مهندسی اجتماعی

تعریف رسمی مهندسی اجتماعی عبارت است از:«شکستن امنیت سازمان با تعامل انسانی».به زبان دیگر مهندسی اجتماعی از نقاط ضعف درک عمومی مردم سواستفاده میکند.در واقع مهندسی اجتماعی هنر بهره برداری از رفتارهای آسیب پذیر انسانها برای ایجاد شکاف امنیتی بدون هیچ ظن و گمانی از سوی قربانی است.حال چگونه مهندسی اجتماعی به هک مربوط می شود؟ هک، ورود به یک سیستم ممنوعه با استفاده از تکنیک های خاص می باشد؛ یک هکر عادی از نقاط ضعف امنیتی سیستم بهره می برد اما مهندس اجتماعی از مردم برای دریافت اطلاعاتی که معمولن در دسترس نیست مانند رمز عبور یا شماره شناسایی یکتا، استفاده میکند. بنابراین در جایی که ابزار امنیتی جلوی هکر را برای نفوذ گرفته، مهندسی اجتماعی ابزار خوبی برای او به حساب می آید.بر خلاف هک، مهندسی اجتماعی از روانشناسی انتظارات مردم از یکدیگر و تمایل آنها به مفید بودن بهره میبرد. کوین میتنیک یکی از معروفترین هکرهایی است که دلیل موفقیتش، استفاده از تکنیکهای مهندسی اجتماعی بوده. وی کتابی با عنوان «هنر فریفتن» پس از آزادی از زندان نگاشته که مهندسی اجتماعی را در آن اینگونه تعریف کرده است:«مهندسی اجتماعی انسانها را با روشهای مختلف فریفته و با متقاعد کردنشان از آنها برای دستیابی به اطلاعات سو استفاده می نماید».بعضی از معروفترین تعاریف دیگر مهندسی اجتماعی عبارتند از:

• هنر و علم واداشتن دیگران به انجام کاری مطابق خواسته ی نفوذگر
• استفاده ی یک نفوذگر خارجی از حقه های روانشناسی روی کاربران قانونی یک سیستم کامپیوتری، برای به دست آوردن اطلاعاتی که نفوذگر برای نفوذ به سیستم نیاز دارد
• به دست آوردن اطلاعات(مانند رمز عبور) از یک فرد، به جای بکارگیری روش های فنی برای ورود غیرمجاز به سیستم
• وادار کردن دیگران به دادن چیزهایی اعم از اطلاعات و کالا، به یک فرد دیگر، در صورتی که از لحاظ قانونی نباید بدهند

در موضوع امنیت سایبری، مهندسی اجتماعی به مقوله ای اطلاق می شود که نوعی نفوذ و حمله غیر فنی را توصیف می کند که عمدتن بر تعاملات انسانی تکیه دارد و دربرگیرنده ی روش های فریفتن دیگران است تا روندهای معمول امنیتی را بشکنند.

در واقع مهندسی اجتماعی می تواند همه یا هیچکدام از این تعاریف باشد؛ بسته به اینکه در چه جایگاهی هستید و از چه دیدگاهی مایل به بررسی آن هستید.اما آنچه که به نظر می رسد مورد توافق همه باشد، این است که مهندسی اجتماعی عمومن بهره گیری هوشمندانه یک نفوذگر از تمایل طبیعی انسانها به اعتماد کردن و کمک کردن، می باشد.هدف نفوذگر از این عمل به دست آوردن اطلاعاتی است که به وسیله ی آنها دسترسی غیرمجاز به منابع اطلاعات محرمانه، میسر می گردد. در واقع نفوذگر با هدف قراردادن ضعیفترین حلقه زنجیر امنیت، یعنی انسان، اهداف دیگری از جمله نفوذ به شبکه، جاسوسی صنعتی، خرابکاری، دزدی هویت و ...را دنبال می کند. این نوع حمله ها اغلب ساده تر از انواع نفوذگری های فنی هستند و به همین دلیل سازمانهای بسیاری هدف این حملات قرار می گیرند.سازمانهایی که بیشتر هدف این نوع نفوذ هستند عبارتند از: مراکز پاسخگویی تلفنی، شرکتهای بزرگ و مشهور، موسسات مالی، مراکز دولتی و نظامی.

حملات مهندسی اجتماعی در دو سطح فیزیکی و روانشناسی انجام می گیرند که در پستهای بعدی در مورد آنها مطالبی را خواهم آورد.