مهندسی اجتماعی چیست؟ معرفی ابزاری برای تشخیص و پیشگیری از حملات مهندسی اجتماعی

بر اساس مقاله مهندسی اجتماعی چیست در سایت بیت دیفندر  میخواهیم به تعریف مهندسی اجتماعی، انواع حملات مهندسی اجتماعی و راهکارهای پیشگیری از آن بپردازیم.

تعریف مهندسی اجتماعی

وقتی به امنیت سایبری فکر می‌کنیم، بیشتر سوءاستفاده هکرها از ضعف‌های امنیتی و مقابله با آنها به ذهنمان خطور می‌کند اما راه دیگری برای نفوذ به سازمان‌ها و شبکه‌ها وجود دارد و آن بهره‌جویی از ضعف انسانی است که اغلب به عنوان مهندسی اجتماعی (Social Engineering) شناخته می‌شود و شامل فریب دادن کاربران به منظور افشای اطلاعات یا فراهم نمودن امکان دسترسی به داده‌های شبکه است.

متأسفانه، شانس اغلب به نفع مهاجمان است، زیرا آنها برای دسترسی به شبکه یک سازمان تنها به یک فرد ناآگاه نیاز دارند تا روی یک پیوند مخرب کلیک کند یا اطلاعات اصالت‌سنجی خود را وارد کند. مهاجمان به طور مستمر در حال توسعه تکنیک‌های خود هستند تا شبکه‌های بیشتری را شناسایی و به آنها نفوذ کنند. حتی همکاران یا شرکای تجاری نیز می‌توانند اهداف غیرمستقیمی برای مهاجمان جهت دستیابی به اطلاعات یا بهبود شانس نفوذ آنها به شبکه مورد نظر باشند.

به عنوان مثال، یک مهاجم می‌تواند خود را کارمند Helpdesk معرفی نموده و از کاربران بخواهد اطلاعاتی مانند نام کاربری و رمز عبور خود را ارائه دهند. جای تعجب است که بسیاری از کاربران در این مورد تامل نمی‌کنند و گمان می‌کنند که این اطلاعات توسط یکی از کارمندان بخش فناوری اطلاعات درخواست شده است.

به زبان ساده، مهندسی اجتماعی فریب دادن افراد جهت فراهم نمودن امکان دستکاری و نفوذ مهاجمان به شبکه یا افشای اطلاعات یا داده‌های آن است.

انواع حملات مهندسی اجتماعی

انواع مختلفی از حملات مهندسی اجتماعی وجود دارد. بنابراین درک تعریف مهندسی اجتماعی و همچنین نحوه کارکرد آن حائز اهمیت می‌باشد. به محض درک روش‌های اساسی این تکنیک، تشخیص حملات مهندسی اجتماعی بسیار آسان‌تر خواهد بود.

طعمه‌گذاری

طعمه‌گذاری (Baiting) شامل ایجاد یک عامل تحریک‌کننده یا بکارگیری یک تله نظیر یک USB حاوی بدافزار در مکان‌هایی است که احتمال دیدن آن توسط قربانی زیاد است. در واقع Baiting، استفاده از رسانه‌های فیزیکی جهت انتقال بدافزار می‌باشد. این طعمه، ظاهری بسیار فریبنده دارد، مثلاً روی آن نوشته شده لیست حقوق و دستمزد کارکنان شرکت. قربانی آن را از روی کنجکاوی برداشته و به سیستم خانه یا محل کار خود می‌زند و بدافزار اتوماتیک، شروع به نصب بر روی سیستم می‌کند.

بهانه‌سازی

این حمله از بهانه‌سازی (Pretexting) جهت جلب توجه و جذب قربانی به ارائه اطلاعات استفاده می‌کند. به عنوان مثال، یک نظرسنجی اینترنتی ممکن است کاملاً بی‌خطر به نظر برسد اما سپس جزئیات حساب بانکی را بپرسد. در حملات Pretexting ممکن است مهاجم با جعل هویت همکاران، پلیس، مقامات بانکی و مالیاتی یا سایر افراد، سوالاتی را مطرح کند که ظاهراً برای تائید هویت قربانی لازم است و از طریق آن اطلاعات حساس و حیاتی او نظیر شماره‌های تأمین اجتماعی، آدرس‌های شخصی و شماره تلفن‌ها، سوابق تلفن، تاریخ تعطیلات کارکنان، سوابق بانکی و … را جمع‌آوری می‌کند.

فیشینگ

حملات فیشینگ (Phishing) یعنی ارسال یک ایمیل یا پیام متنی که در ظاهر از یک منبع قابل اعتماد ارسال شده است. به عنوان مثال ایمیلی ظاهراً از سوی یک بانک ارسال می‌شود که از مشتریان درخواست می‌کند که اطلاعات امنیتی خود را تأیید کنند و آنها را به یک سایت جعلی هدایت می‌کند که در آن نام کاربری و رمز عبور خود را ثبت می‌کنند. در «فیشینگ نیزه‌ای» (Spear Phishing) نیز مهاجمان، شخصی را در یک شرکت خاص مورد هدف قرار می‌دهند و ایمیلی را ارسال می‌کنند که ظاهراً از سوی یک مدیر سطح بالاتر در شرکت می‌آید و اطلاعات محرمانه را درخواست می‌نمایند.

ویشینگ و اسمیشینگ

ویشینگ و اسمیشینگ (Vishing Smishing,) نوعی دیگر از حملات مهندسی اجتماعی و انواعی دیگر از حملات فیشینگ هستند. «ماهیگیری صوتی» یا فیشینگ صوتی (Vishing) به معنای برقراری تماس تلفنی از سوی مهاجم و درخواست داده است. این گونه تماس‌ها معمولاً در زمان‌های پراسترس اتفاق می‌افتد تا احساس فوریت ایجاد کنند و گیرنده تماس فریب خورده و اطلاعات شخصی و مهم درخواست شده را در اختیار آنها قرار دهد. مهاجم ممکن است به عنوان یک همکار ظاهر شود و تظاهر کند که از بخش فناوری اطلاعات تماس گرفته و اطلاعات ورود به سیستم را از او درخواست نماید. Smishing هم از پیام‌های SMS که حاوی پیوند است جهت دستیابی به اطلاعات قربانی یا نصب بدافزار بر روی دستگاه کاربر استفاده می‌کند.

ترس‌افزار

اعتقاد بر این است که «در یک مبادله عادلانه سرقتی در کار نیست»، اما در این مورد چنین است. بسیاری از حملات مهندسی اجتماعی باعث می‌شوند که قربانیان این باور را داشته باشند که در ازای داده‌ها یا دسترسی‌هایی که ارائه می‌کنند چیزی دریافت می‌کنند.Scareware  با ادعای اینکه سیستم کاربر به بدافزار آلوده است او را ترغیب به نصب یک نرم‌افزار می‌کند.Scareware  به کاربران در ازای دریافت داده، نوید یک به‌روزرسانی جهت مقابله با یک مشکل امنیتی فوری را می‌دهد. در حالی که در واقع، scareware هیچ منفعتی (به جزء برای مجرم) ندارد و صرفاً یک تهدید امنیتی مخرب است.

ارسال هرزنامه و هک ایمیل

نوع دیگری از حملات مهندسی اجتماعی شامل هک ایمیل یا حساب‌های مربوط به رسانه‌های اجتماعی افراد جهت دسترسی به مخاطبین آنها می‌باشد. در اینگونه حملات پس از هک حساب کاربری افراد، ممکن است به مخاطبین آنها گفته شود که مدارک فرد و تمام کارت‌های اعتباری او مورد سرقت قرار گرفته و از آنها خواسته شود تا پول را به حساب دیگری واریز کنند. یا ممکن است اقدام به ارسال ویدیویی نمایند که در واقع لینکی به یک بدافزار یا یک تروجان (Keylogging Trojan) است.

کشاورزی در مقابل شکار

در نهایت، آگاه باشید که برخی از حملات مهندسی اجتماعی بسیار پیشرفته‌تر می‌باشند. بیشتر رویکردهای ساده‌ای که تاکنون شرح دادیم، نوعی «شکار» (Hunting) هستند. اساساً مهاجمان در این حملات نفوذ می‌کنند، اطلاعات را دریافت نموده و خارج می‌شوند.

با این حال، در برخی از انواع حملات مهندسی اجتماعی، مهاجمان اقدام به برقراری ارتباط با هدف مورد نظر در یک بازه زمانی طولانی‌تر می‌نمایند که این تکنیک اغلب به عنوان کشاورزی (Farming) شناخته می‌شود. این ترفند برای مهاجم خطرناک‌تر است و احتمال بیشتری وجود دارد که شناسایی شوند اما، اگر نفوذ مهاجمان موفقیت‌آمیز باشد، می‌توانند اطلاعات بسیار بیشتری را استخراج نمایند.

پیشگیری از حملات مهندسی اجتماعی

مقابله با حملات مهندسی اجتماعی بسیار دشوار است، زیرا این گونه حملات به صراحت با سوءاستفاده از احساسات انسانی نظیر کنجکاوی، ترس و تمایل به کمک به دوستان طراحی شده‌اند و از این طریق قربانی را به دام می‌کشند. مهاجمان در این گونه حملات تلاش می‌کنند تا اعتماد و احساس فوریت را به حداکثر برسانند تا کاربران را متقاعد کنند تا اطلاعات اصالت‌سنجی خود را وارد کنند.

بررسی منبع ارسال کننده ایمیل

لحظه‌ای به منبع ارسال‌کننده پیام فکر کنید. کورکورانه به هیچ پیام یا ایمیلی اعتماد نکنید. یک USB روی میز خود مشاهده می‌کنید ولی نمی‌دانید چیست؟ یک تماس تلفنی غیر منتظره دریافت می‌کنید که ادعا می‌کند شما برنده 5 میلیون دلار شده‌اید؟ ایمیلی از مدیر عامل خود دریافت می‌نمایید که در آن اطلاعات زیادی در خصوص کارکنان از شما درخواست می‌کند. همه این موارد مشکوک به نظر می‌رسند و باید با آنها با احتیاط و هشیاری برخورد کرد.

آنها چه اطلاعاتی از شما می‌دانند؟

آیا آن منبع ارسال کننده پیام/ایمیل، اطلاعاتی نظیر نام کامل شما و غیره را که شما انتظار نمی‌رود در اختیار داشته باشند، دارند؟ به یاد داشته باشید، اگر بانکی با شما تماس می‌گیرد، باید همه آن داده‌ها را در اختیار داشته باشد و همیشه قبل از اینکه به شما اجازه ایجاد تغییرات در حسابتان را بدهد، سؤالات امنیتی می‌پرسد. اگر این کار را نکنند، احتمال اینکه ایمیل/تماس/پیام جعلی باشد به میزان قابل توجهی بیشتر است و باید مراقب باشید.

آموزش‌ امنیت سایبری و در اولویت قرار دادن آگاهی‌رسانی به کارکنان

کارکنان باید اهمیت محافظت از خود و سازمانشان در برابر انواع حملات مهندسی اجتماعی را درک کنند تا اولین خط دفاعی باشند و گام‌های پیشگیرانه برای محافظت از اطلاعات شخصی، دستگاه‌ها و شبکه‌های سازمان را بردارند. عنصر اساسی در این زمینه، مشارکت دادن کارکنان به هر طریقی در پذیرش و انجام مسئولیت‌های امنیتی است.

آموزش کاربران در خصوص شناسایی حملات فیشینگ

فیشینگ اغلب می‌تواند بخشی از استراتژی اولیه حمله مهاجمان جهت دسترسی و نفوذ به یک شبکه باشد. از این رو توصیه می‌شود که سازمان‌ها جهت آگاهی‌بخشی و هوشیاری کاربران در برابر تهدیدات فیشینگ از سرویس‌های شبیه‌سازی فیشینگ استفاده نمایند. همچنین آموزش کاربران در خصوص شیوه‌ها و واکنش مناسب هنگام مواجه با حملات فیشینگ هدفمند نیز در دستور کار قرار گیرد.

شکستن حلقه مهندسی اجتماعی

تکنیک‌های مهندسی اجتماعی اغلب احساس فوریت را به کاربران القاء می‌کند. مهاجمان امیدوارند که قربانیان در مورد آنچه در حال وقوع است فکر نکنند. بنابراین فقط یک لحظه فکر کردن می‌تواند از این حملات جلوگیری کند یا تقلبی بودن آنها را نشان دهند.

درخواست نمودن مدرک شناسایی معتبر

یکی از ساده‌ترین حملات مهندسی اجتماعی دور زدن ماموران امنیتی و حفاظتی ساختمان‌ها جهت ورود به یک ساختمان و حمل یک جعبه بزرگ یا دسته‌ای پرونده  توسط یک فرد است. در این حالت، فرد دیگری درب ورودی را باز نگه می‌دارد. فریب این را نخورید و همیشه کارت شناسایی معتبر از آنها درخواست کنید.

بکارگیری راهکار امنیتی جهت پالایش و فیلتر هرزنامه

اگر راهکار امنیت ایمیل شما به اندازه کافی هرزنامه (Spam) را فیلتر نمی‌کند یا ایمیل‌ها را به عنوان ایمیل مشکوک علامت‌گذاری نمی‌کند، ممکن است لازم باشد تنظیمات آن را تغییر دهید. فیلترهای هرزنامه مناسب در راهکارهای امنیتی، از انواع مختلفی از اطلاعات برای تعیین اینکه کدام ایمیل‌ها احتمالاً اسپم هستند استفاده می‌کنند. آن‌ها ممکن است فایل‌ها یا پیوندهای مشکوک را شناسایی نموده و ممکن است فهرست از نشانی‌های IP مشکوک یا شناسه‌های فرستنده این نوع پیام‌ها را در اختیار داشته باشند، یا ممکن است محتوای پیام‌ها را تحلیل کنند تا تشخیص دهند که کدام‌ یک احتمالاً جعلی هستند.

ایمن نمودن تمامی دستگاه‌های شبکه

تمامی دستگاه‌های خود را ایمن کنید تا چنانچه یک حمله مهندسی اجتماعی، موفقیت‌آمیز باشد، مهاجمان به اطلاعات محدودی دست یابند. اصول اولیه امنیت چه در تلفن هوشمند، یک شبکه خانگی یا یک سیستم بزرگ سازمانی یکسان است.

در نظرگرفتن ردپای دیجیتالی خود

همچنین کمی به ردپای دیجیتالی خود فکر کنید. اشتراک‌گذاری بیش از حد اطلاعات شخصی به صورت آنلاین، مانند رسانه‌های اجتماعی، می‌تواند به مهاجمان کمک کند. به عنوان مثال، بسیاری از بانک‌ها «نام اولین حیوان خانگی شما» را به عنوان یک سوال امنیتی احتمالی می‌پرسند. آیا آن را در فیسبوک (Facebook) به اشتراک گذاشته‌اید؟ اگر چنین است، ممکن است آسیب‌پذیر باشید! علاوه بر این، برخی از حملات مهندسی اجتماعی با اشاره به رویدادهای اخیری که ممکن است در شبکه‌های اجتماعی به اشتراک گذاشته باشید، سعی در دستیابی به اطلاعات اصالت‌سنجی شما دارند.

ابزار پیشگیری از حملات مهندسی اجتماعی

حملات مهندسی اجتماعی بسیار خطرناک است زیرا از موقعیت‌های کاملاً عادی سوءاستفاده می‌کند و آنها را برای اهداف مخرب بکار می‌گیرد. با این حال، با آگاهی کامل از نحوه کارکرد آن و انجام اقدامات احتیاطی اولیه، احتمال اینکه قربانی مهندسی اجتماعی شوید، بسیار کمتر خواهد بود.

همچنین می‌توان با استفاده از ابزارهای امنیتی احتمال وقوع این حملات را کاهش داد. ابزارهایی مانند آنتی ویروس‌ها، افزونه‌های امنیتی مرورگرها و اسکن شبکه‌های بی‌سیم با مشخص کردن وب‌سایت‌ها ایمن و یا مشکوک در زمان و منابع شما برای بررسی آن‌ها صرفه‌جویی می‌کنند.

همچنین آنتی ویروس‌ها با شناسایی بدافزارها، حملات فیشینگ را قبل از اینکه شما را فریب‌دهند شناسایی و مسدود می‌کنند.

راهبران امنیتی در سازمان با آموزش، بکارگیری راهکارهای مناسب و پروسه‌های مؤثر می‌توانند به همه کمک کنند تا امنیت سایبری را جدی بگیرند.

آنتی ویروس رایگان بیت‌دیفندر

با دانلود رایگان آنتی ویروس بیت دیفندر و استفاده از ابزارهای امنیتی آن برای دسکتاپ‌ های ویندوزری و دیوایس‌های هوشند اندرویدی و ios می‌توانید انواع بدافزارها، شبکه‌های بی‌سیم نا ایمن ، ویروس‌ها و سایت‌های مشکوک را تشخیص داده و قبل از وقوع حمله از آن جلوگیری به عمل آورید.

قبل از کلیک بر روی سایت، از ایمن بودن آن مطمئن شوید.

خرید آنتی ویروس سازمانی

با خرید آنتی ویروس بیت دیفندر سازمان خود را در برابر هر نوع تهدید و حمله ایمن نمایید. بسته های سازمانی بیت دیفندر مناسب کسب و کارهای کوچک تا سازمان های بزرگ می باشند.

سلب‌ مسئولیت: تیم تحریریه‌ سخت‌افزارمگ در تهیه‌ محتوای رپورتاژ نقشی نداشته و مسئولیتی در قبال صحت آن ندارد.