مهندسی اجتماعی چیست؟

مهندسی اجتماعی یکی از نادیده گرفته‌ترین و احتمالاً خطرناک‌ترین تهدید امنیتی است که یک سازمان می‌تواند با آن مواجه شود. در زمینه امنیت سایبری، تاکتیک های مهندسی اجتماعی برای فریب کارکنان یا دستکاری در یک سازمان به منظور افشای اطلاعات محرمانه یا حساس برای اهداف کلاهبرداری استفاده می شود.

مهاجمان می توانند با اعتماد به نفس خود را به عنوان افراد قابل اعتماد پنهان کنند و سطح اعتمادی را با هر کسی که به نظرشان آسیب پذیر است و به راحتی قابل نفوذ است، ایجاد کنند. سپس این قربانیان فریب داده می شوند تا امنیت سازمان را به خطر بیندازند. مهندسی اجتماعی می تواند به صورت آنلاین یا آفلاین انجام شود. در برخی موارد، حملات مهندسی اجتماعی به طور مستقیم در محل سازمان انجام می شود.

مهندسی اجتماعی به یک شکل بسیار کارآمد از هک تبدیل شده است. به همین دلیل است که بسیاری از کسب ‌وکارها می‌خواهند تست نفوذ مهندسی اجتماعی را انجام دهند تا مطمئن شوند که ایمنی و امنیت آنها به خطر نمی‌افتد.

تست نفوذ مهندسی اجتماعی می تواند به شما کمک کند ارزیابی کنید که کارکنان شما چقدر در برابر حملات مهندسی اجتماعی مستعد هستند. آزمون مهندسی اجتماعی می‌تواند برای ارزیابی سیاست‌ها و رویه‌های امنیتی یک سازمان استفاده شود، تا ببینیم چقدر مؤثر هستند، کارکنان چقدر آنها را درک می‌کنند و مهم‌تر از همه، اینکه آیا به آن‌ها پایبند هستند یا خیر.

سازمان‌ها باید همیشه در هنگام ایمن‌سازی شبکه‌ها و زیرساخت‌های خود دقت زیادی داشته باشند، اما جداسازی و تشخیص اینکه آیا حملات مهندسی اجتماعی قرار است رخ دهد، دشوار است. مهندسی اجتماعی یک تکنیک در نظر گرفته می‌شود و بنابراین تشخیص و کنترل آن سخت‌تر است. هدف تیم ما در پویان افزار این است که از تجربه فراوان خود از تمام این تکنیک ها استفاده کند تا به مشتریان خود آموزش دهد و به آنها اطلاع دهد که چگونه می توانند حملات واقعی را تشخیص دهند و از وقوع آنها جلوگیری کنند.

انواع آزمون مهندسی اجتماعی

هکرهای اخلاقی شناخته شده، می توانند هر دو نوع تست نفوذ مهندسی اجتماعی را از راه دور و در محل انجام دهند. بسیاری از روش های خارج از سایت به عنوان نمونه هایی از فیشینگ در نظر گرفته می شوند.

تست نفوذ در محل

جعل هویت همانطور که از نام آن پیداست، این تکنیک شامل تغییر چهره به عنوان یک کارمند برای دسترسی به محل و دستیابی به اطلاعات ارزشمند، گاهی اوقات در مناطق محدوده شرکت مورد نظر است. این می تواند شامل جعل هویت یک کاندید برای مصاحبه شغلی، یک فرد تحویل دهنده یا شخصی باشد که در نقش های پشتیبانی فنی کار می کند. آخرین مورد احتمالاً همان چیزی است که شرکت را در معرض بیشترین خطر قرار می دهد، اگر این حملات مهندسی اجتماعی واقعی باشد.

مهندسی اجتماعی معکوس این تکنیک تست نفوذ شامل رفتن کورکورانه قربانی به سمت مهاجم می شود زمانی که مهاجم ابتدا نوعی اعتماد را برای قربانی ایجاد کرده است.

فریفتن/اغوا کردن – این تکنیک شامل اتصال یک دستگاه فیزیکی است که کارمندان را فریب می دهد تا آن را به یک سیستم کامپیوتری متصل کنند. به عنوان مثال، کارمندان از این که این دستگاه حاوی بدافزار است، بی خبرند.

 

تست نفوذ خارج از سایت (فیشینگ مهندسی اجتماعی)

 

فیشینگ تلفنی(Vishing)یک تستر نفوذ ممکن است با سازمان تماس بگیرد و وانمود کند که یک کاربر قانونی است و سعی کند به اطلاعات حساس دسترسی پیدا کند.

فیشینگ ایمیل و پیامک – آزمایش‌کنندگان نفوذ ممکن است ایمیل‌ها یا پیامک‌هایی را با پیوندهایی به فایل‌هایی که ممکن است حاوی بدافزار باشند، برای کارکنان ارسال کنند، که از کاربران درخواست/ترغیب می‌کنند روی پیوند کلیک کنند.

 

 

 

 

 

فرآیند مهندسی اجتماعی ما

خدمات پویان افزار در این حوزه معمولاً از روند زیر پیروی می کند:

طعمه گذاری

گذاشتن دستگاه‌های آلوده به بدافزار، مانند درایو فلش USB یا سی‌دی، در مکانی که پیدا شود.

ارزیابی فیشینگ

برقراری ارتباطات تقلبی از سوی فردی واقعی و از یک منبع قابل اعتماد.

عذر و بهانه دادن

ساختن شرایط نادرست برای وادار کردن قربانیان به ارائه دسترسی به داده های حساس یا سیستم های محافظت شده.

پرتاب نیزه فیشینگ

یک حمله بسیار هدفمند که بر روی یک فرد خاص در یک سازمان متمرکز می شود.(مانند روش تقلبی ارسال ایمیل ظاهراً از یک فرستنده شناخته شده یا مورد اعتماد به منظور ترغیب افراد هدف به افشای اطلاعات محرمانه.)