تعریف مهندسی اجتماعی

مهندسی اجتماعی اصطلاحی است که برای طیف وسیعی از فعالیت های مخرب حاصل از تعاملات انسانی به کار می رود. این گونه فعالیت ها با استفاده از دستکاری روانشناختی، کاربران را فریب می دهد تا مرتکب اشتباهات امنیتی شوند یا اطلاعات حساس خود را فاش کنند.

حملات مهندسی اجتماعی

حملات مهندسی اجتماعی در یک یا چند مرحله اتفاق می افتد. یک مهاجم ابتدا درباره قربانی مورد نظر تحقیق می کند تا اطلاعات زمینه ای لازم را جمع آوری کند، مانند نقاط احتمالی ورود و پروتکل های امنیتی ضعیف، که برای ادامه حمله مورد نیاز است. سپس، مهاجم برای جلب اعتماد قربانی حرکت می کند و محرک هایی را برای اقدامات بعدی فراهم می کند که اقدامات امنیتی را نقض می کند، مانند افشای اطلاعات حساس یا اعطای دسترسی به منابع مهم.

مهندسی اجتماعی

چرخه زندگی مهندسی اجتماعی

آن چه مهندسی اجتماعی را خطرناک می کند این است که آسیب پذیری در نرم افزار و سیستم عامل، به خطای انسانی متکی است. اشتباهات انجام شده توسط کاربران قانونی بسیار کمتر قابل پیش بینی است و شناسایی و خنثی سازی آن ها نسبت به یک تهاجم مبتنی بر بدافزار دشوارتر است.

تکنیک های حمله مهندسی اجتماعی

شکل های متداول حملات مهندسی اجتماعی

حملات مهندسی اجتماعی اشکال مختلفی دارد و در هر مکانی که تعامل انسانی در آن باشد، قابل انجام است. در زیر شکل های  متداول حملات مهندسی اجتماعی دیجیتال آورده شده است.

1. طعمه گذاری

همانطور که از نام آن پیداست، حملات طعمه گذاری از یک وعده دروغین برای تحریک طمع یا حس کنجکاوی قربانی استفاده می کند. آن ها کاربران را به دامی سوق می دهند که اطلاعات شخصی آن ها را می دزدد یا سیستم های آن ها را با بدافزار آلوده می کند.

در این روش، طعمه ظاهری معتبر دارد، مانند برچسبی که آن را به عنوان لیست حقوق و دستمزد شرکت نشان می دهد. قربانیان از روی کنجکاوی طعمه را برمی دارند و آن را در رایانه محل کار یا خانه نصب می کنند و در نتیجه بدافزار خودکار روی سیستم نصب می شود.

کلاهبردارانی که از روش طعمه گذاری استفاده می کنند، لزوماً نباید در دنیای فیزیکی کاری انجام دهند. انواع آنلاین طعمه گذاری شامل تبلیغات فریبنده ای است که منجر به ایجاد سایت های مخرب می شود یا کاربران را به بارگیری یک برنامه آلوده به بدافزار ترغیب می کند.

2. پیام های هشداردهنده

مهاجمان با هشدارهای دروغین و تهدیدات ساختگی، کاربران را فریب می دهند که سیستمشان به بدافزار آلوده است و آن ها را وادار می کند نرم افزاری را نصب کنند که هیچ منافع واقعی (به جز برای مجرم) ندارد. یک مثال متداول که شاید برای شما نیز پیش آمده باشد مشاهده بنرهای پنجره ای با ظاهر قانونی است که هنگام مرور وب در مرورگر شما ظاهر می شوند و متن هایی از جمله “کامپیوتر شما ممکن است به برنامه های جاسوسی مضر آلوده شود” را نشان می دهد. سپس نصب برنامه ای را (که اغلب به بدافزار آلوده است) به شما پیشنهاد می کند، یا شما را به یک سایت مخرب هدایت می کند تا رایانه شما آلوده به ویروس مخرب شود.

3. بهانه تراشی

در این جا مهاجم از طریق یک سری دروغ های هوشمندانه اطلاعات را به دست می آورد. این کلاهبرداری اغلب توسط مجرمی انجام می شود که وانمود می کند به اطلاعات حساس قربانی احتیاج دارد تا وظیفه ای حیاتی را انجام دهد. مهاجم معمولاً با اعتماد به نفس در مقابل قربانی خود با جعل هویت از همکاران قربانی، پلیس، کارمند بانک و یا کارمند اداره مالیات شروع می کند. مهاجم سوالاتی را مطرح می کند که ظاهراً برای تأیید هویت قربانی لازم است، و از طریق آن ها اطلاعات شخصی مهم را جمع آوری می کند.

انواع اطلاعات و سوابق مربوطه با استفاده از این کلاهبرداری مانند شماره های تأمین اجتماعی، آدرس های شخصی و شماره تلفن ها، سوابق بانکی و غیره جمع آوری می شود.

4. فیشینگ

فیشینگ یکی از محبوب ترین انواع حمله های مهندسی اجتماعی است. این روش شامل ایمیل های فریبنده، وب سایت ها و پیام های متنی برای سرقت اطلاعات است. هدف استفاده از تکنیک فیشینگ، ایجاد احساس اضطرار، کنجکاوی یا ترس در قربانیان است. سپس مهاجم به قربانیان این امکان را می دهد تا اطلاعات حساس خود را فاش کنند، روی پیوندهایی که به وب سایت های مخرب وارد می شوند کلیک کنند، یا پیوست هایی را که حاوی بدافزار هستند باز کنند.

5. فیشینگ نیزه ای (هدف دار)

این نسخه هدفمندتر از کلاهبرداری فیشینگ معمولی است که به موجب آن مهاجم افراد یا شرکت های خاصی را انتخاب می کند. آن ها پیام های خود را بر اساس ویژگی ها، موقعیت های شغلی و ارتباطات متعلق به قربانیان خود تنظیم می کنند تا امکان فریب خوردن قربانی را بیشتر کنند و حمله آن ها نیز کمتر دیده شود. فیشینگ نیزه ای به تلاش بیشتر از طرف مجرم احتیاج دارد و ممکن است هفته ها و ماه ها طول بکشد تا متوقف شود. اگر این کار با مهارت انجام شود، تشخیص آن ها بسیار دشوارتر است.

6. ویشینگ

در این روش مهاجم با استفاده از تماس های صوتی و همچنین نامه های صوتی قربانیان را متقاعد می کند که باید سریعاً برای محافظت از خود در برابر یک سری خطرات دروغین اقداماتی انجام دهند.

تعریف مهندسی اجتماعی

حمله های مهندسی اجتماعی و احساسات انسانی

مجرمان سایبری باهوش می دانند که مهندسی اجتماعی هنگام تمرکز بر احساسات و خطرهای انسانی، بهترین عملکرد را دارد. استفاده از احساسات انسانی بسیار ساده تر از هک کردن شبکه یا جستجوی نقاط ضعیف امنیتی است.چند نمونه از آن ها را در این مقاله ذکر می کینم:

ترس

شما یک پیام صوتی دریافت می کنید که می گوید شما به دلیل کلاهبرداری مالیاتی تحت پیگرد قانونی هستید و برای جلوگیری از دستگیری و تحقیقات جنایی باید سریعاً تماس بگیرید. این حمله مهندسی اجتماعی در فصل مالیات زمانی اتفاق می افتد که مردم در مورد مالیات خود تحت فشار قرار گرفته اند. مجرمان اینترنتی استرس و اضطراب ناشی از وضع مالیات را شکار می کنند و از این احساسات ترس برای فریب مردم برای مطابقت با پیام صوتی استفاده می کنند.

کنجکاوی

مجرمان اینترنتی به حوادثی که اخبار زیادی را به خود اختصاص می دهند توجه می کنند و سپس با بهره گیری از کنجکاوی انسانی قربانیان مهندسی اجتماعی را فریب می دهند. به عنوان مثال، پس از سقوط هواپیمای دوم بوئینگ MAX8، مجرمان سایبری ایمیل هایی را با پیوست هایی ارسال کردند که ادعا می شود شامل اطلاعات فاش شده درباره سقوط هواپیما است.

طمع

تصور کنید آیا می توانید بدون تلاش از جانب شما 100 هزار تومان را به یک سرمایه گذار منتقل کنید و سود چند میلیونی ببینید؟ مجرمان اینترنتی با استفاده از احساسات انسانی، اعتماد و طمع، قربانیان را متقاعد می کنند که واقعاً می توانند چیزی بیهوده بدست آورند. با ارسال یک ایمیل به قربانیان می گویند که اطلاعات حساب بانکی خود را ارائه دهند و در همان روز سود سرمایه گذاری خود را دریافت کنند.

کمک کردن به دیگران و احساس مفید بودن

انسان ها می خواهند به یکدیگر اعتماد کنند و به یکدیگر کمک کنند. مجرمان اینترنتی پس از تحقیق در مورد یک شرکت، دو یا سه کارمند در شرکت را با نامه الکترونیکی هدف قرار می دهند که به نظر می رسد از طریق مدیر افراد هدف گرفته شده است. در ایمیل از آن ها می خواهند رمز عبور پایگاه داده حسابداری را به مدیر ارسال كنند. در ایمیل تأكید می شود كه مدیر به آن احتیاج دارد تا مطمئن شود كه همه به موقع حقوق می گیرند و از این طریق قربانیان را فریب می دهند تا باور کنند که با اقدام سریع به مدیر خود کمک می کنند.

نکاتی برای بهبود هوشیاری شما در برابر حملات مهندسی اجتماعی

1_ ایمیل ها و پیوست ها را از منابع مشکوک باز نکنید.

2_ از احراز هویت چند عاملی استفاده کنید.

3_ مراقب پیشنهادهای وسوسه انگیز باشید.

4_ نرم افزار آنتی ویروس خود را به روز کنید.

بهبود هوشیاری شما در برابر حملات مهندسی اجتماعی

نتیجه گیری

برای محافظت در برابر حملات مهندسی اجتماعی نیاز به تمرکز بر تغییر رفتار است. به عنوان مثال، وقتی کارمندان یک شرکت می فهمند که فریب یا کلاهبرداری توسط یک حمله مهندسی اجتماعی به آسانی انجام می شود، به احتمال زیاد نسبت به ایمل یا تماس مشکوک هوشیارتر عمل می کنند. تغییر رفتار انسان آسان نیست و یک شبه اتفاق نمی افتد. طبق تجربه، بهترین روش برای ایجاد فرهنگ، آگاهی از امنیت سایبری و ایجاد قهرمانان سایبری داخلی، رویکرد مردم محور در آموزش آگاهی از امنیت است.

ارسال نظر

آدرس ایمیل شما منتشر نخواهد شد.