مهندسی اجتماعی (  Social engineering  ) ، هم بسیار پیچیده و هم بی‌نهایت ساده است اما واقعاً این عبارت چه معنایی دارد؟

مهندسی اجتماعی درواقع به معنای کار روی یک شخص، باهدف ترغیب وی به انجام کارهایی برای حصول فرد ترغیب‌کننده به اهدافی چون دستیابی به داده‌ها، اطلاعات دسترسی یا دستکاری سیستم یا شبکه هدف برای انجام کاری خاص تعریف می‌شود. 

به واسطه طبیعت رازگونه این مهارت تاریک، معمولاً افراد از آن گریزان بوده و احساس می‌کنند قادر به اجرای یک آزمون موفق مهندسی اجتماعی نمی‌باشند. اگرچه هر زمان که شما سعی در وادار نمودن کسی به انجام کار موردنظر خود نمایید، یک عمل مهندسی اجتماعی را انجام داده‌اید. از یک کودک که سعی در وادار نمودن والدین به خرید اسباب‌بازی موردنظر خود می‌نماید تا تلاش افراد بزرگسال برای بدست آوردن یک شغل یا ارتقاء شغلی، همگی شکلی از مهندسی اجتماعی را در برمی‌گیرند.
مهندسی اجتماعی، از ضعیف‌ترین اتصال در خطوط دفاعی امنیت اطلاعات هر سازمان، یعنی نیروی انسانی بهره‌گیری می‌نماید. به زبان ساده، مهندسی اجتماعی، به معنای «هک کردن» افراد بوده و با سوءاستفاده از طبیعت اعتماد متقابل بین انسان‌ها، به اطلاعاتی که می‌توانند برای کسب منا فع شخصی مورد استفاده قرار گیرند، دستیابی حاصل می‌گردد. 

• اصول مهندسی اجتماعی

  هکرها معمولاً وانمود می‌کنند شخص دیگری هستند تا بتوانند به اطلاعاتی دسترسی پیدا کنند که در غیراین صورت برای آنها غیرقابل دسترسی خواهند بود. آنها اطلاعات بدست آمده از قربانیان خود را جمع‌آوری کرده و به منابع شبکه حمله می‌کنند، فایل‌ها را سرقت یا حذف می‌نمایند و حتی اقدام به جاسوسی صنعتی یا سایر انواع جرائم بر علیه سازمان‌هایی که مورد حمله قرار داده‌اند، می‌کنند. مهندسی اجتماعی با مشکلات امنیت فیزیکی نظیر جاسوسی سیستم‌ها (مثلاً سرک کشیدن برای مشاهده کلمه عبور کارمندی که درحال Login به سیستم می‌باشد) یا جستجوی زباله‌ها (برای یافتن اطلاعاتی که سهواً یا عمداً به عنوان زباله دفع شده‌اند) تفاوت دارد. با این‌حال، این دو فرآیند با یکدیگر مرتبط هستند.
در اینجا به مثال‌هائی از مهندسی اجتماعی اشاره می‌کنیم:
– پرسنل جعلی پشتیبانی، ادعا می‌کنند که باید یک وصله یا نسخه دیدی از نرم‌افزار را بر روی کامپیوتر یک کاربر نصب نمایند، کاربر را قانع می‌کنند تا نرم‌افزاری را بارگذاری کند و نهایتاً، کنترل سیستم او را از راه دور بدست می‌آورند.
– فروشندگان کاذب، ادعا می‌کنند که باید ارتقاء‌هایی را بر روی بسته حسابداری سازمان و یا سیستم تلفن آن اعمال نمایند، بنابراین کلمه عبور سرپرستی را سئوال کرده و دسترسی کامل به سیستم را بدست می‌آورند.
– نامه‌های الکترونیکی Phishing که توسط هکرها ارسال شده‌اند، ID کاربری و کلمات عبور دریافت‌کنندگان زود باور را جمع‌آوری می‌کنند. سپس، هکرها از این کلمات عبور برای کسب دسترسی به حساب‌های بانکی و سایر اطلاعات مهم استفاده می‌کنند.
– کارکنان جعلی، به بخش امنیت سازمان اطلاع می‌دهند که کلیدهای خود برای ورود به اتاق کامپیوتر را گم کرده‌اند، مجموعه‌ای از این کلیدها را دریافت کرده و دسترسی غیرمجاز به اطلاعات فیزیکی و الکترونیکی را بدست می‌آورند.
مهندسین اجتماعی، گاهی‌اوقات هویت کارکنان دارای نفوذ و مطلع (نظیر مدیران و معاونین) را جعل می‌کنند. در مواردی نیز ممکن است آنها نقش کارکنان فوق‌العاده بی‌اطلاع و ساده‌لوح را بازی کنند. برحسب اینکه آنها درحال صحبت کردن با چه کسی هستند، غالباً از یک حالت به حالت دیگر سوئیچ می‌کنند. محافظت کارآمد از اطلاعات (خصوصاً امنیتی که برای مقابله با مهندسی اجتماعی به آن نیاز دارید)، از کاربران شما آغاز شده و به آنها ختم می‌گردد. شما در بخش‌های مختلف این سری مقالات با توصیه‌های فنی کاملی مواجه می‌شوید، اما هیچ‌گاه فراموش نکنید که ارتباطات و تعامل ساده انسانی نیز بر سطح امنیت سازمان شما تأثیر خواهد گذاشت. قاعده «امنیت آبنباتی» بیان می‌دارد که: بخش سخت در خارج و بخش نرم در داخل طراحی شود. بخش سخت خارجی شامل لایه مکانیزم‌ها (نظیر فایروال، سیستم‌های تشخیص نفوذ و رمزگذاری) است که سازمان‌ها برای حفاظت از اطلاعات خود به‌آنها تکیه می‌کنند. بخش نرم داخلی شامل افراد و سیستم‌های داخل سازمان است. اگر هکرها بتوانند از لایه ضخیم‌تر خارجی عبور کنند، می‌توانند لایه (غالباً) بی‌دفاع داخلی را به زانو درآورند.
مهندسی اجتماعی، یکی از دشوارترین تکنیک‌های هک به حساب می‌آید، زیرا به مهارت فوق‌العاده‌ای برای جلب اعتماد یک فرد بیگانه نیاز دارد. ازسوی دیگر، این شیوه یکی از دشوارترین تکنیک‌های هک از دیدگاه مقابله با آن است، زیرا با مردم سروکار دارد.