تست نفوذ مهندسی اجتماعی چیست و چطور انجام می‌شود؟

یکی از مهم‌ترین انواع تست نفوذ که معمولا مورد غفلت سازمان‌ها قرار می‌گیرد، تست نفوذ مهندسی اجتماعی (social engineering penetration testing) است. هر سازمانی برای اطمینان از اثربخشی راهکارهای امنیتی خودش در مقابله با تهدیدات سایبری به تست نفوذپذیری یا پن تست نیاز دارد و توصیه می‌شود که هر سازمانی، زیرساخت‌های شبکه، نرم‌افزارها و سخت‌افزارهای خودش را با برون سپاری پن تست به یک شرکت امنیت سایبری بسنجد. همچنین، سنجش آگاهی کارکنان و آمادگی آن‌ها برای دفع حملات مهندسی اجتماعی نیز از اهمیت بسیار بالایی برخوردار است. در این مقاله، توضیح می‌دهیم که تست نفوذ مهندسی اجتماعی چیست و چطور انجام می‌شود. با ما همراه باشید.

مهندسی اجتماعی چیست؟

آمارها و مطالعات نشان می‌دهند که اشتباهات کارکنان سازمان‌ها، مهم‌ترین دلیل هک شدن شبکه‌های سازمانی و نقض داده هستند. در واقع، اکثر حملات هکری با تکنیکی به نام مهندسی اجتماعی (social engineering) انجام می‌شوند. در مهندسی اجتماعی، هکرها با شیوه‌های روانشناسی کاربران را ترغیب می‌کنند که مرتکب اشتباهی امنیتی مثل کلیک کردن روی یک لینک دانلود بدافزار یا افشای اطلاعات حساسی مثل گذرواژه‌ها شوند. در مقاله جداگانه‌ای تحت عنوان «مهندسی اجتماعی و هک سازمان‌ها با فریب کارکنان» به طور کامل در رابطه با مهندسی اجتماعی و تهدید آن برای امنیت سایبری سازمان‌ها صحبت کرده‌ایم.

تست نفوذ مهندسی اجتماعی چیست؟

تست نفوذ مهندسی اجتماعی نوعی تست نفوذ برای پیاده‌سازی تکنیک‌های رایج مهندسی اجتماعی روی کارکنان سازمان‌ شما با مجوز خود شما برای سنجیدن میزان آسیب‌پذیری سازمان شما در مقابل حملات مهندسی اجتماعی است.

این نوع تست نفوذپذیری به گونه‌ای طراحی می‌شود که میزان آگاهی کارکنان در رابطه با تهدیدات سایبری و روش‌های مهندسی اجتماعی را بسنجد و مشخص کند که آیا کارکنان، سیاست‌های امنیتی تعریف شده توسط مدیریت سازمان را رعایت می‌کنند یا نسبت به آن بی‌تفاوت هستند؟

تست نفوذپذیری مهندسی اجتماعی نشان می‌دهد که آیا هکرها می‌توانند به سادگی از کارکنان شما اطلاعات حساسی مثل گذروا‌ژه‌های سیستمی و شبکه را دریافت کنند و اینکه آیا هکرها می‌توانند پرسنل را به گونه‌ای فریب دهند که مرتکب اشتباهات امنیتی مثل کلیک کردن روی لینک دانلود بدافزار یا غیر فعال کردن سامانه‌های امنیتی شوند.

این نوع تست نفوذ را می‌توان به عنوان بخشی از یک تست نفوذ جامع یا به صورت جداگانه انجام داد. اجرای تست نفوذ مهندسی اجتماعی، کاری بسیار تخصصی است و تنها بعضی از هکرهای قانونی که هکرهای کلاه سفید نیز نامیده می‌شوند و دارای وابستگی سازمانی به یک شرکت امنیت سایبری معتبر هستند، از شایستگی لازم برای پیاده‌سازی این نوع پن تست برخوردارند.

تست نفوذ پذیری مهندسی اجتماعی چطور انجام می‌شود؟

معمولا، تست‌های نفوذپذیری مهندسی اجتماعی به صورت ترکیبی از دو شیوه «در محل» (on-site) یا «خارج از محل» (off-site) انجام می‌شوند.

تست نفوذ مهندسی اجتماعی در محل: در این نوع تست نفوذ، هکرهای کلاه سفید تلاش می‌کنند تا پس از نفوذ به ساختمان سازمان، با روش‌هایی مثل جعل هویت، رهاسازی حافظه‌های USB در سازمان (USB drops) یا مکالمات ساده با کارکنان، اطلاعات حساس را گردآوری یا به شبکه سازمان نفوذ کنند.
تست نفوذ مهندسی اجتماعی خارج از محل: در این نوع تست نفوذپذیری، هکرهای کلاه سفید در فضای سایبری برای مهندسی اجتماعی کارکنان سازمان شما تلاش می‌کنند. تست نفوذ مهندسی اجتماعی خارج از محل می‌تواند به صورت حملات فیشینگ انجام شود.

مراحل تست نفوذ مهندسی اجتماعی

از مهم‌ترین روش‌های مورد استفاده در مهندسی اجتماعی که در پن تست مهندسی اجتماعی نیز مورد استفاده قرار می‌گیرند، می‌توان به روش‌های زیر اشاره کرد:

۱- انتخاب قربانی: برای تست موفق، هکرهای کلاه سفید، اهداف خودشان را با دقت انتخاب می‌کنند. آن‌ها معمولا کارکنانی را هدف قرار می‌دهند که به راحتی فریب می‌خورند. البته، خیلی مهم است که هدف مورد نظر، اطلاعات حساسی برای لو دادن داشته باشد. بر این اساس، اهداف اصلی هکرهای کلاه سفید در پن تست مهندسی اجتماعی شامل موارد زیر هستند:

کارکنانی که آگاهی کمتری در رابطه با تهدیدات سایبری و حفاظت اطلاعات دارند
کارکنانی که با سازمان به مشکل خورده‌اند و احساس می‌کنند که با آ‌ن‌ها رفتار شایسته‌ای نشده است
کارکنان اخراج شده

وبسایت‌های کاریابی، لینکدین و انجمن‌های متقاضیان کار محل‌هایی هستند که کارکنان ناراضی کنونی و کارکنان اخراج شده، نظرات منفی خود را در رابطه با سازمان‌ها به اشتراک می‌گذارند و هکرها می‌توانند چنین اهدافی را شناسایی کنند.

۲- گردآوری اطلاعات: هکرهای کلاه سفید پیش از تست کردن کارکنان شما، سعی می‌کنند تا اطلاعاتی از آن‌ها به دست بیاورند.روش‌های مختلفی برای گردآوری اطلاعات شخصی از کارکنان وجود دارد اما دو روش اصلی عبارتند از:

شناسایی فعال: در این روش، هکرها با برقراری تماس با هدف، اطلاعاتی از او به دست می‌آوردند. این روش می‌تواند شامل تماس گرفتن با شخص هدف و جعل هویت باشد.
شناسایی منفعلانه: در این روش هکرها تلاش می‌کنند تا اطلاعاتی از شخص هدف که در دسترس عموم قرار دارند، مثل اطلاعات موجود در شبکه‌های اجتماعی را پیدا کنند. این کار می‌تواند با جستجوی نام هدف در گوگل شروع شود و سپس تمامی اطلاعاتی که از هدف بر بستر اینترنت وجود دارد، گردآوری می‌شود. در این رابطه، باید به مفهوم جاسوسی متن‌باز (open-source intelligence یا به اختصار، OSINT) نیز اشاره کنیم که به نوع داده‌های گردآوری شده اشاره دارد. داده‌های OSINT از منابع عمومی گردآوری می‌شوند.

۳- اجرای حمله مهندسی اجتماعی: در این مرحله، هکرهای کلاه سفید، از تکنیک‌های مختلف مهندسی اجتماعی مثل فیشینگ، اسمیشینگ (smishing)، جعل هویت و غیره برای اجرای حملات خود استفاده می‌کنند.

چرا باید تست نفوذ مهندسی اجتماعی انجام دهید؟

در ابتدای این مقاله اشاره کردیم که اشتباهات انسانی (که می‌توانند سهوی یا عمدی باشند) نقش اصلی را در بیشتر موارد هک شدن شبکه سازمان‌ها و نقض داده دارند. در مطالعه‌ای که استاد دانشگاه استنفورد، جف هنکاک و شرکت امنیت سایبری Tessian با همدیگر انجام داده‌اند، مشخص شده است که ۸۸ درصد موارد نقض داده در سازمان‌ها به دلیل اشتباهات کارکنان رخ می‌دهند. IBM نیز مطالعه مشابهی را انجام داده و به عدد ۹۵ درصد رسیده است.

بنابراین، ضرورت دارد که با اجرای دوره‌ای تست نفوذپذیری مهندسی اجتماعی، آسیب‌پذیری کارکنان سازمان خود را در مقابل حملات مهندسی اجتماعی بسنجید و نقطه ضعف‌های کشف شده در این تست را با برگزاری کلاس‌های آموزشی و آگاهی از تهدیدات سایبری برای پرسنل آسیب‌پذیر، برطرف کنید.

سوالات پرتکرار

۱- چه کسانی تست نفوذ مهندسی اجتماعی انجام می‌دهند؟

هکرهای کلاه سفید دارای وابستگی سازمانی به شرکت‌های امنیت سایبری مثل سایبرنو می‌توانند تست نفوذ مهندسی اجتماعی را انجام دهند.

۲-کدام سازمان‌ها باید تست نفوذ مهندسی اجتماعی انجام دهند؟

سازمان‌های دولتی و خصوصی متوسط تا بزرگ نیازمند اجرای تست نفوذ مهندسی اجتماعی هستند.

۳- چرا باید تست نفوذ مهندسی اجتماعی انجام دهیم؟

از آن‌جایی که دلیل اصلی بیشتر موارد هک شدن سازمان‌ها، اشتباهات کارکنان است، اجرای تست نفوذ مهندسی اجتماعی برای پیدا و رفع کردن آسیب‌پذیری پرسنل در مقابل حملات مهندسی اجتماعی، ضرورت دارد.

تاریخ انتشار: 1402/09/07

تاریخ بروزرسانی: 1402/09/15

نویسنده: امیر ظاهری مدیر تولید محتوا سایبرنو

امیر ظاهری در سال ۱۳۹۴ از دانشگاه «تربیت مدرس» در مقطع کارشناسی ارشد رشته «بیوفیزیک» فارغ‌التحصیل شد. او که به فناوری، امنیت سایبری، رمزنگاری و بلاک‌چین علاقه داشت، نویسندگی در این حوزه‌ها را شروع کرد و در سال ۱۳۹۸ به عضویت هیئت تحریریه «زومیت»، پربازدیدترین مجله تخصصی فناوری ایران، درآمد. او سابقه همکاری به عنوان کارشناس تولید محتوا با استارت‌آپ «جاب ویژن» نیز دارد. در سال ۱۴۰۰ همکاری خودش را با سایبرنو شروع کرد و از آن زمان تاکنون به صورت تخصصی در حوزه امنیت سایبری فعالیت دارد.

برچسب‌های مرتبط

آموزش

درباره محصولات

خدمات

این مطلب را با دوستان خود به اشتراک بگذارید

نظرات کاربران

برای دریافت خبرنامه و اخبار

آدرس پست الکترونیکی خود را وارد کنید

Holy guacamole! You should check in on some of those fields below.

با ما در ارتباط باشید

تهران، میدان رسالت، خیابان فرجام، خیابان شهید حسینعلی، پلاک ۹

٠٢١۹١٠۹۴٣٣٠

گواهینامه ها

مشاهده
بیشتر

تمامی حقوق مادی و معنوی این سایت متعلق به شرکت مهندسی دنیای فناوری امن ویرا (سایبرنو) می‌باشد.