کتاب(ها):

اندیشه های یک هکر/مولف:وحید گودرزی/انتشارات کیان رایانه/+سی دی همراه که شامل کدها و نرم افزارها و غیره مربوط کتاب هست...

آموزش هک و ضد هک از مجموعه کتاب های آیا می دانید که...؟/مولف:مهندس کامیار کاظمی/انتشارات پل و نشر خلاق...

آموزش شبکه از مجموعه کتاب های آیا می دانید که...؟/مولف کامیار کاظمی/انتشارات پل و نشر خلاق...

آشنایی با لینوکس از مجموعه کتاب های آیا می دانید که...؟/مولف کامیار کاظمی/انتشارات پل و نشر خلاق...

____________________________________________________________________________________

چندرسانه ای:

یک پک خیلی جالب هست که اسم اون مجموعه آموزشی سرباز هست که من خودم تو میدان انقلاب تهران پیدا کردم که بعید می دونم پیداش کنید...این مجموعه دو سی دی و یک دی وی دی هست که شامل ترفندهای جالب یاهو همراه با نرم افزارها مربوطه+کلی کلیپ های آموزشی هک و ضد هک.قیمت این مجموعه که من خریدم 15000 تومان بود که البته نسخه جدیدشه و اینم بگم که تا کتابهای بالا و منابع ساده تر رو تجزیه و تحلیل و مطالعه نکنید شاید این مجموعه به اندازه کافی مفید واقع نشه...

یه مبحثی به نام مهندسی اجتماعی هم هست که من خودم از اون خیلی نتیجه گرفتم که آموزش کامل و دقیق همراه با مثال های کاربردی داخل همین وب در بخش هک و امنیت قرار دادیم...

شما اگر هک رو دوست دارید میتونید به انواع سایت ها و وب ها مراجعه کنید و در هر سایت و وب اطلاعاتی کسب کنید.

یک انجمن خوب در زمینه هک و امنیت انجمن : آشیانه هست که در تهران کلاس هایی رو بر گزار میکنه در همین زمینه البته مبلغ شهریه این کلاس ها بالا هستند...

در حال حاضر شما اگر به هک علاقه دارید باید بیشتر به منابع انگلیسی معتبر سر بزنید چرا که این مقالات به روز تر و جامع تر هستند...

"اف. بی. آی" (پلیس فدرال آمریکا) و مقامات بین‌المللی، هکری را که مسئول ایجاد کد یک ویروس خطرناک بود دستگیر کردند. این ویروس توانست بیش از 12 میلیون رایانه را در 190 کشور آلوده کند و به پایگاه‌ داده‌های بسیاری از بانک‌های دنیا آسیب برساند.

به گزارش خبرگزاری مهر، این جوان 23 ساله که "ایزردو" نام دارد پس از تجسس‌های سخت پنج ماهه پلیس جنایی اسلونی، اف. بی. آی آمریکا و گارد شهری اسپانیا در "ماریبور" اسلونی دستگیر شد.

این جوان یک سازمان جنایتکاری انفورماتیکی به نام "بوت نت ماریپوزا" را ایجاد کرده بود. در این باند تبهکاری، یک جوان 31 ساله اهل باسک اسپانیا نیز وجود دارد که اتهام وی سرقت شماره‌ها و رمزهای عبور کارت‌های اعتباری، اطلاعات شخصی و اعتبارات بانکی بیش از 800 هزار نفر است.

این سازمان خطرناک موفق شده بود از طریق ضعف امنیتی مرورگر اینترنت اکسپلورر، کاربران را شناسایی کرده و سپس پورت‌های "یو. اس. بی" آنها را برای ورود به نرم‌افزار پیام‌های فوری "ام. اس. ان" مایکروسافت آلوده کند.

جفری تروی مدیر بخش انفورماتیک "اف. بی. آی" تایید کرد که دستگیری "ایزردو" که 10 روز قبل اتفاق افتاد، یک ضربه بزرگ به بدنه این تشکیلات تبهکاری وارد کرده است.

"بوت نت ماریپوزا" یکی از بزرگ‌ترین تشکیلات جنایت‌های انفورماتیکی در دنیا به شمار می‌رود.

برای به دست آوردن پسورد یک آی دی قربانی ابتدا وارد ایمیل خود شده و در قسمت ارسال ایمیل بروید.

در قسمت to آدرس سرور مجازی پلیس یاهو را وارد میکنیم:

sopolice@yahoo.com

در قسمت subject آدرس ایمیل قربانی را بنویسید.

و داخل نامه به صورت زیر عمل کنید:در قسمت اول آی دی خود را وارد کنید.در قسمت دوم پسوردتان را وارد کنید.و در قسمت سوم آدرس ایمیل قربانی را به صورت کامل وارد کنید.

Yahoo ID

Password

Mail ddl

نکته:این روش بسیار ایمن بوده و جای نگرانی ندارد.این سایت در قبال هر گونه اتفاقی هیچ مسئولیتی ندارد.

بعد از بیست و چهار الی چهل و هشت ساعت پسورد قربانی به طور صحیح باسرور مجازی به ایمیل شما فرستاده می شود.

امید وارم از این آموزش لذت برده باشید.

منبع:آشیانه

از منوی start وارد پنجره RUN شوید و کلمه CMD را تایپ کنید.

حال وارد فضای سیاه رنگی می شوید که اصطلاحا داس نامیده می شود.

در پنجره داس کلمه IPCONFIG را تایپ کنید و دکمه ENTER را بزنید.

همان طور که مشاهده می کنید آدرس آی پی شما با عددی مشخص شده.

نکته:برای درک بهتر این مفاهیم به تصویر بالا به خوبی دقت کنید و حدالامکاناین کار را به صورت عملی م انجام دهید.

امروزه اکثر افرادی که با کامپیوتر سرو کار دارند از حافظه های USB برای انتقال و یا نگه داری برخی از اطلاعات خود استفاده می‌کنند و معمولاً این حافظه‌ها را همراه خود حمل می‌کنند. اطلاعات ذخیره شده برروی درایوهای اکسترنال بصورت پیش فرض رمز گذاری نمی‌شوند. حال اگر اطلاعات مهمی برروی حافظه USB خود داشته باشید و آن را گم کنید چه اتفاقی برای اطلاعات شما خواهد افتاد؟ ممکن است شخصی از اطلاعات شما سوء استفاده کند. در این آموزش نحوه رمزگذاری درایوها USB را آموزش خواهیم داد.
(این آموزش تنها در ویندوز 7 امکان پذیر است.)
حافظه USB خارجی (Flash Memory یا HDD External) را به پورت USB متصل کنید و در Explorer برروی درایو آن دکمه سمت راست ماوس را فشار داده و گزینه Turn on BitLocker را انتخاب کنید.
گزینه Use Password to unlock the drive را انتخاب نمایید و رمز عبور مورد نظر خود را در قسمت Enter your password وارد کنید. پس از آن از شما در خواست می شود تا کلید بازیابی را چاپ کنید و یا برروی یک فایل ذخیره کنید تا در صورتی که رمز را فراموش کردید از طریق این فایل بتوانید اطلاعات را بازیابی کنید. فایل ذخیره شده و یا چاپ شده را در جای مناسب و امن نگه داری کنید.
برروی دکمه Next کلیک کنید و سپس Start Encrypting را انتخاب کنید. اگر حجم اطلاعات شما زیاد باشد، عملیات رمزگذاری زمان زیادی طول خواهد کشید.
زمانی که عملیات رمزگذاری به پایان می رسد هر زمان که درایو را به یک کامپیوتر مجهز به سیستم عامل ویندوز متصل کنید قبل از دسترسی به اطلاعات از شما رمزعبور درخواست می شود.

1-    از آدرس ایمیل خود محافظت کنید
ممکن است به رستوران و یا هتلی رفته باشید و در برگه‌ی اطلاعات هتل و یا کارت نظردهی رستوران از شما بخواهند که ایمیل‌تان را وارد کنید. 
همچنین اکثر وب‌سایت‌ها برای ارائه خدمات رایگان از کاربر می‌خواهند حساب کاربری رایگان با ایمیلی معتبر بسازد. اما هزینه‌ی این خدمات رایگان به شکل دیگری باید پرداخت شود. 
بسیاری از شرکت‌ها این آدرس‌های ایمیل‌ را جمع آوری کرده و ایمیل لیست‌های مختلفی می‌سازند که متناسب با علاقه‌ی کاربران دسته بندی شده است. این ایمیل لبست‌ها به شرکت‌های تبلیغاتی و تجاری فروخته می‌شوند. به این صورت کاربران ناخواسته درگیر این تجارت پرسود شده و روزانه ده‌ها هرزنامه دریافت می‌کنند. 
2-    قوانین مربوط به حریم خصوصی را بررسی کنید
قبل از ثبت آدرس ایمیل‌تان برای دریافت هرگونه خدمات و یا اطلاعات، بخش مربوط به سیاست حریم خصوصی وب‌سایت مورد نظر را بررسی کنید. در این بخش به کاربران توضیح داده شده است که از اطلاعات خصوصی‌شان چگونه محافظت خواهد شد و آیا در اختیار شرکت‌های دیگر قرار خواهد گرفت یا نه! 
3-    به گزینه‌های پیش‌فرض دقت کنید
وقتی برای ثبت نام در یک سرویس اینترنتی اطلاعات خود را وارد می‌کنید به گزینه‌هایی که به صورت پیش‌فرض انتخاب شده‌اند دقت کنید. در برخی مواقع این وب‌سایت‌ها از شما سوال می‌کنند که می‌توانند به صورت مرتب خبرنامه خود را برای شما ارسال کنند. با عدم انتخاب این گزینه‌های پیش‌فرض از دریافت خبرنامه‌ها و تبلیغات روزانه و هفتگی این وب‌سایت‌ها راحت شوید.  
4-    استفاده از فیلتر
بسیاری از شرکت‌های سرویس ایمیل به شما این امکان را می‌دهند که ایمیل‌های دریافتی خود را پالایش کنید. این کار می‌تواند بر اساس یک کلمه و یا یک عبارت مشخص صورت گیرد.
5-    پیام را به عنوان اسپم گزارش کنید
برخی سرویس‌ها این خدمات را ساده‌تر و هوشمندتر ارائه می‌کنند. به عنوان نمونه در سرویس جی‌میل کاربر می‌تواند با انتخاب پیام دریافتی و فشار دادن دکمه Report messages as spam، ایمیل را به بخش مربوط به هرزنامه‌ها بفرستد و پس از آن اطمینان حاصل کند که ایمیل‌های مشابه (از نظر عنوان و فرستنده و گاهی محتوا) در بخش اصلی ایمیل جمع نخواهند شد. 
همچنین این سرویس در جی‌میل این امکان را می‌دهد که آدرس ایمیل کاربر به صورت اتوماتیک از ایمیل لیست و یا ایمیل اعضای گروه‌های اینترنتی، حذف شود. 
6-    به ایمیل‌های حاوی لینک‌ توجه کنید
یک روش ساده آلوده کردن سیستم ایمیل کاربران و یا سرقت اطلاعات کامپیوترها ارسال ایمیل‌هایی است که حاوی یک لینک آلوده است. 
در این روش با استفاده از تیترهای جذاب کاربران تشویق به دیدن عکس، فیلم و ... می‌شوند. بسیاری از کاربران کنجکاو نیز فریب این روش را می‌خورند و در نهایت به دام این اسپم‌ها می‌افتند. 
توجه کنید که آلوده شدن شما به این نوع هرزنامه‌ها دوستان و کسانی را که با آنها ارتباط ایمیلی دارید، آلوده می‌کند. پس همه نکات را که به امنیت شما در فضای مجازی کمک می‌کند جدی بگیرید. همچنین تلاش کنید که اطلاعات خود مرتب را بروز کنید.

Richard Matthew Stallman مایکروسافت را پکاند ...!
ریچارد متیو استالمن در دنیای مجازی به عنوان هکر شناخته نمی شود بلکه او را به عنوان رهبر مبلغان نرم افزارهای آزاد می شناسند. اما همین رهبر به علت قدرتی که در برنامه نویسی دارد هکر ماهری هم هست. در ضمن او از دشمنان سرسخت مایکروسافت است.

در دسته بندی هکرها یک هکر کلاه سفید است و در دنیای مجازی تا به حال خرابکاری نکرده ولی مانند هر هکری به حریم شخصی اعتقاد ندارد و می گوید تمام اطلاعات دنیا باید به اشتراک گذاشته شود.

این هکر روسی کنفرانس های بسیاری درباره هک و هکرها برگزار کرده و چهره هکرهای واقعی را به دنیا نشان داده است. یکی از کارهای معروف او هک کردن قوی ترین سیستم امنیتی مایکروسافت است.

استالمن درحالی که نماینده مایکروسافت در کنفرانس و در حال توضیح دادن همین مثلا قوی ترین سیستم امنیتی بود به شبکه نفوذ کرد و در مقابل همه حضار و تنها در مدت 8 دقیقه، نرم افزار را هک کرد و در فهرست سیاه مایکروسافت قرار گرفت.

---

David Smith خالق ملیسا ...!
آیا تا به حال اسم ویروس ملیسا به گوش شما خورده است؟ این ویروس که فقط از طیق ای میل منتقل می شود، توسط دیوید اسمیت نوشته شد که برای یک دهه کل شبکه پست الکترونیکی را بدنام کرد.

ملیسا یک ویروس ساده است که روی ای میل ها می نشیند و اطلاعاتی ناخواسته را برای همان ای میل ارسال می کند. ملیسا در عرض یک هفته به 80 سرور مختلف دسترسی پیدا کرد و اطلاعات آنها را برای افراد مختلف ارسال می کرد و سپس رمز عبور ای میل را برای دیوید اسمیت می فرستاد تا به تمام اطلاعات دسترسی داشته باشد.

اگرچه تا آن موقع 60 هزار ویروس برای ای میل وجود داشت اما این رویروس خطرناک ترین اعلام شد و حتی خود اسمیت هم نتوانست آن را غیرفعال کند. این ویروس همچنان در دنیای مجازی به فعالیت اش ادامه می دهد.

---

Robert Morris خالقی کرمی که اینترنت را به هم ریخت ...!
رابرت موریس سال 1988 یک کرم اینترنتی طراحی کرد. ویژگی این کرم این بود که نیازی به دانلودشدن نداشت و فقط با بازکردن یک سایت به سیستم کاربر منتقل و در عرض یک ساعت آن قدر تکثیر می شد که حافظه رم را پر می کرد. این کرم در عرض یک هفته حدود یک دهم اینترنت را آلوده کرد و بسیاری از سرورها و سایت ها را به تعطیلی کشاند.

موریس در همان سال دستگیر شد و در حالی که ابراز پشیمانی می کرد، گفت: فقط قصد داشته با یک نفر شوخی کند. او به دلیل آلوده کردن اینترنت بزرگ ترین هکر آن سال شناخته شد و به پرداخت جریمه 15 میلیون دلاری و پاک کردن کل اینترنت از این کرم محکوم شد با اینکه کرم را کاملا از بین برد ولی چون این نرم افزار قابلیت خود تکاملی داشت، هنوز در بعضی قسمت ها نوادگان این کرم به صورت هرزنامه دیده می شوند، موریس با اینکه جریمه شده بود ولی سال های بعد هم دست به اقدامات مشابهی زد.

---

Vladmir Levin جیمزباند هکرها ...!
ولادیمیر لوین از قوی ترین هکرهای کلاه قرمز محسوب می شود او اهل سن پترزبورگ روسیه است و یک ریاضیدان برجسته به شمار می رود.

لوین، سال 1994 به سیتی بانک که یکی از بانک های جهانی است تنها با استفاده از یک لپ تاپ ساده نفوذ کرد. در ابتدا نتوانسته بود کار خاصی انجام دهد ولی بعد از یک ماه با پیدا کردن یک حفره امنیتی در سیستم بانک موفق شد به تمام حساب های موجود در این بانک دسترسی پیدا کند. او در ابتدا چند حساب مجازی به وجود آورد و سپس از حساب کاربران تمام جهان مبلغ 10 میلیون و 400 هزار دلار را به حساب مجازی خود منتقل کرد. یک هفته بعد در اثر یک اشتباه کوچک پلیس بین المللی او را شناسایی و دستگیر کرد لوین هنوز در زندان است و
به عنوان هکر عمر کوتاهی داشته است ولی به علت حرفه ای عمل کردن به او «جیمزباند هکرها» می گویند.

---

Steve Jobs / Steve Wozniak 7 دقیقه و 43 ثانیه مکالمه رایگان ...!
جابز و وزنیاک از بنیانگذاران شرکت اپل هم هکر بودند آن هم از دسته کلاه سیاه! آنها از همان روزگار جوانی با یکدیگر همکار بودند و قسمتی از دوره جوانی خود را به عنوان هکر زندگی کردند. وزنیاک و جایز در زمینه هک تلفن ها و ایجاد ارتباطات بدون هزینه فعالیت می کردند. آنها موفق شدند جعبه های کوچکی طراحی کنند که به مردم اجازه می داد بدون هزینه به مدت 7 دقیقه و 43 ثانیه مکالمه رایگان داشته باشند. بیشتر مشتریان آنها دانشجویانی بودند که برای تحصیل به آمریکا می رفتند و می خواستند برای ارتباط برقرارکردن با خانواده خود هزینه کمتری بپردازند. نرم افزار Skype که امروزه مورد استفاده قرار می گیرد بعدا براساس ایده جابز و وزنیاک ساخته شد.

---

Kevin Poulsen دانته تاریک...!
کوین پولسن، متخصص هک از طریق امواج رادیویی است او بیشتر هک های خود را از طریق تلفن همراه انجام داده است. پولسن بارها و بارها به شبکه های تلفنی مانند AT&T نفوذ کرده و سیستم آنها را به مدت چند ساعت و حتی چند روز از کار انداخته است ولی شهرت خود را به علت هک تاریخی مخابرات واحد شبکه رادیویی KIISFM لس آنجلس آمریکا به دست آورد و از آن روز در جامعه هکرها با نام دانته تاریک شناخته شد.

شبکه رادیویی KIISFM در سال 1991 یک مسابقه رادیویی برگزار کرده بود و به برنده مسابقه اتومبیل پورشه مدل S2944 جایزه می داد. در آن زمان پولسن بسیار جسورانه عمل کرد او تصمیم گرفت برنده پورشه باشد سیستم مخابرات را هک کرد و تمام تماس های تلفنی به شبکه رادیویی را مسدود کرد. سپس برای لونرفتن هک دیگری در شبکه تلفنی انجام داد و با شبکه، 102 تماس تلفنی تقلبی برقرار کرد که هرکدام برنده می شدند در حقیقت او برنده شده بود.

از آنجا که فکر برنده شدن او را از سیستم های امنیتی خود غافل کرد همان روز توسط هکرهای FBI هک و دستگیر شد. پولسن که برای بردن جایزه تمام سیستم مخابراتی کشور را مختل کرده بود به 51 ماه حبس و پرداخت جریمه نقدی محکوم شد.

---

Yan Romanovsky: پسر مافیایی...!
یان رومانوسکی یکی دیگر از هکرهای مخوف روسی است. او تا به حال صدمات بسیاری به اینترنت وارد کرده است. رومانوسکی که به نام مافیابوی نیز شناخته می شود به سایت هایی مانند یاهو، ای بی، آمازون و... حمله کرده است.

حملات او ماه ها کار این سایت ها را به تاخیر انداخته و صدمات مالی جدی به آنها وارد کرده است. بعد از حمله سال 1998 او به فروشگاه اینترنتی ای بی  تمام حساب های شرکت خالی شد و تا مرز تعطیلی پیش رفت ولی رومانوسکی مقداری از پول ها را برگرداند و گفت اگر ای بی تعطیل شود من سرگرمی شب های تعطیلم را از دست می دهم.

سرانجام او در فوریه سال 2000 دستگیر شد. در دادگاه هیچکدام از اعمال خود را انکار نکرد. وکیل او گفته بود اگر رومانوسکی می خواست می توانست آسیب های غیرقابل تصوری به شما وارد کند. رومانوسکی از طریق یک اسکریپت به نام Kiddie حملات خود را انجام می داد و تا سال 2000 که او این اسکریپت را در ازای آزادی اش نفروخته بود هیچ کس آن را نمی شناخت و راهی برای مقابله با آن وجود نداشت. امروزه این اسکریپت حداکثر می تواند در حد یک هرزنامه عمل کند و خطری ندارد.

---

Gary Mcknnon: متواری همیشگی ...!
در سال 2002 یک پیغام عجیب روی صفحه اصلی سایت ارتش آمریکا ارسال شد «سیستم امنیتی شما مختل شد. من به تنهایی این کار را کردم».

مک کینن، مدیر یک شرکت کامپیوتری اسکاتلندی است. او اولین کسی بود که موفق شد یک نفره تمام سیستم های قوای دریایی، زمینی و هوایی ارتش آمریکا به همراه ناسا و 97 شرکت عظیم کامپیوتری را در عرض یک شب هک کند.

مک کینن معتقد بود آمریکا اطلاعات محرمانه ای را روی سرورهای خود نگهداری می کند و می خواست به آنها دسترسی پیدا کند البته نتیجه هک های یک شبه اوتنها خسارت 700 هزار دلاری بود که به آمریکا وارد شد. مک کینن بعد از انجام این هک از اسکاتلند فرار کرد و تا به امروز پیدا نشده است. به همین دلیل اسرار هک او هنوز فاش نشده است.

---

George Hotz: سونی را به زانو درآورد...!
جورج هاتز بزرگ ترین هکر سال 2011 است. هاتز اسم مستعار است و تا به حال اسم واقعی او معلوم نشده ولی همه ما او را با هک کردن شرکت سونی و دستگاه پلی استیشن 3 می شناسیم. از آن موقع او را به عنوان هنرمند هکرها نیز شناخته شده روش فرار از زندان او شاهکاری در دنیای هک محسوب می شود.

او توانست با استفاده از روش ابداعی خودش تمام اطلاعات استفاده کنندگان از PS3 از اسم گرفته تا شماراه حساب و آدرس محل سکونت را دربیاورد و شناسایی هم نشود. هاتز این حمله را در دو نوبت انجام داد و در هر دو نوبت هم پیروز شد و سونی را تا مرز سقوط پیش برد.

او در آوریل همان سال روش فرار از زندان خود را به صورت عمومی انتشار داد و شرکت سونی را بسیارکرد زیرا با این روش بازی های PS3 هم که گفته شده بود کرک نمی شوند، کرک شدند. به این ترتیب سونی تا هنگامی که برای این محصول بازی تولید می کند متحمل ضرر و زیان خواهد شد.

تصویر بالا نشان دهنده هک شدن صفحه ای از ویکی پدیای فارسی را نشان می دهد که در آن عباراتی بر علیه اسرائیل و صهیونیسم و ...نوشته شده است.این صفحه ساعتها به این شکل مانده بوده است.توسط ssn 

صفحه را کپی و آن را زوم(بزرگنمایی)کنید تا واضح تر تماشا کنید.

در شبکه های بیسیم همواره دغدغه امنیت مطرح بوده است. برای ایجاد امنیت و حفظ حریم خصوصی در این شبکه ها (مانند شبکه های سیمی) از پروتکل ها و روش های متفاوتی استفاده می شود که در این مقاله به بررسی دو پروتکل متداول خواهیم پرداخت:

WEP) Wirless Equivalency Porotocol)

یکی از روش های ابتدایی حفظ امنیت در شبکه های بیسیم استفاده از پرتکل WEP است. این پروتکل در لایه Mac در پروتکل 802.11 قرار دارد، اما WEP دارای مشکلات متعددی از جمله موارد زیر می باشد:
  1) WEP تنها به شبکه های بیسیم اعمال می شود، پس در شبکه های ترکیبی کاربردی ندارد.
  2) WEP چندان قوی نیست اما بودنش بهتر از نبودنش در شبکه است.
  3) در WEP کلیدها به صورت دوره ای و خودکار تغییر پیدا نمی کنند و باید به صورت دستی آنها را تغییر داد، این در حالی است که تغییر کدگذاری ها دائما و به صورت خودکار نیاز به تغییر دارند.
  4) کلیدها کوتاه، 40 بیتی و به صورت اشتراکی استفاده می شوند.
  5) امکان تشخیص هویت وجود ندارد و فقط بر اساس SSID شناسایی انجام می شود.
  6) نفوذ به این پروتکل به سادگی قابل انجام است. این کار به کمک نرم افزار WinAirCrack قابل انجام است.
توصیه می شود در شبکه هایی که امنیت داده ها بسیار مهم است از این پروتکل امنیتی استفاده نشود.

WPA) WiFi Protected Access)

WPA راهی ساده به سوی شبکه های بیسیم امن است بدون اینکه نیازی به تغییر کلیدها به صورت دستی باشد. WPA دو نوع کلی دارد:
  1) نوع گسترده یا WPA Enterprise. این نوع به Radius server نیاز دارد.
  2) نوع شخصی برای کاربرد در سطح کوچک یا WPA Personal به این نوع WPA-PSK نیز می گویند.
WPA Personal که عموما مورد استفاده قرار می گیرد اجازه دسترسی به Access Point را به کمک یک کلمه عبور عمومی می دهد. این استاندارد توسط مجتمع WiFi تهیه شده است. WPA نیز مانند پروتکل های امنیتی دیگر، دارای ویژگی های مثبت و منفی است، از جمله ی این ویژگی ها می توان به موارد زیر اشاره کرد :
  + امکان تشخیص هویت در این پروتکل وجود دارد.
  + WPA بصورت توکار از ابزارهایی که تنها با WEP کار میکنند، پشتیبانی می کند.
  + نفوذ به این پروتکل به سادگی قابل انجام نمی باشد.
  - توسعه بیش از حد WPAباعث پیچیدگی این استاندارد شده است (مگر مواقعی که به صورت WPA-PSK مورد استفاده قرار می گیرد).
  - با سیستم عامل های قدیمی مثل ویندوز 95 سازگار نمی باشد.
  - WPA سربار بیشتری نسبت به WEP دارد.
  - WPA نسبت به حملات DOS آسیب پذیر است.

حریم خصوصی، واژه ای که با پیشرفت تکنولوژی معنای جدیدی به خود گرفته است!
امروزه حفظ حریم خصوصی و یا نگهداری از اطلاعات شخصی خود یکی از مسائل بسیار مهم روز به شمار می رود. برای حفظ این حریم خصوصی باید علم و معلومات کافی داشته باشیم. هنگام انتخاب یک کلمه عبور باید این اصل بسیار ساده را بدانیم که یک کلمه عبور باید به قدری مشکل باشد که یک برنامه ی رمز شکن نتواند آن را به راحتی تشخیص دهد. پس برای انتخاب کلمه عبوری مناسب و در عین حال پیچیده باید به مواردی توجه کرد که ما در این قسمت به آنها اشاره می کنیم:

1. کلمه عبور باید طولانی باشد: با هر کاراکتری که به کلمه ی عبور خود اضافه می کنید، امنیت آن را افزایش می دهید. طول کاراکتر های یک پسورد مناسب می تواند 8 یا بیشتر باشد. 15 کاراکتر یا بیشتر یک کلمه عبور بسیار ایده آل است (مانند: abcdefghijklmnp).
2. برای ایجاد کلمه عبور از حروف کوچک و بزرگ به صورت ترکیبی مثلا یک در میان استفاده کنید (مانند: aBcDeFgHiJkL).
3. یک کلمه عبور باید ترکیبی از حروف و اعداد باشد که ترجیحا یکی در میان به کار روند (مانند: a1b5c6k9g6).
4. برای ایجاد کلمه عبور از حروف اول کلمات یک جمله استفاده کنید (مانند: What Is Your Name? > WIYN).
5. می توانید عدد و یا تاریخی را در نظر بگیرید و با نگه داشتن دکمه ی shift آن را تایپ کنید (مانند: @))@?$?!* < 2002/4/18).
6. برای ایجاد کلمه عبور لغتی را در نظر بگیرید و سپس حروف سمت راست یا چپ حروف اصلی را که بر روی صفحه کلید قرار دارند، وارد کنید (مانند: HELLO > GWKKI).
7. برای ایجاد کلمه عبور یک لغت را در نظر بگیرید و جای حروف آن را با هم عوض کنید. مثلا حرف اول با حرف آخر عوض شود و حرف دوم با یکی ماقبل آخر و به همین ترتیب تا انتها ادامه دهید (مانند: sahar > rahas).

1. در ایجاد یک کلمه عبور نباید از کاراکترها و اعداد تکراری در کنار هم استفاده شود (مانند: AA55BB) .
2. در ایجاد یک کلمه عبور نباید تنها از جایگزینی حروف با اعداد و سمبل های مشابه استفاده کرد (مانند: !@#$ < 1234).
3. در ایجاد یک کلمه عبور نباید از نام کاربری خود استفاده کنید زیرا سودجویان به راحتی کلمه عبور شما را شناسایی می کنند (مانند: Ali Mirzaei).
4. باید به این نکته توجه داشته باشید که از یک کلمه عبور نباید در چند محیط استفاده کنید (مانند: استفاده از پسورد ایمیل برای پسورد ویندوز).
5. توجه داشته باشید نباید کلمه عبور خود را در سیستم های ذخیره سازی آنلاین ذخیره کنید. به خصوص اگر در محیط عمومی مانند کافی نت ها به شبکه متصل شده اید.

VPN سرویسی که به شما این امکان را میدهد تا از طریق یک سرور به صورت خصوصی به شبکه سراسری از طریق اینترنت متصل شوید. یک اتصال VPN از هر نقطه دنیا، میتواند موقعیت مکانی شما را متفاوت نشان دهد. زیرا بنابراین با استفاده از این نوع اتصال به یک شبکه (مانند اینترنت) درخواستهای شما بدون هرگونه فیلترینگ نمایش داده میشود. یکی از مزایای استفاده از این سرویس، تبادل اطلاعات از طریق اینترنت برای سایتهایی است که ایران را بر اساس آدرس IP از دسترسی آزاد به اطلاعات بازمیدارند. زمانی که شما از سرویس VPN استفاده میکنید، یک کاربر از کشوری دیگر (مثلا آمریکا) محسوب میشوید. همچنین به وسیله این سرویس میتوانید نرم افزارهایی که به دلیل تحریم قابل بروز رسانی نیستند را به روز کنید. دیگر مزیت جدید استفاده از VPN، استفاده از سرویس Phone To Phone شرکت Skype میباشد. شرکت Skype سرویس Phone To Phone خود را به صورت رایگان در اختیار کشور آمریکا و کانادا قرار داده است. شما میتوانید با استفاده از سرویس VPN، به عنوان یک کاربر آمریکایی به رایگان برای تماس با دوستان خود در این دو کشور استفاده نمایید. دیگر موارد استفاده از VPN:

• تماس رایگان با کشور آمریکا و کانادا از طریق سرویس شرکت Skype
• تبادل مالی و سازگاری با تمام سایتهای تجارت الکترونیک.
• سازگار با تمامی سایتهای ارتباط جمعی.
• استفاده بدون محدودیت در سرعت، زمان و پهنای باند.
• تغییر هویت شما از ایرانی به آمریکایی IP Daynamic
• امنیت بالا برای انجام معاملات آنلاین.
• کد کردن اطلاعات ورودی و خروجی تبادل شده در اینترنت.
• جلوگیری از شنود و پیگیری اطلاعات محرمانه شما.
• بروز رسانی ویندوز و آنتی ویروس.
• دسترسی به سایتهای اینترنتی بسته شده بدون محدودیت و سازگار با تمام ارتباطات و اتصالات اینترنتی.
• مبارزه با تحریماتی که برای کاربران ایرانی در اینترنت اعمال شده است.
• بدون محدودیت سایتهای اینترنتی را برای شما باز خواهد کرد.

مقدمه

مهندسی اجتماعی هم بسيار پيچيده و هم بي‌نهايت ساده است. اما واقعاً اين عبارت چه معنايي دارد؟ مهندسي اجتماعي درواقع به معناي كار روي يك شخص، باهدف ترغيب وي به انجام كارهايي براي حصول فرد ترغيب‌كننده به اهدافي چون دستيابي به داده‌ها، اطلاعات دسترسي يا دستكاري سيستم يا شبكه هدف براي انجام كاري خاص تعريف مي‌شود. به واسطه طبيعت رازگونه اين مهارت تاريك، معمولاً افراد از آن گريزان بوده و احساس مي‌كنند قادر به اجراي يك آزمون موفق مهندسي اجتماعي نمي‌باشند. اگرچه هر زمان كه شما سعي در وادار نمودن كسي به انجام كار موردنظر خود نماييد، يك عمل مهندسي اجتماعي را انجام داده‌ايد. از يك كودك كه سعي در وادار نمودن والدين به خريد اسباب‌بازي موردنظر خود مي‌نمايد تا تلاش افراد بزرگسال براي بدست آوردن يك شغل يا ارتقاء شغلي، همگي شكلي از مهندسي اجتماعي را در برمي‌گيرند.
مهندسي اجتماعي، از ضعيف‌ترين اتصال در خطوط دفاعي امنيت اطلاعات هر سازمان، يعني نيروي انساني بهره‌گيري مي‌نمايد. به زبان ساده، مهندسي اجتماعي، به معناي «هك كردن» افراد بوده و با سوءاستفاده از طبيعت اعتماد متقابل بين انسان‌ها، به اطلاعاتي كه مي‌توانند براي كسب منا فع شخصي مورد استفاده قرار گيرند، دستيابي حاصل مي‌گردد.

اصول مهندسي اجتماعي 

هكرها معمولاً وانمود مي‌كنند شخص ديگري هستند تا بتوانند به اطلاعاتي دسترسي پيدا كنند كه در غيراين صورت براي آنها غيرقابل دسترسي خواهند بود. آنها اطلاعات بدست آمده از قربانيان خود را جمع‌آوري كرده و به منابع شبكه حمله مي‌كنند، فايل‌ها را سرقت يا حذف مي‌نمايند و حتي اقدام به جاسوسي صنعتي يا ساير انواع جرائم بر عليه سازمان‌هايي كه مورد حمله قرار داده‌اند، مي‌كنند. مهندسي اجتماعي با مشكلات امنيت فيزيكي نظير جاسوسي سيستم‌ها (مثلاً سرك كشيدن براي مشاهده كلمه عبور كارمندي كه درحال Login به سيستم مي‌باشد) يا جستجوي زباله‌ها (براي يافتن اطلاعاتي كه سهواً يا عمداً به عنوان زباله دفع شده‌اند) تفاوت دارد. با اين‌حال، اين دو فرآيند با يكديگر مرتبط هستند.

در اينجا به مثال‌هائي از مهندسي اجتماعي اشاره مي‌كنيم:
- پرسنل جعلي پشتيباني، ادعا مي‌كنند كه بايد يك وصله يا نسخه ديدي از نرم‌افزار را بر روي كامپيوتر يك كاربر نصب نمايند، كاربر را قانع مي‌كنند تا نرم‌افزاري را بارگذاري كند و نهايتاً، كنترل سيستم او را از راه دور بدست مي‌آورند.
- فروشندگان كاذب، ادعا مي‌كنند كه بايد ارتقاء‌هايي را بر روي بسته حسابداري سازمان و يا سيستم تلفن آن اعمال نمايند، بنابراين كلمه عبور سرپرستي را سئوال كرده و دسترسي كامل به سيستم را بدست مي‌آورند.
- نامه‌هاي الكترونيكي Phishing كه توسط هكرها ارسال شده‌اند، ID كاربري و كلمات عبور دريافت‌كنندگان زود باور را جمع‌آوري مي‌كنند. سپس، هكرها از اين كلمات عبور براي كسب دسترسي به حساب‌هاي بانكي و ساير اطلاعات مهم استفاده مي‌كنند.
- كاركنان جعلي، به بخش امنيت سازمان اطلاع مي‌دهند كه كليدهاي خود براي ورود به اتاق كامپيوتر را گم كرده‌اند، مجموعه‌اي از اين كليدها را دريافت كرده و دسترسي غيرمجاز به اطلاعات فيزيكي و الكترونيكي را بدست مي‌آورند.
مهندسين اجتماعي، گاهي‌اوقات هويت كاركنان داراي نفوذ و مطلع (نظير مديران و معاونين) را جعل مي‌كنند. در مواردي نيز ممكن است آنها نقش كاركنان فوق‌العاده بي‌اطلاع و ساده‌لوح را بازي كنند. برحسب اينكه آنها درحال صحبت كردن با چه كسي هستند، غالباً از يك حالت به حالت ديگر سوئيچ مي‌كنند.
محافظت كارآمد از اطلاعات (خصوصاً امنيتي كه براي مقابله با مهندسي اجتماعي به آن نياز داريد)، از كاربران شما آغاز شده و به آنها ختم مي‌گردد. شما در بخش‌هاي مختلف اين سري مقالات با توصيه‌هاي فني كاملي مواجه مي‌شويد، اما هيچ‌گاه فراموش نكنيد كه ارتباطات و تعامل ساده انساني نيز بر سطح امنيت سازمان شما تأثير خواهد گذاشت. قاعده «امنيت آبنباتي» بيان مي‌دارد كه: بخش سخت در خارج و بخش نرم در داخل طراحي شود. بخش سخت خارجي شامل لايه مكانيزم‌ها (نظير فايروال، سيستم‌هاي تشخيص نفوذ و رمزگذاري) است كه سازمان‌ها براي حفاظت از اطلاعات خود به‌آنها تكيه مي‌كنند. بخش نرم داخلي شامل افراد و سيستم‌هاي داخل سازمان است. اگر هكرها بتوانند از لايه ضخيم‌تر خارجي عبور كنند، مي‌توانند لايه (غالباً) بي‌دفاع داخلي را به زانو درآورند.
مهندسي اجتماعي، يكي از دشوارترين تكنيك‌هاي هك به حساب مي‌آيد، زيرا به مهارت فوق‌العاده‌اي براي جلب اعتماد يك فرد بيگانه نياز دارد. ازسوي ديگر، اين شيوه يكي از دشوارترين تكنيك‌هاي هك از ديدگاه مقابله با آن است، زيرا با مردم سروكار دارد. ما در اين مقاله، به بررسي انواع شيوه‌هاي مهندسي اجتماعي، تكنيك‌هاي لازم براي هك اخلاقي شما و اقدامات متقابلي كه بايد در برابر مهندسي اجتماعي بكار ببريد، خواهيم پرداخت.

پيش از آغاز كار 

بيان شيوه‌هاي هك در اين قسمت با ساير بخش‌هايي كه از اين سري مقالات مطالعه كرده‌ايد (و خواهيد كرد) تفاوت دارد. مهندسي اجتماعي، يك علم و يك هنر است. اجراي تكنيك‌هاي مهندسي اجتماعي به عنوان يك هكر اخلاقي، به مهارت فوق‌العاده‌اي نياز داشته و به

شخصيت شما و آگاهي كلّي سازمان از آزمايش‌ها بستگي دارد. اگر مهندسي اجتماعي براي شما طبيعي نيست، مي‌توانيد از اطلاعات اين مقاله به عنوان مرجع ياديگري استفاده كرده و سپس زمان بيشتري را براي مطالعه سوژه خود صرف نمائيد. اگر شرايط كاري و سازمان شما درحال‌حاضر چنين حكم مي‌كند، در استخدام يك طرف ثالث براي انجام اين آزمايش‌ها ترديد نكنيد. شما مي‌توانيد از اطلاعات اين قسمت براي انجام آزمايش‌هاي خاص يا ارتقاء توجه به امنيت اطلاعات در سازمان خود استفاده كنيد. مهندسي اجتماعي مي‌تواند به شغل و اعتبار افراد آسيب برساند و ممكن است باعث فاش شدن اطلاعات محرمانه گردد. بنابراين بهتر است با احتياط كامل پيش رفته و قبل از انجام هركاري به خوبي درمورد آن فكر كنيد.
شما مي‌توانيدت حملات مهندسي اجتماعي را به ميليون‌ها شيوه مختلف انجام دهيد. به همين دليل (و به دليل آنكه آموزش رفتارهاي خاص در يك مقاله واحد كاملاً غيرممكن است)، ما به ارائه دستورالعمل‌هاي گام‌به‌گام در زمينه اجراي حملات مهندسي اجتماعي نمي‌پردازيم. درمقابل، سناريوهاي مختلف مهندسي اجتماعي را تشريح خواهيم نمود كه براي ساير هكرها (از هر دو گروه اخلاقي و غيراخلاقي) مؤثر بوده‌اند. شما مي‌توانيد همين حيله‌ها و تكنيك‌ها را براي شرايط خاص خود تركيب كرده و منطبق نمائيد.
بهترين شيوه انجام اين تكنيك‌هاي مهندسي اجتماعي آن است كه توسط يك فرد خارجي ناشناس براي يك سازمان اجراء شوند. اگر اين آزمايش‌ها را برعليه سازمان خودتان انجام مي‌دهيد، ممكن است براي ايفاي نقش به عنوان يك فرد بيگانه، با مشكلاتي مواجه شويد (زيرا همه شما را مي‌شناسند). ممكن است اين موضوع در سازمان‌هاي بزرگ، چندان مشكل‌ساز نباشد، اما اگر در يك شركت كوچك با كاركنان محدود هستيد، معمولاً همه با شما آشنايي خواهند داشت.
شما مي‌توانيد آزمايش‌هاي مهندسي اجتماعي را به يك مجموعه مشاورتي قابل‌اعتماد سپرده و يا حتي از يك دوست قابل‌اعتماد خود بخواهيد كه آزمايش‌ها را برايتان انجام دهد. عبارت كليدي در اينجا، «قابل‌اعتماد» است. اگر با شخص ديگري سروكار داريد، بايستي مدارك او را بررسي كرده، سوابقش را مطالعه نموده و موافقت كتبي مديريت سازمان براي انجام آزمايش‌ها (توسط او) را قبلاً كسب كنيد.

چرا مهندسي اجتماعي؟

مهاجمين، صرفاً به اين دليل براي نفوذ به سيستم‌ها از مهندسي اجتماعي استفاده مي‌كنند كه «مي‌توانند اين كار را انجام دهند». آنها به شخصي نياز دارند كه درب‌هاي سازمان را برايشان باز كند تا مجبور نباشند براي ورود به زور متوسل شده و احتمالاً گير بيفتند. فايروال‌ها، كنترل‌هاي دسترسي و ابزارهاي تعيين اعتبار نمي‌توانند يك مهندس اجتماعي مصمم را متوقف كنند.
اكثر مهندسين اجتماعي، حملات خود را به كندي اجراء مي‌كنند تا بيش از حد مشهود نبوده و احتمالاً باعث ايجاد بدگماني در سازمان نشوند. آنها بيت‌هاي اطلاعات را در طول زمان جمع‌آوري مي‌كنند و از همين اطلاعات براي ايجاد يك تصوير گسترده‌تر از سازمان، بهره مي‌گيرند. ازسوي ديگر، بعضي از حملات مهندسي اجتماعي مي‌توانند با يك e-mail يا تماس تلفني سريع انجام شوند. شيوه‌هاي مورد استفاده براي مهندسي اجتماعي، به سبك و توانايي‌هاي هكر بستگي دارند.
مهندسي اجتماعي مي‌دانند كه بسياري از سازمان‌ها، فاقد طبقه‌بندي رسمي اطلاعات، سيستم‌هاي كنترل دسترسي، طرح‌هاي مقابله با حوادث و برنامه‌هاي آگاهي امنيتي هستند و از همين نقطه‌ضعف‌ها بهره‌گيري مي‌نمايند.
مهندسين اجتماعي، غالباً چيزهاي زيادي درباره بسياري از موارد مي‌دانند (چه در داخل و چه خارج از سازمان هدف)، زيرا اين موضوع در انجام حملات به آنها كمك مي‌كند. هرچه مهندسين اجتماعي بتوانند اطلاعات بيشتري را درباره سازمان‌ها جمع‌آوري كنند، جعل هويت كاركنان يا ساير افراد داخلي قابل اعتماد برايشان آسان‌تر خواهد بود. آگاهي و اراده مهندسين اجتماعي، آنها را در سطح بالاتري (نسبت به كاركنان متوسطي كه از ارزش اطلاعات مورد جستجوي مهندسين اجتماعي ناآگاه هستند)، قرار مي‌دهد.

آشنايي با مفاهيم

اكثر سازمان‌ها دشمناني دارند كه مي‌خواهند مشكلاتي را ازطريق مهندسي اجتماعي برايشان ايجاد كنند. اين دشمنان مي‌توانند كاركنان فعلي يا سابق همان سازمان كه به دنبال انتقام هستند، رقبايي كه مي‌خواهند از آنها سبقت بگيرند و يا هكرهاي تازه‌كاري كه تلاش مي‌كنند مهارت‌هاي خود را به اثبات برسانند، باشند.
صرف‌نظر از اينكه مشكل توسط چه كسي ايجاد مي‌شود،‌ هر سازماني در معرض خطر قرار دارد. شركت‌هاي بزرگتري كه تأسيسات و شعبات آنها در مكان‌هاي متعددي پخش شده‌اند، غالباً آسيب‌پذيرتر هستند، اما شركت‌هاي كوچك نيز مورد حمله قرار مي‌گيرند. هركسي از پرسنل پذيرش گرفته تا نگهبانان امنيتي و پرسنل IT مي‌توانند قربانيان احتمالي مهندسي اجتماعي باشند. كاركنان ميز اطلاعات و مركز تلفن، داراي آسيب‌پذيري بيشتري خواهند بود زيرا آموزش ديده‌اند تا مفيد و آماده ارائه اطلاعات باشند. حتي يك كاربر نهائي متوسط و آموزش نديده نيز در معرض حمله قرار دارد.

مهندسي اجتماعي داراي پيامدهاي جدّي است. از آنجايي‌كه هدف مهندسي اجتماعي «بهره‌برداري از يك نفر براي كسب منافع غيرقانوني است»، هرچيزي امكان دارد. مهندسين اجتماعي كارآمد، مي‌توانند اطلاعات زير را جمع‌آوري نمايند:

- كلمات عبور سرپرستي يا كاربري

- نشان‌ها يا كليدهاي امنيتي براي ورود به ساختمان‌ها و حتي اتاق كامپيوتر

- دارايي‌هاي ذهني نظير مشخصات طرح، فرمول‌ها و يا ساير مستندات تحقيق و توسعه

- گزارشات مالي محرمانه

- اطلاعات خصوصي و محرمانه كاركنان

- فهرست مشتريان و پيش‌بيني‌هاي فروش

اگر هريك از اطلاعات فوق به بيرون درز كند، مي‌توانند با زيان‌هاي مالي، كاهش روحيه كاركنان، به خطر افتادن وظيفه‌شناسي نسبت به مشتريان و حتي ايجاد مشكلات قانوني همراه باشد. «بخش سخت خارجي» كه توسط فايروال‌ها و سيستم‌هاي تشخيص نفوذ ايجاد شده است، غالباً يك احساس كاذب از امنيت را بوجود آورده و باعث تشديد مشكلات مي‌گردد.
در مهندسي اجتماعي، شما هيچ‌گاه نمي‌دانيد كه شيوه بعدي حمله چه خواهد بود. بهترين كاري كه مي‌توانيد انجام دهيد اين است كه گوش به زنگ مانده، شيوه‌هاي مهندسي اجتماعي را درك كرده و ازطريق هوشياري امنيتي مداوم در سازمان، از خود دربرابر متداول‌ترين حملات، محافظت نمائيد. در ادامه، توضيح خواهيم داد كه چگونه مي‌توانيد اين‌كار را انجام دهيد.

انجام حملات مهندسي اجتماعي

فرآيند مهندسي اجتماعي، عملاً تاحدودي ابتدايي به نظر مي‌رسد. به طور كلّي، مهندسين اجتماعي، جزئياتي از فرآيندهاي سازماني و سيستم‌هاي اطلاعاتي را براي اجراي حملات خود پيدا مي‌كنند. آنها با در اختيار داشتن اين اطلاعات مي‌دانند كه بايد به دنبال چه چيزي باشند.
هكرها معمولاً حملات مهندسي اجتماعي را در 4 مرحله ساده انجام مي‌دهند:
1) انجام تحقيقات
2) اعتمادسازي
3) بهره‌برداري از روابط براي كسب اطلاعات ازطريق مكالمات، رفتارها و يا فناوري
4) استفاده از اطلاعات جمع‌آوري شده براي مقاصد بدخواهانه
برحسب حمله‌اي كه انجام مي‌شود، اين مراحل مي‌تواند شامل هزاران مرحله فرعي و يا تكنيك مختلف باشند.
پيش از آنكه مهندسين اجتماعي، حمله خود را اجراء كنند، بايد هدفي را درنظر بگيرند. اين اولين قدم يك هكر در فرآيند حمله به حساب مي‌آيد و هدف مورد بحث به احتمال قوي از قبل در ذهن هكر جاي گرفته است. هكر مي‌خواهد چه كاري را انجام دهد؟ هكر تلاش مي‌كند چه چيزي را هك كند و چرا؟ آيا او به دنبال دارايي‌هاي ذهني، كلمات عبور سرور و نشان‌هاي امنيتي است يا اينكه صرفاً مي‌خواهد ثابت كند كه امكان نفوذ به خطوط دفاعي شركت وجود وجود دارد؟ در تلاش خود به عنوان يك هكر اخلاقي كه مشغول انجام مهندسي اجتماعي است، اين هدف را پيش از آغاز حركت خود تعيين نمائيد.

Fishing

پس از آنكه مهندسين اجتماعي توانستند هدف را در ذهن خود مشخص كنند، معمولاً حمله را با جمع‌آوري اطلاعات عمومي درباره قرباني (با قربانيان) خود آغاز مي‌نمايند. بسياري از مهندسين اجتماعي، اطلاعات را به كندي و در طول زمان جمع‌آوري مي‌كنند تا باعث ايجاد بدگماني نشوند. قابل مشاهده بودن، آخرين نشانه‌اي است كه هنگام دفاع دربرابر مهندسي اجتماعي با آن مواجه خواهيد شد. ما در ادامه به ساير نشانه‌هاي هشداردهنده در اين مورد اشاره خواهيم كرد.
صرفنظر از شيوه انجام تحقيقات ابتدائي، تمام چيزي كه يك هكر براي آغاز نفوذ خود به يك سازمان نياز دارد عبارت است از يك فهرست از كاركنان، چند شماره تلفن كليدي داخلي و يا يك تقويم سازماني.

استفاده از اينترنت

امروزه، اينترنت به عنوان رسانه تحقيقاتي اصلي شناخته مي‌شود. تنها چند دقيقه كار با Google يا ساير موتورهاي جستجو و عبارات كليدي ساده‌اي نظير نام شركت و يا نام كاركنان خاص آن، غالباً انبوهي از اطلاعات را در اختيار هكر قرار مي‌دهد. شما حتي مي‌توانيد اطلاعات بيشتري را از سوابق SEC و در سايت‌هايي نظير Hoovers يا Finance-yahoo.com بدست آوريد. درواقع، اطلاعاتي كه به صورت Online، قابل دسترسي هستند، مي‌توانند بسياري از سازمان‌ها (خصوصاً مديريت سطح بالاي آنها) را به وحشت بيندازند. با استفاده از اطلاعات اين موتورهاي جستجو و مرور سايت‌هاي وب، هكر غالباً اطلاعات كافي براي آغاز يك حمله مهندسي اجتماعي را بدست مي‌آورد.
هكرها مي‌توانند با پرداخت تنها 100دلار (يا كمتر)، به بررسي جامع سوابق اشخاص بر روي بعضي از سايت‌ها بپردازند. اين جستجوها عملاً مي‌توانند تنها در چند دقيقه هرگونه اطلاعات عمومي (و گاهي‌اوقات خصوصي) را درباره يك فرد ارائه نمايند.

گردش در زباله‌ها

گردش در زباله‌ها، يك شيوه دشوارتر با ريسك بالاتر براي جمع‌آوري اطلاعات به حساب مي‌آيد اما درعين‌حال، شديداً مؤثر است . اين شيوه به طور تحت‌اللفظي با جستجوي سطل‌هاي آشغال براي بدست آوردن اطلاعات مربوط به يك شركت سروكار دارد.
گردش در زباله‌ها مي‌تواند حتي محرمانه‌ترين اطلاعات را نيز فاش كند زيرا بسياري از كاركنان تصور مي‌كنند كه اطلاعات آنها پس از رفتن به فايل 13، كاملاً امن خواهد بود. اكثر مردم در ارزش احتمالي كاغذهايي كه دور مي‌ريزند، فكر نمي‌كنند. اين اسناد، غالباً حاوي انبوهي از اطلاعات هستند كه اطلاعات موردنياز مهندس اجتماعي براي نفوذ بيشتر به يك سازمان را در اختيار او قرار مي‌دهند. يك مهندس اجتماعي زيرك، به جستجوي اسناد چاپي زير خواهد بود:
- فهرست تلفن‌هاي داخلي
- نمودارهاي سازماني
- كتابچه‌هاي دستي كاركنان كه غالباً حاوي خط‌ مشي‌هاي امنيتي است
- نمودارهاي شبكه
- فهرست كلمات عبور
- يادداشت‌هاي مربوط به ملاقات‌ها
- صفحات گسترده و گزارشات
- نسخه‌هاي چاپ شده e-mailها كه حاوي اطلاعات محرمانه‌اي هستند خرد كردن (Shredding) كاغذها تنها زماني مؤثر خواهد بود كه آنها را به قطعات بسيار كوچك و نامنظمي خرد نمائيد. دستگاه‌هاي Shredder ارزان‌قيمتي كه كاغذ را صرفاً به صورت رشته‌هاي بلند خرد مي‌كنند، اساساً دربرابر يك مهندس اجتماعي مصمم، كاملاً بي‌ارزش خواهند بود. با صرف مقداري زمان و چسب، يك مهندس اجتماعي به آساني مي‌تواند قطعات يك سند را مجدداً دركنار يكديگر قرار دهد.
هكرها غالباً اطلاعات تجاري و شخصي محرمانه سايرين را با گوش دادن به مكالماتي كه در رستوران‌ها، كافي‌شاپ‌ها، فروشگاه‌ها و يا حتي هواپيماها انجام مي‌شوند، جمع‌آوري مي‌كنند. مردمي كه درهنگام استفاده از تلفن همراه خود با صداي بلند صحبت مي‌كنند، منابع ايده‌الي براي كسب اطلاعات به حساب مي‌آيند. هريك از ما، هنگامي‌كه در يك رستوران يا محلّ عمومي ديگري مشغول انجام كار خود بوده‌ايم، از آنچه كه ديگران درهنگام صحبت با يكديگر فاش كرده‌اند (حتي زماني‌كه اصلاً تلاش نمي‌كرديم صحبت‌هاي آنها را بشنويم)، حيرت‌زده شده ايم.
هكرها همچنين در زباله‌ها به جستجوي ديسك‌هاي فلاپي، CD-ROMها و DVDها، كيس‌هاي كامپيوتر قديمي (خصوصاً آنهايي ‌كه هنوز درايوهاي ديسك سخت ظاهراً غيرقابل استفاده خود را دارند) و نوارهاي Backup مي‌پردازند.

سيستم‌هاي تلفني

هكرها، مي‌توانند اطلاعات زيادي را با استفاده از ويژگي «تماس با نام» تعبيه شده در اكثر سيستم‌هاي Voicemail بدست آورند. براي دسترسي به اين اطلاعات، شما معمولاً تنها كليد 0 را درهنگام تماس با شماره اصلي و يا حتي ميزكار يك شخص خاص فشار مي‌دهيد. اين حيله خصوصاً بعد از ساعات كاري (كه مطمئن هستيد كسي به تلفن جواب نمي‌دهد)، مؤثر خواهد بود.
اگر هكرها بتوانند محلّي كه از آن تماس مي‌گيرند را مخفي نگهدارند، مي‌توانند از هويت خود محافظت نمايند. بعضي از شيوه‌هايي كه آنها مي‌توانند براي اين منظور مورد استفاده قرار دهند، عبارتند از:
- تلفن هاي عمومي:اين تلفن مي تواند شماره هاي خود را از Callerمخفي کند.
- تلفن‌هاي تجاري: سروكار داشتن با دفتري كه از يك سوئيچ تلفن استفاده مي‌كند، دشوارتر است. با اينحال، تمام چيزي كه هكر معمولاً به آن نياز دارد، يك راهنماي كاربر و كلمه عبور سرپرستي نرم‌افزار سوئيچ تلفن است. در بسياري از سوئيچ‌ها، هكر مي‌تواند شماره مبدأ (شامل يك شماره تحريف شده نظير شماره تلفن منزل قرباني) را وارد نمايد. با اينحال، سيستم‌هاي تلفني VoIP (Voice Over IP) اين مشكل را برطرف نموده‌اند.
هكرها تنها با گوش دادن به پيام‌هاي صندوق صوتي (Voicemail)، جزئيات جالبي از اطلاعات را بدست مي‌آورند، مثل اينكه قربانيان آنها چه زماني دفتر خارج از شهر هستند. آنها همچنين با گوش دادن به پيام‌هاي صندوق صوتي يا Presentationهاي اينترنتي و Webcastها، به مطالعه صداي قربانيان خود مي‌پردازند تا بتوانند هويت آنها را جعل كنند.

اعتمادسازي

بدست آوردن اعتماد بسيار دشوار است، اما به آساني ازدست مي‌رود. اعتماد، اساس مهندسي اجتماعي است. اكثر انسان‌ها به انسان‌هاي ديگر اعتماد مي‌كنند، مگرآنكه شرايطي بروز كند كه وادار به تغيير نظر خود شوند. ما مي‌خواهيم به يكديگر كمك كنيم، خصوصاً اگر امكان ايجاد اعتماد وجود داشته باشد و درخواست كمك نيز منطقي به نظر برسد. اكثر مردم مي‌خواهند تا در محلّ كار خود بازيكنان تيمي باشند و نمي‌دانند كه چه اتفاقي مي‌تواند روي دهد اگر اطلاعات «بيش از حدّي» را به يك منبع «قابل اعتماد» فاش كنند. به همين دليل است كه مهندسين اجتماعي مي‌توانند به اهداف خود نائل شوند. البته، ايجاد اعتماد عميق غالباً به زمان بيشتري نياز دارد. مهندسين ماهر اجتماعي، اين اعتماد را در طول چند دقيقه يا چندساعت بدست مي‌آورند. آنها چگونه اعتمادسازي مي‌كنند؟
- توانايي جلب دوستي: چه كسي نمي‌تواند با يك فرد مؤدب ارتباط برقرار كند؟ همه «ادب و مهرباني» را دوست دارند. هرچه يك مهندس اجتماعي مهربان‌تر باشد (بدون زياده‌روي)، شانس بيشتري براي بدست آوردن آنچه كه جستجو مي‌كند خواهد داشت. مهندسين اجتماعي غالباً كار خود را با جلب توجه عمومي آغاز مي‌كنند. آنها غالباً از اطلاعاتي كه در مرحله جستجو بدست آورده‌اند (براي تعيين اينكه قرباني به چه چيزي علاقه دارد)، آغاز مي‌كنند و رفتار خود را با اين موارد تطبيق مي‌دهند. براي مثال، آنها مي‌توانند به قرباني تلفن زده يا شخصاً با او ملاقات نمايند و سپس براساس اطلاعاتي كه قبلاً درباره او جمع‌آوري كرده‌اند، صحبت درمورد تيم‌هاي ورزشي محلّي يا يك فيلم سينمايي جديد را آغاز كنند. تنها چند جمله دقيق كه به خوبي تنظيم شده باشند، مي‌توانند آغاز يك ارتباط خوشايند جديد باشند.
باورپذيري: البته باورپذيري تاحدودي به آگاهي مهندسين اجتماعي و سطح مطلوبيت آنها بستگي دارد. با اينحال، مهندسين اجتماعي از جعل هويت نيز استفاده مي‌كنند و احتمالاً ظاهر يك كارمند جديد يا يك كارمند عادي (كه قرباني تاكنون او را نديده) را به خود مي‌گيرند. ممكن است آنها حتي تظاهر كنند، فروشنده‌اي هستند كه با سازمان قرباني روابط تجاري دارند. آنها غالباً درنهايت تواضع، مدعي مقام بالايي براي خود مي‌شوند تا افراد را تحت تأثير قرار دهند. متدول‌ترين حيله مهندسي اجتماعي، انجام كار خوشايندي است تا قرباني احساس كند كه درمقابل، موظف به انجام كار خوشايندي مي‌باشد و يا با انجام اين كار، يك همكار تيمي خوب در سازمان به حساب مي‌آيد.

بهره‌برداري از روابط

پس از آنكه مهندسين اجتماعي توانستند اعتماد قربانيان ناآگاه خود را بدست آورند، آنها را اغوا مي‌كنند تا اطلاعات بيشتري (نسبت به آنچه كه بايد) را فاش نمايند. آنها اين كار را ازطريق ارتباطات الكترونيكي و يا چهره به چهره انجام مي‌دهند كه قربانيان با آن احساس راحتي مي‌كنند. همچنين ممكن است آنها از فناوري‌هايي براي وادار كردن قربانيان به فاش نمودن اطلاعات، استفاده كنند.

فريب ازطريق جملات و رفتارها :

مهندسين اجتماعي حيله‌گر، مي‌توانند اطلاعات داخلي را به شيوه‌هاي مختلفي، از قربانيان خود بدست آورند. آنها غالباً ماهرانه صحبت مي‌كنند و بر روي پيشرفت مكالمات خود تمركز مي‌كنند، بدون‌آنكه وقت زيادي به قربانيان خود بدهند تا درمورد آنچه كه مي‌گويند فكر كنند. با اينحال، اگر آنها در طول حملات مهندسي خود بي‌دقت يا بيش از حد مشتاق باشند، جزئيات زير مي‌توانند مانع كارشان شوند:
- رفتار بيش از حد دوستانه يا مشتاق
- ذكر نام افراد برجسته در داخل شركت
- لاف زدن درمورد مقام خود در داخل شركت
- تهديد به توبيخ كارمندان درصورت اجابت نشدن درخواست‌ها
- رفتار عصبي درهنگام مواجه شدن با پرسش‌ها (گزيدن لب‌ها و ناآرامي، خصوصاً دست‌ها و پاها، زيرا براي كنترل قسمت‌هايي از بدن كه از صورت دورتر هستند، تلاش هوشيارانه‌تري لازم است)
- تأكيد بيش از حد بر جزئيات
- تغييرات فيزيولوژيكي نظير بازشدن مردمك‌ها يا تغيير در گام صدا
- رفتار عجولانه
- امتناع از ارائه اطلاعات
- ارائه داوطلبانه اطلاعات و پاسخ دادن به پرسش‌هاي مطرح نشده
- آگاهي از اطلاعاتي كه يك فرد خارجي نبايد آنها را در اختيار داشته باشد.
- يك فرد خارجي شناخته شده كه از اصطلاحات يا زبان داخلي سازمان استفاده مي‌كند.
- مطرح نمودن پرسش‌هاي عجيب
- املاء غلط عبارات در ارتباطات نوشتاري
يك مهندس اجتماعي متبحّر، با رفتارهاي فوق، قابل شناسايي نخواهد بود، اما اينها تعدادي از علائمي هستند كه درهنگام يك رفتار مجرمانه مشاهده مي‌شوند. هكرها، غالباً به يك نفر لطف مي‌كنند، سپس بازگشته و از او مي‌خواهند كه به آنها كمك نمايد. اين يك حيله متداول در مهندسي اجتماعي است كه به خوبي كار مي‌كند. هكرها همچنين غالباً از روشي كه «مهندسي اجتماعي معكوس» ناميده مي‌شود، استفاده مي‌كنند. در اين شيوه، آنها به برطرف نمودن يك مشكل خاص كمك مي‌كنند. مدّتي مي‌گذرد و مشكل مجدداً روي مي‌دهد (غالباً به طور عمدي توسط خود هكر) و آنها بازهم به برطرف نمودن مشكل كمك مي‌كنند. به اين ترتيب، آنها مي‌توانند به قهرماناني تبديل شوند كه همين مسئله باعث تقويت انگيزه‌شان مي‌گردد. همچنين ممكن است هكرها به سادگي از يك كارمند ناآگاه بخواهند كه به آنها لطفي بكند. بله، آنها آشكارا يك لطف را درخواست مي‌كنند. بسياري از مردم به سادگي در اين تله مي‌افتند.
جعل هويت يك كارمند بسيار آسان است. مهندسين اجتماعي مي‌توانند يك يونيفورم مشابه را بپوشند، از يك نشان ID جعلي استفاده كنند و يا به سادگي لباس كاركنان واقعي را بر تن نمايند. به اين ترتيب، مردم تصور مي‌كنند كه «بله، ظاهر و رفتار او مثل من است، پس بايد يكي از ما باشد». مهندسين اجتماعي درعين‌حال وانمود مي‌كنند كارمنداني هستند كه از يك خط خارجي با داخل سازمان تماس گرفته‌اند. اين يك شيوه بسيار مشهور براي بهره‌برداري از پرسنل ميز اطلاعات و مركز تلفن سازمان است.

فريب ازطريق فناوري: 

فناوري، مي‌تواند كارها را براي يك مهندس اجتماعي، آسان‌تر نمايد. غالباً يك درخواست بدخواهانه براي اطلاعات، از يك كامپيوتر يا ماهيت الكترونيكي ديگري مي‌آيد كه قرباني تصور مي‌كند قادر به شناسايي آن است. با اين‌حال جعل نام يك كامپيوتر، يك آدرس e-mail، يك شماره فاكس و يا يك آدرس شبكه بسيار آسان است. خوشبختانه شما مي‌توانيد بعضي اقدامات متقابل را در برابر اين موارد، اتخاذ نمائيد.

يكي از شيوه‌هاي هكرها براي فريب ازطريق فناوري، ارسال e-mail و درخواست اطلاعات مهم از قرباني است. اينگونه e-mailها معمولاً لينكي را فراهم مي‌كنند كه قرباني را به يك سايت وب با ظاهر حرفه‌اي و قانوني هدايت مي‌كند كه به نوبه خود، ظاهراً اطلاعات حساب او نظير ID كاربري، كلمات عبور و شماره تأمين‌اجتماعي را «بروز رساني» مي‌كند.

هشدار به حرفه‌اي‌ها 

در اينجا خاطره يك متخصص IT را مطالعه مي‌كنيد كه به خاطر تجربه خود تصور مي‌كرد كه هيچ‌گاه در تله مهندسي اجتماعي نخواهد افتاد. او مي‌گويد: «يك روز من با اتصال اينترنت پرسرعت خود مشكل داشتم. به اين فكر افتادم كه از دسترسي Dial-up استفاده كنم، زيرا به هرحال، بهتر از عدم دسترسي به e-mailها و ساير كارهاي ابتدايي Online بود. من با ISP خود تماس گرفته و به مسئول پشتيباني فني گفتم كه كلمه عبور Dial-up خود را فراموش كرده‌ام. اين وضعيت، مي‌توانست آغاز يك فرآيند مهندسي اجتماعي باشد كه من مي‌توانستم دربرابر آن مقاومت كنم، ولي من در آن فرو رفتم. متصدي پشتيباني فني، براي يك دقيقه مكث كرد و به نظر مي‌رسيد كه درحال بررسي اطلاعات حساب Dial-up من است.» سپس از من پرسيد: «شما چه كلمه عبوري را امتحان مي‌كنيد؟».

من به شكل احمقانه‌اي تمام عباراتي كه مي‌توانستند كلمه عبورم باشند را بيان كردم. براي چند لحظه، سكوت در تماس تلفني ما حاكم شد. او كلمه عبور من را تعويض كرد و رمز جديد را به من اطلاع داد. پس از قطع كردن تلفن، من به خودم گفتم «اينجا چه اتفاقي افتاد؟ من در معرض مهندسي اجتماعي قرار گرفتم. يعني من ديوانه شده‌ام؟». من تمام كلمات عبوري كه در رابطه با حساب كاربري اينترنت خود فاش كرده بودم را تغيير دادم تا او نتواند از آنها برعليه من استفاده كند. من هنوز اطمينان دارد كه او درحال امتحان كردن من بود. درسي كه از اين تجربه آموختم اين بود كه هرگز و تحت هيچ شرايطي كلمه عبور خود را براي شخص ديگري (يك كارمند ديگر، رئيس خود و يا هر فرد ديگري) فاش نكنيد زيرا پي‌آمدهاي آن مي‌توانند وحشتناك باشند.
بسياري از پيام‌هاي Spam و Fishing از همين حيله استفاده مي‌كنند. اكثر كاربران آنقدر در معرض سيلي از Spamها و ساير e-mailهاي ناخواسته قرار مي‌گيرند كه معيارهاي حفاظتي خود را فراموش كرده و e-mail يا ضميمه‌اي را باز مي‌كنند كه نبايد باز كنند. اين e-mailها معمولاً بسيار حرفه‌اي و باورپذير به نظر مي‌رسند. آنها غالباً افراد را فريب مي‌دهند تا اطلاعات را فاش نمايند كه هيچ‌گاه نبايد آنها را درمقابل يك هديه ارائه كنند. اين حيله‌هاي مهندسي اجتماعي همچنين زماني مورد استفاده قرار مي‌گيرند كه يك هكر قبلاً به داخل يك شبكه نفوذ كرده و پيام‌هايي را ارسال مي‌كند يا پنجره‌هاي Pop-up اينترنتي جعلي را ايجاد مي‌نمايد. همين روش‌ها ازطريق پيام‌رساني (Instant Messaging) IM و سيستم‌هاي پيام‌رساني تلفن‌هاي سلولي نيز بكار گرفته مي‌شوند.
در بعضي از حوادث عمومي، هكرها وصله‌اي را براي قربانيان خود e-mail مي‌كنند كه ادعا مي‌نمايد ازطرف مايكروسافت يا ساير فروشندگان مشهور ارسال گرديده است. كاربران تصور مي‌كنند اين يك هديه بي‌خطر ازطرف يك ارسال‌كننده قابل اعتماد است. با اينحال، پيام ازطرف هكري ارسال شده كه از كاربر مي‌خواهد «وصله» را نصب كند، اما درواقع يك اسب ترواي Key-Logger بر روي سيستم نصب شده و يا يك درب پشتي در كامپيوترها يا شبكه‌ها باز مي‌گردد. هكرها از اين درب‌هاي پشتي براي نفوذ به سيستم‌هاي سازمان‌ها و يا استفاده از كامپيوترهاي قربانيان (كه تحت عنوان «زامبي» شناخته مي‌شوند) به عنوان سكوهاي پرتاب حملات خود به ساير سيستم‌ها بهره‌گيري مي‌نمايند. حتي ويروس‌ها و يا كرم‌ها نيز مي‌توانند به مهندسي اجتماعي تكيه داشته باشند. براي نمونه، كرم LoveBug به كاربران مي‌گفت كه آنها يك تحسين‌كننده محرمانه دارند. زماني‌كه قرباني e-mail خود را باز مي‌كرد، ديگر كار از كار گذشته بود. درواقع، آنها هيچ تحسين‌كننده محرمانه‌اي نداشتند و خبر بدتر اينكه، كامپيوترشان نيز آلوده شده بود.
شيوه كلاهبرداري Nigerian 419 e-mail، تلاش مي‌كند تا به وجوه و حساب‌هاي بانكي كاربران ناآگاه دسترسي پيدا كند. اين مهندسين اجتماعي، به قرباني پيشنهاد مي‌كنند كه درقبال برگرداندن وجوه و سرمايه‌هاي يك مشتري تازه درگذشته به آمريكا، چندين ميليون‌دلار دريافت نمايد. تمام كاري كه قرباني بايد انجام دهد، اعلام اطلاات حساب بانكي خود و پرداخت مبلغ اندكي براي پوشش هزينه‌هاي اين انتقال است. به اين ترتيب، قربانيان درواقع حساب‌هاي بانكي خود را تخليه كرده‌اند.
بسياري از تاكتيك‌هاي كامپيوتري مهندسي اجتماعي، به طور ناشناس و ازطريق سرورهاي پروكسي اينترنتي، Anonymizerها، Remailerها و سرورهاي SMTP ابتدايي كه به طور پيش‌فرض رله مي‌كنند، قابل انجام هستند. هنگاميكه مردم درمقابل درخواست اطلاعات شركتي يا اطلاعات شخصي محرمانه قرار مي‌گيرند، رديابي اين حملات مهندسي اجتماعي، غالباً غيرممكن است.

اقدامات متقابل مهندسي اجتماعي

شما تنها چند خط دفاعي مناسب دربرابر مهندسي اجتماعي داريد. حتي باوجود سيستم‌هاي امنيتي قدرتمند نيز يك كاربر بي‌تجربه مي‌تواند امكان ورود مهندس اجتماعي به داخل شبكه را فراهم نمايد. هيچ‌گاه قدرت مهندسي اجتماعي را دست‌كم نگيريد.

خط مشي‌ها

خط مشي‌هاي خاص در بلندمدت به دفع اقدامات مهندسي اجتماعي كمك مي‌كنند:
- طبقه‌بندي داده‌ها
- استخدام كاركنان و پيمانكاران و راه‌اندازي IDهاي كاربران
- خاتمه دادن به كار كاركنان و پيمانكاران و حذف IDهاي كاربري
- ايجاد و نوسازي كلمات عبور
- واكنش به حوادث امنيتي نظير رفتارهاي مشكوك
- اداره اطلاعات محرمانه و اختصاصي
- همراهي مهمانان
اين خط ‌مشي‌ها بايد قابل اجراء بوده و اعمال شوند (درمورد تمام افراد داخل يك سازمان). آنها را به روز نگهداريد و درباره آنها براي كاربران نهائي خود توضيح دهيد.

ضرورت هوشياري و آموزش كاربران

بهترين خط دفاعي درمقابل مهندسي اجتماعي، يك سازمان با كاركناني است كه مي‌توانند حملات مهندسي اجتماعي را تشخيص داده و دربرابر آن واكنش نشان دهند. هوشياري كاركنان با آموزش‌هاي ابتدايي براي همه آغاز شده و سپس با ابتكار عمل‌هاي هوشياري امنيتي براي حفظ اولويت دفاع دربرابر مهندسي اجتماعي در ذهن تمام كاركنان، ادامه پيدا مي‌كند. آموزش و آگاهي كاركنان را با خط‌مشي‌هاي امنيتي تطبيق دهيد.
شما مي‌توانيد آموزش‌هاي امنيتي را به يك مربي امنيتي باتجربه بسپاريد. معمولاً اگر آموزش‌ها توسط يك فرد خارجي ارائه شوند، توسط كاركنان، جدّي‌تر گرفته مي‌شوند. سپردن آموزش‌هاي امنيتي به منابع خارجي، ارزش سرمايه‌گذاري‌هاي مربوطه را دارد. درحاليكه به آموزش و هوشياري مستمر كاركنان خود در سازمان ادامه مي‌دهيد، نكات زير مي‌توانند براي مقابله با حملات مهندسي اجتماعي در بلندمدّت به شما كمك كنند:
- با هوشياري و آموزش‌هاي امنيتي به عنوان يك سرمايه‌گذاري تجاري رفتار كنيد.
- كاربران را تحت آموزش‌هاي مداوم قرار دهيد تا موضوع «امنيت» در ذهن آنها تازه بماند.
- مضامين آموزشي خود را در حدّ امكان متناسب با مخاطبين آنها آماده كنيد.
- يك برنامه هوشياري مهندسي اجتماعي را براي توابع تجاري و نقش كاربران خود ايجاد نمائيد.
- پيام‌هاي خود را تا حدّ امكان غيرفني نگهداريد.
- برنامه‌هاي تشويقي را براي جلوگيري از حوادث امنيتي و گزارش آنها تهيه كنيد.
- كاركنان را با بيان مثال‌هاي مختلف، راهنمايي كنيد.
براي كمك به جلوگيري از وقوع حملات مهندسي اجتماعي، اين نكات را با كاربران خود به اشتراك بگذاريد:
- هرگز اطلاعاتي را فاش نكنيد مگرآنكه مطمئن شويد فردي كه اطلاعات را درخواست نموده به آنها نياز داشته و درعين‌حال، همان كسي است كه ادعا مي‌كند. اگر يك درخواست به صورت تلفني مطرح شده است، هويت تماس‌گيرنده را بررسي كرده و شما با او تماس بگيريد (Call Back).
- هيچگاه بر روي يك لينك e-mail كه ظاهراً شما را به يك صفحه با اطلاعاتي كه نيازمند بروزرساني هستند هدايت مي‌نمايد، كليك نكنيد. اين موضوع خصوصاً درمورد e-mailهاي ناخواسته صادق است.
- تمام مهمانان را در داخل يك ساختمان همراهي كنيد.
- هيچ‌گاه فايل‌هايي كه از افراد بيگانه گرفته‌ايد را باز يا ارسال نكنيد.
- هيچ‌گاه كلمات عبور خود را اعلام نكنيد.
پيشنهادهاي عمومي زير نيز مي‌توانند حملات مهندسي اجتماعي را دفع نمايند:
- هيچ‌گاه به يك غريبه اجازه ندهيد كه به يكي از پورت‌هاي شبكه يا شبكه بي‌سيم شما متصل شود، حتي براي چند ثانيه. يك هكر مي‌تواند در همين فرصت، يك تحليل‌گر شبكه، برنامه اسب تروا يا malware ديگري را مستقيماً بر روي شبكه شما قرار دهد.
- اطلاعات خود را (چه به صورت الكترونيكي و چه به صورت كپي سخت)، طبقه‌بندي كنيد. به تمام كاركنان آموزش دهيد كه چگونه بايد هريك از انواع اطلاعات را اداره نمايند.
- خط ‌مشي‌هايي را براي انهدام اسناد و رسانه‌هاي كامپيوتري تهيه كرده و اعمال نمائيد. اين خط‌ مشي‌ها تضمين مي‌كنند كه داده‌ها بادقت اداره مي‌شوند و همان‌جايي مي‌مانند كه بايد باشند.
- از سيستم‌هاي كاغذ خردكن Cross-Shredding استفاده كنيد. با اين‌حال، هنوز بهتر است با يك شركت «انهدام اسناد» كه در زمينه انهدام مستندات محرمانه تخصص دارد، قرارداد ببنديد.
نهايتاً، تكنيك‌هاي زير مي‌توانند مضمون آموزش‌هاي رسمي را تقويت كنند:
- توجيه كاركنان تازه‌وارد، اجراي دوره‌هاي آموزشي مجدد، e-mailها و روزنامه‌ها
- جزوه‌هاي مقابله با مهندسي اجتماعي به همراه توصيه‌ها و FAQها

- خرده‌ريزهايي نظير محافظ‌هاي صفحه نمايش، پد ماوس، يادداشت‌هاي چسبان، قلم‌ها و پوسترهاي دفتري كه حاوي پيام‌هايي در زمينه تقويت اصول امنيتي هستند.

منبع : نشريه بزرگراه رايانه ش 133