Social Engineering

- Social Engineering چیست؟

Social Engineering یا مهندسی اجتماعی، تکنیکی است که بر گول زدن مردم استوار است.در این تکنیک شما با انسان‌ها سر و کار دارید و نه با کامپیوترها. حال اگه یک user رو مثلا گول بزنید، می‌توانید اطلاعات او را مثل پسورد و ... را بدست بیاورید که نمونه‌ای است از Client Hacking و اگه Administer یک سایت را گول بزنید و سایت را هک کنید، نمونه‌ای است از Server Hacking. پس با مهندسی اجتماعی هم می‌شود کلاینت هک کرد و هم سرور. البته چون کلاینت‌ها معمولا user های کم‌سوادتری (از نظر دانش هک) دارند، هک کردن آنها بسیار آسان‌تر است.
این نکته را هم باید بگم که روش Social Engineering معمولا در مراحل اولیه هک استفاده می‌شود و بعد از آن باید مسیر را عوض کنید و از اطلاعات فنی‌تان برای ادامه کار بهره ببرید.


- مثال‌هایی از مهندسی اجتماعی

در اینجا می‌خواهم تعدادی از تکنیک‌های Social Endineering را براتون بگم. البته توجه کنید که اگرچه این روش‌ها اطلاعات فنی زیادی نمی‌خواد ولی معمولا نتایج خوبی داره. و نیز بگم که این روش‌ها خیلی گسترده است و هر بار به شکلی بروز می‌کند. اما نکته مشترکی که من در همه‌شان دیدم اینه که همیشه از شما می‌خواهند که پسوردتان را یک جایی وارد کنید و این دقیقا محلی است که فرق شما رو با یک user معمولی نشون میده. زیرا نباید گول بخورید (-;

۱- تلفن زدن :
یکی از روش‌های مهندسی اجتماعی است. هکر اطلاعاتی از افراد یک شرکت جمع‌آوری می‌کند و بعد با شرکت تماس گرفته و مثلا از فلان فرد می‌خواهد که پسورد را عوض کند. پیشرفته‌ترین متد‌های این نوع هک توسط مشهورترین (و یکی از بهترین) هکرهای تاریخ،  Kevin Mitnick  اجرا شده است.

۲- مخ زدن برای ارسال فایل:
مثلا با یک نفر چت می‌کنید و می‌گید که بیا عکس منو ببین! و به جای ارسال یک فایل تصویری، یک فایل اجرایی مثلا تروجان براش می‌فرستید. تا این مرحله کار شما به عنوان مهندسی اجتماعی است ولی مابقی (مثلا استفاده از تروجان فرستاده شده) دیگه Social engineering نیست.

۳- برای ما E-mail بزنید و ما پسورد E-mail کسی که شما می‌خواهید را براتون پیدا می‌کنیم:
ممکنه در اینترنت به این نوع پیغام‌ها برخورد کرده‌اید که مثلا می‌گوید:
" به ما ایمیل بزنید، در سطر اول E-mail کسی که می‌خواهید ما براتون هک کنیم رو بنویسید، در سطر دوم E-mail خودتون رو، سطر آخر هم پسورد E-mail خودتون رو. ما پسورد E-mail ی که در سطر اول مشخص کردید براتون می‌فرستیم. "
ممکنه عجیب به نظر برسه ولی خیلی‌ها به همین راحتی هک می‌شوند. این دیگه از اون بهتریناش، چون یک تیره و سه نشون. ۲ تا آدرس E-mail برای فرستادن تبلیغات و نیز پسورد E-mail خودتون.

۴- فایل ضمیمه (attached) به E-mail را باز کنید:
مثلا اینکه می‌گوید در این E-mail عکس من attach شده است باز کنید و ببینید. درحالی که فایل attach شده فایل تصویری نیست، بلکه یک فایل آلوده است.

۵- ساختن یک صفحه شبیه به سایت‌های مشهور و درخواست login :
مثلا ساختن یک صفحه شبیه به یاهو برای login درحالی‌که این صفحه برای دزدیدن id و password شماست. 

۶- و …