دوره های آموزشی آکادمی پی وی لرن (پروژه محور و ویژه بازار کار)



  • ۴
  • شهریور

جلسه ۰۵ : هک به روش مهندسی اجتماعی

  • دسته‌بندی‌ها :
جلسه ۰۵ : هک به روش مهندسی اجتماعی
    • جزئیات
    • نوح محتواآموزشی

      مقدمه

      درود بر شما عزیزان و کاربران سایت پی وی لرن. با آموزش رایگان هک در خدمتتون هستیم.
      در این قسمت از آموزش به هک به روش مهندسی اجتماعی می پردازیم. در این روش هکر بدون داشتن دانش زیاد می تواند به اطلاعات شخصی کاربران دست یابد. در ادامه بیش تر در زمینه hack به روش مهندسی اجتماعی صحبت خواهیم نمود.

      هک به روش مهندسی اجتماعی (حملات، تکنیک ها و پیشگیری)

      مهندسی اجتماعی هنر جلب اعتماد شخص است تا هکر اطلاعات محرمانه ای را که می تواند مورد استفاده قرار دهد به طور غیر مجاز از سیستم کامپیوتری دیگران به دست آورد و آن را فاش نماید. این اصطلاح همچنین می تواند شامل فعالیت هایی مانند بهره گیری از لطف انسان، حرص و آز و کنجکاوی برای دسترسی به ساختمان هایی با دسترسی محدود یا استفاده از کاربران برای نصب نرم افزار backdoor می باشد.

      دانستن ترفندهای استفاده شده توسط هکرها برای فریب دادن کاربران و انتشار اطلاعات حیاتی کاربران به دیگران و حفاظت از سیستم های رایانه ای ضروری است

      در این آموزش ما شما را به تکنیک های مهندسی اجتماعی و نحوه اقدامات امنیتی برای مقابله با آنها معرفی خواهیم کرد.

      مباحث تحت پوشش در بخش آموزش هک به روش مهندسی اجتماعی به شرح زیر است.

      مهندسی چگونه اجتماعی کار می کند؟
      تکنیک های مهندسی اجتماعی
      اقدامات مبارزه با مهندسی اجتماعی

      مهندسی اجتماعی چگونه کار می کند؟

       

      هک به روش مهندسی اجتماعی

      هک به روش مهندسی اجتماعی

      در هک به روش مهندسی اجتماعی باید نخست دید که روند کار مهندسی اجتماعی چگونه است و hack به روش مهندسی اجتماعی به چه روش هایی ممکن می باشد.

      • جمع آوری اطلاعات: این مرحله اول است، هکر تا آن جا که می تواند در مورد قربانی مورد نظر اطلاعات کسب می کند.

      اطلاعات از طریق وب سایت های شرکت، نشریات دیگر و گاهی صحبت با کاربران سیستم هدف جمع آوری می شود.

      • نقشه ی حمله: طرح مهاجمان که چطور می خواهند حمله را اجرا کنند.
      • بدست آوردن ابزار: این شامل برنامه های کامپیوتری است که مهاجم در هنگام حمله استفاده می کند.
      • حمله: از نقاط ضعف سیستم هدف استفاده می کند.
      • استفاده از اطلاعات به دست آمده: اطلاعاتی که در طول تاکتیک های مهندسی اجتماعی به دست می آیند مانند نام حیوان خانگی، تاریخ تولد بنیانگذاران سازمان، و غیره هستند که در حملاتی مانند حدس زدن رمز عبور استفاده می شوند.

      تکنیک های عمومی مهندسی اجتماعی:

      تکنیک های مهندسی اجتماعی می تواند انواع مختلفی داشته باشد.

      در زیر لیستی از تکنیک هایی که به طور معمول در hack به روش مهندسی اجتماعی  استفاده می شود، آمده است.

      Exploit familiarity:

      کاربران کم تر به کسانی که با آن ها آشنا هستند مشکوک می شوند. مهاجم می تواند با کاربران سیستم هدف قبل از حمله مهندسی اجتماعی آشنا شود. مهاجم ممکن است هنگام وعده غذا با کاربران ارتباط برقرار کند، زمانی که کاربران سیگار می کشند، یا ممکن است در رویدادهای اجتماعی با هم آشنا شوند، و غیره. این امر باعث می شود که مهاجم آشنا با کاربران باشد. بیایید فرض کنیم که کاربر در یک ساختمان که برای دسترسی به آن نیاز به کد یا کارت دسترسی دارد، کار می کند. مهاجم ممکن است پس از ورود به مکان های مختلف کاربران را دنبال کند. کاربران بیش تر دوست دارند که درب را باز نگه دارند چون مهاجم با آن ها آشنا است. مهاجم همچنین می تواند سوالاتی نظیر این که کجا شما همسرتان را ملاقات کردید، نام معلم ریاضی دبیرستان و غیره را بپرسد . به احتمال زیاد کاربران فوری پاسخ می دهند چون به مهاجم اعتماد پیدا کرده اند. این اطلاعات می تواند برای هک کردن حساب های ایمیل و سایر حساب هایی که سؤالات مشابهی در صورت فراموشی رمز عبور دارند، مورد استفاده قرار گیرند.

      شرایط ارعاب:

      مردم تمایل دارند از افرادی که آن ها را از اطرافیانشان می ترسانند، اجتناب کنند. با استفاده از این تکنیک، مهاجم ممکن است وانمود به بحث گرم تلفنی و یا همکاری در طرح جرم را باشخص داشته باشد.

      مهاجم ممکن است از کاربران اطلاعاتی که برای امنیت سیستم های کاربران مورد استفاده قرار می گیرد را بخواهد. کاربران به احتمال زیاد پاسخ درست را فقط برای جلوگیری از برخورد با مهاجم ارائه می دهند.

      این روش همچنین می تواند برای جلوگیری از بررسی در یک نقطه بازرسی امنیتی استفاده شود.

      فیشینگ:

      این روش با استفاده از حیله و فریب برای به دست آوردن داده های خصوصی از کاربران حاصل می شود. مهندس اجتماعی ممکن است سعی کند تا یک وبسایت واقعی مانند یاهو را جعل کند و

      سپس از کاربر برای تأیید نام و رمز عبور حساب خود بپرسد.

      این روش همچنین می تواند برای دریافت اطلاعات کارت اعتباری و یا سایر اطلاعات شخصی با ارزش به کار رود.

      Tailgating:

      Tailgating حمله‌ایست که در آن، فرد غیر مجاز به دنبال فرد مجاز وارد یک سیستم یا منطقه با دسترسی‌ محدود می‌شود.

      مثل هکری که با تماس تلفنی به شخصی یا کارمندی از او می‌خواهد درب را برای او باز کند،

      زیرا کارت RFID شان را فراموش کرده‌اند همراه خود بیاورند.

      بهره برداری از کنجکاوی انسان:

      با استفاده از این تکنیک، مهندس اجتماعی ممکن است عمدا یک ویروس آلوده فلش دیسک را در ناحیه ای که کاربران بتوانند به راحتی به آن دسترسی داشته باشند، قرار دهد. کاربر احتمالا دیسک فلش را به کامپیوتر وصل می کند. دیسک فلش ممكن است ویروس را به طور خودکار اجرا كند یا ممكن است  وسوسه شود یا از روی کنجکاوی، فایلی را با نامی دیگر مانند Reporting Revaluation Output 2013.docx باز كند كه در واقع می تواند یک فایل آلوده باشد.

      بهره گیری از حرص انسانی:

      با استفاده از این تکنیک، مهندس اجتماعی می تواند کاربر را با وعده ی پول زیاد آنلاین فزیب دهد و پر کردن فرم و تأیید جزئیات مانند جزئیات کارت اعتباری و غیره را به کاربران تحمیل کند.

      تکنیک های hack به روش مهندسی اجتماعی رو بررسی نمودیم.

      حال اقدامات لازم علیه آن ها را داریم.

      اقدامات مبارزه با مهندسی اجتماعی

       

      هک به روش مهندسی اجتماعی

      هک به روش مهندسی اجتماعی

      اکثر تکنیک های به کار گرفته شده توسط مهندسین اجتماعی مبتنی بر انسان هستند.

      برای مقابله با چنین تکنیک هایی، یک سازمان می تواند :

      • برای مقابله با سوء استفاده از آشنایی،
      • باید تمامی اعضای شبکه بدانند که در هنگام خواستن کلمه عبور و یا اطلاعات مهم دیگر، ابتدا هویت خود را معرفی نمایند. حتی افرادی که با آن ها آشنا هستند باید ثابت کنند که

      مجوز دسترسی به مناطق خاص و اطلاعات را دارند.

      • برای مقابله با حملات شرایط تهدید آمیز،

      به کاربران باید آموزش داده شود تا تکنیک های مهندسی اجتماعی را شناسایی کنند که به کسانی که اطلاعات حساس را می خواهند بگیرند، مودبانه بگویند نه.

      • برای مقابله با تکنیک های فیشینگ، بسیاری از سایت ها مانند یاهو از ارتباطات ایمن برای رمزگذاری اطلاعات استفاده می کنند و ثابت می کنند که آن ها همانی هستند که ادعا می کنند.

      بررسی URL ممکن است به شما در تعیین سایت های جعلی کمک کند.

      از پاسخ دادن به ایمیل هایی که از شما ارائه اطلاعات شخصی را درخواست می کنند، اجتناب کنید.

      • برای مقابله با تهدیدات tailgating ،

      کاربران باید آموزش ببینند که دیگران اجازه استفاده از تأیید امنیتی برای دسترسی به مناطق محدود را ندارند.

      هر کاربر باید از تأیید دسترسی خودش استفاده کند.

      • برای مقابله با کنجکاوی انسان،

      بهتر است که دیسک های فلش را به مدیران سیستم ارسال کنید که باید آن ها را برای ویروس ها یا موارد دیگر ترجیحا در یک دستگاه جدا شده اسکن کند.

      • برای مقابله با تکنیک هایی که از حرص و آز انسان بهره برداری می کنند ،

      کارکنان باید در مورد خطرات سقوط برای چنین کلاهبرداری هایی آموزش ببینند.

      خلاصه مطالب hack به روش مهندسی اجتماعی

      • مهندسی اجتماعی هنر استفاده از عناصر انسانی برای دسترسی به منابع غیر مجاز است.
      • مهندسان اجتماعی از تعدادی تکنیک استفاده می کنند تا کاربران را به افشای اطلاعات حساس سوق دهند.
      • سازمان ها باید دارای سیاست های امنیتی که مقابله با مهندسی اجتماعی است، باشند.

      مبحث hack به روش مهندسی اجتماعی رو به پایان می رسونیم.

      کلام پایانی

      هک به روش مهندسی اجتماعی ،بدست آوردن اطلاعات شخصی فرد و استفاده از آن هاست.

      اقداماتی برای جلوگیری از hack به روش مهندسی اجتماعی وجود دارد که می توان با رعایت آن ها امنیت بیش تری را تامین نمود.

      امیدوارم مطالب مفید واقع شده باشد.

      ادامه مبحث هک قانونمند رو در جلسه بعد دنبال نمایید.

      QR:  جلسه ۰۵ : هک به روش مهندسی اجتماعی
      به اشتراک بگذارید