مهندسی اجتماعی (Social Engineering)، از چند باب مورد تعریف قرار میگیرد. یکی از باب علوم اجتماعی و دیگری علوم سیاسی و در نهایت بخش هک و امنیت (فناوری اطلاعات). در ادامه به تعریف همگی پرداخته و سپس توضیحات تکمیلی ارائه میدهیم.
در ابتدا باید گفت که مهندسی اجتماعی، در واقع اصطلاحی است که اولینبار در حوزهی علوم اجتماعی ظاهر شد؛ و به نوعی مداخلهی مستقیم دانشمندان، در علوم انسانی بود. اصطلاح «مهندس اجتماعی»، نخستین مرتبه توسط Van Marken در سال 1894 ابداع گشته و هدف آن ترویج این ایده بود که برای مقابله با مشکلات انسانی، وجود افراد حرفهای ضرورت دارد. درست همانطور که نمیتوان بدون آموزش مهارتهای لازم، مشکلات فنی را حل کرد، مسائل و مشکلات اجتماعی را هم بدون داشتن مهارتهای لازم، نمیتوان حل نمود. اما از آن به بعد، اصطلاح مهندسی اجتماعی، تکامل پیدا کرده و بیانگر موضوعات دیگری شد.
در واقع، هر حملهی فناوری اطلاعات که مستلزمِ سو ااستفاده از نقاط ضعفِ انسانی، به تنهایی یا در کنار سایر آسیبپذیریها باشد، جزء حملات مهندسی اجتماعی طبقهبندی میشود. لذا مهندسی اجتماعی از باب امنیت اطلاعات، به دستکاری روانشناختی افراد در انجام کارهای خاص یا افشای اطلاعات متمرکز است. این اصطلاح با مهندسی اجتماعی در علوم سیاسی، از این نظر تفاوت دارد که مهندسی اجتماعی در علوم سیاسی، تمرکزی روی افشای اطلاعات محرمانه ندارد. توجه به اینکه هیچ استاندارد خاصی برای دفاع و پیشگیری از حملات مهندسی اجتماعی وجود ندارد، بهترین راه برای دفاع، شناسایی سطوح مختلف دفاع و ایجاد سیاستهای امنیتی دقیق و آموزش کارکنان در راستای دنبال کردن این سیاستها میباشد. (مطالعه بیشتر ویکیپدیا)
بهطور خلاصه، میتوان گفت که مهندسی اجتماعی، با جامعه و در کل انسان در تبادل است؛ یعنی به مهندسی جامعه و انسانها میپردازد. اهداف این کار میتواند هرچیزی باشد؛ اما در حوزهی هک و امنیت، مهندسی اجتماعی، اصطلاحی است که برای طیف گستردهای از فعالیتهای مخربی گفته میشود؛ که از طریق تعامل انسان انجام میشود. این کار، از دستکاری روانشناختی، جهت فریب کاربران در انجام اشتباهات امنیتی یا دادن اطلاعات حساس استفاده میکند. برای مثال، شما با شخصی وارد گفتگو شده و جیک و پوک زندگی او را از زیر زبانش بیرون میکشید. نام پدر، مادر، تاریخ تولد و … و از این اطلاعات برای طرح یک حمله و برای مثال حدس زدن کلمه عبور فلان شخص استفاده میکنید. در واقع مهندسی اجتماعی را میتوان نوعی شستشوی مغزی دانست.
مثال بارز: فرض کنید شخصی به شما زنگ میزند و میگوید که برنده فلان جایزه شدهاید و الآن یک اس ام اس حاوی کد تایید برایتان میآید که بایستی آن را برای احراز هویت به آن شخص بدهید؛ شما فریب خورده و آن کد را به آن شخص میدهید و ناگهان حسابتان خالی میشود! چرا که خبر نداشتید آن کد، در واقع کد تایید برداشت پول از حسابتان است.
مثال بارز: شخصی صبح تا شب با شما گفتگو میکند و باهم دوست میشوید. اطلاعات زیاد زندگی خود را با او در میان میگذارید. رمز اکانت اینستاگرام شما، از ترکیب اسم و تاریخ تولدتان ساخته شده است که شاید چند چیز دیگر نیز در آن باشد. ان شخص با ترکیب اطلاعات شما و ساختن انواع مختلف پسوردها، قادر به هک کردن اکانت اینستاگرام شما خواهد بود!
مثال بارز: احتمالا در تلگرام دیده باشید که پیامی برایتان ارسال شود مبنا بر اینکه نام کاربری شما تحت تعقیب پلیس فتا بوده و بایستی آن را از اکانت خود بردارید! این تکنیکی برای ترساندن قربانیان است تا به محص برداشتن نام کاربری از حسابشان، شخص نفوزگر سریعا آن را به نام خود ثبت کند. البته تلگرام در حال حاظر پس از تغییر نام کاربری و یا حذف آن، بلافاصله اجازهی ثبت آن را توسط شخص دیگری نمیدهد و بایستی مدت زمانی سپری شود.
بنابراین میتوان گفت که آنچه مهندسی اجتماعی را خطرناک میکند، این است که بهجای آسیب پذیری در نرم افزار و سیستم عاملها، به خطای انسانی میپردازد. اشتباهات انجام شده توسط کاربران مشروع، بسیار کمتر قابل پیش بینی است؛ و باعث میشود تا شناسایی و خنثیسازی آن، از یک نفوذ مبتنی بر بدافزار سختتر شود.
به منظور تدارک و یا برنامه ریزی یک تهاجم از نوع حملات مهندسی اجتماعی، یک مهاجم با برقراری ارتباط با کاربران و استفاده از مهارتهای اجتماعی خاص (روابط عمومی مناسب، ظاهری آراسته و … )، سعی میکند تا به اطلاعات حساس یک سازمان و یا کامپیوتر شما دستیابی و یا به آنان آسیب برساند.
یک مهاجم، ممکن است خود را به عنوان فردی متواضع و قابل احترام نشان دهد. مثلا وانمود کند که یک کارمند جدید است؛ یک تعمیر کار است؛ و یا یک محقق و حتی اطلاعات حساس و شخصی خود را به منظور تائید هویت خود به شما ارائه نماید. یک مهاجم، با طرح سوالات متعدد و برقراری یک ارتباط منطقی بین آنان، میتواند به بخشهایی از اطلاعات مورد نیاز خود به منظور نفوذ در شبکهی سازمان شما دستیابی پیدا کند. در صورتی که یک مهاجم، قادر به اخذ اطلاعات مورد نیاز خود از یک منبع نگردد، وی ممکن است با شخص دیگری از همان سازمان ارتباط برقرار نموده، تا با کسب اطلاعات تکمیلی و تلفیق آنان با اطلاعات اخذ شده از منبع اول، توانمندی خود را افزایش دهد.
حملات مهندسی اجتماعی در یک یا چند مرحله اتفاق میافتد. یک نفوذگر، در ابتدا برای قربانیِ در نظر گرفته شده برای جمع آوری اطلاعات لازم، از جمله نقاط احتمالی ورود و پروتکل های امنیتی ضعیف، برای انجام حمله، تحقیق میکند. سپس، مهاجم، برای جلب اعتماد قربانی و ایجاد انگیزه برای اقدامات بعدی كه باعث نقض اقدامات امنیتی میشود، مانند افشای اطلاعات حساس یا دسترسی به منابع مهم، تلاش میكند.
حملات مهندسی اجتماعی
حملات مهندسی اجتماعی، به اشکال مختلفی رخ داده و میتواند در هر جایی که تعامل انسان در آن دخیل باشد، انجام گیرد. در هر نوع حملات مهندسی اجتماعی در حوزهی فناوری اطلاعات، باید از شستشوی مغزی استفاده شود؛ تا کاربران را متقاعد به ارتکاب اشتباهات امنیتی کند. در شکل زیر، چرخهی حملات مهندسی اجتماعی نشان داده شده است:
انواع حملات مهندسی اجتماعی / تکنیکها
بعضی از انواع متداول حملات مهندسی اجتماعی را که ممکن است نام برخی از آنها را بارها شنیده باشید (مثل فیشینگ)، در ادامه توضیح دادهایم.
طعمه گذاشتن (Baiting):
همانطور که از نام آن پیداست، مهاجمان، قربانی را فریب میدهند کار غیرامنی را انجام داده که آنها را به خواستهشان برساند. حملات طعمه گذاشتن، در واقع بیشتر از یک قول دروغین برای ترساندن، تحریک طمع و یا کنجکاوی یک قربانی استفاده میکنند. آنها کاربران را به دام انداخته و اطلاعات شخصی آنها را سرقت میکنند. جدیدترین شکل طعمه استفاده از رسانههای فیزیکی برای پراکندگی بدافزارها است. مثلاً ممکن است مهاجمان، یک فلش آلوده را با برچسبهایی مثل «لیست پاداشهای مخفیانه شرکت» سر راه قربانی قرار دهند. مهاجمین در واقع طعمهها را (معمولاً فلش مموریهای آلوده به بدافزار)، در مناطق آشکاری که قربانیان احتمالی حتماً آنها را مشاهده میکنند، قرار میدهند؛ (به عنوان مثال، جلوی شرکت، آسانسور، پارکینگ یک شرکت، میز کاری و …). سپس قربانیان طعمه را از حس کنجکاوی برداشته و آن را درون یک کامپیوتر سر کار یا خانه قرار داده و در نتیجه نصب بدافزار خودکار برروی سیستم انجام میشود.
القای ترس (Scareware):
مهاجمان در این نوع حمله، قربانیان را با هشدارهای دروغین و تهدیدهای ساختگی تحریک میکنند تا دست به انجام کارهای اجباری بزنند. کاربران فریب خورده و فکر میکنند سیستم آنها به بدافزار آلوده شده است و از آنها خواسته میشود تا نرم افزاری را نصب کنند که هیچ فایدهی واقعی نداشته و یا دراصل خود بدافزار است. در واقع به قربانی گفته میشود که اگر فلان کار را انجام ندهد، فلان اتفاق ترسناکی رخ میدهد. به عنوان مثال، مهاجم وانمود میکند که یک واسطه بوده و در رابطه با یک خطر به شما هشدار میدهد (مثلاً این که فردی حساب شما را هک کرده است) و از شما میخواهد تا برای حل مسأله، رمز عبورتان را در اختیار وی قرار دهید.
نمونهی بارز القای ترس، برخی از بنرهای پاپ آپ تبلیغاتی میباشد؛ که در مرورگر شما و به هنگام گشت و گذار در وب، ظاهر شده و با نمایش متونی مانند “رایانهی شما ممکن است به برنامههای مضر جاسوسی آلوده باشد.” شروع به فریب شما میکند؛ تا برای مثال نرم افزار خاصی را جهت اسکن نصب کنید که ممکن است آن نرم افزار، خود یک بدافزار باشد!
فیشینگ (Phishing)
کلاهبرداری فیشینگ را میتوان از محبوبترین تکنیکهای حملات مهندسی اجتماعی دانست؛ که در این نوع حملات، مهاجم به تلاش برای به دست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و مانند آنها از طریق جعل یک وبگاه، آدرس ایمیل و مانند آنها میپردازد. یا به بیان سادهتر، هنگامی که شخصی تلاش میکند دیگری را فریب دهد تا اطلاعات شخصی او را در اختیارش بگیرد، یک حملهی فیشینگ رخ داده و یک بازار غیرقانونی چند هزار میلیاردی را تشکیل داده است. شبکههای اجتماعی و وبگاههای پرداخت آنلاین، از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیلهایی که با این هدف ارسال میشوند و حاوی پیوندی به یک وبگاه میباشند نیز در اکثر موارد حاوی بدافزار هستند.
برای مثال، ممکن است از سایتی اقدام به خرید محصولی کرده و سپس وارد صفحهی پرداخت شوید که بایستی اطلاعات بانکی خود را وارد کنید؛ ولی در واقع شما در صفحهی پرداخت رسمی بانکی قرار نداشته و گمان میکنید که صفحه واقعی است (از لحاظ ظاهری تقریباً با نسخه قانونی آن یکسان است). بدین منظور است که بانکها اقدام به ایجاد رمز یک بار مصرف کردهاند. یا نوع دیگری از فیشینگ، برای مثال از طریق ایمیل و یا انواع روشهای ارتباطی دیگر، پیامی را دریافت کنید؛ که وانمود شده از طرف یک شخص دیگر که شما به آن اعتماد دارید ارسال شده است؛ مثل گوگل، فیسبوک، نتفلیکس، استیم و غیره و از شما درخواست میشود که برای ادامهی کار، اطلاعات لاگین را وارد کنید و در واقع شما اطلاعات را دو دستی تقدیم کرده و قربانی میشوید.
با توجه به اینکه پیام های یکسان، در کارزارهای فیشینگ برای کلیه کاربران ارسال میشوند، تشخیص و مسدود کردن آنها برای سرورهای پستی که به سیستمعاملهای اشتراک تهدید دسترسی دارند، بسیار آسانتر است.
فیشینگ نیزه (Spear phishing):
این یک نسخهی هدفمندتر از کلاهبرداری فیشینگ است؛ که به موجب آن، فرد مهاجم، افراد یا بنگاههای خاص را انتخاب میکند. آنها سپس پیامهای خود را بر اساس ویژگیها، موقعیتهای شغلی و مخاطبین متعلق به قربانیان خود متناسب میکنند؛ تا حملهی آنها آشکارتر شود. فیشینگ نیزه، نیاز به تلاش بیشتری از طرف نفوذگر داشته و ممکن است هفتهها و ماهها طول بکشد.
در یک سناریوی فیشینگ نیزه، ممکن است مهاجمی باشد که در جعل هویت مشاور IT یک سازمانی، یک ایمیل به یک یا چند کارمند ارسال میکند. این متن دقیقاً مطابق آنچه معمولاً مشاور انجام میدهد، امضا شده و بدین ترتیب گیرندگان فكر میكنند كه این یك پیام معتبر است. این پیام، گیرندگان را ترغیب میکند که رمز عبور خود را تغییر داده و پیوندی را برای آنها فراهم میکند که آنها را به صفحهی مخرب هدایت میکند؛ که در آن زمان، مهاجم، اعتبارنامههای خود را ضبط میکند.
بهانه (Pretexting):
مهاجم از طریق استفاده از یک سری دروغهای هوشمندانه، وانمود میکند تا برای انجام دادن یک کار مهمی، به برخی از اطلاعات حساس یک قربانی احتیاج دارد. مهاجم معمولاً با جعل اعتماد به قربانی خود، با جعل هواداری از همكاران، پلیس، بانک و مقامات مالیاتی و یا سایر افراد دارای صلاحیت شناختن، شروع کرده و سؤالاتی را مطرح میکند که ظاهراً برای تأیید هویت قربانی لازم است. و از طریق آنها، دادههای شخصی مهم را جمع میکند. انواع اطلاعات و سوابق مربوطه با استفاده از این کلاهبرداری، مانند شمارههای تأمین اجتماعی، آدرسهای شخصی و شماره تلفنها، سوابق تلفنی، تاریخ تعطیلات کارکنان، سوابق بانکی و حتی اطلاعات امنیتی مربوط به یک کارخانه فیزیکی جمع آوری میشود.
مثالهای مشهور از مهندسی اجتماع
حال که مشخص شد مهندسی اجتماعی چیست و چطور و چگونه عمل میکند، در ادامه نگاهی به چند نمونه از هکهای مشهور به روش مهندسی اجتماعی خواهیم داشت؛ و متوجه میشوید که امکان رخ دادن این اتفاق، برای هر فردی، صرفنظر از میزان بزرگی یا کوچکی وی وجود دارد. ممکن است فقط یک لحظه غفلت، منجر به نفوذ به داخل سیستمهای شما شود.
AIDS یا باج افزار اصلی:
بخش اصلی باج افزار، AIDS نام داشت و مثل یک تروجان عمل میکرد. این بخش دقیقاً در یک کنفرانس علمی و توسط یک محقق زیستشناسی تکاملی منتشر شد؛ که ادعا میکرد قصد دارد برای مقابله با ایدز، سطح آگاهی را افزایش داده و پول جمعآوری کند.
در واقع این تروجان، پدربزرگ تمام کدهای باج افزاری است؛ که پس از آن منتشر شدند. این بخش از طریق یک فلاپی دیسک منتشر شده و سپس با ایمیل به قربانیان اولیه ارسال میشد. قربانیان، تصور میکردند که ایمیل مربوطه، حاوی اطلاعاتی دربارهی نحوهی کمک به مقابله با ایدز است. از این جهت، این آلودگی یک نوع حمله مهندسی اجتماعی محسوب میشد؛ که از تمایل افراد، برای کمک به دیگران سوءاستفاده میکرد.
حمله Kevin Mitnick به DEC:
Kevin Mitnick، هکر متخصص در زمینهی مهندسی اجتماعی (که بعداً تبدیل به یک محقق امنیتی شد)، دقیقاً از طریق حملهای که به شرکت تجهیزات دیجیتال (Digital Equipment Corporation یا به اختصار DEC) انجام داد، در دههی 90 میلادی، شهرت زیادی کسب کرد. از آنجایی که او همپیمان با هکرهایی بود که قصد داشتند نگاهی به سیستم عامل DEC داشته باشند، اما بدون اطلاعات لاگین قادر به ورود به این سیستم نبودند، Mitnick خیلی ساده یک تماس گرفت و این اطلاعات را درخواست کرد.
Kevin Mitnick، با مدیر سیستم شرکت DEC تماس گرفته و ادعا کرد که یکی از کارمندان تیم توسعهدهنده است؛ که موقتاً از حسابش خارج شده و امکان دسترسی به آن را ندارد. سپس مدیر سیستم، یک نام کاربری و رمز عبور جدید به او داد؛ که سطح دسترسی بالایی داشت!
مشکلات داخلی HP با کارمندان:
در سال 2005 و 2006، شرکت Hewlett-Packard به دلیل نشت اطلاعات در رسانهها دچار مشکلاتی شد. این شرکت در راستای تلاش برای شناسایی کارمندانی که موجب نشت اطلاعات شده بودند، تعدادی بازرس خصوصی را استخدام کرد؛ که موفق شدند تماسهای ضبط شدهی افراد مورد نظر توسط شرکت مخابراتی AT&T را با این ادعا که خودشان این افراد هستند، دریافت کنند.
این اقدام طبق قوانین فدرال غیرقانونی شمرده شد؛ اما قطعاً افقهای جدیدی را در زمینهی روشهای مهندسی اجتماعی باز کرد.
هک یاهو در سال 2015:
این هک بزرگ که باعث شد در سال 2014، هکرها اطلاعات شخصی بیش از 500 میلیون کاربر را به دست آوردند، به فیشینگ هدفمند متکی بود. هکرها توانستند فقط با هدف گرفتن کارمندان سطح بالای شرکت یاهو از طریق پیامهای ویژه و خاص، به سرورهای یاهو دسترسی پیدا کنند. از آنجا به بعد، مهاجمان از رمزنگاری و کوکیهای جعلی برای نفوذ به حساب کاربری کاربران معمولی یاهو استفاده کردند.
هک وزارت دادگستری ایالات متحده:
وزارت دادگستری آمریکا هم حتی از حملات مهندسی اجتماعی در امان نبوده است. تا زمانی که انسانها در چنین محیطی کار کنند، امکان طعمهشدن در برابر تاکتیکهای مهندسی اجتماعی وجود دارد. هکری که ناامید شده و به این نتیجه رسیده بود که بدون داشتن کد دسترسی، قادر به نفوذ به سیستم نیست، یک تماس ساده گرفت و ادعا کرد که یکی از کارمندان است.
هکر، پس از به دست آوردن کد توانست عملیات را ادامه داده و ارتباطات داخلی را شنود کند. وی برای اثبات این هک، یک سری اطلاعات مهم را افشا کرده و به وزارت دادگستری هشدار داد که امنیت را جدیتر بگیرد.
رسوایی مشهور فیسبوک و شرکت کمبریج آنالیتیکا:
شرکت کمبریج آنالیتیکا متهم شد که به روشی بسیار پیچیده و با ساختن پروفایلهای اجتماعی از روی تکتک اطلاعاتی که درباره افراد پیدا کرده، توانسته است که با کمک شرکت فیسبوک، با موفقیت بر انتخابات ریاست جمهوری آمریکا و رفراندوم بریتانیا درباره برگزیت تأثیرگذار شود.
این رسوایی، نشان داد که هکهای مهندسی اجتماعی، گاهی وقتها به ریشهی اصلی این واژه نزدیک میشوند (یعنی تغییر در جامعه).
حمله BEC به شرکت Ubiquiti Networks:
در سال 2015، یک حملهی سادهی هک ایمیل کسب و کاری (به اختصار BEC)، منجر به نفوذ به شرکت Ubiquiti networks شده و باعث شد هکرها، 7,46 میلیون دلار را به سرقت ببرند. این حمله، به همین سادگی صورت گرفت؛ که در آن مهاجمان با کارمندان بخش مالی تماس گرفته و خواستار اجرای یک تراکنش شدند.
رخنه احراز هویت دومرحلهای RSA:
توکنهای احراز هویت دومرحلهای SecurID از شرکت RSA به میزان زیادی غیرقابل هک شناخته میشوند. با این وجود، در سال 2011، شرایط تغییر کرد؛ و در آن زمان، یکسری از افراد داخلی شرکت، طعمهی حمله فیشینگ شده، دادههای سازمانی را افشا کرده و منجر به خسارت 66 میلیون دلاری شدند.
در ابتدا ،کارمندان RSA یک ایمیل جعلی دریافت کردند؛ که وانمود میشد از طرف بخش استخدام یک شرکت دیگر ارسال شده است. یک فایل صفحه گسترده آلوده اکسل هم به این پیام پیوست شده بود. در صورت باز شدن این فایل پیوست، یک آسیبپذیری روز صفر در نرم افزار فلش، امکان نصب یک تروجان در پشتی بر روی رایانه آلوده را برای هکرها فراهم میکرد.
هر چند نمیتوان به صورت مناسب و درست، میزان جدیت این رخنه را ارزیابی کرد؛ اما محققان RSA، باور دارند که ممکن است این هک بر امنیت فناوری توکن احراز هویت دومرحلهای آنها تأثیر گذاشته باشد؛ و در نتیجه، لازم باشد که این طراحی از صفر و دوباره انجام شود. این حمله، نشان داد که گاهی اوقات یک هک میتواند موجب شود که نیاز به بازسازی کامل فناوری ایجاد شود؛ که قبلاً غیرقابل نفوذ تصور میشد.
رخنه Target در سال 2013:
سیستم پایانه فروش Target در سال 2013، توسط هکرها مورد حمله قرار گرفته و آنها موفق به افشا و سرقت اطلاعات کارت بانکی بیش از 40 میلیون مشتری Target شدند. اگرچه اطلاعات از طریق یک اسکریپت بدافزاری به سرقت رفتند؛ اما نقطهی ورود این بدافزار، یک حملهی مهندسی اجتماعی هوشمندانه بود. مهاجمان که میدانستند برای راحتتر شدن کار میتوانند در ابتدا یک طعمهی کوچکتر را هدف بگیرند، از طریق فیشینگ، امنیت Fazio Mechanical Services را دچار اختلال کردند.
پیش از این، امکان دسترسی به سیستمهای Target برای یک تأمینکنندهی شخص سوم فراهم شده بود. بنابراین، مهاجمان با هدف قرار دادن آن توانستند به سمت خود Target حرکت کنند.
برادران Badir:
در دههی 90 میلادی، برادران Badir، خارقالعادهترین هکرهایی بودند که خاورمیانه را به ستوه آورند. این سه برادر، همگی نابینا بودند؛ اما استعداد قابل توجهی در زمینهی هک داشتند و البته برای هک، علاوه بر روشهای فنی، از روشهای مهندسی اجتماعی هم استفاده میکردند.
آنها میتوانستند پشت تلفن، تمام صداها را تقلید کنند (حتی بازرسی که به دنبال آنها بود) و میتوانستند فقط با شنیدن صدای تایپ، پین کد قربانی را تشخیص دهند. همچنین با منشیهای مدیران رده بالای شرکتی چت میکردند؛ و با خوشرویی از آنها اطلاعاتی را درخواست میکردند. آنها در نهایت توانستند به اطلاعات شخصی این مدیران، دست پیدا کرده و با موفقیت رمز عبور آنها را حدس بزنند.
تمام این مهارتها، به آنها کمک کرد تا بتوانند در سراسر خاورمیانه، یکسری حملات مهندسی اجتماعی موفق را اجرا کنند.
پیشگیری از حملات مهندسی اجتماعی
همانطور که گفته شد، امکان در قربانی شدن از طریق حملات مهندسی اجتماعی، برای هر فردی، صرفنظر از میزان بزرگی یا کوچکی وی وجود دارد. ممکن است فقط یک لحظه غفلت، منجر به نفوذ به داخل سیستمهای شما شود. مهم نیست که چقدر باهوش هستید، همیشه و همیشه راهی وجود دارد! اما پس پیشگیری چه فایدهای دارد؟! طبیعتا ما هرچه اطلاعاتمان بیشتر شود و هرچه باهوشتر شویم، حمله از طریق مهندسی اجتماعی نیز به ما سختتر خواهد شد! چرا که ما میدانیم و خود را بازیچه مهاجمان قرار نمیدهیم؛ گرچه همیشه یک لحظه غفلت یا احساساتی شدن و مسائل این چنینی، میتواند همه چیز را بر باد دهد! اما از نظر منطقی، میتوان جلوی حملات مهندسی اجتماعی را تا حد بسیار زیاد و تقریبا غیرممکنی گرفت. (تا زمانی که مهاجم، روش مختص و خاص نفوز به شما را پیدا کند)
محافظت در برابر حملات مهندسی اجتماعی، متأسفانه دقیقاً به این دلیل که متکی بر اعتماد مردم هستند،فقط با استفاده از ابزارهای فنی ممکن نیست. مفهوم مهندسی اجتماعی نیز دقیقاً همین است. یعنی فریب دادن و بازی با افکار مردم، برای کمک کردن به هکرها جهت دور زدن سازوکارهای محافظتی موجود. نفوذگرها در حملات مهندسی اجتماعی، احساسات انسانی، مانند کنجکاوی یا ترس را دستکاری میکنند؛ تا طرحهایی را انجام دهند و قربانیان را به دام خود بیاورند. بنابراین، هر وقت از طریق ایمیلی، احساس هشدار میکنید، نسبت به پیشنهادی که در وبسایت نمایش داده میشود، یا هنگامی که با رسانههای دیجیتالی هوس انگیز روبرو میشوید، احتیاط کنید. هوشیاری میتواند به شما در محافظت در برابر بیشتر حملات مهندسی اجتماعی در حوزهی دیجیتال کمک کند.
اما در این زمینه نیز خبرهای خوب و هم خبرهای بدی وجود دارد. خبر بد این است که هر چقدر ابزارهای امنیت سایبری مورد استفاده شما قوی باشد، باز هم در صورتی که به افراد نادرستی اعتماد کنید، امکان هک این ابزارها از طریق مهندسی اجتماعی وجود داشته و خبر خوب این است که مادامی که خود شما و تمام کارمندان سازمان، دربارهی مهندسی اجتماعی و تازهترین روشهای آن اطلاعات داشته باشید، آسیبپذیر نخواهید بود. بنابراین میتوان گفت:
- همیشه صبور و کاملا عادی است.
- نه ساکت و ابله به نظر می رسد و نه پرحرف و وراج.
- نه زیاد سوال می پرسد و نه کلا بیخیال است.
- رفتار شما را کنترل می کند و همیشه منتظر فرصت طلایی است.
- هیچوقت برای رسیدن به سوالاتش عجله ای ندارد و به راحتی جواب سوالاتش را به دست می آورد.
- هیچوقت سعی در جلب اعتماد تارگت با انجام کارهای مسخره و الکی ندارد و سعی می کند خود را رازدار جلوه دهد.
- تلاشی برای زود بدست آوردن اطلاعات ندارد !!! چرا که انتظار دارد اطلاعات را کامل و جامع دریافت کند.
- برای آشنا شدن با تارگت مستقیم وارد عمل نمی شود و سعی دارد که از طریق اقوام و دوستان تارگت وارد عمل شود.
- کوچکترین رفتار غیر عادی یا عجولانه نمی کند چرا که می داند منجر به شکست پروژه خواهد بود.
- هیچوقت از توانایی های خود صحبت نمی کند و در حد اعتدال در مورد کامپیوتر گفتگو می کند.
علاوه بر این، نکات زیر میتواند به بهبود هوشیاری شما در رابطه با هکهای مهندسی اجتماعی کمک کند:
- ایمیل و پیوستهای خود را از منابع مشکوک باز نکنید:
اگر فرستنده مورد نظر را نمی شناسید ، نیازی به پاسخگویی به ایمیل ندارید. حتی اگر آنها را می شناسید و به پیام آنها مشکوک هستید ، اخبار سایر منابع را از طریق تلفن یا مستقیماً از طریق سایت ارائه دهنده خدمات را بررسی و تأیید کنید. به یاد داشته باشید که آدرس های ایمیل همه وقت جعل می شوند؛ حتی ممکن است یک نامه الکترونیکی که ظاهراً از یک منبع قابل اعتماد تهیه شده باشد توسط یک مهاجم ارسال شده باشد. - از تأیید اعتبار چند منظوره استفاده کنید:
یکی از ارزشمندترین اطلاعاتی که مهاجمان به دنبال آن هستند ، اعتبار کاربر است. استفاده از تأیید هویت چند فاکتور ، در صورت به خطر انداختن سیستم ، برای محافظت از حساب شما کمک می کند. - نسبت به پیشنهادات وسوسه انگیز احتیاط کنید:
اگر یک پیشنهاد به نظر می رسد بیش از حد فریبنده است ، قبل از پذیرش آن به عنوان واقعیت ، ابتدا به صورت کامل بررسی کنید. جستجوی موضوع می تواند به شما کمک کند سریعاً تعیین کنید که آیا با یک پیشنهاد مشروع یا یک دام برخورد می کنید. - نرم افزار آنتی ویروس خود را به روز کنید:
اطمینان حاصل کنید که به روزرسانی های خودکار را دریافت می کنید ، یا انتی ویروس خود را به گونه ای تنظیم کنید که جدیدترین به روز رسانی ها را هر روز بارگیری کند. به طور مرتب چک کنید تا مطمئن شوید که به روزرسانی ها اعمال شده اند ، و سیستم خود را برای ویروس های احتمالی اسکن کنید.
اگر مسئول یک سازمان هستید، این اقدامات را انجام دهید:
- حقوق دسترسی سطح راهبر سیستم را برای کاربران معمولی، کاهش داده و کنترل کنید.
- همواره برنامههای آگاهیبخشی و آموزش امنیت سایبری را اجرا کنید.
- آزمون نفوذپذیری و برگزاری آزمون از کارمندان را انجام دهید.
- علاوه بر پیشگیری، آماده مدیریت حادثه هم باشید.
امیدواریم که حالا متوجه شده باشید مهندسی اجتماعی چیست و بتوانید هک اجتماعی را تشخیص دهید. به کسب اطلاعات در زمینه امنیت سایبری ادامه دهید تا بتوانید بهتر از خودتان دفاع کنید.
نظرات ثبت شده بدون دیدگاه