معرفی

در بحث امنیت سیستم ‌ها مباحث مختلفی مطرح می‌شود که یکی از آن ‌ها، مهندسی اجتماعی (Social Engineering) است. خیلی از سازمان ‌ها و ارگان ‌ها به دلیل عدم آموزش نیروهای خود از این روش ضربه می خورند. مهندسی اجتماعی یعنی بتوان با روش ‌های اجتماعی مثل صحبت کردن، گپ زدن و … اطلاعاتی که نیاز است از شخص گرفته شود. یکی  از مباحث حفاظت اطلاعات حفاظت گفتار است  که این حفاظت گفتار در بحث ما، می‌شود مقابله با Social engineering . باید حواسمان باشد که اطلاعات ندهیم. باید بدانیم که تلفن یک رسانه (media) امن برای انتقال حساس نیست (fax هم به همین ترتیب). در سازمان خود هم باید سیاست ‌‌هایی داشته باشیم که از رخداد این اتفاق جلوگیری کند. همچنین ابزارهایی هم داشته باشیم که با استفاده از آن بتوان سیاست ‌های امنیتی را پیاده کرد. مثلا برای فاکس (fax) یک سری ابزارهایی وجود دارند (توکن) که به دو دستگاه که می خواهند فاکس مبادله کنند متصل می‌شوند و دیتای فاکس را Encrypt‌ و Decrypt می‌کنند. بدین ترتیب اگر بین راه شنود انجام گیرد، داده ‌ها فاش نمی‌شوند (برای تلفن هم به همین ترتیب). آموزش نیروها با استفاده از برگزاری سمینارها،‌ جلسات توجیهی و غیره (دقت کنید مهندسی اجتماعی علاوه بر تلفن، در محیط ‌های چت و ایمیل هم می‌تواند رخ دهد).

کار دیگر در مهندسی اجتماعی این است که مثلا یک نفر پشت تلفن خود را جای admin جا بزند و به شما بگوید سیستم را restart کنید.

طریقه دیگر استفاده مهندسی اجتماعی این است که نفوذ گر بدافزار (Malware) خود را با کمک کاربر بر روی سیستم کاربر نصب می‌کند. بدین ترتیب که به نحوی کاربر را ترغیب می‌کند تا بر روی  یک لینک کلیک کند و یا بر روی یک عکس کلیک کند و …

کتاب ‌‌هایی هم وجود دارند که از جمله آن ‌ها Art of deception (هنر اغوا) است.