مهندسی اجتماعی چیست؟

اگر بخواهیم تعریف خلاصه ای در یک خط از مهندسی اجتماعی داشته باشیم:
مهندسی اجتماعی سوء استفاده از اطمینان و یا فریب عوامل انسانی به جهت دسترسی به اطلاعات محرمانه و در مرحله بعد سوء استفاده از این اطلاعات است.

در مهندسی اجتماعی که شیوه ای ناپاک است یک سازمان یا شخص قصد حمله به یک سازمان یا شخص دیگر را دارد و در این حمله اهدافی دارد مثل بدست آوردن شماره و مشخصات کارت اعتباری یا اطلاعات حساس نظامی یا اطلاعات محرمانه تجاری و هر نوعی از اطلاعات که دسترسی به آن آزاد نیست.

مهاجم در مهندسی اجتماعی به جای اینکه به سراغ روشهای سخت و فنی که نیازمند سطح بالای دانش یا غیر ممکن است برود، از تکنیکهای مهندسی اجتماعی استفاده می کند.

یک مثال :
یک موسسه مالی فرضی از یک نرم افزار سازمانی جهت حسابداری و کنترل دارایی خود و مشتریانش استفاده میکند خود نرم افزار هیچگونه باگی ندارد و شبکه هم فوق العاده امن است و هزینه زیادی صرف امنیت سخت افزاری و نرم افزاری شده و مهاجم برای نفوذ امکان دسترسی به روشهای معمول هک را ندارد یا اصلا دانش فنی آن را ندارد، ولی در این سازمان کارمندانی مشغول به کار هستند که آموزش لازم در زمینه مهندسی اجتماعی را ندیده اند.

 مهاجم  در 3 مرحله تحقیقات قبلی، جلب اطمینان و دریافت اطلاعات هدف خود را نزدیک می کند.
در این مثال مهاجم با خونسردی در تماس با یکی از کارمندان خود را مهندس مسئول شبکه یا مسئول نرم افزار موسسه معرفی میکند و با اطلاعاتی که قبلا از سازمان نام و اطلاعات اولیه واحدها نوع نرم افزار مورد استفاده و موارد مشابه بدست آورده و در تماس نهایی:

مهاجم: حسینی هستم مسئول IT درحال ارتقا نسخه نرم افزار هستیم لطفا رمز خود را به Newversion2 تغییر دهید. ضمنا تا یک ساعت وارد سیستم نشید چون هر تراکنشی ممکنه باعث اختلال بشه.
کارمند: خوب هستید آقای حسینی من الان دارم سند میزنم میشه چند دقیقه دیگه این کار رو بکنید ضمنا من یه مشکلی هم با فلش یو اس بی دارم.
مهاجم: ما امروز به همه واحدها اعلام کرده بودیم ولی مشکلی نداره من شما رو درک میکنم. می تونم تغییر سیستم شما رو با 10 دقیقه تاخیر انجام بدم.
کارمند: ولی به بنده اعلام نشده بود، به هر حال ممنونم که همکاری میکنید.
مهاجم: خواهش میکنم، در خصوص مشکلتون هم در فرصت مناسب تری با واحد ما تماس بگیرید، اسمتون رو بفرمایید من سریع کارتون رو انجام میدم، فرمودید شما آقای؟
کارمند: علوی هستم.
مهاجم: پس جناب علوی شما رمز رو الان تغییر بدید بنده هم از 10 دقیقه دیگه برنامه رو ارتقا میدم، راستی نام کاربریتون چی بود؟
کارمند: مثل بقیه نام خانوادگی...

به همین راحتی مهاجم با روش مهندسی اجتماعی، اطلاعات محرمانه بسیار با ارزش سیستم نرم افزاری سازمان را از کارمندی که تصور میکرد در حال مکالمه با مسئول شبکه سازمان است دریافت کرد و ممکن است مراحل دیگری مثل نفوذ به سطح بالاتر به روشهای دیگر یا ایجاد کاربر جدید و ... نیز داشته باشد، بعلاوه اینکه اکثر نامهای کاربری در اختیار مهاجم قرار گرفت:
username: alavi
password: Newversion2

 

مهاجمان چند مرحله تا رسیدن به هدف فاصله دارند:
در مرحله اول تحقیقات اولیه، سپس جلب اطمینان و مرحله سوم دریافت اطلاعات و در نهایت سوء استفاده از اطلاعات که هدف بوده.

تکنیکهای مشخص و از پیش تعریف شده ای برای مهندسی اجتماعی وجود ندارد و هر بار کلاهبرداران و مهاجمان مهندسی اجتماعی، روشی جدید را به کار می گیرند که اگر محرمانگی و طبقه بندی اطلاعات و آموزشهای لازم به درستی رعایت شود تا حدود زیادی جلوی این معضل گرفته خواهد شد.
تعدادی از تکنیکهای مهندسی اجتماعی رایج تر هستند از جمله:

جعل نام و مشخصات پرسنل یا هویت و تقلید صدای اشخاص
بازیابی زباله ها (متاسفانه در زباله های بسیاری از شرکتها روزانه مقدار زیادی اطلاعات قبل از معدوم شدن به بیرون منتقل می شوند)

فیشینگ، مشابه سازی صفحات تقلبی با آدرس اصلی سایتهای بانک و ... جهت ترغیب کاربر به ورود و وارد نمودن رمز.
فارمینگ، دستکاری دی ان اس.
جاسوسی
شنود مکالمات
بازیابی هارد دیسکها و حافظه های به ظاهر معیوب
فریب پرسنل. اظطراری جلوه دادن شرایط، در فشار قرار دادن منشی، کارمند اداری و پشتیبان فنی و ...
ایجاد بستر برای تماس قربانی، مثل ارسال ویروس و هدایت به سایت آنتی ویروس. 
روانشناسی فرد به فرد و ...