مراقب باشید ،هک نشوید

شاید برای اولین بار است که کلمه مهندسی اجتماعی به گوشتان می خورد، Social engineering، هم بسیار پیچیده و هم بی‌نهایت ساده است. مهندسی اجتماعی به مجموعه تکنیک هایی اطلاق می شود که فرد مهاجم با استفاده از آن ، از اشتباهات انسانی یک فرد در یک شبکه یا یک سازمان استفاده کرده و به اطلاعات و اهداف خود دست پیدا می کند به عبارت دیگر " به کار گیری انسان ها با استفاده از فریب دادن آن ها، به منظور به دست آوردن اطلاعات یا انجام یک عمل غیر قانونی".

در واقع بسیاری از انسان ها از این تکنیک ها در مقابل یکدیگر نیز استفاده می کنند و در واقع آن ها یك عمل مهندسی اجتماعی را انجام داده اند. از یك كودك كه سعی در وادار نمودن والدین به خرید اسباب‌بازی موردنظر خود می‌نماید تا تلاش افراد بزرگسال برای بدست آوردن یك شغل یا رسیدن به یک هدف خاص، همگی شكلی از مهندسی اجتماعی را در برمی‌گیرند، اما در واقع هدف آن ها ماهیت آن را مشخص می کند. 

مثالی از یک تکنیک ساده مهندسی اجتماعی بزنیم تا برای شما روشن تر شود. شما در دفتر کارتان در اداره نشسته اید و مشغول کار هستید. تلفن زنگ می زند. گوشی را برمی دارید. من  مسئول جدید فناوری اطلاعات شرکت یا سازمان شما هستم . به شما گفته می شود در حال انجام تغییراتی روی سیستم مدیریت نامه های اداری هستیم و از شما می خواهم که هم اکنون رمز عبور حساب کاربری تان را تغییر داده و به من اعلام کنید.

مهندسی اجتماعی، از ضعیف‌ترین حلقه ارتباطی در خطوط دفاعی امنیت اطلاعات هر سازمان، یعنی  خود انسان ها بهره‌گیری می‌نماید. در واقع، مهندسی اجتماعی، به معنای «هك كردن» افراد بوده و با سوءاستفاده از طبیعت اعتماد متقابل بین انسان‌ها، به اطلاعاتی كه می‌توانند برای كسب منا فع شخصی مورد استفاده قرار گیرند، دستیابی حاصل می‌گردد. 

برای درک راههای ممکن در مورد امنیت مان در سازمان و یا شبکه خود ضروری است که آسیب پذیری هایمان را به روش اصولی ارزیابی کنیم. بدون این شیوه سیستماتیک، در خطر از دست دادن یا اتلاف سرمایه در بخش هایی هستیم که برای امیت آن ها فکر اساسی نکرده ایم. اگر تهدید های سازمانی و آسیب های انسانی را که سازمان با آن مواجه است، به درستی درک کنید، آنگاه قادر به ایجاد بهبود هایی خواهید بود که بالاترین ارزش اقتصادی را برای شما خواهد داشت.

با این وجود ویژگی  های بسیاری در انسان ها وجود دارد که قابل مدل سازی است و می تواند شناخت ما را نیز افزایش دهد و نیز در پیش بینی رفتار انسان ها هنگامی که با یک حمله مهندسی اجتماعی روبه رو می شود،کمک کند.

کلاهبردارها، هکرها و متقلبان نیز این موضوع را به خوبی درک می کنند.آنها از دانش شناخت ضعف های انسانی که راهنمایی کننده حملات پیچیده تر و جدیدتر است، استفاده می کنند.

از آن جهت که موفقیت این حملات تضمین شده نیست، اساسا مخاطرات جدی را برای فرد مهاجم ایجاد نمی کند .

امنیت هر چند هیچگاه صد در صد نیست اما با این وجود باید به اندازه کافی ایجاد شود، که این امر اصل اساسی در پایداری سیستم ها است.

هدف اصلی مهندسی اجتماعی ایجاد اعتماد است که اجرای آن حملات را ممکن می سازد. بنابراین ضروری است که به طور کامل فرآیندهایی که اعتماد ایجاد می کنند را درک کنیم.

برای اینکه سازمان به طور موثر عمل کند،لازم است که اطلاعات بین افراد در موقعیت های مختلف ذخیره شود.با این وجود برای درک و حفظ خودمان از حمله های مهندسی اجتماعی مهم است که درک کنیم کجا نباید اعتماد کرد.

ما همچنین باید نشان دهیم که پایه های اعتماد چقدر شکننده است و چطور به آسانی مورد حمله هدف حمله مهندسی اجتماعی قرار میگیرد. برای مثال کارمندان سازمان و یا شرکت را مورد آزمایش تکنیک های مهندسی اجتماعی قرار دهیم و آن ها را در برابر اینگونه از خطرات امنیتی آگاه و آماده سازیم.

متخصصان امنیت در حوزه فناوری اطلاعات روش های آزمایش شده ای را مانند زیر ارائه نموده اند:

**شناسایی خطرات

**شناخت آسیب پذیری

**به دست آوردن اطلاعات جدید با توجه به آسیب ها

** تدوین اقدامات مقابله ای هدفمن بر مبنای ارزیابی خطرها

روش های زیادی را کارشناسان حوزه امنیت در فناوری اطلاعات در مقابله با تکنیک های مهندسی اجتماعی و آمادگی در برابر آن معرفی کرده اند اما کارکرد همه این روش ها به آگاهی و آموزش افراد سازمان منتهی می شود.

گرد هم آوردن جمعی از کارمندان برای برگزاری جلسات آموزشی حضوری و تعاملی یکی از موثرترین راههای توسعه ی امنیت اطلاعات به شمار می ورد. 

بسیاری از سازمان ها،حتی با اتخاذ رویکرد اساسی برای امنیت اطلاعات،در برنامه توجیهی کارکنان جدید دوره هایی را برای آموزش و ایجاد آگاهی در نظر می گیرند. این دوره ها ممکن است به صورت یک دوره اضافی به برنامه ی توجیهی فناوری اطلاعات کارکنان برگزار شود تا به صورت بخشی از روند کلی،از جمله روال امنیت فیزیکی

بی تردید، توجیه کارکنان جدید و پایه ریزی بخش های مهم محیط کاری جدیدشان که باید از آنها مطلع شوند، حائز اهمیت است.

این جمله یک اصل در امنیت یک شبکه یا یک سازمان همیشه صادق است که " امنیت مجموعه ای از حلقه هاست، که تزلزل در یک نقطه با عث میشود کل مجموعه با خطر مواجه شود"

بسیاری از پیشرفت های امنیت اطلاعات بر روی اقدامات مقابله ای فنی معطوف است، زیرا این موارد نسبتا ساده تر هستند. منظور ما از ذکر این نکات بی اهمیت بودن چالش های فنی در امنیت اطلاعات نیست، اما با مهارت های فنی مناسب،سیستم های پشتیبانی و تکنولوژی مناسب همه مشکلات فنی قابل حل نیست. انسان ها پیچیده تر و کمتر شناخته شده هستند و چالش بزرگتری در نفوذپذیری های امنیتی به شمار می آیند.