کوین میتنیک یکی از سرشناس‌ترین هکرهای دنیا است. اولین بار در سن دوازده سالگی تونست سیستم پانچی اتوبوس‌های لوس آنجلس رو هک کنه و با استفاده از ترانسفرهایی که در سطل آشغال پیدا می‌کرد هر روز مفتی سوار اتوبوس بشه! در دبیرستان کوین تونست روشی رو ابداع کنه که برای تلفن‌های راه دور هزینه‌ای نپردازه (با ایجاد اختلال در شبکه مخابرات).ا ون همین‌طور پیشرفت کرد تا نهایتاً در اواخر قرن بیستم به صدر فهرست افراد wanted به خاطر جرایم رایانه‌ای رسید و نهایتاً در سال ۱۹۹۵ دستگیر شد!

کوین بعدها تبدیل به یک هکر کلاه سفید شد (یعنی کسی که به برای سوء استفاده، که برای کمک به ارتقای امنیت در دنیای رایانه‌ها دست به هک می‌زنه). دو سال بعد از آزاد شدنش، یعنی در سال ۲۰۰۲ کوین کتابی نوشت به نام «هنر فریفتن» و در اون اعلام کرد که کدوم تکنیک هک کردن رو بیشتر از بقیه استفاده کرده و بیشتر از بقیه ازش نتیجه گرفته: «مهندسی اجتماعی»!

مهندسی اجتماعی به طور خلاصه به این معنیه که هکر به جای این که کلی زحمت بکشه و با به کار گیری دانش فنی بالا و ابزار پیچیده، از یک نقطه ضعف فنی استفاده کنه تا (مثلاً) یک سایت رو هک کنه، به جاش خیلی ساده سعی می‌کنه که صاحب سایت رو فریب بده و اطلاعاتی رو ازش بگیره که منجر به حدس زدن پسورد ادمین سایت بشه! مهندسی اجتماعی، یکی از شایع‌ترین روش‌های هک هست!

یه مثال ساده (که واقعاً اتفاق افتاده) قضیه رو روشن می‌کنه: یک هکر بر می‌داره به تمام داخلی‌های یک شرکت زنگ می‌زنه و می‌گه که از technical support تماس گرفته چون بهش گفتن که کسی مشکل فنی با کامپیوترش داره. از بین چندین نفر، یکی‌شون پیدا می‌شه که واقعاً یه مشکل با کامپیوترش داره. هکر در حالی که داره اعتمادش رو جلب می‌کنه فرد رو مرحله به مرحله جلو می‌بره و بهش دستورهای پیچیده‌ای می‌گه که تایپ و اجرا کنه. در خلال این دستورها، مثلاً یک برنامه keylogger روی کامپیوتر قربانی نصب می‌شه و بعد هکر ازش می‌خواد که مثلاً به قسمت مدیریت وارد بشه. وقتی کارمند پسورد مدیریت رو بزنه، keylogger پسورد رو به هکر مخابره می‌کنه. در قدم‌های بعدی هم هکر مراحلی رو توضیح می‌ده که طی اون keylogger پاک می‌شه و دست آخر اصلاً می‌گه مشکل رو نمی‌شه تلفنی حل کرد و فردا حضوری خواهد اومد! کارمند هم که نفهمیده چه کار کرده دلش رو به فردا خوش می‌کنه! محصول کار: پسورد در دست هکره!

مثال‌های دیگه هم هست. هنوز هم در آمریکا بیشتر بانک‌ها برای خدمات تلفنی تنها چیزی که از مشتری می‌پرسن تا از هویتش مطمئن بشن، چهار رقم آخر Social Security Number و تاریخ تولده. دومی رو که همه دوستان شما در شبکه‌های اجتماعی (مثل فیس بوک) دارن! اولی هم با کلک‌هایی مثل بالایی قابل دست‌یابی هست. فکرش رو بکنید، یکی زنگ بزنه بانک و از حساب شما پول به حساب دیگه‌ای واریز کنه!

فکرش رو بکنید. اون‌ها می‌تونن برن به وبلاگ شما و درخواست پسورد جدید برای ادمین کنن و پسورد جدید رو توی ای-میل شما بگیرن! می‌تونن پسورد جدید برای حساب بانکی شما بگیرن. می‌تونن پسورد جدید برای حساب فیس بوک شما بگیرن! با داشتن پسورد ای-میل اصلی شما، اون‌ها می‌تونن پسورد همه چیزهای دیگه شما رو داشته باشن! و این روزها حتی فهمیدن ای-میل شما هم سخت نیست چون ماشالا دوستان این قدر چیز میز فوروارد می‌کنن که من نوعی می‌تونم آدرس ای-میل ده‌ها و شاید صدها نفر رو در فهرست گیرندگان یک ای-میل بی‌مزه که فوروارد شده، پیدا کنم!

هکرهای مدرن، این روزها تنها کاری که می‌کنن اینه که پسورد ای-میل شما رو پیدا کنن. این کار رو از هر راهی از جمله کلک‌های مهندسی اجتماعی یا با استفاده از ماحی‌گیری (phishing) انجام می‌دن و بعد … اون‌ها به یک منبع اطلاعاتی عظیم دسترسی خواهند داشت!

این اتفاق در حد یک قصه در وبلاگ من نیست؛ این اتفاقی هست که هر روزه داره رخ می‌ده و همه ما فکر می‌کنیم که هرگز قربانی اون نخواهیم بود! باور کنید که پیدا کردن پسورد یک نفر با روش آزمون خطا اصلاً ساده و سریع نیست! پسورد ادمین یکی از سایت‌هایی که من زمانی بهش کمک می‌کردم یک ترکیب دوازده کاراکتری از چند حرف کوچک و بزرگ و عدد بود. با فرض این که یه کامپیوتر بتونه در هر ثانیه ۵۰۰٬۰۰۰ پسورد رو چک کنه، پیدا کردن چنین پسوردی ده‌هزار سال می‌تونه طول بکشه! اما اگر هکر بدونه که ترکیب مورد نظر، شامل اسم کوچک ادمین سایت و دو رقم آخر سال تولدشه، یه دفعه تعداد مواردی که باید امتحان بشن پایین می‌آد و شاید ظرف یک ساعت دستی هم بشه پسورد رو پیدا کرد! فهمیدن سال تولد هم که با مهندسی اجتماعی ممکنه

بسیاری سایت‌های دولتی و خصوصی در دنیا تا حالا deface شدن (یعنی صفحه اولشون توسط هکر عوض شده). تقریباً در اکثر موارد اتفاقی که می‌افته این نیست که هکر مثلاً از فلان نقطه ضعف سرور ویندوز استفاده کرده باشه! بر عکس، هکر اول پسورد ادمین رو پیدا کرده و بعد مثل خود ادمین لاگین کرده و سایت رو پکونده! یا حتی مسخره‌تر از اون: از ای-میلی که آدرس شبیه ای-میل ادمین بوده، به شرکت میزبان وب خبر داده که مثلاً اطلاعات name server رو عوض کنن! توی ای-میل هم اطلاعاتی مثل تاریخ تولد و غیره رو که قبلاً با روش مهندسی اجتماعی آورده اضافه کرده تا شرکت میزبانی شک نکنه. نتیجه این شده که اون آدرس اینترنتی، به سرور جدیدی (که مال هکر هست) اشاره می‌کنه و مردم سایت جدیدی رو می‌بینن!

ای-میل ما (متاسفانه یا خوشبختانه) به هویت اینترنتی ما پیوند خورده. حالا وقتشه که در مورد چرت و پرت‌هایی که فوروارد می‌کنیم جدی‌تر تصمیم بگیریم!

برچسب‌ها: امنیت، ماحی‌گیری، مهندسی اجتماعی