مهندسی اجتماعی (Social Engineering) چیست؟
مهندسی اجتماعی یک روش نفوذ غیرمستقیم است که در آن مهاجم با بهرهگیری از روانشناسی، اعتماد و رفتار انسانی، اطلاعات محرمانه را به دست میآورد یا به سیستمها و منابع محدود دسترسی پیدا میکند. هدف این روش، سوءاستفاده از ضعفهای انسانی و اجتماعی به جای نفوذ فنی مستقیم به سیستمها است.
تاریخچه مهندسی اجتماعی
پیش از عصر دیجیتال
مهندسی اجتماعی پیش از ظهور رایانه، در زمینه امنیت فیزیکی به کار گرفته میشد. نفوذگران با جعل هویت یا تظاهر به مقامهای رسمی، به مکانها و اطلاعات حساس دسترسی پیدا میکردند.
ورود به دنیای دیجیتال
با گسترش اینترنت و رایانهها، مهندسی اجتماعی شکل دیجیتال به خود گرفت. مهاجمان کاربران را با ایمیلهای جعلی، صفحات فیک و تماسهای تلفنی فریبنده ترغیب به افشای اطلاعات میکنند.
مهندسی اجتماعی زیرمجموعه چه علمی است؟
مهندسی اجتماعی ترکیبی از روانشناسی اجتماعی، علوم انسانی و فناوری اطلاعات است. این علم در امنیت سایبری، مدیریت ریسک، طراحی رابط کاربری و تحلیل رفتار انسانی کاربرد دارد.
تکنیکهای رایج مهندسی اجتماعی
فیشینگ (Phishing): ارسال ایمیل یا پیام جعلی برای جمعآوری اطلاعات حساس.
اسپیر فیشینگ (Spear Phishing): حمله هدفمند با اطلاعات دقیق از قربانی.
ویشینگ (Vishing): فیشینگ تلفنی برای فریب کاربر.
اسمیشینگ (Smishing): فیشینگ پیامکی با لینکهای تقلبی.
پیشمتنسازی (Pretexting): ایجاد سناریوی جعلی برای دریافت اطلاعات.
جعل هویت (Impersonation): تقلید از افراد معتبر برای جلب اعتماد.
بِیتینگ (Baiting): استفاده از طمع یا کنجکاوی قربانی (مثل فلش آلوده).
مهندسی اجتماعی فیزیکی: نفوذ حضوری و استفاده از اعتماد انسانی.
تروجان اجتماعی (Social Trojan): نصب بدافزار توسط قربانی بدون اطلاع.
مهندسی معکوس اجتماعی (Reverse Social Engineering): قربانی خودش به مهاجم مراجعه میکند.
اساس کار مهندسی اجتماعی
مهندسی اجتماعی بر این اصل استوار است که:
«ضعیفترین نقطه در هر سیستم امنیتی، انسان است.»
مهاجم با دستکاری روان و احساسات، ایجاد اعتماد یا فشار روانی، قربانی را وادار میکند تا خودش دسترسیها را فراهم کند.
روشهای بهرهبرداری از قربانی
ایجاد اضطرار و فشار زمانی
جلب اعتماد و اقتدار جعلی
بهرهبرداری از طمع و کنجکاوی
جمعآوری اطلاعات قبل از حمله
استفاده از رفتار و زبان بدن در حملات حضوری
فرایند حمله مهندسی اجتماعی
جمعآوری اطلاعات: شناخت قربانی و نقاط ضعف
طراحی سناریو: ساخت پیشمتن و انتخاب روش حمله
برقراری ارتباط: آغاز تعامل با قربانی
فریب و متقاعدسازی: استفاده از تکنیکهای روانی
بهرهبرداری: دریافت اطلاعات یا نصب بدافزار
حفظ دسترسی و پوشش ردپا: دسترسی طولانیمدت و حذف شواهد
خروج و استفاده از اطلاعات: فروش یا سوءاستفاده از دادهها
روشهای مقابله با مهندسی اجتماعی
افزایش آگاهی و آموزش کاربران
برگزاری دورههای امنیت سایبری
آموزش شناسایی ایمیلها و تماسهای مشکوک
شبیهسازی حملات فیشینگ
استفاده از احراز هویت چندمرحلهای (MFA)
رمز عبور تنها کافی نیست، عامل دوم مانند پیامک یا اپلیکیشن مورد نیاز است.
اجرای سیاستهای امنیتی
محدودیت دسترسی کاربران بر اساس نقش
الزام به تغییر دورهای رمزها
ممنوعیت اشتراک اطلاعات محرمانه
مدیریت انتشار اطلاعات عمومی
حذف اطلاعات حساس از شبکههای اجتماعی
آموزش کارکنان در خصوص به اشتراکگذاری دادهها
استفاده از فناوریهای امنیتی
فیلترهای ضدفیشینگ و ضدبدافزار
فایروال و سیستمهای تشخیص نفوذ
نرمافزارهای مدیریت تهدید و Endpoint Security
راستیآزمایی درخواستها و هویتها
تأیید اطلاعات و درخواستها از کانال رسمی
عدم افشای اطلاعات از طریق کانالهای غیررسمی
مانیتورینگ و ارزیابی امنیتی
آزمون نفوذ و ارزیابی دورهای
بررسی رفتار مشکوک در شبکه
بهروزرسانی سیاستها و آموزش مستمر
نشانههای هشدار مهندسی اجتماعی (Red Flags)
درخواست اطلاعات محرمانه یا مالی با فوریت
ایمیل، پیامک یا تماس غیرمنتظره
لینکها و فایلهای مشکوک
افراد ناشناس یا جعلی در محیط کار
پیامهای با لحن اضطراری یا تهدیدآمیز
