آموزش CEH (هکر کلاه سفید): فیشینگ و مهندسی اجتماعی چگونه کاربران را قربانی می‌کنند

برای مطالعه قسمت قبل آموزش رایگان  دوره CEH اینجا کلیک کنید.

کنترل دسترسی فیزیکی

افراد نباید بدون شناسایی و احراز هویت مناسب نباید به منابع دسترسی پیدا کنند. شناسایی به فرآیندی اشاره دارد که برخی اطلاعات را برای احراز و تایید هویت استفاده می‌کند. به بیان دیگر، احراز هویت برای بررسی این موضوع انجام می‌شود که آیا شخص واقعاً کسی است که ادعا می‌کند یا خیر. تکنیک‌های کنترل دسترسی اشاره به اطلاعاتی دارید که در اختیار کاربر قرار دارد. شرکت‌های ارائه‌کننده سرویس‌های تأیید هویت می‌توانند ابزارهای مختلفی را برای محدود کردن دسترسی به امکانات یا مکان‌های خاص طراحی کرده‌اند. از سیستم‌های تأیید اعتبار شاخصی که سازمان‌ها از آن‌ها استفاده می‌کنند به موارد زیر می‌توان اشاره کرد:

■ گذرواژه‌ها و پین ‌کدها: این سیستم‌های تأیید اعتبار بر اساس اطلاعاتی شبیه به نام، گذرواژه الفبایی یا شماره شناسایی شخصی (PIN) کار می‌کنند. به‌طور  مثال، ممکن است مجبور شوید پین‌‌کد خود را در پنل نصب شده روی درب اتاق سرور وارد کنید تا اجازه ورود صادر شود.

■ توکن‌ها، کارت‌های هوشمند و کارت‌های نوار مغناطیسی: این سیستم‌های کمی شخصی‌تر و بر مبنای هویت افراد صادر می‌شوند. به‌طور مثال، کارفرمای شما ممکن است کارت هوشمندی در اختیارتان قرار دهد که شناسه شما روی آن قرار دارد و توسط کارت‌خوان‌های نصب شده در سازمان خوانده شده و به شما امکان دسترسی به مناطق کنترل شده را می‌دهد.

■ بیومتریک: این سیستم‌های تأیید اعتبار براساس هویت زیستی افراد مانند اثر انگشت، اسکن شبکیه یا الگوی صوتی کار می‌کنند.

کنترل دسترسی زیستی یک شکل قوی از احراز هویت است. در این روش کاربران نیازی نیست گذرواژه‌ها یا پین‌کدها را به‌خاطر بسپارند که همواره احتمال سرقت آن‌ها وجود دارد یا همواره کارت شناسایی را همراه خود داشته باشند. همواره این احتمال وجود دارد تا کارت‌های اعتباری به اشتباه در کارت‌خوان وارد شوند یا دچار آسیب‌های فیزیکی شوند، اما مکانیزم‌های احراز هویت براساس ویژگی‌های رفتاری یا زیستی منحصر به فرد کاربران کار می‌کنند. از شناخته شده‌ترین مکانیزم‌های احراز هویت بیومتریک به موارد زیر می‌توان اشاره کرد:

■ اثر انگشت: از اسکنرهای اثر انگشت برای کنترل دسترسی به امکانات و تجهیزاتی مانند لپ‌تاپ‌ها و گوشی‌های هوشمند استفاده می شود. این فناوری با بررسی خطوط کف دست یا انگشتان، نحوه شکل‌گیری خطوط و مواردی از این دست کار می‌کنند.

■ اسکن چهره: برای مجاز یا مسدود کردن دسترسی از فناوری اسکن چهره استفاده می‌شود. در این حالت چهره افراد در قالب الگوهای ریاضی درون یک پایگاه داده ذخیره شده و در زمان ورود با نمونه اصلی مقایسه می‌شود.

■ الگوی هندسه کف دست: سیستم بیومتریک دیگری است که از هندسه منحصر به فرد انگشتان دست همراه با کف کاربر برای تعیین هویت کاربر استفاده می‌کند.

■ اسکن پشت کف دست: این سامانه‌ها برای شناسایی کاربران  از اشکال هندسی پشت کف دست کاربران استفاده می‌کنند. در این حالت اگر الگو تطبیق داده شود اجازه دسترسی به منابع داده‌ای را پیدا می‌کند.

■ الگوی شبکیه: یکی دیگر از سیستمهای تشخیص بر مبنای رگ‌های خونی فرد در شبیکه چشم و مطابقت دادن نمونه اصلی با نمونه ورودی استفاده می‌کند.

■ تشخیص عنبیه: از الگوی منحصر به فرد چشم فرد برای شناسایی استفاده می‌کند.

■ تشخیص صدا: برای شناسایی و احراز هویت از تجزیه و تحلیل صوتی استفاده می‌کند.

سیستم‌های بیومتریک با ضبط اطلاعات منحصر به فرد و شخصی افراد کار می‌کنند. قبل از به‌کارگیری مکانیزم‌های احراز هویت بیومتریک، ابتدا باید یک بانک اطلاعاتی در مورد کاربر تهیه شود.

به این فرآیند ثبت اطلاعات گفته می‌شود. پس از پایان ثبت اطلاعات، سیستم آماده استفاده است. یکی از مهمترین فاکتورهایی که باید هنگام برنامه‌ریزی برای خرید سیستم‌های بیومتریک در نظر بگیرید، میزان دقت آن‌ها است. دقت یک دستگاه بیومتریک بر مبنای میزان هشدارهای کاذب آن (FRR) و تعداد دفعاتی است که کاربر قانونی اجازه دسترسی به منابع را پیدا نمی‌کند سنجیده می‌شود. دقت همچنین میزان پذیرش اشتباه (FAR) را تعیین می‌کند که تعداد دفعاتی است که افراد غیر مجاز می‌توانند به منابع دسترسی پیدا کنند. حد فاصل میان این دو نقطه اندازه‌گیری شده و به عنوان نرخ خطای متقاطع (CER) شناخته می‌شود. هرچه CER پایین‌تر باشد، دستگاه عملکرد بهتری دارد. به‌طور مثال، اگر سیستم شناسایی چهره پیشنهادی دارای CER 5 باشد و اسکنر اثر انگشت پیشنهادی دارای CER 3 باشد، می‌توان متوجه شد که اسکنر اثر انگشت دقت بیشتری دارد.

دفاع در عمق

عمق دفاع در مورد ارتباط با ساخت چند لایه امنیتی است که محافظت بهتری نستب به یک لایه واحد ارائه می‌کنند. دفاع در عمق با رویکرد فیزیکی به معنای آن است که کنترل‌ها روی تجهیزات، نقاط حساس درون سازمانی، ورودی‌ها و خروجی‌های مهم و نقاط حساس نصب شوند. دفاع چند لایه‌ موانع مختلفی را برای مهاجمین به وجود می‌آورد که برای غلبه بر آن‌ها و شکستن مکانیسم‌های مختلف برای ورود به سازمان باید وقت زیادی را صرف کنند. در این حالت عبور از یک لایه به معنای شکست قابلیت امنیتی سازمان نیست. مهاجمین تنها زمانی موفق می‌شوند که از سد تمامی مکانیزم‌های امنیتی عبور کنند. بسیاری از هک‌های اخلاقی و آزمایش‌های تست نفوذ شامل بررسی کنترل‌های فیزیکی است تا نقاط ضعف شناسایی و راه‌حلی برای آن‌ها اندیشیده شود.

مهندسی اجتماعی

مهندسی اجتماعی هنر فریب افراد و مجبور کردن آن‌ها به انجام کاری زیان‌بار است. هکرهای ماهر در مهندسی اجتماعی کارمندان سازمانی و حتا پیمانکاران را هدف قرار می‌دهند. مهندسی اجتماعی یکی از حملات بالقوه خطرناک است، زیرا به شکل مستقیم فناوری‌ها را هدف قرار نمی‌دهد. یک سازمان می‌تواند بهترین دیوارهای آتش، سامانه‌های تشخیص نفوذ (IDS)، الگوهای کارآمد طراحی شبکه، سامانه‌های احراز هویت یا کنترل دسترسی را داشته باشد، اما هنوز هم با خطر حمله موفقیت‌آمیز مهندسی اجتماعی روبرو شوند. افرادی که مهندسی اجتماعی را انجام می‌دهند در فریب افراد مهارت زیادی دارند. برای درک بهتر نحوه کار مهندسی اجتماعی‌، اجازه دهید نگاهی به رویکردهای مختلف این حملات داشته باشیم و ببینیم چگونه این حملات می‌توانند افراد یا سازمان‌ها را قربانی کنند. در ادامه به بیان مکانیزم‌های دفاعی برای مقابله با این حملات می‌پردازیم.

شش نوع حمله مهندسی اجتماعی

رابرت سیالدینی در کتاب خود The Science and Practice of Persuasion شش گرایش اساسی برای رفتار انسان‌ها توصیف می‌کند که می‌تواند در جهت پیاده‌سازی الگوی مهندسی اجتماعی مورد سوء استفاده قرار بگیرند. این شش گرایش اساسی به شرح زیر هستند:

■ Scarcity: به این اصل اشاره دارد که هر انسانی کمبودهایی دارد. بازاریابان بر مبنای این اصل کار می‌کنند و محصولاتی را به مشتریان می‌فروشند. به بیان ساده‌تر اصل فوق می‌گوید: «هم اکنون خریداری کنید. تعداد محدود است.»

■ Authority: بر مبنای اصل قدرت کار می‌کند. به‌طور مثال، "سلام، آیا در حال صحبت با یک کارشناس help desk  هستم؟ من برای VP ارشد کار می کنم و او احتیاج به تنظیم مجدد رمزعبور خود دارد!"

■ Liking: دوست داشتن، ما تمایل داریم بیشتر برای افرادی که دوست داریم کاری انجام دهیم نسبت به افرادی که علاقه‌ای به آن‌ها نداریم.

■ Consistency: مردم علاقه‌مند به سازگاری هستند. به‌طور مثال از شخصی سؤالی بپرسید، مکث کنید و به او نگاه کنید. او تلاش نمی‌کند پاسخی دهد که شما نیز آن‌را تایید می‌کنید.

■ Social validation: بر اساس این ایده است که اگر یک نفر این‌کار را انجام دهد، دیگران نیز چنین خواهند کرد. شما این حالت را بیشتر در مورد فرزندان خود دیده‌اید، "اما بابا، همه افراد دیگر این کار را می‌کنند. چرا نمی‌توانم آن‌را انجام دهم؟ "

■ Reciprocation: اگر شخصی به شما یک نشان یا هدیه کوچک بدهد، حسی در شما برانیگخته می‌شود که در ازای آن چیزی به او بدهید.

اطلاع در مورد تکنیک‌های مختلفی که مهندسان اجتماعی از آن‌ها استفاده می‌کنند، می‌تواند به میزان قابل توجهی توانایی شما برای شکست دادن هکرها را بیشتر کند. در کنار دانستن این تکنیک‌ها مهم است که بدانیم آن‌ها می‌توانند از مهندسی اجتماعی برای حمله به سامانه‌های کامپیوتری فرد یا افرادی حمله کنند.

مهندسی اجتماعی Person-to-Person

مهندسی اجتماعی Person-to-Person روی ویژگی‌های یک فرد متمرکز است. در این تکنیک بر مبنای جعل هویت کار می‌کند و سعی می‌کند فرد ثالث را شخص مهمی نشان دهد.  این حمله ممکن است به صورت حضوری یا از طریق تلفن انجام شود. این حمله وانمود می‌کند شما در حال صحبت کردن با فرد مهمی هستید. یکی از مهم‌ترین عواملی که باعث موفقیت این حمله می‌شود این است که برخی افراد تصول می‌کنند سؤال کردن کار خوبی نیست. مردم همواره از افرادی که دارای قدرت یا نفوذ هستند درخواست‌های زیادی دارند که احساس می‌کنند به درخواست‌های آن‌ها پاسخ داده می‌شود. یک دلیل موفقیت حمله فوق این است که مردم معتقدند اکثر مردم خوب هستند و به‌طور کلی‌، آن‌ها در مورد آن‌چه می‌گویند صادق هستند. نوع دیگر مهندسی اجتماعی به این شکل انجام می‌شود که شخصی خود را به جای فرد دیگری معرفی می‌کند. به‌طور مثال، فرد لباس کادر پلیس را می‌پوشد تا بتواند در امکان مختلف برود و افراد از او سوال نکنند. برخی هکرها جسور هستند و به جای آن‌که ترجیح دهند با قربانی تلفنی تماس بگیرند، به دلایلی وارد یک سامان می‌شوند و وانمود می‌کنند که مشتری یا کارگر جدیدی هستند. اگر مهندس اجتماعی با موفقیت انجام شود، می‌تواند خطرآفرین باشد، زیرا هکر اکنون در سازمان است.

مهندسی اجتماعی مبتنی بر کامپیوتر

مهندسی اجتماعی مبتنی بر کامپیوتر از نرم‌افزاری برای بازیابی اطلاعات استفاده می‌کند. این‌کار به روش‌های مختلف به شرح زیر است:

■  پنجره‌های بازشو: این پنجره‌ها قربانی را برای وارد کردن انواع مختلفی از اطلاعات ترغیب می‌کنند. ممکن است به کاربر هشدار داده شود که اتصال شبکه از دست رفته، بنابراین باید نام کاربری و رمزعبور خود را در این پنجره وارد کند.

■  ضمایم ایمیلی: برخی تصور می‌کنند این تکنیک دیگر کارایی ندارد. متأسفانه این حرف درست نیست. ایمیل‌های جعلی و پیوست‌های ایمیلی برای طیف گسترده‌ای از کاربران ارسال می‌شوند. با کلیک روی پیوست ممکن است یک تروجان، بدافزار یا کرمی روی سامانه نصب شود.

■  شبکه‌های اجتماعی: شبکه‌های بردار جدید هکرها هستند. جعل هویت در سایت‌های اجتماعی امروز برای کسی سخت نیست و نتیجه این است که مهاجم می‌تواند از این پروفایل‌ها برای دستیابی به شبکه‌های بزرگ دوستان و استخراج اطلاعات و در عین حال به‌طور بالقوه گسترش بدافزارها استفاده کند.

■ Websites: مهندسان اجتماعی ممکن است سعی کنند شما را از چند طریق به سایت جعلی برسانند. ایمیل یکی از محبوب‌ترین روش‌ها است. فیشینگ نامه الکترونیکی ممکن است به شما اطلاع دهد که باید رمزعبور پی‌پال، eBay ، Visa ، MasterCard یا Gmail خود را تنظیم کنید. معمولاً از گیرنده خواسته می‌شود برای بازدید از وب‌سایت روی پیوند کلیک کند. در این حالت به سایت واقعی منتقل نمی‌شوید و در عوض به یک آدرس جعلی که منحصراً برای جمع‌آوری اطلاعات ساخته شده منتقل می‌شوید.

فیشینگ، شبکه‌های اجتماعی و حملات هدفمند

فیشینگ منحصر به ایمیل نیست. فیشینگ می‌تواند زمانی رخ دهد که افراد روی پیوند مخرب کلیک می‌کنند یا در موتور جستجو وب‌سایتی را پیدا می‌کنند. فیشینگ می‌تواند اشکال مختلفی داشته باشد:

■ فیشینگ: حمله‌هایی که باعث می‌شود قربانی انواع مختلفی از اطلاعات را ارائه کند. به‌طور مثال این مضموم که اتصال شبکه از بین رفته است، بنابراین لطفاً نام کاربری و رمزعبور خود را در اینجا وارد کنید.

■ فیشینگ هدف‌دار: حمله هدفمندی است که روی گروه خاصی از افراد متمرکز شده است. به عنوان نمونه، شما می‌دانید که هدف در شرکت X کار می‌کند و یک ایمیل فیشینگ برای قربانی ارسال می‌کنید که مربوط به شرکت X باشد.

■ شکار نههنگ: هدف قرار دادن یک مدیر عامل یا شخص با اهمیت.

■ SMiShing: ارسال پیامک‌های جعلی اس‌ام‌اس. این مدل حملات را به دفعات در ارتباط با سایت‌های فروش مشاهده می‌کنید که کاربر پس از ثبت کالایی پیام کوتاهی دریافت می‌کند که برای تکمیل فرآیند ثبت مبلغ دیگری را در یک زمان محدود از طریق یک صفحه درگاه پرداختی وارد کند. یک مثال رایج در ارتباط با فیشینگ به شرح زیر است:

برای آن‌که بتوانید ایمیل‌های فیشینگ را به راحتی شناسایی کنید به نکات زیر دقت کنید:

آدرس ایمیل منبع را بررسی کنید: بررسی کنید که نامه الکترونیکی از طرف چه کسی ارسال شده و اینکه با دامنه شرکت مطابقت دارد یا خیر.

■ پیام حاوی گرامر یا هجی ضعیف است: در حالی که برخی از ایمیل‌های فیشینگ به خوبی نوشته شده‌اند، برخی دیگر ممکن است دارای خطاهای املایی یا دستوری باشند.

■ در پیام از فرد درخواست اطلاعات شخصی می‌شود: ایمیل‌های فیشینگ معمولی اطلاعات شخصی را درخواست می‌کنند.

شماره تلفن نادرست است: همه شماره‌های قید شده در ایمیل باید با شماره‌های واقعی شرکت مطابقت داشته باشند.

کلیه پیوندها را بررسی کنید: قبل از کلیک روی پیوندی، برای مشاهده آدرس کامل آن ماوس را روی آن قرار دهید تا ببینید با دامنه اصلی شرکت یکسان است یا خیر.

در حالی که تلاش‌های فیشینگ به‌طور معمول دارای نشانه‌هایی هستند که چیزی درست نیست، با این حال شناسایی فیشینگ هدف‌دار سخت‌تر است. بسیاری از حملات فیشینگ هدف‌دار با هدف جمع‌آوری اطلاعات آغاز می‌شوند تا همه چیز واقعی به نظر برسد.

‌در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه رایگان تمام بخش‌های دوره CEH  روی لینک زیر کلیک کنید:

آموزش رایگان دوره CEH