شبکه اطلاع رسانی روابط عمومی ایران (شارا)، مهندسی اجتماعی هنر بهره برداری از رفتارهای آسیب پذیر انسانها برای ایجاد شکاف امنیتی بدون هیچ ظن و گمانی از سوی مخاطب است.
یکی از کارهایی که در مواقع بحران به عنوان وظیفه روابط عمومی تلقی می شود، مهندسی اجتماعی است. در واقع روابط عمومی در مهندسی اجتماعی باید تکنیک بدست آوردن اطلاعات محرمانه به وسیله تحریک را مورد استفاده قرار دهد.
این تکنیک بویژه وقتی که سازمان با بی اخلاقی از طرف یکی از مخاطبان خود روبرو می شود، و شرایطی که هیچ راه مقابله برای جلوگیری از پایمال شدن شهرت سازمان وجود ندارد، مورد استفاده قرار می گیرد.
برخی نیز معتقدند، بهره گیری از مهندسی اجتماعی عملی ضد اخلاقی در روابط عمومی است. با این حال عده از صاحبنظران غربی روابط عمومی را معادل مهندسی اجتماعی قرار می دهند.
مهندسی اجتماعی در بخشی از تاریخ خود به فعالیت های هکرهای اینترنتی که از سادگی کاربران برای دستیابی به مقاصد شوم شان استفاده می کرده اند، اطلاق می شده، اما امروز طیف وسیعی از فعالیت ها را در بر می گیرد.
کوین میتنیک(Kevin Mitnick) یکی از معروفترین هکرهایی است که دلیل موفقیتش، استفاده از تکنیکهای مهندسی اجتماعی بوده. وی کتابی را پس از آزادی از زندان درباره مهندسی اجتماعی تحت عنوان«هنر فریفتن» تالیف کرده که تعریف زیر از کتاب وی آورده شدهاست:
«مهندسی اجتماعی انسان ها را با روشهای مختلف فریب داده و با متقاعد کردن شان از آنها برای دستیابی به اطلاعات، سوء استفاده میکند»
«مهندسی اجتماعی سوء استفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است، که به کمک مجموعهای از تکنیکها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد میکند.»
در واقع برخی اوقات روابط عمومی خود قربانی مهندسی اجتماعی می شود و آن وقتی است که کارگزار روابط عمومی برای در اختیار قرار دادن اطلاعات محرمانه سازمان به دیگری اعتماد می کند.
فرآیند مهندسی اجتماعی
مهندسی اجتماعی در چارچوب یک سری فعالیت ها تعریف می شوند که در نهایت منجر به رسیدن به هدف می شود. این موارد عبارتند از:
جمع آوری اطلاعات: مجموعهای از تکنیکهای مختلف، که توسط مهاجم برای جمع آوری اطلاعات درباره هدف، مورد استفاده قرار میگیرد. مهاجم با استفاده از این تکنیکها به جمع آوری اطلاعات ساده اما مفیدی مانند لیست شماره تلفنها، تاریخ تولد، نمودار سازمانی و... میپردازد، تا با استفاده از آنها به اطلاعات کلیدی و مورد هدف دست یابد.
1. برقراری ارتباطات: مهاجم در این مرحله از رضایت و میل شخص قربانی برای ایجاد اعتماد، در جهت برقرای ارتباط، سوء استفاده میکند. پس از برقراری ارتباط مهاجم خود را در موقعیت اعتماد قرار میدهد، تا بتواند از این موقعیت بهره برداری کند.
2. بهره کشی: قربانی در این مرحله تحت تاثیر اعتماد فرد مهاجم در جهت آشکار کردن اطلاعاتی چون پسورد یا انجام کارهایی که در حالت طبیعی انجام نمیداده، مانند ساختن شناسه کاربری برای فرد مهاجم و...، قرار میگیرد.
3. عمل و اجرا: زمانی که هدف، عمل خواسته شده از سمت مهاجم را انجام داد، چرخه پایان یافته و مهاجم به خواسته خود رسیدهاست.
هر مرحله چرخه مهندسی اجتماعی بسته به شرایط و تکنیکهای مختلف مورد استفاده، منحصربهفرد میباشد. همچنین، هر مرحله به تکمیل و موفقیت مرحله قبل وابستهاست. اغلب، برای انجام حملهای موفق، این سیکل بارها تکرار میشود. زیرا برقراری ارتباط و جلب اعتماد کار سادهای نیست. و مهاجم در این راه نیاز به جمع آوری اطلاعات کافی درباره سازمان، سیستمهای موجود و کارکنانش دارد.
در مهندسی اجتماعی از دو قسم از تکنیک ها استفاده می شود که یک دسته تکنیک های انسانی هستند و دیگری تکنیک های وابسته به کامپیوتر:
• تکنیکهای مبتنی بر کامپیوتر:
1. پنجرههای Pop-Up
2. پیوست نامههای الکترونیکی
3. هرزنامههای زنجیرهای و فریب آمیز
4. وبگاهها
5. بازیابی و تجزیه و تحلیل ابزارهای مستعمل
6. Phishing
• تکنیکهای مبتنی بر انسان:
1. رویکرد مستقیم
2. جستجو در زبالهها
3. جعل هویت
4. سوءاستفاده از کاربران مهم
5. کارکنان پشتیبان فنی
6. کاربر درمانده
7. Shoulder Surfing
8. شایعه پراکنی
9. جاسوسی و استراق سمع
در بهره گیری از هر یک از این تکنیک ها خلاقیت هایی وجود دارند که می توانند تکنیک ها را بسیار متنوع تر و درک آن را برای کاربر دشوارتر کنند.
منبع مرجع: شبکه اطلاع رسانی روابط عمومی ایران (شارا)
|