مطالب آموزشی

مهندسی اجتماعی: تکنیک ها و راهکارها

مهندسی اجتماعی به عنوان یک تهدید امنیتی شناخته می‌شود که انسان‌ها را به جای رایانه‌ها و نرم افزارها هدف قرار می‌دهد. در این نوع از حملات ترکیبی، تکنیک‌های تطمیع و فریبکاری به کار گرفته می‌شود تا بر روی اهداف تاثیر گذاشته و آنها را وادار به انجام کاری خاص کنند.

مهندسی اجتماعی از چه اصولی تبعیت می‌کند؟

مهندسان اجتماعی معمولاً از هفت اصل کلیدی Cialdini برای متقاعدسازی طعمه‌های خود استفاده می‌کنند:

  • عمل متقابل (Reciprocity): طبق این اصل، معمولا زمانی که شخصی برای ما کاری انجام دهد و یا در حق ما لطفی کند، به دنبال جبران آن خواهیم بود. 
  • تعهد و یکپارچگی (Commitment & Consistency): این اصل متقاعد سازی از این خصیصه بهره می‌برد که ما انسان‌ها معمولا تلاش می کنیم بر سر قولی که به دیگران می‌دهیم بمانیم. 
  • مقبولیت اجتماعی (Social Proof): این اصل به این معناست که هر کاری که تعداد زیادی از افراد آن را تایید می‌کنند و یا به آن گرایش دارند، خوب به نظر می‌رسد.
  • اقتدار (Authority): اگر در زمینه‌ای فردی که دارای تبحر، قدرت و دانش است کاری را تایید کند، افراد بیشتری به دنبال آن خواهند رفت.
  • علاقه‌مندی (Liking): طبق این اصل، مردم بیشتر علاقه‌مند به انجام کارهایی هستند که مورد تایید افراد محبوب آنها باشد. خواه این فرد دوستی صمیمی باشد و یا چهره شناخته شده اجتماعی.
  • کمیابی (Scarcity): انسان‌ها معمولا به سمت چیزهایی که کمتر در دسترس هستند، انحصاری باشند و یا برای مدت محدودی در دسترس باشند، جذب می‌شوند.
  • یگانگی (Unity): این اصل از حس علاقه‌مندی بین افراد فراتر رفته و به سراغ حس یگانگی میان آنها می‌رود. به این معنا که زمانی که حس کنیم فرد مقابل یکی از ماست، راحتتر به او اعتماد می‌کنیم.

بسیاری از رایج‌ترین انواع حملات مهندسی اجتماعی از یک و یا چندین مورد از این اصول کلیدی سود می‌برند. برای مثال حملات نفوذ به ایمیل‌های سازمانی، خود را در قالب مسئول قانونی نشان داده و اطلاعات حساس و یا پول قربانی را به سرقت می‌برند. برای تولید صورت‌های مالی تقلبی نیز از مورد یکپارچگی و تعهد استفاده می‌شود، به این شکل که اگر شرکتی تصور کند که در حال استفاده از خدمات و یا محصول یک فروشنده خاص می‌باشد، با مشاهده صورت حساب دریافتی احتمالا هزینه آن را پرداخت خواهد کرد.

انواع حملات مهندسی اجتماعی

فیشینگ رایج‌ترین نوع مهندسی اجتماعی است که در حملات سایبری استفاده می‌شود. حملات فیشینگ انواع مختلفی دارند، از جمله:

  • فیشینگ هدفمند (Spear Phishing):‌ این حملات بسیار انحصاری و هدفمند می‌باشند و مهاجمان تحقیقات عمیقی بر روی اهداف خود انجام می‌دهند تا حملات خود را با توجه به شرایط هدف تنظیم کنند و احتمال موفقیت را به حداکثر برسانند.
  • حمله whaling: حملات whaling نوعی از فیشینگ هدفدار هستند که افراد برجسته و رده بالا در سازمان‌ها را هدف‌گیری می‌کنند. این قبیل حملات بیشتر برای سرقت اطلاعات حساس و سوء استفاده از قدرت 

    قربانی انجام می‌گیرند.

  • حمله به ایمیل سازمانی: مهاجم خود را به عنوان یک فرد مهم و معتبر درون سازمان جا می‌زند و یا از سوی فروشنده و یا تامین کننده ارتباط برقرار می‌کند. این حملات معمولا برای به سرقت بردن اطلاعات حیاتی و یا دریافت پول از کارمندان می‌باشد.
  • فیشینگ پیامکی:‌ این نوع حملات از طریق پیامک‌ صورت می‌گیرند. به دلیل استفاده گسترده سازمان‌ها از پیامک‌ برای دسترسی به مشتریان، مهندسان اجتماعی از خدمات کوتاه کردن لینک برای پنهان کردن مقصد لینک خود استفاده می‌کنند.
  • فیشینگ صوتی:‌ این قبیل حملات از بیشتر تکنیک‌های مشابه با فیشینگ استفاده می‌کنند، با این تفاوت که از طریق تلفن صورت می‌گیرد.

 مقاله مرتبط: ‌حمله فیشینگ و راه‌های حفاظت از آن 

تکنیک‌های مورد استفاده در این حملات

مهندسان اجتماعی علاوه بر استفاده از روانشناسی برای تأثیرگذاری، از ترفندهای دیگری نیز در حملات خود استفاده می‌کنند. برخی از تکنیک‌های رایج حمله مورد استفاده در حملات فیشینگ عبارتند از:

لینک‌های بدافزاری: ایمیل‌های فیشینگ معمولا دارای لینک‌هایی هستند که به سایت‌های مخرب متصل می‌شوند. این لینک‌ها و سایت‌ها طوری طراحی می‌شوند که شبیه به سایت‌های قانونی به نظر برسند.

پیوست‌های آلوده: ایمیل‌های فیشینگ ممکن است دارای بدافزارهای پیوست شده و یا فایل‌هایی باشند که بدافزار دانلود می‌کنند. ماکروهای آفیس و یا PDF های آلوده از این دست پیوست‌ها می‌باشند.

آدرس‌های کاملا مشابه: برای واقعی‌تر کردن هرچه بیشتر این ایمیل‌ها، مهاجمان از آدرس‌های مشابه نیز استفاده می‌کنند. آدرس ایمیل‌هایی که شبیه به یک دامنه قانونی هستند، در نگاه اول سالم به نظر می‌رسند و بسیاری را به دام می‌اندازند.

چگونه می‌توان از این حملات جلوگیری کرد؟

مهندسی اجتماعی و فیشینگ تهدیدی جدی برای امنیت سایبری سازمان‌هاست. بهترین روش‌ها برای مقابله با این نوع حملات عبارت‌اند از:

  • آموزش کارکنان: بهتر است که کارکنان در خصوص تهدیدات مهندسی اجتماعی بدانند تا به بهترین نحو آنها را شناسایی و به آنها پاسخ دهند. بخش مهم این آموزش، نحوه شناسایی انواع مختلف حملات فیشینگ و این واقعیت است که فیشینگ به ایمیل محدود نمی‌شود.
  • احراز هویت چند مرحله‌ای: حملات مهندسی اجتماعی معمولا به دنبال اطلاعات کاربری افرادی هستند که می‌تواند برای دسترسی به منابع شرکت مورد استفاده قرار گیرد. استفاده از احراز هویت چند مرحله‌ای می‌تواند این کار را برای آنها سخت‌تر نماید.
  • تفکیک وظایف: حملات مهندسی اجتماعی برای فریب اهداف به منظور دریافت اطلاعات و پول از سوی قربانیان طراحی می‌شوند. برای توقف این حملات می‌بایست که تمامی پرداخت‌ها و سایر اقدامات پرخطر چندین وقفه در مسیر خود داشته باشد تا احتمال فریب خوردن به وسیله هرگونه کلاهبرداری را کاهش دهد.
  • ضد بدافزار و ضد ویروس: حملات فیشینگی معمولا برای ارسال بدافزار طراحی می‌شوند. راهکارهای امنیتی چون ضد‌بدافزارها می‌توانند عامل بازدارنده و شناساگر ضروری برای این قبیل حملات باشند.
  • راهکارهای حفظ امنیت ایمیلی: عاملان فیشینگ از تکنیک‌های مختلفی برای واقعی جلوه دادن پیام‌های خود و فریب قربانی استفاده می‌کنند. راهکارهای حفظ امنیت ایمیلی، ایمیل‌ها را برای محتوای مشکوک اسکن می‌کنند و محتوای مخرب احتمالی را از پیام‌ها و پیوست‌ها پیش از تحویل به گیرنده پاک می‌کنند.

با توجه به اهمیت و محرمانگی موضوع ایمیل در سازمان‌ها و ضرورت محافظت در برابر حملات فیشینگ، استفاده از محافظ درگاه ایمیل پادویش به عنوان یکی از راهکارهای امن و مطمئن برای مقابله با این نوع حملات، توصیه می‌شود.

مطالب مرتبط

Cyber security

۵ اشتباه رایج امنیت سایبری!

quishing

QR کد، مفید اما نیازمند احتیاط!

Spyware

جاسوس‌افزارها سرزده می‌آیند! (۲)