فارسی

EnglishEnglish

EspañolSpanish

简体中文Chinese

FrançaisFrench

DeutschGerman

日本語Japanese

PortuguêsPortuguese

ItalianoItalian

한국어Korean

РусскийRussian

NederlandsDutch

العربيةArabic

PolskiPolish

हिन्दीHindi

Tiếng ViệtVietnamese

SvenskaSwedish

ΕλληνικάGreek

TürkçeTurkish

ไทยThai

ČeštinaCzech

RomânăRomanian

MagyarHungarian

УкраїнськаUkrainian

Bahasa IndonesiaIndonesian

DanskDanish

SuomiFinnish

БългарскиBulgarian

עבריתHebrew

NorskNorwegian

HrvatskiCroatian

CatalàCatalan

SlovenčinaSlovak

LietuviųLithuanian

SlovenščinaSlovenian

СрпскиSerbian

EestiEstonian

LatviešuLatvian

فارسیPersian

മലയാളംMalayalam

தமிழ்Tamil

اردوUrdu

The Art of Deception

Name: The Art of Deception
Rating: 4.19 (19 reviews)
ISBN: 9780471237129

Controlling the Human Element of Security

توسط Kevin D. Mitnick 2002 304 صفحات

3.76

6k+ امتیازها

Psychology Technology Hackers

گوش دادن

Summary Reviews Similar Author Download

نکات کلیدی

1. مهندسی اجتماعی از روانشناسی انسانی برای نفوذ به امنیت استفاده می‌کند

"امنیت یک محصول نیست، بلکه یک فرآیند است." علاوه بر این، امنیت یک مشکل فناوری نیست—بلکه یک مشکل انسانی و مدیریتی است.

آسیب‌پذیری انسانی. حملات مهندسی اجتماعی ضعیف‌ترین حلقه در هر سیستم امنیتی را هدف قرار می‌دهند: انسان‌ها. برخلاف آسیب‌پذیری‌های فناوری، ضعف‌های انسانی قابل اصلاح یا به‌روزرسانی نیستند. مهندسان اجتماعی از تمایلات طبیعی انسانی مانند تمایل به کمک کردن، تمایل به اعتماد و ترس از گرفتار شدن سوءاستفاده می‌کنند.

دستکاری روانشناختی. این حملات به جای هک کردن سیستم‌ها به طور مستقیم، بر تأثیرگذاری و فریب افراد تکیه دارند. تاکتیک‌های رایج شامل:

جعل هویت افراد مقتدر
ایجاد حس فوریت یا بحران
جلب توجه به غرور یا طمع
سوءاستفاده از تمایل انسانی به دوست داشته شدن یا قدردانی شدن

با درک و بهره‌برداری از این اصول روانشناختی، مهندسان اجتماعی می‌توانند حتی پیچیده‌ترین دفاع‌های فناوری را دور بزنند.

2. اعتماد پایه و اساس حملات موفق مهندسی اجتماعی است

"وقتی او اعتماد شما را جلب کرد، پل متحرک پایین می‌آید و دروازه قلعه باز می‌شود تا او بتواند وارد شود و هر اطلاعاتی که می‌خواهد را بگیرد."

ایجاد رابطه. مهندسان اجتماعی در ایجاد سریع اعتماد و رابطه با اهداف خود مهارت دارند. آن‌ها اغلب از تکنیک‌هایی مانند:

نام بردن از کارمندان یا مدیران شناخته شده
نشان دادن دانش داخلی از رویه‌ها یا اصطلاحات شرکت
ابراز علاقه‌ها یا تجربیات مشترک
ارائه کمک‌های کوچک یا خدمات برای ایجاد حس متقابل

سوءاستفاده از اعتماد ایجاد شده. هنگامی که اعتماد ایجاد شد، مهاجم می‌تواند به راحتی:

درخواست اطلاعات حساس کند
به مناطق محدود دسترسی فیزیکی پیدا کند
اهداف را متقاعد کند که اقداماتی انجام دهند که امنیت را به خطر می‌اندازد

خطرناک‌ترین مهندسان اجتماعی کسانی هستند که می‌توانند به طور متقاعدکننده‌ای در طولانی مدت عمل کنند و به تدریج سطح اعتماد و دسترسی خود را در یک سازمان افزایش دهند.

3. جمع‌آوری اطلاعات برای ساختن پیش‌زمینه‌های متقاعدکننده حیاتی است

"تحقیق دقیق برند احتیاط من است، بنابراین می‌توانم با هر کسی که مرا به چالش می‌کشد صحبت کنم، با دانشی به اندازه هر کارمند."

مرحله شناسایی. قبل از شروع حمله، مهندسان اجتماعی تحقیقات کاملی در مورد سازمان هدف و افراد انجام می‌دهند. این ممکن است شامل:

مطالعه وب‌سایت شرکت، گزارش‌های سالانه و اطلاعیه‌های مطبوعاتی
بررسی پایگاه‌های داده عمومی و پروفایل‌های شبکه‌های اجتماعی
جستجو در اسناد دور ریخته شده
تماس‌های تلفنی بی‌ضرر برای جمع‌آوری اطلاعات از کارمندان

ساختن پایگاه دانش. اطلاعات جمع‌آوری شده به مهاجم اجازه می‌دهد تا:

ساختار و فرهنگ سازمان را درک کند
اهداف بالقوه و نقش‌های آن‌ها را شناسایی کند
اصطلاحات و رویه‌های خاص شرکت را یاد بگیرد
سناریوها و پیش‌زمینه‌های باورپذیر برای حملات خود ایجاد کند

هرچه دانش مهاجم دقیق‌تر و جزئی‌تر باشد، جعل هویت او متقاعدکننده‌تر و شانس موفقیت او بیشتر است.

4. پیش‌زمینه‌سازی: هنر ایجاد سناریو برای دستکاری اهداف

"یک مهندس اجتماعی خوب، از طرف دیگر، هرگز حریف خود را دست کم نمی‌گیرد."

ساختن شخصیت‌ها. پیش‌زمینه‌سازی شامل ایجاد یک سناریوی خیالی و پذیرش نقشی برای دستکاری هدف است. پیش‌زمینه‌های مؤثر اغلب شامل:

جعل هویت افراد مقتدر (مانند پشتیبانی IT، مدیران، فروشندگان)
ایجاد موقعیت‌های فوری یا حساس به زمان
ارائه چیزی که هدف می‌خواهد یا نیاز دارد

قابلیت تطبیق کلیدی است. مهندسان اجتماعی ماهر می‌توانند:

به سرعت پیش‌زمینه خود را بر اساس پاسخ‌های هدف تنظیم کنند
سناریوهای پشتیبان متعددی آماده داشته باشند
جزئیات متقاعدکننده‌ای را به صورت فوری بداهه‌سازی کنند

موفق‌ترین پیش‌زمینه‌ها آن‌هایی هستند که کاملاً باورپذیر به نظر می‌رسند و با انتظارات و تجربیات هدف در نقش سازمانی خود همخوانی دارند.

5. تاکتیک‌های سفارشی: سوءاستفاده از تمایلات خاص انسانی

"مردم به آنچه در خانه دور می‌ریزند فکر زیادی نمی‌کنند: قبض‌های تلفن، صورت‌حساب‌های کارت اعتباری، بطری‌های نسخه پزشکی، صورت‌حساب‌های بانکی، مواد مرتبط با کار و خیلی چیزهای دیگر."

محرک‌های روانشناختی. مهندسان اجتماعی از تاکتیک‌های مختلفی استفاده می‌کنند که برای سوءاستفاده از تمایلات خاص انسانی طراحی شده‌اند:

اقتدار: جعل هویت افراد قدرتمند برای وادار کردن به تبعیت
دوست داشتن: ایجاد رابطه برای موافقت بیشتر هدف
متقابل: ارائه خدمات برای ایجاد حس تعهد
ثبات: بهره‌برداری از تمایل افراد به ظاهر شدن به عنوان پایبند به تعهدات خود
اثبات اجتماعی: استفاده از فشار همسالان یا اقدامات دیگران برای تأثیرگذاری بر رفتار
کمبود: ایجاد حس فوریت یا محدودیت در دسترسی

هدف‌گیری آسیب‌پذیری‌ها. مهاجمان اغلب بر روی:

کارمندان جدید که ممکن است با رویه‌های امنیتی آشنا نباشند
کارکنان سطح پایین که مشتاق به خوشایند کردن یا ترس از اقتدار دارند
پرسنل پشتیبانی IT که به کمک کردن عادت کرده‌اند
کارمندانی که تحت فشار یا استرس زمانی هستند

با تطبیق رویکرد خود با آسیب‌پذیری‌های روانشناختی خاص اهداف خود، مهندسان اجتماعی به طور قابل توجهی شانس موفقیت خود را افزایش می‌دهند.

6. امنیت فیزیکی به اندازه دفاع‌های دیجیتال حیاتی است

"جستجو در زباله‌ها اصطلاحی است که به جستجو در زباله‌های هدف برای یافتن اطلاعات ارزشمند اشاره دارد. مقدار اطلاعاتی که می‌توانید درباره یک هدف یاد بگیرید شگفت‌انگیز است."

فراتر از دیجیتال. در حالی که تمرکز زیادی بر امنیت سایبری وجود دارد، امنیت فیزیکی همچنان یک آسیب‌پذیری بحرانی است. مهندسان اجتماعی از ضعف‌های امنیت فیزیکی از طریق:

دنبال کردن: دنبال کردن افراد مجاز به مناطق محدود
جعل هویت: استفاده از نشان‌های جعلی یا تغییر چهره برای ورود
جستجو در زباله‌ها: جستجو در اسناد دور ریخته شده برای اطلاعات حساس

رویکرد جامع. امنیت جامع باید به:

سیستم‌ها و رویه‌های کنترل دسترسی
آگاهی و آموزش کارکنان در مورد امنیت فیزیکی
رویه‌های امن برای دور ریختن اسناد و رسانه‌ها
سیاست‌های مدیریت و همراهی بازدیدکنندگان

سازمان‌ها باید تشخیص دهند که نقض امنیت فیزیکی می‌تواند به راحتی منجر به به خطر افتادن سیستم‌های دیجیتال و اطلاعات حساس شود.

7. آموزش و آگاهی کارکنان بهترین اقدامات متقابل هستند

"کارکنان باید ببینند که مدیریت ارشد به طور کامل به برنامه متعهد است. این تعهد باید واقعی باشد، نه فقط یک یادداشت 'ما برکت خود را می‌دهیم' که به صورت سطحی تأیید شده است."

آموزش مداوم. دفاع مؤثر در برابر مهندسی اجتماعی نیازمند:

آموزش منظم آگاهی امنیتی برای همه کارکنان
حملات شبیه‌سازی شده مهندسی اجتماعی برای آزمایش و تقویت آموزش
ارتباط واضح سیاست‌ها و رویه‌های امنیتی
پرورش فرهنگ آگاهی امنیتی

توانمندسازی کارکنان. آموزش باید بر:

شناسایی تاکتیک‌های رایج مهندسی اجتماعی
درک ارزش اطلاعاتی که آن‌ها مدیریت می‌کنند
دانستن رویه‌های صحیح برای تأیید هویت‌ها و مجوزها
احساس اطمینان در گزارش فعالیت‌های مشکوک

هدف این است که کارکنان را از آسیب‌پذیری‌های بالقوه به یک خط دفاعی فعال و آگاه در برابر حملات مهندسی اجتماعی تبدیل کنیم.

8. رویه‌های تأیید برای جلوگیری از مهندسان اجتماعی ضروری هستند

"تأیید، تأیید، تأیید. هر درخواستی که به صورت حضوری انجام نشده باشد، نباید بدون تأیید هویت درخواست‌کننده پذیرفته شود—به هیچ وجه."

تأیید چند مرحله‌ای. رویه‌های تأیید قوی باید شامل:

رویه‌های تماس مجدد برای تأیید درخواست‌ها با استفاده از شماره‌های تماس شناخته شده
احراز هویت چند عاملی برای سیستم‌ها یا دسترسی به اطلاعات حساس
پروتکل‌های تعیین شده برای تأیید هویت و اقتدار درخواست‌کنندگان
ممیزی‌ها و به‌روزرسانی‌های منظم رویه‌های تأیید

ثبات حیاتی است. سازمان‌ها باید:

اطمینان حاصل کنند که همه کارکنان رویه‌های تأیید را درک کرده و دنبال می‌کنند
رویه‌ها را به طور مداوم اعمال کنند، صرف نظر از اقتدار یا فوریت درک شده درخواست
فرهنگی ایجاد کنند که در آن پیروی از تأیید صحیح تحسین شود، نه به عنوان یک مزاحمت دیده شود

رویه‌های تأیید مؤثر موانع قابل توجهی برای مهندسان اجتماعی ایجاد می‌کنند، و آن‌ها را مجبور می‌کنند تا از چندین نقطه بازرسی عبور کنند و خطر شناسایی را افزایش دهند.

9. سیاست‌های امنیتی باید جامع و به طور مداوم اجرا شوند

"تدوین و توزیع سیاست‌های امنیتی یک گام اساسی برای کاهش ریسک است، اما در اکثر موارد، رعایت آن لزوماً به عهده کارمند فردی است."

چارچوب سیاست. سیاست‌های امنیتی مؤثر باید به:

رویه‌های طبقه‌بندی و مدیریت داده‌ها
الزامات کنترل دسترسی و احراز هویت
پروتکل‌های گزارش‌دهی و پاسخ به حوادث
امنیت فیزیکی و مدیریت بازدیدکنندگان
استفاده قابل قبول از منابع شرکت
دستورالعمل‌های رسانه‌های اجتماعی و ارتباطات خارجی

اجرا و اعمال. برای مؤثر بودن، سیاست‌ها باید:

به وضوح به همه کارکنان ابلاغ و به راحتی قابل دسترسی باشند
به طور منظم به‌روزرسانی شوند تا تهدیدات و فناوری‌های جدید را پوشش دهند
به طور مداوم در تمام سطوح سازمان اجرا شوند
در صورت امکان با کنترل‌های فناوری پشتیبانی شوند (مانند الزامات پیچیدگی رمز عبور)

سیاست‌های امنیتی خوب طراحی شده و به درستی اجرا شده، چارچوبی ایجاد می‌کنند که رفتار کارکنان را هدایت کرده و سطح حمله برای مهندسان اجتماعی را کاهش می‌دهد.

10. تعادل امنیت با بهره‌وری یک چالش مداوم است

"امنیت شرکتی یک مسئله تعادل است. امنیت کم شرکت شما را آسیب‌پذیر می‌کند، اما تأکید بیش از حد بر امنیت مانع از توجه به کسب و کار می‌شود و رشد و شکوفایی شرکت را محدود می‌کند."

یافتن تعادل. سازمان‌ها باید تعادلی بین:

اجرای اقدامات امنیتی قوی
حفظ کارایی عملیاتی و بهره‌وری کارکنان
پرورش یک محیط کاری مثبت و قابل اعتماد

رویکرد تطبیقی. دستیابی به این تعادل نیازمند:

ارزیابی‌های منظم ریسک برای شناسایی دارایی‌ها و آسیب‌پذیری‌های حیاتی
تطبیق اقدامات امنیتی با نقش‌ها و بخش‌های خاص
اجرای کنترل‌های امنیتی که کمترین اختلال را در جریان کار ایجاد می‌کنند
جمع‌آوری بازخورد از کارکنان در مورد تأثیر اقدامات امنیتی
به طور مداوم پالایش سیاست‌ها و رویه‌ها بر اساس اثربخشی در دنیای واقعی

هدف ایجاد یک وضعیت امنیتی است که دارایی‌های سازمان را محافظت کند بدون اینکه به طور نامناسبی توانایی آن برای انجام کسب و کار و نوآوری را محدود کند.

آخرین به‌روزرسانی:: July 26, 2024

Report Issue

نقد و بررسی

3.76 از 5

میانگین از 6k+ امتیازات از Goodreads و Amazon.

کتاب هنر فریب نقدهای متفاوتی دریافت کرده است و به خاطر بینش‌هایش در زمینه‌ی مهندسی اجتماعی و آسیب‌پذیری‌های امنیت سایبری مورد تحسین قرار گرفته است. خوانندگان از مثال‌های واقعی و توصیه‌های عملی میتنیک قدردانی می‌کنند، اگرچه برخی محتوا را تکراری و قدیمی می‌دانند. این کتاب به خاطر افزایش آگاهی درباره‌ی ریسک‌های امنیتی انسانی و ارائه‌ی استراتژی‌هایی برای کاهش آن‌ها ارزشمند تلقی می‌شود. منتقدان به تمرکز آن بر محیط‌های شرکتی و لحن گاه‌به‌گاه تحقیرآمیزش اشاره می‌کنند. با وجود قدمت آن، بسیاری از خوانندگان همچنان مفاهیم اصلی را مرتبط و روشنگر می‌دانند و آن را به عنوان مقدمه‌ای بر تاکتیک‌های مهندسی اجتماعی توصیه می‌کنند.

Similar Books

Pitch Anything

Oren Klaff

An Innovative Method for Presenting, Persuading, and Winning the Deal

4.06

The Bitcoin Standard

Saifedean Ammous

The Decentralized Alternative to Central Banking

درباره نویسنده

کوین دیوید میتنیک یک هکر سابق کامپیوتر است که به مشاور امنیتی و نویسنده تبدیل شده است. او که زمانی یک مجرم سایبری بدنام بود، موضوع یک تعقیب و گریز بزرگ قرار گرفت و در نهایت دستگیر و زندانی شد. پس از آزادی، میتنیک به حرفه‌ای در زمینه امنیت سایبری روی آورد و از تخصص خود در هک برای کمک به سازمان‌ها در حفاظت از خود استفاده کرد. او در کنفرانس‌های جهانی سخنرانی کرده، در برنامه‌های متعدد تلویزیونی و رادیویی حضور یافته و حتی در کنگره شهادت داده است. تجربیات و دانش میتنیک او را به چهره‌ای برجسته در زمینه امنیت اطلاعات تبدیل کرده و او نویسنده چندین کتاب در زمینه هک و امنیت سایبری است.

Other books by Kevin D. Mitnick

Ghost in the Wires

Kevin D. Mitnick

My Adventures as the World's Most Wanted Hacker

3.96

The Art of Invisibility

Kevin D. Mitnick

The World's Most Famous Hacker Teaches You How to Be Safe in the Age of Big Brother and Big Data

Compare Features	Free	Pro
Read full text summaries Summaries are free to read for everyone
Listen to summaries 12,000+ hours of audio	—
Unlimited Bookmarks Free users are limited to 10	—
Unlimited History Free users are limited to 10	—