سارقان جدید، چگونه دزدی می كنند؟

اگر به طور مستقیم از شما بخواهم كه پسورد جیمیلتان را به من بدهید، مسلما این كار را نخواهید كرد. اما اگر خودم را به جای مدیر سرویس جیمیل جا بزنم، نه تنها پسورد خودتان را به من خواهید داد بلكه اگر بخواهم به من اطلاعاتی در مورد خودتان بدهید، حتی اگر این اطلاعات با حساب جیمیلتان ارتباطی هم نداشته باشد، آن را به من خواهید داد.

تعجب نكنید. این یكی از پركاربردترین ترفندی است كه در گذشت از آن استفاده می شده است و به طور قطع در آینده نیز از آن استفاده خواهد شد. نمونه های تاریخی این ترفند در ایران، به اوایل انقلاب بر می گردد. زمانی كه منافقان برای بدست آوردن اطلاعات خاصی از یك فرد خاص، خود را به عنوان فرمانده سپاه منطقه یا فرمانده پایگاه بسیج محل (یا هر عنوان مهم دیگر) جا می زدند و با منزل افرادی كه از سوژه مورد نظر اطلاعاتی در اختیار داشتند (مانند همسایه ها، اقوام و دوستان آنها)، تماس تلفنی برقرار می كردند و در مورد فرد مورد نظر پرسش می كردند. عجیب اینكه، از این طریق اطلاعات زیادی نیز بدست می آوردند و پرسش شوندگان نیز با كمال میل همكاری می كردند.

خودِ من، یك بار ایمیلی جعلی ساختم و از طرف مدیر بلاگفا، برای یكی از دوستانم، ایمیلی فرستادم و از او خواستم فرمی را كه به پیوست ایمیل، برای او ارسال شده است را پر كرده و برای به اصطلاح مدیر بلاگفا ارسال كند. در آن فرم، مدیر بلاگفا، ضمن توضیح تغییراتی كه در آینده ی نزدیك در سرور اصلی بلاگفا انجام می گرفت خطر از بین رفتن اطلاعات كاربریِ ناشی از این تغییرات را به كاربر گوشزد می كرد و از او خواسته بود تا اطلاعات مربوط به نام كاربری، پسورد، ایمیل محرمانه و همچنین شماره تلفن و آدرس ایمیلی كه بتوان در مواقع اضطراری با آن تماس برقرار كرد و ... را در آن فرم وارد كند و آن را بازارسال نماید. و این دوستمان نیز، فرم را با دقت و وسواس زیاد پر كرد و برای آقای مدیر فرستاد. و من در آن لحظه می توانستم وبلاگش را با تغییر رمز عبور در اختیار بگیرم (كه بعدها برای او این شوخی خودم را توضیح دادم).

به این تكنیك، در اصطلاح علمی، مهندسی اجتماعی (Social engineering) می گویند. چیزی كه در عرف با نام "مخ زنی" و یا "زیرپاكشی" نیز شناخته می شود. در واقع مهندسی اجتماعی جلب اعتماد فرد مقابل (طعمه) است تا ازین طریق بتوان به اطلاعات مورد نیاز دسترسی پیدا كرد. برای مهندسی اجتماعی می توان سطوحی را در نظر گرفت. مثلا كودكی كه سعی می كند تا والدینش برای او اسباب بازی بخرند، یا تلاش افراد بزرگسال برای بدست آوردن یك شغل یا ارتقاء شغلی، همگی اَشكالی از مهندسی اجتماعی هستند.

حملاتی كه از طریق مهندسی اجتماعی انجام می گیرد، عموما به دو دسته تقسیم می شود:
۱-حملات مبتنی بر انسان: كه در این حالت یك فرد خاص، شخصا اقدام به این كار می كند و با شما به طور مستقیم و در پوشش یك فرد دروغین تماس برقرار می كند. در این نوع، فرد خودش را به عنوان مهندس رایانه، كارشناس فنی سروری كه از آن خدمات می گیرید، بازاریاب، پلیس و ... معرفی می كند و با دادن اطلاعاتی كه ظاهرا صحیح است، در شما حس اعتماد ایجاد می كند و از این طریق اطلاعات مورد نیاز خودش را می گیرد. طبق یك پژوهش كه در انگلستان انجام گرفته است، اغلب نفوذهایی كه در شبكه ادارات دولتی انجام گرفت، تنها با تعارف كردن یك ظرف شكلات انجام گرفته است !

این نوع حملات را به هیچ طریقی نمی توان دفع نمود، به جز اینكه قربانی، زیرك بوده و اطلاعات فنی خودش را در زمینه ای كه در آن مشغول به فعالیت است، افزایش دهد. چرا كه اغلب افراد، به علت عدم آگاهی از اهمیت اطلاعاتی كه منتشر می كنند، زمینه نفوذ سارقان اطلاعات را فراهم می آورند.

۲-حملات مبتنی بر رایانه: در این حالت پای سیستم های نرم افزاری و بعضا سخت افزاری به میان می آید. مثلا جاسوس های نرم افزاری كه بدون شناسایی شدن بر روی سیستم رایانه ی قربانی نصب می شوند و كوچكترین جابجایی اطلاعات را، به بیرون منتقل می كنند. این كار از طریق گرفتن عكس از صفحه مانیتور، ثبت دكمه های فشرده شده كیبورد، ضبط صدا، ضبط تصویر از طریق وبكم، ثبت سایت هایی كه به آنها سر زده اید و ... انجام می گیرد. شاید اصطلاح حملات فیشینگ (Phishing) را شنیده باشید. در این روش، برای قربانی یك ایمیل فرستاده می شود و در آن برنده شدن در یك قرعه كشی را به او تبریك می گویند و از او می خواهند تا اطلاعات مورد نیاز برای ارسال جایزه (كه عموما شامل اسم، شماره تلفن، آدرس منزل، شماره حساب بانكی و ... می شود) را برای آنها ارسال كند. این نوع را می توان به كمك آنتی ویروس ها و سامانه های امنیتی دفع كرد.

اما به نظر می رسد برای این نوع حملات، نوع سومی را نیز می توان تصور كرد، كه تركیبی است از انسان و ماشین كه البته سهم ماشین ها در آن بیش از انسان است. در این نوع مهندسی، لپ تاپ شما، ویندوز شما، گوشی همراه شما، شبكه ی اجتماعی مورد علاقه شما، سایت های خبری باب طبع شما و ... شما و فعالیت های شما را رصد می كنند تا بتوانند اطلاعاتتان را در هر لحظه و هر مكان به سرقت ببرند. نام این سیستم پیچیده را "اشلون" می گویند. اشلون، سیستم رایانه ای پیچیده ای است كه از هزاران سوپر كامپیوتر تشكیل شده و از هوش مصنوعی برای انجام فعالیت های خود كمك می گیرد و بر همه ی دستگاه هایی كه بتوانند به نحوی با شبكه جهانی اینترنت ارتباط برقرار كنند، تسلط داشته و اطلاعات آنها را جمع آوری می كند. علاوه بر اینترنت، این سیستم به اغلب شبكه های مخابراتی نیز دسترسی دارد و می تواند مكالمات روزمره میلیاردها انسان را شنود نماید.

سند این ادعا، قانونی شدن شنود مكالمات مردم آمریكا، بعد از حوادث یازدهم سپتامبر بود كه با موجی از مخالفت ها مواجه شد. ابزار اصلی اشلون نیز، سیستم عامل رایانه ها و گوشی های هوشمند می باشد. كارشناسان معتقدند كه پس از اولین اتصال به اینترنت، سامانه اشلون كدهایی را از سیستم عامل مورد نظر دریافت می كند. سپس به كمك آن كدها یك پرونده اطلاعاتی برای آن سیستم عامل می سازد و پس از آن به ثبت فعالیت های آن رایانه یا گوشی می پردازد و اطلاعات بدست آمده را در پرونده مخصوص به خودش، ذخیره می كند. شاید به نظر آید كه جمع آوری این اطلاعات هیچ ضرری به كاربر وارد نمی كند، اما به مرور زمان كه فعالیت های كاربر افزایش پیدا كرد، حجم عظیمی از اطلاعات از او ذخیره می شود. مثلا اینكه پول هایش را در كدام بانك نگه می دارد، معمولا با كدام شركت مسافربری به مسافرت می رود (رزو بلیط)، ایمیلی كه فرستاده چه بوده است و چه كسی آن را دریافت كرده، در كدام دانشگاه تحصیل می كند (انتخاب واحد)،از كدام سایت ها، اخبار روزمره را دنبال می كند و اطلاعات بسیار دیگر كه در مجموع می تواند ذائقه و سلائق كاربر را بدست دهد.