ساده‌ترين راه نفوذ براي ايجاد دسترسي در يک شبکه، ورود زيرکانه و از طريق مهندسي اجتماعي به سازمان و کسب اطلاعات مورد نياز و خروج اين اطلاعات است.

پايگاه خبري فناوري اطلاعات وارتباطات - بسياري از سازمان‌ها و افراد که دانش و توانايي بالايي دارند، براي بستن راه‌هاي نفوذ کلاهبرداران به حريم خود، از راه‌هاي بسياري استفاده مي‌کنند. اما يک شبکه هيچ‌گاه کاملاً ايمن نيست و هرگز نمي‌توان عامل انسان را از چرخه اتصالات شبکه و سازمان خارج کرد.

بنابراين با تمامي رمزگذاري‌ها، ديوار آتش و… که براي شبکه خود به طور کامل در نظر مي‌گيريم، بايد به عامل انسان و ساده‌ترين راه نفوذ که همان مهندسي اجتماعي است، توجه کنيم. زيرا همان‌طور که پليس فتا در گزارش خود آورده، ساده‌ترين راه نفوذ براي ايجاد دسترسي در يک شبکه، ورود زيرکانه و از طريق مهندسي اجتماعي به سازمان و کسب اطلاعات مورد نياز و خروج اين اطلاعات است.

يک مهندس اجتماعي فردي است که با حيله، تحريک و متقاعدسازي و فريب با افراد ارتباط برقرار مي‌کند و پس از شناخت زواياي مختلف سازمان، بهره‌برداري و سوءاستفاده از سازمان را آغاز مي‌کند. مهندس اجتماعي به قدري ساده و طبيعي با افراد ارتباط برقرار مي‌کند و از آن‌ها کسب اطلاعات مي‌کند که به هيچ وجه پس از دسترسي غيرمجاز و افشاي اطلاعات سازمان، افراد متوجه نخواهند شد که اطلاعات از کجا فاش شده است. گروه کامپيوتري سازمان به دنبال نقص‌هاي فني مي‌گردند و اما پس از بررسي متوجه مي‌شوند اطلاعات بسيار ساده‌تر از اين‌ها از دست رفته و عامل انسان دخيل بوده است.

لزوم آگاه‌سازي افراد سازمان‌ها

در مهندسي اجتماعي به هيچ وجه در ابتدا با نرم‌افزار و سخت‌افزار کار نمي‌شود، بلکه با ذهن و فکر انسان‌ها کار مي‌شود. البته اين به اين معني نيست که نبايد امنيت را از طريق فعاليت‌هاي سخت‌افزاري و نرم‌افزاري برقرار کرد، بلکه منظور از بيان اين مفاهيم اين است که تأمين امنيت فيزيکي بدون آگاه‌سازي افراد سازمان و تغيير نگرش آن‌ها نمي‌تواند موفق باشد بلکه هر دوي اين‌ها با هم کارآمد خواهد بود.

مهندسي اجتماعي بر دو نوع است: مهندسي اجتماعي بر پايه اطلاعات فني و مهندسي اجتماعي بر پايه نيروهاي انساني. مهندسين بر پايه اطلاعات فني همان کلاهبرداران و فيشرها هستند که با اطلاعات خود مانور مي‌دهند و اغلب با طراحي و توسعه سايت يا صفحات بانک‌ها و مؤسسات مالي براي دزديدن نام کاربري و رمز عبور، به کلاهبرداري مي‌پردازند. يا اين که با استفاده از ايميل‌هايي که به کاربران مي‌فرستند، آن‌ها را تحريک مي‌کنند که فايل‌هاي ضميمه را باز کنند و سپس به اهداف خود مي‌رسند.

اما در مهندسي اجتماعي بر پايه نيروي انساني تمام هدف نفوذگر، ارتباط با اشخاص به وسيله تلفن يا ارتباط حضوري است. اين افراد اغلب داراي اطلاعات فني زيادي نيستند و هنر آن‌ها تنها روابط عمومي قوي است و آن‌ها با متخصصان شريک مي‌شوند تا با هم بتوانند با کلاهبرداري منفعت کسب کنند. بنابراين حفظ اطلاعات شبکه چه از طريق آموزش به افراد سازمان و چه از طريق امنيت فيزيکي بسيار مهم و حائز اهميت است.

منبع: ايسنا