مهندسی اجتماعی چیست؟

مهندسی اجتماعی چیست؟

جالب است بدانید، حملات مهندسی اجتماعی به یکی از خطرات جدی در زمینه امنیت سایبری تبدیل شده است. این نوع حملات به‌جای بهره‌برداری از آسیب‌ پذیری‌های فنی، بر روی نقاط ضعف انسانی تمرکز دارند و از طریق فریب و سوءاستفاده از رفتارها و احساسات افراد، به اهداف خود می‌رسند. مهندسی اجتماعی شامل تکنیک‌هایی است که به‌منظور به‌دست‌آوردن اطلاعات حساس یا دسترسی به سیستم‌های امنیتی طراحی شده‌اند و به‌طور فزاینده‌ای پیچیده و متنوع شده‌اند. برای مقابله با این تهدیدات، درک نحوه عملکرد و شناسایی تکنیک‌های مختلف مهندسی اجتماعی اهمیت ویژه‌ای دارد. در این مقاله، به بررسی مفاهیم کلیدی مهندسی اجتماعی، تکنیک‌های مختلف حملات، و روش‌های پیشگیری از آن ها می پردازیم، در ادامه این مطلب با ما همراه باشید تا به بررسی جامع این موضوع بپردازیم.

مهندسی اجتماعی چیست؟

مهندسی اجتماعی، شامل طیف وسیعی از حملات است که از تعاملات انسانی و احساسات برای فریب هدف استفاده می شود. در طول حمله، قربانی برای در اختیار گذاشتن اطلاعات حساس در اختیار دیگران، فریب داده می شود یا شخصا امنیت را به خطر بیندازد.

یک حمله مهندسی اجتماعی، معمولاً از چندین مرحله تشکیل شده است. مهاجم در مورد قربانی تحقیق می کند، اطلاعاتی در مورد آنها و چگونگی استفاده از اطلاعات برای دور زدن پروتکل های امنیتی یا برای به دست آوردن اطلاعات، جمع آوری می کند. در ادامه، مهاجم قبل از اینکه اطلاعات را افشا کند یا نقض سیاست‌های امنیتی را دستکاری کند، کاری می کند تا اعتماد هدف را جلب کند.

فورتی گیت

به طور خلاصه می توان گفت مهندسی اجتماعی یک روش فریب‌کاری است که مهاجمان از آن برای دسترسی به اطلاعات حساس، بدون نیاز به هک مستقیم سیستم‌های امنیتی، استفاده می‌کنند. این نوع حمله بر اساس دستکاری روانی انسان‌ها انجام می‌شود و هدف آن جلب اعتماد قربانی برای فاش کردن اطلاعات محرمانه یا انجام اقداماتی است که به نفع مهاجم است. در حملات مهندسی اجتماعی، معمولاً احساسات و غرایز انسانی مانند ترس، اعتماد، و کنجکاوی مورد سوءاستفاده قرار می‌گیرند.

مهندسی اجتماعی چیست؟

نحوه عملکرد مهندسی اجتماعی

در این تعریف از مهندسی اجتماعی، شروع یک حمله مهندسی، به گونه ای است که مهاجمان مشخص می کنند از یک سازمان یا شخص چه می خواهند. سپس رفتارها، علاقه‌ها و ناپسندی‌های یک هدف انسانی را مطالعه می‌کنند تا بهترین روش برای سواستفاده از آنها را دریابند. سپس حمله را اجرا کرده و سعی می کنند به داده های حساس یا شبکه ها یا سیستم های ایمن دسترسی پیدا کند. برای ارتکاب حملات مهندسی اجتماعی، رفتار انسان مورد سوء استفاده قرار می گیرد. در رفتار انسان، صفات خاصی وجود دارد که بومی اند و حملات سایبری مهندسی اجتماعی، به دنبال سو استفاده از این صفات هستند.

علاقه

مردم تمایل دارند به کسانی که دوستشان دارند، اعتبار بیشتری نسبت به کسانی که دوستشان ندارند بدهند. به منظور سوء استفاده از این، یک مهاجم مهندسی اجتماعی ممکن است سعی کند قابل اعتماد و جذاب به نظر برسد و به تظاهر، کسی را دوست داشته باشد که علایق مشابهی با آن دارد.

عمل متقابل

مهندسان اجتماعی با ارائه چیزی با ارزش ظاهری، حتی اگر به سادگی یک لطف کوچک یا نرم افزار رایگان باشد، غریزه عمل متقابل را تحریک می کنند. هنگامی که مردم احساس می‌کنند چیزی دریافت کرده‌اند، احتمال بیشتری دارد که جبران لطف کنند، که می‌تواند شامل اشتراک‌گذاری اطلاعات یا اعطای دسترسی باشد.

تعهد

پس از اینکه کسی متعهد به یک اقدام عملی می شود، احساس می کند که موظف است به تصمیم خود پایبند بماند. مهاجمی که از ابزارهای مهندسی اجتماعی استفاده می‌کند، می‌تواند با موافقت قربانی با چیزهای کوچک، قبل از درخواست چیز بزرگ‌تر، از آن سوء استفاده کند. آنها همچنین ممکن است قبل از آشکار شدن خطرات آن، از آنها بخواهند که با یک اقدام موافقت کنند.

 

اثبات اجتماعی

احتمال اینکه افراد از محصولی حمایت کنند در حالی که افراد مورد اعتمادشان نیز آن را تأیید کرده اند بسیار بیشتر است. مهاجمان ممکن است از شبکه های اجتماعی، برای سوء استفاده از مفهوم اثبات اجتماعی با این ادعا که دوستان آنلاین قربانی، قبلاً یک اقدام، محصول یا خدماتی را تأیید کرده اند، استفاده کنند.

اثبات اجتماعی

قدرت

افراد، به طور طبیعی تمایل دارند به مقامات، بیشتر از کسانی که تجربه یا تخصص کمتری دارند اعتماد کنند. از این رو، ممکن است مهاجم سعی کند از عباراتی مانند “طبق نظر کارشناسان” یا “علم ثابت می کند” برای متقاعد و موافقت کردن هدف و با چیزی استفاده کند.

مهندسی اجتماعی در حال حاضر

با گذشت زمان، تکنولوژی ها و روش ها تغییر کردند، اما دستکاری روانی تغییر نکرد. همانطور که در کلاهبرداری شاهزاده نیجریه قابل مشاهده است.

جعبه ابزار مهندسی اجتماعی برای این کلاهبرداری فقط شامل یک حساب ایمیل و برخی اسناد جعلی است. شخصی که تظاهر می کند یک شاهزاده نیجریه ای است، ادعا می کند که حساب بانکی قفل شده و بدون کمک نمی تواند به آن دسترسی پیدا کند. اگر گیرنده پیام، هزینه مورد نیاز برای رشوه دادن به مقامات یا پرداخت هزینه برای دسترسی به وجوه را به آنها بدهد، “شاهزاده” غنیمت ها را با گیرنده تقسیم خواهد کرد. البته، پولی وجود ندارد، و هر چیزی که دریافت شود هرگز برگردانده نمی‌شود.

تکنیک های حمله کلاهبرداری مهندسی اجتماعی

تکنیک‌های حمله کلاهبرداری مهندسی اجتماعی شامل روش‌های متنوعی هستند که مهاجمان با استفاده از آنها قربانیان خود را فریب می‌دهند. این تکنیک‌ها به منظور دسترسی به اطلاعات حساس، پول، یا دیگر منافع انجام می‌شوند و اغلب با سوءاستفاده از اعتماد یا عواطف انسانی همراه هستند. در ادامه برخی از متداول‌ترین تکنیک‌های حمله مهندسی اجتماعی را بررسی می‌کنیم:

طعمه گذاری

حمله طعمه‌ای (Baiting)،سعی می‌کند با قول دادن به چیزی که حس کنجکاوی یا طمع او را جلب می‌کند، قربانی را جذب کند. این کار هدف را فریب می‌دهد تا چیزی را نصب یا بر روی چیزی کلیک کند که در نهایت، بدافزاری مانند بدافزار مورد استفاده برای داروسازی یا جاسوس‌افزار، را روی سیستم قرار دهد.

ترس افراز

ترس افزار (Scareware)، هدف را با تهدیدهای جعلی یا هشدارهای دروغین بمباران می کند به این امید که تمایل طبیعی آنها برای محافظت از خودشان یا چیزی که برایشان ارزش قائل هستند، آنها را به انجام اقدام مورد نظر هکر سوق دهد. یکی از رایج‌ترین انواع، استفاده از بنرهایی با ظاهر حقیقی است که هشدار می‌دهند کامپیوتر آنها ممکن است به ویروس یا نوع دیگری از بدافزار آلوده شده باشد.

برای داشتن اطلاعات بیشتر در رابطه با اینکه هکر کیست و چگونه هک می کند؟ کلیک کنید.

تکنیک های حمله کلاهبرداری مهندسی اجتماعی

پِریتِکستینگ

در حمله ای که از پِریتِکستینگ(Pretexting) استفاده می شود، مهاجم با توجه به هویت قربانی، دروغ می گوید. پس از اینکه آنها اعتماد هدف را به دست آوردند، آنها را فریب می دهند تا اطلاعات حساس را تحویل گیرند.

فیشینگ

در یک حمله فیشینگ، مهاجم احساس فوریت ایجاد می کند یا به کنجکاوی قربانی متوسل می شود. سپس آنها را وادار می کنند که روی یک لینک مخرب کلیک کنند یا اطلاعات خصوصی را از طریق یک فرم ارائه دهند.

اسپیر فیشینگ

با حمله اسپیر فیشینگ (Spear Phishing)، قربانی به طور خاص هدف قرار می گیرد و مهاجم اغلب تحقیقات گسترده ای را قبل تر از موعد انجام می دهد. هنگامی که مهاجم بداند چگونه قربانی را فریب دهد، حمله را آغاز می کند، برای اطلاعات، اکانت ها یا داده های حساس فیشینگ می کند.

حمله گودال آب

در حمله گودال آب (Water Holing)، مهاجم سعی می‌کند با آلوده کردن سایت‌هایی که مورد اعتماد هستند، گروهی از افراد مشخص را به خطر بیاندازد. ممکن است مهاجم بر روی سایت‌هایی تمرکز کند که اغلب، افراد از آن‌ها بازدید می‌کنند و در آن صفحات احساس امنیت می‌کنند.

حمله جبران لطف

در یک حمله جبران لطف (Quid Pro Quo)، مهاجم وانمود می‌کند که در ازای اطلاعات یا اقدامی خاص، چیزی را در اختیار قربانی قرار می‌دهد. به عنوان مثال، مهاجم ممکن است وانمود کند که فردی از پشتیبانی فنی است، سپس هدف را متقاعد کند که دستورات را وارد کرده و یا نرم‌افزاری را دانلود کند که بدافزار را روی سیستم آنها نصب می‌کند.

تله عسل

با حمله تله عسل (Honey Trap)، مهندس اجتماعی هویت یک فرد جذاب را به خود می گیرد و سپس با قربانی به صورت آنلاین رابطه برقرار می کنند تا سعی کنند اطلاعات حساس را از آنها دریافت کنند.

تله عسل

تِیل گِیتینگ

تِیل گِیتینگ(Tailgating) تعقیب فردی با مجوز امنیتی، توسط مهاجم به داخل ساختمان است. به طوریکه هدف، یا به مهاجم اعتماد می‌کند یا از روی ادب، در را برای آنها باز نگه می‌دارد.

سرکش

با یک حمله سرکش(Rogue)، قربانی فریب داده می شود و مبلغی را می پردازد تا بدافزار را از سیستم خود حذف کند. بدافزار از سیستم حذف نمی شود، اما قربانی همچنان به مهاجم پرداخت می کند.

ویشینگ

ویشینگ (Vishing)، مخفف فیشینگ صوتی، از مکالمه تلفنی برای دریافت اطلاعات مالی یا شخصی هدف استفاده می کند. آنها اغلب هویت خود را با استفاده از جعل پنهان می کنند، که شناسه تماس گیرنده را تغییر می دهد. مانند سایر تاکتیک های مهندسی اجتماعی، مهاجم سعی می کند اعتماد افراد را جلب کند یا از ترس استفاده می کند تا آنها را وادار به افشای اطلاعات ارزشمند کند.

نمونه های معروف حملات مهندسی اجتماعی

فرانک اَبگنِیل احتمالاً مشهورترین نمونه حمله مهندسی اجتماعی است. کتاب و فیلم «اگر می‌توانی مرا بگیر» به تصویر می‌کشد که چگونه آقای اَبگنِیل برای جلب اعتماد مردم و سوء استفاده از افراد مختلف، از جمله یک پزشک، یک وکیل، و یک خلبان هواپیما، خود را به تصویر می‌کشد.

در سال 2011، یک مهاجم با ارسال ایمیل های فیشینگ به گروه هایی از کارمندان، به شرکت امنیتی RSA نفوذ کرد. ایمیل ها یک صفحه اکسل ضمیمه شده بودند. صفحه دارای کد مخربی بود که از یک آسیب پذیری در Adobe Flash، برای نصب یک درب پشتی در سیستم استفاده می کرد. اگر کارمندان برای باز کردن پرونده، مهندس اجتماعی نبودند، حمله موفقیت آمیز نبود.

نمونه های معروف حملات مهندسی اجتماعی

چگونه حملات مهندسی اجتماعی را شناسایی کنیم؟

شناسایی حملات مهندسی اجتماعی نیازمند دقت و آگاهی است، زیرا این حملات معمولاً با استفاده از روش‌های فریبکارانه و سوءاستفاده از عواطف انسانی طراحی می‌شوند. در ادامه چند روش کلیدی برای شناسایی و جلوگیری از افتادن در دام این حملات آورده شده است:

  • برای تشخیص حمله مهندسی اجتماعی، به دنبال علائم زیر باشید:
  • یک درخواست احساسی که ترس، کنجکاوی، هیجان، خشم، غم یا گناه را تحت تاثیر قرار می دهد.
  • احساس فوریت در مورد درخواست
  • تلاش برای ایجاد اعتماد با گیرنده

به طور خلاصه، هر زمان که کسی بخواهد از طریق فریب یا اجبار شما را وادار به ارائه پول یا اطلاعات حساس کند، شما یک هدف حمله مهندسی اجتماعی قرار می گیرید.

مراحل حمله مهندسی اجتماعی

حملات مهندسی اجتماعی اغلب از چند مرحله تشکیل می‌شوند:

  1. تحقیق: مهاجم اطلاعاتی درباره قربانی (یا سازمان) جمع‌آوری می‌کند.
  2. ایجاد اعتماد: مهاجم به شکلی که قابل اعتماد به نظر برسد با هدف ارتباط برقرار می‌کند.
  3. سوءاستفاده از اعتماد: مهاجم قربانی را فریب می‌دهد تا اطلاعات حساس یا دسترسی به منابع را فراهم کند.
  4. فرار: پس از دست‌یابی به اهداف خود، مهاجم به سرعت از موقعیت خارج می‌شود.

چگونه از حملات مهندسی اجتماعی جلوگیری کنیم؟

برای جلوگیری از حملات مهندسی اجتماعی، نیاز به اتخاذ تدابیر پیشگیرانه و آگاهی از روش‌های معمول این حملات دارید. در ادامه به چند روش کلیدی برای حفاظت از خود و سازمانتان در برابر حملات مهندسی اجتماعی اشاره می‌ کنیم:

عادات ارتباط ایمن و مدیریت حساب

همیشه هنگام برقراری ارتباط آنلاین مراقب باشید و هرگز به کسی که نتوانید هویت او را تأیید کنید اعتماد نکنید. مهمتر از همه، هرگز روی چیزی که مشکوک به نظر می رسد کلیک نکنید و هرگز اطلاعات حساس را فاش نکنید.

  • هرگز روی پیوندهای موجود در ایمیل یا پیام کلیک نکنید

به جای کلیک بر روی یک منبع یاب یکنواخت (URL)، آن را به صورت دستی در نوار آدرس تایپ کنید. قبل از کلیک کردن روی آنها، مبدأ همه URL ها را دوباره بررسی کنید و اگر نمی توانید مشروعیت آنها را تأیید کنید، از آنها اجتناب کنید.

  • احراز هویت چند عاملی (MFA)

استفاده از بیش از یک رمز عبور برای دسترسی به یک حساب می تواند در جلوگیری از نفوذ مهندسان اجتماعی به یک سیستم موثر باشد. این می تواند شامل بیومتریک یا پسورد های موقت ارسال شده از طریق یک پیام متنی باشد.

  • استفاده از پسوردهای قوی و مدیریت پسورد

پسورد شما باید پیچیده و منحصر به فرد باشد و هرگز برای بیش از یک سایت یا حساب تکرار نشود. می توانید از یک مدیریت پسورد امن برای سازماندهی آنها استفاده کنید و در صورت نیاز در دسترس قرار دهید.

عادات ارتباط ایمن و مدیریت حساب

  • در ایجاد دوستی های فقط-آنلاین محتاط باشید

رابطه‌ای که شامل هیچ گونه تعامل حضوری یا مکالمه تلفنی نمی‌شود، می‌تواند به راحتی برای مهندسی اجتماعی در سال 2021 استفاده شود. مراقب هرکسی باشید که می‌خواهد فقط به صورت آنلاین تعامل داشته باشد،.

عادات استفاده از شبکه ایمن

  • هرگز اجازه ندهید افراد غریبه به شبکه وای فای اصلی شما متصل شوند

اجازه دادن به شخصی برای دسترسی به شبکه Wi-Fi اصلی شما، امکان استراق سمع را محیا می کند. برای جلوگیری از این امر، از شبکه مهمان برای کسانی که به دفتر یا خانه شما مراجعه می کنند استفاده کنید.

  • از VPN استفاده کنید

یک شبکه خصوصی مجازی (VPN) یک تونل امن و رمزگذاری شده برای شما فراهم می کند که ارتباطات از آن عبور می کند. حتی اگر کسی ارتباطات شما را جاسوسی کند،  VPNارسال ها را رمزگذاری می کند و آنها را برای مهاجم بی فایده می کند.

برای داشتن اطلاعات بیشتر در رابطه با رمگذاری چیست؟ کلیک کنید.

  • همه دستگاه ها و سرویس های متصل به شبکه را ایمن نگه دارید

در حالی که احتمالاً اتصالات Wi-Fi شما در دفتر و اطراف آن مانند دستگاه های تلفن همراه شما ایمن هستند، مهم است که از سایر دستگاه ها مانند سیستم های سرگرمی-اطلاعاتی در ماشین خود غافل نشوید. ورود به این سیستم ها می تواند به مهندس اجتماعی کمک کند تا حمله خود را بیشتر شخصی سازی کند.

عادات ارتباط ایمن و مدیریت حساب

عادات استفاده از دستگاه ایمن

  • از نرم افزار جامع امنیت اینترنتی استفاده کنید

نرم افزار امنیت اینترنت می تواند از سیستم شما در برابر بدافزارهایی که از طریق یک حمله مهندسی اجتماعی کاشته می شوند محافظت کند. همچنین برخی از راه‌حل‌های امنیتی می‌توانند منبع حمله را ردیابی کنند، که سپس می‌توان آن‌ها را به مقامات گزارش کرد تا در تحقیقات آنها در مورد جرم کمک کند.

  • هرگز دستگاه های خود را در مکان های عمومی ناامن نگذارید

کامپیوتر و دستگاه های تلفن همراه شما باید همیشه همراه شما قفل یا ایمن باشد. این موضوع چه در یک مکان عمومی و چه در محیط نیمه عمومی مانند شغل خود صادق است.

  • تمام نرم افزارها را به روز نگه دارید

آپدیت نرم افزار کمک می کند تا اطمینان حاصل شود که برنامه های شما حتی در برابر جدیدترین انواع حملات به چشم انداز غیر قابل نفوذ هستند. پس از موفقیت آمیز بودن حمله، تیم طراحی نرم افزار ممکن است آسیب پذیری موجود در یک آپدیت را برطرف کند، بنابراین به روز رسانی های مکرر به روزترین امنیت را برای شما فراهم می کند.

  • رخنه های شناخته شده داده ی حساب های آنلاین خود را بررسی کنید

برخی از شرکت ها، حساب هایی را که توسط هکرها به خطر افتاده است را پیگیری می کنند. اگر اطلاعات حساب شما در لیست آنها است، با تغییر پسورد یا افزودن MFA، اقداماتی را برای ایمن سازی آن انجام دهید.

عادات استفاده از دستگاه ایمن

جمع بندی

به طور خلاصه حملات مهندسی اجتماعی، یکی از تهدیدات اصلی در دنیای امنیت سایبری امروز هستند که بر اساس فریب و سوءاستفاده از رفتارهای انسانی طراحی شده‌اند. با این حال، آگاهی و آمادگی می‌تواند به‌طور قابل‌توجهی از آسیب‌های این نوع حملات جلوگیری کند. مهم‌ترین گام‌ها در این راستا شامل آموزش مداوم، استفاده از ابزارهای امنیتی مناسب، و توجه به رفتارهای مشکوک است. با پیروی از تدابیر پیشگیرانه و اتخاذ شیوه‌های امنیتی صحیح، می‌توان امنیت شخصی و سازمانی را به‌طور مؤثری حفظ کرد و از خطرات ناشی از مهندسی اجتماعی مصون ماند. همواره به یاد داشته باشید که امنیت یک فرآیند مستمر است و نیاز به توجه و به‌روزرسانی مداوم دارد.

Leave A Comment

Your email address will not be published. Required fields are marked *