هکرهای ایرانی با یک اکانت جعلی اما بسیار متقاعد کننده فیسبوک موفق شدند به شبکه شرکت معظم Deloitte نفوذ کنند
یکشنبه، دوشنبه و سه شنبه هفته ای که گذشت سمیناری با موضوع «چرا امنیت اطلاعات؟» در محل شرکت برگزار شد و مورد توجه همکاران قرار گرفت. بحثها و گفتگوهای مختلفی انجام شد اما شاید بتوان ادعا کرد جالب ترین قسمت ارائه، بخش «مهندسی اجتماعی» بود. در اون سمینار من سعی کردم با ذکر مثالهایی ویدیوئی روشهای مختلفی از مهندسی اجتماعی رو برای حضار نشون بدم. امروز میخوام یه مثال جالب براتون بیارم که همین ماه اخیر اتفاق افتاده و شرکت هک شده هنوز درگیر رتق و فتق امور پس از هکه!
موضوع از این قراره که گروه هکری بنام OilRig که طبق تحقیقات ایرانی یا وابسته به ایران هستند با ساختن یک اکانت جعلی فیسبوک تونستن یکی از کارمندان شرکت هدف، یعنی Deloitte، رو متقاعد کنن که فایلی رو روی سیستمش دانلود کنه. تمام!
الان یکم موشکافی خوبه خدا وکیلی.
شرح اقدامات هکرها رو بخونین:
۱- انتخاب یک چهره واقعی حاضر در فضای مجازی که خیلی هم برای آمریکایی ها شناخته شده نباشه اما در عوض همه عکسها و اطلاعات شخصیش واقعی باشه. خانم Cristina Mattei عکاس رومانیایی به عنوان هدف انتخاب شد.
۲- اکانت جعلی فیسبوک با نام ساختگی Mia Ash با تصاویر و اطلاعات خانم Mattei ساخته شد. سپس با همین نام ساختگی اکانتهای WhatsApp، LinkedIn، Instagram و غیره براش ساخته شد. هدف از این کار این بوده که کارمند شرکت Deloitte به جعلی بودن Mia Ash شک نکنه!
۳- یکی از کارمندان مرد شرکت Deloitte که اتفاقاً کارمند بخش امنیت هم بوده (احیاناً الان دارین به من می خندین) انتخاب میشه و باهاش رابطه فضای مجازی از طریق فیسبوک شروع و سپس به WhatsApp، LinkedIn و اینستا کشیده میشه.
۴- هکرها با روشهای مهندسی اجتماعی رابطه مجازی رو مدام تشدید میکنن بشکلی که خود آقای کارمند آماده یه پیشنهاد خارج از عرف باشه. حالا دیگه Mia Ash که ظاهر دوست داشتنی و بیگناهی داره کاملا دل آقای کارمند امنیت رو برده و به ذهنش نفوذ کرده. پس ازش درخواست کمک می کنه مبنی بر اینکه باید یک وبسایت راه اندازی کنه ولی بلد نیست. آقای کارمند هم خودش به دوست عزیز مجازیش پیشنهاد میده که براش سایت رو راه میندازه و از Mia میخواد فایلاشو بفرسته. اونم میفرسته البته به همراه ویروسها و تروجانهای لازمه! تمام…
در این حمله حساب شده چند نکته جالب هست. اول اینکه به صرف داشتن پروفایل به ظاهر معتبر نمیشه به هر موجودی اعتماد کرد حتی اگه چند تا پروفایل به ظاهر معتبر داشته باشه که بهم لینک هم شده باشن. دوم اینکه مسائل جنسیتی و روحی-روانی نقش مهمی در آسیب پذیری انسانها داره. مثلا در این مورد خاص اگه آقای کارمند محکم تر بود و محو حرکات دلبرانه Mia نمیشد و یا اینکه حداقل سایت دوستش رو بجای محل کار تو خونه خودش راه اندازی میکرد الان این اتفاق نمی افتاد. پس همه ما انسانیم و مخلوطی از احساس و منطق اما خرد و بصیرت همین انسان شکننده رو از افتادن در ورطه نابودی نجات میده. سوم نقش بی چون و چرای شبکه های اجتماعیست و اینکه این ماهیت های مجازی مدام بزرگ و بهم متصل میشن. یعنی هر محتوایی که ما تو یکی از این شبکه ها قرار میدیم، قابل اتصال و استفاده در دیگر شبکه های مجازی رو داره. من افرادی رو میشناسم که اگه بتونی رمز فیسبوکشون رو در بیاری اونوقت اینستاگرام، جی میل، لینکداین، کارتهای اعتباری، پین کد موبایل، اینترنت بانک و کلا دار و ندارشون رو خواهی داشت! نکته بعدی پیام شیر بچه های ایرانی برای دنیاست تا بدونن که ضربه بزنن ضربه خواهند خورد. زدی ضربتی، ضربتی نوش کن.
تصویری از پروفایل جعلی Mia Ash که با سرقت تصاویر عکاس رومانیایی Cristina Mattei ساخته شده.
و نکته آخر… وسعت حملات مهندسی اجتماعی به اندازه وسعت ذهن انسانه. هر چقدر بشر بیشتر روی ذهن خودش مطالعه میکنه بیشتر میفهمه چیزی ازش نمیدونه. هر روز ابعاد بیشتری در مطالعات انسان شناسی، خودشناسی، خود آگاه و ناخودآگاه، علوم شناختی (cognitive science) و روان شناسی برای بشر رو میشه. بنابراین باید نسبت به مخاطرات ناشی از حملات مهندسی اجتماعی آگاهی داشت. شاید بشه گفت مهندسی اجتماعی یک هنره؛ هنر هک مغز انسان!
برگرفته از [forbes.com]
