حملات مهندسی اجتماعی چیست و آشنایی با 5 مورد از آنها

حمله مهندسی اجتماعی چیست

حملات مهندسی اجتماعی اصطلاحی است که برای طیف گسترده‌ای از تله‌ها که بر پایه تعاملات انسانی بنا شده است، به کار برده می‌شود. در یک حمله مهندسی اجتماعی، خلاف‌کار یا بهتر است بگوییم خرابکار، باهدف قراردادن انسان‌ها و سوءاستفاده از تصمیمات لحظه‌ای و احساسی در زمان‌های حساس، اقدام به ربودن اطلاعات مهم و دسترسی‌های مجاز و یا آلوده کردن سیستم با بدافزار یا باج‌افزار می‌کند.

نکته‌ای که وجود دارد این است که هرچه قدر امنیت فایروال (firewall) و فیلتر‌های نظارتی شما بر شبکه، قوی و قدرتمند بنا شده باشد بازهم از طریق یک حمله مهندسی اجتماعی نفوذ به آن امکان‌پذیر است. در نتیجه خطری که در این نوع نفوذ متوجه شبکه است، خطری انسانی بوده و در مواردی بهترین پروتکل‌های امنیتی نیز قادر به مهار آن نیستند. در این مقاله سعی داریم تا بررسی هک مهندسی اجتماعی و شرح انواع مختلف آن شما را بیشتر از گذشته با روش‌های نفوذ به شبکه آشنا سازیم. پس تا انتها مقاله همراه ما باشید.

حملات مهندسی اجتماعی چیست؟

حملات مهندسی اجتماعی روش و رویکردی روان‌شناسی است که به‌موجب آن فرد خرابکار با استفاده از تله و حقه‌های هوشمندانه، به اطلاعات یا سیستم قربانی نفوذ می‌کند. منظور از رویکردی روان‌شناسی، استفاده از این علم در طراحی حقه‌ها و تله‌ها بر اساس احساسات قربانی است که نسبت به هر فرد ممکن است روش خاصی اتخاذ شود.

برای مثال یک حمله مهندسی اجتماعی می‌تواند ارسال یک ایمیل براین‌اساس باشد. “شما برنده 10 میلیون تومان وجه نقد از طرف بانک … شده‌اید، برای دریافت این جایزه اطلاعات موردنیاز را در لینک زیر وارد کنید.” در حقیقت لینک درج شده در این ایمیل به یک سایت یا بستر مخرب ختم می‌شود که تمامی اطلاعات وارد شده از طرف شما را به یک مقصد نامعلوم ارسال می‌کند.

ایمیل شرح داده شده برای افرادی ارسال می‌شود که نیاز شدید مالی دارند. این کار نشان‌دهنده رویکرد روان‌شناسی یک حمله مهندسی اجتماعی است که باهدف قراردادن تمامی جنبه‌های احساسی یک انسان، او را مجبور به اقدام بدون فکر می‌کند. بسیاری از سازمان‌های بزرگ و معتبر که دارای بانک اطلاعاتی عظیمی از اسناد، فایل‌ها، تصاویر و… هستند، هزینه‌های زیادی را برای افزایش امنیت شبکه و زیرساخت‌های خود صرف می‌کنند. غافل از این که تمام این پروتکل‌های اجرا شده با یک حمله مهندسی اجتماعی هوشمندانه، ناکارآمد خواهد شد.

حملات مهندسی اجتماعی

چرا هکر‌ها ریسک انجام یک حمله مهندسی را به جان می‌خرند؟

همان‌طور که اشاره شد، سازمان‌ها و ارگان‌های معتبر همواره بودجه قابل‌توجهی را برای افزایش امنیت زیرساخت‌ها و شبکه‌های خود صرف می‌کنند. تا جایی که شرکت‌هایی مانند گوگل، ناسا، مایکروسافت، فیسبوک (متا)، تلگرام و… سالانه بالغ بر میلیون‌ها دلار برای افزایش امنیت تمامی قسمت‌های حساس سیستم خود هزینه می‌کنند.

همین تلگرام که یکی از قدرتمندترین پیام‌رسان‌ها است، همچنان برای پیشرفته‌تر کردن پروتکل‌های امنیتی خود برای افرادی که بتواند بر هر قسمتی از آن نفوذ کند جایزه‌ای بزرگ اهدا خواهد کرد. حال تصور کنید که یک هکر غیرقانونی (که مسلما آهی در بساط ندارد؛ زیرا اکثر افرادی که اقدام به انجام کار غیرقانونی می‌کنند هدف اصلی‌شان کسب پول است) چگونه می‌تواند با یک سیستم مثلا 20 میلیونی از فیلتر‌های قدرتمند این شرکت‌ها عبور کرده و بر شبکه یا زیرساخت شبکه رخنه کند؟

از نظر منطق این کار غیرممکن است. اما در سالیان نه‌چندان دور شاهد رسوایی‌های بزرگی در این حوزه بوده‌ایم. حتی در یک مورد کودکی 13 ساله چینی اعتبار کل شرکت متا و پیام‌رسان واتس‌اَپ را زیر سوال برد! (البته نمی‌توان این خبر را معتبر دانست زیرا شرکت متا آن را تکذیب کرد و هیچ خبرگزاری معتبری آن را اعلام نکرد) در جواب این سوال باید گفت که استفاده از اشتباهات انسانی دلیل پیروزی یک هکر در برابر میلیون‌ها دلار است.

با این تفاسیر بهتر می‌توان به پاسخ سوال “چرا یک هکر ریسک انجام حمله مهندسی اجتماعی را به جان می‌خرد؟” رسید. زیرا در زمان‌هایی شاید فرد خرابکار منابع لازم و کافی برای رخنه به پروتکل‌های امنیتی را ندارد. ازاین‌رو با طراحی حملات مهندسی اجتماعی، به این منابع دسترسی پیدا کرده و در نهایت اهداف خود را عملی می‌سازد.

5 نوع از حملات مهندسی اجتماعی همراه با مثال

انواع مختلفی از یک حمله مهندسی اجتماعی را می‌توان طراحی کرد که بسته به خلاقیت یک انسان، دسته‌بندی نامحدودی برای این موضوع وجود دارد. اما بیشترین حملات مهندسی اجتماعی رخ‌داده در سالیان اخیر در پنج مورد زیر خلاصه می‌شود که توسط سایت imperva ارائه شده است:

  1. Baiting
  2. Scareware
  3. Pretexting
  4. Phishing
  5. Spear phishing

خرابکاران و هکرها در هر یک از انواع حملات مهندسی یاد شده، با تحریک قسمت‌های مختلف احساسات و خارج از منطق انسان، راهی برای به‌دست‌آوردن دسترسی یا کسب اطلاعات و منابع موردنیاز باز می‌کنند. در ادامه به بررس تمامی این موارد با مثال‌های مختلف پرداخته‌ایم. پیشنهاد می‌شود تا حتما مطالعه فرمایید زیراکه در ایران تعداد وقوع این حملات بسیار زیاد شده است. تا جایی که حتی رمز پویا و پروتکل‌های امنیتی جدید اتخاذ شده نیز پاسخگو نیستند و تنها با افزایش دانش عمومی می‌توان از رخداد این اتفاقات جلوگیری کرد.

Baiting

ترجمه لفظی این کلمه تله‌گذاری است. در این نوع حمله اجتماعی مهندسی، هکر نیاز به یک تله تحریک‌کننده دارد تا قربانی را مجبور به استفاده از آن کند. برای مثال یک دیسک اطلاعاتی یا حتی یک فلش معمولی می‌تواند به‌عنوان تله استفاده شود. هکر با آلوده کردن این موارد به فایل‌های مخرب (که شاید حتی قابل رویت و شناسایی نیز نباشند) تلاش می‌کند تا کاری کند که قربانی از آن استفاده کند.

مثلا با برنامه‌ریزی یک دوستی دروغین، به‌عنوان هدیه به او یک فیلم می‌دهد. یا با هویت یک فرد معتمد در جامعه مانند پلیس، دکتر، قاضی، وکیل و… قربانی را مجاب به استفاده از فلش آلوده می‌کند. در فیلم‌های هالیوودی شاید از این نوع اتفاقات دیده باشید. در حقیقت به این نوع نفوذ به اطلاعات فرد، حمله مهندسی اجتماعی از نوع تله‌گذاری یا baiting می‌گویند که قربانی بدون آگاهی، به دلیل استفاده از یک دیسک یا حتی فلش معمولی آلوده، تمامی اطلاعاتش به سرقت می‌رود.

Scareware

Scareware در فارسی به معنی ابزاری ترسناک است. اما در دنیای کامپیوتر به راهکاری گفته می‌شود تا در آن فرد مجاب به دانلود یک فایل مخرب شود. حملات اجتماعی مهندسی از نوع Scareware، اغلب با یک پیام شروع می‌شود. مثلا در سیستم شما یک ویروس بسیار خطرناک شناسایی شده است. برای ازبین‌بردن آن از برنامه یاد شده استفاده کنید.

یا حتی در مواردی خاص‌تر که نیاز به خلاقیت و هوشمندی بیشتری از طرف فرد خرابکار است، با پیام‌های از قبیل: کم‌کردن 10 کیلو وزن در 30 روز با دانلود نرم‌افزار زیر؛ روش ثروتمند شدن در 30 روز؛ خرید محصول با 90 درصد تخفیف و… مواجه خواهید شد.

 برای جلوگیری از گرفتار شدن در این نوع دام بهتر است تا قبل از هر نوع تصمیم و عمل کمی فکر کنید. پس از آن نیاز است تا اعتبار سایت (برای چک کردن اعتبار سایت روش‌ها و ابزارهای مختلفی مانند سایت moz وجود دارد)، برنامه یا پیام را چک کنید. در نهایت توصیه می‌شود تا به‌هیچ‌عنوان اطلاعات خود را به اشتراک نگذارید، حتی شماره تلفن.

امنیت بیشتر اطلاعات و منابع

Pretexting

در این نوع متد از هک مهندسی اجتماعی، هدف کسب اطلاعات از طریق بیان دروغ‌هایی هوشمندانه است. اغلب با لباس افرادی که مجوز پرس‌وجو دارند، مانند کارمند مالیات، مأمور اطلاعات و مأمور پلیس، اطلاعات موردنیاز برای ایجاد دسترسی توسط خرابکار کسب می‌شود.

برای مثال زمانی که هکر قصد نفوذ به شبکه مالیاتی کشور را دارد، با عنوان کارمند مالیات و همکار، با دروغ‌هایی اطلاعات و منابع موردنیاز برای رخنه به شبکه مالیاتی را از طریق یک کارمند واقعی مالیات به دست می‌آورد. مانند کسب اطلاعاتی شخصی شامل شماره تلفن، مشخصات سیستمی که برای واردشدن به شبکه از آن استفاده می‌کند، نام فرزندان، همسر و حیوانات خانگی (در پروسه کشف رمز این موارد بسیار کمک‌کننده است) و… .

این مورد اغلب در هک و دزدی‌های اطلاعاتی در سطح وسیع و بسیار بزرگ صورت می‌گیرد. زیرا نیاز به برنامه‌ریزی و اجرای نقشه‌های مختلف در بازه زمانی طولانی و به‌صورت حرفه‌ای است تا هیچ‌گونه ردپایی بجا نماند.

Phishing

امروزه کمتر کسی با پیامک‌های مداوم و پیوسته پلیس فتا که کلمه فیشینگ بارهاوبارها در آن تکرار شده، آشنایی ندارد. در حقیقت فیشینگ یک روش هک مهندسی اجتماعی است که در آن فرد خرابکار با ارسال یک پیام که حاوی گزارش دروغینی دررابطه‌با اتفاقی اضطراری است، شمارا ملزم به کاری می‌کند.

برای مثال یک SMS که حاوی پیامی با مضمون شکایت یک فرد از شما و لزوم تایید تاریخ دادگاه از جانب قربانی، از شما اطلاعات شخصی و مهمی را دریافت می‌شود. در موارد مختلف ممکن است این پیام‌ها متنوع و حتی واقعی‌تر از نوع واقعی آن باشد! برای واقعی کردن پیام و مهم جلوه‌دادن آن از اطلاعات شخصی افراد نیز استفاده می‌شود. مانند جناب آقای X با شماره تلفن Y و آدرس محل سکونت Z  برای جلوگیری از اعمال جریمه برق اضافی با شناسه قبض فلان به لینک زیر مراجعه نمایید.

در این مواقع باید هوشیارانه عمل کنید. اگر متن پیام در حدی واقعی بود که شما را به شک انداخت! بهتر است تا با بررسی پیام و اطلاعاتی که از شما می‌خواهد شروع کنید. در نهایت بهترین کار مراجعه به دفاتر معتبر و مشورت با یک فرد فعال در حوزه مرتبط است. در سال‌های اخیر به دلیل مشکلات اقتصادی فراوان و ازبین‌رفتن بسیاری از ارزش‌های انسانی، آمار جرم و جنایت به‌خصوص در حوزه فناوری اطلاعات افزایش ترسناکی داشته است، ازاین‌رو توصیه می‌شود تا با هوشیاری کامل در اشتراک‌گذاری اطلاعات عمل کنید.

Phishing

Spear phishing 

نوع هدفمندتر فیشینگ، spear phishing است. در این نوع هک و دزدی اطلاعات که توسط حملات مهندسی اجتماعی طرح‌ریزی می‌شود، پیام بسیار دقیق و ظریف نوشته شده است. تا جایی که امکان دارد خرابکار از چندین ماه تا چندین سال را صرف طراحی متن فیشینگ کند.

در برخی موارد هک مهندسی اجتماعی، شاهد جعل نامه‌های اداری با همان مهر و امضا معتبر هستیم که برای کارمندان یک حوزه فرستاده می‌شود. در این نوع جرم احتمال پیروزی نقشه بسیار بالاست زیرا تعداد قربانیان بالاست، متن پیام تقریبا واقعی است و جامعه هدف نیز درست انتخاب شده است.

برای مثال برای هک یک بانک، پیامی جعلی که با پیامی واقعی از طرف سازمان ناظر بر موارد امنیتی بانک تفاوتی ندارد، به کارمندان یک شعبه خاص فرستاده می‌شود. شاید از 10 کارمند 2 نفر به این پیام شک کرده و آن را حتی بازهم نکنند اما احتمال این که افراد دیگر مرتکب اشتباه شوند بالاست. با این روش هکر به سیستم و شبکه اطلاعاتی بانک نفوذ کرده و اقدام به خرابکاری می‌کند.

راهکار‌های جلوگیری از حملات مهندسی اجتماعی چیست؟

حملات مهندسی اجتماعی به دلیل هدف قراردادن انسان‌ها و استفاده از نقاط ضعف و احساسی، همواره یکی از خطرناک‌ترین روش‌های نفوذ به شبکه است. زیرا هرچه قدر زیرساخت‌های یک سازمان امن و پروتکل‌های امنیتی استفاده شده دقیق باشد، بازهم احتمال نفوذ امنیتی با یک حمله مهندسی اجتماعی وجود خواهد داشت. ازاین‌رو برای جلوگیری از به سرقت رفتن اطلاعات، منابع، فایل‌های محرمانه، عکس و تصاویر شخصی و موارد دیگر بهتر است تا به توصیه‌های زیر توجه فرمایید:

  • در زمان مواجه با مأمور قبل از به اشتراک قراردادن هر نوع اطلاعاتی از اعتبار وی اطمینان حاصل کنید. مانند بررسی کارت و مشخصات مربوط به ادعای طرف
  • در زمان دریافت هر نوع پیامی مانند ایمیل، SMS، نوتیفیکیشن و… قبل از هر اقدامی فکر کرده و از اعتبار فرستند مانند شماره، آدرس ایمیل، آدرس سایت فرستنده و… اطمینان حاصل کنید.
  • اگر متن پیام کاملا واقعی به نظر رسید و در صورت بی‌توجهی به پیام امکان دارد تا واقعا متحمل ضرر یا جریمه شوید، توصیه می‌شود برای اطمینان و راحتی خیال به شعبه معتبری برای رفع ابهامات مراجعه کنید.
  • به‌هیچ‌عنوان اطلاعات شخصی مانند شماره تلفن، رمز عبور، آدرس ایمیل، آدرس محل زندگی و حتی نام اعضای خانواده و حیوانات خانگی را نیز برای افراد مشکوک ارسال نکنید. زیر این اطلاعات در یافتن رمز عبور شما کاربردی است.
  • از هر سایتی اقدام به دانلود نرم‌افزار و برنامه نکنید. برای این منظور سرویس‌های معتبری مانند گوگل‌پلی وجود دارد.
  • بر روی هر لینکی کلیک نکنید و هر نوع پیام تهدیدآمیزی را جدی نگیرید.

راهکار‌های جلوگیری از حملات مهندسی اجتماعی

جمع‌بندی

شرکت‌ها و سازمان‌های بزرگ همواره یک تیم خبره و مجهز همراه با بودجه بیشتر از کافی به‌منظور ایجاد بستری امن دارند. این کار لازمه حفظ اعتبار یک مجموعه است اما باز‌هم در مواردی شاهد رخنه در پروتکل‌های امنیتی اجرا شده هستیم. در این موارد هکر و فرد خرابکار باهدف قراردادن انسان‌ها و استفاده از اشتباهات انسانی اهداف خود را عملی می‌کند. به این نوع هک، حملات مهندسی اجتماعی گفته می‌شود که بسیار خطرناک بوده و شرکت‌های بزرگی از این نوع حملات ضربه خورده‌اند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.