به گزارش «شیعه نیوز»، امروزه تعداد زیادی از افراد با کارهای هکرها آشنایی دارند، آنها دادههای حساس بهره برداری کرده و سیستمهای کامپیوتری سازمانهای متنوع از جمله بانکها و سازمانهای دولتی را تحت کنترل در میآوردند. در قسمت اول این گزارش به تعریف مهندسی اجتماعی انواع و ترفندهای مهندسین اجتماعی برای اثر گذاری و فریب مخاطبان پرداختیم.
در قسمت بعدی این گزارش قصد داریم به تعدادی از روشهای کلاهبرداری مهندسین اجتماعی در شبکههای اجتماعی از گذشته تا امروز بپردازیم:
گوگل و هکرهای چینیاش
در ابتدای سال ۲۰۱۰، گوگل تیتر خبرها شد و افشا کرد که هکرهای چینی به بخشی از سیستم آن نفوذ کردهاند. گوگل ادعا کرد که تعدادی از خدماتش با مشکل مواجه شده و نفوذ کنندهها میخواستند اطلاعات حساب جی میل تعدادی از فعالان حقوق بشر در چین را به دست بیاورند. جدای از گوگل، این مهندسان اجتماعی کمپانیهای برجسته دیگر نظیر Symantec adobe systems و یاهو را نیز هدف قرار داده بودند.
موفقیت مهندسان اجتماعی به هفتهها و ماهها زمانی بستگی داشت که صرف هدف گذاری بر روی کارمندان گوگل و کسب اطلاعات از آنها کرده بودند. آنها ابتدا از اطلاعات کارکنان در شبکههای اجتماعی و سایر نقاط استفاده کردند. وقتی که اطلاعات لازم را دریافت کردند، پیغامهایی را در ظاهر از طریق یکی از دوستان یا مخاطبین فرستاده شده بود. کارکنان با گمان این که پیام واقعلا از طرف یک دوست آمده، بر روی لینک حاوی بدافزار کلیک کرند که در نهایت یک نرم افزار جاسوسی بر روی کامپیوترشان نصب گردید.
این حمله به گوگل برای مدت زمان طولانی برنامه ریزی و اجرا شد. مهندسان اجتماعی زمان لازم را برای جمع آوری اطلاعات و به دست آوردن اطمینان کارکنان گذاشتند تا توانستند ارتباط برقرار کرده و اطلاعات کسب کنند. از آنجایی که بسیاری از کمپانیها از شبکههای اجتماعی به عنوان بخشی از استراتژی بازاریابیی خودشان استفاده میکنند، مهندسان اجتماعی میتوانند به شکل راحت تری اطلاعات اهدافشان را به دست بیاورند. کمپانیها، سواری از اجرای تاکتیکهای بازاریابی خود در شبکههای اجتماعی، ساختار کمپانی خود را نیز نشان داده و اطلاعات مورد نیاز مهندسان اجتماعی را به صورت حاضر و آماده تقدیمشان میکنند.
افشای اطلاعات در ویکی لیکس
دوباره در همان سال ۲۰۱۰ اطلاعات دولتی به شدت محرمانه در ویکی لیکس افشا گردید که در آن از نقشههای موفق مهندسان اجتماعی بهره گرفته شده بود. بردلی مینینگ که سرباز ارتش آمریکا و مسئول پشتیبانی گردان در عراق بود، به این محکوم شد که اطلاعت محرمانه را در اختیار موسس ویکی لیکس یعنی جولین آسانژ گذاشته است.
مینینگ با دسترسی به شبکه پروتکل اینترنت مخفیانه که توسط امور خارجه و وزارت دفاع آمریکا استفاده میشود، توانسته بود اطلاعات محرمانه را کسب کرده و انتقال دهد. در همین میان آدرین لمو که پیشتر به عنوان هکر شناخته میشد، مینینگ را نزد مقامات لو داد و اعلام کرد که وی به شبکه اینترنت مخفی دسترسی داشته و دادهها را روی سی دی رایت میکند. همچنین مینینگ موفق شده بود دسترسی و دریافت اطلاعات محرمانه را به گونهای انجام دهد که همکارانش فکر میکردند او در حال گوش کردن به موسیقی است.
درپی افشای اطلاعات بسیار محرمانه در ویکی لیکس سایر مهندسان اجتماعی نیز از این موضوع سوء استفاده کرده و پیغامهایی را با این دیالوگ شروع فرستادند: «آیا میخواهید فایلهای ویکی لیکس را بخوانید؟ این جا را کلیک کنید.» وقتی که کاربران بر روی لینک کلیک میکردند؛ به یک فایل pdf میرسیدند که از طریق مهندسان اجتماعی میتوانستند با javascript در کامپیوتر جستوجو کنند نسخه adode reader مورد استفاده در کامپیوتر را تعیین نمایند و بهره برداریهای خود را بر اساس چنین نسخهای انجام دهند. قربانیان اهمیتی نمیدادند که چرا بارگذاری این فایل طول میکشد، زیرا انتظار سند عظیمی را میکشیدند. در هر حال آنها نمیدانستند که این بارگذاری سند نیست که طول میکشد بلکه بدافزار مهندسان اجتماعی که در دل آن گنجانده شده زمانبر است.
درخواست دوستی در فیس بوک
نقشههای مهندسان اجتماعی برای به دست آوردن اطلاعات مدام در حال تکامل است. این ابزارها به صورت ویژه برای جمع آوری اطلاعات در سایتهای شبکههای اجتماعی طراحی شدهاند. در سال ۲۰۱۱ ابزاری تحت عنوان پروفایل خراب کن در فیس بوک توسعه داده شد که پایگاه ساخت آن به گروهی از محققین امنیتی در مصر میرسید. این ابزار ساخته شد تا نحوه کلاهبرداری ساده افراد در فیس بوک را نشان دهد.
این ابزار مبتنی بر جاوا برای استفاده عموم منتشر شد. این ابزار دادههای پنهان پروفایل فیس بوک که فقط دوستان کاربر میتوانستند ببینند را به صورت خودکار جمع آوری میکرد. بر اساس گفتههای توسعه دهندگان این ابزار درخواست دوستی را برای تعدادی از پروفایلهای فیس بوک ارسال میکرد. وقتی که دریافت کننده این درخواست را تایید میکرد ابزار میتوانست تمامی اطلاعات فهرست دوستان و عکسهای پوشه محلی وی را تصاحب کند.
توسعه دهندگان ادعا مردند که کلاه بردار یا مهندس اجتماعی میتواند صرفا با ساختن یک حساب جدید اطلاعات مربوط به پروفایل فیس بوک را بدست بیاورد. گس از ساخت حساب مهندسی اجتماعی از طریق یک افزونه دوست یابی تمامی دوستان کاربر هدف را دعوت به دوستی میکند تا تعدادی دوست مشترک میانشان وجود داشته باشد.
در ادامه مهندس اجتماعی از افزونه کپی کردن استفاده کرده و یکی از دوستان کاربر را انتخاب میکند. این افزونه نام کاربری و عکس دوست منتخب را کپی کرده و آن را بر روی حساب مجاز خودش قرار میدهد. در ادامه و از این طریق درخواست دوستی به حساب کاربر ارسال میشود و وقتی که توسط آن فرد تایید گردید ابزار شروع به ذخیره تمامی اطلاعات برچسبها تصاویر و صفحات HTML قابل دسترسی مینماید؛ بدین ترتیب میتواند به صورت آفلاین تمامی آنها را زیر نظر بگیرد. با این که شاید دیر شده باشد اما کاربر میتواند در صورت متوجه شدن با حساب جعلی قطع دوستی کند با توجه به اینکه مهندس اجتماعی میتواند به قلب اطلاعات کاربر نفوذ کند میتواند تعدادی از نقشههای خود را در آن جا پیاده کند و وقتی اطلاعات شخصی کاربران را به دست بیاورند میتوانند نقشههای قانع کننده تری را انجام دهند.
هدف اصلی از انتشار این ابزار توسط توسعه دهنده این بود که کاربران از وقایع رخداده در دنیای وب علی الخصوص شبکههای اجتماعی آگاهتر شوند. توسعه دهندگان ادعا کردند که ابزارشان برای آگاهی عموم ساخته شده و میخواهند احتیاطشان در کارهای آنلاین بیشتر شود.