تا این قسمت از سری مقالات امنیت اطلاعات لیزاردوب در خصوص انواع حملات صحبت کردیم اما همانطور که خود می دانید برای انجام چنین حملاتی به سیستم قربانیان نیاز به داشتن دانش فنی نسبتا خوبی در زمینه کامپیوتر و فناوری اطلاعات می باشد. با این اوضاع کسی که دانشی در زمینه فناوری اطلاعات نداشته باشد نمی تواند به عنوان یک مهاجم یا هکر شناخته شود ، اما در این مقاله می خواهیم در خصوص یکی از رایج ترین روش های هک صحبت کنیم که بدون نیاز به داشتن هرگونه دانش فنی در خصوص فناوری اطلاعات قابل اجرا می باشد. به اینگونه حملات در اصطلاح فنی Social Engineering یا مهندسی اجتماعی گفته می شود. مبانی اینگونه حملات بسیار ساده است ، در اینگونه حملات به جای اینکه سیستم ها مورد هدف قرار بگیرند ، افراد بصورت مستقیم مورد هدف قرار می گیرند.

منطق این حملات بسیار ساده است : اگر در خصوص چیزی اطلاعاتی می خواهید ، سئوال کنید …. انجام اینگونه حملات در اثر بعد روانشناسی به نام اعتماد است که پرسنل یا افراد به دیگران می کنند. در اینگونه حملات مهاجمین از طریق ایجاد روابط صمیمی و دوستانه خود را به هدف خود نزدیک می کنند ، آنها سعی بر آن دارند که اعتماد قربانی را جلب کنند. بعد از اینکه اعتماد قربانی جلب شد از وی درخواست اطلاعات یا کاری را می کنند که به آن نیاز دارند ، معمولا افرادی که با چاپلوسی و لاس زنی و زبان بازی میانه خوبی دارند می توانند در انجام اینگونه حملات موفق باشند. اینگونه مهاجمین ابتدا سعی می کنند خود را به شما از لحاظ فکری و کلامی نزدیک کنند و در ادامه با شما دوست شوند ، سپس از شما درخواست اطلاعات می کنند هر چند در وهله اول این اطلاعات ممکن است کم و بی ارزش به نظر برسد ، اینگونه مهاجمین معمولا به یک فرد اکتفا نمی کنند و همین عملیات روانی را با چندین نفر مختلف انجام می دهند تا در نهایت بتوانند اطلاعات بیشتری بدست بیاورند ، معمولا درخواستشان را به گونه ای به شما ارائه می دهند که برای شما قابل باور باشد.

امنیت اطلاعات قسمت پنجم – حملات مهندسی اجتماعی و انواع آنها

برای اینکه درک بهتری از انواع حملات مهندسی اجتماعی داشته باشید به سراغ یک مثال عملی می رویم ، شخصی به درب سازمان شما مراجعه می کند و از نگهبان می خواهد که با مدیر سازمان ملاقات کند ، یا اینکه نامه ای دارد که برای مدیر سازمان می باشد و بایستی شخصا توسط وی مفتوح شود ، نگهبان به وی می گوید که آقای X امروز در سازمان نمی باشد و برای ماموریت به فلان شهرستان رفته است ، مهاجم این خبر را به همکاران خود می دهد ، آنها با شماره داخلی سازمان به ویژه شما واحد فناوری اطلاعات تماس می گیرند و خود را به عنوان مدیر عامل سازمان معرفی می کنند ، بعد از معرفی به مسئول مربوط می گویند که قصد ورود به ایمیل سازمانی خود را دارند و ظاهرا رمز را فراموش کرده اند و هر چه سریعتر بایستی به یک نامه حساس سازمانی دسترسی پیدا کنند ، مسئول مربوطه برای وی رمز را ریست می کند و رمز را به مهاجم اعلام می کند …. آیا در این حمله نیازی به داشتن دانش فنی بود ؟ روش های متعددی برای انجام حملات مهندسی اجتماعی وجود دارد که شما فقط با یکی از آنها در این مورد آشنایی پیدا کردید ، انواع روش های حمله به روش مهندسی اجتماعی به شرح زیر می باشند :

جعل هویت یا Impersonation

در این نوع حمله مهاجم هویت شخصی که شما از وی شناخت دارید را جعل کرده و خود را به جای وی جا می زند . مثالی که در پاراگراف قبلی عنوان شد نمونه ای از جعل هویت بود . موارد بسیاری از این نوع را می توان در فعالیت های روزمره کاربران مشاهده کرد ، کسانی که خود را به عنوان پشتیبان شبکه سازمان معرفی می کنند و از شما می خواهند که نام کاربری و رمز عبورتان را در اختیارشان قرار دهید تا آن را برای شما ریست کنند ، کسانی که خود را به عنوان تعمیرکار ساختمان یا سیستم معرفی می کنند و با این روش می توانند از بسیاری از پارامترهای امنیتی شما عبور کنند ، کسانی که خود را از دوستان شخصی معرفی می کنند که شما وی را می شناسید یا به او اعتماد دارید و بسیاری دیگر از موارد مشابه … در این مواقع به کاربران خود همواره آموزش دهید که تا در خصوص فرد مورد نظر اطلاعات دقیق بدست نیاورده اند ، اطلاعاتی در اختیار آنها قرار نداده و یا اینکه به درخواست های آنها توجه نکنند.

فیشینگ یا Phishing

در اینگونه حملات که بیشتر توسط ایمیل انجام می شود ، برای شما ایمیلی ارسال می شود که در آن از طرف بانکی که شما در آن حساب سپرده دارید درخواست شده است که نام کاربری و رمز عبور خود را در کادر مشخص شده وارد کنید تا حساب شما فعال شود و یا اینکه هر درخواستی مبنی بر وارد کردن اطلاعات شخصی کاربران را از طریق ایمیل از شما می خواهند. اینگونه ایمیل ها معمولا به گونه ای طراحی می شود که به ظاهر از طرف سایت معتبر و قانونی ارسال شده است و دارای محتوای قانونی نیز می باشد ، برای مثال لوگوی بانک مربوطه را در ایمیل قرار می دهند و یا اینکه از ادبیاتی استفاده می کنند که برای کاربر به عنوان ادبیات مرسوم ارتباطات بانکی شناخته می شود و بدین ترتیب از کاربران غیر مطلع می توانند اخاذی کنند. در خصوص این نوع از حملات توجه کنید که ایمیل هایی که از شما درخواست اطلاعات فردی یا بانکی یا هرگونه اطلاعات مشابه را می خواهند را حتما توسط سایت مرجع اصلی بررسی کنید و از وارد کردن اطلاعات شخصی در چنین ایمیل هایی خودداری کنید ، البته راهکارهای دیگری نیز وجود دارد که در ادامه در خصوص آنها صحبت خواهیم کرد. حملات Phishing انواع و اقسام مختلفی دارند که در ادامه به معرفی برخی از آنها می پردازیم.

فارمینگ یا Pharming

در حملات فیشینگ عادی ، مهاجم برای شما یک فرم ارسال اطلاعات می فرستد که شما اطلاعات را در آن وارد کنید و به نوعی می توان گفت حملات نوع فیشینگ حملاتی غیر فعال یا Passive هستند ، اما در برخی از این حملات مهاجم با استفاده از یک لینک وب سایت که به ظاهر به وب سایت اصلی بانک یا مرجع مورد نظر متصل است شما را فریب می دهد و یک وب سایت جعلی مشابه وب سایت اصلی طراحی و به شما برای وارد کردن اطلاعات معرفی می کند ، اینگونه حملات معمولا از تکنیک های هکینگ سرویس DNS برای جعل آدرس وب سایت استفاده می کنند که معمولا با استفاده از دستکاری فایل Hosts موجود بر روی سیستم شما و یا نقاط ضعفی که بر روی سرور DNS وجود دارد انجام می شود. شناسایی اینگونه حملات برای افراد عادی کمی دشوار است اما همیشه توجه کنید که ضمن توجه به آدرس دقیق وب سایت مراجعه شده ، آدرس IP آن نیز مورد تایید و درست باشد.

فیشینگ هدفمند یا Spear Phishing

فیشینگ ها اغلب بصورت تصادفی و همگانی انجام می شوند اما در نوع خاصی از حملات فیشینگ که فیشینگ هدفمند یا Spear Phishing نامیده می شود ، مهاجم ابتدا در خصوص افراد هدفی که می خواهد به آنها حمله کند اطلاعاتی بدست آورده و با استفاده از این اطلاعات بدست آمده حمله خود را انجام می دهد ، معمولا اینگونه حملات با توجه به اینکه شناخت بهتری از هدف وجود دارد بیشتر جواب می دهند. برای مثال شخصی می خواهد محمد نصیری مدیر انجمن تخصصی فناوری اطلاعات ایران را هک کرده و اطلاعات مربوط به وی را بدست بیاورد ، با توجه به اینکه وی علاقه شدیدی به مسائل امنیتی دارد ، مهاجم هدف خود را با توجه به مسائل امنیتی طرح ریزی می کند و این باعث می شود احتمال اعتماد کردن محمد نصیری به ایمیل دریافت شده بیشتر شود.

Whaling Phishing

این نوع حمله تا حدود زیادی مشابه حملات فیشینگ هدفمند است با این تفاوت که به جای اینکه اهداف عادی را در نظر بگیرد افراد ثروتمند و پرنفوذ را مورد حمله قرار می دهد ، برای مثال شخصی می خواهد از رئیس جمهور یک کشور یا مدیر عامل یک سازمان دولتی اطلاعات اعتباری یا مالی بدست بیاورد ، به این نوع حملات Whaling گفته می شود ، منظور از Whale در اینجا همان وال یا نهنگ می باشد و استعاره از این است که در این نوع حملات طعمه ها افراد بزرگ و پر نفوذ هستند . اگر شخص پر نفوذ و ثروتمندی نیستید پس چندان نگران اینگونه حملات نباشید ، جیب خالی از این حملات در امان است .

Vishing

واژه این نوع حمله از دو کلمه تشکیل شده است Voice و Phishing ، در این نوع حمله مهاجم با استفاده از تلفن با قربانی تماس گرفته و از وی می خواهد که برای تکمیل اطلاعات بانکی خود با یک شماره تلفن تماس بگیرد ، بعد از پایان یافتن تماس ، قربانی با شماره مورد نظر تماس می گیرد و شخص مهاجم یا همدست وی از قربانی شماره و مشخصات مورد نیاز را دریافت می کند ، توجه کنید که ممکن است در طرف مقابل برای جلب اعتماد شما یک دستگاه خودکار پاسخگوی تلفن راه اندازی شده باشد ، بدین ترتیب اطلاعات حساس بانکی افراد دچار مشکل خواهد شد. این نوع حملات از طریق سامانه های پیامک نیز امروزه در کشور ها بسیار رایج شده اند ، توجه کنید هیچوقت اطلاعات حساس اعتباری و مالی خود را در اختیار افرادی که خود را مجاز معرفی می کنند قرار ندهید مگر اینکه از هویت شخص اطمینان حاصل کرده باشید.

روش های شناسایی انواع فیشینگ

امنیت اطلاعات قسمت پنجم – حملات مهندسی اجتماعی و انواع آنها

تا اینجا با چند نوع از این حملات آشنا شدیم ، بهتر است کمی هم در مورد روش های شناسایی آنها صحبت کنیم ، بیشتر مدر نظر ما مقابله در خصوص حملات فیشینگ است . توجه کنید که لینک هایی که در این نوع ایمیل ها استفاده می شود به شکلی جالب فریبنده و شبیه به لینک های قانونی وب سایت اصلی هستند ، اما معمولا در این میان از علامت @ بسیار استفاده می شود که می تواند باعث شناسایی این لینک های جعلی باشد. توجه کنید که معمولا لوگوهای سایت های معتبر که از طریق ایمیل برای شما ارسال می شوند به سایت اصلی لینک شده اند ، این موضوع قطعی نیست اما می تواند باعث شناسایی ایمیل جعلی بشود ، به آدرس های ایمیل فرستنده توجه کنید ، معمولا ایمیل هایی که از طرف وب سایت معتبری ارسال می شوند دارای ساختار مرتب و منظمی می باشند ، برای مثال اگر شما ایمیلی از طرف وب سایت انجمن تخصصی فناوری اطلاعات ایران دریافت کردید که به این شکل بود ( notification-reporing@itproo.ir ) ابتدا این موضوع رو بررسی کنید که آیا لینک وب سایت دقیقا همانی است که اشاره شده است ؟ در این مثال آدرس اصلی itpro.ir است و ایمیل itproo.ir که با اضافه شدن یک حرف o توانسه کاربر را گول بزند ، از طرفی ایمیل های اطلاع رسانی معمولا یک کلمه ای و خلاصه هستند برای مثال notify@itpro.ir یک ایمیل درست اطلاع رسانی است. توجه کنید که اینگونه ایمیل ها از شما درخواست های آنی می کنند ، یعنی تلاش دارند در کمترین زمان ممکن از شما اطلاعات دریافت کنند بنابراین از کلماتی مثل آخرین مهلت ، به سرعت اقدام شود ، در سریعترین زمان ممکن و …. استفاده می کنند که روش شناسایی اینگونه ایمیل ها نیز می باشد.

اسپم یا Spam

اسپم ها ایمیل های ناخواسته ای هستند که برای شما ارسال می شوند و می توانند واقعا در نقش یک ابزار تخریبی برای قربانی نقش آفرینی کنند. اولویت کاری و هدف اصلی یک اسپم انتشار بدافزارها و کدهای مخرب می باشد اما امروزه ارسال ایمیل های تبلیغاتی به عنوان یک تجارت رایگان در جهان گسترش یافته است که به اینگونه تجارت نیز Spamming گفته می شود. اسپمر یا Spammer ها کسانی هستند که اسپم ارسال می کنند ، آنها هر روشی که بتوانند را استفاده می کنند تا بتوانند پیام ها و کدهای مخرب خود را گسترش دهند ، یکی از روش های دیگری که در اسپم ها استفاده می شود استفاده از سرویس های Instant Messaging مانند Yahoo Messenger و امثال نها می باشد که در اصطلاح فنی به آن اسپیم یا Spim گفته می شود.

تکنیک های اسپمرها برای ارسال اسپم

روش های متنوهی برای ارسال اسپم وجود دارد که برخی از این روش ها بسیار مرسوم هستند که از آن جمله می توان به اسپم های تصویری یا Image Spam’s اشاره کرد ، در این نوع اسپم تصویری حاوی متن های زیاد برای افراد ارسال می شود که هر کدام از این متن ها دارای می توانند سیستم های فیلترینگ اسپم را دچار ابهام کنند ، این کد ها به محض اینکه کاربر مورد نظر بر روی آنها کلیک کند فعال شده و کاربر را فریب می دهند. برخی اوقات پیش می آید که محتوای متنی اینگونه ایمیل ها کاملا بی معنی و چرت و پرت است و از این حالت متن می توان به مخرب بودن آن پی برد. تکنیک GIF Layering یکی از تکنیکهای رایج در ارسال ایمیل های حاوی تصاویر و اسپم می باشد ، تصاویر GIF می توانند حالت متحرک داشته باشند و در لایه های مختلف خود چندین تصویر را ذخیره کنند ، مجموع تمامی لایه ها در نهایت باعث نمایش یک تصویر واحد می شود ، اسپمر ها از این ترکیب لایه ها برای مخفی کردن کدها یا لینک های خود استفاده می کنند. یکی دیگر از تکنیکهای مورد استفاده توسط اسپمرها شکستن کلمات بصورت افقی یا Word Splitting می باشد که کلمات از وسط به دو نمی تقسیم می شوند اما همچنان توسط چشم انسان قابل تشخصی می باشند ، این روشی دیگر برای جلوگیری از تشخیص داده شدن توسط سیستم های فیلترینگ اسپم می باشد. آخرین روش مورد استفاده به نام مغایرت هندسی یا Geometric Variance شناخته می شود ، در این نوع تکنیک اسپمر هر بار شکل و ظاهر متن یا تصاویر را بصورت تصادفی عوض می کند تا از شناسایی توسط سیستم های تشخیص اسپم در امان بماند. روش های دیگری نیز وجود دارند که به امید خدا در مقاله ای جداگانه به آنها خواهیم پرداخت.

هوکس یا Hoax

اینگونه مهندسی های اجتماعی را بیشتر در رده بندی آزار و اذیت قرار می دهند تا انتشار کدهای مخرب و تخریب سیستم ها ، در این نوع از حملات معمولا برای شما نامه ای ارسال می شود که در خصوص موضوعی جعلی اطلاع رسانی کرده است و از شما می خواهد که این موضوع را به دیگران و تمام کسانی که می شناسید اطلاع رسانی کنید ، در برخی موارد ممکن است از Hoax ها برای انجام مراحل اولیه حملات هکری استفاده شود اما اینکار چندان مرسوم نیست ، برای مثال برای شما ایمیلی می آید که شخصی در فلان کشور قصد دارد تمامی ثروت خود را به متخصصان شبکه اختصاص دهد و از شما می خواهد که این پیام را به تمامی دوستان خود که متخصص شبکه هستند ارسال کنید ، یا اینکه نامه ای می فرستد که سرو ته آن مشخص نیست و فقط در آن عنوان می شود که این نامه را به دوستانتان ارسال کنید ، فلانی بی توجهی کرد فلان شد ، البته من هر چقدر سعی کردم اصل این نامه را بدست بیاورم موفق نشدم ، اما هدف کسانی که Hoax ارسال می کنند بیشتر ایجد ترافیک بی هدف برای سرویس های ایمیل است ، فراموش نکنید ، پیام های بی هویت را به دوستان خود Forward نکنید. اگر در ایمیلی یا نامه ای یا اس ام اسی پیامی مبنی بر مشکلات نامعلومی از شخص نامعلومی دریافت کردید و به شما گفته شده بود که در صورت ارسال این اس ام اس یا ایمیل به ۱۰ نفر مشکلات فرد حل می شود اگر بی توجهی کنید بلای آسمانی بر سر شما فرود می آید ، پیشاپیش این بلای آسمانی شما را خریداریم … به اینگونه موارد توجه نکنید.

روش های فیزیکی

غیر از روش های تکنیکی مهندسی اجتماعی روش های دیگری هم وجود دارند که اصلا ارتباطی به حوزه فناوری اطلاعات ، ایمیل و چت و … ندارند و دستورالعمل های آنها بصورت فیزیکی اجرا می شود . سه مورد از مهمترین این روش ها به نام جستجو در زباله های سازمانی یا Dumpster Diving است ، در این نوع حمله مهاجم با جستجو در زباله های سازمانی شما سعی در بدست آوردن اطلاعات مفید در خصوص هدف حمله می کند ، در بسیاری از مواقع کاربران و پرسنل شرکت ها و سازمان ها برگه هایی را به درون سطل زباله می اندازند که دارای اطلاعات سازمان می باشد ، برگه های رسید ، فاکتورها ، رمزهای عبور ، آدرس های IP و نامه ها و … ممکن است در این سطح ها وجود داشته باشد به همین دلیل است که در سازمان های دولتی مدارک و مستنداتی که بلا استفاده می مانند بایستی با استفاده از دستگاه خردکن از بین بروند.

روش بعدی به نام Tailgating معروف است ، این نوع حمله معمولا برای عبور از حفاظ های فیزیکی مانند درب ها و دروازه های عبور مورد استفاده قرار می گیرد ، در این روش ابتدا فرد مهاجم یک فرد مجاز را شناسایی کرده ، وی را تعقیب می کند و به محض اینکه شخص مورد نظر از درب ورود مورد نظر عبور کرد از فاصله زمانی که بین رد شدن فرد تا بسته شدن درب وجود دارد استفاده کرده و وارد محدوده غیر مجاز می شود ، این روش را دزدهای ساختمان هم استفاده می کنند ، اگر توجه کرده باشید همیشه پیشنهاد می شود که در هنگام استفاده از درب های پارکینگ اتوماتیک حتما منتظر بمانید تا درب بصورت کامل بسته شود سپس به ادامه کار خود بپردازید ، این دقیقا راهکار مقابله با Tailgating است. البته در روش های دیگر شخصی ممکن است بدون اینکه چهره خود را نمایش بدهد کارتن بزرگی را با خود به نزدیک درب بیاورد و از شما خواهش کند که درب را باز نگه دارید تا بتواند رد شود ، این روش ها برای عبور از درب های حفاظتی کاربردی هستند.
روش دیگری به نام Shoulder Surfing وجود دارد که برای بدست آوردن اطلاعاتی است که شما بر روی کیبورد خود وارد می کنید در این روش همانطور که از نامش نیز پیداست شخص مهاجم در بالای سر قربانی قرار گرفته و زیر چشمی به کلید هایی که وی بر روی کیبورد خود وارد می کند نگاه می کند و از این طریق می تواند رمز عبور وی را حدس بزند.

خلاصه

در این دو مقاله با هم یاد گرفتیم که بدافزارهای یا Malware ها نرم افزارهایی هستند که بدون آگاهی و اطلاع کاربر به سیستم وی وارد می شوند . ویروس ها و ورم ها از انواع بدافزارهایی هستند که تکثیر می شوند ، برخی از بدافزارها مانند تروجان ها ، Logic Bomb ها ، Rootkit ها و Backdoor ها هستند که خود را مخفی می کنند. برخی از بدافزارها مانند Botnet ها ، Spyware ها ، Adware ها و Keylogger ها برای اهداف مهاجمین و سود رساندن به آنها طراحی شده اند . مهندسی اجتماعی یعنی بدست آوردن اطلاعات بدون نیاز به دانش فنی از طریق سئوال پرسیدن و تکنیک های روانشناسی ، انواع مهندسی های اجتماعی را می توان به Phishing ، جعل هویت ، زباله گردی و Tailgating تقسیم بندی کرد.