x
تبلیغات

Security Top Image 01


مهم نیست که یک رایانه یا شبکه چقدر امن است، تنها یک فرد می تواند تمام اقداماتی که توسط مدیر سیستم انجام شده است را بی اثر کند.

 

بجای صرف ساعت های بی پایان و منابع گران قیمت برای شکستن کلمه های عبور، مهاجمین متوجه شده اند که بعضی اوقات می توانند آنچه را می‌خواهند تنها با پرسیدن بدست آورند، یا بجای اینکه برای نصب نرم افزاری بدخواه به هک کردن شبکه ها بپردازند، می توانند به سادگی از یک کاربر بخواهند که آنرا نصب کند.


به نظر کمی ناراحت کننده است. آیا واقعا کاربران کلمه های عبورشان را تقدیم می کنند یا اینکه با رغبت به نصب نرم افزارهایی می پردازند که بدخواه از کار در می آیند؟ پاسخ مثبت است، و نظایر این همیشه اتفاق می افتد.


مهندسی اجتماعی ، اصطلاح گسترده ای است که مشخص کننده این است که یک مهاجم از تکنیک هایی برای فریب دادن افراد استفاده می کند که افراد اطلاعات حساس شان را در اختیار قرار دهند یا فعالیت هایی از طرف مهاجم انجام دهند. مهندسین اجتماعی، از فریب و نیرنگ برای اینکه کاربران آنچه را آنها می خواهند انجام دهند استفاده می کنند، و بدون استفاده از مهارت های فنی زیاد، موفق می شوند. مهندسی اجتماعی اشکال گوناگون دارد، که شامل رویکردهای زیر می شود :


• از طریق فرد
• از طریق تماس تلفنی
• Phishing پست الکترونیکی


مهندسی اجتماعی از طریق فرد

مهاجمین می توانند خود را بجای دیگران بزنند تا اطلاعات بدست آورند یا به آنچه که آنها در حالت معمول ندارند، دسترسی پیدا کنند. جعل هویت یک روش رایج مهندسی اجتماعی است.

 

برای مثال، یک مهاجم می تواند خود را به جای یک تعمیرکار بزند و در آستانه درب سازمان تظاهر کند که در حال رفع یک مشکل است. ممکن است مهاجم با قطع یک خط تلفن واقعا باعث ایجاد مشکل شود و سپس تظاهر کند که در حال رفع مشکل است. ممکن است او را با آغوش باز بپذیرند و او را مستقیما به سمت اتاق قفل شده کابل ها هدایت کنند، در حالیکه کارگران با خوشحالی در حال باز کردن اتاق هستند تا به او دسترسی دهند.


مهاجم می تواند یک نقطه دسترسی بی سیم برای جمع آوری همه ترافیکی که بین تجهیزات شبکه در حال عبور است در اتاق کابل ها، راه اندازی کند. آنگاه او می تواند در یک پارکینگ بسیار نزدیک، با یک ابزار بی سیم sniffer بنشیند و داده هایی را که در شبکه رد و بدل می شوند را جمع آوری کند. البته، خط تلفنی را که قطع کرده بود را نیز درست می کند، که گواهی برای اثبات اینکه تعمیر کار بوده ارایه دهد.


یک sniffer بی سیم، یک تحلیلگر پروتکل است که می تواند ترافیکی که بصورت بی سیم انتقال می یابد را جمع آوری کند. مهاجم سپس می تواند هر داده ای که انتقال یافته است را به شکل متن آشکار بخواند.


مهندسی اجتماعی توسط یک تماس تلفنی

حمله مهندسی اجتماعی ممکن است یک تماس ساده تلفنی باشد. یک مهاجم می تواند با میز سرویس تماس بگیرد، خودش را به عنوان یک مدیر معرفی کند، و سپس بگوید که او کلمه عبورش را فراموش کرده است. یک درخواست ساده مانند این ممکن است به مهاجم دسترسی به حساب کاربر را اعطا کند: «ممکن است حساب کاربری مرا فعال کنید که من بتوانم کارم را ادامه دهم؟» اگر رویه مناسبی برای انجام اینکار وجود نداشته باشد، متصدی میز سرویس ممکن است به سادگی بگوید «حتما»، کلمه عبور جدیدی برای کاربر تنظیم کند، و کلمه عبور جدید را به مهاجم بگوید. دو رویه مهم برای بکارگیری در چنین موقعیتی وجود دارد.


بررسی هویت: پیش از تنظیم مجدد کلمه عبور، بجای اینکه متصدی میز سرویس بسادگی تصور کند کسی که تماس گرفته همان است که می گوید، می توان از یک فرایند ممیزی استفاده کرد، که قبل از تنظیم مجدد کلمه عبور به برخی از انواع روشهای اثبات هویت لازم دارد. برای مثال ممکن است از کاربران خواسته شود اطلاعات خاصی که در دسترس عموم نیست، مانند کدی که برای حساب کاربری شان استفاده می شود، را ارایه دهند.


محدود نمودن حق تنظیم مجدد کلمه عبور: کلمات عبوری که کارمندان میز سرویس می توانند تنظیم مجدد کنند، باید محدود شوند. حداقل، تنها مدیران سیستم سطح بالا باید قادر به تنظیم مجدد حساب های کاربری مدیران سطح بالا باشند.


محدود کردن حقوق و حداقل دسترسی: محدود نمودن حقوق برای پیاده سازی اصل حداقل دسترسی نیز لازم است. اگر یک تکنسین میز سرویس بتواند هر حساب کاربری را تنظیم مجدد کند، می تواند کلمه عبور هر مدیری را تغییر دهد و سپس با استفاده از حساب کاربری مدیر به اسناد آن مدیر دسترسی پیدا کند. برای مثال، ممکن است یک تکنسین در میز سرویس بخواهد بداند که افراد دیگر چقدر دریافتی دارند. با ورود به سیستم با حساب کاربری مدیر منابع انسانی، ممکن است بتواند به اطلاعات فیش حقوقی دسترسی پیدا کند. با محدود نمودن حقوق، شما می توانید از پیش آمدن این موقعیت ها اجتناب نمایید.


تشخیص تلاش های phishing

مهاجمین غالبا از تلاش های fishing) phishingخوانده می شود) برای دزدیدن هویت افراد یا دسترسی به اطلاعات شخصی مانند نام کاربری و کلمات عبور استفاده می کنند. Phishing فرستادن یک نامه الکترونیکی و تلاش برای فریب دادن کاربران برای در اختیار قرار دادن اطلاعات شان است.

 

مهاجمین Phishing، طعمه را به امید به قلّاب افتادن یک قربانی پرتاب می کنند، مانند یک ماهیگیر که برای گرفتن یک ماهی طعمه را پرتاب می کنند.


تلاش های Phishing غالبا چندین ویژگی خاص دارند:


• پیام پست الکترونیک به نظر شبیه نامه هایی است که از بانک شما یا شرکت شما یا سایتی که از آن استفاده می کنید دریافت می کنید.
• در پیام پست الکترونیک گفته شده که برای حساب کاربری شما مشکلی پیش آمده است و از شما می خواهد اطلاعات تان را تجدید اعتبار کنید.
• در پیام پست الکترونیک احساس فوریتی وجود دارد، که بیانگر این است که اگر شما اطلاعات تان را تصدیق نکنید، دسترسی تان را از دست خواهید داد.


برای مثال، متن زیر را که از یک پیام پست الکترونیکی phishing، در رابطه با یک حساب بانکی انتخاب شده را در نظر بگیرید:


«ما متوجه شده ایم فعالیت های مشکوکی بر روی حساب کاربری شما انجام شده است. برای محافظت از اطلاعات مالی شما ، لازم است اطلاعات حساب کاربری تان را تایید کنید. لطفا فورا وارد آدرس زیر شوید و حساب کاربری تان را تایید کنید.

http://yourbankurl.xxx

بمنظور محافظت از شما، تایید نکردن حساب کاربری شما منتج به از دست دادن همه دسترسی های شما به حساب کاربری تان می شود.

متشکریم»

 

علامت مشخصه بانک

اگرچه آدرس اینترنتی بانک ممکن است دقیقا شبیه آدرس اینترنتی بانک شما به نظر برسد، پیوندی که واقعاً با کلیک روی آن به آن آدرس هدایت می شوید، متفاوت خواهد بود. در بیشتر برنامه های کاربردی پست الکترونیک، شما می توانید برای تعیین مقصد واقعی متصل شده به پیوند نشانگر موس را روی پیوند ببرید.


یک آدرس وب پنهان شده، یک پیوند وب است که متن ساده آن به نظر شبیه یک آدرس است، اما با رفتن نشانگر موس روی آن نشان داده می شود که پیوند واقعی شما را به جای دیگری در اینترنت خواهد برد.

 

در این حالت URL آدرس http://yourbankurl.xxx است، اما پیوند واقعی آدرس http://malicious.com/stealidentity.htm است. رعایت یک قاعده ساده می تواند به کاربران در اجتناب از افتادن در این دام کمک کند:


هرگز پیوندی را که در یک پیام پست الکترونیکی قرارداده شده را باز نکنید.


اگر پیامی شبیه به این را دریافت نمودید و فکر می کنید که معتبر است، یک صفحه وب باز کنید و URL را خودتان در آن تایپ کنید. به این ترتیب مطمئن خواهید شد که به سایت وب صحیحی وارد می شوید.


اگر پیوند واقعی با پیوندی که نمایش داده می شود فرق می کند، مراقب باشید. شرکت های معتبر آدرس وب شان را پشت آدرس دیگری پنهان نمی کنند.


نوع رایج دیگر پست الکترونیک phishing، ممکن است به نظر برسد که از فراهم کننده سرویس اینترنت شما آمده است و از شما می خواهد که پست الکترونیکی خود را تایید کنید. این نوع ممکن است چیزی شبیه این باشد:


«صندوق پست الکترونیک شما از سهمیه ای که توسط مدیر سیستم برای آن تنظیم شده است، تجاوز کرده. این سهمیه قابل افزایش است، اما برای اینکه مطمئن شویم حساب کاربری شما در اختیار یک هرزنامه نویس قرار ندارد، لازم است حساب کاربری خود را تایید کنید. برای تایید حساب کاربری خود ، به این آدرس پست الکترونیکی با اطلاعات زیر پاسخ دهید :

آدرس پست الکترونیک:
کلمه عبور :
تاریخ تولد :
اگر حساب کاربری خود را تایید نکنید ، حساب کاربری شما برای همیشه غیر فعال خواهد شد.
از اینکه به این موضوع توجه می کنید متشکریم.»


در این نامه الکترونیکی، به نظر می رسد که پیام از یک ISP آمده است. برای مثال در قسمت From آدرس ممکن است چیزی شبیه admin@your_jsp.com باشد.


کلاه برداری پست الکترونیکی، پیام پست الکترونیکی را به نحوی تغییر می دهد که آدرس ذکر شده در قسمت TO از پست الکترونیک، با آدرس فرستنده واقعی متفاوت است.


اگر برای یک پیام تقلبی شما دکمه پاسخ (Reply) را کلیک کنید، مشاهده می کنید که آدرسی که پاسخ برای آن ارسال می گردد متفاوت است. بعضی اوقات آدرسی که موقع پاسخ به نامه دیده می شود، بطور واضح متفاوت است و کاملا متمایز از نامی است که هنگام دریافت نامه در قسمت From مشاهده کرده اید. اما، برخی اوقات مهاجمین با استفاده از تکنیک های typo-squatting آدرس را طوری انتخاب می کنند که با آدرس ارسال مشابه باشد، اما کاملا همان نباشد.


برای مثال، ممکن است یک نامه الکترونیکی دریافت کنید که به نظر برسد از Microsoft.com آمده است. وقتی بر روی دکمه Reply کلیک می کنید، آدرس پست الکترونیکی که اندکی با آنچه موقع دریافت دیده اید تفاوت دارد را ملاحظه می کنید، مانند اینها:


• Microsft.com(بدون حرف O دوم)
• Mircosoft.com(با تعویض جای حروف r و c)
• Validate-microsoft.com (که یک آدرس Microsoft.com نیست اما در عوض آدرس validate-microsoft.com است)

 

Phishing با نیزه، نوع متفاوت دیگری از Phishing است. آدرس فرستنده جعلی است بنابراین به نظر می رسد نامه از طرف شخصی که در سازمان کارمند است فرستاده شده است. روش های Phishing انواع بسیار متنوعی دارند. در اینجا دو مثال دیگر آمده است:


«شما برنده شده اید، تبریک می گوییم. نامه شما در قرعه کشی ما بعنوان برنده 100.000 دلار انتخاب شده است. تمام کاری که شما باید انجام دهید این است که تمام اطلاعات شخصی و بانکی خود را ارسال کنید»


مفهوم ضمنی این عبارت اینگونه است: «ما از این اطلاعات برای برداشتن تمام پول شما استفاده خواهیم کرد و شما دیگر هرگز چیزی درباره ما نخواهید شنید.»

 

درخواست اطلاعات خیلی شفاف نخواهد بود. اما، هر مقدار از اطلاعات شخصی شما که از دست می رود، شما با ریسک بیشتری مواجه می شوید، و هیچ کس برای شما هیچ جایزه ای نخواهد فرستاد.


به ما کمک کنید، پول را از بانک خارج کنیم. «دوست عزیز، عموی من در حالی که 18 میلیون دلار از خودش بجا می گذاشت فوت کرد، اما برای اینکه من بتوانم به این پول دست پیدا کنم باید به حسابی در یک کشور دیگر انتقال پیدا کند. اگر به من کمک کنید، من 30% از این مبلغ را به شما خواهم داد.»


معنی ضمنی این عبارت : «عمویی در کار نیست و 18 میلیون دلاری هم وجود ندارد. اما ما هنوز دوست داریم به حساب بانکی شما دست پیدا کنیم.»


بعضی از اقدامات ساده ای که هر کاربر می تواند برای محافظت از خودش در برابر حملات Phishing انجام دهد عبارتند از:


هرگز از طریق پست الکترونیک یک کلمه عبور را برای یک شرکت ارسال نکنید. به هر نامه ای با درخواست فوری در مورد هر نوع اطلاعات شخصی مشکوک باشید. شرکت های قانونی هرگز گواهینامه های شما را از طریق پست الکترونیکی درخواست نمی کنند.


روی پیوندهای درون یک نامه الکترونیکی کلیک نکنید. Phisherها از آدرس های پنهان شده استفاده می کنند. اگر شما یک صفحه وب باز کنید و بصورت دستی آدرس را مستقیما تایپ کنید، به این ترتیب از این پیوندهای بدخواه اجتناب خواهید کرد. اگر درباره نامه ای که دریافت کرده اید خیلی نگران هستید، برای اثبات قانونی بودنش، با شرکت تماس بگیرید.


هرگز از طریق پست الکترونیکی، اطلاعات شخصی را برای دیگران ارسال نکنید. در برخی از روش های Phishing اطلاعات کارت اعتباری، اطلاعات بانکی، شماره تامین اجتماعی، تاریخ تولد، یا دیگر اطلاعات شخصی شما درخواست می شود. اطلاعات شخصی خود را از طریق پست الکترونیکی به هیچ شرکتی ارسال نکنید. اگر سازمانی واقعاً به این اطلاعات نیاز دارد، صفحه وب ای خواهد ساخت (برای امنیت بیشتر با استفاده از پروتکل https) که شما می توانید وارد آن شوید. به خاطر داشته باشید که به هیچ وجه از طریق پیوندی که در یک نامه الکترونیکی درج شده است به این صفحه مراجعه نکنید.


اگر بخواهید بیشتر درباره Phishing و کلاهبرداری های متداول اینترنتی مطالعه کنید، به آدرس www.antiphishing.org که مربوط به کارگروه ضد phishing است مراجعه کنید.

 

تشخیص pharming

 Pharming(تلفظ کنید فارمینگ) حتی اگر کاربر URL درست را در مرورگر وب اش تایپ کند، قربانیان را به سایت وب ناخواسته ای هدایت می کند. pharming روش های ترجمه نام را به منظور هدایت کاربران به سایت های وبی که درخواست نکرده اند، دراختیار می گیرد. تحلیل نام، فرایند تبدیل نام میزبان به آدرس IP است. روش اصلی تحلیل نام در اینترنت استفاده از سیستم نام دامنه یا DNS است. سیستم کاربر به جستجوی سرویس دهنده DNS می پردازد، درخواست، تحلیل نام یک میزبان را می کند و DNS درخواست را بررسی کرده و سپس یک آدرس IP برمی گرداند. مجموعه پروتکل TCP/IP ماشین، از این آدرس IP برای وصل شدن به سیستم نهایی استفاده می کند. روش های دیگر تحلیل نام شامل تشخیص داده های نگهداری شده در نهانگاه میزبان روی یک ماشین و استفاده از یک فایل Hosts بر روی یک ماشین (روی بسیاری از رایانه های ویندوزی در آدرس C:\Windows\System32\drivers\etc قرار دارد) می شوند.


تحلیل نام با جزئیات کامل در کتاب Microsoft Windows Networking Essentials از انتشارات سال 2011 شرکت Wiley که آزمون 366-98 را پوشش می دهد، ذکر شده است.


ترتیب پردازش تحلیل نام برای اسامی میزبان در اینترنت به صورت زیر است:


1. اگر نگاشت یک نام در فایل Hosts وجود دارد، بصورت خودکار در نهانگاه میزبان قرار می گیرد و همیشه اول مورد استفاده قرار می گیرد.


2. هنگامی که یک نام توسط DNS تحلیل می شود، در نهانگاه میزبان قرار می گیرد. سیستم، نهانگاه سیستم را بررسی می کند تا قبل از پرسش دوباره از DNS ببیند آیا تحلیل قبلا انجام شده یا نه.


شما می توانید محتویات نهانگاه میزبان را با تایپ دستور زیر در پنجره command مشاهده کنید :

ipconfig /displaydns

 

3. اگر نام مورد نظر با هیچیک از روشهای زیر تحلیل نشده است، سیستم درخواستی برای تحلیل نام، به یک سرویس دهنده DNS می فرستد.


یک حمله pharming یکی از این سه روش را بمنظور هدایت یک کاربر به یک سایت وب جعلی، دستکاری می کند:

  • فایل Hosts: بعضی اوقات بدافزار، فایل hosts را برای اینکه یک سایت وب را به آدرس IP متفاوتی نگاشت کند، ویرایش می کند. برای مثال، تصور کنید که آدرسIP سایت Windows Update، 207.46.18.94 است. مهاجم می تواند فایل hosts را ویرایش کند و سایت Windows Update را به یک آدرس IP متفاوت نگاشت کند. رایانه سرویس گیرنده، قبل از اینکه تلاشی برای درخواست تحلیل نام از یک سرویس دهنده DNS نماید، به محتوی فایل host دسترسی پیدا می کند، و از آنجا که آدرس IP ای که تلاش می کند آنرا باز کند صحیح نیست، ماشین دیگر قادر نخواهد بود به سایت Windows update دسترسی پیدا کند.

  • سرویس دهنده DNS: در گذشته، مهاجمین از تکنیک های مهندسی اجتماعی برای قانع کردن مدیران DNS جهت ویرایش اطلاعات DNS برای سایت های وب معتبر به نحوی که به آدرس IP سایت وب مهاجمین نگاشت شوند، استفاده می کردند. بعد از اینکه اطلاعات DNS ویرایش شد، کاربران دیگر قادر به دسترسی به سایت وب مورد نظر نخواهند بود.

  • مسموم کردن نهانگاه DNS : در حمله مسموم نمودن نهانگاه DNS، داده های نهانگاه روی سرویس دهنده DNS ویرایش می شوند، یا مسموم می شوند، در نتیجه کاربران به سایت های دیگری هدایت می شوند

 

 

 

لینک های مرتبط با این مقاله:

  1. اصول امنیت در سیستم عامل Windows (قسمت اول) - آشنایی با بدافزار و مهندسی اجتماعی
  2. اصول امنیت در سیستم عامل Windows (قسمت دوم) - مقایسه بدافزارها
  3. اصول امنیت در سیستم عامل Windows (قسمت سوم) - محافظت در برابر بدافزارها
  4. اصول امنیت سیستم عامل windows (قسمت پنجم) - محافظت از پست الکترونیکی