تا کنون درباره مهندسی اجتماعی شنیدهاید؟ آیا تا به حال پیامهایی عجیب و وسوسه کننده حاوی لینکهایی مشکوک دریافت کردهاید؟ نگران اطلاعاتتان هستید؟ در دنیای امروز که ما به انواع وبسایتها دسترسی داریم و در زندگی با فضای مجازی ارتباط زیادی داریم و نیز اطلاعاتمان برایمان ارزشمند هستند؛ بهتر است درباره مهندسی اجتماعی اطلاع کافی داشته باشیم تا از بسیاری از تلههای این حوزه جان سالم به در ببریم. ما در این مقاله درباره مهندسی اجتماعی، روشهای مورد استفاده آنها، معروفترین حملات مهندسان اجتماعی و نحوه محافظت از خودتان در برابر مهاجمان این حوزه مواردی را گفتهایم که قطعا برایتان مفید خواهد بود.
مهندسی اجتماعی چیست؟
مهندسی اجتماعی (Social Engineering) هرچند نام مدرنی دارد اما از زمانها قبلتر، از زمانی که انسانها باهم در ارتباط بودند، وجود داشتهاست. در واقع مهندسی اجتماعی هک مغز انسانها و نه کامپیوتر است و یکی از خطرناکترین هکهاست. در مهندسی اجتماعی قربانی بدون آنکه متوجه باشد، گاه از روی دوستی و احساسات و گاه از طریق شبکههای مجازیاش، اطلاعاتی را در اختیار مهندسان اجتماعی قرار میدهد.
در واقع مهندسی اجتماعی به بسیاری از فعالیتهای مخرب حاصل از تعاملات انسانی گفته میشود که هدفش بدست آوردن اطلاعاتی حیاتی از یک سازمان یا شخص است. توجه کنید که گاهی فرد اطلاعات دهنده، خود قربانی حمله است ولی گاهی وی بیخبر از اینکه مورد سواستفاده قرار گرفته، سازمان، شرکت یا فردی دیگر را به خطر میاندازد.
مهندسی اجتماعی از کجا شروع شد؟
همانطور که اشاره کردیم مهندسی اجتماعی از زمانی که تعاملی بین انسانها بوده، وجود داشتهاست. ولی به صورت مدرن، مهندسی اجتماعی از سال ۱۸۹۴ برای مقابله با برخی مشکلات انسانی و پرورش افراد حرفهای در این زمینه مطرح شد. مهندسی اجتماعی در ابتدا جنبهی مثبت داشت اما در گذر زمان جنبهی منفی پیدا کرد و موجبات شستشوی مغزی را فراهم کرد.
میتوان کوین میتنیک را پدر مهندسی اجتماعی دانست. او در دهه ۱۹۹۰، بعد از سالها بهکارگیری حقه و ترفند برای دستیابی به اطلاعات و دستکاری روانشناختی افراد، اصطلاح مهندسی اجتماعی را در دنیای امنیت سایبری به شهرت رساند.
مهندسان اجتماعی چه کسانی هستند؟
هکر یا مهندسان اجتماعی کسانی هستند که از طریق پیامک، ایمیل، حسابهای مجازی، درایوهای آلوده و یا ارتباطات حضوری و نه با حملات سایبری، بلکه با ترفندهایی زیرکانه و سوال کردن از افراد، اطلاعات مورد نظرشان را بدست میآورند. گاه خود فرد قربانی با احساساتش به تسریع فرایند حمله بسیار کمک میکند؛ به همین دلیل هکرها، انسانها را ضعیفترین عامل در حلقه امنیت سایبری میدانند.
اساس کار مهندسان اجتماعی چیست؟
اساس کار مهندسان اجتماعی برپایهی احساساتی چون ترس، طمع، محبت و کنجکاوی است. برخی از حملات این مهندسان بدون حضورشان صورت میگیرد؛ مثل تهدید از طریق پیامها با برانگیختن ترس یا با درایو فلشهای آلوده با برانگیختن حس طمع بهدستآوردن وسیلهای رایگان! بهتر است در ادامه با چند ترفند رایج مهندسان اجتماعی آشنا شویم:
- با اکانتهای جعلی (درخواست کمک، دوستی و…)
- وبسایتهای واریز وجه جعلی
- لینکهای مخرب و آلوده
- استفاده از درایو فلش آلوده
- وارد کردن قربانی به تشکیلاتی جعلی
- تبلیغاتی که ناگهانی باز میشوند و اطلاعاتی میخواهند.
از استعدادهای لازم برای مهندسان اجتماعی، خوب تظاهر کردن (خوب نقش بازی کردن) است تا سناریو را بهتر و باورپذیرتر کنند و خیلی سادهتر و حرفهایتر بتوانند اطلاعات مورد نیاز را از قربانی خود بهدست آورند.
فرایند حمله مهندسان اجتماعی چگونه است؟
این فرآیند شامل چهار مرحله است که بههم وابستهاند و اجرای درست هر مرحله پایه مرحله بعدی است، در ادامه با هرکدام از این روشها و نحوهی اجرای آنها آشنا میشویم.
جمعآوری اطلاعات
مهمترین مرحله و شاید زمانبرترین مرحله، مرحله جمع آوری اطلاعات است؛ زیرا تعیین نقشه حمله، چیدن سناریو (برای خوب نقش بازی کردن) و شناخت فرد قربانی برای بهکارگیری بهترین اهرم برای برانگیختن احساسات همه برپایهی این مرحلهاند.
برقراری ارتباط
این مرحله نیز باید توسط فردی مجرب انجام شود زیرا اگر کیفیت رابطه ایجاد شده توسط مهاجم بالا باشد، میتواند اعتماد فرد را جلب کند؛ این مرحله با کمک اظهار به دوستی، ایمیلهای جعلی، تماسهای ساختگی تلفنی و گاه بهصورت حضوری و رودررو انجام میشود.
بهرهبرداری
در این مرحله از رابطه برقرار شده در مرحله قبل برای بهدستآوردن اطلاعاتی به ظاهر بیاهمیت ولی مهم در مسیر رسیدن به هدف استفاده میشود. درواقع اهمیت مرحله قبل در اینجا ظاهر میشود و همچنین رضایت فرد و حفظ رابطه در این مرحله اهمیت دارد.
اجرای حمله
حمله یا هدف حمله در این مرحله محقق میشود؛ مهاجمان حرفهای طوری وانمود میکنند که فرد اطلاعات دهنده احساس رضایت داشته باشند تا مسیر برای سواستفادههای بعدی کوتاهتر شود.
انواع روشهای مهندسی اجتماعی چیست؟
مهندسان زیرک اجتماعی از روشهای متنوعی برای فریب دادن افراد و عملی کردن نقشههایشان استفاده میکنند که به چند دسته کلی تقسیم میشوند، روشهای فیزیکی، اجتماعی و فنی که در ادامه هر یک را بیشتر بررسی میکنیم.
روشهای فیزیکی
روشهای فیزیکی، نیاز به تجهیزات دارد و نمیتوان آن را از راههای دور اجرا کرد. این روش معمولا به صورت رودررو انجام میشود پس نیاز به مهارتهای خاص مهندسی اجتماعی در کنار ترفندهای روانشناسی است. همچنین نقش بازی کردن، نفوذ کردن و دسترسی به فرد و یا سازمان مهم هستند.
روشهای اجتماعی
در این روش، تکنیکهای روانشناسی و برقراری ارتباط با قربانیان اهمیت دارد. یکی از رایجترین روشهای این نوع مهندسی اجتماعی فیشینگ هدفدار و طعمه گذاشتن است.
روشهای فنی
این روش عمدتا از طریق اینترنت و با استفاده از دستیابی به رمزهای حسابهای کاربری انجام میشود؛ اغلب مهاجمان از اطلاعاتی که ما به سادگی در اختیار موتورهای جستجو میگذاریم، استفاده میکنند.
روشهای فنی – اجتماعی
برای موفقیت مهاجم اغلب از ترکیب روشها استفاده میکند. بهترین و موفقترین ترکیب روشها برای حمله، استفاده از دو روش فنی و اجتماعی است، که در ادامه با انواع آنها آشنا میشویم.
استفاده از پروفایلهای جعلی
با توجه به این که ساخت حسابهای کاربری جعلی در شبکههای مجازی و درخواست دوستی به بقیه کاربران راحت است این روش یکی از بهترین ترفندها برای اجرای حملات مهندسی اجتماعی است.
تبلیغات دروغین
با باز شدن ناگهانی و ناخواسته صفحهای تبلیغاتی که از شما برای برنده شدن در قرعه کشی، خرید محصولی و چیزهایی ازین قبیل که از شما، وارد شدن به لینکی ناشناخته، پرداخت مبلغ از درگاه جعلی یا اطلاعاتی دیگر میخواهند.
فیشینگ و هرزنامه
این روش با کمک ارسال پیام و ایمیل برای تعداد زیادی از کاربران با امید به این که تعدادی از آنها فریب بخورند انجام میشود و کارکرد آن بر اساس احساس کنجکاوی، ترغیب و… انجام میشود. این روش از رایجترین و پربازدهترین روشهاست.
طعمه گذاری
با توجه به این که کمتر کسی از طعمه رایگان یا ارزان بدش میآید این روش بسیار فریبنده است. مثال این روش همان درایو فلشهای آلودهاند که با اتصال به سیستم شما یا سازمانی، اطلاعات را به مهاجم انتقال میدهند یا سیستمتان را ویروسی میکنند.
اپلیکیشنهای موبایل
با توجه به این که همه ما روزانه با موبایل و اپلیکیشنهای فراوانی سروکار داریم، این روش رایج است؛ مثال ملموس این روش همان اکانتهای ما در فضای مجازی و دسترسیهایی که به سادگی به انواع اپلیکیشنها میدهیم، است. در واقع بسیاری از اپلیکیشنها امنیت کافی ندارند و آسیبپذیرند و ما بیاطلاع، اطلاعاتی قبیل شماره همراه، رمز دیگر اکانتها (رمزهای تکراری)، کد ملی و… را در آنها وارد میکنیم.
مهندسی اجتماعی در زیرشاخه کدام علوم قرار میگیرد؟
در این قسمت با علوم مربوط به مهندسی اجتماعی یعنی امنیت و علوم اجتماعی – سیاسی به صورت اجمالی آشنا میشویم.
امنیت
مهندسی اجتماعی در بافت امنیت با کمک روانشناسی به افشای اطلاعات فرد منجر میشود؛ بهترین راه دفاع در مقابل مهندسان اجتماعی، شناخت است و همین باعث شده اغلب کشورها در این زمینه متخصصانی پرورش دهند و همچنین به کارکنان سازمانهای حساستر روشهای جلوگیری از مورد حمله و سؤاستفاده قرار گرفتن را بیاموزند.
علوم اجتماعی – سیاسی
مهندسی اجتماعی یکی از زیرشاخههای علوم اجتماعی – سیاسی جهت تحت تاثیر قرار دادن نگرشها و رفتارها به وجود آمده است و در این حوزه مهندسان اجتماعی در واقع روانشناسان اجتماعی مجرب هستند.
چند نمونه از حملات معروف مهندسان اجتماعی!
همانطور که گفته شد از زمانی که ارتباطی بوده مهندسان اجتماعی نیز بودهاند و حقههایی بهکار بردند؛ با این حال به بررسی چند نمونه از رایج و معروفترین حملات میپردازیم.
کلاهبرداری 419
این روش معروف به کلاهبرداری نیجریهای که فردی خود را شاهزاده نیجریه معرفی میکرد و اظهار میکرد میخواهد مبلغی را از کشور خارج کند و با کمک به او و دادن هزینه حمل و نقل مقداری از مبلغ را به شما میدهد و پس از گرفتن پول دیگر خبری از شاهزاده و گنجش نبود؛ شاید این سناریو به نظر شما عجیب باشد ولی کلاهبرداران با همین روش و داستانهایی مشابه در ایران هم مبلغ هنگفتی به جیب زدند.
شرکت RSA
در این حمله، ایمیلی برای کارکنان ارسال شده بود که ظاهری بسیار طبیعی داشت ولی با کمک یک نقص برنامهنویسی، مهندسان اجتماعی از آسیبپذیری آن سیستمها استفاده کردند. به طوریکه با بازکردن ایمیل توسط کارمندان، سیستمها هک شدند و اطلاعات زیاد و مهمی از شرکت به دست مهاجمان افتاد. مهاجمان از آن اطلاعات برای تهدید شرکت استفاده کردند.
نیویورک تایمز
نیویورک تایمز نیز مانند شرکت RSA با ناآگاهی کارمندان، نفوذ هکرها و بدست آوردن اطلاعات لاگین کارمندان، اطلاعات زیادی بدست مهاجمان داد. گفته میشود حمله به نیویورک تایمز که توسط هکران چینی صورت گرفت، جنبه سیاسی داشتهاست.
چگونه از خودمان در برابر حملات مهندسی اجتماعی محافظت کنیم؟
با توجه به مفهوم و راهکارهای مهندسی اجتماعی که تا اینجا نامبرده شد احتمالا این سوال در ذهنتان ایجاد شده که چگونه از خودتان در برابر این حملات محافظت کنید؟ چگونه طعمه سودجویان نشوید؟ و سوالهایی از این قبیل! تا اینجا که این مقاله را خواندید و با برخی از ترفندهای مهاجمان آشنا شدید بخشی از راه را آمده اید. با ما همراه باشید تا بیشتر با راهکارهای حفاظت از خودتان آشنا شوید.
با توجه به اینکه احساسات انسانها مهمترین دستآویز مهاجمان است، محافظت در برابر مهاجمان حملات مهندسی اجتماعی سختتر از محافظت در برابر حملات سایبری هکرها به کامپیوترهاست؛ در ادامه چند ترفند محافظت را برایتان بررسی کردیم:
بررسی کردن منبع
به سادگی به فلش درایوهایی که در گوشه و کنار میبینید اعتماد نکنید. به تماسها و پیامهایی که در ازای دادن مبلغی وسوسه کننده از شما درخواست واریز وجه یا دادن رمز و… کارتها و حسابهایتان دارند، مشکوک باشید. میتوانید آنها را با پلیس فتا درمیان بگذارید تا بقیه مردم مورد حمله قرار نگیرند. به کسی که اطلاعاتی درباره همکار، دوست یا حتی دشمنتان میخواهد، شک کنید. قبل از وارد شدن به لینکی، وارد کردن اطلاعاتتان در اپلیکیشن یا سایتی از فرستتنده مطمئن شوید که منبع معتبر باشد. قبل از پرداخت وجه با درگاهی، ابتدا لینک آن را بررسی کنید که سایت رسمی و مطمئنی باشد.
در مواجهه با افراد مشکوک از آنها کارت شناسایی بخواهید. قبل از وارد کردن اطلاعات در جایی یا واریز وجه برای تماسی مشکوک خوب فکر کنید و عجله نکنید و اگر میتوانید درباره منبع تحقیق کنید.
بررسی کردن سناریو
دقت کنید که سناریو چقدر معقول است؛ اینکه شخصی که به اندازه کافی نمیشناسید از شما بخواهد پولی برایش واریز کنید، مشکوک نیست؟ اگر از قرعه کشی با شما تماس گرفتند و اطلاعاتی از شما خواستند دقت کنید آیا اصلا در آن قرعه کشی شرکت کرده بودید؟ چقدر احتمال دارد فامیل دور برای گنجی که پیدا کرده اطلاعات حساب شما را بخواهد؟ یا اگر دوست صمیمی شما پولی بخواهد آیا ایمیل حاوی لینکی مشکوک میفرستد یا تماس میگیرد؟
خودتان امنیتتان را بالا ببرید!
برای اکانتهایتان از رمزهای ساده و تکراری استفاده نکنید. اگر رمز کارت بانکی شما با اکانتتان در سایتی کم اعتبار یکسان باشد چه میشود؟
برای اکانتهای مهم از احراز هویت دو عاملی و دیگر امکانات امنیتی که وبسایت و اپلیکیشنها در اختیارتان میگذارند، استفاده کنید. همیشه از یک آنتیویروس خوب و بهروز شده استفاده کنید. سیستمهایتان را به سادگی به دست کسانی که شناخت کافی از آنها ندارید، نسپارید و در نهایت همیشه آیپیهای دیگر که به اکانتهایتان وارد شدهاند را بررسی کنید.
خودتان را طعمه نکنید!
به راحتی همه اطلاعاتتان را در شبکههای مجازی به اشتراک نگذارید. مثلا شما غذای مورد علاقهتان را در فضای مجازی به اشتراک میگذارید؛ غافل از اینکه یکی از سوالات احراز هویت ایمیلتان نیز همین است. پس به راحتی اطلاعاتتان را برای همه به اشتراک نگذارید. قبل از ارسال رزومه کاریتان که حاوی تمام اطلاعاتتان است، ابتدا از صحت و امنیت کارگزار مطمئن شوید.
مهندسان اجتماعی آنقدر زیرک هستند که به خوبی نقش دوستی و یا موقعیتهای دیگر را بازی کنند و به راحتی میتوانند از موقعیتهای بسیار عادی که تصورش را نمیکنید اطلاعات بدست آورند ولی شما با دانستن نکات ذکر شده، اوضاع بهتر و امنیت بیشتری نسبت به کسانی که این مقاله را نخواندند، دارید.