مهندسی اجتماعی چیست؟ (حوزه فناوری اطلاعات / هک و امنیت)

مهندسی اجتماعی (Social Engineering)، از چند باب مورد تعریف قرار می‌گیرد. یکی از باب علوم اجتماعی و دیگری علوم سیاسی و در نهایت بخش هک و امنیت (فناوری اطلاعات). در ادامه به تعریف همگی پرداخته و سپس توضیحات تکمیلی ارائه می‌دهیم.

در ابتدا باید گفت که مهندسی اجتماعی، در واقع اصطلاحی است که اولین‌بار در حوزه‌ی علوم اجتماعی ظاهر شد؛ و به نوعی مداخله‌ی مستقیم دانشمندان، در علوم انسانی بود. اصطلاح «مهندس اجتماعی»، نخستین مرتبه توسط Van Marken در سال 1894 ابداع گشته و هدف آن ترویج این ایده بود که برای مقابله با مشکلات انسانی، وجود افراد حرفه‌ای ضرورت دارد. درست همان‌طور که نمی‌توان بدون آموزش مهارت‌های لازم، مشکلات فنی را حل کرد، مسائل و مشکلات اجتماعی را هم بدون داشتن مهارت‌های لازم، نمی‌توان حل نمود. اما از آن به بعد، اصطلاح مهندسی اجتماعی، تکامل پیدا کرده و بیانگر موضوعات دیگری شد.

مهندسی اجتماعی از باب علوم اجتماعی (جامعه و فرهنگ)

در ابتدا، مهندسی اجتماعی در حوزه‌ی علوم اجتماعی استفاده شد؛ که جنبه‌ی مثبتی داشت؛ و نشان دهنده‌ی مداخله‌ی مثبت در اجتماع، توسط متخصصان بود. این ایده در عصر مثبت‌گرایی در جامعه شناسی، یعنی اوایل قرن 19 میلادی، ایده‌ی محبوبی بود. در آن زمان، دانشمندان علوم اجتماعی باور داشتند که جامعه در حال تحول بوده و از جامعه‌ای کمتر متمدن به جامعه‌ای متمدن و پیشرفته تبدیل می‌شود. هر چند باور کلی این بود که این تحول اجتماعی، به صورت طبیعی و به کندی انجام می‌شود؛ اما مداخله‌ی دانشمندان، می‌تواند آن را تسریع کند. بنابراین مهندسی اجتماعی، به معنای تأثیر و نفوذ دانشمندان علوم اجتماعی، بر جوامع انسانی و با هدف تغییر اجتماع بود؛ که به این پدیده، مهندسی فرهنگی نیز گفته می‌شد.

مهندسی اجتماعی از باب علوم سیاسی

پس از مدتی، وقتی این مفهوم به نوعی از مد افتاد و مشخص شد که این نوع تکامل و تحول جامعه، ساده و طبیعی است، آنگاه مهندسی اجتماعی، مفهوم جدیدی به خود گرفت. در این برهه‌ی زمانی، مهندسی اجتماعی، دیگر به معنای مداخله‌های مثبت در جامعه نبود و معنای آن کم‌کم به شستشوی مغزی اجتماعی تبدیل شد! که به مفهوم مورد استفاده در حوزه‌ی فناوری اطلاعات امروزی نزدیک‌تر است. هنوز هم از این مفهوم، بیشتر در حوزه‌ی علوم سیاسی و روانشناسی اجتماعی استفاده می‌شود؛ و بیانگر مداخله‌های بزرگ، با هدف تغییر جامعه و نگرش‌های فرهنگی است. در علوم اجتماعی، مهندسی اجتماعی هنوز هم همان مفهوم مشابه قبلی را دارد؛ اما در حوزه‌ی فناوری اطلاعات، مهندسی اجتماعی، به فریب دادن و شستشوی مغزی گروه‌های کوچک یا حتی افراد خاص گفته می‌شود؛ و نه جوامع و اجتماع‌های بزرگ. بنابراین رشته‌ی مهندسی اجتماعی از باب علوم سیاسی، در جهت تحت تاثیر قرار دادن نگرش‌ها و رفتار اجتماعی در مقیاس بزرگ، توسط دولت‌ها، رسانه‌ها و یا گروه‌های خصوصی، برای ایجاد ویژگی‌های خاص در یک جامعه‌ی هدف، تلاش می‌کند. مهندسان اجتماعی، از روش‌های علمی برای درک و تحلیل سیستم اجتماعی استفاده می‌کنند؛ تا برای دستیابی به نتایج مطلوب، در سوژه‌های انسانی، روش‌های مناسب طراحی کنند.

مهندسی اجتماعی از باب فناوری اطلاعات (هک و امنیت)

در حوزه‌ی امنیت اطلاعات، مهندسی اجتماعی، به عمل استفاده از طبیعت اجتماعی و جامعه‌پذیر انسان‌ها برای فریب دادن یا شستشوی مغزی آن‌ها گفته می‌شود. Kevin Mitnick منجر به محبوبیت این اصطلاح در حوزه‌ی فناوری اطلاعات شد. وی یک هکر بسیار مشهور است؛ که در دهه‌ی 90 میلادی، فعالیت داشت؛ و بعداً به عنوان محقق امنیتی، فعالیت خود را آغاز کرد؛ و نویسنده‌ی کتاب مشهور «هنر فریب» است. تمامی کلاهبرداری‌هایی که متکی بر تمایل غریزی انسان‌ها به مفید بودن، مهربان بودن یا تسلیم شدن در برابر زور و تهدید هستند، زیرمجموعه‌ی مهندسی اجتماعی قرار می‌گیرند. بنابراین، مفهوم مهندسی اجتماعی در حوزه‌ی امنیتِ فناوری اطلاعات، مربوط به نوعی حمله است؛ که مستلزم تعامل انسانی و شستشوی مغزی می‌باشد؛ تا مهاجم، موفق به دسترسی به شبکه‌ها، اطلاعات محرمانه و غیره شود. یکی دیگر از تعریف‌های مهندسی اجتماعی در حوزه‌ی امنیت اطلاعات، به این صورت است: «هنر به دست آوردن دسترسی به ساختمان‌ها، سیستم‌ها یا داده‌ها، با استفاده از روانشناسی انسانی، به جای استفاده از روش‌های هک و نفوذ».

در واقع، هر حمله‌ی فناوری اطلاعات که مستلزمِ سو ااستفاده از نقاط ضعفِ انسانی، به تنهایی یا در کنار سایر آسیب‌پذیری‌ها باشد، جزء حملات مهندسی اجتماعی طبقه‌بندی می‌شود. لذا مهندسی اجتماعی از باب امنیت اطلاعات، به دستکاری روانشناختی افراد در انجام کارهای خاص یا افشای اطلاعات متمرکز است. این اصطلاح با مهندسی اجتماعی در علوم سیاسی، از این نظر تفاوت دارد که مهندسی اجتماعی در علوم سیاسی، تمرکزی روی افشای اطلاعات محرمانه ندارد. توجه به اینکه هیچ استاندارد خاصی برای دفاع و پیش‌گیری از حملات مهندسی اجتماعی وجود ندارد، بهترین راه برای دفاع، شناسایی سطوح مختلف دفاع و ایجاد سیاست‌های امنیتی دقیق و آموزش کارکنان در راستای دنبال کردن این سیاست‌ها می‌باشد. (مطالعه بیشتر ویکی‌پدیا)

به‌طور خلاصه، می‌توان گفت که مهندسی اجتماعی، با جامعه و در کل انسان در تبادل است؛ یعنی به مهندسی جامعه و انسان‌ها می‌پردازد. اهداف این کار می‌تواند هرچیزی باشد؛ اما در حوزه‌ی هک و امنیت، مهندسی اجتماعی، اصطلاحی است که برای طیف گسترده‌ای از فعالیت‌های مخربی گفته می‌شود؛ که از طریق تعامل انسان انجام می‌شود. این کار، از دستکاری روانشناختی، جهت فریب کاربران در انجام اشتباهات امنیتی یا دادن اطلاعات حساس استفاده می‌کند. برای مثال، شما با شخصی وارد گفتگو شده و جیک و پوک زندگی او را از زیر زبانش بیرون می‌کشید. نام پدر، مادر، تاریخ تولد و … و از این اطلاعات برای طرح یک حمله و برای مثال حدس زدن کلمه عبور فلان شخص استفاده می‌کنید. در واقع مهندسی اجتماعی را می‌توان نوعی شستشوی مغزی دانست.

مثال بارز: فرض کنید شخصی به شما زنگ می‌زند و می‌گوید که برنده فلان جایزه شده‌اید و الآن یک اس ام اس حاوی کد تایید برایتان می‌آید که بایستی آن را برای احراز هویت به آن شخص بدهید؛ شما فریب خورده و آن کد را به آن شخص می‌دهید و ناگهان حسابتان خالی می‌شود! چرا که خبر نداشتید آن کد، در واقع کد تایید برداشت پول از حسابتان است.

مثال بارز: شخصی صبح تا شب با شما گفتگو می‌کند و باهم دوست می‌شوید. اطلاعات زیاد زندگی خود را با او در میان می‌گذارید. رمز اکانت اینستاگرام شما، از ترکیب اسم و تاریخ تولدتان ساخته شده است که شاید چند چیز دیگر نیز در آن باشد. ان شخص با ترکیب اطلاعات شما و ساختن انواع مختلف پسوردها، قادر به هک کردن اکانت اینستاگرام شما خواهد بود!

مثال بارز: احتمالا در تلگرام دیده باشید که پیامی برایتان ارسال شود مبنا بر اینکه نام کاربری شما تحت تعقیب پلیس فتا بوده و بایستی آن را از اکانت خود بردارید! این تکنیکی برای ترساندن قربانیان است تا به محص برداشتن نام کاربری از حسابشان، شخص نفوزگر سریعا آن را به نام خود ثبت کند. البته تلگرام در حال حاظر پس از تغییر نام کاربری و یا حذف آن، بلافاصله اجازه‌ی ثبت آن را توسط شخص دیگری نمی‌دهد و بایستی مدت زمانی سپری شود.

بنابراین می‌توان گفت که آنچه مهندسی اجتماعی را خطرناک می‌کند، این است که به‌جای آسیب پذیری در نرم افزار و سیستم عامل‌ها، به خطای انسانی می‌پردازد. اشتباهات انجام شده توسط کاربران مشروع، بسیار کمتر قابل پیش بینی است؛ و باعث می‌شود تا شناسایی و خنثی‌سازی آن، از یک نفوذ مبتنی بر بدافزار سخت‌تر شود.

بیشتر بدانید

به منظور تدارک و یا برنامه ریزی یک تهاجم از نوع حملات مهندسی اجتماعی، یک مهاجم با برقراری ارتباط با کاربران و استفاده از مهارت‌های اجتماعی خاص (روابط عمومی مناسب، ظاهری آراسته و … )، سعی می‌کند تا به اطلاعات حساس یک سازمان و یا کامپیوتر شما دستیابی و یا به آنان آسیب برساند.

یک مهاجم، ممکن است خود را به عنوان فردی متواضع و قابل احترام نشان دهد. مثلا وانمود کند که یک کارمند جدید است؛ یک تعمیر کار است؛ و یا یک محقق و حتی اطلاعات حساس و شخصی خود را به منظور تائید هویت خود به شما ارائه نماید. یک مهاجم، با طرح سوالات متعدد و برقراری یک ارتباط منطقی بین آنان، می‌تواند به بخش‌هایی از اطلاعات مورد نیاز خود به منظور نفوذ در شبکه‌ی سازمان شما دستیابی پیدا کند. در صورتی که یک مهاجم، قادر به اخذ اطلاعات مورد نیاز خود از یک منبع نگردد، وی ممکن است با شخص دیگری از همان سازمان ارتباط برقرار نموده، تا با کسب اطلاعات تکمیلی و تلفیق آنان با اطلاعات اخذ شده از منبع اول، توانمندی خود را افزایش دهد.

حملات مهندسی اجتماعی در یک یا چند مرحله اتفاق می‌افتد. یک نفوذگر، در ابتدا برای قربانیِ در نظر گرفته شده برای جمع آوری اطلاعات لازم، از جمله نقاط احتمالی ورود و پروتکل های امنیتی ضعیف، برای انجام حمله، تحقیق می‌کند. سپس، مهاجم، برای جلب اعتماد قربانی و ایجاد انگیزه برای اقدامات بعدی كه باعث نقض اقدامات امنیتی می‌شود، مانند افشای اطلاعات حساس یا دسترسی به منابع مهم، تلاش می‌كند.

حملات مهندسی اجتماعی

حملات مهندسی اجتماعی، به اشکال مختلفی رخ داده و می‌تواند در هر جایی که تعامل انسان در آن دخیل باشد، انجام گیرد. در هر نوع حملات مهندسی اجتماعی در حوزه‌ی فناوری اطلاعات، باید از شستشوی مغزی استفاده شود؛ تا کاربران را متقاعد به ارتکاب اشتباهات امنیتی کند. در شکل زیر، چرخه‌ی حملات مهندسی اجتماعی نشان داده شده است:

چرخه حمله مهندسی اجتماعی

انواع حملات مهندسی اجتماعی / تکنیک‌ها

بعضی از انواع متداول حملات مهندسی اجتماعی را که ممکن است نام برخی از آنها را بارها شنیده باشید (مثل فیشینگ)، در ادامه توضیح داده‌ایم.

طعمه گذاشتن (Baiting):
همانطور که از نام آن پیداست، مهاجمان، قربانی را فریب می‌دهند کار غیرامنی را انجام داده که آنها را به خواسته‌شان برساند. حملات طعمه گذاشتن، در واقع بیشتر از یک قول دروغین برای ترساندن، تحریک طمع و یا کنجکاوی یک قربانی استفاده می‌کنند. آن‌ها کاربران را به دام انداخته و اطلاعات شخصی آن‌ها را سرقت می‌کنند. جدیدترین شکل طعمه استفاده از رسانه‌های فیزیکی برای پراکندگی بدافزارها است. مثلاً ممکن است مهاجمان، یک فلش آلوده را با برچسب‌هایی مثل «لیست پاداش‌های مخفیانه شرکت» سر راه قربانی قرار دهند. مهاجمین در واقع طعمه‌ها را (معمولاً فلش مموری‌های آلوده به بدافزار)، در مناطق آشکاری که قربانیان احتمالی حتماً آن‌ها را مشاهده می‌کنند، قرار می‌دهند؛ (به عنوان مثال، جلوی شرکت، آسانسور، پارکینگ یک شرکت، میز کاری و …). سپس قربانیان طعمه را از حس کنجکاوی برداشته و آن را درون یک کامپیوتر سر کار یا خانه قرار داده و در نتیجه نصب بدافزار خودکار برروی سیستم انجام می‌شود.

القای ترس (Scareware):
مهاجمان در این نوع حمله، قربانیان را با هشدارهای دروغین و تهدیدهای ساختگی تحریک می‌کنند تا دست به انجام کارهای اجباری بزنند. کاربران فریب خورده و فکر می‌کنند سیستم آنها به بدافزار آلوده شده است و از آنها خواسته می‌شود تا نرم افزاری را نصب کنند که هیچ فایده‌ی واقعی نداشته و یا دراصل خود بدافزار است. در واقع به قربانی گفته می‌شود که اگر فلان کار را انجام ندهد، فلان اتفاق ترسناکی رخ می‌دهد. به عنوان مثال، مهاجم وانمود می‌کند که یک واسطه بوده و در رابطه با یک خطر به شما هشدار می‌دهد (مثلاً این که فردی حساب شما را هک کرده است) و از شما می‌خواهد تا برای حل مسأله، رمز عبورتان را در اختیار وی قرار دهید.

نمونه‌ی بارز القای ترس، برخی از بنرهای پاپ آپ تبلیغاتی می‌باشد؛ که در مرورگر شما و به هنگام گشت و گذار در وب، ظاهر شده و با نمایش متونی مانند “رایانه‌ی شما ممکن است به برنامه‌های مضر جاسوسی آلوده باشد.” شروع به فریب شما می‌کند؛ تا برای مثال نرم افزار خاصی را جهت اسکن نصب کنید که ممکن است آن نرم افزار، خود یک بدافزار باشد!

فیشینگ (Phishing)
کلاه‌برداری فیشینگ را می‌توان از محبوب‌ترین تکنیک‌های حملات مهندسی اجتماعی دانست؛ که در این نوع حملات، مهاجم به تلاش برای به دست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و مانند آن‌ها از طریق جعل یک وبگاه، آدرس ایمیل و مانند آن‌ها می‌پردازد. یا به بیان ساده‌تر، هنگامی که شخصی تلاش می‌کند دیگری را فریب دهد تا اطلاعات شخصی او را در اختیارش بگیرد، یک حمله‌ی فیشینگ رخ داده و یک بازار غیر‌قانونی چند هزار میلیاردی را تشکیل داده است. شبکه‌های اجتماعی و وبگاه‌های پرداخت آنلاین، از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیل‌هایی که با این هدف ارسال می‌شوند و حاوی پیوندی به یک وبگاه می‌باشند نیز در اکثر موارد حاوی بدافزار هستند.

برای مثال، ممکن است از سایتی اقدام به خرید محصولی کرده و سپس وارد صفحه‌ی پرداخت شوید که بایستی اطلاعات بانکی خود را وارد کنید؛ ولی در واقع شما در صفحه‌ی پرداخت رسمی بانکی قرار نداشته و گمان می‌کنید که صفحه واقعی است (از لحاظ ظاهری تقریباً با نسخه قانونی آن یکسان است). بدین منظور است که بانک‌ها اقدام به ایجاد رمز یک بار مصرف کرده‌اند. یا نوع دیگری از فیشینگ، برای مثال از طریق ایمیل و یا انواع روش‌های ارتباطی دیگر، پیامی را دریافت کنید؛ که وانمود شده از طرف یک شخص دیگر که شما به آن اعتماد دارید ارسال شده است؛ مثل گوگل، فیس‌بوک، نت‌فلیکس، استیم و غیره و از شما درخواست می‌شود که برای ادامه‌ی کار، اطلاعات لاگین را وارد کنید و در واقع شما اطلاعات را دو دستی تقدیم کرده و قربانی می‌شوید.

با توجه به اینکه پیام های یکسان، در کارزارهای فیشینگ برای کلیه کاربران ارسال می‌شوند، تشخیص و مسدود کردن آن‌ها برای سرورهای پستی که به سیستم‌عامل‌های اشتراک تهدید دسترسی دارند، بسیار آسان‌تر است.

فیشینگ نیزه (Spear phishing):
این یک نسخه‌ی هدفمندتر از کلاهبرداری فیشینگ است؛ که به موجب آن، فرد مهاجم، افراد یا بنگاه‌های خاص را انتخاب می‌کند. آن‌ها سپس پیام‌های خود را بر اساس ویژگی‌ها، موقعیت‌های شغلی و مخاطبین متعلق به قربانیان خود متناسب می‌کنند؛ تا حمله‌ی آن‌ها آشکارتر شود. فیشینگ نیزه، نیاز به تلاش بیشتری از طرف نفوذگر داشته و ممکن است هفته‌ها و ماه‌ها طول بکشد.

در یک سناریوی فیشینگ نیزه، ممکن است مهاجمی باشد که در جعل هویت مشاور IT یک سازمانی، یک ایمیل به یک یا چند کارمند ارسال می‌کند. این متن دقیقاً مطابق آنچه معمولاً مشاور انجام می‌دهد، امضا شده و بدین ترتیب گیرندگان فكر می‌كنند كه این یك پیام معتبر است. این پیام، گیرندگان را ترغیب می‌کند که رمز عبور خود را تغییر داده و پیوندی را برای آنها فراهم می‌کند که آن‌ها را به صفحه‌ی مخرب هدایت می‌کند؛ که در آن زمان، مهاجم، اعتبارنامه‌های خود را ضبط می‌کند.

بهانه (Pretexting):
مهاجم از طریق استفاده از یک سری دروغ‌های هوشمندانه، وانمود می‌کند تا برای انجام دادن یک کار مهمی، به برخی از اطلاعات حساس یک قربانی احتیاج دارد. مهاجم معمولاً با جعل اعتماد به قربانی خود، با جعل هواداری از همكاران، پلیس، بانک و مقامات مالیاتی و یا سایر افراد دارای صلاحیت شناختن، شروع کرده و سؤالاتی را مطرح می‌کند که ظاهراً برای تأیید هویت قربانی لازم است. و از طریق آن‌ها، داده‌های شخصی مهم را جمع می‌کند. انواع اطلاعات و سوابق مربوطه با استفاده از این کلاهبرداری، مانند شماره‌های تأمین اجتماعی، آدرس‌های شخصی و شماره تلفن‌ها، سوابق تلفنی، تاریخ تعطیلات کارکنان، سوابق بانکی و حتی اطلاعات امنیتی مربوط به یک کارخانه فیزیکی جمع آوری می‌شود.

مثال‌های مشهور از مهندسی اجتماع

حال که مشخص شد مهندسی اجتماعی چیست و چطور و چگونه عمل می‌کند، در ادامه نگاهی به چند نمونه از هک‌های مشهور به روش مهندسی اجتماعی خواهیم داشت؛ و متوجه می‌شوید که امکان رخ دادن این اتفاق، برای هر فردی، صرف‌نظر از میزان بزرگی یا کوچکی وی وجود دارد. ممکن است فقط یک لحظه غفلت، منجر به نفوذ به داخل سیستم‌های شما شود.

AIDS یا باج افزار اصلی:

بخش اصلی باج افزار، AIDS نام داشت و مثل یک تروجان عمل می‌کرد. این بخش دقیقاً در یک کنفرانس علمی و توسط یک محقق زیست‌شناسی تکاملی منتشر شد؛ که ادعا می‌کرد قصد دارد برای مقابله با ایدز، سطح آگاهی را افزایش داده و پول جمع‌آوری کند.

در واقع این تروجان، پدربزرگ تمام کدهای باج افزاری است؛ که پس از آن منتشر شدند. این بخش از طریق یک فلاپی دیسک منتشر شده و سپس با ایمیل به قربانیان اولیه ارسال می‌شد. قربانیان، تصور می‌کردند که ایمیل مربوطه، حاوی اطلاعاتی درباره‌ی نحوه‌ی کمک به مقابله با ایدز است. از این جهت، این آلودگی یک نوع حمله مهندسی اجتماعی محسوب می‌شد؛ که از تمایل افراد، برای کمک به دیگران سوءاستفاده می‌کرد.

حمله Kevin Mitnick به DEC:

Kevin Mitnick، هکر متخصص در زمینه‌ی مهندسی اجتماعی (که بعداً تبدیل به یک محقق امنیتی شد)، دقیقاً از طریق حمله‌ای که به شرکت تجهیزات دیجیتال (Digital Equipment Corporation یا به اختصار DEC) انجام داد، در دهه‌ی 90 میلادی، شهرت زیادی کسب کرد. از آنجایی که او هم‌پیمان با هکرهایی بود که قصد داشتند نگاهی به سیستم عامل DEC داشته باشند، اما بدون اطلاعات لاگین قادر به ورود به این سیستم نبودند، Mitnick خیلی ساده یک تماس گرفت و این اطلاعات را درخواست کرد.

Kevin Mitnick، با مدیر سیستم شرکت DEC تماس گرفته و ادعا کرد که یکی از کارمندان تیم توسعه‌دهنده است؛ که موقتاً از حسابش خارج شده و امکان دسترسی به آن را ندارد. سپس مدیر سیستم، یک نام کاربری و رمز عبور جدید به او داد؛ که سطح دسترسی بالایی داشت!

مشکلات داخلی HP با کارمندان:

در سال 2005 و 2006، شرکت Hewlett-Packard به دلیل نشت اطلاعات در رسانه‌ها دچار مشکلاتی شد. این شرکت در راستای تلاش برای شناسایی کارمندانی که موجب نشت اطلاعات شده بودند، تعدادی بازرس خصوصی را استخدام کرد؛ که موفق شدند تماس‌های ضبط شده‌ی افراد مورد نظر توسط شرکت مخابراتی AT&T را با این ادعا که خودشان این افراد هستند، دریافت کنند.

این اقدام طبق قوانین فدرال غیرقانونی شمرده شد؛ اما قطعاً افق‌های جدیدی را در زمینه‌ی روش‌های مهندسی اجتماعی باز کرد.

هک یاهو در سال 2015:

این هک بزرگ که باعث شد در سال 2014، هکرها اطلاعات شخصی بیش از 500 میلیون کاربر را به دست آوردند، به فیشینگ هدفمند متکی بود. هکرها توانستند فقط با هدف گرفتن کارمندان سطح بالای شرکت یاهو از طریق پیام‌های ویژه و خاص، به سرورهای یاهو دسترسی پیدا کنند. از آنجا به بعد، مهاجمان از رمزنگاری و کوکی‌های جعلی برای نفوذ به حساب کاربری کاربران معمولی یاهو استفاده کردند.

هک وزارت دادگستری ایالات متحده:

وزارت دادگستری آمریکا هم حتی از حملات مهندسی اجتماعی در امان نبوده است. تا زمانی که انسان‌ها در چنین محیطی کار کنند، امکان طعمه‌شدن در برابر تاکتیک‌های مهندسی اجتماعی وجود دارد. هکری که ناامید شده و به این نتیجه رسیده بود که بدون داشتن کد دسترسی، قادر به نفوذ به سیستم نیست، یک تماس ساده گرفت و ادعا کرد که یکی از کارمندان است.

هکر، پس از به دست آوردن کد توانست عملیات را ادامه داده و ارتباطات داخلی را شنود کند. وی برای اثبات این هک، یک سری اطلاعات مهم را افشا کرده و به وزارت دادگستری هشدار داد که امنیت را جدی‌تر بگیرد.

رسوایی مشهور فیس‌بوک و شرکت کمبریج آنالیتیکا:

شرکت کمبریج آنالیتیکا متهم شد که به روشی بسیار پیچیده و با ساختن پروفایل‌های اجتماعی از روی تک‌تک اطلاعاتی که درباره افراد پیدا کرده، توانسته است که با کمک شرکت فیس‌بوک، با موفقیت بر انتخابات ریاست جمهوری آمریکا و رفراندوم بریتانیا درباره برگزیت تأثیرگذار شود.

این رسوایی، نشان داد که هک‌های مهندسی اجتماعی، گاهی وقت‌ها به ریشه‌ی اصلی این واژه نزدیک می‌شوند (یعنی تغییر در جامعه).

حمله BEC به شرکت Ubiquiti Networks:

در سال 2015، یک حمله‌ی ساده‌ی هک ایمیل کسب و کاری (به اختصار BEC)، منجر به نفوذ به شرکت Ubiquiti networks شده و باعث شد هکرها، 7,46 میلیون دلار را به سرقت ببرند. این حمله، به همین سادگی صورت گرفت؛ که در آن مهاجمان با کارمندان بخش مالی تماس گرفته و خواستار اجرای یک تراکنش شدند.

رخنه احراز هویت دومرحله‌ای RSA:

توکن‌های احراز هویت دومرحله‌ای SecurID از شرکت RSA به میزان زیادی غیرقابل هک شناخته می‌شوند. با این وجود، در سال 2011، شرایط تغییر کرد؛ و در آن زمان، یکسری از افراد داخلی شرکت، طعمه‌ی حمله فیشینگ شده، داده‌های سازمانی را افشا کرده و منجر به خسارت 66 میلیون دلاری شدند.

در ابتدا ،کارمندان RSA یک ایمیل جعلی دریافت کردند؛ که وانمود می‌شد از طرف بخش استخدام یک شرکت دیگر ارسال شده است. یک فایل صفحه گسترده آلوده اکسل هم به این پیام پیوست شده بود. در صورت باز شدن این فایل پیوست، یک آسیب‌پذیری روز صفر در نرم افزار فلش، امکان نصب یک تروجان در پشتی بر روی رایانه آلوده را برای هکرها فراهم می‌کرد.

هر چند نمی‌توان به صورت مناسب و درست، میزان جدیت این رخنه را ارزیابی کرد؛ اما محققان RSA، باور دارند که ممکن است این هک بر امنیت فناوری توکن احراز هویت دومرحله‌ای آنها تأثیر گذاشته باشد؛ و در نتیجه، لازم باشد که این طراحی از صفر و دوباره انجام شود. این حمله، نشان داد که گاهی اوقات یک هک می‌تواند موجب شود که نیاز به بازسازی کامل فناوری ایجاد شود؛ که قبلاً غیرقابل نفوذ تصور می‌شد.

رخنه Target در سال 2013:

سیستم پایانه فروش Target در سال 2013، توسط هکرها مورد حمله قرار گرفته و آن‌ها موفق به افشا و سرقت اطلاعات کارت بانکی بیش از 40 میلیون مشتری Target شدند. اگرچه اطلاعات از طریق یک اسکریپت بدافزاری به سرقت رفتند؛ اما نقطه‌ی ورود این بدافزار، یک حمله‌ی مهندسی اجتماعی هوشمندانه بود. مهاجمان که می‌دانستند برای راحت‌تر شدن کار می‌توانند در ابتدا یک طعمه‌ی کوچک‌تر را هدف بگیرند، از طریق فیشینگ، امنیت Fazio Mechanical Services را دچار اختلال کردند.

پیش از این، امکان دسترسی به سیستم‌های Target برای یک تأمین‌کننده‌ی شخص سوم فراهم شده بود. بنابراین، مهاجمان با هدف قرار دادن آن توانستند به سمت خود Target حرکت کنند.

برادران Badir:

در دهه‌ی 90 میلادی، برادران Badir، خارق‌العاده‌ترین هکرهایی بودند که خاورمیانه را به ستوه آورند. این سه برادر، همگی نابینا بودند؛ اما استعداد قابل توجهی در زمینه‌ی هک داشتند و البته برای هک، علاوه بر روش‌های فنی، از روش‌های مهندسی اجتماعی هم استفاده می‌کردند.

آنها می‌توانستند پشت تلفن، تمام صداها را تقلید کنند (حتی بازرسی که به دنبال آنها بود) و می‌توانستند فقط با شنیدن صدای تایپ، پین کد قربانی را تشخیص دهند. همچنین با منشی‌های مدیران رده بالای شرکتی چت می‌کردند؛ و با خوش‌رویی از آنها اطلاعاتی را درخواست می‌کردند. آن‌ها در نهایت توانستند به اطلاعات شخصی این مدیران، دست پیدا کرده و با موفقیت رمز عبور آن‌ها را حدس بزنند.

تمام این مهارت‌ها، به آنها کمک کرد تا بتوانند در سراسر خاورمیانه، یکسری حملات مهندسی اجتماعی موفق را اجرا کنند.

پیشگیری از حملات مهندسی اجتماعی

همانطور که گفته شد، امکان در قربانی شدن از طریق حملات مهندسی اجتماعی، برای هر فردی، صرف‌نظر از میزان بزرگی یا کوچکی وی وجود دارد. ممکن است فقط یک لحظه غفلت، منجر به نفوذ به داخل سیستم‌های شما شود. مهم نیست که چقدر باهوش هستید، همیشه و همیشه راهی وجود دارد! اما پس پیشگیری چه فایده‌ای دارد؟! طبیعتا ما هرچه اطلاعاتمان بیشتر شود و هرچه باهوش‌تر شویم، حمله از طریق مهندسی اجتماعی نیز به ما سخت‌تر خواهد شد! چرا که ما می‌دانیم و خود را بازیچه مهاجمان قرار نمی‌دهیم؛ گرچه همیشه یک لحظه غفلت یا احساساتی شدن و مسائل این چنینی، می‌تواند همه چیز را بر باد دهد! اما از نظر منطقی، می‌توان جلوی حملات مهندسی اجتماعی را تا حد بسیار زیاد و تقریبا غیرممکنی گرفت. (تا زمانی که مهاجم، روش مختص و خاص نفوز به شما را پیدا کند)

محافظت در برابر حملات مهندسی اجتماعی، متأسفانه دقیقاً به این دلیل که متکی بر اعتماد مردم هستند،فقط با استفاده از ابزارهای فنی ممکن نیست. مفهوم مهندسی اجتماعی نیز دقیقاً همین است. یعنی فریب دادن و بازی با افکار مردم، برای کمک کردن به هکرها جهت دور زدن سازوکارهای محافظتی موجود. نفوذگرها در حملات مهندسی اجتماعی، احساسات انسانی، مانند کنجکاوی یا ترس را دستکاری می‌کنند؛ تا طرح‌هایی را انجام دهند و قربانیان را به دام خود بیاورند. بنابراین، هر وقت از طریق ایمیلی، احساس هشدار می‌کنید، نسبت به پیشنهادی که در وب‌سایت نمایش داده می‌شود، یا هنگامی که با رسانه‌های دیجیتالی هوس انگیز روبرو می‌شوید، احتیاط کنید. هوشیاری می‌تواند به شما در محافظت در برابر بیشتر حملات مهندسی اجتماعی در حوزه‌ی دیجیتال کمک کند.

اما در این زمینه نیز خبرهای خوب و هم خبرهای بدی وجود دارد. خبر بد این است که هر چقدر ابزارهای امنیت سایبری مورد استفاده شما قوی باشد، باز هم در صورتی که به افراد نادرستی اعتماد کنید، امکان هک این ابزارها از طریق مهندسی اجتماعی وجود داشته و خبر خوب این است که مادامی که خود شما و تمام کارمندان سازمان، درباره‌ی مهندسی اجتماعی و تازه‌ترین روش‌های آن اطلاعات داشته باشید، آسیب‌پذیر نخواهید بود. بنابراین می‌توان گفت:

کل حرف اینه که

برای مقابله با حملات مهندسی اجتماعی و در امان ماندن از آن، فقط یک راهکار خیلی ساده وجود دارد و آن هم آموزش و آگاهی‌بخشی در زمینه‌ی امنیت سایبری است.

روش ها و خصوصیات یک مهاجم در یک حمله مهندسی اجتماعی

همیشه صبور و کاملا عادی است.
نه ساکت و ابله به نظر می رسد و نه پرحرف و وراج.
نه زیاد سوال می پرسد و نه کلا بیخیال است.
رفتار شما را کنترل می کند و همیشه منتظر فرصت طلایی است.
هیچوقت برای رسیدن به سوالاتش عجله ای ندارد و به راحتی جواب سوالاتش را به دست می آورد.
هیچوقت سعی در جلب اعتماد تارگت با انجام کارهای مسخره و الکی ندارد و سعی می کند خود را رازدار جلوه دهد.
تلاشی برای زود بدست آوردن اطلاعات ندارد !!! چرا که انتظار دارد اطلاعات را کامل و جامع دریافت کند.
برای آشنا شدن با تارگت مستقیم وارد عمل نمی شود و سعی دارد که از طریق اقوام و دوستان تارگت وارد عمل شود.
کوچکترین رفتار غیر عادی یا عجولانه نمی کند چرا که می داند منجر به شکست پروژه خواهد بود.
هیچوقت از توانایی های خود صحبت نمی کند و در حد اعتدال در مورد کامپیوتر گفتگو می کند.

نکاتی برای بهبود و افزایش هوشیاری

علاوه بر این، نکات زیر می‌تواند به بهبود هوشیاری شما در رابطه با هک‌های مهندسی اجتماعی کمک کند:

ایمیل و پیوست‌های خود را از منابع مشکوک باز نکنید:
اگر فرستنده مورد نظر را نمی شناسید ، نیازی به پاسخگویی به ایمیل ندارید. حتی اگر آنها را می شناسید و به پیام آنها مشکوک هستید ، اخبار سایر منابع را از طریق تلفن یا مستقیماً از طریق سایت ارائه دهنده خدمات را بررسی و تأیید کنید. به یاد داشته باشید که آدرس های ایمیل همه وقت جعل می شوند؛ حتی ممکن است یک نامه الکترونیکی که ظاهراً از یک منبع قابل اعتماد تهیه شده باشد توسط یک مهاجم ارسال شده باشد.
از تأیید اعتبار چند منظوره استفاده کنید:
یکی از ارزشمندترین اطلاعاتی که مهاجمان به دنبال آن هستند ، اعتبار کاربر است. استفاده از تأیید هویت چند فاکتور ، در صورت به خطر انداختن سیستم ، برای محافظت از حساب شما کمک می کند.
نسبت به پیشنهادات وسوسه انگیز احتیاط کنید:
اگر یک پیشنهاد به نظر می رسد بیش از حد فریبنده است ، قبل از پذیرش آن به عنوان واقعیت ، ابتدا به صورت کامل بررسی کنید. جستجوی موضوع می تواند به شما کمک کند سریعاً تعیین کنید که آیا با یک پیشنهاد مشروع یا یک دام برخورد می کنید.
نرم افزار آنتی ویروس خود را به روز کنید:
اطمینان حاصل کنید که به روزرسانی های خودکار را دریافت می کنید ، یا انتی ویروس خود را به گونه ای تنظیم کنید که جدیدترین به روز رسانی ها را هر روز بارگیری کند. به طور مرتب چک کنید تا مطمئن شوید که به روزرسانی ها اعمال شده اند ، و سیستم خود را برای ویروس های احتمالی اسکن کنید.

اگر مسئول یک سازمان هستید، این اقدامات را انجام دهید:

حقوق دسترسی سطح راهبر سیستم را برای کاربران معمولی، کاهش داده و کنترل کنید.
همواره برنامه‌های آگاهی‌بخشی و آموزش امنیت سایبری را اجرا کنید.
آزمون نفوذپذیری و برگزاری آزمون از کارمندان را انجام دهید.
علاوه بر پیشگیری، آماده مدیریت حادثه هم باشید.

امیدواریم که حالا متوجه شده باشید مهندسی اجتماعی چیست و بتوانید هک اجتماعی را تشخیص دهید. به کسب اطلاعات در زمینه امنیت سایبری ادامه دهید تا بتوانید بهتر از خودتان دفاع کنید.