آشنایی با حملات مهندسی اجتماعی

مهندسی اجتماعی، دوستی یا دشمنی!

حمله فیشینگ نوعی تهدید جدی سایبری برای تمام کارکنان سازمان ­ها به شمار می ­رود. این احتمال وجود دارد که نیمی از کارکنان سازمان ها با حملات فیشینگ آشنایی کافی را نداشته باشند. امروزه دیگر تقریباً تمامی افراد از شبکه­ های اجتماعی استفاده می کنند و متأسفانه بسیاری از تهدیدها هم از این نقطه شروع می­ شوند. واقعیت این است که اگر دایماً به صورت زبانی یا با استفاده از ابزار‌های مختلف، اقدام به افزایش آگاهی کارکنان در خصوص نحوه انجام حملات فیشینگ نکنیم، هشدار‌های ارایه شده در رابطه با چنین حملاتی چنان که باید توسط آنها جدی گرفته نخواهد شد.

به طور کلی یکی از تهدیدهای عمده ­ای که در فضای سایبر وجود دارد، حمله «مهندسی اجتماعی» است. در این حمله هکر یا شخص بدخواه، سعی در جلب اعتماد فرد قربانی برای دسترسی به اطلاعات او یا نفوذ به شبکه سازمانی از طریق فریب کاربران دارد. در این حمله، با روش ­هایی که هکر استفاده می ­نماید نام کاربری، کلمه عبور یا سایر داده­ های مرتبط با احراز هویت فرد قربانی، در اختیار هکر قرار گرفته و وی دیگر نیازی به واکاوی وب سایت ها و صرف وقت زیاد برای به دست آوردن این موارد نخواهد داشت.

حملات مهندسی اجتماعی، به پنج دسته بندی کلی تقسیم می شوند که در زیر به آنها اشاره می کنیم.

1. فیشینگ (Pishing)

فیشینگ یکی از پر‌کاربرد‌ترین حملات مهندسی اجتماعی است. در این نوع از حمله، مهاجمان از روش‌های مختلفی برای دسترسی به اطلاعات، کلمه عبور و سایر داده‌های شخصی کاربران استفاده می‌کنند. از جمله ابزار‌هایی که در این روش برای سرقت اطلاعات کاربران از آنها استفاده می شود می‌توان به مکالمات تلفنی، آگهی­ های تبلیغاتی، وب­ سایت های جعلی و آدرس‌های ایمیل غیرمعتبر اشاره کرد.

فیشینگ را می توان رایج‌ترین حمله مهندسی اجتماعی دانست. این حمله، روشی است که در آن هکر با سوء‌استفاده از اعتبار یک سازمان یا شرکت معتبر و جعل هویت آن سعی می کند قربانیان خود را هدف قرار دهد. ایمیل‌های فیشینگ می‌توانند از طرف بانک ها و مؤسسات مالی-اعتباری، سازمان‌های بزرگ و حتی ارگان‌های رسمی دولتی ارسال شوند. در بعضی از حملات فیشینگ، از کاربر خواسته می شود اطلاعات ورود به حساب کاربری‌‌اش را تأیید نماید. در برخی دیگر نیز به بهانه جمع‌آوری کمک‌های مردمی برای سیل یا زلزله‌زدگان، اطلاعات حساب بانکی کاربران به سرقت برده می شود.

2. طعمه گذاری (Baiting)

روش طعمه‌گذاری، شبیه به حمله فیشینگ است. در حمله طعمه‌گذاری، مهاجم برای دریافت اطلاعات ورودی حساب کاربر یا داده‌های شخصی وی چیز‌های چشم‌گیر و جالب ‌توجهی را به قربانی ارایه می‌کند. ارایه‌ طعمه به شیوه‌های متفاوتی صورت می‌گیرد. برای مثال، افراد خرابکار می‌توانند با جا گذاشتن حافظه USB در یک سازمان یا ترغیب کاربر به دانلود فایل‌های صوتی و تصویری از وب‌سایت‌های مخرب، بدافزارهایی را وارد سیستم کاربر کرده و با آلوده کردن سیستم وی، فعالیت‌های خرابکارانه خود را شروع کنند.

3. عمل متقابل (Quid Pro Quo)

این نوع حمله، مشابه طعمه گذاری است. در این حمله، هکر در ازای خدمتی که به کاربر ارایه می‌کند اطلاعات شخصی یا اطلاعات ورود به حساب کاربری‌‌ فرد را از او درخواست می‌کند. به عنوان مثال، مهاجم با وعده پیدا کردن شغلی برای قربانی، اطلاعات شخصی و آدرس محل سکونت وی را به دست می آورد. در مثالی دیگر، هکر با جا زدن خود به عنوان یک کارشناس IT، در قبال ارایه خدمات رایگان فناوری اطلاعات از کاربر می‌خواهد که اطلاعات شخصی خود را در اختیارش قرار دهد.

4. تظاهر (Pretexting)

این نوع حمله، مشابه فیشینگ است. در حمله تظاهر، فرد خرابکار تلاش می‌کند با معرفی خود به عنوان فردی دیگر یا در قالب یک هویت جدید، به اطلاعات شخصی و مهم قربانی دست یابد. در این حمله، هکر با دروغگویی و جلب اعتماد کاربر هدف، اطلاعات خصوصی او را به چنگ می‌آورد. به عنوان مثال، مهاجم با نام و هویت ساختگی با فرد مورد نظر گفتگو کرده و پس از کسب اعتماد وی، داده‌های شخصی و مهمش را دریافت می‌کند. در این نوع از حمله مهندسی اجتماعی، هکر اطلاعات گسترده‌ای از قربانی و شخصی که قرار است خود را به جای او معرفی کند، به ‌دست می‌آورد.

5. یدک‌کشی (Piggybacking)

در حمله یدک کشی که با نام “Tailgating” نیز شناخته می‌شود، فرد غیرمجاز پشت سر فرد مجاز وارد اماکن سازمانی که دسترسی به آنها محدود به اشخاص خاصی است می‌شود. برای مثال، هکر به بهانه جا گذاشتن کارت شناسایی اش، همراه با سایر کارکنان آن سازمان وارد ساختمان می شود.

در چنین مواردی بهترین کار این است که کارشناسان بخش امنیت از آگاهی کامل کارکنان در خصوص حملات مهندسی اجتماعی اطمینان کافی را داشته باشند. لزوم آگاهی از این حملات، تنها به شرکت‌ها و سازمان‌ها محدود نمی‌شود بلکه همه افرادی که با اینترنت سر‌و‌کار دارند نیز باید این موارد را رعایت کنند.

 

محافظت در برابر حملات مهندسی اجتماعی

به طور کلی یکی از تهدیدهای اساسی حمله مهندسی اجتماعی، جمع آوری داده ها و اطلاعات شخصی کاربران است. بنابراین همواره می بایست جانب احتیاط را رعایت کنید زیرا مهاجمان می‌توانند از اطلاعاتی که خودتان به اشتراک می گذارید بر ضد شما استفاده کنند.

یکی دیگر از موارد حایز اهمیت در خصوص مهندسی اجتماعی، جلب اعتماد است. هیچگاه در فضای مجازی اطلاعات خود را با افراد نا‌شناس به اشتراک نگذاشته و هرگز به هیچ فرد غریبه ای اعتماد نکنید. اگر ایمیلی دریافت کرده یا تماس تلفنی داشتید که در پی دسترسی به اطلاعات شخصی شما بود، تا زمانی که به ‌طور کامل از صحت و درستی آن مطمئن نشده اید، از ارسال داده‌ها و اطلاعاتتان خودداری کنید.

برای شروع، چه کاری باید انجام داد:

  1. ایمیل­ های دریافتی را بررسی کرده و به آدرس فرستنده و نام دامنه آنها دقت کنید.
  2. در تماس ­های تلفنی، هیچ گاه اطلاعات مربوط به حساب های کاربری خود را بازگو نکنید.
  3. در گفتگوهای روزمره در اماکن عمومی حواس تان به صحبت هایی که می کنید، باشد؛ بسیاری از رمزها از همین اطلاعات معمولی به دست می­ آیند.
  4. در مکالمات تلفنی حواس تان به شخص مورد نظر باشد، چرا که امروزه تقلید صدا و ایجاد صدایی مشابه با صدای دوست و همکار شما کاری نسبتاً ساده است.
  5. پس از ترک میز کار، رایانه خود را قفل (لاک) کنید. کلیدهای ترکیبی “Windows+L” کار شما را برای انجام این کار آسان می کند. همچنین می­ توانید کلیدهای “Ctrl+Alt+Delete” را فشرده و سپس گزینه “Lock” را انتخاب نمایید.
  6. در هنگام اتصال به شبکه ­های بی سیم بسیار دقت کنید. در اغلب موارد شبکه ­های بی­ سیم رایگان، دامی برای به دست آوردن اطلاعات کاربران است.
  7. اطلاعات مهم را بر روی صفحه نمایش (دسکتاپ) سیستم خود ذخیره نکنید. همچنین نوشتن کلمه عبور و چسباندن آن بر روی صفحه کلید یا مانیتور می تواند کار نفوذگران را ساده تر کند.
  8. اگر به ایمیلی شک کرده و احساس نمودید که ممکن است حمله فیشینگ باشد، سریعاً مسئولان مربوطه را باخبر کنید.
  9. اگر مجبور شدید رمز عبور خود را با شخص دیگری در میان بگذارید، سریعاً اقدام به تغییر آن نمایید.
  10. همواره دانش خود را در خصوص تهدیدهای سایبری و به خصوص حملات مهندسی اجتماعی افزایش دهید.
خروج از نسخه موبایل