مهندسی اجتماعی (Social Engineering) چیست؟

تا به حال در مورد مهندسی اجتماعی چیزی شنیده اید؟ آیا تا به حال پیام های عجیب و وسوسه انگیز با لینک های مشکوک دریافت کرده اید؟ نگران اطلاعات خود هستید؟ در دنیای امروزی که ما به انواع وب سایت ها دسترسی داریم و با فضاهای مجازی در زندگی خود ارتباط زیادی داریم و اطلاعات ما برای ما ارزشمند است. بهتر است مهندسی اجتماعی را بدانید تا از دام های فراوان در این زمینه جلوگیری کنید. در این مقاله در مورد مهندسی اجتماعی صحبت کرده ایم که قطعا به نفع شما خواهد بود. پس در ادامه همراه پورتال جامع مهندسین ایران باشید.
مهندسی اجتماعی چیست؟
مهندسی اجتماعی Social Engineering برای اولین بار در سال ۱۸۹۴ و با این باور که برای مقابله با مشکلات انسانی، وجود افراد حرفهای ضروریست، مطرح شد.
در ابتدا مهندسی اجتماعی جنبۀ مثبتی داشت؛ چون باعث میشد افرادِ متخصص، در جامعه مداخلۀ مثبت داشته باشند. اما بعد از مدتی، به جنبۀ منفی گرایش پیدا کرد و به شستشوی مغزی افراد تبدیل شد.
شستشوی مغزی فقط در بحث سیاسی و اجتماعی وارد شده بود نه حوزه فناوری. اما بعدها فردی به نام Kevin Mitnick باعث شد این مفهوم به حوزه فناوری هم وارد شود. کوین میتنیک، هکر معروف دهه ۹۰ میلادی است که بعدها در زمینه امنیت مشغول به فعالیت شد و کتاب معروفی با عنوان هنر فریب را در همین حوزه نوشت.
تاریخچه مهندسی اجتماعی
ریشههای مهندسی اجتماعی را میتوان در داستانهای کهن، بهخصوص اسطورههای یونان، از داستان پرومتئوس که با ترفندی زئوس را فریب داد و آتش را به انسانها بخشید تا داستان مشهور اسب تروآ یافت که اتفاقا نام خود را به شایعترین نوع بدافزار داده است.
داستان اسب تروآ به جرات یکی از جذابترین نمونههای مهندسی اجتماعی است. در زمان جنگ تروآ، هنگامی که یونانیان به مدت ده سال پشت دروازههای شهر تروجان از پیشروی بازمانده بودند، یکی از جنگجویان حیلهگر یونانی به نام ادیسه که به حق مهندس اجتماعی زبردستی بود، نقشهای ریخت تا همرزمانش بتوانند به داخل شهر راه پیدا کنند؛ نه به زور و شکستن دیوارهای شهر، بلکه به دست خود تروجانها. به دستور اودیسه، سربازان یونانی اسب چوبی غولپیکری ساختند و درون آن مخفی شدند. بعد، برخی از آنها با کشتی تروجان را ترک کردند تا اهالی شهر فکر کنند یونانیها شکست را پذیرفته و در حال عقبنشینی هستند.
بااینحال، یک سرباز یونانی کنار اسب غولپیکر بیرون دروازه شهر باقی ماند. این سرباز که سینون نام داشت، به اهالی شهر تروجان گفت که این اسب پیشکش یونانیان به خدایان است تا جان آنها را در طول سفر بازگشت به خانه حفظ کنند؛ این اسب هم از این جهت به این اندازه بزرگ ساخته شده تا اهالی شهر نتوانند آن را به داخل ببرند و یونانیهای سوار بر کشتی را با بداقبالی روبهرو کنند. تروجانها فریب حرفهای سینون را خوردند و برای نفرین سربازهای یونانی، تصمیم گرفتند اسب را به داخل شهر بیاورند؛ غافل از اینکه درون این اسب، سربازهای یونانی در انتظار به آتش کشیدن شهر بودند. به خاطر حمله مهندسی اجتماعی اودیسه، یونانیها در جنگی که به چشم تروجانها باخته بودند، پیروز شدند.
کوین میتنیک (Kevin Mitnick) را پدر مهندسی اجتماعی میدادند، چون او بود که در دهه ۱۹۹۰، بعد از سالها بهکارگیری حقه و ترفند برای دستیبای به اطلاعات و دستکاری روانشناختی افراد، اصطلاح مهندسی اجتماعی را در دنیای امنیت سایبری به شهرت رساند. میتنیک درحالیکه فقط ۱۳ سال داشت با حقه مهندسی اجتماعی بهطور رایگان از اتوبوسهای لسآنجلس استفاده میکرد و بعدها موفق شد به شبکههای شرکت دیجیتال اکویپمنت و شرکت مخابراتی پسیفیک بلز دسترسی غیرمجاز پیدا کند. ماجراجوییهای میتنیک در حوزه مهندسی اجتماعی به قدری شاخ و برگ پیدا کرده بود که وقتی سرانجام به زندان افتاد، درباره او میگفتند که میتواند «با سوت زدن از پشت خط تلفن، جنگ اتمی راه بیندازد.»
مهندسان اجتماعی چه کسانی هستند؟
هکر یا مهندسان اجتماعی کسانی هستند که از طریق پیامک، ایمیل، حسابهای مجازی، درایوهای آلوده و یا ارتباطات حضوری و نه با حملات سایبری، بلکه با ترفندهایی زیرکانه و سوال کردن از افراد، اطلاعات مورد نظرشان را بدست میآورند. گاه خود فرد قربانی با احساساتش به تسریع فرایند حمله بسیار کمک میکند؛ به همین دلیل هکرها، انسانها را ضعیفترین عامل در حلقه امنیت سایبری میدانند.
اساس کار مهندسان اجتماعی چیست؟
اساس کار مهندسان اجتماعی برپایهی احساساتی چون ترس، طمع، محبت و کنجکاوی است. برخی از حملات این مهندسان بدون حضورشان صورت میگیرد؛ مثل تهدید از طریق پیامها با برانگیختن ترس یا با درایو فلشهای آلوده با برانگیختن حس طمع بهدستآوردن وسیلهای رایگان! بهتر است در ادامه با چند ترفند رایج مهندسان اجتماعی آشنا شویم:
- با اکانتهای جعلی (درخواست کمک، دوستی و…)
- وبسایتهای واریز وجه جعلی
- لینکهای مخرب و آلوده
- استفاده از درایو فلش آلوده
- وارد کردن قربانی به تشکیلاتی جعلی
- تبلیغاتی که ناگهانی باز میشوند و اطلاعاتی میخواهند.
از استعدادهای لازم برای مهندسان اجتماعی، خوب تظاهر کردن (خوب نقش بازی کردن) است تا سناریو را بهتر و باورپذیرتر کنند و خیلی سادهتر و حرفهایتر بتوانند اطلاعات مورد نیاز را از قربانی خود بهدست آورند.
چرخه حملات مهندسی اجتماعی چگونه است؟
مراحل چرخه مهندسی اجتماعی ۴ مورد زیر است:
- جمع آوری اطلاعات (Information Gathering)
- برقراری ارتباط (Developing Relationship)
- بهره برداری (Exploitation)
- اجرا و حمله (Execution)
شاید هر کدام از این ۴ مرحله، نیاز به تکرار داشته باشند تا نفوذگر به هدف خود برسد.
۱. جمع آوری اطلاعات
جمع آوری اطلاعات (Information Gathering) مهمترین مرحله در حملات مهندسی اجتماعی است و احتمال موفقیتِ بیشترِ حملات، به این فاز بستگی دارد. به همین دلیل زمان و توجه زیادی در این مرحله صرف میشود.
از اطلاعات جمع آوری شده برای تعیین مسیر حمله، گذرواژههای (Passwords) ممکن، تشخیص پاسخهای احتمالی افرادِ مختلف، ساختن سناریوهای قوی و … استفاده میشود.
۶ نمونه از بهترین روشهای مهندسی اجتماعی در هک، دستیابی و سوء استفاده از اطلاعات
- باز نگهداشتن درب و اجازه ورود به تشکیلات
- افشای نام کاربری و گذرواژه (پسورد) پشت تلفن
- فراهم کردن تاییدیه اجتماعی (تایید مهاجم توسط قربانی) با معرفی و تایید مهاجم برای سایر پرسنل کمپانی.
- وارد کردن یک درایو USB حاوی فایلهای مخرب در یکی از کامپیوترهای کمپانی
- باز کردن یک فایل ضمیمه ایمیلی که آلوده است.
- افشای اسرار محرمانه در گفتگویی که ظاهراً با “همکار” انجام میشود (یعنی مهاجم هویت همکار را جعل کرده است).
۲. برقراری ارتباط Developing Relationship
در مرحله برقراری ارتباط، یک رابطۀ کاری با شخص مورد نظر برقرار میشود. این مرحله مهم و حیاتی است زیرا کیفیت رابطۀ ایجاد شده توسط مهاجم، سطح همکاری و میزان پیشبرد اهداف با کمک قربانی را مشخص میکند.
روند برقراری ارتباط در حملات مهندسی اجتماعی چگونه است؟
مرحله برقراری ارتباط در حمله مهندسی اجتماعی ممکن است خیلی ساده و خلاصه یا پیچیده و در چند بخش باشد. به عنوان مثال؛ ساده به این شکل که، مهاجم با یک لبخند و برقراری تماس چشمی، به سمت شخص مورد نظر حرکت کند تا او در را برای ورودش به داخل سازمان باز کند.
پیچیده به این شکل که شامل برقراری ارتباط شخصی از طریق تلفن یا خیلی شخصیتر مثل نشان دادن تصاویر خانوادگی و بازگو کردن داستانهای خانوادگی به قربانی، در لابی باشد.
همچنین در این مرحله ممکن است، از یک رابطه آنلاین با پروفایل جعلی در شبکههای اجتماعی یا سایتهای دوستیابی، استفاده شود.
۳. بهره برداری Exploitation
در مرحله بهره برداری، مهاجم از اطلاعات و روابط برقرار شده، برای نفوذ و دستیابی به هدف استفاده میکند. ممکن است این بهره برداری، از طریق به دست آوردن اطلاعاتِ به ظاهر بی اهمیت یا دستیابی به یکسری دسترسیها انجام شود.
تمرکز مهاجم در مرحله بهره برداری از حمله، بر روی چه چیزی است؟
در فاز بهره برداری، تمرکزِ مهاجم رویِ ۲ مورد زیر است:
- حفظ رابطۀ برقرار شده
- حفظ رضایت و توافق کسب شده در مرحله قبل بدون ایجاد شک و بدگمانی
۴. اجرای حمله Execution
در مرحلۀ اجرای حمله، یا هدف حمله محقق میشود یا به دلایل مختلف، حمله به صورتی که شک و ظنی درباره اتفاقات ایجاد نشود، پایان میپذیرد.
عموماً بهتر است در مرحله اجرای حمله به گونهای عمل شود که، شخص مورد نظر (قربانی) حس کند کار خوبی برای یک شخص دیگر (مهاجم) انجام داده است و امکان تعاملات بیشتر در آینده هم وجود داشته باشد.
برای جلوگیری از افشای هویت مهاجم در مرحله حمله، باید چه کار کرد؟
برای جلوگیری از افشای هویت مهاجم و حتی مشخص شدنِ اینکه حملهای صورت گرفته است، بهتر است کارهایی مثل پاک کردن اثرات و ردپاهای دیجیتال و اطلاعات باقیمانده از حمله انجام شود. در ضمن هدف نهایی و آخرین اقدامِ مهاجم، ایجاد یک استراتژیِ خروجِ برنامه ریزی شده و دقیق است.
تکنیک های مهندسی اجتماعی
در فیلم «اگه میتونی منو بگیر» (۲۰۰۲) به کارگردانی استیون اسپیلبرگ، لئوناردو دیکاپریو نقش کلاهبردار زبردستی به نام فرانک ابگنیل را بازی میکند که قبل از ۱۹ سالگیاش، با جا زدن خود بهعنوان خلبان هواپیما، دکتر و وکیل، موفق شد میلیونها دلار به جیب بزند. ابگنیل بعدها از استعداد خود در امر مهندسی اجتماعی استفاده کرد تا بهعنوان مشاور امنیتی مشغول به کار شود.
داستان ابگنیل شباهت زیادی به کوین میتنیک، پدر مهندسی اجتماعی، دارد، چون او هم با سناریوسازی و نقش بازی کردن موفق به کلاهبرداری و دسترسی غیرمجاز به اطلاعات سازمانها و بعد از دستگیری و حبس، تصمیم گرفت از استعداد خود بهعنوان مشاور امنیت سایبری استفاده کند. در واقع، داستان مهندسان اجتماعی شباهت زیادی به یکدیگر دارد، چون روشهایی که برای حملات خود استفاده میکنند، تقریباً یکی است. در اینجا با ۱۰ مورد از معروفترین تکنیکهای مهندسی اجتماعی آشنا خواهید شد:
نقشآفرینی
در این روش متداول که اولین مرحله اکثر ترفندهای مهندسی اجتماعی محسوب میشود، مهاجم ابتدا درباره قربانی تحقیق میکند تا اطلاعات درست و واقعی درباره او، مثلا تاریخ تولد یا کد ملی، به دست آورد. بعد به کمک این اطلاعات یک سناریو خیالی طراحی میکند، با قربانی تماس میگیرد، اعتماد او را جلب میکند و با نقش بازی کردن (مثلا کاربری که به کمک نیاز دارد یا مدیری که از کارمند خود درخواست فوری دارد)، از او میخواهد اطلاعات مهمی را در اختیارش قرار دهد. اغلب همه چیز با یک سلام دوستانه یا جمله «میتوانم کمی وقتتان را بگیرم» شروع میشود و در پایان تماس، سازمان و فرد مورد هدف قرار گرفته، دچار خسارت مالی هنگفتی میشود.
سرقت انحرافی
سرقت انحرافی (diversion theft) هم به صورت سنتی و هم به صورت اینترنتی صورت میگیرد. در مدل سنتی، سارق با ترفند مهندسی اجتماعی راننده پیک را متقاعد میکند محموله را به مکان دیگری برده و به شخص دیگری که گیرنده اصلی نیست، تحویل دهد. سرقت انحرافی در اینترنت به این صورت است که سارق با جعل کردن ایمیل سازمانی، از یکی از کارمندان شرکت مورد هدف میخواهد دادههای حساس و مهم را به ایمیل فرد اشتباهی بفرستد.
فیشینگ
در ترفند فیشینگ (اشاره به ماهیگیری که در آن از طعمه برای گیرانداختن صید استفاده میشود)، فرد مهاجم خود را جای فرد یا نهاد قابل اعتمادی جا میزند و با نقش بازی کردن سعی دارد به دادههای حساس نظیر نام کاربری، رمز عبور یا اطلاعات مربوط به کارتهای اعتباری دسترسی پیدا کند. ایمیلهایی که ادعا میکنند از طرف وبسایتهای معروف، بانکها، حراجیها یا بخش IT سازمانها فرستاده شدند تا از گیرنده، اطلاعات شخصی آنها را بپرسند، مهندسی اجتماعی از نوع فیشینگ (phishing) هستند.
ترفند فیشینگ خود به انواع مختلفی تقسیم میشود:
- فیشینگ با قلاب (angler phishing) که در آن مهاجم در شبکههای اجتماعی، حساب خدمات مشتری جعلی ایجاد میکند؛
- جعل ایمیل سازمانی (BEC) که در آن مهاجم خود را جای یکی از مدیران ارشد سازمان جا میزند و در ایمیلی از کارمند میخواهد پولی را به حساب او بریزد یا داده حساسی را به او ایمیل کند؛
- فارمینگ (pharming) که در آن مهاجم، کاربران را به جای وبسایت اصلی به وبسایت جعلی و کلون شده هدایت میکند تا اطلاعاتی را که کاربر وارد میکند، سرقت کند؛
- فیشینگ نیزهای (spear phishing) که یادآور ماهیگیری با نیزه است و در آن مهاجم حمله خود را تنها روی فرد خاصی متمرکز میکند تا ازطریق او بتواند به کل سیستم نفوذ کند.
- تبقاپی (tabnabbing) که در آن مهاجم، تبهای مرورگر کاربر را که مدتی است غیرفعال مانده با محتوای مخرب جایگزین میکند و او را متقاعد میکند اطلاعات خود را برای ورود به وبسایت، در این صفحه جعلی وارد کند.
- شکار نهنگ (whaling) که در آن مهاجم، به جای کاربران عادی، سراغ مدیران ارشد یا اعضای هیئت رئیسه میرود و با ترفند مهندسی اجتماعی سعی میکند اطلاعات بسیار حیاتی سازمان را مستقما از آنها سرقت کند.
حمله چاله آبیاری
در ترفند چاله آبیاری (water-holing)، مهاجم سراغ وبسایتی میرود که گروه هدف به آن اعتماد دارند و مرتب از آن بازدید میکنند. مهاجم درباره این وبسایت تحقیق میکند تا نقاط آسیبپذیر آن را پیدا کند. به مرور زمان، سیستم اعضای گروه هدف به بدافزار آلوده شده و مهاجم راهی برای نفوذ به سیستم پیدا میکند.
طعمهگذاری
طعمهگذاری (Baiting) تکنیکی است که در آن مهاجم چیز به ظاهر وسوسهانگیزی را جلوی چشمان کاربر قرار میدهد و با هدف گرفتن حس طمعش، او را به انجام کار مخربی وسوسه میکند؛ مثلا بدافزار خود را به صورت لینکی در دکمه دانلود رایگان آهنگ مخفی میکند تا کاربر به تصور اینکه قرار است آهنگ موردعلاقه خود را دانلود کند، بدافزار طراحی شده توسط مهاجم را دانلود کرده و باعث آلوده شدن سیستم خود میشود. یا مثلا درایو USB آلوده به بدافزار را در مکان عمومی جا میگذارند تا قربانی به خیال اینکه شانسی آن را پیدا کرده، درایو را به سیستم خود وصل کرده و دسترسی هکر را ممکن کند.
چیزی به جای دیگری
حمله «چیزی به جای دیگری» (Quid Pro Quo) روشی است که در آن مهاجم در ازای وعده منفعتی که قرار است به قربانی برساند، از او درخواست به اشتراکگذاری اطلاعات میکند. مثلا هکر خود را جای پشتیبان IT جا میزند، با کارمندان سازمان هدف تماس گرفته و میگوید برای افزایش امنیت سیستم لازم است پچ امنیتی را که به آنها ایمیل کرده، نصب کنند، غافل از اینکه این بسته حاوی بدافزار است و به محض نصب شدن، به هکر اجازه دسترسی به سیستم را میدهد.
ترس افزار
ترسافزار (scareware) نوعی نرمافزار مخرب است که ازطریق ترساندن کاربر، او را متقاعد به انجام کاری میکند. ترسافزار بهطور معمول به شکل پیام هشدار پاپآپ ظاهر شده و به کاربر میگوید برنامه آنتیویروس سیستم آنها نیاز به آپدیت دارد یا محتوای مخربی در دستگاه آنها کشف شده که باید همین حالا پاک شود. این پیام هشدار جعلی کاربر را متقاعد میکند تا بدافزار را دانلود کرده و روی سیستم خود نصب کند؛ بدین ترتیب، هکر با مهندسی اجتماعی و سواستفاده از ترس کاربر موفق به دستیابی به اطلاعات سیستم او میشود.
کلاهبرداری نیجریهای
این مدل حمله مهندسی اجتماعی که به کلاهبرداری «۴۱۹» و «شاهزاده نیجریهای» نیز معروف است، از قربانی میخواهد جزئیات مربوط به حساب بانکی خود یا مبلغی را دراختیار هکر قرار دهد تا در انتقال حجم زیادی پول به خارج از کشور به آنها کمک کنند و سهمی از این انتقال پول برداند. البته که در واقعیت، هیچ انتقالی در کار نیست و کلاهبردار از این راه به حساب بانکی قربانی دسترسی پیدا میکند یا مبلغی را از او گرفته و بعد ناپدید میشود. این کلاهبرداری نام خود را از ماجرای مشابهای که در نیجریه اتفاق افتاد، گرفته است و هنوز هم برخی از کلاهبرداران با ادعای اینکه شاهزاده نیجریه هستند، از کاربران ناآگاه و زودباور کلاهبرداری میکنند. عدد ۴۱۹ نیز به بخشی از قوانین جنایی نیجریه اشاره دارد که این روش را غیرقانونی اعلام کرده است.
۴ شرکت بزرگ که هدف مهندسی اجتماعی و حملات آن شدند
شرکتها و سازمانهای معروفی به نامهای RSA، نیویورک تایمز، کاسپر اسکی و… مورد تهاجم قرار گرفتهاند که در ادامه به معرفی ۴ مورد از آنها میپردازیم:
۱. شرکت RSA در سال 2011
شرکت RSA در سال 2011 قربانی حملهای شد که از طریق یک تهدید پیشرفته و مستمر انجام شده بود. تعدادی از کارمندان ایمیلی تحت عنوان “برنامه استخدام سال ۲۰۱۱ ” دریافت کردند. هر چند اکثر آنها این ایمیل را در فولدر هرزنامه (Spam) پیدا کرده بودند، اما این ایمیل به اندازهای خوب طراحی شده بود که گیرنده شکی به آن نمیکرد. بنابراین تعدادی از کارمندان ایمیل را مستقیما از پوشه هرزنامه باز کردند.
یک فایل صفحه گسترده، به این ایمیل پیوست شده بود. این فایل صفحه گسترده، حاوی یک اکسپلویت روز صفر بود که به کمک یکی از آسیبپذیریهای ادوبی فلش، یک در پشتی نصب میکرد. مهاجم، از یک آسیبپذیری برای کنترل دستگاه از راه دور استفاده کرده بود که در ابتدا شناسایی نشد. پس از تکمیل فاز اولیه مهندسی اجتماعی، مهاجمین به سیستمهای بیشتری در شبکه محلی نفوذ کردند. سپس آنها با موفقیت، تعدادی از اکانتهای استراتژیک و مهم را هک کرده و توانستند اطلاعات مهمی را درباره سیستم SecurID شرکت RSA سرقت کنند. در نهایت به دلیل موفقیت این حمله مهندسی اجتماعی، RSA مجبور به جایگزینی میلیونها توکن SecurID شد.
۲. نیویورک تایمز در سال 2013
نیویورک تایمز هم در سال 2013، هدف حملهای مشابه RSA قرار گرفت. هکرهای چینی یک حمله هدفمند ۴ ماهه اجرا و به سیستمهای کامپیوتری نیویورک تایمز نفوذ کردند. آنها اطلاعات ورود (Login) کارمندان را به دست آوردند. تحقیقات نشان میدهد که شواهدی درباره انگیزههای سیاسی در این حمله وجود داشت. مهاجمین حسابهای ایمیل را هک کرده و سعی کردند منبع ترافیک را برای نیویورک تایمز مخفی کنند و ترافیکِ ایجاد شده توسط حملات را از طریق کامپیوترهای دانشگاهی مستقر در آمریکا مسیریابی کنند.
باز هم مسیر اولیه حمله، یک حمله فیشینگ هدفمند بود که اعلامیههای جعلی فدکس (شرکت پست امریکایی) را ارسال میکرد. نیویورک تایمز، کارشناسان امنیت کامپیوتر را استخدام کرد تا این حمله را تحلیل کرده و از ایجاد تهدیدی مستمر پیشگیری کنند. آنها متوجه شدند که برخی روشهای مورد استفاده برای نفوذ به زیرساخت کمپانی با ارتش چین در ارتباط است. بعلاوه، بدافزار نصب شده برای دسترسی به کامپیوترهای شبکه کمپانی از الگوهایی مشابه به حملات قبلی چین تبعیت میکرد. قبلاً از کامپیوترهای همان دانشگاه در آمریکا توسط هکرهای ارتش چین استفاده شده است. با این حمله، هکرها پسورد تمام کارمندان نیویورک تایمز را به سرقت بردند و توانستند به دستگاههای شخصی ۵۳ نفر دسترسی پیدا کنند. اما طبق اعلام نیویورک تایمز، هیچ اطلاعات کامپیوتری به سرقت نرفته بود. خصوصیات این حمله به وضوح حکایت از یک انگیزه سیاسی داشت.
۳. شبکه جاسوسی سایبری اکتبر قرمز
شرکت کاسپرسکی (Kaspersky) اخیرا یک گزارش تحقیقاتی جدید درباره حملات فیشینگ هدفمند صورت گرفته علیه سازمانهای دیپلماتیک، دولتی و تحقیقی منتشر کرد. بیشتر سازمانهایی که هدف این حملات قرار گرفتند در کشورهای عضو اتحاد جماهیر شوری سابق در شرق اروپا و آسیای مرکزی قرار داشتند. این حمله، در سال ۲۰۰۷ آغاز شد و تا ابتدای سال ۲۰۱۳ ادامه داشت و منجر به سرقت دادههای حساسی از موسسات تحقیقاتی، گروههای هستهای، بخش انرژی و سازمانهای هوا-فضایی شد.
در این حمله هم مثل حملات RSA و نیویورک تایمز یک ایمیل فیشینگ هدفمند به گروهی از افراد منتخب ارسال شد. به عنوان مثال، مهاجمین اتومبیلهای دیپلماتیک ارزان قیمتی را در پیامهای فیشینگ هدفمند تبلیغ میکردند؛ این پیامها حاوی یک بدافزار سفارشی بودند. طبق اعلام کاسپرسکی، معماری بدافزار متشکل از افزونههای مخرب، ماژولهای سرقت اطلاعات و یک تروجانِ در پشتی بود که از آسیبپذیریهای امنیتی مایکروسافت آفیس، سوء استفاده میکرد. همچنین، مهاجمین اطلاعات حساس زیادی را از شبکههایی که به آنها رخنه کرده بودند، استخراج کردند.
از اطلاعات Login به سرقت رفته، به صورت یک لیست سازماندهی شده، برای حدس زدن پسورد سیستمهای دیگر استفاده شد. تهدید پیشرفته مستمر اکتبر قرمز تقریباً برای ۶ سال فعال بود. بررسیهای عمیق نشان داد در فایلهای اجرایی بدافزار، علائمی وجود دارشته که نشان میداده، مهاجمین در یک کشور روس زبان مستقر بودهاند.
۴. واترهولینگ
حملات واترهولینگ در کنار فیشینگ هدفمند، مسیر اصلی را در حملاتی که اخیرا علیه سازمانهای چند ملیتی صورت گرفت، تشکیل میدادند. در این روش، مهاجمان به جای اینکه مستقیماً کارمندان را با پیامهای فیشینگِ سفارشی مورد هدف قرار دهند، وبسایتهایی را هدف قرار دادند که احتمال بازدید از آنها توسط قربانیانشان وجود داشت. آنها وبسایتهای خاصی را با بدافزار هدف قرار داده و انتظار داشتند که برخی از کارمندان کمپانیهای مورد نظرشان از این سایتها بازدید کنند.
راه های مقابله با مهندسی اجتماعی (5 توصیه مهم)
- آموزش و آگاهی بخش به تک تک افراد سازمان و فرهنگسازی مناسب در مورد حملات مهندسی اجتماعی
- شناخت اطلاعات حساس و آموزش طبقهبندی اطلاعات به پرسنل
- باز نکردن ایمیل از منابع مشکوک
- نرم افزار آنتی ویروس خود را به روز کنید
- کلیک نکردن و دانلود نکردن پیوست ایمیل هایی که قبلا با آنها در ارتباط نبودهاید
منبع: zoomit – hamyarit – faranesh