مهندسی اجتماعی چیست و چگونه در برابر این نوع حملات ایمن باشیم؟


تا کنون درباره مهندسی اجتماعی‌ شنیده‌اید؟ آیا تا به حال پیام‌هایی عجیب و وسوسه کننده حاوی لینک‌هایی مشکوک دریافت کرده‌اید؟ نگران اطلاعاتتان هستید؟ در دنیای امروز که ما به انواع وب‌سایت‌ها دسترسی داریم و در زندگی با فضای مجازی ارتباط زیادی داریم و نیز اطلاعاتمان برایمان ارزشمند هستند؛ بهتر است درباره مهندسی اجتماعی اطلاع کافی داشته باشیم تا از بسیاری از تله‌های این حوزه جان سالم به در ببریم. ما در این مقاله درباره مهندسی اجتماعی، روش‌های مورد استفاده آن‌ها، معروف‌ترین حملات مهندسان اجتماعی و نحوه محافظت از خودتان در برابر مهاجمان این حوزه مواردی را گفته‌ایم که قطعا برایتان مفید خواهد بود.

مهندسی اجتماعی چیست؟

مهندسی اجتماعی (Social Engineering) هرچند نام مدرنی دارد اما از زمان‌ها قبل‌تر، از زمانی که انسان‌ها باهم در ارتباط بودند، وجود داشته‌است. در واقع مهندسی اجتماعی هک مغز انسان‌ها و نه کامپیوتر است و یکی از خطرناک‌ترین هک‌هاست. در مهندسی اجتماعی قربانی بدون آنکه متوجه باشد، گاه از روی دوستی و احساسات و گاه از طریق شبکه‌های مجازی‌اش، اطلاعاتی را در اختیار مهندسان اجتماعی قرار می‌دهد.

مهندسی اجتماعی چیست و چگونه در برابر این نوع حملات ایمن باشیم؟

در واقع مهندسی اجتماعی به بسیاری از فعالیت‌های مخرب حاصل از تعاملات انسانی گفته می‌شود که هدفش بدست آوردن اطلاعاتی حیاتی از یک سازمان یا شخص است. توجه کنید که گاهی فرد‌ اطلاعات دهنده، خود قربانی حمله است ولی گاهی وی بی‌خبر از اینکه مورد سواستفاده قرار گرفته، سازمان، شرکت یا فردی دیگر را به خطر می‌اندازد.

مهندسی اجتماعی از کجا شروع شد؟

همانطور که اشاره کردیم مهندسی اجتماعی از زمانی که تعاملی بین انسان‌ها بوده، وجود داشته‌است. ولی به صورت مدرن، مهندسی اجتماعی از سال ۱۸۹۴ برای مقابله با برخی مشکلات انسانی و پرورش افراد حرفه‌ای در این زمینه مطرح شد. مهندسی اجتماعی در ابتدا جنبه‌ی مثبت داشت اما در گذر زمان جنبه‌ی منفی پیدا کرد و موجبات شستشوی مغزی را فراهم کرد.

می‌توان کوین میتنیک را پدر مهندسی اجتماعی دانست. او در دهه ۱۹۹۰، بعد از سال‌ها به‌کارگیری حقه و ترفند برای دستیابی به اطلاعات و دستکاری روانشناختی افراد، اصطلاح مهندسی اجتماعی را در دنیای امنیت سایبری به شهرت رساند.

مهندسان اجتماعی چه کسانی هستند؟

هکر یا مهندسان اجتماعی کسانی هستند که از طریق پیامک، ایمیل، حساب‌های مجازی‌، درایو‌های آلوده و یا ارتباطات حضوری و نه با حملات سایبری، بلکه با ترفند‌هایی زیرکانه و سوال کردن از افراد، اطلاعات مورد نظرشان را بدست می‌آورند. گاه خود فرد قربانی با احساساتش به تسریع فرایند حمله بسیار کمک می‌کند؛ به همین دلیل هکر‌ها، انسان‌ها را ضعیف‌ترین عامل در حلقه امنیت سایبری می‌دانند.

اساس کار مهندسان اجتماعی چیست؟

اساس کار مهندسان اجتماعی برپایه‌ی احساساتی چون ترس، طمع، محبت و کنجکاوی است. برخی از حملات این مهندسان بدون حضورشان صورت می‌گیرد؛ مثل تهدید از طریق پیام‌ها با برانگیختن ترس یا با درایو فلش‌های آلوده با برانگیختن حس طمع به‌دست‌آوردن وسیله‌ای رایگان! بهتر است در ادامه با چند ترفند رایج مهندسان اجتماعی آشنا شویم:

  • با اکانت‌های جعلی (درخواست کمک، دوستی و…)
  • وب‌سایت‌های واریز وجه جعلی
  • لینک‌های مخرب و آلوده
  • استفاده از درایو فلش آلوده
  • وارد کردن قربانی به تشکیلاتی جعلی
  • تبلیغاتی که ناگهانی باز می‌شوند و اطلاعاتی می‌خواهند.

از استعداد‌های لازم برای مهندسان اجتماعی‌‌‌، خوب تظاهر کردن (خوب نقش بازی کردن) است تا سناریو را بهتر و باورپذیر‌تر کنند و خیلی ساده‌تر و حرفه‌ای‌تر بتوانند اطلاعات مورد نیاز را از قربانی خود به‌دست آورند.

مهندس اجتماعیsocial engineeringحملات سایبری

فرایند حمله مهندسان اجتماعی چگونه است؟

این فرآیند شامل چهار مرحله است که به‌هم وابسته‌اند و اجرای درست هر مرحله پایه مرحله بعدی است، در ادامه با هرکدام از این روش‌ها و نحوه‌ی اجرای آن‌ها آشنا می‌شویم.

جمع‌آوری اطلاعات

مهم‌ترین مرحله و شاید زمان‌بر‌ترین مرحله، مرحله جمع آوری اطلاعات است؛ زیرا تعیین نقشه حمله، چیدن سناریو (برای خوب نقش بازی کردن) و شناخت فرد قربانی برای به‌کارگیری بهترین اهرم برای برانگیختن احساسات همه برپایه‌ی این مرحله‌اند.

برقراری ارتباط

این مرحله نیز باید توسط فردی مجرب انجام شود زیرا اگر کیفیت رابطه ایجاد شده توسط مهاجم بالا باشد، می‌تواند اعتماد فرد را جلب کند؛ این مرحله با کمک اظهار به دوستی، ایمیل‌های جعلی، تماس‌های ساختگی تلفنی و گاه به‌صورت حضوری و رو‌در‌رو انجام می‌شود.

بهره‌برداری

در این مرحله از رابطه برقرار شده در مرحله قبل برای به‌دست‌آوردن اطلاعاتی به ظاهر بی‌اهمیت ولی مهم در مسیر رسیدن به هدف استفاده می‌شود. درواقع اهمیت مرحله قبل در اینجا ظاهر می‌شود و همچنین رضایت فرد و حفظ رابطه در این مرحله اهمیت دارد.

اجرای حمله

حمله یا هدف حمله در این مرحله محقق می‌شود؛ مهاجمان حرفه‌ای طوری وانمود می‌کنند که فرد اطلاعات دهنده احساس رضایت داشته باشند تا مسیر برای سواستفاده‌های بعدی کوتاه‌تر شود.

مهندسی اجتماعی چیست و چگونه در برابر این نوع حملات ایمن باشیم؟

انواع روش‌های مهندسی اجتماعی چیست؟

مهندسان زیرک اجتماعی از روش‌های متنوعی برای فریب دادن افراد و عملی کردن نقشه‌هایشان استفاده می‌کنند که به چند دسته کلی تقسیم می‌شوند، روش‌های فیزیکی، اجتماعی و فنی که در ادامه هر یک را بیشتر بررسی می‌کنیم.

روش‌های فیزیکی

روش‌های فیزیکی، نیاز به تجهیزات دارد و نمی‌توان آن را از راه‌های دور اجرا کرد. این روش معمولا به صورت رو‌در‌رو انجام می‌شود پس نیاز به مهارت‌های خاص مهندسی اجتماعی در کنار ترفند‌های روانشناسی است. همچنین نقش بازی کردن، نفوذ کردن و دسترسی به فرد و یا سازمان مهم هستند.

روش‌های اجتماعی

در این روش، تکنیک‌های روان‌‌شناسی و برقراری ارتباط با قربانیان اهمیت دارد. یکی از رایج‌ترین روش‌های این نوع مهندسی اجتماعی فیشینگ هدفدار و طعمه گذاشتن است.

روش‌های فنی

این روش عمدتا از طریق اینترنت و با استفاده از دست‌یابی به رمز‌های حساب‌های کاربری انجام می‌شود؛ اغلب مهاجمان از اطلاعاتی که ما به سادگی در اختیار موتورهای جستجو می‌گذاریم، استفاده می‌کنند.

روش‌های فنی – اجتماعی

برای موفقیت مهاجم اغلب از ترکیب روش‌ها استفاده می‌کند. بهترین و موفق‌ترین ترکیب روش‌ها برای حمله، استفاده از دو روش فنی و اجتماعی است، که در ادامه با انواع آن‌ها آشنا می‌شویم.

استفاده از پروفایل‌‌های جعلی

با توجه به این که ساخت حساب‌های کاربری جعلی در شبکه‌های مجازی و درخواست دوستی به بقیه کاربران راحت است این روش یکی از بهترین ترفندها برای اجرای حملات مهندسی اجتماعی است.

تبلیغات دروغین

با باز شدن ناگهانی و ناخواسته صفحه‌ای تبلیغاتی که از شما برای برنده شدن در قرعه ‌کشی، خرید محصولی و چیز‌هایی ازین قبیل که از شما، وارد شدن به لینکی ناشناخته، پرداخت مبلغ از درگاه جعلی یا اطلاعاتی دیگر می‌خواهند.

فیشینگ و هرزنامه

این روش با کمک ارسال پیام و ایمیل برای تعداد زیادی از کاربران با امید به این که تعدادی از آن‌ها فریب بخورند انجام می‌شود و کارکرد آن بر اساس احساس کنجکاوی، ترغیب و… انجام می‌شود. این روش از رایج‌ترین و پربازده‌ترین روش‌هاست.

طعمه گذاری

با توجه به این که کمتر کسی از طعمه رایگان یا ارزان بدش می‌آید این روش بسیار فریبنده است. مثال این روش همان درایو فلش‌های آلوده‌اند که با اتصال به سیستم شما یا سازمانی، اطلاعات را به مهاجم انتقال می‌دهند یا سیستم‌تان را ویروسی می‌کنند.

اپلیکیشن‌های موبایل

با توجه به این که همه ما روزانه با موبایل و اپلیکیشن‌های فراوانی سروکار داریم، این روش رایج است؛ مثال ملموس این روش همان اکانت‌های ما در فضای مجازی و دسترسی‌هایی که به سادگی به انواع اپلیکیشن‌ها می‌دهیم، است. در واقع بسیاری از اپلیکیشن‌ها امنیت کافی ندارند و آسیب‌پذیرند و ما بی‌‌اطلاع، اطلاعاتی قبیل شماره همراه، رمز دیگر اکانت‌ها (رمز‌های تکراری)، کد ملی و… را در آن‌ها وارد می‌کنیم.

مهندسی اجتماعی در زیرشاخه کدام علوم قرار می‌گیرد؟

در این قسمت با علوم مربوط به مهندسی اجتماعی یعنی امنیت و علوم اجتماعی – سیاسی به صورت اجمالی آشنا می‌شویم.

امنیت

مهندسی اجتماعی در بافت امنیت با کمک روانشناسی به افشای اطلاعات فرد منجر می‌شود؛ بهترین راه دفاع در مقابل مهندسان اجتماعی، شناخت است و همین باعث شده اغلب کشور‌ها در این زمینه متخصصانی پرورش دهند و همچنین به کارکنان سازمان‌های حساس‌تر روش‌های جلوگیری از مورد حمله و سؤاستفاده قرار گرفتن را بیاموزند.

علوم اجتماعی – سیاسی

مهندسی اجتماعی یکی از زیرشاخه‌های علوم اجتماعی – سیاسی جهت تحت تاثیر قرار دادن نگرش‌ها و رفتار‌ها به وجود آمده‌ است و در این حوزه مهندسان اجتماعی در واقع روانشناسان اجتماعی مجرب هستند.

چند نمونه از حملات معروف مهندسان اجتماعی!

همانطور که گفته ‌شد از زمانی که ارتباطی بوده مهندسان اجتماعی نیز بوده‌اند و حقه‌هایی به‌کار بردند؛ با این حال به بررسی چند نمونه از رایج و معروف‌ترین حملات می‌پردازیم.

کلاهبرداری ۴۱۹

این روش معروف به کلاهبرداری نیجریه‌ای که فردی خود را شاهزاده نیجریه معرفی می‌کرد و اظهار می‌کرد می‌خواهد مبلغی را از کشور خارج کند و با کمک به او و دادن هزینه حمل و نقل مقداری از مبلغ را به شما می‌دهد و پس از گرفتن پول دیگر خبری از شاهزاده و گنجش نبود؛ شاید این سناریو به نظر شما عجیب باشد ولی کلاهبرداران با همین روش و داستان‌هایی مشابه در ایران هم مبلغ هنگفتی به جیب زدند.

شرکت RSA

در این حمله، ایمیلی برای کارکنان ارسال شده بود که ظاهری بسیار طبیعی داشت ولی با کمک یک نقص برنامه‌نویسی، مهندسان اجتماعی از آسیب‌پذیری آن سیستم‌ها استفاده کردند. به طوری‌که با بازکردن ایمیل توسط کارمندان، سیستم‌ها هک شدند و اطلاعات زیاد و مهمی از شرکت به دست مهاجمان افتاد. مهاجمان از آن اطلاعات برای تهدید شرکت استفاده کردند.

نیویورک تایمز

نیویورک تایمز نیز مانند شرکت RSA با ناآگاهی کارمندان، نفوذ هکر‌ها و بدست‌ آوردن اطلاعات لاگین کارمندان، اطلاعات زیادی بدست مهاجمان داد. گفته می‌شود حمله به نیویورک تایمز که توسط هکران چینی صورت گرفت، جنبه سیاسی داشته‌است.

چگونه از خودمان در برابر حملات مهندسی اجتماعی محافظت کنیم؟

با توجه به مفهوم و راهکار‌های مهندسی اجتماعی که تا اینجا نام‌برده شد احتمالا این سوال در ذهنتان ایجاد شده که چگونه از خودتان در برابر این حملات محافظت کنید؟ چگونه طعمه سودجویان نشوید؟ و سوال‌هایی از این قبیل! تا اینجا که این مقاله را خواندید و با برخی از ترفند‌های مهاجمان آشنا شدید بخشی از راه را آمده اید. با ما همراه باشید تا بیشتر با راهکار‌های حفاظت از خودتان آشنا شوید.

با توجه به اینکه احساسات انسان‌ها مهم‌ترین دست‌آویز مهاجمان است، محافظت در برابر مهاجمان حملات مهندسی اجتماعی سخت‌تر از محافظت در برابر حملات سایبری هکر‌ها به کامپیوتر‌هاست؛ در ادامه چند ترفند محافظت را برایتان بررسی کردیم:

بررسی کردن منبع

به سادگی به فلش درایو‌هایی که در گوشه و کنار می‌بینید اعتماد نکنید. به تماس‌ها و پیام‌هایی که در ازای دادن مبلغی وسوسه کننده از شما درخواست واریز وجه یا دادن رمز و… کارت‌ها و حساب‌هایتان دارند، مشکوک باشید. می‌توانید آن‌ها را با پلیس فتا درمیان بگذارید تا بقیه مردم مورد حمله قرار نگیرند. به کسی که اطلاعاتی درباره همکار، دوست یا حتی دشمن‌تان می‌خواهد، شک کنید. قبل از وارد شدن به لینکی، وارد کردن اطلاعاتتان در اپلیکیشن یا سایتی از فرستتنده مطمئن شوید که منبع معتبر باشد. قبل از پرداخت وجه با درگاهی، ابتدا لینک آن را بررسی کنید که سایت رسمی و مطمئنی باشد.

مهندسی اجتماعی چیست و چگونه در برابر این نوع حملات ایمن باشیم؟

در مواجهه با افراد مشکوک از آن‌ها کارت شناسایی بخواهید. قبل از وارد کردن اطلاعات در جایی یا واریز وجه برای تماسی مشکوک خوب فکر کنید و عجله نکنید و اگر می‌توانید درباره منبع تحقیق کنید.

بررسی کردن سناریو

دقت کنید که سناریو چقدر معقول است‌؛ اینکه شخصی که به اندازه کافی نمی‌شناسید از شما بخواهد پولی برایش واریز کنید، مشکوک نیست؟ اگر از قرعه کشی با شما تماس گرفتند و اطلاعاتی از شما خواستند دقت کنید آیا اصلا در آن قرعه کشی شرکت کرده بودید؟ چقدر احتمال دارد فامیل دور برای گنجی که پیدا کرده اطلاعات حساب شما را بخواهد؟ یا اگر دوست صمیمی‌ شما پولی بخواهد آیا ایمیل حاوی لینکی مشکوک میفرستد یا تماس می‌گیرد؟

خودتان امنیت‌تان را بالا ببرید!

برای اکانت‌هایتان از رمز‌های ساده و تکراری استفاده نکنید. اگر رمز کارت بانکی شما با اکانت‌تان در سایتی کم اعتبار یکسان باشد چه می‌شود؟

برای اکانت‌های مهم از احراز هویت دو عاملی و دیگر امکانات امنیتی که وب‌سایت و اپلیکیشن‌ها در اختیارتان می‌گذارند، استفاده کنید. همیشه از یک آنتی‌ویروس خوب و به‌روز شده استفاده کنید. سیستم‌هایتان را به سادگی به دست کسانی که شناخت کافی از آن‌ها ندارید، نسپارید و در نهایت همیشه آی‌پی‌های دیگر که به اکانت‌هایتان وارد شده‌اند را بررسی کنید.

خودتان را طعمه‌ نکنید!

به راحتی همه اطلاعاتتان را در شبکه‌های مجازی به اشتراک نگذارید. مثلا شما غذای مورد علاقه‌تان را در فضای مجازی به اشتراک میگذارید‌؛ غافل از اینکه یکی از سوالات احراز هویت ایمیلتان نیز همین است. پس به راحتی اطلاعاتتان را برای همه به اشتراک نگذارید. قبل از ارسال رزومه کاری‌تان که حاوی تمام اطلاعاتتان است، ابتدا از صحت و امنیت کارگزار مطمئن شوید.

مهندسان اجتماعی آنقدر زیرک هستند که به خوبی نقش دوستی و یا موقعیت‌های دیگر را بازی کنند و به راحتی می‌توانند از موقعیت‌های بسیار عادی که تصورش را نمی‌کنید اطلاعات بدست آورند ولی شما با دانستن نکات ذکر شده، اوضاع بهتر و امنیت بیشتری نسبت به کسانی که این مقاله را نخواندند، دارید.

شما یک گام جلوتر از دیگران باشید!

اگر به آی‌تی و تکنولوژی علاقه‌مندید و دوست دارید سریع‌تر در این زمینه پیشرفت کنید،
همین حالا به جمع
۱۵,۸۰۶
عضو همیار آی‌تی بپیوندید،
دسترسی به تمام آموزش‌های پریمیوم، دریافت جدیدترین آموزش‌های کاربردی مرتبط با آی‌تی و استفاده از مشاوره‌ی رایگان،
برخی از مزایای عضویت در سایت هستند،
شما نیز به کاربران همیار پیوسته و همین حالا وارد دنیای حرفه‌ای‌ها شوید…



منبع

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *