مهندسی اجتماعی، به طیف گسترده ای از فعالیت های مخرب که از طریق تعاملات انسانی انجام می شوند، گفته می شود. در این روش از دستکاری روانشناختی جهت فریب کاربران برای انجام اشتباهات امنیتی یا ارائه اطلاعات حساس استفاده می گردد.
حملات مهندسی اجتماعی در یک یا چند مرحله اتفاق می افتند. مهاجم ابتدا قربانی مورد نظر را مورد بررسی قرار میدهد تا اطلاعات اولیه لازم، مانند نقاط احتمالی ورود و پروتکلهای امنیتی ضعیف، که برای ادامه حمله مورد نیاز است را جمعآوری نماید. سپس، برای جلب اعتماد قربانی تلاش می کند.
.webp)
تصویر(1)
موردی که مهندسی اجتماعی را خطرناک میکند این است که به جای نقص امنیتی در نرمافزارها و سیستم عامل ها، بر خطای انسانی تکیه میکند. اشتباهات کاربران، بسیار کمتر قابل پیش بینی هستند، همچنین شناسایی و خنثی کردن این دست اشتباهات، آنها را سخت تر از حملات مبتنی بر بدافزار می کند.
تکنیک های حملات مهندسی اجتماعی
حملات مهندسی اجتماعی اشکال مختلفی دارند و می توانند در هر جایی که تعامل انسانی درگیر باشد انجام شوند. در زیر پنج مورد از رایجترین اشکال حمله مهندسی اجتماعی دیجیتال، آورده شده است.
طعمه گذاری
همانطور که از نام آن پیدا است، مهاجمان از یک وعده دروغین برای تحریک حرص و طمع یا کنجکاوی قربانی استفاده می کنند. آنها کاربران را به تله انداخته و از طریق آن، اطلاعات شخصی آنها را به سرقت برده یا سیستم های قربانیان را از طریق بدافزار مورد حمله قرار می دهند.
بدترین شکل طعمه گذاری این است که از رسانه های فیزیکی برای پراکنده کردن بدافزارها استفاده شود. به عنوان مثال، مهاجمان طعمه را در درایوهای فلش آلوده به بدافزار، در مناطق آشکاری که قربانیان آنها را بینند رها می کنند. طعمه ظاهری معتبر دارد، مانند برچسبی که آن را به عنوان لیست حقوق و دستمزد شرکت نشان می دهد. قربانیان از روی کنجکاوی طعمه را برداشته و آن را به رایانه محل کار یا خانه متصل می کنند که در نتیجه بدافزار به طور خودکار روی سیستم نصب می شود.
کلاهبرداری با طعمه لزوماً نباید در دنیای فیزیکی انجام شود. شکلهای آنلاین طعمهگذاری شامل تبلیغات فریبندهای است که به سایتهای مخرب منتهی میشود یا کاربران را به دانلود برنامههای آلوده به بدافزار تشویق میکنند.
Scareware
Scareware شامل بمباران قربانیان با هشدارهای نادرست و تهدیدهای ساختگی می شود. کاربران فریب خورده و تصور میکنند سیستمشان به بدافزار آلوده شده است، این ترفند باعث میشود نرمافزاری را نصب کنند که هیچ سودی نداشته یا خود بدافزار می باشد.
یک مثال رایج Scareware، پاپ آپ هایی با ظاهری معتبر هستند که هنگام گشت و گذار در وب درون مرورگر شما ظاهر می شوند و متنی مانند "Your computer may be infected with harmful spyware programs" را نمایش داده یا پیشنهاد می کنند که ابزاری (اغلب آلوده به بدافزار) را برای شما نصب کنند. آنها همچنین ممکن است شما را به یک سایت مخرب هدایت نمایند که در آن رایانه شما آلوده خواهد شد.
Scareware از طریق ایمیل های اسپم نیز توزیع می شود که هشدارهای جعلی را نمایش داده یا به کاربران پیشنهاد خرید خدمات بی ارزش و مضر را می دهد.
Pretexting
در این مورد، مهاجم اطلاعاتی را از طریق چند دروغ هوشمندانه به دست می آورد. کلاهبرداری مذکور اغلب به این صورت آغاز می شود که مجرم وانمود می کند به اطلاعات حساس قربانی نیاز داشته تا یک وظیفه مهم را انجام دهد.
مهاجم معمولاً با ایجاد اعتماد در قربانی خود، از طریق جعل هویت همکاران، پلیس، مقامات بانک و غیره، شروع به حمله می کند. pretexter سوالاتی را مطرح می نماید که ظاهراً برای تأیید هویت قربانی مورد نیاز بوده و از طریق آنها اطلاعات شخصی مهمی را جمع آوری می کند.
تصویر(2)
انواع اطلاعات و سوابق مرتبط، با استفاده از این کلاهبرداری جمع آوری می شود، اطلاعاتی مانند آدرس ها و شماره تلفن های شخصی، تاریخ تعطیلات کارکنان، سوابق بانکی و حتی اطلاعات امنیتی مربوط به یک دستگاه فیزیکی نیز در دسترس قرار می گیرد.
فیشینگ
یکی از محبوب ترین انواع حملات مهندسی اجتماعی، کلاهبرداری های فیشینگ است که از طریق کمپین های ایمیل و پیام های متنی با هدف ایجاد حس فوریت، کنجکاوی یا ترس در قربانیان انجام می شود. پس از آن افراد را وادار می کند تا اطلاعات حساس را فاش کرده، روی لینک های وب سایت های مخرب کلیک کنند یا پیوست هایی را که حاوی بدافزار هستند باز نمایند.
یک نمونه، ایمیلی است که برای کاربران یک سرویس آنلاین ارسال می کند و به آنها در مورد نقض حریم خصوصی و نیاز به اقدام فوری، مانند تغییر رمز عبور، هشدار میدهد. این هشدار شامل لینکی به یک وبسایت غیرقانونی است که تقریباً از نظر ظاهری شبیه به نسخه قانونی آن است، کاربر ناآگاه را وادار میکند تا مشخصات فعلی و رمز عبور جدید خود را وارد کند. پس از تکمیل فرم، اطلاعات برای مهاجم ارسال می شود.
با توجه به اینکه پیامهای تقریباً یکسانی برای همه کاربران در کمپینهای فیشینگ ارسال میشود، شناسایی و مسدود کردن آنها برای سرورهای ایمیلی که به پلتفرمهای اشتراکگذاری تهدید دسترسی دارند بسیار آسانتر است.
Spear phishing
این مورد یک نسخه هدفمندتر نسبت به کلاهبرداری فیشینگ است که به موجب آن یک مهاجم افراد یا شرکت های خاصی را انتخاب می کند. سپس پیامهای خود را بر اساس ویژگیها، موقعیتهای شغلی و روابط قربانیان خود تنظیم میکنند تا حمله آنها کمتر آشکار شود. Spear phishing به تلاش بسیار بیشتری از طرف مجرم نیاز دارد و ممکن است هفته ها و ماه ها طول بکشد تا انجام گردد. تشخیص آنها بسیار سخت تر بوده و اگر به طور ماهرانه انجام شوند، میزان موفقیت بالاتری خواهند داشت.
با استفاده از روش Spear-phishing، مجرمان اینترنتی می توانند برای سرقت اطلاعات حساس مانند حساب های بانکی یا اطلاعات مالی از یک قربانی خاص، استفاده کنند. این امر با به دست آوردن اطلاعات شخصی قربانی مانند دوستان، زادگاه، کارفرما، مکانهایی که به آنها مراجعه میکنند و کالاها یا خدماتی که اخیراً به صورت آنلاین خریدهاند، به دست میآید. سپس مهاجمان برای به دست آوردن اطلاعات حساس، معمولاً از طریق ایمیل یا سایر پیامهای آنلاین، خود را به عنوان یک دوست یا نهاد قابل اعتماد معرفی میکنند. این روش موفق ترین شکل کسب اطلاعات محرمانه در اینترنت است که 91 درصد از حملات را شامل می شود.
.jpg)
تصویر(3)
پیشگیری از حملات مهندسی اجتماعی
مهندسان اجتماعی احساسات انسانی مانند کنجکاوی یا ترس را مورد هدف قرار می دهند تا نقشه ها را اجرا کرده و قربانیان را به دام خود بکشانند. هوشیار بودن می تواند به شما کمک کند از خود در برابر اکثر حملات مهندسی اجتماعی که در حوزه دیجیتال رخ می دهند محافظت کنید.
علاوه بر این، نکات زیر می تواند به بهبود هوشیاری شما در رابطه با حملات مهندسی اجتماعی کمک کند:
- ایمیل ها و پیوست های منابع مشکوک را باز نکنید – اگر فرستنده مورد نظر را نمی شناسید، نیازی به پاسخ دادن نیست. اگر در مورد فرستنده پیام ارسالی مشکوک هستید، اخبار را از منابع دیگر، از جمله از طریق تلفن یا مستقیماً از سایت ارائه دهنده خدمات، بررسی و اعتبار سنجی کنید. به یاد داشته باشید که آدرس های ایمیل همیشه جعلی هستند. حتی ایمیلی که ظاهراً از یک منبع قابل اعتماد ارسال شده است ممکن است در واقع از طرف یک مهاجم باشد.
- از احراز هویت چند عاملی استفاده کنید - یکی از ارزشمندترین اطلاعاتی که مهاجمان به دنبال آن هستند، مشخصات کاربری است. استفاده از احراز هویت چند عاملی به محافظت از حساب شما در صورت به خطر افتادن سیستم کمک می کند.
- مراقب پیشنهادات وسوسه انگیز باشید - اگر پیشنهادی خیلی فریبنده به نظر می رسد، قبل از پذیرش، در مورد آن تحقیق کنید. جستجوی موضوع در گوگل به شما کمک می کند تا به سرعت تشخیص دهید که با یک پیشنهاد قانونی یا یک تله سروکار دارید.
- نرم افزار آنتی ویروس یا ضد بدافزار خود را بروز نگه دارید – مطمئن شوید که بروز رسانی های خودکار انجام شده است. بهطور دورهای بررسی کنید که بروزرسانیها اعمال شده باشند و سیستم خود را جهت خطرات احتمالی اسکن نمایید.