زمان مطالعه : 6 دقیقه

مهندسی اجتماعی صرفاً به دنیای دیجیتال که در مقاله قبل با موضوع متد های حملات مهندسی اجتماعی از راه دور محدود نمی‌شود. در واقع، بسیاری از حملات مهندسی اجتماعی با تعامل مستقیم و فیزیکی با افراد هدف صورت می‌گیرد. این نوع حملات، به دلیل ماهیت رو در رو و پیچیدگی‌های روانشناسی انسانی، اغلب بسیار موثرتر هستند.
در این مقاله می خواهیم به اقدامات فیزیکی حملات مهندسی اجتماعی صحبت کنیم و متد های فیزیکی ترند و معروف را برای شما بیان کنیم.

گشتن در زباله‌دان (Dumpster Diving)

گشتن در زباله‌دان یا Dumpster Diving یکی از روش‌های رایج جمع‌آوری اطلاعات در حملات مهندسی اجتماعی است. در این روش، مهاجمان به دنبال یافتن اسناد، تجهیزات یا هرگونه اطلاعاتی هستند که به طور تصادفی یا عمدی دور انداخته شده است. این اطلاعات می‌توانند حاوی اطلاعات حساس مانند رمزهای عبور، شماره‌های کارت اعتباری، طرح‌های تجاری، یا سایر داده‌های محرمانه باشند.

چرا مهاجمان به گشتن در زباله‌دان روی می‌آورند؟

  • سادگی: این روش نسبت به سایر روش‌های نفوذ ساده‌تر و کم‌هزینه‌تر است.
  • اثربخشی: اغلب افراد به اندازه کافی مراقب اسناد و اطلاعاتی که دور می‌اندازند نیستند و این امر باعث می‌شود که اطلاعات ارزشمندی در دسترس مهاجمان قرار گیرد.
  • اطلاعات دقیق: اطلاعاتی که از زباله‌دان‌ها به دست می‌آید، معمولاً دقیق و به روز هستند.

چه اطلاعاتی ممکن است در زباله‌دان‌ها پیدا شود؟

  • اسناد: صورتحساب‌ها، رسید‌ها، یادداشت‌ها، قراردادها، طرح‌های تجاری و هرگونه سند دیگری که حاوی اطلاعات حساس باشد.
  • تجهیزات: هارد دیسک‌ها، فلش مموری‌ها، تلفن‌های همراه و سایر دستگاه‌های الکترونیکی که ممکن است حاوی اطلاعات حساس باشند.
  • کارت‌های شناسایی: کارت‌های ویزیت، کارت‌های شناسایی شرکت، کارت‌های اعتباری و سایر کارت‌هایی که حاوی اطلاعات شخصی باشند.

چگونه از گشتن در زباله‌دان جلوگیری کنیم؟

  • تخریب اسناد: قبل از دور انداختن اسناد، آن‌ها را به طور کامل از بین ببرید. می‌توانید از دستگاه‌های خردکن اسناد یا روش‌های شیمیایی برای این کار استفاده کنید.
  • تمیز کردن دستگاه‌ها: قبل از دور انداختن دستگاه‌های الکترونیکی، تمام داده‌های موجود در آن‌ها را به طور کامل پاک کنید.
  • آموزش کارکنان: کارکنان را در مورد اهمیت محافظت از اطلاعات و خطرات ناشی از دور انداختن بی‌دقت اسناد آموزش دهید.
  • سیاست‌های امنیتی: تدوین سیاست‌های امنیتی مشخص در مورد مدیریت اسناد و اطلاعات.

تیل‌گیتینگ (Tailgating)

تیل‌گیتینگ یا دنباله‌روی یکی از ساده‌ترین و در عین حال موثرترین تکنیک‌های نفوذ فیزیکی در حملات مهندسی اجتماعی است. در این روش، مهاجم با دنبال کردن فردی که به طور قانونی وارد یک ساختمان یا منطقه محصور شده می‌شود، بدون اینکه خود مجوز ورود داشته باشد، وارد می‌شود.

تیل‌گیتینگ (Tailgating)

چگونه Tailgating انجام می‌شود؟

  • انتخاب هدف: مهاجم فردی را انتخاب می‌کند که به نظر می‌رسد به منطقه مورد نظر دسترسی قانونی دارد.
  • دنبال کردن: مهاجم به طور نامحسوس از فرد هدف پیروی می‌کند و سعی می‌کند در زمان مناسب و بدون جلب توجه وارد شود.
  • استفاده از فرصت‌ها: مهاجم از هر فرصتی برای ورود استفاده می‌کند، مثلاً زمانی که در را برای فرد دیگری باز می‌کنند یا زمانی که فرد هدف مشغول صحبت کردن با کسی است.

چرا تیل‌گیتینگ موثر است؟

  • سادگی: این روش به تجهیزات خاصی نیاز ندارد و اجرای آن بسیار آسان است.
  • اثربخشی: با موفقیت در این روش، مهاجم می‌تواند به راحتی به مناطق محدود دسترسی پیدا کند.
  • کمک گرفتن از عوامل انسانی: این روش از اعتماد افراد و اشتباهات انسانی سوء استفاده می‌کند.

چگونه از Tailgating جلوگیری کنیم؟

  • آگاهی‌سازی کارکنان: کارکنان را آموزش دهید تا به افراد غریبه‌ای که سعی در ورود به ساختمان دارند، مشکوک باشند.
  • سیستم‌های کنترل دسترسی: از سیستم‌های کنترل دسترسی کارآمد مانند کارت‌های هوشمند، سیستم‌های تشخیص چهره و یا سیستم‌های کنترل تردد استفاده کنید.
  • نظارت تصویری: از دوربین‌های مداربسته برای نظارت بر ورودی‌ها و خروجی‌های ساختمان استفاده کنید.
  • درب‌های امن: از درب‌های امن و مقاوم در برابر نفوذ استفاده کنید.
  • قفل‌های الکترونیکی: از قفل‌های الکترونیکی با سیستم‌های دسترسی چند عاملی استفاده کنید.

پیگی‌بکینگ (Piggybacking)

پیگی‌بکینگ در مهندسی اجتماعی به عملی گفته می‌شود که در آن مهاجم، بدون مجوز و اغلب به صورت مخفیانه، از دسترسی یا اعتبار فرد دیگری برای ورود به یک سیستم یا مکان استفاده می‌کند. این روش، مانند سوار شدن فردی بر پشت حیوان دیگری برای رسیدن به مقصد، به مهاجم اجازه می‌دهد تا بدون گذراندن مراحل احراز هویت معمول، به اهداف خود دست یابد.

انواع Piggybacking در مهندسی اجتماعی:

  • پیگی‌بکینگ فیزیکی:
    • دنبال کردن افراد مجاز: مهاجم با دنبال کردن کارمندی که به یک ساختمان وارد می‌شود، از در ورودی عبور کرده و به مناطق محدود دسترسی پیدا می‌کند.
    • استفاده از کارت دسترسی دیگران: مهاجم با پیدا کردن یا کپی کردن کارت دسترسی یک کارمند، به عنوان آن فرد وارد ساختمان می‌شود.
  • پیگی‌بکینگ منطقی:
    • استفاده از سشن‌های فعال: مهاجم با استفاده از یک سشن فعال و باز، به سیستم یا شبکه‌ای نفوذ می‌کند.
    • سوء استفاده از اشتراک رمز عبور: مهاجم با استفاده از رمز عبوری که به اشتراک گذاشته شده است، به سیستم وارد می‌شود.

دلایل موفقیت پیگی‌بکینگ:

  • اعتماد: افراد تمایل دارند به همکاران و افرادی که می‌شناسند اعتماد کنند و از آن‌ها پیروی کنند.
  • عجله: در محیط‌های شلوغ و پر رفت و آمد، افراد ممکن است برای ورود به ساختمان عجله داشته باشند و به افراد پشت سر خود توجه نکنند.
  • عدم آگاهی: بسیاری از افراد از خطر پیگی‌بکینگ آگاه نیستند و اقدامات احتیاطی لازم را انجام نمی‌دهند.

روش‌های مقابله با Piggybacking :

  • آموزش آگاهی‌سازی: آموزش به کارکنان در مورد خطرات پیگی‌بکینگ و اهمیت حفظ امنیت کارت‌های دسترسی.
  • سیستم‌های کنترل دسترسی: استفاده از سیستم‌های کنترل دسترسی قوی، مانند کارت‌های هوشمند، سیستم‌های تشخیص چهره و یا سیستم‌های نظارتی.
  • نظارت بر ورود و خروج: نظارت بر ورود و خروج افراد به ساختمان و بررسی کارت‌های دسترسی.
  • آگاهی از محیط اطراف: کارکنان باید همیشه از محیط اطراف خود آگاه باشند و به افراد مشکوک توجه کنند.

تفاوت Tailgating و Piggybacking در مهندسی اجتماعی

در حالی که هر دو تکنیک Tailgating و Piggybacking برای نفوذ به سیستم‌ها و مکان‌ها استفاده می‌شوند، Tailgating بیشتر بر روی اقدام فیزیکی و دنبال کردن فرد مجاز تمرکز دارد، در حالی که Piggybacking بر روی استفاده از اعتبار یا دسترسی فرد دیگری تاکید دارد.

تفاوت Tailgating و Piggybacking در مهندسی اجتماعی

نگاه از روی شانه (Shoulder Surfing)

شولدر سرفینگ یا نگاه از روی شانه یکی از ساده‌ترین و در عین حال موثرترین تکنیک‌های مهندسی اجتماعی است. در این روش، مهاجم با مشاهده‌ی اعمالی که فرد در حال انجام آن است، به اطلاعات حساس او دسترسی پیدا می‌کند.

نگاه از روی شانه (Shoulder Surfing)

چگونه شولدر سرفینگ انجام می‌شود؟

  • مشاهده‌ی رمز عبور: مهاجم با ایستادن در کنار فردی که در حال تایپ رمز عبور بر روی کیبورد است، رمز عبور را مشاهده می‌کند. این کار می‌تواند در مکان‌های عمومی مانند کافی‌شاپ‌ها، فرودگاه‌ها یا حتی محیط‌های کاری انجام شود.
  • مشاهده‌ی اطلاعات روی صفحه نمایش: مهاجم با نگاه کردن به صفحه‌ی نمایش دستگاهی که فرد در حال استفاده از آن است، می‌تواند به اطلاعات حساس مانند شماره کارت اعتباری، رمز عبور یا سایر داده‌های شخصی دسترسی پیدا کند.
  • مشاهده‌ی اسناد: مهاجم با نگاه کردن به اسنادی که فرد در دست دارد یا بر روی میز کار خود قرار داده است، می‌تواند به اطلاعات محرمانه دسترسی پیدا کند.
نگاه از روی شانه (Shoulder Surfing)

چرا شولدر سرفینگ موثر است؟

  • سادگی: این روش به تجهیزات خاصی نیاز ندارد و تنها به کمی حواس‌پرتی فرد هدف نیاز دارد.
  • موثر بودن: با استفاده از این روش می‌توان به راحتی به اطلاعات حساس دسترسی پیدا کرد.
  • کم‌هزینه بودن: این روش هزینه بسیار کمی دارد و به همین دلیل توسط بسیاری از مهاجمان مورد استفاده قرار می‌گیرد.

چگونه از شولدر سرفینگ جلوگیری کنیم؟

  • محافظت از صفحه نمایش: هنگام استفاده از دستگاه‌های الکترونیکی در مکان‌های عمومی، از محافظ صفحه نمایش استفاده کنید تا مانع از مشاهده‌ی اطلاعات توسط دیگران شود.
  • پوشاندن کیبورد: هنگام تایپ رمز عبور، کیبورد را با دست خود بپوشانید.
  • توجه به اطراف: همیشه به اطراف خود توجه کنید و از افرادی که به نظر می‌رسد به شما نگاه می‌کنند، دوری کنید.
  • استفاده از VPN: برای افزایش امنیت ارتباطات خود، از یک شبکه خصوصی مجازی (VPN) استفاده کنید.
  • آموزش آگاهی‌سازی: به کارکنان خود آموزش دهید که در هنگام استفاده از دستگاه‌های الکترونیکی در مکان‌های عمومی، مراقب اطراف خود باشند.