همواره باید با تمامی رمزگذاریها، دیوارآتش و… که برای شبکه خود به طور کامل در نظر میگیریم، و باید به عوامل انسانی که سادهترین راه نفوذ که همان مهندسی اجتماعی است، دقت نمائیم اکثر افراد و سازمانهایی که دانش و توانایی بسیاری دارند، برای مسدود نمودن راههای احتمالی نفوذ شیادان و باج بگیران به حریم خود، از راههای بسیاری بهره میگیرند. اما باید این را بدانیم که هیچگاه یک شبکه کاملاً ایمن نبوده و هیچ گاه قادر نخواهیم بود که عامل انسانی را از چرخه اتصالات شبکه و سازمان خارج کرد.
به همین خاطر باید بدانیم با تمامی رمزگذاریها، دیوارآتش و… که برای شبکه خود به طور کامل در نظر میگیریم، باید به عامل انسان و سادهترین راه نفوذ که همان مهندسی اجتماعی است، توجه داشته باشیم. این بدین خاطر است که سادهترین راه نفوذ برای ایجاد دسترسی در یک شبکه، ورود زیرکانه و از طریق مهندسی اجتماعی به سازمان و کسب اطلاعات مورد نیاز و خروج این اطلاعات بوده و هست.
قاعدتاً یک مهندس اجتماعی را میتوان فردی در نظر گرفت که با حیله و فریب اقدام به تحریک و متقاعدسازی با افرادی که مورد طعمه قرار گرفتند ارتباط برقرار کرده و پس از شناخت زوایای مختلف سازمان، اقدام به بهرهبرداری و سوءاستفاده از دستگاه مذکور یا فرد طمعه شده را آغاز میکند.
میتوان گفت که یک مهندس اجتماعی به قدری ساده و طبیعی با افراد ارتباط برقرار کرده و از آنها کسب اطلاعات میکند که به هیچ وجه پس از دسترسی غیرمجاز و افشای اطلاعات سازمان، اشخاص مورد حمله قرار گرفته متوجه نخواهند شد که چگونه و از کجا اطلاعات فاش شده است.
تیم رایانه سازمان پس از حادثه به دنبال نقصهای فنی میگردند و اما بعد از بررسی اولیه متوجه میشوند اطلاعات بسیار سادهتر از آنچه که فکرش را میکنید از دست رفته و در اینجا عامل انسان دخیل بوده است. در این مرحله میتوان گفت در مهندسی اجتماعی به هیچ وجه در ابتدا کار از نرم افزار و سخت افزار استفاده نمیشود بلکه با ذهن و فکر انسانها کار میشود. هرچندبدان معنا نبوده که نباید امنیت را از طریق فعالیتهای سخت افزاری و نرم افزاری برقرار کرد بلکه منظور از بیان این مفاهیم تامین امنیت فیزیکی بدون آگاه سازی افراد سازمان و تغییر نگرش در آنها نمیتواند موفق باشد بلکه هر دوی اینها در کنار هم کارآمد خواهد بود.
لذا می توان مهندسی اجتماعی بر دو نوع تقسیم کرد: مهندسی اجتماعی بر پایه اطلاعات فنی و مهندسی اجتماعی بر پایه نیروهای انسانی
لذا در توضیح این دو نوع مهندسی میتوان اینگونه توضیح داد که مهندسی بر پایه اطلاعات فنی همان کلاهبرداران سایبری و فیشرها هستند که با اطلاعات خود مانور میدهند و اغلب با طراحی و توسعه سایت یا صفحات بانکها و موسسات مالی برای سرقت نام کاربری و رمز عبور، دست به کار میشوند. و یا اینکه با استفاده از ایمیلهایی که به کاربران اراسال میکنند، و آنها را تحریک کرده که فایلهای ضمیمه همراه با ایمیلهای ارسالی را باز کنند و سپس اهداف در ذهن خود را پیاده سازی کنند.
اما در مهندسی اجتماعی بر پایه نیروی انسانی چگونه است می توان گفت در مهندسی اجتماعی بر پایه نیروی انسانی همه هدف سارق، بررقرای ارتباط با اشخاص با استفاده از تلفن و راههای ارتباطی حضوری است. چرا که این افراد اغلب دارای اطلاعات فنی زیادی نبوده و تنها هنر آنها روابط عمومی فوقالعاده قوی است و برای اینکار با متخصصان دست به دست هم داده تا با یکدیگر بتوانند با کلاهبرداری کسب منفعت کنند. بنابراین میتوان گفت که حفظ اطلاعات شبکه چه از طریق آموزش به افراد سازمان و چه تامین امنیت فیزیکی بسیار مهم و حائز اهمیت است.
- نویسنده : حمیدرضا محمدیاری
- منبع خبر : بازار کسب و کار آنلاین
