مهندسی اجتماعی میتواند تهدیدی بزرگ برای شرکتها باشدمنظور از واژه مهندسی اجتماعی چیست؟
مهندسی اجتماعی عبارتست از: سواستفاده از اطمینان و یا فریب عوامل انسانی برای دسترسی به اطلاعات محرمانه و در مرحله بعد سوء استفاده از این اطلاعات است. در واقع بخواهیم مهندسی اجتماعی را به لحاظ فنی بیان کنیم: فعالیت مخرب غیرفنی، که از تعاملات انسانی برای براندازی برنامه ها، روندها و سیاست های امنیتی فنی استفاده می کند تا به شبکه ها و دستگاه های ایمن دسترسی پیدا کند.
مهندسی اجتماعی چیست؟
اصطلاح مهندسی اجتماعی به روشی تاثیرگذار در ترغیب خواسته و یا ناخواسته مردم به فاش نمودن اطلاعات حساس به منظور انجام بعضی اعمال خرابکارانه بر میگردد. با کمک روش های موجود در مهندسی اجتماعی، مهاجمان میتوانند براحتی به اطلاعات محرمانه، جزئیات دسترسی ها و مجوزهای ورود کاربران دسترسی پیدا کنند. مهاجمان میتوانند براحتی و با استفاده از مهندسی اجتماعی قوانین امنیتی یک شرکت را نقض نموده و با اعمال مجرمانه خود آنرا بشکنند. تمام فشارها و سخت گیری های امنیتی به تصویب رسیده در بیشتر شرکت ها با اجرای مهندسی اجتماعی در خصوص کارکنان، همه نقش بر آب خواهد شد.
تکنیک های حمله مهندسی اجتماعی
حملات مهندسی اجتماعی به اشکال مختلفی رخ می دهد و میتواند در هر جایی که تعامل انسان در آن دخیل باشد، انجام شود. در ادامه به معرفی انواع مرسوم از حملات مهندسی اجتماعی می پردازیم:
۱- فیشینگ (Phishing):
رایج ترین حمله مهندسی اجتماعی، فیشینگ است. در Phishing، حمله از طریق ایمیل، چت، وب سایت یا آگهی های تبلیغاتی انجام میشود و مهاجم تلاش می کند از طریق جعل هویت سازمان یا شرکت، اعتماد قربانی را جلب کند. پیام های فیشینگ میتواند از سوی بانک، شرکت های بزرگ و حتی دولت باشد. رفتارهای فیشینگ بسیار متنوع هستند. بعضی از آن ها از کاربر نهایی تقاضا می کنند که اطلاعات ورود حساب کاربری اش را تأیید کند و برای این منظور فرم ورودی با لگو و ظاهر وب سایت مورد نظر آماده می کنند. بعضی از آن ها کاربر را برنده یک مسابقه یا قرعه کشی اعلام می کنند و برای پرداخت جایزه، درخواست اجازه دسترسی به حساب بانکی کاربر را دارند. بعضی از آن ها با سو استفاده از حوادث طبیعی مثل سیل، زلرله و یا تاریخ های خاص شروع به جمع آوری کمک های مردمی می کنند.
۲- طعمه (Baiting):
همان طور که از نام آن پیداست، حملات طعمه زدن که یکی از انواع حملات مهندسی اجتماعی است، از یک قول دروغین برای ترساندن طمع یا کنجکاوی یک قربانی استفاده می کنند. آن ها کاربران را به دام انداخته و اطلاعات شخصی آن ها را سرقت می کنند. جدیدترین شکل طعمه استفاده از رسانه های فیزیکی برای پراکندگی بدافزارها است. به طورمثال، مهاجمین طعمه ها را (معمولاً فلش مموری های آلوده به بدافزار) در مناطقی آشکار که قربانیان احتمالی حتماً آن ها را مشاهده می کنند، ترک می کنند (مثلا جلوی شرکت، آسانسور، پارکینگ یک شرکت و…) طعمه نگاهی اصیل به آن دارد، مثل برچسبی که آنرا به عنوان فهرست حقوق و دستمزد شرکت معرفی می کند.
ریشه بسیاری از حملات باجافزارها، حمله مهندسی اجتماعی است۳- فیشینگ هدفمند (Spear Phishing):
فیشینگ ها غالباً به صورت تصادفی و همگانی انجام میشوند ولی در نوع خاصی از حملات فیشینگ که فیشینگ هدفمند یا Spear Phishing نامیده می شود، مهاجم اول در مورد افراد هدفی که می خواهد به آن ها حمله کند اطلاعاتی به دست آورده و با استفاده از این اطلاعات به دست آمده حمله خود را انجام می دهد، معمولاً این چنین حملات مهندسی اجتماعی با توجه به اینکه شناخت بهتری از هدف وجود دارد بیشتر جواب می دهند.
۴- بهانه (Pretexting):
این نوع حمله مشابه فیشینگ است. در حمله Pretexting که یکی از انواع حملات مهندسی اجتماعی است، هکر خرابکار تلاش می کند خود را شخص دیگری معرفی کند، تا بتواند به اطلاعات حساس و شخصی قربانی دست پیدا کند. در بعضی موارد هکر ناگزیر است یک هویت جدید هم بسازد. در حمله Pretexting هکر خرابکار تلاش می کند از طریق دروغ های زیاد، خود را شخص دیگری معرفی کند و با بوجود اوردن حس اعتماد بین خودش و قربانی، اطلاعات او را به دست بیاورد. برای نمونه هکری که با یک هویت جعلی در اینترنت شروع به گفت و گو با شما می کند و در ازای دادن اطلاعات شخصی از خودش که اتفاقا اشتراک های متعددی با شما دارد، اعتماد شما را جلب می کند و بر اساس همین اعتماد و اشتراکات، شما هم اطلاعات شخصی تان را به وی می دهید. برای این نوع از حمله مهندسی اجتماعی، هکر اطلاعات زیادی را از قربانی و همچنین شخصی که می خواهد خودش را به جای او معرفی کند به دست می آورد.
۵- ترسناک (Scareware):
Scareware شامل قربانیانی است که با هشدارهای دروغین و تهدیدهای ساختگی دست به انجام کارهای اجباری می کنند. کاربران فریب خورده اند و فکر می کنند سیستم آن ها به بدافزار آلوده شده است و از آن ها خواسته می شود نرم افزاری را نصب کنند که هیچ فایده واقعی ندارد و یا دراصل خود بدافزار است. نمونه بارز Scareware، بنرهای پاپ آپ میباشد که در مرورگر شما در موقع گشت و گذار در وب ظاهر میشوند و با نمایش متونی مثل “رایانه شما امکان دارد به برنامه های مضر جاسوسی آلوده باشد.” شروع به فریب شما می دهند. این نرم افزارها یا نصب ابزار (اغلب بدافزار) را برای شما فراهم می کند، یا شما را به یک سایت مخرب که کامپیوتر شما را آلوده می کند، هدایت می کند. Scareware نیز از طریق ایمیل اسپم توزیع می شود. این نوع حمله یکی از حملات رایج مهندسی اجتماعی است.
مهندسی اجتماعی، يكی از دشوارترين تكنيكهای هك۶- جعل هویت (Impersonation):
در این نوع حمله ی مهندسی اجتماعی، مهاجم هویت شخصی که شما از او شناخت دارید را جعل نموده و خود را به جای او جا می زند. موارد فراوانی از این نوع را میتوان در فعالیت های روزمره کاربران مشاهده کرد، افرادی که خود را بعنوان پشتیبان شبکه سازمان معرفی می کنند و از شما می خواهند که نام کاربری و رمز عبورتان را در اختیارشان قرار دهید تا آنرا برای شما ریست کنند.
روش های مقابله با مهندسی اجتماعی
می توان اینطور گفت که روش مشخص و صد درصدی برای مبارزه با این نوع حملات مهندسی اجتماعی وجود ندارد و تنها می توان با پیاده سازی تمهیداتی احتمال وقوع آن ها را کاهش داد. در زیر به بعضی از آن ها اشاره شده است:
- برای مقابله با حملات مهندسی اجتماعی، به تلفن ها، نامه های الکترونیکی و ملاقات هائی که عموما ناخواسته بوده و در آنان از شما درخواست اطلاعاتی خاص در خصوص کارکنان و یا سایر اطلاعات شخصی می گردد، مشکوک بوده و با دیده سوء ظن به آنان نگاه کنید. در صورتی که یک شخص ناشناس ادعا می نماید که از یک سازمان معتبر است، تلاش کنید با سازمان مورد ادعای وی تماس گرفته و نسبت به هویت او کسب تکلیف کنید.
- از برنامه های کاربردی امنیتی مثل آنتی ویروس، آنتی اسپم بر روی دستگاهها و مدیریت متمرکز آن ها برای مقابله با حملات مهندسی اجتماعی استفاده کنید.
از برنامه های کاربردی امنیتی برای مقابله با مهندسی اجتماعی استفاده کنید- یکی از ارزشمندترین اطلاعاتی که مهاجمان به دنبال آن هستند، اعتبار کاربر است. استفاده از تائید هویت چند فاکتور، در صورت به خطر انداختن سیستم، برای محافظت از حساب شما در مقابل حملات مهندسی اجتماعی کمک می کند.
- برای مقابله با حملات مهندسی اجتماعی، از کیبورد مجازی در موقع وارد شدن نام کاربری و رمز عبور استفاده کنید.
گردآوری: بخش دیجیتال سرپوش
- 15
- 2
