مجرمان از تاکتیکهای مهندسی اجتماعی استفاده می کنند، زیرا استفاده از راههای جلب اعتماد، آسانتر از پیدا کردن راههایی برای نابود کردن نرم افزار است. به عنوان مثال، فریب دادن یک شخص که سهوا به مجرم اعتماد کند و رمز عبورش را در اختیار مجرمان قرار دهد بسیار آسان تر از آن است که از تست رمز عبور برای حدس زدن آن استفاده شود. مگر آنکه رمز عبور ضعیف باشد و امتحان کردن آن آسان باشد. امنیت به این معناست که بدانیم چه موقع میتوانیم به کسی اعتماد کنیم و چه موقع نمی توانیم. همین امر در خصوص تعاملات آنلاین و استفاده از وب سایت، صدق می کند. اینکه آیا وب سایتی که از آن استفاده میکنید، قانونی است یا خیر؟ و یا اینکه امنیت اطلاعات شما را به نحو احسن تضمین می کند؟
شما از هر کارشناس امنیتی هم بپرسید، به شما میگوید که ضعیف ترین لینک در زنجیرهی امنیتی، انسان است که میتواند فرد را در ارزش اسمی بپذیرد. به عنوان مثال اهمیتی ندارد که شما در و پنجرهی خود را قفل کردید یا خیر، شما حتی اگر سیستم هشدار دهنده، نورافکن، سگهای نگهبان، حصار کشی با سیمهای خاردار و پرسنل امنیتی مسلح هم داشت باشید، اگر به سهوا به شخصی که در درگاه خانهی شما ایستاده است اعتماد کنید و به شما بگویند که کسی برای شما غذا آورده است، بدون آنکه شما آن شخص راببینید و یا اجازهی اینکار را به او بدهید، خود را در معرض خط قرار دادهاید.
حملات مهندسی اجتماعی چگونه است؟
دریافت ایمیل از دوستان
اگر یک مجرم موفق به هک کردن رمز عبور ایمیل شخصی شود، آنها به لیست مخاطبان آن شخص، دسترسی پیدا میکنند، و به این دلیل که اکثر افراد از یک رمز عبور در همه جا استفاده میکنند، آنها به احتمال میتوانند به شبکههای اجتماعی مخاطبین نیز، دسترسی پیدا کنند. هنگامیکه مجرم، حساب ایمیل، شخصی را تحت کنترل خود بگیرد، میتواند ایمیل را به تمامی مخاطبان آن شخص ارسال کند و یا پیامی را در شبکههای اجتماعی آنها و یا صفحات دوستان دوستانشان ارسال کنند. آنها از اعتماد شما سو استفاده می کنند.
پیام ها به این شکل ارسال می شوند:
- از طریق لینک: کافیست تا شما آن را بررسی کنید. به این دلیل که این لینک از جانب دوست شما برایتان ارسال شده است، شما بیشتر کنجکاو می شوید و به آن لینک دریافتی اعتماد میکنید، پس از آنکه بر روی لینک کلیک کردید، توسط نرم افزار آلوده میشوید تا مجرم بتواند به دستگاه شما دسترسی پیدا کند، تا اطلاعات مخاطبین شما را جمع آوری کند و به همان شیوهایی که شما را فریب داد، سعی کند تا دوستان شما را هم فریب بدهد.
- از طریق دانلود: با دانلود تصاویر، موزیک، فیلم، اسناد و… شما نرم افزار مخرب را دانلود می کنید و همانطور که فکر میکنید که از جانب دوست شما ارسال شده است، آلوده میشوید. مجرم پس از انجام اینکار، به دستگاه، حساب ایمیل، حسابهای کاربری در شبکههای اجتماعی و مخاطبین دسترسی پیدا می کند، تا به تمام کسانی که می شناسید حمله کند.
ارسال ایمیل از منبع قابل اعتماد دیگر
حملات فیشینگ زیر مجموعهی، استراتژی مهندسی اجتماعی است، که به تقلید از یک منبع قابل اعتماد و ایجاد سناریوی به ظاهر منطقی، برای انتقال اعتبار نامهی ورود و یا سایر اطلاعات شخصی حساس در نظر گرفته شده است. طبق دادههای Webroot، سالانه اکثر موسسات مالی، قریب به اتفاق شرکتهای جعلی را نمایندگی میکنند و طبق گزارشات سالانه Verizon، حملات مهندسی اجتماعی، شامل حملات فیشینگ و Pretexting است که مسئولیت ۹۳ درصد از حملات موفقیت آمیز را بر عهده گرفته است. این پیامها ممکن است ظاهری واقعی داشته باشند.
- بلافاصله از شما در خواست کمک میشود. به عنوان مثال، دوست شما در کشور X گیر افتاده است و مورد ضرب و شتم قرار گرفته است و اکنون در بیمارستان است. آنها به شما نیاز دارند تا برایشان پول واریز کنید، آنها به شما میگویند که چگونه پول را برای آنها (مجرمان) ارسال کنید.
- ممکن است در حملات فیشینگ از بک گراند قانونی و مجاز استفاده شود. در اینجا، فیشر یک ایمیل، IM، و یا یک پیام متنی را به شما ارسال می کند که در ظاهر از جانب یکی از شرکتهای قانونی معروف، بانک، مدرسه و یا موسسه است.
- از شما در خواست میشود که به یک موسسهی خیریه و یا سایر موارد مشابه کمک مالی کنید. در این شرایط دستورالعملهایی برای چگونگی ارسال پول به حساب مجرمان در غالب موسسه خیریه وجود دارد. این افراد شیاد و منفعت طلب، از رفتارهای سخاوتمندانه و مهربانی کردن شما به هر موسسهی خیریهای سو استفاده می کنند.
- مشکلی ایجاد میشود که نیاز به تایید اطلاعات شما با کلیک بر روی لینک نمایش داده شده و ارایه ی اطلاعات در آن فرم وجود دارد. این لینک ممکن است دارای محتوای قانونی باشد، (مجرمان ممکن است فرمت دقیق و محتوای سایت قانونی را کپی کرده باشند.) به این دلیل که همه چیز به ظاهر قانونی جلوه میکند، شما به ایمیل وب سایت جعلی اعتماد می کنید و اطلاعاتی را که کلاهبرداران از شما در خواست می کنند را در اختیارشان قرار میدهید. این نوع از کلاهبرداریهای فیشینگ، اغلب حاوی هشدارهایی از آنچه که قرار است اتفاق بیافتد است، اگر شما نتوانید بموقع واکنش نشان دهید مجرمان متوجه می شوند و قبل از آنکه شما بخواهید حرکتی انجام دهید، تسلیم حملات فیشینگ می شوید.
- در مهندسی اجتماعی به شما اطلاع داده میشود که برندهی لاتاری و یا یکی از قرعه کشیها شدید. ممکن است این موضوع شما را وسوسه کند تا بر روی لینک کلیک کنید، برای اینکه جایزهی شما را تحویل بدهند، از شما درخواست می کنند تا فرم اطلاعات مربوط به خود و حتی شماره تلفن و یا آدرس را پر کنید، تا آنها بدانند که چطور جایزه را برای شما ارسال کنند. هم چنین در مهندسی اجتماعی ممکن است از شما در خواست شود که رمز امنیتی اجتماعی خود را وارد کنید. تمامی این موارد جزئی از حملات فیشینگ است، که از این شرایط سو استفاده میکنند و افراد هم برای اینکه بدانند چه چیزی را برنده شدند مجبور به ارایهی اطلاعات خود میشوند و سپس مجرمان به تخلیه کردن حسابهای بانکی آنها و یا سرقت هویت آنها میپردازند.
- پیامی که توسط مدیر شرکت خود و یا یکی از همکاران خود دریافت میکنید ممکن است جزئی از حملات فیشینگ مهندسی اجتماعی شده به حساب آید، به این صورت که فایلی برای بروزرسانی در خصوص یکی از پروژههای مهم و اختصاصی شرکت که اکنون بر روی آن کار میکنید به دست شما می رسد و از شما در خواست می شود تا اطلاعات پرداختی مربوط به یکی ازکارتهای اعتباری شرکت و یا یک موسسهی دیگر که بیزینس انجام می دهد را وارد کنید.
سناریوی باطل
این طرحهای مهندسی اجتماعی، می دانند که اگر شما چیزی را از قلاب خود آویزان کنید، افرادی هستند که بخواهند طعمهی آن را بگیرند. این طرحها اغلب بر روی سایتهای Peer-To-Peer دیده میشود، که دانلود فیلم و یا موزیک را به شما پیشنهاد میکند. این طرحها ممکن است به عنوان یک معاملهی بزرگ درطبقه بندی سایتها و یا سایتهای حراج نیز نمایش داده می شود. (همه چیز از پیش برنامه ریزی شده است.) افرادی که فریب ترفندهای مهندسی اجتماعی میخورند، ممکن است با نرم افزارهای مخرب آلوده شوند و این سو استفاده ممکن است به دوستان آنها نیز سرایت پیدا کند. آنها ممکن است بدون اقلامی که خریداری کردند پول خود را از دست بدهند، و یا ممکن است به قدری احمق باشند که برای پرداخت خرید خود چک بکشند و سپس با حساب خالی خود مواجه شوند.
مجرمان و متخصصان مهندسی اجتماعی ممکن است وانمود کنند که به درخواست شما برای کمک از جانب یک شرکت خیالی، پاسخ دادند. آنها شرکتهایی را انتخاب می کنند که میلیونها نفر از افراد مانند یک شرکت نرم افزاری و یا بانکی، روزانه از آن استفاده می کنند. اگر از محصولات و یا خدمات استفاده نمیکنید، ایمیل، تماس و یا پیام را هم نادیده بگیرید، اما اگر از خدمات آنها استفاده کردید، این شانس را دودستی تقدیم آنها میکنید تا در خصوص مشکلی که برایتان پیش آمده است کمک بگیرید و آنها نیز به سرقت اطلاعات شما بپردازند. برای مثال حتی اگر شما سوالی را مطرح نکردید و مشکلی در سیستم عامل خود داشتید، برای اینکه مشکل را برطرف کنید با شرکتی که خدمات را رایگان ارایه می دهد مواجه می شوید و کوکورانه به آنها اعتماد میکنید. در حقیقت با اینکار شما خودتان را برای استثمار آماده کردید.
نمایندهایی که در واقع مجرم است باید به شما احراز هویت کند، یا شما وارد سیستم آنها میشوید و یا به آنها این امکان را میدهید که وارد سیستم شما شوند تا مشکلی که در سیستم شما بوجود آمده است را تعمیر کند. آنها در حین تعمیر به شما دستورالعملهایی را میدهند که در حقیقت راه را برای مجرمان سایبری باز می گذارد تا در فرصتی مناسب بتوانند وارد سیستم شما شوند.
ایجاد بی اعتمادی
برخی از مهندسیهای اجتماعی، با بی اعتمادی و یا اعتماد به نفس شروع میشود. این موارد اغلب توسط افرادی که میشناسید بوجود میآید که ممکن است از دست شما عصبانی باشند، اما بعضاَ توسط یکسری از افراد مزاحم و پر دردسر نیز ایجاد می شود. افرادی که میخواهند در ابتد ا در ذهن دیگران نوعی بیاعتمادی ایجاد کنند و سپس بتوانند از آن طریق اعتماد شما را جلب کنند و یا افراد شیادی که قصد دارند تا اطلاعات شما را دستکاری کنند تا اعتماد شما را جلب کنند و سپس با افشای همان اطلاعات شما را تهدید کنند.
این نوع از مهندسی اجتماعی اغلب با دسترسی به حساب ایمیل و یا حساب کاربری دیگر، سرویسهای IM ، شبکههای اجتماعی، چت و انجمن و… شروع می شود. آنها این کار را با هک کردن، مهندسی اجتماعی و یا با حدس گذر واژهیهای ضعیف انجام می دهند.
- فرد مخرب پس از آن، میتواند به ویرایش ارتباطات حساس و یا شخصی (از جمله تصاویر و یا فایلهای صوتی) آنها را تغییر دهد و آنها را برای افراد دیگر به منظور بوجود آوردن نوعی درام، بی اعتمادی، خجالت و… ارسال کند. ممکن است در ظاهر، کاملاَ تصادفی به نظر برسند طوریکه دریافت کننده احساس می کند که خود شخص آنها را ارسال کرده است.
- گاهی اوقات آنها از این روش برای اخاذی پول از شخصی که هک شده است، استفاده می کنند.
- به معنای واقعی کلمه، انواع متعددی از حملات مهندسی اجتماعی وجود دارند. و نقطه ی اصلی که مجرمان از آن برای سو استفاده از کاربران استفاده می کنند، در حقیقت تخیل مجرمان است. ممکن است منشا انواع مختلفی از سو استفادهها را در یک حمله ی واحد تجربه کنید و سپس مجرمان اطلاعات شما را در معرض فروش قرار دهند و همین کار را نیز میتوانند علیه دوستان شما نیز انجام بدهند زیرا مجرمان اهرم اعتماد کاربران را در دست دارند.
قربانی نباشید
در حالیکه حملات فیشینگ، شایع، کوتاه مدت و تنها نیاز به چند کاربر برای گرفتن طعمه دارد، اغلب موفقیت آمیز است. روشهایی برای محافظت از خود در برابرآنها وجود دارند. اکثر شما به راهکارهای امنیتی ساده، که در پیش روی شما قرار گرفته است، بی اعتنا هستید. به ادامهی مقاله توجه کنید، تا راهکارهای مناسب برای جلوگیری از حملات فیشینگ را به شما آموزش دهد. انها را به خاطر بسپارید.
روشهایی که باید به خاطر داشته باشید:
- خونسرد باشید: اسپمرها می خواهند کاری کنند که شما در وهلهی اول واکنش نشان دهید و سپس به آن فکر کنند. اگر یک پیام فوری به دست شما رسید و یا با تاکتیکهای فروشندگی توام با اصرار و ابرام روبرو شوید، به هیچ عنوان تحت تاثیر آنها قرار نگیرید.
- سایتهای واقعی را پیدا کنید: به هر پیام ناخواستهایی که دریافت می کنید، مشکوک شوید، اگر ایمیلی از جانب شرکتی که با آن کار می کنید دریافت کردید، آن را نخست بررسی کنید. از یک موتور جستجو برای رفتن به سایت واقعی آن شرکت استفاده کنید.
- اجازه ندهید که لینکهای ارسالی کنترل دستگاه شما را به دست بگیرند: در حقیقت با پیدا کردن وب سایت، با استفاده از یک موتور جستجو، کنترل را به دست بگیرید. با کلیک بر روی لینکی که در ایمیل شما قرار د ارد شما وارد URL واقعی میشوید اما اگر لینک جعلی باشد، شما را به جای دیگری، هدایت می کند.
- افزایش ربوده شدن حسابهای ایمیل: هکرها، اسپمرها و مهندسیهای اجتماعی از کنترل حسابهای ایمیل (و یا سایر حسابهای ارتباطی) به طور گستره استفاده میکنند. آنها هنگامیکه که کنترل را به دست می گیرند و از اعتماد برای فریب دادن مخاطبین، استفاده میکنند. حتی اگر فرستنده کسی باشد که شما آن را بشناسید، اگر انتظار نداشتید که ایمیل و یا لینکی پیوست شده از جانب او دریافت کنید، قبل از آنکه بر روی لینک کلیک کنید، این موضوع را با دوست خود مطرح کنید و آن را بررسی کنید.
- برای دانلود هرچیزی هوشیار باشید: اگر شخص فرستنده را نمیشناسید و فایلی را از جانب آنها دریافت کردید، دانلود آن فابل کاملاَ اشتباه است.
- پیشنهادات جعلی از خارج از کشور: اگر شما ایمیلی بیگانه در خصوص لاتاری و یا مسابقههای شرط بندی آنلاین دریافت کردید و از شما درخواست انتقال پول به خارج از کشور شد، شک نکنید که کلاهبرداری است.
- حذف هرگونه درخواست برای اطلاعات مالی و یا گذر واژه: اگر از طریق یک پیام از شما در خواست شد تا اطلاعات شخصی خود را وارد کنید، نوع کلاهبرداری است.
هرگونه درخواست برای کمک و پیشنهادات کمکی را رد کنید.
- شرکتهای قانونی و سازمانها برای کمک با شما تماس نمی گیرند: اگر از فرستنده درخواست کمک نکردید، هرگونه پیشنهاد برای کمک، بازگردانی رمز عبور، شرایط سرمایه گذاری و پاسخ به هر سوالی را رد کنی. چرا که نوعی کلاهبرداری مهدسی اجتماعی شده به حساب می آید. به همین طریق اگر از شما درخواست کمک به خیریه و یا سازمانی شد که با آن ارتباطی نداشتید، آن را حذ ف کنید. اگر قصد کمک به خیریه دارید میتوانید به شخصه کمکهای خود را برای آنها ببرید.
- فیلتر اسپم را تنظیم کنید: هر برنامهی ایمیلی دارای بخش فیلتر اسپم است. برای پیدا کردن آن میتوانید وارد تنظیمات ایمیل شوید و فیلتر اسپم را فعال کنید. به خاطر داشته باشید که فولدر اسپمهای خود را به طور مرتب چک کنید، زیرا ممکن است بعضی از ایمیل های قانونی و مجاز سهواَ در این قسمت قرار بگیرند.
- دستگاههای محاسباتی خود را ایمن کنید: نرم افزارهای آنتی ویروس، فایروال و فیلتر ایمیل را نصب کنید و آنها را بروزرسانی شده نگه درید. سیستم عامل خود را بر روی بروز رسانی خودکار تنظیم کنید. اگر اینکار را نکردید هربار که با اخطار مواجه میشوید می توانید آن را به طور دستی بروزرسانی کنید. استفاده از ابزار فیشینگ توسط مرورگر وب برای هشدار خطرات موجود، برای شما ارایه شده است.
مطالب مرتبط:
دارک وب چیست؟
۱۵ داستان از افراد هک شده در دنیا
۱۰ راه مهم امن کردن رایانه برای حفاظت از دارایی های دیجیتال