مهندسی اجتماعی یکی از نادیده گرفتهترین و احتمالاً خطرناکترین تهدید امنیتی است که یک سازمان میتواند با آن مواجه شود. در زمینه امنیت سایبری، تاکتیک های مهندسی اجتماعی برای فریب کارکنان یا دستکاری در یک سازمان به منظور افشای اطلاعات محرمانه یا حساس برای اهداف کلاهبرداری استفاده می شود.
مهاجمان می توانند با اعتماد به نفس خود را به عنوان افراد قابل اعتماد پنهان کنند و سطح اعتمادی را با هر کسی که به نظرشان آسیب پذیر است و به راحتی قابل نفوذ است، ایجاد کنند. سپس این قربانیان فریب داده می شوند تا امنیت سازمان را به خطر بیندازند. مهندسی اجتماعی می تواند به صورت آنلاین یا آفلاین انجام شود. در برخی موارد، حملات مهندسی اجتماعی به طور مستقیم در محل سازمان انجام می شود.
مهندسی اجتماعی به یک شکل بسیار کارآمد از هک تبدیل شده است. به همین دلیل است که بسیاری از کسب وکارها میخواهند تست نفوذ مهندسی اجتماعی را انجام دهند تا مطمئن شوند که ایمنی و امنیت آنها به خطر نمیافتد.
تست نفوذ مهندسی اجتماعی می تواند به شما کمک کند ارزیابی کنید که کارکنان شما چقدر در برابر حملات مهندسی اجتماعی مستعد هستند. آزمون مهندسی اجتماعی میتواند برای ارزیابی سیاستها و رویههای امنیتی یک سازمان استفاده شود، تا ببینیم چقدر مؤثر هستند، کارکنان چقدر آنها را درک میکنند و مهمتر از همه، اینکه آیا به آنها پایبند هستند یا خیر.
سازمانها باید همیشه در هنگام ایمنسازی شبکهها و زیرساختهای خود دقت زیادی داشته باشند، اما جداسازی و تشخیص اینکه آیا حملات مهندسی اجتماعی قرار است رخ دهد، دشوار است. مهندسی اجتماعی یک تکنیک در نظر گرفته میشود و بنابراین تشخیص و کنترل آن سختتر است. هدف تیم ما در پویان افزار این است که از تجربه فراوان خود از تمام این تکنیک ها استفاده کند تا به مشتریان خود آموزش دهد و به آنها اطلاع دهد که چگونه می توانند حملات واقعی را تشخیص دهند و از وقوع آنها جلوگیری کنند.
هکرهای اخلاقی شناخته شده، می توانند هر دو نوع تست نفوذ مهندسی اجتماعی را از راه دور و در محل انجام دهند. بسیاری از روش های خارج از سایت به عنوان نمونه هایی از فیشینگ در نظر گرفته می شوند.
تست نفوذ در محل جعل هویت – همانطور که از نام آن پیداست، این تکنیک شامل تغییر چهره به عنوان یک کارمند برای دسترسی به محل و دستیابی به اطلاعات ارزشمند، گاهی اوقات در مناطق محدوده شرکت مورد نظر است. این می تواند شامل جعل هویت یک کاندید برای مصاحبه شغلی، یک فرد تحویل دهنده یا شخصی باشد که در نقش های پشتیبانی فنی کار می کند. آخرین مورد احتمالاً همان چیزی است که شرکت را در معرض بیشترین خطر قرار می دهد، اگر این حملات مهندسی اجتماعی واقعی باشد. مهندسی اجتماعی معکوس – این تکنیک تست نفوذ شامل رفتن کورکورانه قربانی به سمت مهاجم می شود زمانی که مهاجم ابتدا نوعی اعتماد را برای قربانی ایجاد کرده است. فریفتن/اغوا کردن – این تکنیک شامل اتصال یک دستگاه فیزیکی است که کارمندان را فریب می دهد تا آن را به یک سیستم کامپیوتری متصل کنند. به عنوان مثال، کارمندان از این که این دستگاه حاوی بدافزار است، بی خبرند.
|
تست نفوذ خارج از سایت (فیشینگ مهندسی اجتماعی)
فیشینگ تلفنی(Vishing)– یک تستر نفوذ ممکن است با سازمان تماس بگیرد و وانمود کند که یک کاربر قانونی است و سعی کند به اطلاعات حساس دسترسی پیدا کند. فیشینگ ایمیل و پیامک – آزمایشکنندگان نفوذ ممکن است ایمیلها یا پیامکهایی را با پیوندهایی به فایلهایی که ممکن است حاوی بدافزار باشند، برای کارکنان ارسال کنند، که از کاربران درخواست/ترغیب میکنند روی پیوند کلیک کنند.
|
خدمات پویان افزار در این حوزه معمولاً از روند زیر پیروی می کند:
طعمه گذاری گذاشتن دستگاههای آلوده به بدافزار، مانند درایو فلش USB یا سیدی، در مکانی که پیدا شود. |
ارزیابی فیشینگ برقراری ارتباطات تقلبی از سوی فردی واقعی و از یک منبع قابل اعتماد. |
عذر و بهانه دادن ساختن شرایط نادرست برای وادار کردن قربانیان به ارائه دسترسی به داده های حساس یا سیستم های محافظت شده. |
پرتاب نیزه فیشینگ یک حمله بسیار هدفمند که بر روی یک فرد خاص در یک سازمان متمرکز می شود.(مانند روش تقلبی ارسال ایمیل ظاهراً از یک فرستنده شناخته شده یا مورد اعتماد به منظور ترغیب افراد هدف به افشای اطلاعات محرمانه.) |