مهندسی اجتماعی چیست؟ ترفندها و روش های مقابله با اینگونه حملات

نسرین ذاکریمقالهامنیت سایبری حریم خصوصی منتخب مهندسی اجتماعی۱۳۹۷-۰۴-۲۶۱۳۹۷-۰۵-۱۴

ارسال شده در ۲۶-۰۴-۱۳۹۷ در ۱:۱۶ ب.ظ۱۳۹۷-۰۵-۱۴

مهندسی اجتماعی، هنر فریب دادن عوامل انسانی، جهت دسترسی به اطلاعات محرمانه‌ی آنها و از بین بردن آنها است. اطلاعاتی که این مجرمان به جستجوی آن می‌پردازند، متفاوت است. اما زمانیکه، افراد را مورد هدف قرار می‌دهند، مجرمان تلاش می‌کنند تا آنها را فریب دهند، تا گذر واژه و یا اطلاعات بانکی آنها را دریافت کنند و یا به رایانه‌ی آنها دسترسی پیدا کنند تا نرم افزار مخرب را بر روی سیستم آنها نصب کنند و سپس رایانه را تحت کنترل بگیرند.

مجرمان از تاکتیک‌های مهندسی اجتماعی استفاده می کنند، زیرا استفاده از راه‌های جلب اعتماد، آسانتر از پیدا کردن راه‌هایی برای نابود کردن نرم افزار است. به عنوان مثال، فریب دادن یک شخص که سهوا به مجرم اعتماد کند و رمز عبورش را در اختیار مجرمان قرار دهد بسیار آسان تر از آن است که از تست رمز عبور برای حدس زدن آن استفاده شود. مگر آنکه رمز عبور ضعیف باشد و امتحان کردن آن آسان باشد. امنیت به این معناست که بدانیم چه موقع می‌توانیم به کسی اعتماد کنیم و چه موقع نمی توانیم. همین امر در خصوص تعاملات آنلاین و استفاده از وب سایت، صدق می کند. اینکه آیا وب سایتی که از آن استفاده می‌کنید، قانونی است یا خیر؟ و یا اینکه امنیت اطلاعات شما را به نحو احسن تضمین می کند؟

شما از هر کارشناس امنیتی هم بپرسید، به شما می‌گوید که ضعیف ترین لینک در زنجیره‌ی امنیتی، انسان است که می‌تواند فرد را در ارزش اسمی بپذیرد. به عنوان مثال اهمیتی ندارد که شما در و پنجره‌ی خود را قفل کردید یا خیر، شما حتی اگر سیستم هشدار دهنده، نورافکن، سگ‌های نگهبان، حصار کشی با سیم‌های خاردار و پرسنل امنیتی مسلح هم داشت باشید، اگر به سهوا به شخصی که در درگاه خانه‌ی شما ایستاده است اعتماد کنید و به شما بگویند که کسی برای شما غذا آورده است، بدون آنکه شما آن شخص راببینید و یا اجازه‌ی اینکار را به او بدهید، خود را در معرض خط قرار داده‌اید.

حملات مهندسی اجتماعی چگونه است؟

دریافت ایمیل از دوستان

اگر یک مجرم موفق به هک کردن رمز عبور ایمیل شخصی شود، آنها به لیست مخاطبان آن شخص، دسترسی پیدا می‌کنند، و به این دلیل که اکثر افراد از یک رمز عبور در همه جا استفاده می‌کنند، آنها به احتمال می‌توانند به شبکه‌های اجتماعی مخاطبین نیز، دسترسی پیدا کنند. هنگامیکه مجرم، حساب ایمیل، شخصی را تحت کنترل خود بگیرد، می‌تواند ایمیل را به تمامی مخاطبان آن شخص ارسال کند و یا پیامی را در شبکه‌های اجتماعی آنها و یا صفحات دوستان دوستانشان ارسال کنند. آنها از اعتماد شما سو استفاده می کنند.

پیام ها به این شکل ارسال می شوند:

از طریق لینک: کافیست تا شما آن را بررسی کنید. به این دلیل که این لینک از جانب دوست شما برایتان ارسال شده است، شما بیشتر کنجکاو می شوید و به آن لینک دریافتی اعتماد می‌کنید، پس از آنکه بر روی لینک کلیک کردید، توسط نرم افزار آلوده می‌شوید تا مجرم بتواند به دستگاه شما دسترسی پیدا کند، تا اطلاعات مخاطبین شما را جمع آوری کند و به همان شیوه‌ایی که شما را فریب داد، سعی کند تا دوستان شما را هم فریب بدهد.
از طریق دانلود: با دانلود تصاویر، موزیک، فیلم، اسناد و… شما نرم افزار مخرب را دانلود می کنید و همانطور که فکر می‌کنید که از جانب دوست شما ارسال شده است، آلوده می‌شوید. مجرم پس از انجام اینکار، به دستگاه، حساب ایمیل، حساب‌های کاربری در شبکه‌های اجتماعی و مخاطبین دسترسی پیدا می کند، تا به تمام کسانی که می شناسید حمله کند.

ارسال ایمیل از منبع قابل اعتماد دیگر

حملات فیشینگ زیر مجموعه‌ی، استراتژی مهندسی اجتماعی است، که به تقلید از یک منبع قابل اعتماد و ایجاد سناریوی به ظاهر منطقی، برای انتقال اعتبار نامه‌ی ورود و یا سایر اطلاعات شخصی حساس در نظر گرفته شده است. طبق داده‌های Webroot، سالانه اکثر موسسات مالی، قریب به اتفاق شرکت‌های جعلی را نمایندگی می‌کنند و طبق گزارشات سالانه Verizon، حملات مهندسی اجتماعی، شامل حملات فیشینگ و Pretexting است که مسئولیت ۹۳ درصد از حملات موفقیت آمیز را بر عهده گرفته است. این پیام‌ها ممکن است ظاهری واقعی داشته باشند.

بلافاصله از شما در خواست کمک می‌شود. به عنوان مثال، دوست شما در کشور X گیر افتاده است و مورد ضرب و شتم قرار گرفته است و اکنون در بیمارستان است. آنها به شما نیاز دارند تا برایشان پول واریز کنید، آنها به شما می‌گویند که چگونه پول را برای آنها (مجرمان) ارسال کنید.
ممکن است در حملات فیشینگ از بک گراند قانونی و مجاز استفاده شود. در اینجا، فیشر یک ایمیل، IM، و یا یک پیام متنی را به شما ارسال می کند که در ظاهر از جانب یکی از شرکتهای قانونی معروف، بانک، مدرسه و یا موسسه است.
از شما در خواست می‌شود که به یک موسسه‌ی خیریه و یا سایر موارد مشابه کمک مالی کنید. در این شرایط دستورالعمل‌هایی برای چگونگی ارسال پول به حساب مجرمان در غالب موسسه خیریه وجود دارد. این افراد شیاد و منفعت طلب، از رفتارهای سخاوتمندانه و مهربانی کردن شما به هر موسسه‌ی خیریه‌ای سو استفاده می کنند.
مشکلی ایجاد می‌شود که نیاز به تایید اطلاعات شما با کلیک بر روی لینک نمایش داده شده و ارایه ی اطلاعات در آن فرم وجود دارد. این لینک ممکن است دارای محتوای قانونی باشد، (مجرمان ممکن است فرمت دقیق و محتوای سایت قانونی را کپی کرده باشند.) به این دلیل که همه چیز به ظاهر قانونی جلوه می‌کند، شما به ایمیل وب سایت جعلی اعتماد می کنید و اطلاعاتی را که کلاهبرداران از شما در خواست می کنند را در اختیارشان قرار می‌دهید. این نوع از کلاهبرداری‌های فیشینگ، اغلب حاوی هشدارهایی از آنچه که قرار است اتفاق بیافتد است، اگر شما نتوانید بموقع واکنش نشان دهید مجرمان متوجه می شوند و قبل از آنکه شما بخواهید حرکتی انجام دهید، تسلیم حملات فیشینگ می شوید.
در مهندسی اجتماعی به شما اطلاع داده می‌شود که برنده‌ی لاتاری و یا یکی از قرعه کشی‌ها شدید. ممکن است این موضوع شما را وسوسه کند تا بر روی لینک کلیک کنید، برای اینکه جایزه‌ی شما را تحویل بدهند، از شما درخواست می کنند تا فرم اطلاعات مربوط به خود و حتی شماره تلفن و یا آدرس را پر کنید، تا آنها بدانند که چطور جایزه را برای شما ارسال کنند. هم چنین در مهندسی اجتماعی ممکن است از شما در خواست شود که رمز امنیتی اجتماعی خود را وارد کنید. تمامی این موارد جزئی از حملات فیشینگ است، که از این شرایط سو استفاده می‌کنند و افراد هم برای اینکه بدانند چه چیزی را برنده شدند مجبور به ارایه‌ی اطلاعات خود می‌شوند و سپس مجرمان به تخلیه کردن حساب‌های بانکی آنها و یا سرقت هویت آنها می‌پردازند.
پیامی که توسط مدیر شرکت خود و یا یکی از همکاران خود دریافت می‌کنید ممکن است جزئی از حملات فیشینگ مهندسی اجتماعی شده به حساب آید، به این صورت که فایلی برای بروزرسانی در خصوص یکی از پروژه‌های مهم و اختصاصی شرکت که اکنون بر روی آن کار می‌کنید به دست شما می رسد و از شما در خواست می شود تا اطلاعات پرداختی مربوط به یکی ازکارت‌های اعتباری شرکت و یا یک موسسه‌ی دیگر که بیزینس انجام می دهد را وارد کنید.

سناریوی باطل

این طرح‌های مهندسی اجتماعی، می دانند که اگر شما چیزی را از قلاب خود آویزان کنید، افرادی هستند که بخواهند طعمه‌ی آن را بگیرند. این طرح‌ها اغلب بر روی سایت‌های Peer-To-Peer دیده می‌شود، که دانلود فیلم و یا موزیک را به شما پیشنهاد می‌کند. این طرح‌ها ممکن است به عنوان یک معامله‌ی بزرگ درطبقه بندی سایت‌ها و یا سایت‌های حراج نیز نمایش داده می شود. (همه چیز از پیش برنامه ریزی شده است.) افرادی که فریب ترفندهای مهندسی اجتماعی می‌خورند، ممکن است با نرم افزارهای مخرب آلوده شوند و این سو استفاده ممکن است به دوستان آنها نیز سرایت پیدا کند. آنها ممکن است بدون اقلامی که خریداری کردند پول خود را از دست بدهند، و یا ممکن است به قدری احمق باشند که برای پرداخت خرید خود چک بکشند و سپس با حساب خالی خود مواجه شوند.

مجرمان و متخصصان مهندسی اجتماعی ممکن است وانمود کنند که به درخواست شما برای کمک از جانب یک شرکت خیالی، پاسخ دادند. آنها شرکت‌هایی را انتخاب می کنند که میلیون‌ها نفر از افراد مانند یک شرکت نرم افزاری و یا بانکی، روزانه از آن استفاده می کنند. اگر از محصولات و یا خدمات استفاده نمی‌کنید، ایمیل، تماس و یا پیام را هم نادیده بگیرید، اما اگر از خدمات آنها استفاده کردید، این شانس را دودستی تقدیم آنها می‌کنید تا در خصوص مشکلی که برایتان پیش آمده است کمک بگیرید و آنها نیز به سرقت اطلاعات شما بپردازند. برای مثال حتی اگر شما سوالی را مطرح نکردید و مشکلی در سیستم عامل خود داشتید، برای اینکه مشکل را برطرف کنید با شرکتی که خدمات را رایگان ارایه می دهد مواجه می شوید و کوکورانه به آنها اعتماد می‌کنید. در حقیقت با اینکار شما خودتان را برای استثمار آماده کردید.

نماینده‌ایی که در واقع مجرم است باید به شما احراز هویت کند، یا شما وارد سیستم آنها می‌شوید و یا به آنها این امکان را می‌دهید که وارد سیستم شما شوند تا مشکلی که در سیستم شما بوجود آمده است را تعمیر کند. آنها در حین تعمیر به شما دستورالعمل‌هایی را می‌دهند که در حقیقت راه را برای مجرمان سایبری باز می گذارد تا در فرصتی مناسب بتوانند وارد سیستم شما شوند.

ایجاد بی اعتمادی

برخی از مهندسی‌های اجتماعی، با بی اعتمادی و یا اعتماد به نفس شروع می‌شود. این موارد اغلب توسط افرادی که می‌شناسید بوجود می‌آید که ممکن است از دست شما عصبانی باشند، اما بعضاَ توسط یکسری از افراد مزاحم و پر دردسر نیز ایجاد می شود. افرادی که می‌خواهند در ابتد ا در ذهن دیگران نوعی بی‌اعتمادی ایجاد کنند و سپس بتوانند از آن طریق اعتماد شما را جلب کنند و یا افراد شیادی که قصد دارند تا اطلاعات شما را دستکاری کنند تا اعتماد شما را جلب کنند و سپس با افشای همان اطلاعات شما را تهدید کنند.

این نوع از مهندسی اجتماعی اغلب با دسترسی به حساب ایمیل و یا حساب کاربری دیگر، سرویس‌های IM ، شبکه‌های اجتماعی، چت و انجمن و… شروع می شود. آنها این کار را با هک کردن، مهندسی اجتماعی و یا با حدس گذر واژه‌ی‌های ضعیف انجام می دهند.

فرد مخرب پس از آن، می‌تواند به ویرایش ارتباطات حساس و یا شخصی (از جمله‌ تصاویر و یا فایل‌های صوتی) آنها را تغییر دهد و آنها را برای افراد دیگر به منظور بوجود آوردن نوعی درام، بی اعتمادی، خجالت و… ارسال کند. ممکن است در ظاهر، کاملاَ تصادفی به نظر برسند طوریکه دریافت کننده احساس می کند که خود شخص آنها را ارسال کرده است.
گاهی اوقات آنها از این روش برای اخاذی پول از شخصی که هک شده است، استفاده می کنند.
به معنای واقعی کلمه، انواع متعددی از حملات مهندسی اجتماعی وجود دارند. و نقطه ی اصلی که مجرمان از آن برای سو استفاده از کاربران استفاده می کنند، در حقیقت تخیل مجرمان است. ممکن است منشا انواع مختلفی از سو استفاده‌ها را در یک حمله ی واحد تجربه کنید و سپس مجرمان اطلاعات شما را در معرض فروش قرار دهند و همین کار را نیز می‌توانند علیه دوستان شما نیز انجام بدهند زیرا مجرمان اهرم اعتماد کاربران را در دست دارند.

قربانی نباشید

در حالیکه حملات فیشینگ، شایع، کوتاه مدت و تنها نیاز به چند کاربر برای گرفتن طعمه دارد، اغلب موفقیت آمیز است. روش‌هایی برای محافظت از خود در برابرآنها وجود دارند. اکثر شما به راهکارهای امنیتی ساده، که در پیش روی شما قرار گرفته است، بی اعتنا هستید. به ادامه‌ی مقاله توجه کنید، تا راهکارهای مناسب برای جلوگیری از حملات فیشینگ را به شما آموزش دهد. انها را به خاطر بسپارید.

روشهایی که باید به خاطر داشته باشید:

خونسرد باشید: اسپمرها می خواهند کاری کنند که شما در وهله‌ی اول واکنش نشان دهید و سپس به آن فکر کنند. اگر یک پیام فوری به دست شما رسید و یا با تاکتیک‌های فروشندگی توام با اصرار و ابرام روبرو شوید، به هیچ عنوان تحت تاثیر آنها قرار نگیرید.
سایت‌های واقعی را پیدا کنید: به هر پیام ناخواسته‌ایی که دریافت می کنید، مشکوک شوید، اگر ایمیلی از جانب شرکتی که با آن کار می کنید دریافت کردید، آن را نخست بررسی کنید. از یک موتور جستجو برای رفتن به سایت واقعی آن شرکت استفاده کنید.
اجازه ندهید که لینک‌های ارسالی کنترل دستگاه شما را به دست بگیرند: در حقیقت با پیدا کردن وب سایت، با استفاده از یک موتور جستجو، کنترل را به دست بگیرید. با کلیک بر روی لینکی که در ایمیل شما قرار د ارد شما وارد URL واقعی می‌شوید اما اگر لینک جعلی باشد، شما را به جای دیگری، هدایت می کند.
افزایش ربوده شدن حسابهای ایمیل: هکرها، اسپمرها و مهندسی‌های اجتماعی از کنترل حساب‌های ایمیل (و یا سایر حساب‌های ارتباطی) به طور گستره استفاده می‌کنند. آنها هنگامیکه که کنترل را به دست می گیرند و از اعتماد برای فریب دادن مخاطبین، استفاده می‌کنند. حتی اگر فرستنده کسی باشد که شما آن را بشناسید، اگر انتظار نداشتید که ایمیل و یا لینکی پیوست شده از جانب او دریافت کنید، قبل از آنکه بر روی لینک کلیک کنید، این موضوع را با دوست خود مطرح کنید و آن را بررسی کنید.
برای دانلود هرچیزی هوشیار باشید: اگر شخص فرستنده را نمی‌شناسید و فایلی را از جانب آنها دریافت کردید، دانلود آن فابل کاملاَ اشتباه است.
پیشنهادات جعلی از خارج از کشور: اگر شما ایمیلی بیگانه در خصوص لاتاری و یا مسابقه‌های شرط بندی آنلاین دریافت کردید و از شما درخواست انتقال پول به خارج از کشور شد، شک نکنید که کلاهبرداری است.
حذف هرگونه درخواست برای اطلاعات مالی و یا گذر واژه: اگر از طریق یک پیام از شما در خواست شد تا اطلاعات شخصی خود را وارد کنید، نوع کلاهبرداری است.

هرگونه درخواست برای کمک و پیشنهادات کمکی را رد کنید.

شرکتهای قانونی و سازمان‌ها برای کمک با شما تماس نمی گیرند: اگر از فرستنده درخواست کمک نکردید، هرگونه پیشنهاد برای کمک، بازگردانی رمز عبور، شرایط سرمایه گذاری و پاسخ به هر سوالی را رد کنی. چرا که نوعی کلاهبرداری مهدسی اجتماعی شده به حساب می آید. به همین طریق اگر از شما درخواست کمک به خیریه و یا سازمانی شد که با آن ارتباطی نداشتید، آن را حذ ف کنید. اگر قصد کمک به خیریه دارید می‌توانید به شخصه کمک‌های خود را برای آنها ببرید.
فیلتر اسپم را تنظیم کنید: هر برنامه‌ی ایمیلی دارای بخش فیلتر اسپم است. برای پیدا کردن آن می‌توانید وارد تنظیمات ایمیل شوید و فیلتر اسپم را فعال کنید. به خاطر داشته باشید که فولدر اسپم‌های خود را به طور مرتب چک کنید، زیرا ممکن است بعضی از ایمیل های قانونی و مجاز سهواَ در این قسمت قرار بگیرند.
دستگاه‌های محاسباتی خود را ایمن کنید: نرم افزارهای آنتی ویروس، فایروال و فیلتر ایمیل را نصب کنید و آنها را بروزرسانی شده نگه درید. سیستم عامل خود را بر روی بروز رسانی خودکار تنظیم کنید. اگر اینکار را نکردید هربار که با اخطار مواجه می‌شوید می توانید آن را به طور دستی بروزرسانی کنید. استفاده از ابزار فیشینگ توسط مرورگر وب برای هشدار خطرات موجود، برای شما ارایه شده است.