مهندسي اجتماعي در اغلب مقالات بهعنوان «هنر و علم موافق كردن ديگران با خواست خود»، يا «استفاده هكر از ترفندهاي روانشناسي برروي كاربران معتبر يك سيستم رايانهيي براي رسيدن به اطلاعاتي كه براي دسترسي به سيستم مورد نياز است»، مطرح شده اما چيزي كه همه در مورد آن توافق دارند اين است كه مهندسي اجتماعي عموما مهارت هوشمندانه فرد هكر در جلب اعتماد و نظر كاربر قرباني است.
هدف هكر اين است كه اطلاعاتي را بهدست آورد كه به وي اجازه خواهد داد تا به يك سيستم ارزشمند و اطلاعات آن بدون مجوز دسترسي داشته باشد.
اهداف اوليه مهندسي اجتماعي بر اساس گزارشي كه از سوي مركز مديريت امداد و عمليات رخدادهاي راياهيي كشور (ماهر)، منتشر شده، شبيه اهداف هك بوده و عبارت است از بهدست آوردن دسترسي بدون مجوز به سيستم يا اطلاعات براي كلاهبرداري، نفوذ به شبكه، جاسوسي صنعتي، سرقت هويت و يا از كار انداختن يك سيستم يا يك شبكه.
اهداف نوعي نيز شامل شركتهاي تلفن، شركتهاي صاحب نام و موسسات تجاري، آژانسهاي نظامي و دولتي و بيمارستانها ميباشند. البته اين حملات در بسياري موارد اهداف كوچكتري را نيز شامل ميشوند.
اما در مورد اينكه چرا حملات مهندسي اجتماعي مورد علاقه هكرها هستند، بايد به اين نكته اشاره كرد كه اصولا، پرسيدن كلمه عبور يك نفر به مراتب آسانتر از استفاده از روشهاي پيچيده فني و بهدست آوردن كلمه عبور وي است.
يك مهندس اجتماعي فردي است كه با استفاده از فريب، تشويق، و اثر گذاري سعي ميكند به اطلاعاتي كه در دسترس وي نيست دست پيدا كند. اين حقيقت كه هميشه كسي هست كه اطلاعات را لو بدهد، به مهندسان اجتماعي اين فرصت را ميدهد كه اغلب مراكز داده امن را در جهان گير بيندازند.
مهندسي اجتماعي چيزي بيش از جلب اعتماد طرف مقابل و گول زدن وي است، بلكه شامل درك روانشناسي انسان و داشتن يك حركت روشمند در تاثير گذاري بر افراد است تا بتوان اطلاعات حساس و يا دسترسي بدون مجوز را از طريق آنها بدست آورد.
* يادگيري زبان شركت شما
يك مهندس اجتماعي زبان شركت هدف خود را مطالعه كرده و قادر خواهد بود از آن به خوبي استفاده كند. اگر كسي بتواند از كلمات، عبارات و واژههايي كه شما در محيط كار به شنيدن آنها عادت داريد استفاده كند، قطعا شما راحتتر به وي اعتماد كرده و اطلاعات مورد نظر را به او تسليم خواهيد كرد. اين ترفند چه بهوسيله تلفن و چه بهوسيله ايميل از اهميت ويژهاي برخوردار است.
* استفاده از موسيقي hold شركت
فريبكاران موفق به زمان، حوصله و استقامت نياز دارند. مهاجمان اغلب به آرامي و روشمند كار خود را انجام ميدهند. آنها براي انجام كار خود، به جزئيات شخصي در مورد افراد و نيز جمعآوري يك سري شگردهاي اجتماعي احتياج دارند تا بتوانند هدف خود را اقناع كنند تا وي باور كند كه آنها نيز يكي از كارمندان همين سازمان هستند.
يك روش موفق در اين مورد، استفاده از موسيقي hold در تلفن است كه آن شركت در زماني كه ميخواهد تماس گيرندهها را پشت خط نگه دارد، از آن استفاده ميكند.
فرد مجرم با شركت تماس گرفته و موسيقي hold را ضبط كرده و سپس، از آن براي مقاصد خود استفاده ميكند. وقتي اين فرد با قرباني تماس ميگيرد، پس از مدت كوتاهي صحبت مدعي ميشود كه خط ديگرش در حال تماس است و قرباني را پشت خط نگه ميدارد. فرد قرباني با شنيدن موسيقي hold كه هميشه در شركت آنها مورد استفاده قرار ميگيرد، راحتتر به فرد مهاجم اعتماد ميكند. اين يك شگرد رواني است.
* جعل شماره تلفن
اين دسته از مجرمان معمولا با جعل شماره تلفن، كاري ميكنند كه شماره ديگري روي caller ID فرد هدف نمايش داده شود. به اين ترتيب در حالي كه فرد مجرم از آپارتمان خودش با شما تماس ميگيرد، به نظر ميرسد كه شماره وي يكي از شماره هاي داخل سازمان است.
قطعا اگر شماره نشان داده شده در caller ID يكي از شمارههاي سازمان باشد، فرد قرباني با احتمال بسيار زيادي اطلاعات مورد نياز مجرم مانند كلمات عبور را به وي اعلام خواهد كرد. پيگيري اين جرم نيز ممكن نخواهد بود، چرا كه تماس گرفتن با شمارهاي كه روي caller ID وجود دارد، شما را به يك شماره داخلي سازمان متصل ميكند.
در اينگونه موارد بهتر است به خاطر داشته باشيد كه حتيالامكان از تسليم كردن اطلاعات حساس بصورت تلفني خودداري كنيد.
* استفاده از اخبار بر عليه شما
هرچه كه در اخبار مطرح شود، افراد خرابكار از آن اطلاعات بهعنوان ابزارهاي مهندسي اجتماعي براي ارسال هرزنامه، سرقت هويت و ساير روشهاي فريبكاري استفاده ميكنند. تعداد زيادي از ايميلهاي سرقت هويت ديده شدهاند كه به خريداري شدن يك بانك توسط ديگران مرتبط بودهاند.
چنين ايميلي ميگويد كه بانك شما توسط اين بانك خريداري شده است و براي اطمينان از اينكه اطلاعات شما به روز شده است، بايد اينجا كليك كنيد. آنها با اين كار به اطلاعات حساب شما دسترسي پيدا كرده و به اين ترتيب ميتوانند از حساب شما سرقت كنند و يا اينكه اطلاعات آن را به شخص ديگري بفروشند.
بهتر است به خاطر داشته باشيد كه تقريبا هيچگاه نياز نيست سرويس دهنده شما، براي مواردي به جز ورود به سيستم و يا تغيير كلمه عبور توسط خود شما، از شما اطلاعات خصوصي را درخواست كند.
* سوء استفاده از شبكههاي اجتماعي
Facebook، Myspace و Linked In، از مشهورترين سايتهاي شبكههاي اجتماعي هستند. بسياري از مردم به اين سايتها اعتماد دارند. بسياري از طرفداران سايتهاي شبكههاي اجتماعي، ايميلهاي زيادي دريافت ميكنند كه ادعا ميشود از طرف سايتهايي مانند Facebook هستند، ولي در حقيقت از طرف فريبكاران اينترنتي ارسال شدهاند.
اين افراد ايميلهايي با اين محتوا دريافت ميكنند: «اين سايت در حال انجام پارهاي تغييرات است. براي بهروزرساني اطلاعات خود اينجا را كليك نماييد.» البته وقتي شما روي اين لينك كليك ميكنيد، به سايت افراد خرابكار وارد ميشويد كه از شما ميخواهد اطلاعات محرمانه خود را وارد كرده و به روز كنيد.
بايد توجه داشته باشيد كه بسيار به ندرت ممكن است يك سايت براي شما درخواستي مبني بر تغيير كلمه عبور و يا به روز رساني حساب كاربري ارسال كند.
* سوءاستفاده از اشتباه تايپي
افراد خرابكار همچنين از اشتباهات مردم هنگام تايپ كردن در وب سوء استفاده ميكنند. ممكن است شما يك آدرس URL را تايپ كنيد، اما يك حرف آن را اشتباه وارد كنيد و ناگهان با نتايج غيرمنتظرهاي روبهرو شويد.
اين افراد خرابكار، خود را براي اشتباهات تايپي شما آماده ميكنند و سايتي بسيار شبيه به سايت مورد نظر شما (كه در تايپ آدرس آن اشتباه كردهايد) ايجاد ميكنند. در نتيجه كاربر به جاي ورود به سايت مورد نظر خود، وارد يك سايت تقلبي ميشود و فرد خرابكار ميتواند اطلاعات وي را سرقت كرده و يا بدافزاري را برروي سيستم وي نصب كند.
* مهندسي اجتماعي معكوس
اين روش شامل سه مرحله است: خرابكاري عمدي، تبليغات و ادعاي كمك كردن. در مرحله اول، يك مهندس اجتماعي راهي براي خرابكاري در يك شبكه پيدا ميكند. اين مرحله ميتواند به پيچيدگي ايجاد يك حمله عليه يك وب سايت و يا به سادگي ارسال يك ايميل جعلي و ادعاي ويروسي بودن سيستم افراد باشد.
مهم نيست كه چه تكنيكي در اين مرحله مورد استفاده قرار گيرد، بلكه نكته مهم اين است كه يا واقعا شبكه هدف را خراب كند و يا صرفا اين احساس را در قرباني خود ايجاد كند كه شبكه خراب شده است.
در مرحله دوم، مهندس اجتماعي سرويس خود را بهعنوان يك مشاور امنيتي معرفي ميكند. اين كار ميتواند به روشهاي مختلف از جمله ارسال ايميل، كارت ويزيت و يا ارسال نامه انجام بگيرد.
در اين زمان، مهندس اجتماعي يك خرابكاري در شبكه انجام داده و يا وانمود به وقوع يك خرابكاري در شبكه كرده و خود را در موقعيت كمكرساني قرار داده است. شركتي كه قرباني اين فرد قرار ميگيرد، تبليغات وي را مشاهده كرده و با تصور يك مشاور امنيتي، با اين مهندس اجتماعي تماس گرفته و به وي اجازه ميدهد كه روي شبكه آسيب ديده كار كند.
در اين هنگام، مهندس اجتماعي وانمود ميكند كه در حال ترميم مشكل است، اما در حقيقت كار ديگري مثل قرار دادن ثبت كننده كليد در سيستمها و يا سرقت دادههاي محرمانه را انجام ميدهد.
* درخواست كمك
در اين روش مهندس اجتماعي سعي ميكند احساسات انسان دوستانه شما را تحريك كرده و با طرح درخواست كمك، اطلاعات مورد نظر خود را بهدست آورد به عنوان مثال حس كمك به همنوع، كارمند يك سازمان را وادار به لو دادن اطلاعات و يا اعطاي مجوز به يك شخص فاقد اعتبار ميكند.
* تهديد
يكي از روشهاي مهندسي اجتماعي اين است كه با استفاده از تهديد اعتبار فرد، وي ناگزير به ارائه اطلاعات محرمانه گردد. در اين روش، فرد مهاجم خود را بهعنوان فردي در سازمان هدف جا زده و از كارمند اين سازمان ميخواهد كه يك سري اطلاعات را براي انجام كاري به وي ارائه دهد.
احتمالا اين كارمند ابتدا با توجه به قوانين از پيش تعريف شده، از ارائه اين اطلاعات خودداري ميكند. اما مهندس اجتماعي به راحتي ميتواند با تهديد اعتبارات فرد با جملاتي شبيه «هر اتفاق بدي كه رخ دهد مسووليت آن با شماست كه همكاري نكرده ايد»، وي را راضي به همكاري كند.
تنها راه مقابله با ترفندهاي مهندسي اجتماعي، آموزش كاربران و آگاهي دادن به آنان است تا به راحتي فريب مجرمان را نخورند. همچنين تدوين قوانين مناسب كه كارمندان سازمان موظف باشند فقط بر اساس آن قوانين اطلاعات محرمانه را به ديگران تسليم كنند نيز ميتواند در اين زمينه كمك كننده باشد.
دیسک نجات Rescue Disk آنتی ویروس چیست 
