به بخش حملات سایبری خوش اومدی.
این مقاله بهت کمک میکنه تا حملات سایبری رو بهتر بشناسی.برای انجام این حمله ها حتما لازم نیست یه هکر کد های طولانی تایپ کنه. این حملات میتونه شامل مهاجمانی که مردم رو فریب میدن هم باشه.
بعد از این مقاله، میتونی:
امینت فقط به اندازه ضعیف ترین قسمتش قوی هست و گاهی اوقات آن قسمت ما هستیم!
مهندسی اجتماعی تکنیکی هست که بدون اقدام فنی خاصی، عامل انسانی را در یک سیستم هدف قرار میدهد. در این مقاله یاد میگیری که مهندسی اجتماعی و اصولی که برای فریب دادن افراد استفاده میشه چی هستن.
مهندسی اجتماعی هنر “هک کردن انسان” است.
فرض کن یک رمز عبور قوی داره امنیت سیستم رو تضمین میکنه در چنین حالی بدست برای پیدا کردن رمز عبور بنویسیم.
با اینکه ممکنه این روش مسخره به نظر بیاد اما در واقعیت این روش خیلی پرکاربرده.
مهندسی اجتماعی از پیش فرض های ذهنی و مسائل عادی اجتماعی که ما باهاشون بزرگ می شیم استفاده می کنه تا مارو فریب بده.
همانطور که کامپیوترها می تونن دستکاری بشن، انسان ها هم فریب می خورن. تصور کن مسئول پذیرش یک شرکت هستی. فقط افراد مجاز می تونن وارد این ساختمان بشن. ناگهان مسئول پیمانکار آسانسور بهت زنگ میزنه و میگه که شرکت یک تکنسین فرستاده تا وضعیت آسانسور هارو بررسی کنه.
مدیریت هم چیزی در این مورد بهت نگفته. در چنین شرایطی چیکار میکنی؟ در این سناریو، به نظر میرسه که مهندسی اجتماعی داره رخ میده. ” پیمانکار آسانسور” و “تکنسین” مهندسان اجتماعی هستن که سعی دارن دسترسی به ساختمان را به دست بیارن؛ و می خوان از اقدامات امنیتی فنی تا حد امکان دوری کنن
( برای مثال، نشان دادن کارت شناسایی به پذیرش ). شناسایی فریب در این سناریو می تونه برای بعضی ها دشوار باشه. در نتیجه بیشتر مردم به “تکنسین آسانسور” اجازه ورود میدن.
انسان موجودی اجتماعی هست که باعث میشه مهندسی اجتماعی به بهترین نحو اثر کنه. مهندسی اجتماعی از ترکیب اختیار، تهدید، کمبود، آشنایی، اعتماد و عجله برای سوء استفاده از قربانی استفاده می کنه.
مثل هک کردن، مهندسی اجتماعی هم روش ها و اصول مختلفی داره تا هدف مورد نظر رو فریب بده. در حالی که مفاهیم اصلی در هک کردن از نحوه کار و طراحی تکنولوژی های ما استفاده می کنن، اصول مورد استفاده در مهندسی اجتماعی از معیار های شناختی و هنجارهای اجتماعی ما استفاده می کنن.
هم رأیی، یا به عبارت دیگه توافق جمعی، زمانی هست که مهندس اجتماع قربانی هارو قانع میکنه که سایر مردم به آن ها اعتماد کردن، پس شما هم باید اعتماد کنید. راه های فراوانی برای استفاده از هم رأیی در مهندسی اجتماعی هست. برای مثال نظرات جعلی یا فیک در وب سایت ها، سفارشات جعلی، استفاده از هوش مصنوعی برای شبیه سازی صدای یک نفر پشت تلفن و…
آشنایی، که به عنوان اعتماد هم شناخته میشه، به یک مهندس اجتماعی با استفاده از جذبه و محبوبیت اشاره میکنه تا قربانی رو برای انجام درخواستش آماده کنه. آشنایی اغلب به سادگی صحبت دوستانه با یک قربانی قبل از درخواست هست. اگر مهندس اجتماعی بخشی از گروه قربانی باشه یا اینطور به نظر برسه، این کار معمولا موثرتر هم هست. برای مثال، صحبت کردن با یک محافظ امنیتی در مورد سختی های شیفت شب یا فریب یک مسئول پذیرش بی تجربه با تظاهر به این که روز اول کاری تو هست و کارت شناسایی خود را فراموش کردی.
ضرورت، که به عنوان کمبود هم شناخته میشه، به یک مهندس اجتماعی اشاره داره که حس عجله برای تحمیل فشار زمانی بر قربانی ایجاد میکنه. ایجاد حس ضرورت، قربانی رو از تفکر بیشتر منصرف میکنه و این باعث می شه آن ها احساس کنن که به کسی که نیازمنده کمک می کنن. استفاده از ضرورت میان کلاهبرداران پیشینه قدیمی داره. برای مثال، ایمیل هایی هستن که به تو اطلاع میدن که ضمانت کالای تو در حال منقضی شدن هست مگر اینکه همین الان اقدام کنی!
اقتدار یا تهدید، یک استراتژی پر خطر هست که در آن یک مهندس اجتماعی تلاش می کنه تا قربانی را بترسونه و یا ادعای قدرت بر آن ها بکنه. برای مثال، جمله “مگه نمی دونی من کی هستم؟!” یک نمونه از استفاده از اقتدار و تهدید هست البته همون طور که گفتیم این روش ریسک زیادی داره و ممعمولا قربانی فریب نمی خوره و ترجیح می ده که این مورد رو گزارش بده. در عمل، اقتدار رو میشه با هم رایی ترکیب کرد تا این توهم رو ایجاد کنه که مهندس اجتماعی مورد اعتماد و مقتدر هست.
مهندسی اجتماعی ابزار بسیار موثری هست که توسط هکر های اخلاقی یا غیر قانونی به طور یکسان استفاده میشه. در حالی که امنیت فنی قوی مهم هست، نادیده گرفتن جنبه انسانی امنیت، آسیب پذیری شدیدی رو ایجاد می کنه که کلاهبرداران می تونن ببه راحتی از آن استفاده کنن. حفاظت در برابر مهندسی اجتماعی نیازمند آموزش فراوان هست؛ این موضوع نیازمند ایجاد فرهنگ امنیتی هست که مردم اهمیت آن و تهدید هایی که ممکن است با آن مواجه بشن رو درک کنن.
در این قسمت، متوجه میشی که مهاجم ها چطوری از روانشناسی استفاده می کنن تا معیار های امنیت فنی رو دور بزنن.
نکته: تلاش برای فیشینگ و دسترسی به اطلاعات شخصی بدون اجازه، غیر قانونی محسوب میشه. مفاهیمی که در این مقاله ارائه میشه به هیچ وجه فیشینگ و دزدی اطلاعات رو توصیه نمی کنه، و به هیچ وجه نباید برای حملات فیشینگ استفاده بشه.
فیشینگ یکی از معروف ترین روش های حمله سایبری هست. کااربران معمولی اینترنت شاید هیچ وقت راجع به کالی لینوکس یا اسکریپت های پایتون چیزی نشنیده باشن، اما قطعا همه میدونن که نباید به ایمیلی که از طرف شاهزاده نیجریه براشون ارسال شده پاسخ بدن!
( ولی ممکنه بعضی ها فریب بخورن!).
یکی از دلایلی که فیشینگ خیلی رایج شده اینه که واقعا کار می کنه! مهم نیست چقدر اقدامات امنیتی روی سیستم اعمال شده باشه، در واقع آدم هایی که با این سیستم کار می کنن قابل هک شدن هستن. این روش که انسان هارو فریب میدن و به اطلاعاتشون دسترسی پیدا می کنن در واقع با نام مهندسی اجتماعی هم شناخته میشه.
از رقت اطلاعات بانکی گرفته تا ویروسی کردن سیستم های شرکت ها میشه از فیشینگ استفاده کرد، موسسه وریزون در سال 2020 فیشینگ رو “بزرگترین تهدید برای شرکت های کوچک” نام گذاری کرد. گاهی فیشینگ میتونه با روش های باور نکردنی اتفاق بیفته، مثلا با دریافت پیامک های جعلی مانند پیدا شدن سکه های طلا یا اینکه شما برنده جایزه ویژه شدید. با این همه، چون فیشینگ داره رایج تر و در عین حال پیچیده تر میشه، لازمه که حتما راجعبش بدونیم.
بر اساس گزارش سالانه جرایم اینترنتی FBI در سال 2020، حملات فیشینگ 32.35 درصد از کل حملات سایبری سال گذشته را شامل می شود که در واقع بیشترین حمله بوده است و 241 هزار و 342 مورد فیشینگ رخ داده است. این رقم در پنج سال گذشته بیش از ده برابر شده است، در حالی که در سال 2015 این رقم 19465 بود.
تمام نوع های فیشینگ بر اساس مهندس اجتماعی هستن تا قربانی را مجبور کنن کار های خاصی رو انجام بده، اما روش ها و اهداف مختلفی برای این کار هست، برای مثال:
فیشینگ از لحاظ اینکه چه کسی رو هدف قرار می گیره هم، دسته بندی های مختلفی داره. بیشتر فیشینگ ها هدف هایی مثل آدم ها یا شرکت های تصادفی دارن و سعی می کنن هر کسی رو توی این شبکه به دام بندازن، اما بعضی وقتا مهاجم هدف خاصی داره و پیام های اسپم رو به شخص خاصی میفرسته.
این به عنوان “فیشینگ هدفمند یا spear phishing” شناخته میشه. اگر هدف، شخص خیلی مهمی باشه، مثل مدیر عامل شرکت، به عنوان “شکار نهنگ یا Whaling” شناخته میشه. چه برای فریب دادن کسی برای ارسال پول، برداشت اعتبار، ورود به سیستم و یا دانلود بدافزار، فیشینگ انسان را به عنوان یک ابزار هدف قرار میده.
گاهی فیشینگ فقط زمانیه که یک مهاجم سعی میکنه با ارسال پیام یا ایمیل به شخصی، اون رو مجبور به پرداخت پول یا دادن اطلاعات بکنه. گاهی هم اون هارو مجبور به کلیک کردن روی لینک های نصب بدافزار میکنن که فهمیدن این حقه به دانش فنی بیشتری نیاز داره. برای مثال مهاجم ها میتونن:
اغلب، بعد از باز کردن این فایل ها، ویروس در سیستم پخش میشه و پیام ها و ایمیل های اسپم و فیشینگ بیشتری برای بقیه مخاطبان میفرسته.
این کار زمانی اتفاق میفته که مهاجم، تیتر و موضوع ایمیل رو طوری مینویسه که انگار از طرف شخص دیگه ای ارسال شده. این کلاهبرداری هم روش رایجی هست، و در 90% حمله های فیشینگ استفاده میشه.
وقتی به طور عادی یه ایمیل میفرستیم، در بخش فرستنده به طور اتوماتیک ایمیل ما نوشته میشه. برای مثال اگر ایمیل من ali_123@gmail.com باشه، دوستم میتونه اسم من رو توی تیتر ببینه و فک کنه ایمیل از طرف من اومده.
زمانی که یک ایمیل را با استفاده از یک اسکریپت برنامه نویسی میسازی و ارسال میکنی، می تونی سرتیتر ایمیل رو طوری تنظیم کنی که هر چیزی که میخواهی باشه. به این معنی که مهاجم میتونه جای فرستنده هر چیزی قرار بده، حتی ایمیل شما. برای اینکه ببینی یه ایمیل واقعا شامل چی هست، می تونی دانلودش کنی و در یک ویرایشگر کد یا برنامه Note pad باز کنی، اما اغلب ارائه دهندگان ایمیل بهت اجازه میدن که سرتیتر ایمیل را از داخل ایمیل ببینی.
برای مثال، در جیمیل، اگر ایمیل مورد نظر را باز می کنی، روی سه نقطه عمودی در گوشه سمت راست بالایی کلیک کن، و روی “show original” کلیک کن، اینطوری میتونی سرتیتر ایمیل رو ببینی. این سرتیتر ایمیل اطلاعات ارزشمندی رو به ما میده که میتونن به تشخیص فیشینگ کمک کنن، مثل IP فرستنده و اینکه آیا ایمیل هیچ پروتکل امنیتی ای مانند spf و DKIM را رد کرده یا نه، که به تشخیص کلاهبرداری کمک میکنه.
اگر یک ایمیل مشکوک دیدی، همیشه بهتر هست که سرتیتر رو قبل از پاسخ باز کنی تا ببینی آیا هیچ پروتکل امنیتی شکست خورده است یا نه، وip فرستنده اصلی رو هم چک کنی.
صفحات وب که اطلاعات مشتریان رو می دزدن، ابزار ویژه فیشینگ هستند. از آنجا که این صفحات اغلب قربانیان رو به یک صفحه وب واقعی پس از دزدیدن اطلاعات ورود به سیستم هدایت می کنن، کابر هرگز متوجه نمیشه که ازش سرقت شده.
این وب سایت ها همچنین می تونن شما رو تشویق به دانلود ناخواسته بدافزار کنن. در ادامه، ما صفحه وب برداشت اعتبار خودمون رو راه اندازی کرده ایم که شبیه صفحه ورود به سیستم گوگل است. ما این کار رو با دانلود فایل هایhtml برای گوگل انجام دادیم. در این اسکرین شات، صفحه روی یک سرور محلی است که ما میتونیم نظارتش کنیم، و آن را در هر دامنه ای که دوست داشتیم بارگذاری کنیم.
وقتی کسی وارد این صفحه میشه، فکر میکنه واقعا وارد صفحه گوگل شده. وقتی که اطلاعات رو وارد کنن، نام کاربری و رمز عبور برای ما ارسال میشه.
چون صفحه ما کاملا شبیه صفحه واقعی گوگل هست کاربر ممکنه فریب بخوره، مگر اینکه به ادرس دامنه دقت کنه و متوجه بشه که یه چیزی ایراد داره. این یک راه رایج هست که یک مهاجم میتونه از یک وب سایت برای فریب دادن فردی برای دزدیدن اطلاعاتش استفاده کنه. به نظر میرسه یک میلیون راه وجود داره که ما میتونیم به طور ماهرانه در وب فریب بخوریم. پس بهتره در مورد نحوه تشخیص آن ها صحبت کنیم!
خوشبختانه راه هایی وجود داره که ما میتونیم خودمون و سازمان هارو آموش بدیم تا به دام فیشینگ نیفتیم! اگرچه خیلی از وب سایت های فیشینگ خیلی به نسخه های اصلی نزدیک هستن، اما تشخیص ایمیل ها آسان تر هست. در ادامه سه مثال از فیشینگ، دو ایمیل و یک صفحه وب آورده شده. می تونی نشانه های هر کدوم رو تشخیص بدی؟
این یکی خیلی متقاعد کنندست. نحوه دادن اطلاعات رو دیدی؟ فرستنده ایمیل شرکت paypal هست. یادت باشه، هر کسی میتونه ایمیل با ادرس @gmail.com رو ثبت کنه. Paypal واقعی همیشه از یک دامنه اختصاصی خودش یعنی @paypal.com استفاده میکنه. یه روش دیگه هم هست. می تونی ابزار های توسعه دهنده ( Developer tools)
رو بر روی هر دکمه ای در یک ایمیل باز کنی تا ببینید شما رو کجا میبرن. ابزار های توسعه دهنده بهترین دوست یک متخصص امنیت سایبری هستن. می تونه اسرار زیادی را آشکار کنه که مهاجمان نمیخوان تو ببینی.
ابزار های توسعه دهنده (Developer tools)، ابزارهایی هستن که مرورگر مانند گوگل کروم یا فایرفاکس در اختیار شما قرار میده تا بتونید جزئیات کد های یک صفحه وب رو ببینید. برای این کار باید از مرورگر روی کامپیوتر استفاده کنید.
مثال2: این هم یک ایمیل کاملا متقاعدکننده هست، به خصوص اگر “تام” واقعا باهات در تماس باشه. در واقع، زمانی که یک مهاجم یک ادرس ایمیل رو می دزده، ازش استفاده میکنه تا به افراد در لیست تماس آن شخص پیام های اسپم بفرسته تا اون هارو فریب بده. این واقعیت که مهاجم، قربانی را با اسم کوچیک صدا می کنه، این فیشینگ رو هدفمند می کنه.
اینجا چه اتفاقی رخ داد؟ نگاه دقیق تری به نشانی اینترنتی داخل متن ایمیل بنداز، مهاجم از لینک جعلی goodle.com به جای لینک گوگل استفاده کرده. این به این معنی است که این لینک احتمالا تورو به یک وب سایت جعلی مخرب می بره که ازت میخواد به حساب گوگل وارد بشی تا بتونه اطلاعاتت رو به سرقت ببره.
مثال3: امروزه صفحات جعلی درگاه پرداخت زیاد شدن و کلاهبردران از این روش به راحتی اطلاعات حساب بانکی شما رو می دزدن. حالتی رو در نظر بگیر که برای پرداخت اینترنتی سفارشت وارد صفحه درگاه بانکی میشی.
صفحه کاملا شبیه صفحه اصلی درگاه بانک هست. اما یه نکته مهم تو این صفحه داره! آدرس صفحه با یک دامنه نامعتبر مثل mysim.site شروع شده در حالی که می دونیم درگاه های پرداخت همه باید زیر مجموعه ای از دامنه shaparak.ir باشن.
تنوع انواع فیشینگ، هزینه پایین برای ایجاد صفحات فیشینگ و آسانی درست کردن یک صفحه، کار رو برای تشخیص و مقابله با آن سخت میکنه. علاوه بر این، صرف نظر از اینکه یک سیستم چقدر پیچیده است، هیچ سیستمی در جهان نمی تونه تضمین کنه که یک انسان بر روی یک لینک مخرب کلیک نکنه.
به همین دلیل مهمه که همیشه ایمیل ها یا لینک های مشکوک را به پلیس فتا گزارش بدی تا اونا بتونن فرستنده و دامنه های مشکوک رو مسدود کنن. با وجود اینکه در مورد تمام استراتژی های فیشینگ صحبت کردیم، هیچ وقت نباید از اون ها استفاده کنی تا به بقیه آسیب بزنی. اگر در محل کارت جزو تیم امنیتی هستی، می تونی یه عملیات فیشینگ راه بندازی تا کارمند هارو با تمام این ها آشنا کنی.
در تاکتیک های مهندسی اجتماعی معمولا از مفاهیم زیر استفاده می کنن:
در حالی که این اصول مفاهیم سطح بالای مهندسی اجتماعی را توصیف می کنن، استراتژی های خاص بیشتری هم وجود داره و ما در این مقاله درباره آن ها صحبت خواهیم کرد.
بسیاری از این استراتژی هارو میتونیم هم برای ارتکاب جرم و هم برای شناسایی جرم استفاداه کرد. شناسایی فرآیند تعامل با هدف به منظور کسب اطلاعات بیشتر در مورد اون هست.
شناسایی در مهندسی اجتماعی خیلی مهمه چون داشتن اطلاعات در مورد هدف ، دستکاری اون هارو برای یک مهندس اجتماعی آسان تر میکنه. گسترش رسانه های اجتماعی به این معنی هست که اغلب هیچ کمبود اطلاعاتی در مورد هدف آنلاین موجود وجود نداره.
مهندسی اجتماعی با ایمیل
ارسال ایمیل های ناخواسته که به عنوان اسپم هم شناخته میشن، یک استراتژی مهندسی اجتماعی بسیار موثر هست. اغلب ایمیل های اسپم که در inbox ما ظاهر میشن، به وضوح تقلبی هستند و این کار عمدیه. متقلبانی که این ایمیل ها را ارسال می کنن به دنبال قربانیان آسانی هستن که به راحتی فریب می خورن.
مطمئنا افراد کمتری ایمیل رو باز می کنن اما آن هایی که آن را باز می کنند احتمال فریب خوردنشون زیاده. اسپمی که توسط مهندسان اجتماعی ارسال میشه معمولا با روش این متقلبان فرق داره و تشخیصش سخت تره.
بیشتر ما می دونیم که به ایمیل هایی که از سایت های تصادفی که برای آن ها ثبت نام کردیم اعتماد نکنیم، اما ایمیل هایی که به نظر می رسه از واحد IT سازمان خودت یا دانشگاه محل تحصیلت میان چی؟ این ایمیل ها اغلب با ظاهر شدن از منابع قانونی از اعتماد ما سوءاستفاده می کنن، و این می تونه با تکنیکی که به نام پیش انداختن (prepending) ترکیب بشه.
پیش انداختن شامل به صف کردن موضوعات، یا ضمیمه کردن پیامی در ایمیل هست که در عنوانش RE یا MAILSAFE:PASSED داره، که باعث میشه اینطوری به نظر بیاد که:
این باعث میشه که دریافت کننده، احساس امنیت کامل داشته باشه.
دروغ گفتن برای رسیدن به هدف، بخش اصلی مهندسی اجتماعی هست و این میتونه به شکل های زیادی اتفاق بیوفته و معمولا با یک یا چند مفهوم اصلی مهندسی اجتماعی همسو میشه.
در مهندسی اجتماعی، این دروغ ها اغلب “فریب” نامیده میشن. یکی از فریب های معمول، جعل هشدار های امنیتی و ایجاد حس ضرورت و فوریت برای قربانی هست. این هشدار های جعلی اغلب از اعتماد و اقتدار هم استفاده میکنن چون به نظر میرسه هشدار ها از منابع واقعی هستن که به قربانی آموزش میدن اقدامات مورد نیاز رو انجام بده.
نوع دیگری از دروغ مورد استفاده در مهندسی اجتماعی بهانه سازیست، به این صورت که مهندس اجتماعی بهانه یا دلیلی به دروغ اختراع میکنه، که قربانی اطلاعاتش رو به اشتراک بگذاره یا اقدامی انجام بده.
اگر یه شخص تصادفی به تو ایمیل بده و اطلاعات شخصی ازت بپرسه، احتمال زیاد نادیده میگیریش. اما از طرف دیگه، اگر شخصی بهت بگه که از طرف شرکتتون برای تمدید قرارداد بهت پیام داده، قطعا جواب میدی و اطلاعات لازم رو هم بهش میدی.
اینترنت کارهارو برای فریب دادن انسان ها، به شدت آسون کرده؛ حتی قبل از اینکه ما اصلا وارد سایتی بشیم! مهندسان اجتماعی می تونن مارو قانع کنن که یه لینک امنه و ما واردش بشیم.
استراتژی ای که به نام فارمینگ (pharming) زمانیه که مهندس اجتماعی قربانی رو از یه سایت قانونی به سایت غیر قانونی خودشون منتقل می کنه. یکی از استفاده های گسترده فارمینگ در زمینه سرقت اطلاعات بانکی هست.
یه استراتژی دیگه که برای انتقال قربانیان بی خبر به وب سایت های مخرب استفاده میشه، غلط املایی یا typosquatting هست. Typosquatting زمانیه که یه مهاجم یک دامنه را بسیار شبیه به یک وب سایت قانونی موجود ثبت می کنه، سپس صبر میکنه تا مردم از دامنه بازدید کنن.
برای مثال، یک مهاجم ممکنه fimca.ir رو ثبت کنه تا کاربرانی که سعی دارن از fimca.ir دیدن کنن رو فریب بده. قربانیان ممکنه از طریق اشتباهی به سادگی تایپ اشتباه یا اشتباه به یاد داشتن یک نشانی اینترنتی از این وب سایت مخرب دیدن کنن.
اگر به این استراتژی شک داری، سعی کن تفاوت های بین این نشانی های اینترنتی را پیدا کنی:
Kerning.com در مقابل kerming.com
Google.com در مقابل goggle.com
سرقت هویت زمانیه که مهاجم از اطلاعات شخصی قربانی استفاده میکنه. خیلی از ما بار ها شنیدیم که کلاهبردارانی از هویت بقیه استفاده کردن تا بتونن پول به دست بیارن. برای مثال، استفاده از کارت بانکی یه نفر دیگه یه نمونه از این کاره.
سرقت هویت فقط برای سرقت های بانکی نیست. می تونه همچنین توسط مهندسان اجتماعی هم استفاده بشه تا هویت یک قربانی رو جعل کنن یا خودشون تظاهر کنن که قربانی هستن و به این ترتیب به اطلاعات و منابع بیشتری دسترسی پیدا کنن.
درحالت شخصی، مثلا استفاده از اطلاعات شخصی که ربوده شده برای بازیابی و دسترسی به حساب بانکی قربانی یا هدف قرار دادن سازمانی باشه که اون شخص براش کار میکنه. این نوع کلاهبرداری میتونه در ابعاد بزرگتر هم اتفاق بیوفته.
مثلا به شکل کلاهبرداری با فاکتور فروش، که مهاجم اینجا تمام جزئیات و قیمت هارو در فاکتور تغییر میده تا پول بیشتری به دست بیاره. یکی از شکل های این مدل کلاه برداری استفاده از مهندسی اجتماعی برای ارسال پیام به کارمند یک سازمان و ارسال فاکتورهای کلاهبرداری به شرکت های دیگر هست. اگر مهاجم موفق بشه، شرکت قربانی متوجه مشکلی نمیشه و فقط فاکتور رو پرداخت میکنه!
این اتفاق زمانی میوفته که مهاجم اعتبار قربانی رو برداشت میکنه یا به سرقت میبره. که می تونه شامل حمله یه شخص خاص، یا حملات پی در پی باشه، اما اغلب اعتبار کاربران ناگهانی و یکجا به سرقت میره.
یکی از روش های برداشت اعتبار شخص هدف، حمله به بخش آسیب پذیر هست. حمله به بخش آسیب پذیر زمانی است که یک مهاجم یک سرویس، نرم افزار یا وب سایت شخص ثالث رو با هدف تطبیق میده تا به هدف دسترسی پیدا کنه.
سرویس شخص ثالث “نقطه آسیب پذیر” است که قربانیان همگی از آن استفاده میکنن. این مثالی از اینه که چطوری امنیت ضعیف در بخش ارائه دهندگان این سرویس ها میتونه امنیت سازمان هایی که از اون ها استفاده می کنن رو هم به خطر بندازه.
برنامه های شخص ثالث یا third_party برنامه هایی هستن که شما مالکیت رو اون ندارید و فقط برای منظوری خاص ازش استفاده میکنید. برای مثال شرکت های حوزه حمل و نقل از سرویس های شخص ثالث مثل نقشه و مسیریابی برای سیستم خودشون استفاده میکنن.
یک نمونه از حمله به نقطه آسیب پذیر در سال 2012 اتفاق افتاد که یه گروه هکر وب سایت هایی را هدف قرار دادن که فعالیت های سیاسی رو ترویج می دادن. این حمله شامل تغییر مسیر قربانیان به یک سایت مخرب و متفاوت بود که بدافزار بر روی کامپیوتر های قربانیان دانلود می کرد.
دسترسی فیزیکی به هدف، دنیایی از امکانات جدید رو برای یک مهاجم باز میکنه و گاهی دستیابی فیزیکی می تونه آسان تر از هک کردن با استفاده از تکنولوژی های جدید باشه. این استراتژی ها درباره دور زدن امنیت فیزیکی یا برداشت اعتبار به صورت حضوری و فیزیکی هستند، نه از طریق کامپیوتر.
تعقیب از فاصله نزدیک، به طور دقیق به معنی دنبال کسی رفتن از طریق درب امنی هست، قبل از آن که آن در بسته شود.
زباله گردی ( در اینجا در مورد اطلاعات)، همونطور که از اسمش هم پیداست، به معنی گشتن بین زباله ها برای پیدا کردن داده های مهم هست. مسخره به نظر میرسه، ولی رایج تر از اونیه که فکرشو می کنی. خیلی از کارکنان شرکت ها گاهی اطلاعات مهمی دقیقا در دسترس افراد غیر مجاز رها می کنن.
اطلاعات زیادی ممکنه اینطوری به دست بیاد، از رمز هایی که روی کاغذ ها نوشته شده اند گرفته تا فاکتور ها و قبض های کارکنان. موقع دور انداختن باید مطمئن بشی که کاغذ ها رو کاملا خورد و پاره میکنی.
سرک کشیدن یا دید زدن، زمانیه که از روی شونه کسی که داره رمز عبورش رو تایپ میکنه، اون رو نگاه می کنی و در واقع به سرقت می بری. این روش با اینکه تمرین زیادی میخواد اما به شدت در مهندسی اجتماعی رایج و موثره؛ البته تا زمانی که بدون گیر افتادن بشه انجامش داد!
استراتژی های زیادی وجود داره که مهندسان اجتماعی می تونن ازشون برای سواستفاده از قربانیان استفاده کنن که همشون از هم رایی، آشنایی، ضرورت و اقتدار استفاده می کنن. ما در مورد استراتژی های زیر یاد گرفتیم:
اسپم: ایمیل های ناخواسته
پیش انداختن یا Prepending: ضمیمه کردن پیامی در ایمیل هست که پیامی که تو عنوانش RE یا MAILSAFE:PASSED داره، که باعث میشه ایمیل امن و قانونی به نظر برسه.
فریب: اطلاعات غلط
بهانه سازی یا Pretexting : زمانی که یک مهندس اجتماعی بهانه ای یا دلیلی به دروغ اختراع میکنه، که قربانی اطلاعاتش رو به اشتراک بگذاره یا اقدامی انجام بده.
فارمینگ: زمانی که مهندس اجتماعی قربانی رو از یه سایت قانونی به یه سایت غیر قانونی خودشون منتقل می کنه.
حمله غلط املایی یا Typosquatting : زمانیه که یه مهاجم یک دامنه را بسیار شبیه به یک وب سایت قانونی موجود ثبت می کنه، سپس صبر میکنه تا مردم از دامنه بازدید کنن.
سرقت هویت: زمانی که مهاجم از اطلاعات شخصی قربانی استفاده می کنه.
برداشت اعتبار: این اتفاق زمانی میوفته که مهاجم اعتبار قربانی رو برداشت می کنه یا به سرقت می بره.
حمله به بخش آسیب پذیر: زمانی است که یک مهاجم یک سرویس، نرم افزار یا وب سایت “شخص ثالث” رو با هدف تطبیق میده تا به هدف دسترسی پیدا کنه.
تعقیب از فاصله نزدیک: به طور دقیق به معنی دنبال کسی رفتن از طریق درب امنی هست، قبل از آن که آن در بسته شه.
زباله گردی: به معنی گشتن بین زباله ها برای پیدا کردن داده های مهم . در واقع به سرقت میبری.
حتما مواظب باش ، اینکه یه سایت یا شخص امن به نظر میرسه ، دلیل نمیشه که واقعا امن باشه.
وقتی به حملات در زمینه امنیت سایبری فکر می کنیم، معمولا به چیزهایی مانند بدافزار، نفوذ به داده ها، یا هک های هدفمند که به دنبال یک سازمان خاص میرن فکر می کنیم، اما این لزوما درست نیست.
در این بخش ما در مورد کمپین های نفوذ که به دنبال تغییر عقیده عمومی در مورد مسائل اجتماعی هستن، به طور کامل صحبت میکنیم. همچنین در مورد نحوه کار این کمپین ها و چگونگی ترکیب آن ها با هک کردن سنتی ( تهدید های ترکیبی یا Hybrid Threats) هم صحبت میکنیم.
کمپین های گسترده ای هستن که به دنبال تغییر عقیده عمومی هستند. چنین فعالیت هایی معمولا با اهداف مخرب انجام میشن و اغلب به دنبال تحمیل یک تفکر نادرست هستن. این مبارزات اغلب توسط گروه هایی با سطوح بالای توانمندی و همچنین بازیگران قدرتمند انجام میشه.
کمپین های نفوذ برای چی استفاده میشن؟جمله ی معروفی از فرمانده معروف چینی یعنی سان تزو وجود که میگه: “پیروزی بدون درگیری، هنر برتر جنگ است!”
حالا فرض کن که یه کسب و کار داری و دشمنت یه کسب و کار رقیبه. انواع راه ها هست که میتونی سعی کنی بر رقیبت برتری پیدا کنی، با اختلافات اخلاقی و قانونی مختلف. مثلا یکی رو استخدام کنی که بره شبکه رقیبت رو هک کنه و روی سیستم هاشون خرابکاری کنه. این کار غیر قانونیه، و وقتی که این حمله کشف میشه، کسب و کارت احتمالا زیر سوال میره.
اما اینکه یکیو استخدام کنی که به کسب و کار رقیبت بره، تحقیق کنه و یه گزارش در مورد رفتار های غیر اخلاقی یا غیر قانونیشون بنویسه، بسیار قانونی تر و حرفه ای تر هست، و اگه رقیبت هم سعی کنه تورو به خاطر گزارش سرزنش کنه، احتمالا به عنوان یه تلاش برای سرپوش گذاشتن روی ضعف خودش در نظر گرفته میشه.
این قدرت کمپین های نفوذ هست. اون ها سعی میکنن تحت یه چارچوب خاص عمل کنن تا واکنش تند تر و تاثیر بیشتری ایجاد بشه. این موضوع همونقدر که برای دولت های دشمن مهمه، برای کسب و کارهای رقیب هم مهمه. به صورت علنی حمله کردن به یک دشمن ممکنه به پیامدهایی منجر بشه، اما به صورت پنهانی عمل کردن برای تغییر نظر عمومی درباره اون ها، سخت تره که اثبات بشه و سخت تره که دشمن بتونه انتقام بگیره.
یکی از کاربرد های معمول کمپین های نفوذ، دخالت در انتخاباته، که نشون میده مقابله با کمپین های نفوذ چقدر سخته. مسئله دیگه اینه که معمولا سخته یک کمپین نفوذ رو با یک گروه مشخص ارتباط داد و تشخیص منبع این کمپین ها کار دشواریه. به اضافه، قبول کردن اینکه ما تحت تاثیر و نفوذ قرار گرفتیم هم خودش مسئله چالش برانگیزیه.
افراد معمولا به جای نگاه منصفانه و عاقلانه به مسئله سعی می کنن قربانی شدنشون رو انکار کنن. یه مثال واقعی جهانی، کمپین نفوذ شرکت کمبریج آنالیتیکا هست. این شرکت سعی کرد انتخابات در استرالیا، هند، کنیا، مالتا، مکزیک، بریتانیا و ایالات متحده را تحت تاثیر قرار بده. شرکت ها هم می تونن از کمپین های نفوذ برای تبلیغات یا پیشگیری از اخبار منفی استفاده کنند.
همچنان، قدرت این کمپین ها باعث میشه نتونیم ثابت کنیم تحت نفوذشون قرار گرفتیم. امروزه در فضای مجازی خیلی از افراد معروف یا تاثیر گذار فضای مجازی رو می بینیم که از محصولی خاص یا خودروی به خصوصی تعریف و تمجید می کنند و یا برعکس محصول خاصی رو بد جلوه می دن. ثابت کردن اینکه این مدل کار ها کمپین نفوذ هست کار سختیه و طبیعتا نمیشه به راحتی اون رو به شخص یا شرکت خاصی ربط داد.
دستکاری شبکه های اجتماعی
شبکه های اجتماعی، تغییر افکار عمومی رو خیلی راحت تر کرده. علاوه بر اینکه یه فضای آنلاینی وجود داره که مردم با هم در ارتباطن، امکان تبلیغات هدفمند هم در اون وجود داره.
این خدمات به گروه هایی که کمپین های نفوذ را ایجاد می کنن، این امکان رو میده که به راحتی افرادی که راحت تر تاثیر میپذیرن رو مورد هدف قرار بدن. تکنیک هایی مثل “آستروتورفینگ یا Astroturfing” در این حوزه بسیار پر کاربرد هست، که در اون یک کمپین نفوذ به شکل یک جنبش عمومی ظاهر میشه، تا به این صورت به نظر برسه که افراد دیگه در این اجتماع دارن نظر خودشونو ارائه می دن.
کمپین های نفوذ می تونن قسمتی از کمپین های گسترده تر باشن که از تکنیک های دیگه مثل جاسوسی و هک هم استفاده می کنن. این کمپین ها معمولا یک هدف کلی دارن و از ترکیب تکنیک ها برای رسیدن به این هدف ها استفاده می کنن.
در این حالات، کمپین نفوذ ممکنه تمرکز کمتری روی رسیدن مستقیم به هدف داشته باشه و بیشتر در مورد حواشی و حواس پرتی باشه یا اینکه پوششی برای تکنیک ها هجومی باشه. همچنین ممکنه یه سازمان هدف رو به عنوان دشمن معرفی بکنند، که ممکنه به این معنا باشه که عموم مردم اقدامات مستقیم علیه هدف را کاملا موجه یا اخلاقی ببیند.
کمپین های نفوذ یک مدل خطرناک و جدید در امنیت سایبری هستند. آن ها پنهان و قابل انکار هستند، سخته که شناخته بشن، و خیلی هم تاثیر گذار بر افکار عمومی هستن.این کمپین های نفوذ همچنین در چیزی که بهش “جنگ ترکیبی” میگن استفاده میشن، جایی که تکنیک های جنگ سنتی با هک کردن و کمپین های نفوذ که قبلا گفته شدن، ترکیب میشن .
آگاهی از خطراتی که توسط کمپین های نفوذ ایجاد میشن، برای کسب و کارها و دولت ها خیلی حیاتیه.
پیشرفت مطلب:
آنلاین
2 پاسخ
سلام
سلام