شده بود. تعدادی از کارمندان ایمیلی تحت عنوان “برنامه استخدام سال ۲۰۱۱ ” دریافت کردند. هر چند اکثر آن‌ها این ایمیل را در فولدر هرزنامه (Spam) پیدا کرده بودند، اما این ایمیل به اندازه‌ای خوب طراحی شده بود که گیرنده شکی به آن نمی‌کرد. بنابراین تعدادی از کارمندان ایمیل را مستقیما از پوشه هرزنامه باز کردند.

یک فایل صفحه گسترده، به این ایمیل پیوست شده بود. این فایل صفحه گسترده، حاوی یک اکسپلویت روز صفر بود که به کمک یکی از آسیب‌پذیری‌های ادوبی فلش، یک در پشتی نصب می‌کرد. مهاجم، از یک آسیب‌پذیری برای کنترل دستگاه از راه دور استفاده کرده بود که در ابتدا شناسایی نشد. پس از تکمیل فاز اولیه مهندسی اجتماعی، مهاجمین به سیستم‌های بیشتری در شبکه محلی نفوذ کردند. سپس آن‌ها با موفقیت، تعدادی از اکانت‌های استراتژیک و مهم را هک کرده و توانستند اطلاعات مهمی را درباره سیستم SecurID شرکت RSA سرقت کنند. در نهایت به دلیل موفقیت این حمله مهندسی اجتماعی، RSA مجبور به جایگزینی میلیون‌ها توکن SecurID شد.

۲. نیویورک تایمز در سال ۲۰۱۳

نیویورک تایمز هم در سال ۲۰۱۳، هدف حمله‌ای مشابه RSA قرار گرفت. هکرهای چینی یک حمله هدفمند ۴ ماهه اجرا و به سیستم‌های کامپیوتری نیویورک تایمز نفوذ کردند. آن‌ها اطلاعات ورود (Login) کارمندان را به دست آوردند. تحقیقات نشان می‌دهد که شواهدی درباره انگیزه‌های سیاسی در این حمله وجود داشت. مهاجمین حساب‌های ایمیل را هک کرده و سعی کردند منبع ترافیک را برای نیویورک تایمز مخفی کنند و ترافیکِ ایجاد شده توسط حملات را از طریق کامپیوترهای دانشگاهی مستقر در آمریکا مسیریابی کنند.

باز هم مسیر اولیه حمله، یک حمله فیشینگ هدفمند بود که اعلامیه‌های جعلی فدکس (شرکت پست امریکایی) را ارسال می‌کرد. نیویورک تایمز، کارشناسان امنیت کامپیوتر را استخدام کرد تا این حمله را تحلیل کرده و از ایجاد تهدیدی مستمر پیشگیری کنند. آن‌ها متوجه شدند که برخی روش‌های مورد استفاده برای نفوذ به زیرساخت کمپانی با ارتش چین در ارتباط است. بعلاوه، بدافزار نصب شده برای دسترسی به کامپیوترهای شبکه کمپانی از الگوهایی مشابه به حملات قبلی چین تبعیت می‌کرد. قبلاً از کامپیوترهای همان دانشگاه در آمریکا توسط هکرهای ارتش چین استفاده شده است. با این حمله، هکرها پسورد تمام کارمندان نیویورک تایمز را به سرقت بردند و توانستند به دستگاه‌های شخصی ۵۳ نفر دسترسی پیدا کنند. اما طبق اعلام نیویورک تایمز، هیچ اطلاعات کامپیوتری به سرقت نرفته بود. خصوصیات این حمله به وضوح حکایت از یک انگیزه سیاسی داشت.

۳. شبکه جاسوسی سایبری اکتبر قرمز

شرکت کاسپرسکی (Kaspersky) اخیرا یک گزارش تحقیقاتی جدید درباره حملات فیشینگ هدفمند صورت گرفته علیه سازمان‌های دیپلماتیک، دولتی و تحقیقی منتشر کرد. بیشتر سازمان‌هایی که هدف این حملات قرار گرفتند در کشورهای عضو اتحاد جماهیر شوری سابق در شرق اروپا و آسیای مرکزی قرار داشتند. این حمله، در سال ۲۰۰۷ آغاز شد و تا ابتدای سال ۲۰۱۳ ادامه داشت و منجر به سرقت داده‌های حساسی از موسسات تحقیقاتی، گروه‌های هسته‌ای، بخش انرژی و سازمان‌های هوا-فضایی شد.

در این حمله هم مثل حملات RSA و نیویورک تایمز یک ایمیل فیشینگ هدفمند به گروهی از افراد منتخب ارسال شد. به عنوان مثال، مهاجمین اتومبیل‌های دیپلماتیک ارزان قیمتی را در پیام‌های فیشینگ هدفمند تبلیغ می‌کردند؛ این پیام‌ها حاوی یک بدافزار سفارشی بودند. طبق اعلام کاسپرسکی، معماری بدافزار متشکل از افزونه‌های مخرب، ماژول‌های سرقت اطلاعات و یک تروجانِ در پشتی بود که از آسیب‌پذیری‌های امنیتی مایکروسافت آفیس، سوء استفاده می‌کرد. همچنین، مهاجمین اطلاعات حساس زیادی را از شبکه‌هایی که به آن‌ها رخنه کرده بودند، استخراج کردند.

از اطلاعات Login به سرقت رفته، به صورت یک لیست سازماندهی شده، برای حدس زدن پسورد سیستم‌های دیگر استفاده شد. تهدید پیشرفته مستمر اکتبر قرمز تقریباً برای ۶ سال فعال بود. بررسی‌های عمیق نشان داد در فایل‌های اجرایی بدافزار، علائمی وجود دارشته که نشان می‌داده، مهاجمین در یک کشور روس زبان مستقر بوده‌اند.

۴. واترهولینگ

حملات واترهولینگ در کنار فیشینگ هدفمند، مسیر اصلی را در حملاتی که اخیرا علیه سازمان‌های چند ملیتی صورت گرفت، تشکیل می‌دادند. در این روش، مهاجمان به جای اینکه مستقیماً کارمندان را با پیام‌های فیشینگِ سفارشی مورد هدف قرار دهند، وب‌سایت‌هایی را هدف قرار دادند که احتمال بازدید از آن‌ها توسط قربانیانشان وجود داشت. آن‌ها وب‌سایت‌های خاصی را با بدافزار هدف قرار داده و انتظار داشتند که برخی از کارمندان کمپانی‌های مورد نظرشان از این سایت‌ها بازدید کنند.

راه های مقابله با مهندسی اجتماعی (۵ توصیه مهم)

• آموزش و آگاهی بخش به تک تک افراد سازمان و فرهنگ‌سازی مناسب در مورد حملات مهندسی اجتماعی
• شناخت اطلاعات حساس و آموزش طبقه‌بندی اطلاعات به پرسنل
• باز نکردن ایمیل از منابع مشکوک
• نرم افزار آنتی ویروس خود را به روز کنید
• کلیک نکردن و دانلود نکردن پیوست‌ ایمیل هایی که قبلا با آن‌ها در ارتباط نبوده‌اید

 

منبع: zoomit – hamyarit – faranesh