در دنیایی زندگی میکنیم که متاسفانه یا خوشبختانه، عمده اطلاعات ما روی اینترنت هستند. در توییتر اسم و عکسمون روی پروفایله و از روزمرگیهای زندگیمون مینویسیم. در اینستاگرام لحظات غم و شادی خودمون رو به اشتراک میذاریم. در ساندکلاد صدای خودمون یا سازمون رو به رخ دیگران میکشیم. در لینکدین اطلاعات کار و تحصیل و … رو قرار دادیم. بسیار هم خوب، اما این دادهها و اطلاعات، آیا ممکن نیست علیه خودمون استفاده شه؟
جواب به سوال بالا «بله» است. احتمالا شما هم از پدر و مادرتون زیاد شنیدید که «ملت گرگن» و باید گفت که بله، اینترنت پر از گرگهاست. گرگهای اینترنت اما متفاوت از گرگهای اون بیرونن. گرگهای اون بیرون، معمولا تا وقتی سمتشون نرید گاز نمیگیرن، معمولا تا وقتی همکارشون نشید زیرابتون رو نمیزنن و … . اما گرگهای اینترنت چی؟ گرگهای اینترنت از هیچ فرصتی برای کسب اطلاعات در مورد شما و اذیت و آزار شما از اون طریق، دریغ نخواهند کرد. در این پست، قراره که با فرایند «مهندسی اجتماعی» آشنا بشیم و بعد یک سری راهکار برای مقابله باهاش ارائه کنیم.
اتصال نقاط، سادهترین روش مهندسی اجتماعی
چند وقت پیش، در مورد امنیت بیتکوین و معاملاتش داشتم مطالعه میکردم. یک نکته جالبی برخوردم که بد نیست شما هم در موردش بدونید. شخصی که مطلب رو نوشته بود (متاسفانه با کامپیوتر قدیمیتری مطلب رو خوندم و در هیستوری مرورگرم نیافتمش، وگرنه پیوند میدادم) اینطور بیان کرده بود که:
درسته که بلاکها و تراکنشها رمز شدند و ما روی حریم خصوصی این نوع ارز حساب ویژه باز کردیم، اما یادتون باشه که مردم نقطهها رو به هم وصل میکنن.
حالا، بیاییم ببینیم که این «نقطه»ها چین؟ ما چطور میتونیم به هم وصلشون کنیم؟ چرا اتصال نقاط مهمه و … . اول از همه، بیایید صرفا چندتا نقطه رو ببینیم:
- سلام، من فلانی هستم.
- من سال ۹۳ رفتم دانشگاه.
- من کامپیوتر خوندم.
- در یک بحثی مرتبط با یکی از دانشگاههای مطرح کشور (بیایید بگیم دانشگاه X)، من ورود کردم و از استادی، نقل قول کردم یا از استادی بد گفتم.
- در لینکدین من، مشخصه که کجا کار میکنم اما محل تحصیلم رو مشخص نکردم.
- از آب و هوای یک منطقه خاص در ایران تعریف و تمجید کردم.
حالا این دادهها رو داریم. چطور میتونیم ازش به اطلاعات بدرد بخوری برسیم؟ خب کاری نداره. بیایید در وصل کردن نقطهها با من همراه شید و ببینید چقدر ترسناکه 🙂
وقتی گفتم «من فلانی هستم» احتمالا به اسم شناسنامهایم، لقبم، اسم مستعارم یا یکی تو این مایهها اشاره کردم. وقتی گفتم سال ۹۳ رفتم دانشگاه، شخص میتونه حدس بزنه که من از اکثریتی بودم که ۱۸ سالگی رفتند دانشگاه پس احتمالا متولد ۷۵ باشم، اما بعضی وقتا (برای آقایان) دانشگاه رفتن بعد از خدمت سربازی اتفاق میافته، پس اینجا بهتره که در نظر بگیرید که رنج تاریخ تولد بین ۷۳ تا ۷۵ بوده.
در مورد رشته تحصیلیم صحبت کردم. البته رشته تحصیلی گهگاهی از محتوای تولیدشده روی اینترنت هم قابل حدسه، گاهی هم از بحثهایی که افراد با دیگران میکنن و به اسم اساتید یا دروس خاصی اشاره میکنن. مثلا اگر در بحثی اشاره به «الکترونیک دیجیتال» شده باشه، احتمال خیلی خوبی داره که شخص «مهندسی کامپیوتر گرایش سختافزار» رو در دانشگاه خونده باشه. پس به این شکل، میتونیم رشته تحصیلی فرد هم دربیاریم.
بعد از این، میرسیم به بحث در مورد محل تحصیل. در لینکدین شخص، نتونستیم چیزی پیدا کنیم. اما مثلا اومده و گفته «استاد چاکراهی در دانشگاه X از اون عوضیاس که دومیش خودشه». این که شخصی انقدر دقیق یک استاد رو بشناسه، با لفظ استاد صداش کنه و یا اشارهای به سابقه آکادمیکش کنه، نشان از اینه که اون شخص احتمالا در محل تدریس اون استاد تحصیل کرده. به این شکل اطلاعات بسیار دقیق تحصیلی هم داریم. یک جمعبندی از این سه پاراگراف بکنم؟ من الان میدونم «فلانی، متولد فلان سال، فلان رشته رو در فلان دانشگاه خونده».
و اما در مورد آخرین نقطه. صحبت در مورد مکانها، معمولا توسط کسی صورت میگیره که اشرافی به اون مکان داره. پس چه اتفاقاتی ممکنه بیفته؟ سادهترینش اینه که حدس هکر به سمت این بره که شما ساکن اونجایید. ممکنه مشخص نشه که ساکن اونجایید، اما شما گوشی رو دست شخص دادید که روی منطقهای خاص اشراف دارید و اونجا رو به خوبی میشناسید. پس در اون منطقه قطعا آمد و شدی دارید.
حالا اینا به کنار، چرا باید روی «اتصال نقطهها» انقدر حساس باشیم؟ به فرض که طرف دونست شما چهکارهاید و کجا زندگی میکنید، خب تهش که چی؟ در ادامه بررسی میکنیم.
اتصال نقطههای مختلف به هم، این شرایط رو فراهم میکنه
- در موارد حساس (مثل امنیتی شدن جو کشورها، حساس شدن مسئولین یک شرکت یا سازمان روی موضوعی خاص و … ) میتونه به شناسایی راحت شما کمک کنه.
- شما رو در معرض آسیبهای روانی (باجخواهی، پروندهسازی و …) قرار بده.
- احتمال آسیب فیزیکی رو ببره بالا.
این رو در نظر داشته باشید. حالا بیایید بریم سراغ راههایی که مهندسی اجتماعی میتونه حتی راحتتر هم باشه. من بهش میگم «مهندسی اجتماعی تعاملی».
مهندسی اجتماعی تعاملی
در مهندسی اجتماعی تعاملی، هکر اتفاقا آدم ناامن و زاغسیاهچوبزنی نیست! بلکه دقیقا یکیه که با شما تعامل داره. این تعامل به روشهای زیر میتونه انجام شه:
- ساخت حساب کاربری و کسب شهرت در شبکههای اجتماعی
- ساخت حساب کاربری با نام و مشخصات جعلی در شبکههای اجتماعی و پیامرسانها و ایجاد روابط دوستی با دیگران
- ساخت صفحات جعلی از وبسایتهای خبری، صفحه ورود شبکههای اجتماعی، فرمهای تماس و … .
- انتشار اخبار جعلی
- در خواست کمکهای نقدی (در قالب ارزهای رایج، رمزارز و …)
حالا اینها هرکدوم چطور کار میکنن؟ بسیار هم خوب. بیایید در ادامه بررسیشون کنیم.
ساخت حسابکاربری و کسب شهرت در شبکههای اجتماعی
خواهناخواه بسیاری از حرفهایی که ما میزنیم، میتونه تاثیر خوبی در «بالا آمدن» و مشهور شدن اشخاص دیگر داشته باشه. کافیه که شخصی که دیتا میخواد با ترفندهایی مثل «فالو کنید بک میدم» یا «منشن بده بگو اسم عمه کوچیکت چند تا ر داره» و …، یک پایگاه خوبی از آدمها رو میسازند. حالا ممکنه فکر کنید که «مشکلش چیه؟» به ذات مشکلی نداره. هر انسانی نیاز طبیعی به توجه و روابط انسانی داره و این حق طبیعیشه. حتی خیلی از این اینترکشنها جالب و جذابن و به نظرم شرکت درشون میتونه خوشگذرانی کوتاهمدت خوبی باشه.
مشکل اصلی، زمانی رخ میده که این روش، میشه وسیلهای برای اقدامات بعدی. مثل چی؟ مثل انتشار خبرهای جعلی و یا کلاهبرداری و سوءاستفادههای متعدد از افراد. همین الان از افرادی که شناختهشدگی خوبی در دنیا دارند (مثل خوانندهها، بازیگران، فوتبالیستها و …) خبرهایی مثل آزار جنسی یا ایجاد مزاحمت کم نیست! فلذا بهتره که حواسمون جمع باشه که چه کسانی رو مشهور میکنیم و چرا.
ساخت حساب کاربری با نام و مشخصات جعلی در شبکههای اجتماعی و پیامرسانها و ایجاد روابط دوستی با دیگران
شاید با خودتون بگید «عه این هم که مسالهای نداره، طرف نخواسته با هویت واقعیش فعال باشه». درست میفرمایید. این که هویت ساختگی داشته باشیم هم یک «حق» برای ماست (شاید جالب باشه بدونید که یکی از هجمههایی که علیه فیسبوک هست همینه! که چرا کاربران رو فورس میکنه هویت واقعی خودشون رو بذارن روی اکانتهاشون) ولی نکات مهمتری هم وجود داره. در اینجا یک کیسی رو مثال میزنم.
فرض کنید شخصی هست که حساسیت گروه خاصی رو برانگیخته. شخص A و گروه G میگیم برای راحتی کار. حالا گروه G یک پلنی چیده که به شکلی، بخواد شخص A رو از مسیر خودش کنار بزنه. اینها میتونن یک «کارمند سابق» و یک «شرکت» باشن (خلاصه فکر نکنید همیشه ماجرا، ماجرای سیاسی و … است). پس گروه G چه میکنه؟ یکی رو مامور میکنه تا اکانتی بسازه و با اطرافیان A دوست شه. به این شکل میتونه طی دوستی با روشهای مختلفی، اطلاعات به دست بیاره.
روشهای کسب اطلاعات هم میتونن به خودی خود جالب باشن. در ادامه بعضیاشون رو لیست میکنم :
- سوال در مورد تواناییهای متفاوت شخص (در قالب تعریف و تمجید، تعجب، غیبت و …)
- سوال در مورد تیپ شخصیتی فرد.
- اعلام این که به شخص A علاقمند شده و نمیتونه پا پیش بذاره (بخصوص اگر A خانم باشه)
- بدگویی از شخص برای سنجش نوع روابط و این که دیگران در مورد اون شخص چی میگن
دیدید، این فقط چهار حالتیه که به ذهن من میرسه. این حالات میتونه بسیار بسیار بیش از این قضیه باشه. فلذا حواستون باشه دفعه بعدی که پشت سر همکارتون حرف زدید، خدای نکرده به شخصی که باهاش خصومت داره دیتا ندید 😁
انتشار اخبار جعلی
اخبار جعلی هم میتونن در دامنه مهندسی اجتماعی قرار بگیرند! در واقع جمع کردن حجم خوبی از واکنشهای مردم به خودی خود گرچه میتونه یک آزمایش باشه (که معمولا این آزمایشها از قبل اطلاع داده میشن) اما به طور کل، برای پخش یک ایده خاص یا جمع کردن حجم خوبی از ریاکشنها، استفاده میشه.
بخصوص در زمانهایی که به اتفاقات خاصی مثل انتخابات نزدیک هستیم، گستره این اخبار به شدت بزرگ میشه و خیلی راحت میتونن در نتایج بسیاری از تصمیمات جمعی تاثیرگذار باشن.
درخواست کمکهای نقدی
در مورد این روش، بعدا به تفصیل خواهم نوشت. فقط حواستون باشه که خیلی از افرادی که در اینترنت به دنبال جمعآوری کمکهای نقدی هستند، هدفشون «کار خیر» نیست. بلکه صرفا به جیب زدن حجم خوبی پوله 🙂
ساخت صفحات جعلی
در مورد این یکی هم، به زودی خواهم نوشت. فقط عبارت «ماحی گیری» یا Phishing رو در ذهنتون داشته باشید.
چطور از مهندسی اجتماعی در امان بمونیم؟
خب بذارید راحت بهتون بگم آدم فضول، آدم زاغسیاهچوبزن، عین ویروس کروناست. نمیشه ازش در رفت، فقط میشه ریسکش رو کاهش داد. در ادامه، در مورد کاهش ریسکش کمی راهکار بهتون ارائه میدم 🙂
- تا حد امکان سعی کنید دادههای خودتون رو منتشر نکنید. اگر هم کردید، سعی کنید وسطش نویز بدید.
- ارسال عکس و صدا برای غریبهها کار خوبی نیست. سعی کنید کمتر سراغش برید.
- به خیلی از موارد واکنشی نشون ندید. داغ شدن بعضی موارد (نمونه سادهش دنگ کافه!) میتونه به سادگی باعث بشه که شما دادههای زیادی از خودتون، محل زندگی و کارتون، روابطتون و … لو بدید.
- از افرادی که به نظر ناامن میان دوری کنید!
- به هرپیامی نیاز نیست پاسخ درست بدید.
- برای واکنش دادن به اخبار و یا بازنشر اونها، منابع خبری معتبر داخلی و خارجی رو بررسی کنید. حسابهای کاربری تاییدشده رو هم چک کنید و ببینید که کی، چی گفته. یافتن حقیقت به اون سادگیها هم نیست چرا که بسیاری از موارد خبرهای کذب، توسط همون اشخاص نامدار هم میتونه نشر داده بشه.
- در بحثهایی که حس میکنید ممکنه دردسرساز بشه براتون، شرکت نکنید.
- از افرادی که مدعی هکری اجتماعی و مهندسی اجتماعی و … هستند دور شید. اینها ممکنه به خوبی بقیه هکرها نباشند، اما قطعا یه نقطهای برای آزار شما پیدا میکنند.
در نهایت، آرزو دارم که هیچوقت طعمه گرگهای اینترنت نشید. این مطلب مطلب کاملی نیست و دست کم دو یا سه پست دیگه فقط در همین مورد خواهم نوشت. اما دوست دارم پیش از نگارش مطالب دیگر، نظرات شما رو پیرامون این موضوعات بدونم.