اردیبهشت ۱, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

مهندسی اجتماعی چیست؟ معرفی مهم‌ترین تکنیک‌ها و راه‌های مقابله

مهندسی اجتماعی چیست؟

مهندسی اجتماعی به مجموعه‌ای از روش‌ها گفته می‌شود که با استفاده از آن‌ها، افراد را فریب می‌دهند و اطلاعات محرمانه آن‌ها را سرقت می‌کنند. بهتر است این موضوع را با یک مثال درباره مهندسی اجتماعی شروع کنیم:

یک مثال از مهندسی اجتماعی

((تصور کنید در یک آزمون مهم شرکت کرده‌اید که آینده شما به آن بستگی دارد. درست زمانی که تنها چند روز تا برگزاری آزمون باقی مانده و شما بسیار مضطرب هستید، ایمیلی دریافت می‌کنید که به شما پیشنهاد خرید سؤالات آزمون را با مبلغی معقول می‌دهد. ایمیل از یک آدرس اینترنتی معتبر که مربوط به مؤسسه برگزارکننده آزمون می‌باشد، ارسال شده است. لینکی که برای پرداخت مبلغ سوالات فرستاده شده نیز، شما را به سایت مؤسسه هدایت می‌کند. همه چیز درست و دقیق است. در این شرایط چه می‌کنید، آیا اقدام به خرید سؤالات می‌کنید؟

اگر فرصت کافی برای مطالعه این مطلب را ندارید، می توانید پادکست زیر را گوش کنید:

اتفاقی که در ادامه می‌افتد، این است که شما اطلاعات حساب بانکی خود را وارد می‌کنید و دکمه خرید را می‌زنید. بعد منتظر می‌مانید که ایمیل حاوی لینک دانلود سوالات برای شما ارسال شود اما هرگز چنین ایمیلی به دست شما نمی‌رسد. به جای آن، متوجه می‌شوید که موجودی حساب بانکی شما، صفر شده و کسی بدون اجازه شما از آن پول برداشته است.

بیایید چند قدم به عقب برگردیم و دوباره داستان را مرور کنیم تا بفهمیم که چه اتفاقی افتاده است. شما به دلیل استرس ناشی از آزمون، یک پست در شبکه‌های اجتماعی خود منتشر کرده و در مورد این آزمون صحبت کرده بودید. فرد ناشناسی این پست را دیده و از آن جا که برای تمام حساب‌های کاربری خود از یک ID مشابه استفاده می‌کنید، به راحتی آدرس ایمیل شما را حدس زده است. سپس ایمیلی شبیه به ایمیل رسمی مؤسسه ساخته که تفاوتی بسیار جزئی با آن دارد. شما متوجه این تفاوت نمی‌شوید و پس از کلیک روی لینک ارسالی و ورود به سایت مؤسسه، مطمئن می‌شوید که این ایمیل از طرف مؤسسه است. در حالی که این هم تنها یک شباهت است و شما وارد یک سایت جعلی شده‌اید. حالا اطلاعات حساب خود را وارد می‌کنید، این اطلاعات برای مهاجم ارسال می‌شوند و او می‌تواند از حساب شما پول برداشت کند.))

در مثال بالا، مهاجم بدون استفاده از دانش فنی پیچیده و تنها با استفاده از مهندسی اجتماعی، شما را فریب داده و اطلاعات‌تان را به سرقت برده است. در واقع، از اضطراب شما برای آزمون و پست‌های شبکه‌های اجتماعی‌تان، سوءاستفاده کرده و شما را فریب داده است.

حالا می‌توانیم تعریف‌مان را از مهندسی اجتماعی کامل‌تر کنیم:

مهندسی اجتماعی، مجموعه‌ای از روش‌ها است که در آن، بدون استفاده از تکنیک‌های فنی و تنها با آگاهی از شرایط افراد جامعه و تکنیک‌های روانشناسی، آن‌ها را فریب داده و اطلاعات محرمانه‌شان را سرقت می‌کنند.

چیزی که در مهندسی اجتماعی اهمیت دارد، این است که فرد بتواند به مهاجم اعتماد کند و باور کند که مهاجم همان فردی است که به آن تظاهر می‌کند. اگر مهاجم بتواند این اطمینان را در قربانی ایجاد کند، می‌توان گفت که به هدف خود رسیده است. جالب است بدانید که بسیاری از حملات سایبری که منجر به فیشینگ یا نقض اطلاعات می‌شوند، از طریق مهندسی اجتماعی صورت می‌گیرند.

چطور یک حمله مهندسی اجتماعی را تشخیص دهیم؟

حملاتی که در آن‌ها از مهندسی اجتماعی استفاده می‌شود، شباهت‌های زیادی با یکدیگر دارند و در عین حال ممکن است در قالب‌های مختلفی انجام شوند. در ادامه، به بررسی انواع مختلف حملات اجتماعی می‌پردازیم:

دریافت ایمیل از طرف یک دوست

اگر مهاجم بتواند با استفاده از هک یا مهندسی اجتماعی، رمزعبور ایمیل فرد را به دست بیاورد، به لیست مخاطبان او نیز دسترسی خواهد داشت. علاوه بر این، از آن‌جایی که بیشتر افراد از یک رمز عبور مشابه، برای تمام حساب‌های کاربری خود استفاده می‌کنند، پس احتمالا به مخاطبان شبکه‌های اجتماعی او نیز دسترسی پیدا خواهند کرد.

بعد از این که یک مهاجم، کنترل ایمیل یا حساب کاربری شخص را به دست گرفت، شروع به ارسال ایمیل برای مخاطبان او می‌کند یا در شبکه‌های اجتماعی به دوستانش پیام می‌دهد. این پیام می‌تواند حاوی:

  • یک لینک باشد که از مخاطب خواسته شده روی آن کلیک کند. از آن جا که این پیام از طرف یک فرد قابل اعتماد فرستاده شده، مخاطب به احتمال زیاد روی آن کلیک می‌کند و به بدافزار آلوده می‌شود. حالا مهاجم می‌تواند کنترل دستگاه مخاطب پیام را به دست بگیرد.
  • تصویر، موسیقی، فیلم و غیره باشد که در آن‌ها بدافزار جاسازی شده است. اگر فرد بخواهد هر کدام از آن‌ها را دانلود کند، بدافزار هم همراه با آن دانلود شده و دستگاه فرد را آلوده می‌کند.
مثال از مهندسی اجتماعی

دریافت ایمیل از طرف یک منبع مورد اعتماد دیگر

حملات فیشینگ، زیرمجموعه‌ای از استراتژی مهندسی اجتماعی است که با استفاده از جعل هویت یک منبع قابل اعتماد و یک سناریوی منطقی، اقدام به سرقت اطلاعات محرمانه افراد و سازمان‌ها می‌کند. طبق گزارش سالانه Verizon، حملات مهندسی اجتماعی از جمله فیشینگ و Pretexting، مسئول 93% از نقض موفقیت‌آمیز داده‌ها هستند. این پیام‌ها می‌توانند:

  • نیازمند کمک فوری شما باشند. مثلا دوست شما در کشور یا شهر دیگری گیر کرده است. او را دزدیده و کتک زده‌اند و اکنون در بیمارستان است. او از شما درخواست پول می‌کند تا بتواند به خانه برگردد.
  • از روش‌های فیشینگ استفاده کنند و به نظر برسد که از طریق یک منبع معتبر ارسال شده‌اند. معمولاً، فیشر یک ایمیل، پیام فوری یا پیام متنی ارسال می‌کند که به نظر می‌رسد از طرف یک سازمان، بانک، مدرسه یا مؤسسه محبوب و قابل اعتماد باشد.
  • از شما بخواهند که به آن‌ها کمک مالی کنید. مهاجمان با برانگیختن حس بخشندگی شما و همچنین سوء استفاده از موضوعات مهم روز، از شما می‌خواهند که به خیریه، کمپین یا گروه سیاسی آن‌ها کمک کنید.
  • مشکلی را مطرح کنند و از شما بخواهند که با کلیک کردن روی لینک نمایش داده شده، اطلاعات خود را در فرم آن‌ها تأیید کنید. ممکن است همه چیز درست به نظر برسد در صورتی که مهاجم فقط محتوای سایت اصلی را کپی کرده است. شما به دلیل اعتمادی که به سایت مورد نظر دارید، هر آن‌چه را که از شما خواسته، انجام می‌دهید. در این طور مواقع، مهاجم معمولا در مورد عواقبی که در صورت بی‌توجهی به این پیام گریبان شما را می‌گیرد هم صحبت می‌کند. به این دلیل که می‌داند اگر شما فرصت کافی برای فکر کردن نداشته باشید، احتمال این که در دام بیفتید، بالاتر می‌رود.
  • شامل یک متن تبریک باشند. این پیام‌ها ممکن است به شما بگویند که در یک مسابقه برنده شده‌اید یا یکی از خویشاوندان فوت شده، مبلغ هنگفتی را به عنوان ارث برای شما به جای گذاشته است. در ادامه هم از شما می‌خواهند که اطلاعات بانکی، هویتی یا شماره تلفن خود را ارسال کنید تا بتوانند این هدیه را برای شما ارسال کنند. مواردی که در یک pretext ارسال می‌شوند، معمولا همان چیز‌هایی است که افراد دوست دارند، به همین دلیل وسوسه می‌شوند تا اطلاعات خواسته شده را در اختیار مهاجم قرار بدهند.
  • از سمت رئیس یا همکار شما ارسال شده باشند. در این دست از پیام‌ها، سوالاتی راجع به یک پروژه حساس و مهم، حساب بانکی شرکت یا برخی سوالات دیگر راجع به کارکنان از شما پرسیده می‌شود.

در همین رابطه بخوانید:

سناریو طعمه

در این طرح از این نکته استفاده می‌شود که اگر چیزی که مردم می‌خواهند را به آن‌ها بدهید، بسیاری از آن‌ها در دام میفتند. برای مثال، مهاجمان اقدام به ارائه فیلم یا موسیقی‌های داغ یا حراج کالا با قیمت‌های شگفت‌انگیز می‌کنند.

پاسخ به سوالی که هرگز نداشته‌اید!

ممکن است ایمیلی دریافت کنید که به نظر می‌رسد در پاسخ به سؤال شما ارسال شده باشد. مهاجمان معمولا شرکت‌هایی را انتخاب می‌کنند که افراد زیادی از محصولات آن‌ها استفاده می‌کنند؛ مانند بانک‌ها یا شرکت‌های نرم افزاری. در این دست از پیام‌ها، به شما گفته می‌شود که اگر بخواهید، می‌توانید باز هم به صورت رایگان از پشتیبانی استفاده کنید.

اگر شما واقعا از محصولات این شرکت استفاده کنید، احتمالا به این ایمیل پاسخ می‌دهید و مشکل خود را مطرح می‌کنید (با وجود این که می‌دانید در ابتدا سوالی نپرسیده بودید). مهاجم از شما می‌خواهد که احراز هویت کنید، وارد سیستم شوید یا به مهاجم دسترسی دهید.

کلاهبرداری از طریق ایمیل

ایجاد بی‌اعتمادی

در برخی از روش‌‌های مهندسی اجتماعی، از ایجاد بی‌اعتمادی استفاده می‌شود. به این صورت که سعی می‌کنند در ذهن شما، نوعی بی‌اعتمادی نسبت به دیگران ایجاد کنند و از این فرصت برای جلب اعتماد شما نسبت به خود استفاده کنند.

در این روش از مهندسی اجتماعی، مهاجم ابتدا با استفاده از هک یا حدس پسورد، به حساب کاربری فرد دسترسی پیدا می‌کند و سپس شروع به خرابکاری یا اخاذی می‌کند.

حملات مهندسی اجتماعی، انواع زیادی دارند و به میزان خلاقیت هکر می‌توانند تنوع داشته باشند. حتی ممکن است در یک حمله واحد، چندین مورد را تجربه کنید زیرا ممکن است مهاجم، اطلاعات شما را بفروشد و مورد هدف مهاجمان دیگر هم قرار بگیرید.

چطور قربانی این حملات نشویم؟

راه‌های جلوگیری از حملات مهندسی اجتماعی بسیار ساده است. کمی دقت کافی است تا بتوانید یک پیام واقعی را از پیام جعلی تشخیص دهید.

مواردی که باید به یاد داشته باشید:

  • آرام باشید. این همان چیزی است که مهاجمان نمی‌خواهند. پس اگر پیامی دریافت کردید که از شما درخواست اقدام فوری داشت، تردید کنید.
  • مطمئن شوید. اگر ایمیل از طرف شخص یا شرکت معروفی بود، آدرس یا شماره تلفن را در یک موتور جستجوگر جستجو کنید تا مطمئن شوید که معتبر و واقعی است.
  • روی لینک کلیک نکنید. به جای کلیک روی لینک، آدرس صفحه مورد نظر را از طریق موتور جستجوگر پیدا کنید یا آدرس صفحه را در مرورگر تایپ کنید.
  • ممکن است ایمیل اطرافیان شما هک شده باشند. این اتفاق بسیار شایع است و حتی اگر پیامی از طریق افراد مورد اعتماد خود دریافت کردید، بررسی کنید که حتما در جریان باشند.
  • هر چیزی را دانلود نکنید. اگر فرستنده را نمی‌شناسید، از دانلود فایل‌های ارسالی از طرف آن‌ها خودداری کنید.
  • پیشنهادهای خارجی جعلی هستند. پیام‌هایی با مضمون برنده شدن در یک قرعه‌کشی خارجی، پول از طرف اقوام ناشناس یا درخواست انتقال وجه از یک کشور خارجی و دریافت سهمی از آن، مسلما کلاهبرداری است و واقعیت ندارد.
جلوگیری از مهدسی اجتماعی

راه‌هایی برای محافظت از خود:

هر پیامی که اطلاعات محرمانه شما را می‌خواهد، حذف کنید. مانند پیام‌هایی که اطلاعات مالی، رمزعبور یا اطلاعات شخص شما را می‌خواهند.

  • پیام‌هایی با مضمون کمک یا درخواست کمک را رد کنید. مطمئن باشید شرکت‌های معتبر به شما پیام شخصی ارسال نمی‌کنند تا پیشنهاد کمک بدهند. اگر درخواست کمک نکرده‌اید، به این دسته از پیام‌ها بی‌توجه باشید.
  • تنظیمات فیلتر اسپم خود را بالا ببرید. در تمام برنامه‌های ایمیل، تنظیمات اسپم وجود دارد. می‌توانید این بخش را در قسمت تنظیمات پیدا کنید.
  • دستگاه‌های خود را ایمن کنید. می‌توانید از نرم‌افزارهای آنتی ویروس، فایروال ها و فیلترهای ایمیل استفاده کنید. دقت کنید که دستگاه‌های خود را بروز نگه دارید و اگر می‌توانید، حتما از یک ابزار ضد فیشینگ استفاده کنید.

در همین رابطه بخوانید:

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب