مهندسی اجتماعی (Social Engineering) چیست و انواع آن کدامند؟

دیدگاه‌ خود را بنویسید / بلاگ / از
0
(0)

** هشدار **

تمام آموزش های این سایت با مجوز کارشناس امنیت و طبق قوانین کشور ایران تهیه شده و هرگونه سوء استفاده و انتشار مطالب و ویدیوها کاملا غیر قانونی می باشد و در صورت سوء استفاده، NetPenT هیچ مسئولیتی نخواهد داشت. در صورت انتشار دوره های آموزشی خریداری شده، ردیابی و مشخص کردن هویت فرد منتشر کننده با توجه به داده های مخفی موجود در ویدیو ها به راحتی امکان پذیر می باشد و تبعات قانونی برای آن فرد وجود خواهد داشت.

مفهوم مهندسی اجتماعی

مهندسی اجتماعی به مجموعه‌ای از فعالیت های مخرب حاصل از تعاملات انسانی برای بدست آوردن اطلاعات حیاتی یک سازمان گفته می شود. در واقع، این فرایند یک کلاهبرداری است که به جای کامپیوتر، مغز انسان ها را هک می کند! در نتیجه، کاربر نا آگاه باعث افشای داده‌ها و یا گسترش بدافزار ها شده یا دسترسی به سیستم ها را برای هکر ممکن می سازد. حملات مهندسی اجتماعی می تواند به صورت آنلاین، حضوری و از طریق دیگر تعاملات انسانی رخ دهد. این نوع کلاهبرداری بر اساس نحوه تفکر و عملکرد افراد شکل می گیرند. زمانی که مهاجم بداند چه چیزی باعث ایجاد انگیزه در کاربر می شود، می تواند به راحتی او را فریب دهد. علاوه بر این، هکرها سعی می کنند از نا آگاهی کاربرها سوء استفاده کنند.  به دلیل سرعت بالای پیشرفت در تکنولوژی، بسیاری از کارمندان و کاربران از برخی حملات سایبری مثل حمله Drive-by Download آگاه نیستند. همچنین ممکن است کاربران از ارزش واقعی داده های شخصی مانند شماره تلفن همراه خود آگاه نباشند (معمولاً اکثر کاربران در رمز های عبور خود از شماره تلفن خود به صورت کامل یا قسمتی از آن را استفاده میکنند). بنابراین قادر به محافظت از اطلاعات خود به بهترین شکل نخواهند بود. 

به طور کلی، حملات مهندسی اجتماعی یکی از دو هدف زیر را دنبال می کنند:

  • خرابکاری (Destruction): ایجاد اختلال یا خراب کردن داده های قربانی.
  • سرقت (Theft): به دست آوردن اطلاعات یا اشیاء با ارزش.

مهندسی اجتماعی چگونه انجام می شود؟

اکثر حملات مهندسی اجتماعی بر ارتباط بین مهاجم و قربانی متکی هستند. مهاجم به جای استفاده از روش های مستقیم حمله توسط خودش برای بدست آوردن اطلاعات، کاربر را وسوسه می کند شرکت یا سازمان را به خطر بیاندازد. 

اما این فرایند چگونه انجام می شود؟ هکر چگونه کاربر ناآگاه را فریب می دهد؟ 

  • هکر با جمع آوری اطلاعات پیش زمینه درباره قربانی یا مجموعه بزرگ تری که قربانی در آن عضو است، آماده می شود.
  • با اعتماد سازی و ایجاد یک رابطه، به قربانی نفوذ پیدا می کند.
  • پس از جلب اعتماد، برای شناسایی نقطه ضعف به منظور پیشبرد هدف خود، از قربانی سوء استفاده می کند.
  • زمانی که به هدف خود رسید، از قربانی فاصله می گیرد.

این فرایند ممکن است از طریق تنها یک ایمیل و یا گفتگوی چند ماهه در رسانه های اجتماعی انجام شود. در برخی موارد نیز از تعامل رو در رو استفاده می شود. در نهایت با بدست آوردن اطلاعات یا قرار گرفتن او در معرض بدافزار به پایان خواهد رسید. باید از اهمیت حمله مهندسی اجتماعی آگاه باشید. گاهی کارمندان متوجه نیستند که برخی اطلاعات جزئی تا چه حد می تواند به هکرها امکان دسترسی به شبکه ها و اکانت های متعدد و حتی سطح مدیریت را بدهد.

ویژگی های حملات مهندسی اجتماعی

حملات مهندسی اجتماعی حول محور سوء استفاده از اعتماد کاربر رخ می دهند. معمولا مهاجم در این نوع حملات شما را با رفتارهای زیر تحت تاثیر قرار داده و در نهایت اطلاعات را به سرقت می برد. البته همیشه استثنائاتی هم وجود دارد. گاهی هکر از روش های ساده تری برای دسترسی به اطلاعات شما استفاده می کند. در ادامه به توضیح ویژگی های این نوع حملات می پردازیم:

  • تحریک احساسات (Heightened Emotions): یکی از مهم ترین تکنیک های مهندسی اجتماعی، تحریک احساسات کاربر است. زمانی که کاربر از نظر احساسی تحریک شود، احتمال دارد دست به اقدامات غیر منطقی یا خطرناک بزند. معمولاً مهاجم از احساس ترس، هیجان، کنجکاوی، خشم، گناه و غیره برای متقاعد کردن کاربر استفاده می کند.
  • فوریت ها (Urgency): درخواست های فوری یکی دیگر از ابزارهای هکرها برای فریب دادن کاربر می باشد. شما ممکن است زمانی که یک مشکل جدی رخ داده و نیاز به توجه فوری دارد، فریب داده شوید. این مسئله می تواند بر طرز فکر و منطق شما غلبه کند.
  • جلب اعتماد (Trust): باورپذیری یکی از مهم ترین ارکان حمله مهندسی اجتماعی به شمار می رود. هکرها به اندازه کافی درباره شما تحقیق می کنند تا روایتی قابل باور بسازند و اعتماد شما را جلب کنند.

انواع حملات مهندسی اجتماعی

تقریبا تمامی انواع حملات سایبری مانند کلاهبرداری ها به وسیله ایمیل یا بدافزارها، شامل تکنیک های مهندسی اجتماعی می شوند. در واقع این حملات به صورت مرحله به مرحله انجام می شوند تا کلاهبرداری صورت گیرد. در اینجا چند روش رایج حملات مهندسی اجتماعی را شرح می دهیم:

  1. فیشینگ (Phishing): فیشینگ نوعی حمله سایبری است که در آن، مهاجم در نقش یک موسسه یا نهاد معتبر ظاهر می شود و با فریب کاربران به استخراج اطلاعات حساس می پردازد. حملات فیشینگ به یکی از دو روش زیر انجام می شود:
    Spam Phishing یا Mass Phishing: به حمله گسترده ای گفته می شود که هدف آن تعداد انبوهی از کاربران است. هدف این حملات یک شخص خاص نیست و تمامی افراد ناآگاه را هدف قرار می دهد.
    Spear Phishing: از اطلاعات شخصی برای هدف قرار دادن کاربر خاص مانند افراد مشهور، مدیران ارشد و مقامات دولتی استفاده می کند. این حمله یک تلاش هدفمند برای سرقت اطلاعات حساس یا اطلاعات مالی انجام می شود.
    در این نوع حملات، چه به صورت مستقیم و چه غیر مستقیم، هر چیزی که به اشتراک بگذارید به دست کلاهبرداران می رسد. روش های مورد استفاده در فیشینگ به شکل های مختلفی انجام می شود، مانند:
    ویشینگ (Vishing) یا فیشینگ صوتی (Voice Phishing): ویشینگ نوعی کلاهبرداری مهندسی اجتماعی است که مهاجم تلاش می کند با فریب هدف از طریق تلفن یا به طول کلی صوت، به داده های حساس دست پیدا کند. تماس های تلفنی که ممکن است یک سیستم پیام خودکار باشد و تمامی داده های ورودی شما را ضبط کنند.
    اسمیشینگ (Smishing or SMS Phishing): یکی دیگر از حملات مهندسی اجتماعی است که در آن به جای ارسال محتوای فیشینگ از طریق ایمیل، از پیام های متنی استفاده می شود.
    ایمیل فیشینگ (Email Phishing): یکی از رایج ترین روش های حملات سایبری که به استفاده از ایمیل، لینک های آلوده را به اشخاص و سازمان های هدف می رسانند.
    فیشینگ موتور جستجو (Search Engine Phishing): در این نوع حمله، مهاجم سعی می کند تا لینک وبسایت های جعلی را در صدر نتایج موتورهای جستجو نشان دهد. این کار می تواند از طریق تبلیغات پولی یا بهینه سازی قانونی برای دستکاری رتبه بندی Search انجام شود.
    فیشینگ آدرس URL (URL Phishing Links): این لینک ها شما را وسوسه می کنند تا وبسایت های فیشینگ بروید. لینک های فیشینگ معمولا از طریق پیامک، ایمیل، چت رسانه های اجتماعی یا تبلیغات آنلاین به دست شما می رسد.
  2. طعمه گذاری (Baiting Attacks): در این نوع حملات از یک وعده دروغین برای ترغیب یا تحریک طمع شما استفاده می شود تا خود را معرض حمله قرار دهید. در حمله طعمه گذاری اطلاعات شخصی شما به سرقت می رود و یا سیستم شما به بدافزار آلوده می شود. روش های رایج آن عبارتند از:
    درایوهای USB که در مکان های عمومی مثل کتابخانه یا محوطه یک دانشگاه توسط مهاجم باقی گذاشته می شوند.
    پیوست های ایمیل شامل پیشنهادات رایگان مانند پیشنهاد نرم افزار رایگان ولی تقلبی و آلوده!
  3. دستاویزسازی (Pretexting Attacks): این نوع حمله که مشابه فیشینگ است، با جعل هویت مستقیم فروشنده یا کارمند به اطلاعات حساس دست پیدا می کند. در حمله دستاویز سازی، مهاجم باید به طور کل هویت خود را تغییر دهد تا اعتماد قربانی را جلب کند. مهاجم یک دلیل یا داستان قابل قبول برای توجیه درخواست خود برای اطلاعات یا اقدام‌های دیگر ایجاد می کند. این بهانه اغلب به گونه ای طراحی می شود که مشروع و قانع کننده به نظر برسد. به عنوان مثال مهاجم ممکن است به طور فیزیکی از مکان هدف بازدید کند و وانمود کند که یک کارمند یا پیمانکار می باشد تا به امکانات یا اطلاعات دسترسی پیدا کند. به عنوان مثالی دیگر، مهاجم ممکن است با افراد تماس بگیرد و وانمود کند که یک همکار، پشتیبانی فناوری اطلاعات یا یک مقام قابل اعتماد بوده و به دنبال اطلاعات یا دسترسی به سیستم‌ها می باشد.
  4. جبران کردن ( Quid Pro Quo): در زبان لاتین، Quid Pro Quo به معنای چیزی برای چیزی می باشد. در این نوع حمله به قربانی وعده چیزی داده می شود. در واقع مهاجم سعی می کند در ازای منفعتی که به قربانی خواهد رسید، از او بخواهد اطلاعاتی را به اشتراک بگذارد. این نوع کلاهبرداری، شما را برای پاداش یا چیز با ارزشی هیجان زده می کند و در نهایت مهاجم بدون هیچ پاداشی شما را در معرض این نوع حمله قرار می دهد

نحوه جلوگیری از حملات مهندسی اجتماعی

دانستن چگونگی جلوگیری از حملات مهندسی اجتماعی برای همه کاربران از اهمیت بالایی برخوردار است. در ادامه  چندین روش برای محافظت در برابر حملات مهندسی اجتماعی ارائه می دهیم:

  • ایمن سازی اکانت ها و ارتباطات

ارتباطات آنلاین میتواند باعث آسیب پذیری شما در برابر حملات سایبری شود. رسانه های اجتماعی، پیام های متنی و ایمیل معمولا ابزار کار هکرها برای مهندسی اجتماعی به شمار می روند. اما همیشه درباره تعاملات حضوری نیز حساس باشید و سعی کنید تمامی اطلاعات خود را در اختیار دیگران قرار ندهید.

هرگز روی لینک ها در پیام متنی یا ایمیل کلیک نکنید.

از احراز هویت چند مرحله ای (Two Step Authentication) استفاده کنید.

از رمزهای عبور قوی و مناسب استفاده کنید.

از به اشتراک گذاشتن اطلاعات شخصی مثل محل تولد، تاریخ تولد و غیره خودداری کنید.

در ارتباطات آنلاین خود محتاط باشید.

  • ایمن سازی شبکه

شبکه های آنلاین می تواند یکی از نقاط آسیب پذیری باشد که هکرها برای استخراج اطلاعات پیش زمینه از آن استفاده می کنند. بنابراین باید به منظور جلوگیری از سوء استفاده از داده های شما، برای امنیت شبکه تلاش کنید. در ادامه به توضیح اقدامات مربوط به ایمن سازی شبکه می پردازیم:

هرگز اجازه ندهید افراد غریبه به شبکه وای فای اصلی شما متصل شوند.

از وی پی ان استفاده کنید.

همه دستگاه ها و سرویس های متصل به شبکه را ایمن نگه دارید.

  • ایمن سازی دستگاه های متصل به اینترنت

امنیت دستگاه هایی که به اینترنت متصل هستند نیز از اهمیت بالایی برخوردار است. شما می توانید با رعایت نکات زیر از تلفن همراه، تبلت، کامپیوتر و غیره محافظت کنید. از نرم افزارهای امنیت اینترنت (Internet Security) استفاده کنید. برای مبارزه با روت کیت ها (Rootkits)، تروجان ها (Trojans) و بات ها (Botnets) نیاز به نرم افزارهای امنیتی دارید تا هم بدافزارها را از بین ببرید و هم آن ها را ردیابی کنید. هرگز دستگاه تلفن همراه، تبلت و غیره را در محیط عمومی نا امن رها نکنید. بهتر است موبایل یا کامپیوتر شما به ویژه در محل کار همیشه قفل باشد. تمامی نرم افزارهای سیستم خود را همواره آپدیت کنید. زمانی که به روزرسانی نرم افزارها را به تاخیر می اندازید، حفره های امنیتی شناخته شده را در معرض دید هکرها قرار می دهید.

برای جلوگیری از حمله مهندسی اجتماعی نیاز به آموزش وجود دارد. در صورتی که آگاهی افزایش یابد، می توان ایمنی در برابر مهاجمان سایبری را نیز افزایش داد. بنابراین هر آنچه در این زمینه یاد گرفته اید را با دوستان، همکاران و خانواده خود به اشتراک بگذارید.

این مقاله چقدر برای شما مفید بوده است؟

برای امتیازدهی روی ستاره ها کلیک کنید.

پست های مرتبط

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیمایش به بالا