مهندسی اجتماعی چیست؟
مهندسی اجتماعی، شامل طیف وسیعی از حملات است که از تعاملات انسانی و احساسات برای فریب هدف استفاده می شود. در طول حمله، قربانی برای در اختیار گذاشتن اطلاعات حساس در اختیار دیگران، فریب داده می شود یا شخصا امنیت را به خطر بیندازد.
یک حمله مهندسی اجتماعی، معمولاً از چندین مرحله تشکیل شده است. مهاجم در مورد قربانی تحقیق می کند، اطلاعاتی در مورد آنها و چگونگی استفاده از اطلاعات برای دور زدن پروتکل های امنیتی یا برای به دست آوردن اطلاعات، جمع آوری می کند. در ادامه، مهاجم قبل از اینکه اطلاعات را افشا کند یا نقض سیاستهای امنیتی را دستکاری کند، کاری می کند تا اعتماد هدف را جلب کند.
به طور خلاصه می توان گفت مهندسی اجتماعی یک روش فریبکاری است که مهاجمان از آن برای دسترسی به اطلاعات حساس، بدون نیاز به هک مستقیم سیستمهای امنیتی، استفاده میکنند. این نوع حمله بر اساس دستکاری روانی انسانها انجام میشود و هدف آن جلب اعتماد قربانی برای فاش کردن اطلاعات محرمانه یا انجام اقداماتی است که به نفع مهاجم است. در حملات مهندسی اجتماعی، معمولاً احساسات و غرایز انسانی مانند ترس، اعتماد، و کنجکاوی مورد سوءاستفاده قرار میگیرند.
نحوه عملکرد مهندسی اجتماعی
در این تعریف از مهندسی اجتماعی، شروع یک حمله مهندسی، به گونه ای است که مهاجمان مشخص می کنند از یک سازمان یا شخص چه می خواهند. سپس رفتارها، علاقهها و ناپسندیهای یک هدف انسانی را مطالعه میکنند تا بهترین روش برای سواستفاده از آنها را دریابند. سپس حمله را اجرا کرده و سعی می کنند به داده های حساس یا شبکه ها یا سیستم های ایمن دسترسی پیدا کند. برای ارتکاب حملات مهندسی اجتماعی، رفتار انسان مورد سوء استفاده قرار می گیرد. در رفتار انسان، صفات خاصی وجود دارد که بومی اند و حملات سایبری مهندسی اجتماعی، به دنبال سو استفاده از این صفات هستند.
علاقه
مردم تمایل دارند به کسانی که دوستشان دارند، اعتبار بیشتری نسبت به کسانی که دوستشان ندارند بدهند. به منظور سوء استفاده از این، یک مهاجم مهندسی اجتماعی ممکن است سعی کند قابل اعتماد و جذاب به نظر برسد و به تظاهر، کسی را دوست داشته باشد که علایق مشابهی با آن دارد.
عمل متقابل
مهندسان اجتماعی با ارائه چیزی با ارزش ظاهری، حتی اگر به سادگی یک لطف کوچک یا نرم افزار رایگان باشد، غریزه عمل متقابل را تحریک می کنند. هنگامی که مردم احساس میکنند چیزی دریافت کردهاند، احتمال بیشتری دارد که جبران لطف کنند، که میتواند شامل اشتراکگذاری اطلاعات یا اعطای دسترسی باشد.
تعهد
پس از اینکه کسی متعهد به یک اقدام عملی می شود، احساس می کند که موظف است به تصمیم خود پایبند بماند. مهاجمی که از ابزارهای مهندسی اجتماعی استفاده میکند، میتواند با موافقت قربانی با چیزهای کوچک، قبل از درخواست چیز بزرگتر، از آن سوء استفاده کند. آنها همچنین ممکن است قبل از آشکار شدن خطرات آن، از آنها بخواهند که با یک اقدام موافقت کنند.
اثبات اجتماعی
احتمال اینکه افراد از محصولی حمایت کنند در حالی که افراد مورد اعتمادشان نیز آن را تأیید کرده اند بسیار بیشتر است. مهاجمان ممکن است از شبکه های اجتماعی، برای سوء استفاده از مفهوم اثبات اجتماعی با این ادعا که دوستان آنلاین قربانی، قبلاً یک اقدام، محصول یا خدماتی را تأیید کرده اند، استفاده کنند.
قدرت
افراد، به طور طبیعی تمایل دارند به مقامات، بیشتر از کسانی که تجربه یا تخصص کمتری دارند اعتماد کنند. از این رو، ممکن است مهاجم سعی کند از عباراتی مانند “طبق نظر کارشناسان” یا “علم ثابت می کند” برای متقاعد و موافقت کردن هدف و با چیزی استفاده کند.
مهندسی اجتماعی در حال حاضر
با گذشت زمان، تکنولوژی ها و روش ها تغییر کردند، اما دستکاری روانی تغییر نکرد. همانطور که در کلاهبرداری شاهزاده نیجریه قابل مشاهده است.
جعبه ابزار مهندسی اجتماعی برای این کلاهبرداری فقط شامل یک حساب ایمیل و برخی اسناد جعلی است. شخصی که تظاهر می کند یک شاهزاده نیجریه ای است، ادعا می کند که حساب بانکی قفل شده و بدون کمک نمی تواند به آن دسترسی پیدا کند. اگر گیرنده پیام، هزینه مورد نیاز برای رشوه دادن به مقامات یا پرداخت هزینه برای دسترسی به وجوه را به آنها بدهد، “شاهزاده” غنیمت ها را با گیرنده تقسیم خواهد کرد. البته، پولی وجود ندارد، و هر چیزی که دریافت شود هرگز برگردانده نمیشود.
تکنیک های حمله کلاهبرداری مهندسی اجتماعی
تکنیکهای حمله کلاهبرداری مهندسی اجتماعی شامل روشهای متنوعی هستند که مهاجمان با استفاده از آنها قربانیان خود را فریب میدهند. این تکنیکها به منظور دسترسی به اطلاعات حساس، پول، یا دیگر منافع انجام میشوند و اغلب با سوءاستفاده از اعتماد یا عواطف انسانی همراه هستند. در ادامه برخی از متداولترین تکنیکهای حمله مهندسی اجتماعی را بررسی میکنیم:
طعمه گذاری
حمله طعمهای (Baiting)،سعی میکند با قول دادن به چیزی که حس کنجکاوی یا طمع او را جلب میکند، قربانی را جذب کند. این کار هدف را فریب میدهد تا چیزی را نصب یا بر روی چیزی کلیک کند که در نهایت، بدافزاری مانند بدافزار مورد استفاده برای داروسازی یا جاسوسافزار، را روی سیستم قرار دهد.
ترس افراز
ترس افزار (Scareware)، هدف را با تهدیدهای جعلی یا هشدارهای دروغین بمباران می کند به این امید که تمایل طبیعی آنها برای محافظت از خودشان یا چیزی که برایشان ارزش قائل هستند، آنها را به انجام اقدام مورد نظر هکر سوق دهد. یکی از رایجترین انواع، استفاده از بنرهایی با ظاهر حقیقی است که هشدار میدهند کامپیوتر آنها ممکن است به ویروس یا نوع دیگری از بدافزار آلوده شده باشد.
برای داشتن اطلاعات بیشتر در رابطه با اینکه هکر کیست و چگونه هک می کند؟ کلیک کنید.
پِریتِکستینگ
در حمله ای که از پِریتِکستینگ(Pretexting) استفاده می شود، مهاجم با توجه به هویت قربانی، دروغ می گوید. پس از اینکه آنها اعتماد هدف را به دست آوردند، آنها را فریب می دهند تا اطلاعات حساس را تحویل گیرند.
فیشینگ
در یک حمله فیشینگ، مهاجم احساس فوریت ایجاد می کند یا به کنجکاوی قربانی متوسل می شود. سپس آنها را وادار می کنند که روی یک لینک مخرب کلیک کنند یا اطلاعات خصوصی را از طریق یک فرم ارائه دهند.
اسپیر فیشینگ
با حمله اسپیر فیشینگ (Spear Phishing)، قربانی به طور خاص هدف قرار می گیرد و مهاجم اغلب تحقیقات گسترده ای را قبل تر از موعد انجام می دهد. هنگامی که مهاجم بداند چگونه قربانی را فریب دهد، حمله را آغاز می کند، برای اطلاعات، اکانت ها یا داده های حساس فیشینگ می کند.
حمله گودال آب
در حمله گودال آب (Water Holing)، مهاجم سعی میکند با آلوده کردن سایتهایی که مورد اعتماد هستند، گروهی از افراد مشخص را به خطر بیاندازد. ممکن است مهاجم بر روی سایتهایی تمرکز کند که اغلب، افراد از آنها بازدید میکنند و در آن صفحات احساس امنیت میکنند.
حمله جبران لطف
در یک حمله جبران لطف (Quid Pro Quo)، مهاجم وانمود میکند که در ازای اطلاعات یا اقدامی خاص، چیزی را در اختیار قربانی قرار میدهد. به عنوان مثال، مهاجم ممکن است وانمود کند که فردی از پشتیبانی فنی است، سپس هدف را متقاعد کند که دستورات را وارد کرده و یا نرمافزاری را دانلود کند که بدافزار را روی سیستم آنها نصب میکند.
تله عسل
با حمله تله عسل (Honey Trap)، مهندس اجتماعی هویت یک فرد جذاب را به خود می گیرد و سپس با قربانی به صورت آنلاین رابطه برقرار می کنند تا سعی کنند اطلاعات حساس را از آنها دریافت کنند.
تِیل گِیتینگ
تِیل گِیتینگ(Tailgating) تعقیب فردی با مجوز امنیتی، توسط مهاجم به داخل ساختمان است. به طوریکه هدف، یا به مهاجم اعتماد میکند یا از روی ادب، در را برای آنها باز نگه میدارد.
سرکش
با یک حمله سرکش(Rogue)، قربانی فریب داده می شود و مبلغی را می پردازد تا بدافزار را از سیستم خود حذف کند. بدافزار از سیستم حذف نمی شود، اما قربانی همچنان به مهاجم پرداخت می کند.
ویشینگ
ویشینگ (Vishing)، مخفف فیشینگ صوتی، از مکالمه تلفنی برای دریافت اطلاعات مالی یا شخصی هدف استفاده می کند. آنها اغلب هویت خود را با استفاده از جعل پنهان می کنند، که شناسه تماس گیرنده را تغییر می دهد. مانند سایر تاکتیک های مهندسی اجتماعی، مهاجم سعی می کند اعتماد افراد را جلب کند یا از ترس استفاده می کند تا آنها را وادار به افشای اطلاعات ارزشمند کند.
نمونه های معروف حملات مهندسی اجتماعی
فرانک اَبگنِیل احتمالاً مشهورترین نمونه حمله مهندسی اجتماعی است. کتاب و فیلم «اگر میتوانی مرا بگیر» به تصویر میکشد که چگونه آقای اَبگنِیل برای جلب اعتماد مردم و سوء استفاده از افراد مختلف، از جمله یک پزشک، یک وکیل، و یک خلبان هواپیما، خود را به تصویر میکشد.
در سال 2011، یک مهاجم با ارسال ایمیل های فیشینگ به گروه هایی از کارمندان، به شرکت امنیتی RSA نفوذ کرد. ایمیل ها یک صفحه اکسل ضمیمه شده بودند. صفحه دارای کد مخربی بود که از یک آسیب پذیری در Adobe Flash، برای نصب یک درب پشتی در سیستم استفاده می کرد. اگر کارمندان برای باز کردن پرونده، مهندس اجتماعی نبودند، حمله موفقیت آمیز نبود.
چگونه حملات مهندسی اجتماعی را شناسایی کنیم؟
شناسایی حملات مهندسی اجتماعی نیازمند دقت و آگاهی است، زیرا این حملات معمولاً با استفاده از روشهای فریبکارانه و سوءاستفاده از عواطف انسانی طراحی میشوند. در ادامه چند روش کلیدی برای شناسایی و جلوگیری از افتادن در دام این حملات آورده شده است:
- برای تشخیص حمله مهندسی اجتماعی، به دنبال علائم زیر باشید:
- یک درخواست احساسی که ترس، کنجکاوی، هیجان، خشم، غم یا گناه را تحت تاثیر قرار می دهد.
- احساس فوریت در مورد درخواست
- تلاش برای ایجاد اعتماد با گیرنده
به طور خلاصه، هر زمان که کسی بخواهد از طریق فریب یا اجبار شما را وادار به ارائه پول یا اطلاعات حساس کند، شما یک هدف حمله مهندسی اجتماعی قرار می گیرید.
مراحل حمله مهندسی اجتماعی
حملات مهندسی اجتماعی اغلب از چند مرحله تشکیل میشوند:
- تحقیق: مهاجم اطلاعاتی درباره قربانی (یا سازمان) جمعآوری میکند.
- ایجاد اعتماد: مهاجم به شکلی که قابل اعتماد به نظر برسد با هدف ارتباط برقرار میکند.
- سوءاستفاده از اعتماد: مهاجم قربانی را فریب میدهد تا اطلاعات حساس یا دسترسی به منابع را فراهم کند.
- فرار: پس از دستیابی به اهداف خود، مهاجم به سرعت از موقعیت خارج میشود.
برای جلوگیری از حملات مهندسی اجتماعی، نیاز به اتخاذ تدابیر پیشگیرانه و آگاهی از روشهای معمول این حملات دارید. در ادامه به چند روش کلیدی برای حفاظت از خود و سازمانتان در برابر حملات مهندسی اجتماعی اشاره می کنیم:
عادات ارتباط ایمن و مدیریت حساب
همیشه هنگام برقراری ارتباط آنلاین مراقب باشید و هرگز به کسی که نتوانید هویت او را تأیید کنید اعتماد نکنید. مهمتر از همه، هرگز روی چیزی که مشکوک به نظر می رسد کلیک نکنید و هرگز اطلاعات حساس را فاش نکنید.
- هرگز روی پیوندهای موجود در ایمیل یا پیام کلیک نکنید
به جای کلیک بر روی یک منبع یاب یکنواخت (URL)، آن را به صورت دستی در نوار آدرس تایپ کنید. قبل از کلیک کردن روی آنها، مبدأ همه URL ها را دوباره بررسی کنید و اگر نمی توانید مشروعیت آنها را تأیید کنید، از آنها اجتناب کنید.
- احراز هویت چند عاملی (MFA)
استفاده از بیش از یک رمز عبور برای دسترسی به یک حساب می تواند در جلوگیری از نفوذ مهندسان اجتماعی به یک سیستم موثر باشد. این می تواند شامل بیومتریک یا پسورد های موقت ارسال شده از طریق یک پیام متنی باشد.
- استفاده از پسوردهای قوی و مدیریت پسورد
پسورد شما باید پیچیده و منحصر به فرد باشد و هرگز برای بیش از یک سایت یا حساب تکرار نشود. می توانید از یک مدیریت پسورد امن برای سازماندهی آنها استفاده کنید و در صورت نیاز در دسترس قرار دهید.
- در ایجاد دوستی های فقط-آنلاین محتاط باشید
رابطهای که شامل هیچ گونه تعامل حضوری یا مکالمه تلفنی نمیشود، میتواند به راحتی برای مهندسی اجتماعی در سال 2021 استفاده شود. مراقب هرکسی باشید که میخواهد فقط به صورت آنلاین تعامل داشته باشد،.
عادات استفاده از شبکه ایمن
- هرگز اجازه ندهید افراد غریبه به شبکه وای فای اصلی شما متصل شوند
اجازه دادن به شخصی برای دسترسی به شبکه Wi-Fi اصلی شما، امکان استراق سمع را محیا می کند. برای جلوگیری از این امر، از شبکه مهمان برای کسانی که به دفتر یا خانه شما مراجعه می کنند استفاده کنید.
- از VPN استفاده کنید
یک شبکه خصوصی مجازی (VPN) یک تونل امن و رمزگذاری شده برای شما فراهم می کند که ارتباطات از آن عبور می کند. حتی اگر کسی ارتباطات شما را جاسوسی کند، VPNارسال ها را رمزگذاری می کند و آنها را برای مهاجم بی فایده می کند.
برای داشتن اطلاعات بیشتر در رابطه با رمگذاری چیست؟ کلیک کنید.
- همه دستگاه ها و سرویس های متصل به شبکه را ایمن نگه دارید
در حالی که احتمالاً اتصالات Wi-Fi شما در دفتر و اطراف آن مانند دستگاه های تلفن همراه شما ایمن هستند، مهم است که از سایر دستگاه ها مانند سیستم های سرگرمی-اطلاعاتی در ماشین خود غافل نشوید. ورود به این سیستم ها می تواند به مهندس اجتماعی کمک کند تا حمله خود را بیشتر شخصی سازی کند.
عادات استفاده از دستگاه ایمن
- از نرم افزار جامع امنیت اینترنتی استفاده کنید
نرم افزار امنیت اینترنت می تواند از سیستم شما در برابر بدافزارهایی که از طریق یک حمله مهندسی اجتماعی کاشته می شوند محافظت کند. همچنین برخی از راهحلهای امنیتی میتوانند منبع حمله را ردیابی کنند، که سپس میتوان آنها را به مقامات گزارش کرد تا در تحقیقات آنها در مورد جرم کمک کند.
- هرگز دستگاه های خود را در مکان های عمومی ناامن نگذارید
کامپیوتر و دستگاه های تلفن همراه شما باید همیشه همراه شما قفل یا ایمن باشد. این موضوع چه در یک مکان عمومی و چه در محیط نیمه عمومی مانند شغل خود صادق است.
- تمام نرم افزارها را به روز نگه دارید
آپدیت نرم افزار کمک می کند تا اطمینان حاصل شود که برنامه های شما حتی در برابر جدیدترین انواع حملات به چشم انداز غیر قابل نفوذ هستند. پس از موفقیت آمیز بودن حمله، تیم طراحی نرم افزار ممکن است آسیب پذیری موجود در یک آپدیت را برطرف کند، بنابراین به روز رسانی های مکرر به روزترین امنیت را برای شما فراهم می کند.
- رخنه های شناخته شده داده ی حساب های آنلاین خود را بررسی کنید
برخی از شرکت ها، حساب هایی را که توسط هکرها به خطر افتاده است را پیگیری می کنند. اگر اطلاعات حساب شما در لیست آنها است، با تغییر پسورد یا افزودن MFA، اقداماتی را برای ایمن سازی آن انجام دهید.
جمع بندی
Leave A Comment