مهندسی اجتماعی

صفحه 1:


صفحه 2:
مهندسی اجتماعی سوء استفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است. که به کمک مجموعه‌ای از تکنیک‌هاء فرد را به فاش كردن اطلاعات یا انجام کارهایی خاص متقاعد می‌کند. مهاجم به جای استفاده از روش‌های معمول و مستقیم نفوذ جمع‌آوری اطلاعات و عبور از دیوارهآتش برای دسترسی به سیستم‌های سازمان و پایگاه داده‌های آن. از مسیر انسان‌هایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیک‌های فمیفتن آنهاء به جمع‌آوری اطلاعات در راستای دستیابی به خواسته‌های خود اقدام می‌کند. sw iW ۳۳ ۳0۳۳ 0 cil ۳ vl 0 ‏ال‎ 

صفحه 3:
: چرخه حملات مهندسی اجتماعی سارا گارتتر در مقاله‌ای راجع به روش‌های دفاع در مقابل حملات مهندسی اجتماعی. آذعان کرد هر جرمی دارای الگوی متداولی می‌باشد. برای مهندسی اجتماعی نيز الگویی وجود دارد. که قابل تشخیص و قابل جلوگیری می‌باشد. این الگو به صورت چرخه‌ای در شکل تشان داده شده‌است. این چرخه شامل چهار مرحله. جمع‌آوری اطلاعات. برقراری ارتباطات بهره‌کشی و عمل و اجرا است. که مانند تکه‌های پازل به هم مرتبط و وابسته‌اند. ۱ جمع‌وری اطلاعات برراری ارتباطات بهره‌کشی عمل و اجرا ين بت 

صفحه 4:
انگیزه ها : بهرهبرداری مالی:بهدلایل گوناگون. افاد تحت تأثیر دستیابی به پول و ثروت می‌باشند. بهعنوان مثال فرد ممکن است. باور داشته باشد که وی سزاوار دستمزد بیشتری است یا نیاز به پول بیشتری برای عادات خارج از کنترلی چون قمار دارد. نفع شخصی: مهاجم ممکن لست خواستار دسترسی و ویرایش اطلاعات مربوط به خود. اعضای خانواده و دوستان باشد. * انتقام: بنابر دلایل قابل درک تنها توسط فرد مهاجم» وی ممکن است دوست. همکاره سازمان یا مجموعه‌ای از افراد را برای ارضا کردن احساسات و شهوات خود در جهت انتقام یا کینه‌توزی مورد هدف قرلر دهد. *_فشارهای خارجی: مهاجم ممکن است از سمت دوستان. خانواده یا سندیکایی سازمان يافته. به دلایلی از قبیل بهره‌برداری مالی» منفعت شخصی يا انتقام تحت فشار و تهدیدهای جانی و مالی بوده و چنین کاری را انجام دهد. حس کنجکاوی: با توجه به خصایص انسانی به ذات این حس در دورن همه افراد وجود دارد. 

صفحه 5:
تکنیک‌های مبتنی بر کامپیوتر : پنجره‌های ۳۵0-۱0 پیوست نامه‌های الکترونیکی ‏ هرزنامه‌های زنجیره‌ای و فریب آمیز وب‌گاه‌ها بازيابى و تجزيه و تحليل ابزارهای مستعمل 9 یافیشینگ تکنیک‌های مبتنی بر انسان : سوءاستفاده از کاربران مهم کارکنان پشتیبان فنی کاربر درمانده Shoulder Surfing ‏شایعه پراکتی‎ جاسوسی و استراق سمع 

صفحه 6:
Phishing - ‏فیشینگ‎ -۱ ۴1۲۱00 - ‏اری‎ -¥ ¥- Quid Pro Quo Pretexting-¥ Piggybacking-o 

صفحه 7:
رایچ‌ترین حمله مهندسی اجتماعی . فیشینگ است. در ۳/۱15/۱10 حمله از طریق اب آگهی‌های تبلیغاتی انجام میشود. و مهاجم سعی می‌کند از طریق جعل هویت سازمان يا شرکت. اعتماد قربانی را جلب کند. پیغام‌های فیشینگ می‌تواند از طرف بانک» شرکت‌های بزرگ و حتی دولت باشد. رفتارهای فیشی: بسیار متنوع هستند. برخی از آنها ازکاربر نهایی درخواست می‌کنند که اطلاعات ورود حساب کاربری‌اش را تائید کند. و برای اين منظور فرم ورودی با لگو و ظاهر وب‌سایت مورد نظر آماده می‌کنند. برخی از آنها کاربر را برنده یک ابقه یا قرعه کشی اعلام می‌کنند و برای پرداخت جایزه درخواست اجازه دسترسی به حساب بانکی کاربر را دارند. برخی از آنها با سو استفاده از حوادث طبیعی مانند سیل. زلرله و یا تاریخ‌های خاص شروع به جمع‌آوری کمک‌های مردمن ‎BS ga‏ » جتء وب‌سا 

صفحه 8:
ظعيبة #ذاري ؛ طعمه كذارى هم شبيه فيشينك است. در اين نوع از حمله با ارائه جيز قابل توجه و جذابى به كاربرء از وى درخواست اطلاعات شخصى يا اطلاعات ورود به حسابهاى كاربرىاش را می‌کنند. طعمه به شکل‌های مختلفی ارائه می‌شود. از طریق دنیای دیجیتال. مانند دانلود فیلم يا موزيك در سايت 1 ©1-80-8© © ]. يا به صورت فيزيكى در دنياى واقعى. مانند جا گذاشتن حافظه 58لا با برجسب قابل توجه مانند اطلاعات حقوق سه ماه اول» روی میز کارمندان. به محض اینکه موزیک دانلود شد یا حافظه 58لا به دستگاه کاربر متصل شد. نرمافزارهاى مخرب وارد دستگاه کاربر می‌شوند و خرابکار کار خودش را شروع می‌کند. 

صفحه 9:
QUID PRO QUO اين نوع حمله مانند طعمه كذارى است. در حمله 0100© ‎Quid Pro‏ هکر خرابکار در ازای سرويسى كه به كاربر مىدهد از او تقاضاى اطلاعات شخصى يا اطلاعات ورود حساب کاربری‌اش را می‌کند. براى نمونه تماس تلفنى از هكرى كه خود را كارمند شركت كاريابى معرفى مىكند و در ازاى بيدا كردن شغل براى شما اطلاعات شخصىتان شامل شماره منزل. شماره تلفن همراه. آدرس منزل و ... را می‌گیرد. مثال دیگر شخصی که خود را کارشناس 1۲ معرفى مىكندء و در مقابل سرويسهاى رايكان ‎١‏ أء از كاربر اطلاعات کاربری‌اش را تقاضا می‌کند. 

صفحه 10:
PRETEXTING اين نوع حمله مشابه فیشینگ است. در حمله ۲616110 هکر خرابکار سعی می‌کند خودش را شخص دیگری معرفی کند. تا بتواند به اطلاعات حساس و شخصی قربانی دست پیدا کند. در برخی موارد هکر مجبور است یک هویت جدید نیز بسازد. در حمله ۲66119 هکر خرابکار سعی می‌کند از طریق دروغ‌های زیاد. خود را شخص دیگری معرفی کند. و با به وجود آوردن حس اعتماد بین خودش و قربانی. اطلاعات وی را بدست بیاورد. برای نمونه هکری که با یک هویت جعلی در اینترنت شروع به گفتگو با شما می‌کند و در ازای دادن اطلاعات شخصی از خودش که اتفاقا اشتراک‌های زیادی با شما دارده اعتماد شما را جلب می‌کند و بر اساس همین اعتماد و اشتراکات» شما هم اطلاعات شخصی‌تان را به او می‌دهید.برای اين نوع از حمله مهندسی اجتماعى . هكر اطلاعات زيادى را از قربانى و همجنين شخصى كه مىخواهد خودش را به جاى أو معرفى كند بدست می‌آورد. 

صفحه 11:
PIGGYBACKING ‎tailgating...» as Piggybacking‏ نیز نامیده میسود. حمله‌لیستکه در آن فرد غیر مجاز به دنب [فرد مجاز وارد ی کسیستم یا منطقه با دسترسی‌محدود شده مخسود. ‎nln tL aS Sia dig tol‏ ارمند موسسه یا شرکتواز او میچوهد دربوا برل إنها باز كد زيرا فرلموشكردملند كلت 0]| ]4! شازرا همرلم خود بيو ‏کارشناسان امنیتی برای حصول اطمینان از لمنیت سایبری شرکت‌ها یا سازمان‌ها باید مطمئن شوند که تمام کارمندان از انولع حملات مهندسی اجتماعی آگاه هستند. اين نوع لز آگاهی فقط شامل کارمندان سازمان‌ها وشرکت‌ها نیست. هر شخصی که با اینترنت سروکار دارد لازم است با لنواع حملات سایبری از جمله مهندسی اجتماعی آگاهی داشته باشد. ‏لازم به یادآوری است که یکی از پایه‌های اصلی حمله مهندسى اجتماعى. جمع آوری اطلاعات است. بنابراین مراقب اطلاعاتی که در اینترنت به اشتراک می‌گذارید باشید. اطلاعات منتشر شده توسط خود شما می‌تواند برای حمله به شما استفاده شود. یکی دیگر از پایه‌های مهندسی اجتماعی, جلب اعتماد است. هرگز به اشخاصی که در دنیای دیجیتال با آنها گفتگو می‌کنید. ولی آنها را رودررو ندیده‌اید و نمی‌شناسید اعتماد نکنید. اگر ایمیل یا تلفنی از مدیر یا مسئول بخش دیگر داشتید که تقاضای اطلاعات و دسترسی‌های ‎ ‎ ‎ ‏غیرمجاز را داشت. تا حصول اطمینان از تماس گیرنده هرگز به او اطلاعات ندهید. ‎ ‎ ‎ 

صفحه 12: