Social Engineering Presented By Ali Mollabagher

0 views
1,168 views

Published on

رئوس مطالب

تعريف
هدف
چرا از روش SE به جاي Hack استفاده مي كنيم؟
منشا حمله‌های مهندسی اجتماعی
چرخه حملات مهندسی اجتماعی
تكنيك ها و برخي از استراتژي هاي مقابله با آن ها
مهندسي اجتماعي معكوس
فيس بوك
منابع

Published in: Business, Real Estate
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
0
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
54
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Social Engineering Presented By Ali Mollabagher

  1. 1. Social Engineering S i l E i i Presented by : Ali Mollabagher ‫ﻨﺪ ﯽ ا ﻤﺎ ﯽ‬ ‫ر‬ ‫ﻫﺸﺪار‬ SocialEngineering.ir 1
  2. 2. In God Do we trust ?  God o e t ust ? What about people? h   b   l SocialEngineering.ir 2
  3. 3. ‫رﺋﻮس ﻣﻄﺎﻟﺐ‬ ‫ﻄﺎﻟ‬ ‫ﺗﻌﺮﻳﻒ‬ ‫ﻫﺪف‬ ‫ﭼﺮا از روش ‪ SE‬ﺑﻪ ﺟﺎي ‪ Hack‬اﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻴﻢ؟‬ ‫ﻣﻨﺸﺎ ﺣﻤﻠﻪﻫﺎي ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‬ ‫ﭼﺮﺧﻪ ﺣﻤﻼت ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ‬ ‫ﺗﻜﻨ ﻚ ﻫﺎ و ﺑﺮﺧﻲ از ااﺳﺘﺮاﺗﮋي ﻫﺎي ﻘﺎ ﻠﻪ ﺎ آن ﻫﺎ‬ ‫ﺘ اﺗﮋ ﻫﺎ ﻣﻘﺎﺑﻠﻪ ﺑﺎ آ‬ ‫ﺧ‬ ‫ﺗﻜﻨﻴﻚ‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﻌﻜﻮس‬ ‫ﻓﻴﺲ ﺑﻮك‬ ‫ﻣﻨﺎﺑﻊ‬ ‫‪SocialEngineering.ir‬‬ ‫3‬
  4. 4. ‫ﺗﻌﺮﻳﻒ‬ ‫ﻣﻬﻨﺪﺳﻲ ااﺟﺘﻤﺎﻋﻲ ﻫﻨﺮ ﺑﻬﺮه ﺑﺮداري ااز رﻓﺘﺎرﻫﺎي آﺳﻴﺐ ﭘﺬﻳﺮ ااﻧﺴﺎن ﺎ ﺑﺮاي‬ ‫ﺎ ﻫﺎ ا‬ ‫ﺬ‬ ‫ﻓﺎ ﺎ آ‬ ‫ا‬ ‫ﺎ‬ ‫اﻳﺠﺎد ﺷﻜﺎف اﻣﻨﻴﺘﻲ ﺑﺪون ﻫﻴﭻ ﻇﻦ و ﮔﻤﺎﻧﻲ از ﺳﻮي ﻗﺮﺑﺎﻧﻲ اﺳﺖ.‬ ‫ﻣﻬﺎرﺗﻲ اﺳﺖ ﻛﻪ ﺑﻪ وﺳﻴﻠﻪ ﺷﺨﺼﻲ ﻣﺠﻬﻮل، ﺑﺮاي ﺑﺪﺳﺖ آوردن اﻋﺘﻤﺎد اﻓﺮاد‬ ‫درون ﺳﺎزﻣﺎن و ﺗﺸﻮﻳﻖ آﻧﻬﺎ ﺑﺮاي اﻳﺠﺎد ﺗﻐﻴﻴﺮات دﻟﺨﻮاه در ﺳﻴﺴﺘﻢﻫﺎي ‪IT‬و‬ ‫در ﺟﻬﺖ دﺳﺘﻴﺎﺑﻲ ﺑﻪ ﺣﻖ دﺳﺘﺮﺳﻲ اﺳﺘﻔﺎده ﻣﻲﺷﻮد.)‪(CISSP‬‬ ‫ﻣ‬ ‫دﺳﺘ ﺳ‬ ‫دﺳﺘ ﺎﺑ‬ ‫د‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ، ﺗﻜﻨﻴﻚ ﺑﺪﺳﺖ آوردن اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ ﺑﻪ وﺳﻴﻠﻪ ﺗﺤﺮﻳﻚ‬ ‫ﻛﺎرﺑﺮان ﻣﺠﺎزاﺳﺖ.‬ ‫‪SocialEngineering.ir‬‬ ‫4‬
  5. 5. ‫ﻣﻬﻨﺪس اﺟﺘﻤﺎﻋﻲ اﻧﺴﺎﻧﻬﺎ را ﺑﺎ روشﻫﺎي ﻣﺨﺘﻠﻒ ﻓﺮﻳﺐ داده و ﺑﺎ ﻣﺘﻘﺎﻋﺪ ﻛﺮدﻧﺸﺎن از آﻧﻬﺎ ﺑﺮاي‬ ‫دﺳﺘﻴﺎﺑﻲ ﺑﻪ اﻃﻼﻋﺎت، ﺳﻮء اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ.‬ ‫‪SocialEngineering.ir‬‬ ‫5‬
  6. 6. Kevin Mitnick: “I'm a changed person now. I'm turning my talents and the extensive k th t i knowledge I' l d I've gathered about th d b t information security and social engineering tactics to helping government businesses and individuals government, businesses, prevent, detect, and respond to information‐security threats ” threats. “This book is one more way that I can use my experience to help others avoid the efforts of the malicious information thieves of the world. I think you will find the stories enjoyable, eye‐opening, and educational.” j y , y p g, SocialEngineering.ir 6
  7. 7. ‫ﻫﻨﺮ ﻣﺦ زﻧﻲ ﺑﺎ ﺳﻮء اﺳﺘﻔﺎده ﻛﺮدن از اﻋﺘﻤﺎد ﻣﺮدم ﺟﻬﺖ ﻛﺴﺐ‬ ‫اﻃﻼﻋﺎت ﻣﻄﻠﻮب‬ ‫‪SocialEngineering.ir‬‬ ‫7‬
  8. 8. ‫ﻫﺪف ﺷﺨﺼﻲ‬ ‫ﻣﺎﻧﻨﺪ ﻫﻜﺮﻫﺎ – دﺳﺘﺮﺳﻲ ﻏﻴﺮ ﻣﺠﺎز ﺑﻪ ﺳﻴﺴﺘﻢ ﻫﺎ و اﻃﻼﻋﺎت ﺟﻬﺖ ﻛﻼﻫﺒﺮداري،‬ ‫ﺗﺠﺎ ز و اﺧﺘﻼل در ﺷﺒﻜﻪ، ﺟﺎﺳﻮﺳﻲ، ﻳﺎ ﻣﺨﺘﻞ ﻛﺮدن ﺳﻴﺴﺘﻢ‬ ‫ﺘ‬ ‫ﺨﺘﻞ ﻛ دن‬ ‫د ﺷ ﻜﻪ ﺟﺎ‬ ‫ﺗﺠﺎوز‬ ‫‪SocialEngineering.ir‬‬ ‫8‬
  9. 9. ‫ﻗﺮﺑﺎﻧﻴﺎن‬ ‫ﺎ ﺎ‬ ‫ﺷﺮﻛﺖ ﻫﺎي ﻛﻪ ﺳﺮوﻳﺲ ﺗﻠﻔﻦ اراﺋﻪ ﻣﻲ دﻫﻨﺪ.‬ ‫ﺷﺮﻛﺖ ﻫﺎي ﻣﺎﻟﻲ‬ ‫ﺷ ﻛ ﺎ ﺎﻟ‬ ‫ﺳﺎزﻣﺎن ﻫﺎي دوﻟﺘﻲ‬ ‫ﺑﻴﻤﺎرﺳﺘﺎﻧﻬﺎ‬ ‫ﻧﻜﺘﻪ : ﻋﺪم اراﺋﻪ آﻣﺎر – ﻧﻪ ﺗﻨﻬﺎ ﻧﺸﺎﻧﻪ ﺿﻌﻒ اﺳﺖ ﺑﻠﻜﻪ آﺑﺮو و ﺣﻴﺜﻴﺖ ﺳﺎزﻣﺎن‬ ‫ﻫﻢ ﻣﻲ رود.) ﺑﻪ ﺧﺼﻮص اﮔﺮ از ﻃﺮﻳﻖ ‪ SE‬ﺑﺎﺷﺪ(‬ ‫‪SocialEngineering.ir‬‬ ‫9‬
  10. 10. ‫ﭼﺮا ااز روش ‪ SE‬ﺑﻪ ﺟﺎي ‪ H k‬ااﺳﺘﻔﺎده ﻣﻲ ﻛﻨﻴﻢ؟‬ ‫ﻛ‬ ‫ﺎ‬ ‫ﺎ ‪Hack‬‬ ‫ا‬ ‫‪SocialEngineering.ir‬‬ ‫01‬
  11. 11. SocialEngineering.ir 11
  12. 12. ‫ﻣﻨﺸﺎ ﺣﻤﻠﻪﻫﺎي ﻣﻬﻨﺪﺳﻲ ااﺟﺘﻤﺎﻋﻲ‬ ‫ﺎ‬ ‫ﺎ ﻠ ﺎ‬ ‫داﺧﻠﻲ : اﻛﺜﺮ ﺗﻬﺪﻳﺪﻫﺎي داﺧﻠﻲ از ﺳﻤﺖ ﻛﺎرﻛﻨﺎﻧﻲ ﺻﻮرت ﻣﻲﮔﻴﺮد ﻛﻪ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺑﻪ ﺷﺨﺼﻪ ﻳﺎ ﺑﺑﺎ‬ ‫ﻳ‬ ‫ﻲﻮ‬ ‫ر ﻲ ﻮر ﻲ ﻴﺮ‬ ‫ﻲ ز‬ ‫ﺮ ﻬ ﻳ ي‬ ‫ﻲ‬ ‫اﺳﺘﻔﺎده از ﻛﺎرﻛﻨﺎﻧﻲ ﻛﻪ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎي‪IT‬ﺳﺎزﻣﺎن دﺳﺘﺮﺳﻲ دارﻧﺪ، ﺑﻪ ﺟﻤﻊ آوري اﻃﻼﻋﺎت ﺣﺴﺎس‬ ‫و ﻣﻬﻢ ﺑﭙﺮدازﻧﺪ. ﻛﺎرﻛﻨﺎن ﻧﺎراﺿﻲ، ﻣﻮﻗﺘﻲ و ﻛﺎرﮔﺮان، از ﻗﺒﻴﻞ ﻣﺴﺌﻮﻟﻴﻦ ﻧﻈﺎﻓﺖ و ﭘﺮﺳﻨﻞ ﺗﻌﻤﻴﺮات‬ ‫ﺑﺎﺷﻨﺪ.‬ ‫ﻣﻲﺑﺎﺷﻨﺪ.‬ ‫اﺷﺨﺎص ﻣﻮرد اﻋﺘﻤﺎد : اﻳﻨﮕﻮﻧﻪ ﺗﻬﺪﻳﺪﻫﺎ از ﺳﻤﺖ اﺷﺨﺎﺻﻲ اﺳﺖ ﻛﻪ ﺑﺎ ﺳﺎزﻣﺎن در ﻳﻜﺴﺮي از‬ ‫ﺑﻨﻴﺎنﻫﺎي ﻗﺎﻧﻮﻧﻲ و رﺳﻤﻲ ﻣﺮﺗﺒﻂ ﻣﻲﺑﺎﺷﻨﺪ. اﻳﻦ اﻓﺮاد ﺷﺎﻣﻞ ﭘﻴﻤﺎﻧﻜﺎرﻫﺎ، ﻣﺸﺎورﻳﻦ و ﺷﺮﻛﺎي‬ ‫ﺳﺎزﻣﺎن ﻫﺴﺘﻨﺪ. اﻏﻠﺐ، ااﻳﻦ ااﺷﺨﺎص داراي ﺳﻄﺢ ﺑﺎﻻﻳﻲ ااز ااﻋﺘﻤﺎد ﺳﺎزﻣﺎن ﻣﻲﺑﺎﺷﻨﺪ و ﺑﻨﺎﺑﺮاﻳﻦ ﺑﻪ‬ ‫ﺎ ا‬ ‫ﺎ‬ ‫ﺎ ﺎ ﺎ‬ ‫ا ا ﻄ ﺎﻻ‬ ‫ﺎ‬ ‫اﻏﻠ‬ ‫ﺎ ﺎ‬ ‫دادهﻫﺎي ﺣﺴﺎس و ﻣﻬﻢ ﺳﻴﺴﺘﻢﻫﺎي ﺳﺎزﻣﺎن دﺳﺘﺮﺳﻲ دارﻧﺪ. ﺑﺎ اﻳﻦ ﺣﺎل، اﻳﻦ ﻗﺒﻴﻞ ﻣﺨﺎﻃﺮات‬ ‫ﭘﻨﻬﺎﻧﻲ ﺑﻪ ﻧﺪرت در ﺑﺮﻧﺎﻣﻪﻫﺎي اﻣﻨﻴﺘﻲ ﺳﺎزﻣﺎنﻫﺎ در ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﻧﺪ.‬ ‫ﺧﺎرﺟﻲ : اﻳﻦ ﺗﻬﺪﻳﺪﻫﺎ، از ﺳﻤﺖ اﻧﺴﺎنﻫﺎﻳﻲ اﺳﺖ ﻛﻪ ﻫﻴﭽﮕﻮﻧﻪ ارﺗﺒﺎﻃﻲ ﺑﺎ ﺳﺎزﻣﺎن ﻧﺪارﻧﺪ. اﻳﻦ‬ ‫ﻣﺠﻤﻮﻋﻪ ﺷﺎﻣﻞ ﻫﻜﺮﻫﺎ، رﻗﺒﺎﻳﻲ ﻛﻪ در ﭘﻲ آﺷﻜﺎرﻛﺮدن اﻃﻼﻋﺎت ﻣﺤﺮﻣﺎﻧﻪ ﺳﺎزﻣﺎن ﻫﺴﺘﻨﺪ و ﻳﺎ ﺑﺰه‬ ‫ﻛﺎران و دزدان ﻣﻲﺑﺎﺷﺪ. ﻫﻴﭻ ﺳﻄﺢ اﻋﺘﻤﺎدي ﺑﻴﻦ اﻳﻦ اﻓﺮاد و ﺳﺎزﻣﺎن وﺟﻮد ﻧﺪارد، ﺑﻨﺎﺑﺮاﻳﻦ آﻧﻬﺎ ﺑﻪ‬ ‫دﻧﺒﺎل اﻳﺠﺎد اﻋﺘﻤﺎد ﻛﻮﺗﺎه ﻣﺪت ﺑﺎ اﺳﺘﻔﺎده از ﺗﻜﻨﻴﻚﻫﺎي ﻣﺨﺘﻠﻒ ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻫﺴﺘﻨﺪ ﻣﺎﻧﻨﺪ‬ ‫ﺑﺎزي ﻛﺮدن ﻧﻘﺶ ﻓﺮدي ﻣﺨﺘﺎر درون ﺳﺎزﻣﺎن ﻣﺜﻞ ﻣﺪﻳﺮ ‪ ،IT‬ﺗﻜﻨﺴﻴﻦ ﺗﻌﻤﻴﺮات، ﻛﺎرﻣﻨﺪ درﻣﺎﻧﺪه و‬ ‫ﻏ ه.‬ ‫ﻏﻴﺮه‬ ‫‪SocialEngineering.ir‬‬ ‫21‬
  13. 13. ‫ﭼﺮﺧﻪ ﺣﻤﻼت ﻣﻬﻨﺪﺳﻲ ااﺟﺘﻤﺎﻋﻲ‬ ‫ﺎ‬ ‫ﻼ‬ ‫ﺧ‬ ‫‪SocialEngineering.ir‬‬ ‫31‬
  14. 14. ‫ﺗﻜﻨﻴﻚ ﻫﺎ‬ ‫ﺗﻜ ﻚ ﺎ‬ ‫ﻣﺒﺘﻨﻲ ﺮ ﭙﻴﻮ ﺮ‬ ‫ﺗﻜﻨﻴﻚﻫﺎي ﺒ ﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ‬ ‫ﻴ‬ ‫ﻨ اﻧﺴﺎن‬ ‫ﺗﻜﻨ ﻚﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ اﻧ ﺎن‬ ‫ﺗﻜﻨﻴﻚ‬ ‫‪SocialEngineering.ir‬‬ ‫41‬
  15. 15. ‫ﺗﻜﻨﻴﻚﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎﻣﭙﻴﻮﺗﺮ‬ ‫‪Pop Up‬‬ ‫ﭘﻨﺠﺮهﻫﺎي ‪Pop‐Up‬‬ ‫ﭘﻴﻮﺳﺖ ﻧﺎﻣﻪﻫﺎي اﻟﻜﺘﺮوﻧﻴﻜﻲ‬ ‫ﻫﺮزﻧﺎﻣﻪﻫﺎي زﻧﺠﻴﺮهاي و ﻓﺮﻳﺐ آﻣﻴﺰ‬ ‫وبﮔﺎهﻫﺎ‬ ‫ﺑﺎزﻳﺎﺑﻲ و ﺗﺠﺰﻳﻪ و ﺗﺤﻠﻴﻞ اﺑﺰارﻫﺎي ﻣﺴﺘﻌﻤﻞ‬ ‫‪Phishing‬‬ ‫‪Phi hi‬‬ ‫‪SocialEngineering.ir‬‬ ‫51‬
  16. 16. ‫ﺗﻜﻨﻴﻚﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ اﻧﺴﺎن‬ ‫روﻳﻜﺮد ﻣﺴﺘﻘﻴﻢ‬ ‫‪Help Desk‬‬ ‫ﻗﺴﻤﺘﻲ ااز ﻳﻚ ﻛﻤﭙﺎﻧﻲ ﻳﺎ ﺷﺒﻜﻪ ﻛﻪ ااز ﻣﺸﺘﺮﻳﺎن و ﻛﺎرﺑﺮان در ﻫﻨﮕﺎم ﻣﺸﻜﻼت ﭘﺸﺘﻴﺒﺎﻧﻲ‬ ‫ﮕﺎ ﺸﻜﻼت ﺸﺘ ﺎﻧ‬ ‫ﺸﺘ ﺎ ﻛﺎ ا‬ ‫ﻚ ﻛ ﺎﻧ ﺎ ﺷ ﻜ ﻛ‬ ‫ﻗ ﺘ‬ ‫ﻣﻲ ﻛﻨﺪ و اﻃﻼﻋﺎت ﻻزم را ﻣﻲ دﻫﺪ.‬ ‫‪SocialEngineering.ir‬‬ ‫61‬
  17. 17. SocialEngineering.ir 17
  18. 18. SocialEngineering.ir 18
  19. 19. ‫اﺳﺘﺮاﺗﮋي ﻣﻘﺎﺑﻠﻪ‬ SocialEngineering.ir 19
  20. 20. ‫ﺟﺴﺘﺠﻮ در زﺑﺎﻟﻪﻫﺎ‬ SocialEngineering.ir 20
  21. 21. ‫اﺳﺘﺮاﺗﮋي ﻣﻘﺎﺑﻠﻪ‬ SocialEngineering.ir 21
  22. 22. ‫ﻣﻮارد دﻳﮕﺮ‬ ‫ﺟﻌﻞ ﻫﻮﻳﺖ‬ ‫ﺳﻮء اﺳﺘﻔﺎده از ﻛﺎرﺑﺮان ﻣﻬﻢ‬ ‫ﻛﺎرﻛﻨﺎن ﭘﺸﺘﻴﺒﺎن ﻓﻨﻲ‬ ‫ﺎ ﻓ‬ ‫ﻛﺎ ﻛ ﺎ‬ ‫ﻛﺎرﺑﺮ درﻣﺎﻧﺪه‬ ‫‪Shoulder Surfing‬‬ ‫ﺷﺎﻳﻌﻪ ﭘﺮاﻛﻨﻲ‬ ‫ﭘ اﻛﻨ‬ ‫ﺟﺎﺳﻮﺳﻲ و اﺳﺘﺮاق ﺳﻤﻊ‬ ‫‪SocialEngineering.ir‬‬ ‫22‬
  23. 23. Shoulder Surfing SocialEngineering.ir 23
  24. 24. ‫اﺳﺘﺮاﺗﮋي ﻣﻘﺎﺑﻠﻪ‬ SocialEngineering.ir 24
  25. 25. ‫ﻣﻬﻨﺪﺳﻲ ااﺟﺘﻤﺎﻋﻲ ﻣﻌﻜﻮس‬ ‫ﻜ‬ ‫ﺎ‬ ‫در ﺗﻤﺎم روشﻫﺎﻳﻲ ﻛﻪ ذﻛﺮ ﺷﺪه، ﻣﻬﺎﺟﻢ ﺧﻮد ﺑﻪ ﺳﺮاغ ﻫﺪف رﻓﺘﻪ و از وي ﻛﺎري را درﺧﻮاﺳﺖ‬ ‫ﻣﻲﻛﻨﺪ. اﻣﺎ در اﻳﻦ روش، ﻣﻬﺎﺟﻢ ﺷﺮاﻳﻄﻲ را ﻓﺮاﻫﻢ ﻣﻲآورد ﺗﺎ ﻓﺮد ﻗﺮﺑﺎﻧﻲ، از وي ﺗﻘﺎﺿﺎي ﻛﻤﻚ ﻛﻨﺪ،‬ ‫ﻪ ﻫ ﻦ ﻋﻠﺖ، ا ﻦ ش راا ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﻌﻜﻮس ﻣﻲﻧﺎ ﻨﺪ.‬ ‫ﻧﺎﻣﻨﺪ‬ ‫ﻜ‬ ‫ﺑﻪ ﻫﻤﻴﻦ ﻋﻠﺖ اﻳﻦ روش ﻬﻨﺪ اﺟﺘ ﺎﻋ‬ ‫ﺟﺎده ﺧﻠﻮت و ﺧﺮاﺑﻲ ﻣﺎﺷﻴﻦ‬ ‫ﻣﻬﻨﺪﺳﻲ اﺟﺘﻤﺎﻋﻲ ﻣﻌﻜﻮس ﻧﻴﺰ ﻳﻜﻲ روﺷﻬﺎﻳﻲ ﻣﻲ ﺑﺎﺷﺪ ﻛﻪ در آن ﻧﻔﻮذﮔﺮ ﺑﻌﻀﻲ از ﻣﺸﻜﻼت را ﺑﺮاي‬ ‫ﻛﺎﻣﭙﻴﻮﺗﺮ ﻛﺎرﺑﺮ اﻳﺠﺎد ﻣﻲ ﻛﻨﺪ و ﺧﻮدش ﻫﻢ ﺑﺮاي ﻛﻤﻚ ﻣﻲ آﻳﺪ ) ﻣﺎﻧﻨﺪ اﻳﻨﻜﻪ ﻳﻚ ﻧﻔﺮ آﺗﺸﻲ درﺳﺖ‬ ‫ﻛﻨﺪ و ﺧﻮدش ﻫﻢ ﺑﺮاي ﺧﺎﻣﻮش ﻛﺮدن آن ﻛﻤﻚ ﻛﻨﺪ( . ﻫﻤﻴﻦ اﻣﺮ ﺑﺎﻋﺚ ﻣﻲ ﺷﻮد ﻛﻪ اﻋﺘﻤﺎد ﻛﺎرﺑﺮ را‬ ‫ﺳﺮﻳﻊ ﺗﺮ ﺟﻠﺐ ﻛﻨﺪ و اﻃﻼﻋﺎت ﻻزم را ﺳﺮﻳﻊ ﺗﺮ از او ﺑﮕﻴﺮد. ﺑﺮاي ﻣﺜﺎل ﻣﻬﻨﺪس اﺟﺘﻤﺎﻋﻲ )ﻧﻔﻮذﮔﺮ(‬ ‫ﻣﻤﻜﻦ اﺳﺖ ﻛﻪ ﻣﻴﻠﻲ ﺑﻪ ﻫﻤﺮاه ﺗﺮوﺟﺎﻧﻲ ﻛﻪ ﺑﻪ آن ﺿﻤﻴﻤﻪ ﺷﺪه اﺳﺖ ﺑﺮاي ﻛﺎرﺑﺮ ﻣﻮرد ﻧﻈﺮش ارﺳﺎل‬ ‫ش‬ ‫ن‬ ‫ﻲ‬ ‫ﻲ‬ ‫ﻦ‬ ‫ﻛﻨﺪ و ﭼﻮن ﻛﺎرﺑﺮ ، ﻣﻬﻨﺪس را ﻣﻲ ﺷﻨﺎﺳﺪ و ﺑﻪ آن اﻋﺘﻤﺎد دارد ﺑﺪون اﻳﻨﻜﻪ درﺑﺎره ﻓﺎﻳﻞ ﺿﻤﻴﻤﻪ‬ ‫اﺣﺘﻴﺎط ﻛﻨﺪ ﺑﻪ راﺣﺘﻲ ﻓﺎﻳﻞ ﺿﻤﻴﻤﻪ ﺷﺪه را اﺟﺮا ﻣﻲ ﻛﻨﺪ و ﻳﺎ ﺣﺘﻲ آن را ﺑﺮاي دﻳﮕﺮان ﻧﻴﺰ ارﺳﺎل‬ ‫ﻣﻲ ﻛﻨﺪ.‬ ‫‪SocialEngineering.ir‬‬ ‫52‬
  26. 26. The other important key is to never ask for too much information at a  time, but to ask for a little from each person in order to maintain the  b kf l l f h d h appearance of a comfortable relationship. Most employees want to impress the boss, so they will bend over  M t  l   t t  i  th  b    th   ill b d    backwards to provide required information to anyone in power. It is possible to keep morale high and have a fun company culture without sacrificing security. By slightly changing the rules of the game, the intruders no longer take the wheel. SocialEngineering.ir 26
  27. 27. ‫ﻓﻴﺲ ﺑﻮك‬ ‫ﻫﻤﻴﻦ اﻻن ﻫﻢ در ﺳﺎﻳﺖ ﻓﻴﺲ ﺑﻮك ﺑﻴﺸﺘﺮ ﻫﻜﺮﻫﺎ ﺑﺎ ﻧﮕﺎه ﻛﺮدن ﺑﻪ ﺻﻔﺤﺎت ﺷﺨﺼﻲ اﻓﺮاد و اﻃﻼﻋﺎت‬ ‫ﻣﺮﺑﻮط ﺑﻪ ﺗﺎرﻳﺦ ﺗﻮﻟﺪ و ازدواج و ﻧﺎم ﻓﺮزﻧﺪان و ﻫﻤﺴﺮان اوﻧﻬﺎ ﺑﺮاﺣﺘﻲ اﻛﺜﺮ رﻣﺰﻫﺎي ﻋﺒﻮر رو در ﻣﻴﺎرن.‬ ‫ﻣﻲ ﺑﻴﻨﻴﻦ ﻛﻪ ﺧﻴﻠﻲ ﻣﺴﺌﻠﻪ ﭘﻴﭽﻴﺪه اﻳﻪ ﻫﻢ ﻧﻴﺴﺖ. ﻧﻴﺎز زﻳﺎدي ﻫﻢ ﺑﻪ ﺗﻜﻨﻮﻟﻮژي ﻧﺪارﻳﺪ:-(‬ ‫‪SocialEngineering.ir‬‬ ‫72‬
  28. 28. As developers invent continually better security technologies, making it increasingly difficult to exploit technical vulnerabilities, attackers will turn more and more to exploiting the human element Cracking the human firewall is often easy, requires no investment beyond the cost of a phone call, and involves  minimal risk. SocialEngineering.ir 28
  29. 29. ‫ﺧﻼﺻﻪ‬ ‫ﻣﻬﻨﺪﺳﻲ ااﺟﺘﻤﺎﻋﻲ ﻳﻜﻲ ااز ﺳﺎده ﺗﺮﻳﻦ و ﻋﻤﻮﻣﻲ ﺗﺮﻳﻦ راﻫﻬﺎي ﻧﻔ ذ در ﺷﺒﻜﻪ ﻫﺎي ﻣﻲ ﺑﺎﺷﺪ.‬ ‫ﺎﺷ‬ ‫ا ﺎ ﻧﻔﻮذ ﺷ ﻜ ﺎ‬ ‫ﺗ‬ ‫ﺎ ﺗ‬ ‫ﺎ ﻜ‬ ‫ﺳﺎزﻣﺎﻧﻬﺎي ﺑﺴﻴﺎري وﺟﻮد دارﻧﺪ ﻛﻪ ﺑﺮاي اﻣﻨﻴﺖ ﺷﺒﻜﻪ ﺧﻮد ﭘﻮﻟﻬﺎي ﻓﺮاواﻧﻲ ﺧﺮج ﻣﻲ ﻛﻨﻨﺪ وﻟﻲ‬ ‫ﻫﻨﻮز ﺣﺎﺿﺮ ﻧﻴﺴﺘﻨﺪ ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ » ﺳﻮءاﺳﺘﻔﺎده از ﻓﺎﻛﺘﻮرﻫﺎي اﻧﺴﺎﻧﻲ« ﭘﻮﻟﻲ ﺧﺮج ﻛﻨﻨﺪ.‬ ‫ ‪You could spend a fortune purchasing technology and‬‬ ‫ ‪services...and your network infrastructure could still remain‬‬ ‫.‪vulnerable to old‐fashioned manipulation‬‬ ‫‪l‬‬ ‫‪bl  t   ld f hi‬‬ ‫ ‪d‬‬ ‫‪i l ti‬‬ ‫اﺑﺘﺪا ﺑﺎﻳﺪ ﺑﺮاي ﭘﻴﺸﮕﻴﺮي از اﻳﻦ ﮔﻮﻧﻪ ﺣﻤﻼت، ﺳﻴﺎﺳﺘﻬﺎﻳﻲ را ﺗﺪوﻳﻦ و اﺟﺮا ﻛﺮد. اﻣﺎ ﻣﻬﻤﺘﺮﻳﻦ‬ ‫ﻠﻪ ﺑﺮاي ﭘﻴﺸﮕﻴﺮي، آ زش ﻛﺎ ﻛﻨﺎن ﺳﺎزﻣﺎن ﻣﻲ ﺎﺷﺪ.‬ ‫آﻣﻮزش ﻛﺎرﻛﻨﺎن ﺎز ﺎن ﺑﺎﺷﺪ‬ ‫ﻣﺮﺣﻠﻪ ا ﺸﮕ‬ ‫‪SocialEngineering.ir‬‬ ‫92‬
  30. 30. SocialEngineering.ir 30
  31. 31. ‫ﺧﺬ‬Ĥ ‫ﻣﻨﺎﺑﻊ و‬ ‫ﺧﺬ‬Ĥ‫ﺎ ﻣ‬ Ameritech Consumer Information “Social Engineering Fraud,” http://www.ameritech.com/content/0,3086,92,00.html Anonymous “Social engineering: examples and countermeasures from the real‐world,” Computer  “ l l d f h l ld ” Security Institute http://www.gocsi.com/soceng.htm Arthurs, Wendy: “A Proactive Defence to Social Engineering,” SANS Institute, August 2, 2001. p:// .sa s.o g/ osec Q/soc a /de e ce. http://www.sans.org/infosecFAQ/social/defence.htm Berg, Al: “Al Berg Cracking a Social Engineer,” by, LAN Times Nov. 6, 1995. http://packetstorm.decepticons.org/docs/social‐engineering/soc_eng2.html Bernz 1: “Bernz’s Social Engineering Intro Page” http://packetstorm.decepticons.org/docs/social‐engineering/socintro.html Bernz 2: “The complete Social Engineering FAQ!”  “ h   l  S i l  i i   AQ ” http://packetstorm.decepticons.org/docs/social‐engineering/socialen.txt Harl “People Hacking: The Psychology of Social Engineering” Text of Harl’s Talk at Access All Areas  III, March 7, 1997. p //p p g/ / g g/ http://packetstorm.decepticons.org/docs/social‐engineering/aaatalk.html Mitnick, Kevin: “My first RSA Conference,” SecurityFocus, April 30, 2001 http://www.securityfocus.com/news/199 Orr, Chris “Social Engineering: A Backdoor to the Vault,”, SANS Institute, September 5, 2000 http://www.sans.org/infosecFAQ/social/backdoor.htm Palumbo, John “Social Engineering: What is it, why is so little said about it and what can be done?”,  P l b  J h  “S i l E i i  Wh  i  i   h  i    li l   id  b  i   d  h    b  d ?”   SANS Institute, July 26, 2000 http://www.sans.org/infosecFAQ/social/social.htm SocialEngineering.ir 31
  32. 32. Stevens, George: “Enhancing Defenses Against Social Engineering” SANS Institute, March 26, 2001 http://www.sans.org/infosecFAQ/social/defense_social.htm Tims, Rick  Social Engineering: Policies and Education a Must  SANS Institute, February 16, 2001 Tims  Rick “Social Engineering: Policies and Education a Must” SANS Institute  February 16  2001 http://www.sans.org/infosecFAQ/social/policies.htm Verizon “PBX Social Engineering Scam” 2000 http://www.bellatlantic.com/security/fraud/pbx_scam.htm VIGILANTe “Social Engineering” 2001 g g http://www.vigilante.com/inetsecurity/socialengineering.htm Arthurs, Wendy: “A Proactive Defence to Social Engineering,” SANS Institute, August 2,  2001.http://www.sans.org/infosecFAQ/social/defence.htm Berg, Al: “Cracking a Social Engineer,” LAN Ti B  Al  “C ki    S i l E i ” LAN Times, Nov. 6,   N  6   1995.http://packetstorm.decepticons.org/docs/social‐engineering/soc_eng2.html Fine, Naomi: “A World‐Class Confidential Information and Intellectual Property Protection Strategy”,  Pro‐Tec Data, 1998. http://www.pro‐tecdata.com/articles/world‐class.html Harl:  People Hacking: The Psychology of Social Engineering  Text of Harl s Harl: “People Hacking: The Psychology of Social Engineering” Text of Harl’s Talk at Access All Areas  III, March 7, 1997. http://packetstorm.decepticons.org/docs/social‐engineering/aaatalk.html Nelson, Rick: “Methods of Hacking: Social Engineering,” the Institute for Systems Research,  University of Marylandhttp://www.isr.umd.edu/gemstone/infosec/ver2/papers/socialeng.html Stevens, George: “Enhancing Defenses Against Social Engineering” SANS Institute, March 26,  2001 htt // http://www.sans.org/infosecFAQ/social/defense_social.htm /i f FAQ/ i l/d f i l ht Verizon “PBX Social Engineering Scam”  2000http://www.bellatlantic.com/security/fraud/pbx_scam.htm SocialEngineering.ir 32
  33. 33. Mikael Hermansson & Robert Ravne, “Fighting Social Engineering’’, March  ٢٠٠۵URL:www. dsv. su.  se/en/seclab/pages/pdf‐files/-٢٠٠۵x‐.٢٨١pdf Malcolm Allen, “The use of “Social Engineering” as a means of violating compute systems”,June ٢٠٠۶ URL:http://www.sans.org/rr/paper.php?id=529 URL:http://www sans org/rr/paper php?id 529 Wendy Arthurs, “A proactive defense to Social Engineering”, SANS Institute  ٢٠٠١ URL:http://www.sans.org/rr/paper.php?id=511 Tims, Rick “Social Engineering: Policies and Education a Must” SANS Institute, February ١۶،٢٠٠١ URL:http://www.sans.org/infosecFAQ/social/policies.htm URL:http://www sans org/infosecFAQ/social/policies htm David Gragg, “A multi‐level defense against Social Engineering”, December  ٢٠٠٢URL:http://www. sans.  org/rr/papers/.۵١/٩٢٠pdf NISCC Briefing “Social engineering against information systems: what is it and how do you protect yourself?,  ٠٢June  ٢٠٠۶URL:www.cpni.gouk/docs/SocialEngineering٠٨a ٠۶pdf ٢٠٠۶URL:www cpni gouk/docs/SocialEngineering٠٨a.٠۶pdf Radha Gulati, “The Threat of Social Engineering and Your Defence Against It”, SANSInstitute ٢٠٠٣ URL:http://www.sans.org/rr/papers/index. php?id=١٢٣٢ Granger, Sarah. “Social Engineering Fundamentals, Part I : Hacker Tactics”, December  ٢٠٠١ ,٨ URL:http://www.securityfocus.com/infocus/1527 URL:http://www securityfocus com/infocus/1527 Granger, Sarah. “Social Engineering Fundamentals, Part II : Combat Strategies”. January  ٩،٢٠٠٢ URL:http://www.securityfocus.com/infocus/1533 Sara Gartner “There Are No Secrets: Social Engineering and Privacy”  URL:http://www.gartner.com/gc/webletter/security/issue1/index.html URL:http://www gartner com/gc/webletter/security/issue1/index html Michael Bruck, “A Little‐Known Security Threat” URL:http://www.entrepreneur.com/article/0,4621,309221,00.html Lemos, Robert. “Mitnick teaches ‘Social Engineering’. ” July  .٢٠٠٠ ,١٧ZDNet News.  URL:http://zdnet.com.com/2100522261. html?legacy=zdnn McDowell  Mindi  “Avoiding Social Engineering and Phishing Attacks”, US‐CERT Cyber Security TipST .٠۴-٠١۴ McDowell, Mindi.  Avoiding Social Engineering and Phishing Attacks  US CERT Cyber Security TipST URL:http://www.us‐cert. gov/cas/tips/ST.٠۴-٠١۴html Jason Hiner, “Change your company’s culture to combat Social Engineering attacks”, May  ٢٠٠٢ ,٣٠ URL:http://articles.techrepublic.com.com/5100‐1035_11‐1047991.html SocialEngineering.ir 33

×