02141764000
ایمیل
پشتیبانی
مهندسی اجتماعی

مهندسی اجتماعی(Social Engineering)

مهندسی اجتماعی چیست؟

مهندسی اجتماعی یکی از رایج‌ترین روش‌های فریبکاری در دنیای امروز است که با سوءاستفاده از خطاهای انسانی، به مهاجمان امکان دسترسی به اطلاعات محرمانه، سیستم‌های حساس و دارایی‌های ارزشمند را می‌دهد. برخلاف حملات فنی که بر نقاط ضعف نرم‌افزاری تمرکز دارند، مهندسی اجتماعی بر روان‌شناسی انسان تکیه دارد و قربانی را به گونه‌ای فریب می‌دهد که خود، اطلاعات موردنظر را در اختیار مهاجم قرار دهد. این نوع حملات در فضای سایبری با نام هک انسانی نیز شناخته می‌شوند. در چنین روش‌هایی، کاربران ناآگاه فریب خورده و اطلاعات خود را افشا می‌کنند، بدافزارها را ناآگاهانه منتشر می‌کنند یا دسترسی‌های حساس را در اختیار مجرمان سایبری قرار می‌دهند. مهندسی اجتماعی تنها محدود به فضای آنلاین نیست و می‌تواند به‌ صورت حضوری یا از طریق ارتباطات تلفنی و پیامکی نیز انجام شود. رمز موفقیت این نوع حملات، شناخت رفتار و عادات انسانی است. مهاجمان با تحلیل روان‌شناختی قربانیان، انگیزه‌ها و نقاط ضعف آن‌ها را شناسایی کرده و از این اطلاعات برای فریب آن‌ها استفاده می‌کنند. بسیاری از افراد، به دلیل ناآگاهی از تهدیدات سایبری، بدون آنکه متوجه شوند، اطلاعات ارزشمند خود را در اختیار مجرمان قرار می‌دهند. برای مثال، بسیاری از کاربران از خطرات دانلودهای Drive-by Download اطلاعی ندارند یا ارزش اطلاعات شخصی خود، مانند شماره تلفن، را دست‌کم می‌گیرند. این ناآگاهی، فضای مناسبی برای سوءاستفاده هکرها فراهم می‌کند.

نمونه‌هایی از حملات مهندسی اجتماعی:

  • data breach(نشت اطلاعات) شرکت RSA در سال ۲۰۱۱

این مورد یکی از موارد پر سر و صدا در تاریخ حملات سایبری بود، چرا که RSA به عنوان یک شرکت معتبر امنیتی شناخته می‌شود. این نفوذ به طور خاص سرویس احراز هویت دو مرحله‌ای معروف RSA به نام SecurID را مختل کرد. هرچند جزئیات کامل این حمله به طور علنی منتشر نشده، اما آنچه که مشخص است این است که این حمله با یک حمله مهندسی اجتماعی آغاز شد. مهاجمان ابتدا با استفاده از حمله فیشینگ ایمیل‌هایی برای کارکنان کم‌تجربه RSA ارسال کردند که ظاهراً از طرف شرکت و با موضوع استخدام بودند. یکی از کارکنان به این ایمیل اعتماد کرد و پیوست آن را باز کرد، که همین عمل باعث فعال شدن حمله شد و راه را برای نفوذ مهاجمان هموار کرد.

  • حمله مهندسی اجتماعی به خبرگزاری Associated Press(AP) در سال ۲۰۱۳

در سال ۲۰۱۳، این خبرگزاری قربانی یک حمله مهندسی اجتماعی شد که پیامد آن سقوط ۱۳۶ میلیارد دلاری در بازار بورس بود. این حمله نیز با استفاده از حمله فیشینگ به کارکنان AP آغاز شد. یکی از کارکنان تنها با باز کردن یک لینک در ایمیل، باعث شد حساب توییتر AP هک شود. مهاجمان پس از نفوذ به حساب توییتر، خبری جعلی مبنی بر انفجار در کاخ سفید منتشر کردند که به سرعت در رسانه‌ها پخش شد و باعث افت شدید ۱۵۰ امتیازی در شاخص Dow Jones(شاخصی مهم از بازار بورس ایالات متحده) گردید. گروه هکریSyria Electronic Army مسئولیت این حمله را بر عهده گرفت، اما هیچ مدرک مستندی برای اثبات ادعای خود ارائه نکردند.

  • نفوذ اطلاعات شرکت Target در سال ۲۰۱۳

حمله به شرکت Target در سال ۲۰۱۳ یکی از پیچیده‌ترین و مشهورترین حملات سایبری تاریخ شد. این حمله هم مانند دیگر حملات ذکر شده با مهندسی اجتماعی آغاز شد، اما با یک تفاوت مهم و آن تفاوت این بود که مهاجمان به سراغ کارکنان Target نرفتند، بلکه ایمیل‌هایی به کارکنان یک تأمین‌کننده سیستم‌های تهویه ارسال کردند. این تأمین‌کننده، سیستم‌های تهویه پیشرفته‌ای را در فروشگاه‌های Target نصب کرده بود که به شبکه‌های کامپیوتری درون فروشگاه‌ها متصل بودند. پس از نفوذ به سیستم تأمین‌کننده، مهاجمان توانستند وارد شبکه‌های Target شوند و اطلاعات کارت‌های اعتباری مشتریان را از دستگاه‌های اسکنر کارت در هزاران فروشگاه جمع‌آوری کنند. در نتیجه، اطلاعات مالی حدود ۴۰ میلیون مشتری Target افشا شد و این حمله یکی از بزرگترین نفوذهای اطلاعاتی در تاریخ شد.

تاریخچه مهندسی اجتماعی(social engineering)

فریب دادن کاربران برای افشای اطلاعات حساس در دنیای امنیت سایبری اتفاقی نیست که به تازگی به وجود آمده باشد‌. این روش حمله از سال‌ها پیش وجود داشته، اما آنچه که تغییر کرده، شیوه‌های حمله و داستان‌هایی است که برای به ‌دست آوردن اطلاعات استفاده می‌شود و همچنین پیچیدگی حملات که اغلب توسط گروه‌های سازمان‌یافته با استفاده از ترکیب تهدیدات مختلف مانند فیشینگ و دیگر تاکتیک‌ها انجام می‌شود. اصطلاح “مهندسی اجتماعی” برای اولین بار در سال ۱۸۹۴ توسط JC Van Marken، معرفی شد، اما این روش از دهه ۱۹۹۰ به یکی از شیوه‌های رایج و قدرتمند در حملات سایبری تبدیل شد. در آن زمان، مهندسی اجتماعی عمدتاً شامل تماس‌های تلفنی بود که در آن مهاجمان سعی می‌کردند کاربران را فریب دهند تا اطلاعات حساسی مانند شناسه کاربری و رمز عبور خود را افشا کنند یا شماره‌های تلفن ثابت خود و اطرافیانشان را در اختیار هکرها قرار دهند. این اطلاعات به هکرها امکان می‌داد تا به سرورهای داخلی شرکت‌ها نفوذ کنند و به داده‌های حساس دسترسی پیدا کنند. اما امروزه، مهندسی اجتماعی به مراتب پیچیده‌تر و هدفمندتر شده است. مهاجمان نه تنها از روش‌های قدیمی همچون تماس‌های تلفنی و ایمیل‌های فریبنده استفاده می‌کنند، بلکه با استفاده از تاکتیک‌های پیشرفته‌تر مانند ایجاد صفحات وب جعلی، ارسال پیام‌های متنی و حتی تماس‌های تلفنی شبیه به مکالمات واقعی، تلاش می‌کنند تا کاربران را به اشتباه انداخته و اطلاعات حساس از قبیل جزئیات بانکی، کدهای تایید دو مرحله‌ای یا حتی دسترسی به سیستم‌های داخلی شرکت‌ها را به ‌دست آورند. در برخی موارد، این حملات به ‌طور خاص به ‌منظور انتقال مقادیر قابل توجهی پول به حساب‌های بانکی خارجی طراحی می‌شود و این می‌تواند خسارت‌های سنگینی به سازمان‌ها وارد کند. نتیجه این حملات نه تنها می‌تواند به از دست رفتن اطلاعات حساس و منابع مالی منجر شود، بلکه در برخی موارد، کارکنان شرکت‌ها نیز پس از وقوع این حملات و پیامدهای آن ممکن است شغل خود را از دست بدهند. اهمیت آگاهی و آمادگی در برابر این نوع تهدیدات بیش از پیش احساس می‌شود، زیرا با افزایش استفاده از تکنولوژی‌های دیجیتال، روش‌های مهندسی اجتماعی نیز به سرعت در حال تکامل و پیچیده‌تر شدن هستند.

نحوه عملکرد حملات مهندسی اجتماعی:

بیشتر حملات مهندسی اجتماعی بر مبنای ارتباط مستقیم بین مهاجم و قربانی طراحی می‌شوند. در این نوع حملات، مهاجم به ‌جای استفاده از روش‌های تکنیکی یا زور برای نفوذ به داده‌ها، سعی می‌کند که قربانی خود را به ‌طور تدریجی و با فریب و اغوا وادار به اقداماتی کند که به ضرر خودشان باشد.
چرخه حملات مهندسی اجتماعی یک فرآیند مرحله‌ به‌ مرحله دارد که مهاجم را قادر می‌سازد تا قربانی را فریب دهد. این فرآیند معمولاً شامل مراحل زیر است:

  1. آماده‌سازی: در این مرحله، مهاجم شروع به جمع‌آوری اطلاعات در مورد شما یا گروهی که عضو آن هستید، می‌کند تا نقاط ضعف و اطلاعات حساس شما را شناسایی کند.
  2. نفوذ: در این مرحله، مهاجم تلاش می‌کند رابطه‌ای برقرار کرده و اعتماد شما را جلب کند. این ارتباط می‌تواند از طریق پیام‌های ایمیل، تماس تلفنی یا حتی شبکه‌های اجتماعی باشد.
  3. سوءاستفاده از اعتماد: زمانی که مهاجم به اعتماد شما دست پیدا کرد، از آن برای انجام اقداماتی که به هدف اصلی حمله کمک می‌کند، استفاده می‌کند. این اقدامات می‌تواند شامل فریب شما برای دادن اطلاعات شخصی، کلیک روی لینک‌های مخرب یا نصب بدافزار باشد.
  4. قطع ارتباط: پس از آن که مهاجم به هدف خود رسید، ارتباط را قطع می‌کند و شما را در وضعیت آسیب‌پذیری باقی می‌گذارد.

این فرآیند می‌تواند در یک ایمیل ساده یا در طول ماه‌ها از طریق مکالمات پی‌درپی در شبکه‌های اجتماعی انجام شود. حتی ممکن است مهاجم به صورت حضوری اقدام به فریب شما کند. در نهایت، نتیجه این فرآیند به انجام عملی از سوی شما ختم می‌شود، مانند افشای اطلاعات شخصی یا آلوده شدن به بدافزار.

انواع حملات مهندسی اجتماعی:

حملات مهندسی اجتماعی در انواع مختلفی وجود دارند و می‌توانند در هر مکانی که تعامل انسانی وجود دارد، رخ دهند. در اینجا پنج نوع رایج از حملات دیجیتال مهندسی اجتماعی آورده شده است که بیشتر به ‌طور آنلاین و از طریق تکنولوژی انجام می‌شوند.

  • Baiting

در حملات Baiting، همان‌طور که از نام آن پیداست، مهاجمان با استفاده از وعده‌های فریبنده و دروغین سعی می‌کنند طمع یا کنجکاوی قربانیان را تحریک کنند. هدف این حملات این است که کاربران را به دام انداخته تا اطلاعات شخصی آن‌ها به سرقت برود یا سیستم‌هایشان آلوده به بدافزار شود. یکی از بدترین انواع حملات Baiting، استفاده از رسانه‌های فیزیکی برای پخش بدافزار است. به ‌طور مثال، مهاجمان فلش‌درایوهایی آلوده به بدافزار را در مکان‌های مشهودی مثل سرویس‌ها، آسانسورها یا پارکینگ‌ها قرار می‌دهند، جایی که قربانیان آن‌ها را ببینند. این فلش‌درایوها معمولاً ظاهری معتبر دارند، مثلاً برچسبی که آن‌ها را به‌ عنوان لیست حقوقی شرکت نشان می‌دهد. قربانیان به‌ دلیل کنجکاوی یا طمع این فلش‌درایوها را برمی‌دارند و آن‌ها را به کامپیوتر خود متصل می‌کنند، که منجر به نصب خودکار بدافزار بر روی سیستم می‌شود. حملاتBaiting لزوماً محدود به دنیای فیزیکی نمی‌شوند. نسخه‌های آنلاین این حملات شامل تبلیغاتی فریبنده هستند که کاربران را به وب‌سایت‌های مخرب هدایت می‌کنند یا آن‌ها را تشویق می‌کنند تا برنامه‌های آلوده به بدافزار را دانلود کنند.

  • Scareware

در حملات Scareware، قربانیان با هشدارهای جعلی و تهدیدات دروغین فریب داده می‌شوند. این حملات به گونه‌ای طراحی شده‌اند که قربانیان را قانع کنند که سیستم آن‌ها به بدافزار آلوده شده است و به این ترتیب آن‌ها را وادار می‌کنند نرم‌افزارهایی را نصب کنند که یا هیچ کارکردی ندارند، یا خود به عنوان بدافزار عمل می‌کنند. یک مثال رایج از حملات Scareware، بنرهای پاپ‌آپی هستند که هنگام مرور وب در مرورگر شما ظاهر می‌شوند و پیامی مانند “کامپیوتر شما ممکن است به برنامه‌های جاسوسی خطرناک آلوده شده باشد” را نشان می‌دهند. این پیام‌ها معمولاً پیشنهاد می‌دهند که ابزار خاصی (که معمولاً بدافزار است) برای شما نصب کنند یا شما را به وب‌سایت‌های مخرب هدایت می‌کنند که در آنجا سیستم شما آلوده می‌شود. این نوع حملات همچنین از طریق ایمیل‌های اسپم نیز منتشر می‌شوند که هشدارهای جعلی ارسال کرده و به کاربران پیشنهاد می‌دهند خدمات بی‌ارزش یا مضر را خریداری کنند.

  • Pretexting

در این نوع حملات، مهاجم با استفاده از مجموعه‌ای از دروغ‌های هوشمندانه و فریبکارانه، سعی می‌کند اطلاعات حساس قربانی را به ‌دست آورد. این کلاهبرداری معمولاً با فردی آغاز می‌شود که وانمود می‌کند برای انجام یک وظیفه ضروری، به اطلاعات محرمانه قربانی نیاز دارد. مهاجم اغلب خود را به‌ عنوان همکار، مأمور پلیس، کارمند بانک یا مسئول مالیاتی معرفی می‌کند و سعی می‌کند با جلب اعتماد قربانی، اطلاعات مهمی را از او جمع‌آوری کند. این سوالات به ‌ظاهر برای تأیید هویت قربانی مطرح می‌شوند، اما در واقع هدف اصلی آن‌ها سرقت اطلاعات حساس مانند آدرس‌ها، شماره‌های تلفن، سوابق بانکی و … می‌باشد.

  • Phishing

فیشینگ یکی از متداول‌ترین انواع حملات مهندسی اجتماعی است که معمولاً از طریق ایمیل‌ها و پیامک‌ها انجام می‌شود. در این حملات، مهاجمان تلاش می‌کنند با ایجاد احساس فوریت، کنجکاوی یا ترس، قربانیان را به افشای اطلاعات حساس، کلیک بر روی لینک‌های مخرب یا باز کردن لینک‌های آلوده به بدافزار ترغیب کنند. یک نمونه ساده از فیشینگ زمانی است که ایمیلی به کاربران یک سرویس آنلاین ارسال می‌شود و آن‌ها را از نقض قوانین مطلع می‌کند، به‌گونه‌ای که از آن‌ها می‌خواهد فوراً اقدامی انجام دهند، مثلاً رمز عبور خود را تغییر دهند. این ایمیل حاوی لینکی به یک سایت جعلی است که ظاهری مشابه سایت اصلی دارد. هنگامی که کاربر روی لینک کلیک می‌کند و اطلاعات ورود خود را وارد می‌کند، این اطلاعات برای مهاجم ارسال می‌شود.

  • Spear Phishing

فیشینگ هدفمند، نوعی حمله فیشینگ است که در آن مهاجم به ‌طور خاص افراد یا سازمان‌های مشخصی را مورد هدف قرار می‌دهد. در این حملات، مهاجم پیام‌ها را متناسب با ویژگی‌ها، شغل‌ها و ارتباطات قربانیان طراحی می‌کند تا حمله خود را کمتر قابل شناسایی سازد. این نوع حملات به زمان و تلاش بیشتری نیاز دارند و ممکن است هفته‌ها یا حتی ماه‌ها طول بکشد تا اجرا شوند. به دلیل هدف‌گذاری دقیق‌تر، احتمال موفقیت آن‌ها نیز بیشتر است. یک مثال از فیشینگ هدفمند این است که مهاجم خود را به‌ عنوان مشاور فناوری اطلاعات یک سازمان معرفی کرده و ایمیلی به یکی از کارکنان یا گروهی از آن‌ها ارسال می‌کند. این ایمیل دقیقاً مشابه ایمیل‌هایی است که معمولاً از سوی مشاوران ارسال می‌شود و به ‌طور کامل اعتماد قربانیان را جلب می‌کند. در این ایمیل از کارکنان خواسته می‌شود رمز عبور خود را تغییر دهند و لینک مخربی برای آن‌ها ارسال می‌شود که به یک صفحه جعلی هدایت‌شده است. در نهایت، مهاجم اطلاعات ورود قربانیان را بدست می‌آورد.

چگونه از حملات مهندسی اجتماعی(Social engineering) جلوگیری کنیم؟

برای جلوگیری از حملات مهندسی اجتماعی، شناسایی حملات تنها بخشی از راه است. شما باید به طور فعال حریم خصوصی و امنیت خود را مدیریت کنید. آگاهی از روش‌های پیشگیری از این نوع حملات برای تمامی کاربران موبایل و کامپیوتر ضروری است. در اینجا چند روش مؤثر برای حفاظت از خود در برابر حملات سایبری آورده شده است:

  • عادات ارتباطی امن و مدیریت حساب‌ها
  1. ارتباطات آنلاین یکی از آسیب‌پذیرترین نقاط می‌باشند. شبکه‌های اجتماعی، ایمیل‌ها و پیامک‌ها هدف‌های رایج این حملات هستند، اما نباید تعاملات حضوری را نادیده بگیرید.
  2. از کلیک روی لینک‌های ایمیل‌ها و پیام‌ها خودداری کنید. به ‌جای کلیک روی لینک‌ها، همیشه URL را به ‌صورت دستی در نوار آدرس تایپ کنید. قبل از کلیک بر روی هر لینک، نسخه رسمی آن را جستجو کنید و از صحت آن اطمینان حاصل کنید.
  3. از احراز هویت چندعاملی استفاده کنید. برای تأمین امنیت حساب‌های آنلاین خود، تنها به گذرواژه‌ها اعتماد نکنید. گذرواژه‌ها به راحتی ممکن است توسط هکرها کشف شوند یا در معرض خطر قرار گیرند. بنابراین، استفاده از احراز هویت چندعاملی (MFA) به ‌عنوان یک لایه امنیتی اضافی، می‌تواند از امنیت حساب‌های شما به ‌طور قابل توجهی محافظت کند. احراز هویت چندعاملی علاوه بر گذرواژه، از یک یا چند عامل دیگر برای تایید هویت شما استفاده می‌کند که به‌ طور مؤثری شانس دسترسی غیرمجاز به اطلاعات شما را کاهش می‌دهد. این عوامل اضافی معمولاً شامل بیومتریک‌هایی مانند اثر انگشت، تشخیص چهره، یا اسکن عنبیه چشم است. علاوه بر این، ممکن است از کدهای موقتی استفاده شود که به‌ صورت پیامک یا از طریق اپلیکیشن‌های مخصوص به شما ارسال می‌شود. این روش‌ها اطمینان می‌دهند که حتی اگر شخصی به گذرواژه شما دسترسی پیدا کند، بدون این عوامل اضافی همچنان قادر به ورود به حساب‌های شما نخواهد بود. احراز هویت چندعاملی با ارائه یک لایه امنیتی چندگانه، از حملات فیشینگ و نفوذهای سایبری جلوگیری می‌کند و به شما این اطمینان را می‌دهد که حساب‌های آنلاین‌تان به‌ طور مؤثر محافظت شده‌اند.
  4. از رمزهای عبور قوی استفاده کنید. رمزهای عبور شما باید منحصر به فرد و پیچیده باشند. سعی کنید از ترکیب حروف بزرگ، اعداد و نمادها استفاده کنید. همچنین، اگر می‌توانید، رمزهای عبور بلندتری انتخاب کنید. برای مدیریت رمزهای عبور می‌توانید از مدیر رمز عبور استفاده کنید تا آن‌ها را به‌ صورت امن ذخیره کنید.
  5. از به اشتراک‌گذاری اطلاعات شخصی خود پرهیز کنید. از ذکر اطلاعاتی مانند نام مدرسه‌ها، نام حیوانات خانگی یا محل تولد خود که ممکن است پاسخ به سوالات امنیتی یا بخش‌هایی از رمز عبور شما را فاش کند، خودداری کنید.
  • عادات امن استفاده از شبکه
  1. شبکه‌های آسیب‌دیده آنلاین می‌توانند برای جمع‌آوری اطلاعات مورد استفاده قرار گیرند. برای محافظت از داده‌هایتان، در برابر شبکه‌هایی که به آن‌ها متصل هستید، اقدامات امنیتی مناسب انجام دهید.
  2. اجازه ندهید غریبه‌ها به شبکه Wi-Fi شما متصل شوند. در خانه یا محل کار باید دسترسی به یک شبکه Wi-Fi مهمان فراهم کنید تا اتصال اصلی شما که رمزگذاری شده است، امن بماند. این کار جلوی شنود اطلاعات شما را می‌گیرد.
  3. دستگاه‌ها و خدمات متصل به شبکه را امن نگه دارید. علاوه بر محافظت از دستگاه‌های موبایل و کامپیوتر، باید شبکه‌های خود و دستگاه‌های هوشمند مانند روترهای خانگی را نیز ایمن کنید.
  • عادات امن استفاده از دستگاه‌ها
  1. دستگاه‌های شما به اندازه ارتباطات آنلاین و استفاده از شبکه‌ها به امنیت نیاز دارند. با رعایت نکات زیر می‌توانید از دستگاه‌های خود محافظت کنید:
  2. از یک نرم‌افزار امنیتی جامع استفاده کنید. در صورت موفقیت حملات مهندسی اجتماعی، آلودگی به بدافزارها یکی از نتایج رایج هستند. استفاده از یک نرم‌افزار امنیتی باکیفیت می‌تواند به حذف بدافزارها کمک کند و از ورود تهدیدات جلوگیری کند.
  3. دستگاه‌های خود را در مکان‌های عمومی قفل کنید. همیشه دستگاه‌های خود را در محل کار یا در مکان‌های عمومی مانند فرودگاه‌ها و کافی‌شاپ‌ها قفل کنید و از آن‌ها مراقبت کنید.
  4. نرم‌افزارهای خود را به ‌روز نگه دارید. به ‌روزرسانی‌های نرم‌افزاری شامل اصلاحات امنیتی مهمی هستند. اگر به‌ روزرسانی‌ها را نادیده بگیرید، ممکن است هکرها از آسیب‌پذیری‌های شناخته‌شده استفاده کنند.
  5. از نقض‌های داده‌ها در حساب‌های آنلاین خود مطلع شوید. سرویس‌هایی مانند Kaspersky Security Cloud به شما اطلاع می‌دهند که آیا اطلاعات حساب‌های شما در معرض تهدید قرار دارد یا خیر و نحوه محافظت از آن‌ها را نیز به شما می‌گویند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اشتراک گذاری این مطلب

دسته‌بندی‌ها

مطالب پر طرفدار