مقالات

تکنیک Pretext و روانشناسی یک کلاهبرداری

مهندسی اجتماعی –  تکنیک استفاده از روش‌های روانشناسی برای به دست آوردن اعتماد افراد و سو‌ءاستفاده از آن افرادی که مهندسی اجتماعی انجام می‌دهند در حقیقت از احساسات افراد به نفع خودشان بهره می‌برند. آن‌ها با استفاده از تحریک احساسات افراد، آن‌ها را قانع می‌کنند که اطلاعات حساس‌شان را فاش کنند یا اجازه دسترسی به نواحی تحت کنترل ساختمان‌ها و دفاتر اداری را بدهند. تاکتیک‌ها و استراتژی‌هایی که کلاهبرداران استفاده می‌کنند از مدت‌ها پیش وجود داشته‌اند که یکی از این تکنیک‌ها Pretexting است.

Pretext یک سناریوی ساختگی است که برای گول زدن افراد و جلب اعتماد آن‌ها طراحی شده است.‌اغلب کسانی که مهندسی اجتماعی انجام می‌دهند از نسخه‌ای از تکنیک Pretext استفاده می‌کنند، به عنوان مثال به افراد وعده مبالغ هنگفتی از پول را می‌دهند و یا هشدارهایی می‌دهند که ادعا می‌کنند حساب کاربری شما به دلیل مشاهده برخی فعالیت‌های خرابکارانه نیاز به به‌روزرسانی دارد.

در برخی موارد، کلاهبرداران هفته‌ها و ماه‌ها زمان صرف تحقیق بر روی پیاده‌سازی حملات پیچیده با به کارگیری تکنیک Pretexting جهت هدف قرار دادن یک سازمان به خصوص می‌کنند. کارکرد Pretext به چه صورت است؟ اجازه دهید در عمل به شما نشان دهیم تا درک عمیق‌تری از روانشناسی یک کلاهبرداری بدست بیاورید.

Pretext در عمل

Pretexting چگونه عمل می‌کند؟

سلام

سلام. Donna هستم از بخش IT. می‌تونم با Sam Spade از بخش پشتیبانی بازرگانی صحبت کنم؟

بله!

عالیه. همان‌طور که گفتم Donna هستم از بخش IT و نمی‌دونم که متوجه شدید یا نه اما امروز اینترنت رفتار عجیب غریبی داشته …

خوب، امروز صبح یک مقدار کند بوده

خوب ما داریم سعی می‌کنیم منبع این برخورد IP را پیدا و مجزا کنیم و به نظر می‌رسد که منبع این برخورد از جداول کنترلی و مسیریابی شبکه داخلی در بخش بازرگانی نشات می‌گیره، متوجه منظورم هستید؟

آه، بله.

خوبه. پیدا کردنش کار سختی نیست. من دارم بعضی از حساب‌هایی را که به نظر می رسه در حال ارسال TCP یا TLS هستند مجددا راه‌اندازی ‌کنم. فقط لازمه که شما پروفایل اکتیو دایرکتوری‌تونو مجددا راه‌اندازی کنید تا بافر دوباره شروع به کار کنه … ایمیل شما sam_spade@mycompany,com هستش؟

درسته.

و رمزعبورتون … اوه! قبل از اینکه رمزتو به من بگی باید قول بدی که بلافاصله آن را عوض می‌کنی و منظورم از بلافاصله دقیقا بعد از این هست که تماس من با شما قطع شد. می دونی که اینا همه مباحث امنیتی هستند و باید رعایت بشن.

قول می دم. خب، رمز عبورم اینه maryhad4rabbits … همه با حروف کوچک و یک عدد ۴ در میانه …

ممنون یک دقیقه صبر کنید…

کلیک!

Sam در اداره‌ی این موقعیت، ناموفق بود و پیش از آنکه نتیجه‌گیری کنید این نوع عمومی از حملات بر روی شما یا سایر اعضای سازمان‌تان اثرگذار نخواهد بود، به داستان جیسون استریت گوش کنید؛ زمانی که مأمور هک کردن یک بانک بزرگ در بیروت شد. این داستان توسط National Geographic به عنوان بخشی از مجموعه سریالی‌شان که نفوذ نامیده می‌شود: تحت عنوان ترور سایبری، به صورت مستند نمایشی در آمده است. استریت وارد بانک شد (در حالی که یک دوربین مخفی به همراه داشت) و با تظاهر به اینکه یکی از اعضای تیم IT است موفق شد به کامپیوتر دسترسی فیزیکی داشته باشد. یک نشان ساختگی، یک لباس فرم و یک راهکار Pretext عالی، همگی دست به دست هم می‌دهند تا نفوذ به سازمان صورت پذیرد.
اجازه ندهید Samهای دنیای‌ شما توسط Donnaهای موجود در جهان گول بخورند. دست‌به‌کار شوید و فرهنگ آگاهی امنیتی و فایروال‌های انسانی مقاوم در برابر کلاهبرداری را ایجاد کنید.

چگونه سازمانتان را از حمله با تکنیک pretext در امان نگه دارید؟

به کارکنان‌ آموزش دهید تا به مهندسی اجتماعی توجه کنند

زمانی که بحث جلوگیری از موفقیت مهندسی اجتماعی به میان می‌آید هیچ‌چیز جای آموزش را نمی‌گیرد. اگر کارکنان شما بدانند که هر فردی هر اندازه که موجه و قانونی به نظر بیاید، همواره باید شکاک و دیرباور باشند و هرگز به هیچ شخصی اعتماد کورکورانه نداشته باشند، درصد ریسک سازمان شما به شکل چشمگیری بهبود خواهد یافت.

خودتان را دست کم نگیرید

علی‌رغم جایگاه شغلی‌ای که در سازمان دارید، هرگز تصور نکنید که هدف حمله نخواهید بود. مسلما هرچه مجوز‌های دسترسی بالاتری داشته باشید، هدف جذاب‌تری برای کلاهبرداران به شمار می‌آیید؛ اما کلیه افراد از مدیران گرفته تا کارمند پذیرش در این بازی دخیل هستند و خنثی کردن تهدیدات احتمالی یکی از مسئولیت‌های مشترک کلیه افراد است.

تست‌های نفوذ انجام دهید

بانکی که استریت آن را هک کرد بر این نکته تأکید دارد که شناسایی آسیب‌پذیری‌ها و نقاط قوت سازمانتان بسیار حائز اهمیت است و تست نفوذ دقیقا به همین منظور انجام می‌شود. با به‌کارگیری یک شخص سوم که وارد شبکه‌ها و ساختمان شما شود و کارکنان شما را مورد حمله فیشینگ قرار دهد، می‌توانید میزان ریسک مجموعه‌تان را اندازه‌گیری کرده و طرحی برای تبدیل نقاط ضعف‌تان به نقاط قوت پایه‌ریزی کنید. بخش بزرگی از حفظ امنیت، یافتن حفره‌های موجود در سازمان است، پیش از آنکه این حفره‌ها به دست افراد نابکار بیفتند!

نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

3 + 3 =

دکمه بازگشت به بالا
بستن
بستن