کتاب مهندسی اجتماعی

خلاصه متنی رایگان کتاب مهندسی اجتماعی

مهندسی اجتماعی راهیه برای تاثیر گذاری روی دیگران بدون اینکه خودشون خبر داشته باشن

تا حالا شده چیزی بخرید و کمی بعدش متوجه بشید که اصلا نیازی به اون نداشتید؟ اگه اره باید بدونید که شما تنها نیستید. اکثر ما چنین اتفاقی رو تجربه کردیم، اتفاقی که تا حد زیادی تحت تاثیر تکنیک های مهندسی اجتماعیه.

مهندسی اجتماعی مجموعه ای از تکنیک های روانشناختیه که نقاط ضعف انسان ها رو هدف قرار میده تا روی اعمال اونها اثر بذاره. این حربه ها ممکنه شامل زبان گفتاری، زبان بدن و پیشنهاد های مخفی بشه.

سیاستمدارا و  فروشنده ها خیلی خوب با چنین حربه هایی اشنایی دارن اما واقعیت اینه که همه ما ممکنه از این حربه ها استفاده کنیم، حتی نسبت به ادمای نزدیک، خانواده و دوستای خودمون.مثلا وقتی یه بچه میگه: مامان خیلی دوست دارم، میشه برای تولدم یه بچه گربه برام بگیری، داره از مهندسی اجتماعی برای تحت تاثیر قرار دادن مادر خودش برای رسیدن به خواسته ش استفاده میکنه.

توی مهندسی اجتماعی، مساله رسیدن به اهداف کوتاه مدت نیست و خیلی وقتا ممکنه هدف اسیب زدن به تعدادی زیادی ادم باشه. برای مثال اگه شما بخواین که یه بد افزار رو روی سرور یه شرکت نصب کنید می تونید با اسلحه به دفتر اون شرکت حمله کنید و با زور وارد اتاق سرور اونجا بشید ولی یه مهندس اجتماعی ترجیح میدهکه از مسیری کاملا متفاوت این راه رو بره و به جای استفاده از زور، قربانی خودش رو فریب بده.

اما نکته اینه که هیچکس دوست نداره فریب بخوره، خوشبختانه ما هم می تونیم با فهم اینکه مهندسین اجتماعی چطور کار می کنن از خودمون دربرابر اونها محافظت کنیم.

افرادی مثل نویسنده این کتاب که متخصص امنیت شبکه هستن، کارشون اینه که نقش مهندسین اجتماعی فیک رو برای حمله به سیستم های امنیتی بازی کنن تا راه های نفوذ و نقاط ضعف اونها رو شناسایی کنن و جلوی حمله مهندسین اجتماعی رو بگیرن. حمله هایی که اکثرا قربانیان اونها حتی ازشون با خبر هم نمی شن.

جمع اوری اطلاعات اولین قدم برای حمله‌ی مهندسین اجتماعیه؛ حالا اون حمله چه واقعی باشه چه فیک باشه

چه کارشناس امنیت شبکه باشید چه یه مهندس اجتماعی شرور، قبل از حمله نیاز دارید که هدف خودتون رو به خوبی بشناسید. هر چی شناخت شما بیشتر باشه، بهتر می دونید که چطور می تونید تاثیرگذارتر باشید و در نتیجه نقشه تون موفق تر خواهد بود.

برای شروع، واسه ی هدفتون یه پروفایل درست کنید. بهترین جا هم برای شروع، اینترنته. سایت هایی هستن که به شما اجازه میدن ایمیل، شماره تلفن و حتی آی پی یه نفر رو پیدا کنید. توی شبکه های مجازی که اطلاعات آما به راحتی به دست میاد. کاری که باید بکنید اینه که دقیق باشید، حتی یه اطلاعات جزیی ساده می تونه گاهی خیلی با ارزش باشه.

برای مثال، متی (  Mati)‌  مشاور نویسنده کتاب حاضر، یکبار برای تست نفوذ پذیری امنیت یک شرکت استخدام شده بود. متی اونجا فهمید که یکی از افراد رده بالای شرکت از ایمیل شرکت برای جمع اوری کالکشن تمبر استفاده میکنه.

متی سایتی ساخت و برای اون اسم و ظاهری مرتبط با کالکشن تمبر طراحی کرد و درونش برنامه ای رو مخفی کرد تا به کمک اون برنامه بتونه به سیستم همون فردی رده بالا دسترسی پیدا کنه. فک می کنید چی شد؟ به کمک یه تماس و بعد هم ارسال یه لینک برای طرف، نه تنها اون ادم کلی خوشحال شد و تشکر کرد بلکه از همه جا بی خبر توی تله افتاد.

همینطور که میبینید حتی یه اطلاعات عادی و روزمره می تونه تله باشه و هزینه زیادی برای ما به وجود بیاره.

شما حتی از مشاهده زندگی روزمره یه نفر هم می تونید اطلاعات زیادی درباره اون ادم کسب کنید. اتفاقا این کار که از روی روتین رومزه یه نفر سعی کنید بشناسیدش خودش تمرین خیلی خوبیه. اون ادم کجا ها میره؟ سیگار میکشه؟ اگه هدف شما یه شرکته مثلا کارمندانش از کلید برای ورود استفاده می کنن یا کارت؟ ایا ساختمونش دوربین مدار بسته داره؟

حتی، البته ممکنه زیاد خوشتون نیاد ولی شما می تونید اطلاعات زیادی رو از بررسی زباله ها بدست بیارید. ادما کلی سی دی، نامه و چیزای دیگه که توشون اطلاعات مهم وجود داره رو ممکنه توی سطل اشغال بندازن! فقط حواستون باشه که کیسه اشغال رو جلو در همون خونه یا شرکت باز نکنید.

مهاجمین برای رسیدن به هدف خودشون از پوشش استفاده می کنن

فرض کنید یه کاراگاه هستین. ایا برای تحقیق از اسم و هویت اصلی خودتون استفاده میکنید؟ یا نه برای خودتون یه هویت پوششی با یه قصه فرضی درست کنید تا شناسایی نشید؟

این کار قبل از هر چیز به یه سناریو احتیاج داره. به خاطر همین مهمه که اول از همه اطلاعات خوبی جمع کنیم. هر چی اطلاعات شما بهتر باشه، سناریو ای که می چینید بهتر و قانع کننده تر خواهد بود.

فرض کنید هدف شما یه مدیر عامله که معمولا به خیریه ها کمک میکنه. این اطلاعات می تونه برای طراحی سناریو به ما کمک کنه. مثلا برای ملاقات با مدیر عامل می تونید خودتون رو به عنوان نماینده یه مجموعه خیریه جا بزنید. قطعا مدیر عامل ها هر کسی رو ملاقات نمی کنن و شما با این سناریو شانس دیدن مدیر عامل رو برای خودتون بیشتر میکنید.

همینطور وقتی هویت خودتون رو طراحی میکنید باید به علایق هدف تون توجه کنید تا بتونید براش جذاب و تاثیرگذار بشید. حالا راحت ترین راه چیه؟ اینکه یه علاقه مشترک باهاش پیدا کنید. اگه شدنی نبود، باید توی خودتون یه سری تغییرات ایجاد کنید تا یه جوری با اون مچ بشید. مثلا اگه دنبال این هستید که از زیر زبون یه شیمی دارن فرمول مهمی رو بیرون بکشید ولی خودتون یه دانشمند نیستید، اینکه بخواین ادای شیمی دان ها رو دربیارید یکم ریسکیه ولی می تونید به جاش خودتون رو دانشجو شیمی جا بزنید، کسی که کار اون ادم رو تحسین میکنه و دنبال ارتباط علمی باهاشه.

لهجه ها و گویش ها یه راه خوب دیگه برای برقراری ارتباط با ادما هستن که اگه گوش دقیقی داشته باشید و تمرین کنید یاد گرفتنشون کار خیلی سختی نیست.

حتی خیلی از لهجه ها هستن که بسته به محیط شما رو مقبول تر می کنن. نویسنده کتاب میگه توی کلاسی  از طرف یه کمپانی فروش شرکت کرد و اونجا فهمید چیزی حدود ۷۰ درصد امریکایی ها شنیدن لهجه بریتیش رو ترجیح می دن.

هر کاری که می کنید فقط حواستون باشه، سناریو و هویتی که برای خودتون می سازید طبیعی و منطقی به نظر بیاد.

ساختن ارتباط نزدیک و دوستی با هدف، اونا رو نسبت به پیشنهادات شما پذیراتر میکنه

ادما دوست دارن که مقبول واقع بشن، واقعیتی که یه مهندس اجتماعی بهتر از هر کسی ازش خبر داره. همینطور اونا می دونن افرادی که شما رو دوست دارن، کارهایی رو می کنن که شما دوسشون داشته باشید، حالا سوال اینه که چجوری میشه کاری کرد که یه غریبه توی یه زمان کوتاه از ما خوشش بیاد؟

قدم اول اینه که نشون بدید آدم و دوست خوبی هستید. یه راه اینه که مستقیما درباره هدفتون حرف بزنید، به هر حال همه ادما دوست دارن درباره خودشون بشنون.

حواستون به زبانی بدنی که دارید باشه. اگه حرکت های بدن اونها رو همزمان تکرار کنید بهشون این حس رو میده که ادم های شبیه به همی هستید. مثلا وقتی دستشون رو جمع کرد شما هم همون لحظه جوری که انگار نا خوداگاه بوده همین کار رو بکنید.

حتی می تونید ظاهر خودتون رو شبیه اونا کنید. مثلا اگه می خواین با یه مدیر قدم و حرف بزنید یه اورکت بپوشید و کراوات بزنید، همونطوری که اون راه می ره راه برید، هرجوری اون حرف می زنه صحبت کنید.

زمانی که موفق بشید اعتماد اونها رو جلب کنید می تونید روی اونا تاثیر بذارید. فقط حواستون به چنتا نکته باشه: ادما ترجیح می دن که با یه غریبه محترمانه رفتار کنن، اگه ازشون تمجید کنید بیشتر حرف می زنن و اگه بهشون توجه کنید با محبت به شما جواب میدن.

مهندسین اجتماعی از این حربه ها برای متقاعد کردن دیگران استفاده میکنن. مثلا اگه هدف شما یه پدر یا یه مادره، توی سناریو ای که طراحی میکنید حتما یه بچه بگنجونید.

مثلا ممکنه توی یه مصاحبه کاری بگید که پسر هشت ساله تون چایی رو روی مدارک شما ریخته و شما دیگه فرصت نکردید که مدارک رو تعویض کنید. کافیه قبلش مثلا بدونید که طرف شما یه بچه ۷ یا ۸ ساله داره، اون موقع ست که قطعا به جای سرزنش شما سعی میکنه بهتون کمک کنه. درست همین موقع می تونید فلشی که توش بد افزار ریخته بودید رو به بهونه پرینت گرفتن مدراک بهش بدید تا به سیستم شرکت بزنه.

مهندسین اجتماعی مختصصین خوندن ریزترین حالات چهره و واکنش‌ها هستن

یه لحظه به همه دروغ هایی که گفتین فک کنید. به نظرتون اونایی که بهشون دروغ گفتین متوجه شدن؟ ممکنه. اما دلیلش احتمالا گوش دادن به جزییات قصه شما نبوده بلکه، حالت صورت شما دستتون رو رو کرده.

صورت ما تمایل داره که به شکل ناخوداگاه اونچیزی که درون ما هست رو از طریق حالت هایی بسیار ریز آشکار کنه، اون هم در کمتر از چند ثانیه و بی برو برگشت. این حالت ها کاملا جهانی هستن و صورت همه مردم دنیا، فارغ از بک گراند فرهنگی شون به یه شکل واکنش نشون میده. مثلا لبخند ما عضله ای رو اطراف چشممون منقبض میکنه که خودمون به صورت خوداگاه توانایی انقباضش رو نداریم.

مهندسین اجتماعی به کمک اطلاعاتی که از توجه به صورت افراد بدست میارن، می تونن نسبت به اونا شناخت پیدا کنن. مثلا یکی از همکاران نویسنده به اسم تام میگه که متوجه شد هدفش وقتی درباره چیزی مثبت حرف میزنه لبخند گوشه لبش میاد. تام هر بار که اون چیز مثبتی می گفت و لبخند میزد دکمه خودکارش رو فشار میداد، کم کم صدای ناشی از خودکار تام موقع اتفاقات مثبت هدفش رو شرطی کرد. یعنی هربار با چیز مثبتی روبه رو میشد، صدای خودکار تام رو هم می شنید و لبخند میزد.

یکبار تام موقع دادن یه خبر منفی به اون خودکارش رو صدا داد و اون فرد ناخوداگاه لبخند زد و خیلی سریع بابت لبخند غیر ارادیش شرمنده شد.اما واکنش ها محدود به لبخند زدن نیستن. نویسنده هفت احساس جهانی ما و واکنشی که به همراه دارن رو به این شکل دسته بندی کرده:

1. خشم ابروهای مارو به داخل و لب های ما رو به سمت خارج میکشه
2. نفرت روی بینی ما چروک می ندازه و لب بالایی ما رو به سمت بالا میکشه
3. تحقیر هم مثل نفرت بینی ما رو جمع میکنه اما تنها یه طرف از لبمون رو بالا میاره
4. ترس باعت میشه که ما چشم های خودمون رو باز کنیم و ابروها و لب های خودمون رو به بیرون بکشیم
5. غافلگیری ابروهای ما رو به سمت بالا میکشه و چونه مون رو به سمت پایین رها میکنه
6. ناراحتی هم چونه ما رو پایین میاره، لب هامون رو پایین و چشم هامون رو نیمه باز میکنه
7. و در نهایت خوشحالی چشم های ما رو باز میکنه، گونه هامون رو بالا میاره و لبخند رو می سازه

خوندن حالات و احساسات هدف به شما کمک میکنه که نسبت به رفتارهاش واکنش مناسبی داشته باشید. 

مهندسان اجتماعی از زبان شناسی عصبی برای متقاعد کردن هدف هاشون به انجام کاری که می خوان استفاده میکنن

افرادی که ما داریم درباره شون حرف می زنیم می تونن هر کسی رو متقاعد کنن که هر کاری رو انجام بده، بعضیها این توانایی رو به استعداد ذاتی اونا ربط می دن اما واقعیت اینه که پشت این ماجرا یه سری علم وجود داره. یکی از اونها زبان شناسی عصبیه.

زبان شناسی عصبی یا NLP،شیوه ای از ارتباطه که روی طرز فکر مردم و تجربه اونا از زندگی تمرکز میکنه.  

رچیارد بندلر (  Richard Bandler )  و جان گریندر (  John Grinder )   NLP    رو تو دهه ۷۰ میلادی توسعه دادن تا به کمک اون شیوه ای که الگوهای زبانی رو رفتار ما تاثیر می ذارن رو بررسی کنن.  NLP   روی ایده هایی مثل وضعیت ذهنی، خوداگاه و ناخوداگاه و فیلترهایی که ما برای درک واقعیت داریم تمرکز داره.

فروشنده ها و مدیران شرکت ها می تونن به کمک NLP میزان خوداگاهی و توانایی خودشون برای ارتباط گرفتن با دیگران رو توسعه بدن. مثلا یه مشتری رو متقاعد کنن که درباره ارزوها و هدف هاش به راحتی صحبت کنه و به این ترتیب اطلاعاتی رو که می خوان بدست بیارن و توی کارشون استفاده کنن.

مهندسین اجتماعی هم از NLPاستفاده می کنن تا خواسته های خودشون رو به شکل دستوری توی حرفاشون مخفی کنن، بدون اینکه اون خواسته ها جلب توجه کنن، به این تکنیک اصطلاحا صدای نهایی گفته میشه.

یکی از راه های استفاده از صدای نهایی اینه که موقع حرف زدن با هدفتون روی کلمه ای که می خواین با افزایش تن صداتون تاکید بذارید.

راه دیگه اینه که با تاکید گذاشتن روی عبارات خاصی توی جمله تون به شنونده پیشنهاد چیزی یا کاری رو بدین. مثلا می تونید ازش بپرسید برای ناهار چی می خوری؟ استیک یا یه چیز دیگه؟ اگه روی استیک تاکید بذارید خود به خود روی تصمیمی که اون می گیره تاثیر گذاشتید.

اگه روی این مدل تکنیک های روان شناختی وقت بذارید و تمرین کنید به سادگی می تونید روی ادما تاثیر بذارید و برای انجام کاری که می خواین متقاعدشون کنید.

مهندسین اجتماعی از ابزارهای انلاین و غیر انلاین برای جمع اوری اطلاعات استفاده می کنن

ممکنه مهندسین اجتماعی با پروژه های پیچیده تری رو به رو باشن که صرفا مکالمه با هدفشون نتونه اطلاعاتی که لازم دارن رو بهشون بده. ممکنه جلوشون یه قفل باشه. حالا چه قفل در، چه پسورد یه اکانت، اما به هر حال هیچ قفلی باز نشدنی نیست.

اگه شما بخواین قفلی رو باز کنید نیاز به ابزارهای ویژه ای دارین. قفل های فیزیکی از سطوح ناهمواری ساخته شدن و کلید اونا جوری طراحی شده که دقیقا همون نا همواری ها رو پر کنه، حتما توی فیلم ها دیدین که چطور یه سری ادما به کمک ابزارهایی مثل سیم، قفل در ها رو باز می کنن؟

اگرچه ماجرای پسوردها کمی متفاوت از قفل دره با این حال خوش شانسی مهندسین اجتماعی تو اینه که اکثر مردم پسوردهای خیلی ضعیفی رو برای خودشون انتخاب می کنن. چقدر ضعیف؟

تو سال ۲۰۰۹ یه هکر به اسم تونو (  Tonu ) تونست  یه شبکه اجتماعی رو هک کنه و به جای شبکه اصلی مردم رو برای لاگین کردن وارد یه سایت فیک کنه. حالا نکته جالب چی بود؟ از بین ۷۳۴ هزار نفری که اون موفق شد هک کنه و به سایت فیک ببره، ۳۰ هزار نفر اسم خودشون رو به عنوان پسورد انتخاب کرده بودن و پسورد ۱۷ هزار نفر، ۱۲۳۴۵۶ بود!

البته اگه هدف شما پسورد قوی تری داشته باشه هم راه هایی برای بدست اورد پسوردش وجود داره، مثلا نرم افزارهایی مثل  CUPP.

 نویسنده میگه وقتی که کلاس های امنیت شبکه رو برگزار میکنه از افراد می خواد به دلبخواه یه پسورد انتخاب کنن و اون می تونه به سادگی توی دو دقیقه پسورد اونا رو با کمک همین نرم افزارها هک کنه. این مدل نرم افزارهای هک تمام اطلاعات شخصی شما مثل تاریخ تولد، اسم همسر و ... رو جمع میکنن و از همه اونا استفاده میکنن.

یادبگیرید که تکنیک های مهندسی اجتماعی رو بشناسید و نسبت به اطلاعاتی که منتشر میکنید اگاه باشید

مهندسین اجتماعی از همه این تکنیک ها استفاده می کنن تا به خواسته های خودشون برسن و بهترین راهی که ما می تونیم از خودمون در برابر اونا محافظ کنیم اینه که تکنیک های اونا رو بشناسیم. اگه می خواین که گیر این ادما نیوفتین باید خودتون و کارکنان مجموعه تون رو نسبت به حربه های اونا اگاه کنید. هر چی میزان این اگاهی بیشتر باشه شانس موفقیت اونها کمتره. یادتون باشه هر اطلاعاتی می تونه برای این ادما مهم و کاربردی باشه پس حواستون به چیزهایی که با دیگران به اشتراک میذارید باشه.

توی یه مورد یه مهندس اجتماعی تونست سایت یه شرکت سازنده انتی ویروس رو با تماس با پشتیبانی هک کنه، چطوری؟ اون زنگ زد و گفت که انتی ویروس اجازه نمی ده اون سایتی که می خواد رو باز کنه، حالا سایت چی بود؟ سایتی که خودش برای هک کردن اون مجموعه طراحی کرده بود. هکر خودشو مثل یه آدم آماتور نشون داد و انقد اصرار کرد تا در نهایت پشتیبان روی لینک کلیک کرد و در نهایت سایت مجموعه هک شد. برای جلوگیری از چنین اتفاقاتی لازمه که شما پروتکل های امنیتی مناسبی برای مجموعه و کارکنان خودتون تعریف کنید.

مثلا ساده ترین شکل چنین پروتکلی اینه که از کارکنان خودتون بخواین وقتی با فرد مشکوکی مواجه شدن که سعی داشت اطلاعات بدست بیاره، ازش مشخصات هویتی بخوان. البته این ابتدایی ترین مثال ممکنه و شما لازم دارید که بسته به نیاز خودتون از یه سیستم امنیتی مناسب استفاده کنید.