مهندسی اجتماعی چیست و چطور عملی می‌شود؟

مهندسی اجتماعی چیست و چطور عملی می‌شود؟
تاریخ انتشار : ۲۰ آبان ۱۳۹۹

مهندسی اجتماعی عبارتی است که برای گستره وسیعی از فعالیت‌های بدخواهانه استفاده می‌شود که با استفاده از تعاملات انسانی عملی می‌گردند. در این روش، با استفاده از ترفندهای روان‌شناختی می‌توان کاربران را فریب داد و باعث شد که دست به اشتباهات امنیتی زده یا اطلاعات حساس را به صورت آگاهانه فاش کنند.

به گزارش گرداب، حملات مهندسی اجتماعی معمولا در یک یا چند گام پیاده‌سازی می‌شوند. شخص مهاجم ابتدا به بررسی تمام و کمال قربانی خود می‌پردازد تا اطلاعات پس‌زمینه مورد نیاز مانند نقاط ورود و پروتکل‌های امنیتی ضعیف را شناسایی کند و بعد دست به حمله بزند. سپس هکر اعتماد قربانی را جلب کرده و محرک‌های لازم که به کنار گذاشتن رویکردهای امنیتی رایج منتهی می‌شوند را به وجود می‌آورد. به این ترتیب، قربانی ممکن است اطلاعات حساس را فاش کند یا کاری کند که مهاجم به منابع حیاتی دسترسی یابد.

آنچه مهندسی اجتماعی را شدیدا خطرناک می‌کند، اتکایش بر خطای انسانی است و لزوما نیازی به اتکا بر آسیب‌پذیری‌های نرم‌افزاری نیست. اشتباهاتی که توسط کاربران صورت می‌گیرند، به مراتب غیر قابل پیش‌بینی‌تر هستند و بنابراین شناسایی دلایل موفقیت‌آمیز بودن حمله، به مراتب دشوارتر از یافتن آسیب‌پذیری‌های نرم‌افزاری خواهد بود.

تکنیک‌های رایج در حملات مهندسی اجتماعی

حملات مهندسی اجتماعی به طرق گوناگون پیاده‌سازی می‌شوند و در هرجایی که دخالت و تعامل انسانی وجود داشته باشد، قابل انجام هستند. در پایین به بررسی ۵ فرم رایج از حملات مهندسی اجتماعی دیجیتالی می‌پردازیم.

طعمه‌گذاری (Baiting)

همانطور که از نام این روش پیداست، حملات طعمه‌گذاری از یک وعده دروغین برای ایجاد حس طمع یا کنجکاوی در قربانی استفاده می‌کنند. مهاجم، کاربر را به سمت دامی که برایش پهن کرده می‌کشد و سپس با استفاده از یک بدافزار، اطلاعات شخصی او را به سرقت می‌برد یا به سیستم او رخنه می‌کند.

محبوب‌ترین روش طعمه‌گذاری، استفاده از مدیای فیزیکی برای توزیع بدافزار است. برای مثال مهاجمین طعمه خود -که معمولا یک فلش درایو آلوده به بدافزار است- را در نقاط پر رفت و آمد قرار می‌دهد، یعنی جایی که قربانی‌های بالقوه به طور یقین قادر به مشاهده آن خواهند بود (به عنوان نمونه می‌توان به دستشویی‌ها، آسانسورها و پارکینگ یک کمپانی اشاره کرد). ضمنا طعمه ظاهری بسیار باورپذیر دارد و برای مثال با برچسب «لیست دستمزدهای کاربران» جای‌گذاری می‌شود.

قربانی ممکن است به خاطر کنجکاوی صرف، طعمه را برداشته و آن را به کامپیوتر خود در خانه یا محل کار متصل کند. به این ترتیب، نصب بدافزار به صورت خودکار انجام می‌شود. البته که حملات طعمه‌گذاری لزوما هم در دنیای فیزیکی انجام نمی‌شوند. از فرم‌های آنلاین طعمه‌گذاری می‌توان به تبلیغات هیجان‌انگیزی اشاره کرد که کاربر را به سایت‌های آلوده هدایت می‌کنند یا او را ترغیب به دانلود اپلیکیشن‌هایی که به بدافزار آلوده شده‌اند.

ترس‌افزار (Scareware)

ترس‌افزارها قربانی را با انبوهی از هشدارهای دروغین و تهدیدهای ساختگی بمباران می‌کنند. به این ترتیب کاربر فریب خورده و تصور می‌کند سیستم‌اش به یک بدافزار آلوده است. سپس سازنده ترس‌افزار از او می‌خواهد که به نصب نرم‌افزاری بپردازد که (به جز برای مهاجم) هیچ نفعی ندارد یا اساسا یک بدافزار کامل است.

یکی از مثال‌های رایج ترس‌افزارها، بنرهای پاپ‌آپی است که هنگام گشت‌وگذار در اینترنت، از مرورگرتان سر در آورده و متونی با این مضمون را نمایش می‌دهند: «کامپیوتر شما احتمالا به یک برنامه جاسوس‌افزار بدخواهانه آلوده شده باشد». ترس‌افزار یا شما را ترغیب به نصب یک ابزار (که معمولا آلوده به بدافزار است) می‌کند، یا شما را به وب‌سایت بدخواهانه ارجاع می‌دهد و کامپیوترتان از آن طریق آلوده می‌شود.

ناگفته نماند که ترس‌افزارها از طریق ایمیل‌های اسپم نیز شیوع می‌یابند و به کاربر پیشنهاد می‌کنند که بابت سرویس‌های بی‌ارزش یا آسیب‌رسان، پول بپردازد.

Pretexting

در این روش، مهاجم اطلاعات لازم را با به‌کارگیری مجموعه‌ای از دروغ‌هایی که با ظرافت ساخت و پرداخت شده‌اند به دست می‌آورد. این شیوه کلاه‌برداری معمولا به این ترتیب آغاز می‌شود که مهاجم ادعا می‌کند به برخی اطلاعات حساس قربانی نیاز دارد تا شروع به انجام کاری حیاتی کند.

مهاجم معمولا در ابتدا در صدد ایجاد حس اعتماد در قربانی بر می‌آید و خودش را جای یکی از همکاران قربانی یا پلیس یا کارمند بانک یا مامور مالیاتی جا می‌زند. او سپس به طرح پرسش‌هایی می‌پردازد که در ظاهر برای تایید هویت قربانی مورد نیاز هستند، اما در عمل به مهاجم کمک می‌کنند تا اطلاعات شخصی مهم را به دست آورد.

با این روش، هر جور اطلاعاتی که بتوان تصور کرد قابل جمع‌آوری خواهد بود، چیزهایی مانند شماره ملی، آدرس‌های شخصی، شماره‌های تلفن، تاریخ مرخصی‌های کاری، پیشینه‌های بانکی و حتی اطلاعات امنیتی یک تاسیسات فیزیکی.

فیشینگ (Phishing)

به عنوان یکی از محبوب‌ترین انواع حملات مهندسی اجتماعی، کلاه‌برداری‌های فیشینگ در قالب کمپین‌های ایمیل و پیام متنی پیاده‌سازی می‌شوند که هدف‌شان ایجاد حس فوریت، کنجکاوی یا ترس در قربانی است. کاربر هدف سپس ترغیب به ارائه اطلاعات حساس، کلیک روی لینک‌های منتهی به وب‌سایت‌های بدخواهانه یا باز کردن فایل‌های ضمیمه‌ای که حاوی بدافزار هستند می‌شود.

یکی از مثال‌های فیشینگ، ارسال ایمیل به کاربران یک سرویس آنلاین است که به آن‌ها هشدار می‌دهد از برخی قوانین سرویس تخطی کرده‌اند و حالا باید رمز عبور خود را تغییر دهند. این ایمیل شامل یک لینک به وب‌سایتی کاملا مشابه به وب‌سایت سرویس اصلی نیز می‌شود و کاربر باید نام کاربری و پسوورد پیشین خود را همراه با پسوورد جدید مد نظرش وارد کند. به محض وارد کردن اطلاعات درخواستی، مهاجم از آن‌ها باخبر می‌شود.

از آن‌جایی که پیام‌های ارسالی برای تمام کاربران یکسان یا بسیار شبیه به یکدیگر هستند، تشخیص و بلاک کردن این پیغام‌ها از روی سرورهای ایمیل بسیار آسان است.

فیشینگ نیزه‌ای (Spear Phishing)

فیشینگ نیزه‌ای، ورژنی هدفمندتر از کلاه‌برداری‌های فیشینگ است که به صورت خاص یک شخص یا یک سازمان واحد را هدف قرار می‌دهد. مهاجمین پیام‌های خود را بسته به مشخصه‌های فردی و سمت‌های شغلی شخصی‌سازی می‌کنند تا قربانی کمتر به حمله مضنون باشد. فیشینگ نیزه‌ای نیازمند تلاش بیشتری از سوی مهاجم است و پیاده‌سازی آن گاهی هفته‌ها یا ماه‌ها زمان می‌برد. اما در عوض تشخیص آن‌ها نیز دشوارتر بوده و اگر با ظرافت انجام شوند، شانس موفقیت بالاتری دارند.

یک سناریوی فیشینگ نیزه‌ای می‌تواند شامل مهاجمی باشد که خودش را به جای مشاور آی‌تی در یک سازمان جا می‌زند و ایمیلی برای یک یا چند کارمند می‌فرستد. این ایمیل زبانی بسیار مشابه به زبان مشاوران سازمانی خواهد داشت و به همین ترتیب نیز امضا می‌شود، بنابراین قربانی به احتمال زیاد در معتبر بودن پیغام تردید نخواهد کرد. در این پیام‌ها از گیرنده خواسته می‌شود که رمز عبور خود را تغییر دهند و این کار از طریق لینکی انجام می‌شود که آن‌ها را به وب‌سایتی بدخواهانه هدایت می‌کند.

راه‌های مقابله با مهندسی اجتماعی

مهندسی اجتماعی با سوء استفاده از احساسات انسانی مانند کنجکاوی یا ترس انجام می‌شود و از ترفندهایی مختلف برای کشیدن قربانی به سمت طعمه استفاده می‌کند. بنابراین هر زمان که با مشاهده یک ایمیل حس ضرورت در وجودتان شکل گرفت یا به کلیک روی پیشنهاد نمایش داده شده روی فلان وب‌سایت ترغیب شدید، باید احتمال قربانی شدن در حملات بدخواهانه را نیز مد نظر داشته باشید. با به کارگیری تدابیر مختلفی که در پایین به آن‌ها پرداخته‌ایم، می‌توانید از خودتان در برابر حملات مهندسی اجتماعی در قلمروی آنلاین محافظت کنید.

ایمیل‌ها و فایل‌های ضمیمه‌ای که از طرف منابع مشکوک ارسال شده‌اند را باز نکنید. اگر فرستنده ایمیل یا پیغام را نمی‌شناسید، نیازی به پاسخ دادن به ایمیل نیز ندارید. حتی اگر فرستنده را می‌شناسید اما نسبت به پیام تردید دارید، بهتر است که خبر بیان شده در پیغام را با دیگران و از طرق دیگر چک کنید: چه به صورت تلفنی و چه با ارتباط مستقیم با وب‌سایتی که فلان سرویس را ارائه می‌کند. یادتان باشد که ایمیل آدرس‌ها همواره جعل می‌شوند، بنابراین ایمیلی که به ظاهر از سوی منبعی قابل اعتماد فرستاده شده نیز ممکن است دستپخت یک هکر باشد.

از احراز هویت چند مرحله‌ای استفاده کنید. یکی از ارزشمندترین اطلاعات شما برای مهاجمین، اطلاعات لاگین است. با استفاده از احراز هویت چند مرحله‌ای از اکانت‌تان در صورتی که دستگاه به خطر افتاد محافظت کنید.

مراقب پیشنهادهای وسوسه‌کننده باشید. اگر پیشنهاد به دست‌تان رسیده که حسابی هیجان‌انگیز به نظر می‌رسد، پیش از پذیرفتن آن خوب به موضوع فکر کنید. با چند جستجوی ساده در گوگل می‌توانید مطمئن شوید که با پیشنهادی واقعی طرف حساب هستید یا یک طعمه.

نرم‌افزارهای آنتی‌ویروس را به‌روز نگه دارید. مطمئن شوید که گزینه به‌روزرسانی خودکار در این نرم‌افزارها روشن است تا در هر روز، آخرین آپدیت‌ها دریافت شوند. هر از چندگاهی نیز به نرم‌افزار سر بزنید و مطمئن شوید آخرین آپدیت‌ها دریافت شده‌اند. از سوی دیگر، اسکن مداوم سیستم را نیز از یاد نبرید.






منبع: دیجیاتو