مهندسی اجتماعی

تعریف و اهداف:

برخی از معروفترین تعریفهای ارائه شده برای مهندسی اجتماعی از این قرارند:

-Bernz: هنر و علم وا داشتن دیگران به انجام کاری مطابق خواسته ی نفوذگر

-Palumbo: استفاده ی یک نفوذگر خارجی از حقه های روان شناسی بر روی کاربران قانونی یک سیستم کامپیوتری ، برای به دست آوردن اطلاعاتی که نفوذگر برای نفوذ به سیستم احتیاج دارد.

-Berg: به دست آوردن اطلاعات (برای مثال کلمه ی عبور) از یک فرد ، به جای به کار گیری روشهای فنی برای ورود غیر مجاز به سیستم.

و تعریف آخر که به نوعی حالت کلی تر تعاریف بالاست بیان می دارد:

مهندسی اجتماعی عبارتست از وادار کردن دیگران به دادن چیزهایی ، اعم از اطلاعات و کالا، به یک فرد دیگر ، در صورتی که قانونا نباید بدهند.

-در بحث امنیت کامپیوتری ، مهندسی اجتماعی به مقوله ای اطلاق می شود که نوعی نفوذ و حمله ی غیر فنی را توصیف می کند که عمدتا بر تعاملات انسانی تکیه دارد و در بر گیرنده ی روشهای فریفتن دیگران است تا روندهای معمول امنیتی را بشکنند.

در واقع مهندسی اجتماعی می تواند همه و یا هیچکدام از این تعاریف باشد. بسته به اینکه شما در چه جایگاهی قرار دارید و از چه دیدگاهی مایل به بررسی آن هستید. اما آنچه که به نظر می رسد مورد توافق همه است ، این است که مهندسی اجتماعی عموما بهره گیری هوشمندانه ی یک نفوذگر از تمایل طبیعی انسانها برای اعتماد کردن و کمک کردن را در بر می گیرد.هدف نفوذگر از این عمل به دست آوردن اطلاعاتی است که به وسیله ی آنها دسترسی غیر مجاز به منابع اطلاعات سری میسر می شود. در واقع نفوذگراین بار با هدف قرار دادن ضعیف ترین حلقه ی زنجیره ی امنیت ، یعنی انسان ، اهداف دیگری را دنبال می کند . از قبیل : ارتکاب جرم، نفوذ به شبکه ، جاسوسی صنعتی (در این مورد در همین مقاله به تفصیل صحبت خواهد شد) ، دزدی هویت و یا خرابکاری در سیستم و شبکه .

توجه به این نکته ضروری است که این نوع حمله ها غالبا ساده تر از بسیاری از انواع نفوذگری های فنی هستند. به همین دلیل سازمانهای بسیاری هدف این حملات قرار می گیرند.

سازمانهایی که عمدتا هدف این حملات قرا رگرفته و آسیب پذیری بالایی دارند عبارتند از: مراکز پاسخگویی تلفنی ، شرکتهای بزرگ و معروف ، موسسات مالی ، مراکز دولتی و ارتشی و حتی بیمارستانها.

حملات مهندسی اجتماعی غالبا در دو سطح فیزیکی و روان شناسی انجام می گیرند که توضیح روشهای آن در بخشهای دیگری از این مقاله خواهد آمد.

یک مفهوم نزدیک و مرتبط: مهندسی اجتماعی معکوس:

آنچه از آن تحت عنوان “مهندسی اجتماعی معکوس” یاد می شود در واقع یکی از روشهای مهندسی اجتماعی است . و به این ترتیب است که نفوذگر خود را در جایگاه دهنده ی اطلاعات قرار می دهد و با جلب اعتماد افراد، نفوذ خود را عملی می کند.

اگر چه این نوع نفوذ آمادگی و تحقیقات بیشتری می طلبد ، اما اگر به درستی برنامه ریزی و اجرا شوند ، شانس موفقیت بیشتری نسبت به سایر روشها دارند.

Rick Nelson در مقاله ای ، مهندسی اجتماعی معکوس را مشتمل بر سه قسمت دانسته :

خرابکاری ۲ . تبلیغات ۳٫ کمکرسانی
در یک سناریوی معروف ، نفوذگری عمدا اشکالی در شبکه ایجاد می کند ، سپس با تبلیغات، هدف خود را متقاعد می کند که او فرد مناسب و متخصص برای حل مشکل است و در پایان ، وقتی برای تعمیرات و ارائه ی خدمت حاضر شد ، با زیرکی خاصی ذره ذره اطلاعاتی را که در واقع برای به دست آوردنشان آمده است، با پرسش یا مشاهده استخراج می کند.

بررسی روان شناختی حملات مهندسی اجتماعی :

یک قول معروف امنیتی می گوید: “هیچ کامپیوتری تا زمانی که از پریز کشیده نشده امن نیست.” و اکنون گفته می شود که هیچ کامپیوتری در هیچ حالی امن نیست! چرا که با مهندسی اجتماعی می توان فردی را متقاعد کرد که کامپیوتر را به پریز زده و آن را روشن کند!

در واقع بخش انسانی یک سیستم کامپیوتری مهمترین و در عین حال آسیب پذیر ترین عنصر امنیتی آن است و این نوع آسیب پذیری مستقل از پلت فرم ، نرم افزار ، سخت افزار و شبکه است.هر انسانی که به صورت فیزیکی یا مجازی به یک سیستم کامپیوتری دسترسی دارد ، یک منبع خطر بالقوه محسوب می شود .نکته ی دیگر اینکه هیچ سیستم کامپیوتری در جهان وجود ندارد که کاملا بی نیاز از حضور انسان باشد. در نتیجه بررسی روان شناختی، به جلوگیری از حملات مهندسی اجتماعی و امن کردن سیستمها کمک شایانی خواهد کرد.

نفوذگر ها از روشهای روان شناسی مختلفی برای تحت تاثیر قرار دادن افراد مورد نظرشان و واداشتن آنها به انجام کارهایی که مد نظرشان است ، استفاده می کنند که بعضی از این روشها موفقیت بیشتری نسبت به بقیه دارند.

در ابتدایی ترین و ساده ترین روش از فرد مستقیما خواسته می شود که کاری را انجام دهد. که شانس موفقیت کمتری در مقایسه با سایر روشها دارد.به خصوص اگر فرد حداقل آموزشی در این زمینه دیده باشد و از یک کمینه هوشیاری و آگاهی بر خوردار باشد.

روشهای دیگری هستند که با جلق موقعیتهای خیالی و قرار دادن فرد در آن موقعیتها ، سعی می کنند به هدف خود برسند. اگر چه این روش نسبت به قبلی کار بیشتری می طلبد و نیازمند آن است که نفوذگر اطلاعات بیشتری از هدف ، قبل از آغاز حمله جمع آوری کند ، اما معمولا موفقتر است.

انسانها معمولا تمایل دارند که همرنگ جماعت شوند که برخی از دلایل آن عبارتست از : عدم تمایل به آزردن دیگران و یا نادیده گرفتن عقاید آنان و مخالفت با آنها و یا وحشت از اینکه در مقابل دیگران نادان به نظر برسند. این تمایل که از آن تحت عنوان ” فشار اجتماعی ” یاد می شود ، معمولا از سوی نفوذگرها مورد سوء استفاده قرار می گیرد.

همان طور که ذکر آن رفت، دو مورد آخر مستلزم خلق موقعیتهای خیالی اما قابل باور است. این موقعیتها برای اینکه فرد را با نفوذگرهمراه کنند ، باید دارای حداقل یکی از مشخصات زیر باشند:

برداشتن بار مسئولیت از روی دوش فرد. بدین معنی که او را با ایجاد این حس که وی تنها فرد مسئول نیست ، آرام و مطمئن کنند.
فراهم آوردن امکان خوش خدمتی برای فرد. بدین معنی که فرد باور کند با انجام کار خواسته شده ، خود را نزد کارفرمای خود بهتر نشان داده است.
انسانها دوست ندارند احساس گناه کنند و معمولا به این صورت است که اگر فردی وظیفه ی اخلاقی خود را به انجام نرساند ، احساس گناه می کند. پس کافس است نفوذگر، شرایط را به نحوی فراهم کند که فرد حس کند انجام این کار وظیفه ی اخلاقی وی است!

به هر حال هدف نهایی تمام روشهای مهندسی اجتماعی تلاش برای متقاعد کردن افراد به انجام کار خواسته شده از آنهاست و مسلم است که این امر با اعمال زور به نتیجه نمی رسد. بلکه باید تلاش شود حس همکاری داوطلبانه در فرد ایجاد شود. بدین ترتیب فرد حس می کند که شرایط ، تحت کنترل او قرار دارد و حتی به خود افتخار می کند که کسر کوچکی از زمان و انرژی خود را به انتخاب و تصمیم خود و رضایتمندانه در راه رسیدن به منافع بزرگتر فدا کرده است.

برخی فاکتورهایی که به افزایش شانس همکاری فرد با نفوذگر منجر می شوند عبارتند از :

در این راه نفوذگر باید حوصله به خرج دهد و آرام آرام فرد را به سوی هدف خود هدایت کند.
استفاده از “حقه ی اعتماد[۴]” . به این معنی که از سابقه ی ذهنی مثبت فرد کمک بگیرد . اگر فرد قبلا تجربه ی موفقی در پاسخ مثبت گفتن به یک در خواست مشابه داشته باشد ، در خصوص در خواست جدید ، بهتر با نفوذگر همکاری خواهد کرد.
ایجاد تماس بهتر با فرد و برقراری ارتباط با تعداد بیشتری از حواس پنجگانه ی او ، شانس موفقیت را بالا می برد. به طور مثال ، احتمال موفقیت در حالتی که فرد ، نفوذگر را ببیند و صدایش را بشنود ، مسلا بیشتر از زمانی است که فقط صدای او را از پشت تلفن بشنود و دلیلی هم که محققان برای این مطلب ذکر می کنند ، این است که به نظر می رسد فرد در اثر تماس بیشتر ، به نوعی در رودر بایستی قرار می گیرد.

موفقیت همچنین تا حد زیادی بستگی به این دارد که فرد مورد حمله تا چه حد در سیستم کامپیوتری در گیراست. می توان گفت که مدیران سیستمها ، کارشناسان امنیت و تکنسین ها که از سیستم به عنوان ابزار اصلی ارتباطات و انجام کارهای خود استفاده می کنند ، از در گیرترین افراد هستند.

افراد درگیر برای قانع شدن و همکاری با شما نیاز به دلایل محکم دارند. دلایل ضعیف و سطحی معمولا اثر معکوس در آنها ایجاد می کنند. به علاوه اینکه برای مواجه با این گونه افراد باید دانش فنی بالاتر از آنان داشت.

نمونه هایی از افرادی که کمتر در سیستم درگیر هستند عبارتند از : نگهبانان ، نظافتچی ها و یا منشی های پذیرش. اینها طبق تعریف افرادی هستند که علاقمندی کمتری به اطلاعاتی که نفوذگر از سیستم کامپیوتری می خواهد نشان می دهند و چون خود را کمتر مسئول می دانند ، معمولا در مواجه با در خواستهای نفوذگرانه خود را برای تحلیل شرایط و سنجش میزان ریسک به زحمت نمی اندازند . در نتیجه برای این افراد دلایل سطحی کفایت می کند. اما توجه به این نکته ضروری است که این نوع افراد از تعدد دلایل (هر چند تا حدودی نا مربوط) به وجد می آیند. بنابراین برای ایجاد همکاری ر این افراد باید نفوذگر تعداد مناسبی دلایل سطحی آماده کند!

حال تعدادی از راههای مبارزه با این حمله ها را از دید روانشناسی بر می شماریم:

سعی شود امنیت را به بخشی از زندگی کارمندان تبدیل کنیم. افراد را بیشتر در مسئله ی حفظ امنیت سیستم درگیر کنیم . بدین ترتیب افراد احساس مسئولیت بیشتری از خود نشان می دهند.
به کارمندان توضیح و آموزش داده شود و در این امر باید باآنها صادق بود و در هر موردی تا حد امکان هر دو روی مسئله برای آنها تشریح شود. چون اگر افراد با دلیل و منطق قانع شوند ( و نه فقط با اعمال قوانین و پیروی کورکورانه از آنها) ، قابلیت اعتماد بیشتری در مواجه با حملات نفوذگرانه از خود نشان می دهند.
مهارتهای فردی و روانی کارمندان را افزایش دهیم، مثلا برگزاری کلاسهای تقویت اعتماد به نفس و راههای مقابله با فشار و اضطراب ، برای کارمندان در سازمان می تواند ایده ی خوبی در جهت بهبود مسائل امنیتی سازمان در بلند مدت باشد.

موارد نمونه و کاربردهای مهندسی اجتماعی :

در این بخش مواردی از به کار گیری روشهای مهندسی اجتماعی را بررسی می کنیم و مثالهایی واقعی را ذکر می کنیم.

الف ) جاسوسی صنعتی[۵]:

بر طبق گزارش اداره ی پلیس فدرال امریکا[۶] ، تخمین زده شده که شرکتهای امریکایی سالانه ۱۰۰ میلیون دلار به خاطر جاسوسی صنعتی ضرر می کنند. اگر چه این نوع حمله معمولا از جانب موسسات خاصی با پشتوانه ی مالی خوب صورت می گیرد اما تحقیقات نشان داده است که جلوگیری از این حملات بسیار ساده و با توجه کردن به نقاط آسیب پذیری به راحتی قابل پیشگیری است.

” جاسوسی صنعتی ” عبارت است از به کار گیری همزمان یک یا معمولا تعدادی از روشهای مهندسی اجتماعی به صورت برنامه ریزی شده و هدفمند برای دسترسی به اطلاعات مهم و سری یک شرکت .

مطالعات اخیر نشان داده است که افراد داخل یک شرکت ، مسئول بیش از ۷۰ % از دزدیهای اطلاعاتی از شرکتها بوده اند.

روشهای جاسوسی صنعتی بر دو دسته است: روشهای قانونی و غیر قانونی.

روشهای قانونی :

خرید شرکتها یا محصولاتشان که سبب انتقال تکنولوژی و دانش به رقبای سابق شرکت خریداری شده می شود.
انتقال تکنولوژی به کشورهای دیگر از راه انجام تجارت در آنها که ضمن آن شرکت مذکور مجبور می شود ابتدا نیروی انسانی خارجی را آموزش دهد.
انجام کار مشترک با سایر رقبا [۷]. مثلا چند شرکت با هم تصمیم به ساخت محصولی جدید می گیرند که در این پروسه اطلاعات شرکتها به اشتراک گذاشته می شود.
اطلاعات منبع باز[۸] . مانند مقالات روزنامه ها ، گزارشهای سالانه ی شرکتها ، اطلاعاتی که شرکت مجبور شده در یک دادگاه برای دفاع از اتهام وارده به خود ارائه کندو …
استخدام کارمندان توسط شرکتهای دیگر و رقبا. که هر چند در بسیاری موارد ناخواسته و غیر مغرضانه ، اما به هر حال سبب انتقال دانش توسط این کارمندان می شود.
کنفرانسها و برنامه های تبلیغاتی[۹].

روشهای غیر قانونی:

سوء استفاده از افراد داخلی برای دزدیدن اطلاعات، چه به صورت آگاهانه (تطمیع کارمندان) و چه به صورت ناآگاهانه مانند تلفن کردن به کارمندان واحد پشتیبانی.
فرستادن جاسوسهایی به شرکت در قالب افراد واجد تخصص و جویای کار
حمله ی فیزیکی به شرکت.معمولا وقتی موفق است که حمله کنندگان دقیقا بدانند دنبال چه هستند و آن را کجا باید بیابند.
گشتن اتاقهای هتل نمایندگان در سفر شرکت!

راههای جلوگیری:

امنیت فنی [۱۰] : مانند نصب دیوارهای آتش و … که مورد بحث ما در این مقاله نمی باشد.
امنیت عملی[۱۱]: به این معنا که شرکت زنجیره ی فعالیتهای خود را مورد بررسی دقیق قرار دهد تا در یابد که در چه قسمتهایی امکان نشت اطلاعات به بیرون وجود دارد و برای جلوگیری از آنها قوانین و سیاستهایی اتخاذ کند و همه ی کارمندان را تعلیم دهد. و دقیقا مشخص شود چه کارمندانی و هرکدام تا چه حد به کدام اطلاعات شرکت دسترسی دارند.
امنیت فیزیکی [۱۲] : دسترسی فیزیکی به دارایی های شرکت باید توسط قفلها ، نگهبانها و دستگاههای تشخیص هویت کنترل شود. جالب است بدانید که درصد زیادی از حملاتی که گزارش شده اند ، سطل آشغال شرکتها را هدف قرار داده اند.
امنیت شخصی[۱۳] : کارمندان و سابقه ی آنها باید به دقت بررسی شود . به خصوص مشاغل سطح پایین مانند نظافتچی ها و نگهبانان باید تحت نظر باشند چون معمولا این افراد به علت آگاهی کم و دسترسی بالا هدف حملات هستند.

ب ) ویروس ها و کلک [۱۴] هایی که از مهندسی اجتماعی استفاده می کنند:

بسیاری از ویروسها و کرمهایی که از طریق ایمیل گسترش می یابند، از روشهای مهندسی اجتماعی برای فریفتن افراد و واداشتن آنها به باز کردن ضمیمه[۱۵] ی ایمیل ها استفاده می کنند. برخی از عباراتی که توسط این خرابکارها استفاده شده( با حفظ زبان مورد استفاده ی آنها که غالبا انگلیسی بوده) به قرارزیر است:

Here is a patch for IE 6.0 , enjoy!

Important Microsoft update for Outlook.

Run attached file to see Britney Spears bare all!

Your computer is infected, run this program to remove the virus.

برخی حقه های معمول عبارتند تز :

– چند زبانه بودن: ویروس از روی نام دامین در ایمیل ، کشور و زبان را تشخیص داده و نسخه ای از خود را که با آن زبان صحبت می کند به سراغتان می فرستد.

– پرگویی: لعضی ویروسها منبع بزرگی از جملات گول زننده دارند و هر بار یکی یا تعدادی از آنها را به کار می برند که از نسخه ای به نسخه ی دیگر متفاوت است. و بیشتر اوقات این جملات به حد کافی دوستانه هستند تا شما را متقاعد کنند که ایمیل ، از طرف یک آشنا می باشد.

– هر بار فایل متفاوتی را ضمیمه می کنند و عنوان متفاوتی برای ایمیل بر می گزینند. حتی برخی از ویروسها چنان که به زودی خواهیم دید ، این قدرت را دارند که فایلی را از ماشین قربانی برای دیگران بفرستند.

– فایل ضمیمه ، ظاهر بی آزاری دارد. مثلا پسوندهای .txt و .jpg را در نام فایل قرار می دهند و غالبا ویندوز ، پسوند اصلی ویروس را نشان نمی دهد و این پسوندها به اشتباه توسط کاربر ، واقعی پنداشته می شوند.

در اینجا تعدادی از عبارات استفاده شده توسط ویروسهای ایمیلی را می آوریم:

Subject: read it immediately

Body: I’m waiting

Attachment: textfile.doc.exe

اثر روانشناسی این نوشته ها روی فرد ایجاد عجله در وی است تا قدرت تفکر درست از او سلب شود.

Subject: warning

Body: check the attached document

Attachment: palpal.zip

این مورد از هوشیاری ناخودآگاه آدمها برای توجه به هشدارها و پیشگیری از حوادث سوء استفاده می کند.

Subject: Re: excuse me

Body: love letter?

Attachment: story.pif

در این یکی از دو حقه ی روانشناسی بهره گیری شده است. اولا اینکه در قالب پاسخ ارسال شده که در فرد این باور را ایجاد می کند که حتما پاسخ یکی از ایمیلهایی است که قبلا به کسی فرستاده است. دوم علاقه ی انسانها به مورد محبت واقع شدن است.

Subject: Rena

Body: love the outdoors, literature, writing and athletics

Attachment: tammy.zip

این یکی که وانمود می کند از طرف یک دختر با علایق ذکر شده فرستاده شده است ، تمایل به دوستیابی و به خصوص از جنس مخالف را در انسان مورد هدف قرار می دهد.

برخی دیگر از عبارات معمول بدون توضیح در زیر آورده می شوند:

Subject:

Email account security warning
Important notify about your email account
Email account disabling warning

Body Text:

Dear user of ( user ‘s domain) gateway email server,
Dear user of (user ‘s domain mailing list),
Dear user, the management of (users ‘s domain) mailing list wants to let you know that your email account will be disabled because of improper using in next three days, if you are still wishing to use it, please resign your account information.
Attachment explanation:

For more information see the attached file.
Pay attention to the attached file.
Password information
Sign off:

The Management,
Kind regards,
The (user ‘s domain) team (user ‘s domain web address)

اگر چه این ویروسها عمدتا براساس شکافهای امنیتی MS Outlook و Internet Explorer ، خرابکاریهای خود را پایه گذاری می کنند ، اما همچنان برای گسترش خود از روشهای مهندسی اجتماعی بهره می گیرند.

به عنوان یک مثال ، ویروس W32.Beagle را نام می بریم که درباره ی یک مشکل به شما اطلاع می دهد و وانمود می کند از طرف مدیر شبکه فرستاده شده است:

Our main mailing server will be temporarily unavailable for next two days. To continue receiving emails in these two days you have to configure our free auto-forwarding service.

کلکها(HOAX) :

مثال معروفش jbdbgmgr.exe و یا teddybear است که توسط دوستان به هم فرستاده می شود.

فیشینگ[۱۶] :

” فیشینگ ” عبارتست از استفاده از رسانه های اینترنتی مانند ایمیل و وب سایت ها برای به دست آوردن اطلاعات مهم.

در چند نمونه حمله ی مشاهده شده از این نوع ، افراد ، ایمیلی دریافت می کنند که فرمت ایمیلهای شرکتهای معروف مانند AOL ، eBay، Visa ، PayPal و … را تقلید می کند و با ذکر دلایلی ، شما را به سایتی راهنمایی می کند تا اطلاعات حساب خود را در آنجا وارد کنید.

یک نمونه ی معروف ، Nigerian 419 scams است که حس زیاده خواهی انسان را مورد حمله قرار می دهد و وانمود می کند از طرف یکی از نوادگان یک دیکتاتور معروف فرستاده شده است که نیاز به کسی دارد که ثروتش را نگه دارد و از شما می خواهد به سایتی رفته و اطلاعات حساب بانکی خود را وارد کنید!

عباراتی مشابه این نیز مشاهده شده است:

Your account is about to expire. Please go to this website to reenter your account and credit card information.

به عنوان اختتامیه ی این بخش ، یک ویروس معروف را که در زمره ی اولین ویروسهای به کار گیرنده ی روشهای مهندسی اجتماعی است به طور خلاصه معرفی می کنم:

نام: Melissa

تاریخ آغاز انتشار: March 26 , 1999

توضیحات فنی: به زبان ماکروهای MS Word نوشته شده و در قالب ضمی مه ی ایمیل منتشر می شود. در صورت باز شدن و آلوده کردن سیستمی ، کپی هایی از خود به ۵۰ آدرس اول موجود در دفترچه آدرس MS Outlook می فرستد و بعضا تحت شرایطی ، فایلی از ماشین آلوده را ضمیمه می کند.

سه روز پس از انتشار اولیه ، حدود ۱۰۰,۰۰۰ کامپیوتر آلوده شده بودند.

در زیر نمونه ای ا ز ایمیل فرستاده شده توسط Melissa را مشاهده می کنید:

Subject: Important message from (name of a friend)

Body :

(Content-Type : text/plain)

Here is that document you asked for … don ‘t show anyone else 😉

(Content Type : application/msword)

List.doc

ج ) هک شدن AOL[17] :

دو مورد از حملات گزارش شده بر رو ی AOL به قرار زیرند:

اولی در ۳ ژوئن ۱۹۹۸ به قرار زیر:

در AOL به این ترتیب است که تعدادی از کاربران ، داوطلبانه اتاقهای چت را به صورت ناشناس مانیتور می کنند و در مقابل این کار از پرداخت هزینه ی عضویت معاف هستند. به این کاربران ” رهبران اجتماعات[۱۸] ” گفته می شود.

یک نفوذ گر با نام کاربری PathEndo ، با به دست آوردن کلمه ی عبور یک کاربر AOL که مسئول نگهداری لیست حسابهای این رهبران و نامهای واقعی آنها بوده است ، به این لیست دست یافته اند. هر چند این لیست اطلاعاتی از کلمه ی عبور این رهبران و یا حساب بانکی آنها نمی دهد اما جزو اطلاعات سری AOL محسوب می شود.

حمله ی دیگر مر بوط می شود به هک شدن سایت ACLU [19] که بر روی سرور AOL قرار داشت. که این بار نیز هکران با به دست آوردن کلمه عبور کاربر مسئول نگهداری سایت اقدام به تغییر ظاهر سایت کردند.

تا بدین جا اثری از مهندسی اجتماعی نبود. اما سئوال این است که نفوذگران چگونه به کلمات عبور کاربران مربوطه دست یافتند؟

در مقاله ای در سایت wired.com که توسط یک نفوذگر نوشته شده ، وی به توضیح روش شخصی خود برای این کار می پردازد:

در AOL این امکان وجود دارد که یک کاربر ، چنانچه رمز عبور خود را فراموش کرده باشد ، می تواند با یک تماس تلفنی و ذکر مشخصات خود ، کلمه ی عبور جدید دریافت کند.

آنگاه هکر چنین ادامه میدهد که وی طی چندین تماس ، هر بار وانمود می کند جراحی لثه داشته و نمی تواند به خوبی صحبت کند . در هر تماس ، وی اطلاعاتی را که از او خواسته می شود زیر لب ناواضح می گوید و سپس از کارمند می خواهد که آنچه فهمیده را تکرار کند. بار دیگرکه تماس می گیرد ، اطلاعات دریافت شده را واضح تر می گوید و باز به روش قبل ، اطلاعات بیشتری می گیرد. تا آنجا که در نهایت کلمه عبور را دریافت می کند!

اگر چه در جای دیگر بیان شده که حتی بسیار ساده تر ، چک ۴ رقم آخر کارت اعتباری را که بین کارمندان AOL مرسوم است را پشت سر گذاشته و اطلاعات لازم را از آنان به دست آورد.

د ) کوین میتنیک[۲۰]:

نمی توان مقاله ای را در باب مهندسی اجتماعی به پایان برد و سخنی از این شخص به میان نیاورد. وی که نفوذگری معروف است ، از روشهای مهندسی اجتماعی برای نفوذ به چندین سیستم بزرگ استفاده کرد. مدتی را در زندان گذراند و پس از آزادی کتابی دراین زمینه نوشت و در آن روشهای خود را برای عموم شرح داد.

سخنی معروف از وی وجود دارد به این مضمون که : ” شما میتوانید هر چقدر که می خواهید برای خرید تجهیزات تکنولوژیکی خرج کنید اما زیر ساختهای شبکه ی شما هنوز در برابر دستکاریهای سنتی آسیب پذیر باقی می ماند.[۲۱] ” و منظور وی از این “دستکاریهای سنتی” همان حملات مهندسی اجتماعی است.

[۱] Social Engineering

[۲] Call center

[۳] Reverse Social Engineering

[۴] Trust trick

[۵] Industrial espionage

[۶] FBI

[۷] Joint venture

[۸] Open Source Information

[۹] Trade show

[۱۰] Technical Security

[۱۱] Operational Security

[۱۲] Physical Security

[۱۳] Personal Security

[۱۴] HOAX

[۱۵] attachment

[۱۶] Phishing

[۱۷] American On-Line

[۱۸] Community Leaders

[۱۹] American Civil Liberties Union

[۲۰] Kevin Mitnick

[۲۱] You could spend a fortune purchasing technology and services…and your network infrastructure could still remain vulnerable to old-fashioned manipulation.