درخواست‌های دوستی که کلاهبرداری از آب درآمد

به گزارش بولتن نیوز، امروزه تعداد زیادی از افراد با کارهای هکرها آشنایی دارند، آن‌ها داده‌های حساس بهره برداری کرده و سیستم‌های کامپیوتری سازمان‌های متنوع از جمله بانک‌ها و سازمان‌های دولتی را تحت کنترل در می‌آوردند. در قسمت اول این گزارش به تعریف مهندسی اجتماعی انواع و ترفندهای مهندسین اجتماعی برای اثر گذاری و فریب مخاطبان پرداختیم.

در قسمت بعدی این گزارش قصد داریم به تعدادی از روش‌های کلاهبرداری مهندسین اجتماعی در شبکه‌های اجتماعی از گذشته تا امروز بپردازیم:

گوگل و هکرهای چینی‌اش

در ابتدای سال ۲۰۱۰، گوگل تیتر خبر‌ها شد و افشا کرد که هکر‌های چینی به بخشی از سیستم آن نفوذ کرده‌اند. گوگل ادعا کرد که تعدادی از خدماتش با مشکل مواجه شده و نفوذ کننده‌ها می‌خواستند اطلاعات حساب جی میل تعدادی از فعالان حقوق بشر در چین را به دست بیاورند. جدای از گوگل، این مهندسان اجتماعی کمپانی‌های برجسته‌ دیگر نظیر Symantec adobe systems و یاهو را نیز هدف قرار داده بودند.

موفقیت مهندسان اجتماعی به هفته‌ها و ماه‌ها زمانی بستگی داشت که صرف هدف گذاری بر روی کارمندان گوگل و کسب اطلاعات از آن‌ها کرده بودند. آن‌ها ابتدا از اطلاعات کارکنان در شبکه‌های اجتماعی و سایر نقاط استفاده کردند. وقتی که اطلاعات لازم را دریافت کردند، پیغام‌هایی را در ظاهر از طریق یکی از دوستان یا مخاطبین فرستاده شده بود. کارکنان با گمان این که پیام واقعلا از طرف یک دوست آمده، بر روی لینک حاوی بدافزار کلیک کرند که در نهایت یک نرم افزار جاسوسی بر روی کامپیوترشان نصب گردید.

این حمله به گوگل برای مدت زمان طولانی برنامه ریزی و اجرا شد. مهندسان اجتماعی زمان لازم را برای جمع آوری اطلاعات و به دست آوردن اطمینان کارکنان گذاشتند تا توانستند ارتباط برقرار کرده و اطلاعات کسب کنند. از آنجایی که بسیاری از کمپانی‌ها از شبکه‌های اجتماعی به عنوان بخشی از استراتژی بازاریابیی خودشان استفاده می‌کنند، مهندسان اجتماعی می‌توانند به شکل راحت تری اطلاعات اهدافشان را به دست بیاورند. کمپانی‌ها، سواری از اجرای تاکتیک‌های بازاریابی خود در شبکه‌های اجتماعی، ساختار کمپانی خود را نیز نشان داده و اطلاعات مورد نیاز مهندسان اجتماعی را به صورت حاضر و آماده تقدیمشان می‌کنند.

افشای اطلاعات در ویکی لیکس

دوباره در همان سال ۲۰۱۰ اطلاعات دولتی به شدت محرمانه در ویکی لیکس افشا گردید که در آن از نقشه‌های موفق مهندسان اجتماعی بهره گرفته شده بود. بردلی مینینگ که سرباز ارتش آمریکا و مسئول پشتیبانی گردان در عراق بود، به این محکوم شد که اطلاعت محرمانه را در اختیار موسس ویکی لیکس یعنی جولین آسانژ گذاشته است.

مینینگ با دسترسی به شبکه پروتکل اینترنت مخفیانه که توسط امور خارجه و وزارت دفاع آمریکا استفاده می‌شود، توانسته بود اطلاعات محرمانه را کسب کرده و انتقال دهد. در همین میان آدرین لمو که پیش‌تر به عنوان هکر شناخته می‌شد، مینینگ را نزد مقامات لو داد و اعلام کرد که وی به شبکه اینترنت مخفی دسترسی داشته و داده‌ها را روی سی دی رایت می‌کند. همچنین مینینگ موفق شده بود دسترسی و دریافت اطلاعات محرمانه را به گونه‌ای انجام دهد که همکارانش فکر می‌کردند او در حال گوش کردن به موسیقی است.

درپی افشای اطلاعات بسیار محرمانه در ویکی لیکس سایر مهندسان اجتماعی نیز از این موضوع سوء استفاده کرده و پیغام‌هایی را با این دیالوگ شروع فرستادند: «آیا می‌خواهید فایل‌های ویکی لیکس را بخوانید؟ این جا را کلیک کنید.» وقتی که کاربران بر روی لینک کلیک می‌کردند؛ به یک فایل pdf می‌رسیدند که از طریق مهندسان اجتماعی می‌توانستند با javascript در کامپیوتر جست‌وجو کنند نسخه adode reader مورد استفاده در کامپیوتر را تعیین نمایند و بهره برداری‌های خود را بر اساس چنین نسخه‌ای انجام دهند. قربانیان اهمیتی نمی‌دادند که چرا بارگذاری این فایل طول می‌کشد، زیرا انتظار سند عظیمی را می‌کشیدند. در هر حال آن‌ها نمی‌دانستند که این بارگذاری سند نیست که طول می‌کشد بلکه بدافزار مهندسان اجتماعی که در دل آن گنجانده شده زمان‌بر است.

درخواست دوستی در فیس بوک

نقشه‌های مهندسان اجتماعی برای به دست آوردن اطلاعات مدام در حال تکامل است. این ابزار‌ها به صورت ویژه برای جمع آوری اطلاعات در سایت‌های شبکه‌های اجتماعی طراحی شده‌اند. در سال ۲۰۱۱ ابزاری تحت عنوان پروفایل خراب کن در فیس بوک توسعه داده شد که پایگاه ساخت آن به گروهی از محققین امنیتی در مصر می‌رسید. این ابزار ساخته شد تا نحوه‌ کلاهبرداری ساده افراد در فیس بوک را نشان دهد.

این ابزار مبتنی بر جاوا برای استفاده عموم منتشر شد. این ابزار داده‌های پنهان پروفایل فیس بوک که فقط دوستان کاربر می‌توانستند ببینند را به صورت خودکار جمع آوری می‌کرد. بر اساس گفته‌های توسعه دهندگان این ابزار درخواست دوستی را برای تعدادی از پروفایل‌های فیس بوک ارسال می‌کرد. وقتی که دریافت کننده این درخواست را تایید می‌کرد ابزار می‌توانست تمامی اطلاعات فهرست دوستان و عکس‌های پوشه‌ محلی وی را تصاحب کند.

توسعه دهندگان ادعا مردند که کلاه بردار یا مهندس اجتماعی می‌تواند صرفا با ساختن یک حساب جدید اطلاعات مربوط به پروفایل فیس بوک را بدست بیاورد. گس از ساخت حساب مهندسی اجتماعی از طریق یک افزونه دوست یابی تمامی دوستان کاربر هدف را دعوت به دوستی می‌کند تا تعدادی دوست مشترک میانشان وجود داشته باشد.

در ادامه مهندس اجتماعی از افزونه کپی کردن استفاده کرده و یکی از دوستان کاربر را انتخاب می‌کند. این افزونه نام کاربری و عکس دوست منتخب را کپی کرده و آن را بر روی حساب مجاز خودش قرار می‌دهد. در ادامه و از این طریق درخواست دوستی به حساب کاربر ارسال می‌شود و وقتی که توسط آن فرد تایید گردید ابزار شروع به ذخیره تمامی اطلاعات برچسب‌ها تصاویر و صفحات HTML قابل دسترسی می‌نماید؛ بدین ترتیب می‌تواند به صورت آفلاین تمامی آن‌ها را زیر نظر بگیرد. با این که شاید دیر شده باشد اما کاربر می‌تواند در صورت متوجه شدن با حساب جعلی قطع دوستی کند با توجه به اینکه مهندس اجتماعی می‌تواند به قلب اطلاعات کاربر نفوذ کند می‌تواند تعدادی از نقشه‌های خود را در آن جا پیاده کند و وقتی اطلاعات شخصی کاربران را به دست بیاورند می‌توانند نقشه‌های قانع کننده تری را انجام دهند.

هدف اصلی از انتشار این ابزار توسط توسعه دهنده این بود که کاربران از وقایع رخداده در دنیای وب علی الخصوص شبکه‌های اجتماعی آگاه‌تر شوند. توسعه دهندگان ادعا کردند که ابزارشان برای آگاهی عموم ساخته شده و می‌خواهند احتیاطشان در کار‌های آنلاین بیشتر شود.