حملات مهندسی اجتماعی چیست و آشنایی با 5 مورد از آنها
حملات مهندسی اجتماعی اصطلاحی است که برای طیف گستردهای از تلهها که بر پایه تعاملات انسانی بنا شده است، به کار برده میشود. در یک حمله مهندسی اجتماعی، خلافکار یا بهتر است بگوییم خرابکار، باهدف قراردادن انسانها و سوءاستفاده از تصمیمات لحظهای و احساسی در زمانهای حساس، اقدام به ربودن اطلاعات مهم و دسترسیهای مجاز و یا آلوده کردن سیستم با بدافزار یا باجافزار میکند.
نکتهای که وجود دارد این است که هرچه قدر امنیت فایروال (firewall) و فیلترهای نظارتی شما بر شبکه، قوی و قدرتمند بنا شده باشد بازهم از طریق یک حمله مهندسی اجتماعی نفوذ به آن امکانپذیر است. در نتیجه خطری که در این نوع نفوذ متوجه شبکه است، خطری انسانی بوده و در مواردی بهترین پروتکلهای امنیتی نیز قادر به مهار آن نیستند. در این مقاله سعی داریم تا بررسی هک مهندسی اجتماعی و شرح انواع مختلف آن شما را بیشتر از گذشته با روشهای نفوذ به شبکه آشنا سازیم. پس تا انتها مقاله همراه ما باشید.
حملات مهندسی اجتماعی چیست؟
حملات مهندسی اجتماعی روش و رویکردی روانشناسی است که بهموجب آن فرد خرابکار با استفاده از تله و حقههای هوشمندانه، به اطلاعات یا سیستم قربانی نفوذ میکند. منظور از رویکردی روانشناسی، استفاده از این علم در طراحی حقهها و تلهها بر اساس احساسات قربانی است که نسبت به هر فرد ممکن است روش خاصی اتخاذ شود.
برای مثال یک حمله مهندسی اجتماعی میتواند ارسال یک ایمیل برایناساس باشد. “شما برنده 10 میلیون تومان وجه نقد از طرف بانک … شدهاید، برای دریافت این جایزه اطلاعات موردنیاز را در لینک زیر وارد کنید.” در حقیقت لینک درج شده در این ایمیل به یک سایت یا بستر مخرب ختم میشود که تمامی اطلاعات وارد شده از طرف شما را به یک مقصد نامعلوم ارسال میکند.
ایمیل شرح داده شده برای افرادی ارسال میشود که نیاز شدید مالی دارند. این کار نشاندهنده رویکرد روانشناسی یک حمله مهندسی اجتماعی است که باهدف قراردادن تمامی جنبههای احساسی یک انسان، او را مجبور به اقدام بدون فکر میکند. بسیاری از سازمانهای بزرگ و معتبر که دارای بانک اطلاعاتی عظیمی از اسناد، فایلها، تصاویر و… هستند، هزینههای زیادی را برای افزایش امنیت شبکه و زیرساختهای خود صرف میکنند. غافل از این که تمام این پروتکلهای اجرا شده با یک حمله مهندسی اجتماعی هوشمندانه، ناکارآمد خواهد شد.
مراحل یک حمله مهندسی اجتماعی
با کمی کندوکار در حملات مهندسی اجتماعی که تاکنون شناسایی شدهاند، میتوان گفت این حملات معمولا از چند مرحله ثابت پیروی میکنند:
- تحقیق: مهاجم بعد از شناسایی قربانی، یک روش حمله انتخاب میکند.
- تعامل: در این مرحله ضمن برقراری تماس، فرایند اعتمادسازی آغاز میشود.
- حمله: حمله شکل میگیرد و مهاجم اطلاعات لازم را جمعآوری میکند.
- دروازه: مهاجم مسیر ورود خود را میپوشاند و حمله را به پایان میرساند.
چرا هکرها ریسک انجام یک حمله مهندسی را به جان میخرند؟
همانطور که اشاره شد، سازمانها و ارگانهای معتبر همواره بودجه قابلتوجهی را برای افزایش امنیت زیرساختها و شبکههای خود صرف میکنند. تا جایی که شرکتهایی مانند گوگل، ناسا، مایکروسافت، فیسبوک (متا)، تلگرام و… سالانه بالغ بر میلیونها دلار برای افزایش امنیت تمامی قسمتهای حساس سیستم خود هزینه میکنند.
همین تلگرام که یکی از قدرتمندترین پیامرسانها است، همچنان برای پیشرفتهتر کردن پروتکلهای امنیتی خود برای افرادی که بتواند بر هر قسمتی از آن نفوذ کند جایزهای بزرگ اهدا خواهد کرد. حال تصور کنید که یک هکر غیرقانونی (که مسلما آهی در بساط ندارد؛ زیرا اکثر افرادی که اقدام به انجام کار غیرقانونی میکنند هدف اصلیشان کسب پول است) چگونه میتواند با یک سیستم مثلا 20 میلیونی از فیلترهای قدرتمند این شرکتها عبور کرده و بر شبکه یا زیرساخت شبکه رخنه کند؟
از نظر منطق این کار غیرممکن است. اما در سالیان نهچندان دور شاهد رسواییهای بزرگی در این حوزه بودهایم. حتی در یک مورد کودکی 13 ساله چینی اعتبار کل شرکت متا و پیامرسان واتساَپ را زیر سوال برد! (البته نمیتوان این خبر را معتبر دانست زیرا شرکت متا آن را تکذیب کرد و هیچ خبرگزاری معتبری آن را اعلام نکرد) در جواب این سوال باید گفت که استفاده از اشتباهات انسانی دلیل پیروزی یک هکر در برابر میلیونها دلار است.
با این تفاسیر بهتر میتوان به پاسخ سوال “چرا یک هکر ریسک انجام حمله مهندسی اجتماعی را به جان میخرد؟” رسید. زیرا در زمانهایی شاید فرد خرابکار منابع لازم و کافی برای رخنه به پروتکلهای امنیتی را ندارد. ازاینرو با طراحی حملات مهندسی اجتماعی، به این منابع دسترسی پیدا کرده و در نهایت اهداف خود را عملی میسازد.
علائم هشداردهنده حملات مهندسی اجتماعی را بشناسیم
حملات مهندسی اجتماعی از جمله هوشمندانهترین و زیرکانهترین حملات سایبری هستند که با وجود داستانهای متقاعدکننده، تشخیص آنها فوقالعاده دشوار است. اما نشانههایی که در ادامه این بخش معرفی میکنیم، احتمالا کمک میکنند این حملات را سریعتر تشخیص دهید:
- دریافت پیام غیرعادی از طرف همکار، مدیر یا شخصی که میشناسید.
- تخفیفهای عجیبغریب که باورکردنشان سخت است.
- هرگونه پیامی که در ازای اطلاعات حساس، چیزی که دنبالش هستید را در اختیارتان میگذارد.
- درخواستی برای انجام یک عمل غیرعادی و تهدید در صورت نادیدهگیری این درخواست.
- دریافت پیغام ایمیلی، تماس تلفنی، پیام متنی یا صوتی از شمارههای ناشناس.
- دریافت پیغام ایمیلی، تماس تلفنی، پیام متنی یا صوتی برای احراز هویت و تایید اطلاعات شما.
- دریافت پیغام ایمیلی برای تغییر فوری یک رمز عبور.
- دریافت پیغام ایمیلی با محتوای هشدار در مورد قفل یا بستهشدن حساب.
چنانچه احساس میکنید در معرض یک حمله مهندسی اجتماعی قرار گرفتهاید، به این علائم بیشتر دقت کنید:
- احساس فوریت: مهاجم میکوشد با برقراری تماس فوری و به ظاهر حساس به زمان، گیرنده را به وحشت بیاندازند. هدف این است که گیرنده احساس کند اگر دیر بجنبد، یک پیشنهاد ویژه، تخفیف عالی یا فرصت تکرارنشدنی را از دست میدهد یا حتی بهنحوی جریمه میشود.
- درخواست اطلاعات حساس از طریق ایمیل: کسب و کارهای قانونی هرگز اطلاعات کارت اعتباری، شماره تامین اجتماعی یا رمز عبور را از طریق ایمیل درخواست نمیکنند. اگر شرکتی چنین درخواستی از شما دارد، به احتمال زیاد کلاهبرداری است.
- آدرس ایمیل جعلی: ببینید ایمیل دریافتی از یک دامنه مورد تایید ارسال شده یا نه. برای مثال پیامهای شرکتی مثل مایکروسافت از آدرس microsoft.com@ دریافت میشود، نه microsoft.co@.
5 نوع از حملات مهندسی اجتماعی همراه با مثال
انواع مختلفی از یک حمله مهندسی اجتماعی را میتوان طراحی کرد که بسته به خلاقیت یک انسان، دستهبندی نامحدودی برای این موضوع وجود دارد. اما بیشترین حملات مهندسی اجتماعی رخداده در سالیان اخیر در پنج مورد زیر خلاصه میشود که توسط سایت imperva ارائه شده است:
- Baiting
- Scareware
- Pretexting
- Phishing
- Spear phishing
خرابکاران و هکرها در هر یک از انواع حملات مهندسی یاد شده، با تحریک قسمتهای مختلف احساسات و خارج از منطق انسان، راهی برای بهدستآوردن دسترسی یا کسب اطلاعات و منابع موردنیاز باز میکنند. در ادامه به بررس تمامی این موارد با مثالهای مختلف پرداختهایم. پیشنهاد میشود تا حتما مطالعه فرمایید زیراکه در ایران تعداد وقوع این حملات بسیار زیاد شده است. تا جایی که حتی رمز پویا و پروتکلهای امنیتی جدید اتخاذ شده نیز پاسخگو نیستند و تنها با افزایش دانش عمومی میتوان از رخداد این اتفاقات جلوگیری کرد.
Baiting
ترجمه لفظی این کلمه تلهگذاری است. در این نوع حمله اجتماعی مهندسی، هکر نیاز به یک تله تحریککننده دارد تا قربانی را مجبور به استفاده از آن کند. برای مثال یک دیسک اطلاعاتی یا حتی یک فلش معمولی میتواند بهعنوان تله استفاده شود. هکر با آلوده کردن این موارد به فایلهای مخرب (که شاید حتی قابل رویت و شناسایی نیز نباشند) تلاش میکند تا کاری کند که قربانی از آن استفاده کند.
مثلا با برنامهریزی یک دوستی دروغین، بهعنوان هدیه به او یک فیلم میدهد. یا با هویت یک فرد معتمد در جامعه مانند پلیس، دکتر، قاضی، وکیل و… قربانی را مجاب به استفاده از فلش آلوده میکند. در فیلمهای هالیوودی شاید از این نوع اتفاقات دیده باشید. در حقیقت به این نوع نفوذ به اطلاعات فرد، حمله مهندسی اجتماعی از نوع تلهگذاری یا baiting میگویند که قربانی بدون آگاهی، به دلیل استفاده از یک دیسک یا حتی فلش معمولی آلوده، تمامی اطلاعاتش به سرقت میرود.
Scareware
Scareware در فارسی به معنی ابزاری ترسناک است. اما در دنیای کامپیوتر به راهکاری گفته میشود تا در آن فرد مجاب به دانلود یک فایل مخرب شود. حملات اجتماعی مهندسی از نوع Scareware، اغلب با یک پیام شروع میشود. مثلا در سیستم شما یک ویروس بسیار خطرناک شناسایی شده است. برای ازبینبردن آن از برنامه یاد شده استفاده کنید.
یا حتی در مواردی خاصتر که نیاز به خلاقیت و هوشمندی بیشتری از طرف فرد خرابکار است، با پیامهای از قبیل: کمکردن 10 کیلو وزن در 30 روز با دانلود نرمافزار زیر؛ روش ثروتمند شدن در 30 روز؛ خرید محصول با 90 درصد تخفیف و… مواجه خواهید شد.
برای جلوگیری از گرفتار شدن در این نوع دام بهتر است تا قبل از هر نوع تصمیم و عمل کمی فکر کنید. پس از آن نیاز است تا اعتبار سایت (برای چک کردن اعتبار سایت روشها و ابزارهای مختلفی مانند سایت moz وجود دارد)، برنامه یا پیام را چک کنید. در نهایت توصیه میشود تا بههیچعنوان اطلاعات خود را به اشتراک نگذارید، حتی شماره تلفن.
Pretexting
در این نوع متد از هک مهندسی اجتماعی، هدف کسب اطلاعات از طریق بیان دروغهایی هوشمندانه است. اغلب با لباس افرادی که مجوز پرسوجو دارند، مانند کارمند مالیات، مأمور اطلاعات و مأمور پلیس، اطلاعات موردنیاز برای ایجاد دسترسی توسط خرابکار کسب میشود.
برای مثال زمانی که هکر قصد نفوذ به شبکه مالیاتی کشور را دارد، با عنوان کارمند مالیات و همکار، با دروغهایی اطلاعات و منابع موردنیاز برای رخنه به شبکه مالیاتی را از طریق یک کارمند واقعی مالیات به دست میآورد. مانند کسب اطلاعاتی شخصی شامل شماره تلفن، مشخصات سیستمی که برای واردشدن به شبکه از آن استفاده میکند، نام فرزندان، همسر و حیوانات خانگی (در پروسه کشف رمز این موارد بسیار کمککننده است) و… .
این مورد اغلب در هک و دزدیهای اطلاعاتی در سطح وسیع و بسیار بزرگ صورت میگیرد. زیرا نیاز به برنامهریزی و اجرای نقشههای مختلف در بازه زمانی طولانی و بهصورت حرفهای است تا هیچگونه ردپایی بجا نماند.
Phishing
امروزه کمتر کسی با پیامکهای مداوم و پیوسته پلیس فتا که کلمه فیشینگ بارهاوبارها در آن تکرار شده، آشنایی ندارد. در حقیقت فیشینگ یک روش هک مهندسی اجتماعی است که در آن فرد خرابکار با ارسال یک پیام که حاوی گزارش دروغینی دررابطهبا اتفاقی اضطراری است، شمارا ملزم به کاری میکند.
برای مثال یک SMS که حاوی پیامی با مضمون شکایت یک فرد از شما و لزوم تایید تاریخ دادگاه از جانب قربانی، از شما اطلاعات شخصی و مهمی را دریافت میشود. در موارد مختلف ممکن است این پیامها متنوع و حتی واقعیتر از نوع واقعی آن باشد! برای واقعی کردن پیام و مهم جلوهدادن آن از اطلاعات شخصی افراد نیز استفاده میشود. مانند جناب آقای X با شماره تلفن Y و آدرس محل سکونت Z برای جلوگیری از اعمال جریمه برق اضافی با شناسه قبض فلان به لینک زیر مراجعه نمایید.
در این مواقع باید هوشیارانه عمل کنید. اگر متن پیام در حدی واقعی بود که شما را به شک انداخت! بهتر است تا با بررسی پیام و اطلاعاتی که از شما میخواهد شروع کنید. در نهایت بهترین کار مراجعه به دفاتر معتبر و مشورت با یک فرد فعال در حوزه مرتبط است. در سالهای اخیر به دلیل مشکلات اقتصادی فراوان و ازبینرفتن بسیاری از ارزشهای انسانی، آمار جرم و جنایت بهخصوص در حوزه فناوری اطلاعات افزایش ترسناکی داشته است، ازاینرو توصیه میشود تا با هوشیاری کامل در اشتراکگذاری اطلاعات عمل کنید.
Spear phishing
نوع هدفمندتر فیشینگ، spear phishing است. در این نوع هک و دزدی اطلاعات که توسط حملات مهندسی اجتماعی طرحریزی میشود، پیام بسیار دقیق و ظریف نوشته شده است. تا جایی که امکان دارد خرابکار از چندین ماه تا چندین سال را صرف طراحی متن فیشینگ کند.
در برخی موارد هک مهندسی اجتماعی، شاهد جعل نامههای اداری با همان مهر و امضا معتبر هستیم که برای کارمندان یک حوزه فرستاده میشود. در این نوع جرم احتمال پیروزی نقشه بسیار بالاست زیرا تعداد قربانیان بالاست، متن پیام تقریبا واقعی است و جامعه هدف نیز درست انتخاب شده است.
برای مثال برای هک یک بانک، پیامی جعلی که با پیامی واقعی از طرف سازمان ناظر بر موارد امنیتی بانک تفاوتی ندارد، به کارمندان یک شعبه خاص فرستاده میشود. شاید از 10 کارمند 2 نفر به این پیام شک کرده و آن را حتی بازهم نکنند اما احتمال این که افراد دیگر مرتکب اشتباه شوند بالاست. با این روش هکر به سیستم و شبکه اطلاعاتی بانک نفوذ کرده و اقدام به خرابکاری میکند.
برای آشنایی بیشتر با این نوع حمله سایبری مقاله فیشینگ چیست را از دست ندهید.
راهکارهای جلوگیری از حملات مهندسی اجتماعی چیست؟
حملات مهندسی اجتماعی به دلیل هدف قراردادن انسانها و استفاده از نقاط ضعف و احساسی، همواره یکی از خطرناکترین روشهای نفوذ به شبکه است. زیرا هرچه قدر زیرساختهای یک سازمان امن و پروتکلهای امنیتی استفاده شده دقیق باشد، بازهم احتمال نفوذ امنیتی با یک حمله مهندسی اجتماعی وجود خواهد داشت. ازاینرو برای جلوگیری از به سرقت رفتن اطلاعات، منابع، فایلهای محرمانه، عکس و تصاویر شخصی و موارد دیگر بهتر است تا به توصیههای زیر توجه فرمایید:
- در زمان مواجه با مأمور قبل از به اشتراک قراردادن هر نوع اطلاعاتی از اعتبار وی اطمینان حاصل کنید. مانند بررسی کارت و مشخصات مربوط به ادعای طرف
- در زمان دریافت هر نوع پیامی مانند ایمیل، SMS، نوتیفیکیشن و… قبل از هر اقدامی فکر کرده و از اعتبار فرستند مانند شماره، آدرس ایمیل، آدرس سایت فرستنده و… اطمینان حاصل کنید.
- اگر متن پیام کاملا واقعی به نظر رسید و در صورت بیتوجهی به پیام امکان دارد تا واقعا متحمل ضرر یا جریمه شوید، توصیه میشود برای اطمینان و راحتی خیال به شعبه معتبری برای رفع ابهامات مراجعه کنید.
- بههیچعنوان اطلاعات شخصی مانند شماره تلفن، رمز عبور، آدرس ایمیل، آدرس محل زندگی و حتی نام اعضای خانواده و حیوانات خانگی را نیز برای افراد مشکوک ارسال نکنید. زیر این اطلاعات در یافتن رمز عبور شما کاربردی است.
- از هر سایتی اقدام به دانلود نرمافزار و برنامه نکنید. برای این منظور سرویسهای معتبری مانند گوگلپلی وجود دارد.
- بر روی هر لینکی کلیک نکنید و هر نوع پیام تهدیدآمیزی را جدی نگیرید.
راهحلهای نرمافزاری برای جلوگیری از حملات مهندسی اجتماعی
فراتر از تمام عناصر انسانی که برای جلوگیری از عملات مهندسی اجتماعی مورد استفاده قرار میگیرند، سازمان میبایست به فکر راهحلهای نرم افزاری و امنیت سایبری برای مواجهه با این حملات هم باشد. برای مثال:
- استفاده از انواع سنسورها. واقعیت تلخی در مورد حملات مهندسی اجتماعی وجود دارد؛ اینکه ما نمیتوانیم چیزی که نمیبینیم را متوقف کنیم. از اینرو سازمانها باید به فکر قابلیتهایی باشند که دید کاملی را برای دفاع از محیط شبکه در اختیار تیم امنیتی قرار میدهد. طوری که هیچ نقطه کوری تبدیل به پناهگاه دشمن نشود.
- هوش فنی. برای بهبود امنیت سایبری سراغ هوش فنی مثل شاخصهای سازش (IOC) ا. اینطوری رویدادهایی که تاکنون قابل شناسایی نبودند، بهراحتی برجسته میشوند.
- هوش تهدید. سعی کنید تا میتوانید گزارشهای اطلاعاتی تهدیدات روایی مهندسان اجتماعی را بخوانید و تصویر واضحی از رفتار بازیگران، ابزارهایی که استفاده میکنند و صنایعی که مورد حمله قرار میدهند، ترسیم کنید. این روزها درک زمینه یک حمله فوقالعاده حائز اهمیت است.
- شکار تهدید. فنآوریهای امنیتی به تنهایی نمیتوانند محافظت صددرصدی را تضمین کنند و فناوریهایی که تاکنون در این زمینه توسعهیافته، خطاپذیرند؛ بنابراین اولین قدم برای مقابله با این حملات، شکار ۲۴ ساعته تهدیدات حملات مهندسی اجتماعی بهطور کاملا انسانی و مدیریت شده است.
چند پرسش برای پیشگیری از حملات مهندسی اجتماعی
دفاع در برابر مهندسی اجتماعی مستلزم تمرین خودآگاهی است. همیشه قبل از هر واکنشی سرعت خود را کم کنید و قبل از آنکه به پیغام دریافتی پاسخ دهید، کمی فکر کنید. چون مهاجم دقیقا انتظار دارد کاربر شتابزده عمل کند و اصطلاحا دستپاچه شود. پس شما باید برعکس عمل کنید. پیشنهاد میکنیم این چند سوال را از خود بپرسید:
- آیا احساساتم بعد از دیدن این پیغام تحریک شده است؟ وقتی به طرز عجیبی احساس کنجکاوی، ترس یا هیجان میکنیم، طبیعتا قدرت کمتری برای ارزیابی عواقب اعمال خود داریم. به عبارتی راحتتر چشممان را روی حقایق میبندیم و «خام» میشویم! پس اگر بعد از دیدن پیغامی احساس میکنید احساساتتان تحریک شده و دوست دارید شتابزده عمل کنید، این را یک پرچم قرمز در نظر بگیرید.
- آیا این پیغام واقعا از طرف دوست من است؟ اگر فرستنده پیام ادعا میکند دوست شما یا مدیر شرکتی است که مدتهاست مشتری آن هستید، زحمت بکشید با طرف مقابل تماس بگیرید و مطمئن شوید این پیغام واقعا از جانب اوست. ممکن است دستگاه دوستتان هک شده و خودش بیخبر باشد. یا اصلا شخص دیگری هویتش را جعل کرده باشد.
- آیا ظاهر وبسایتی که مرور میکنم، عجیبغریب به نظر میرسد؟ بی نظمی در URL، کیفیت بسیار بد تصاویر، لوگوهای قدیمی یا اشتباه و اشتباهات تایپی صفحه وب، همگی میتوانند پرچم هشدار یک وبسایت جعلی باشند. هر موقع به هر طریقی پایتان به این وبسایتها باز شد، خیلی زود آن را ترک کنید.
- آیا این پیشنهاد، تخفیف یا فرصت ویژه بیش از حد خوب به نظر میرسد؟ در مورد جوایز و پیشنهاداتی که میشنوید، کمی منطقی باشید. چرا کسی باید بخش زیادی از سود خود را بهعنوان جایزه به کاربران ببخشد؟ گول اعداد و ارقام نجومی را نخورید. اینها معمولا تلههای خوش آبورنگی برای دزدیدن اطلاعات کاربران هستند.
- فایل پیوست یا لینک این پیغام مشکوک به نظر میرسد؟ اگر نام پیوند یا فایل پیوست پیام مبهم یا عجیب به نظر میرسد، لطفا در صحت کل ارتباط تجدید نظر کنید. همچنین در نظر بگیرید که آیا خود پیام پرچم قرمز شک برانگیزی دارد یا خیر.
- آیا این شخص میتواند هویت خود را به من ثابت کند؟ اگر هیچجوره نمیتوانید از فرستنده پیام مطمئن شوید، از خود او بخواهید هویتش را در ارتباط با سازمان تایید کند. اگر نتوانست مدرک محکمی ارائه کند، به او اجازه دسترسی ندهید. این کار را هم در برخوردهای حضوری و هم مکالمات آنلاین انجام دهید.
جمعبندی
شرکتها و سازمانهای بزرگ همواره یک تیم خبره و مجهز همراه با بودجه بیشتر از کافی بهمنظور ایجاد بستری امن دارند. این کار لازمه حفظ اعتبار یک مجموعه است اما بازهم در مواردی شاهد رخنه در پروتکلهای امنیتی اجرا شده هستیم. در این موارد هکر و فرد خرابکار باهدف قراردادن انسانها و استفاده از اشتباهات انسانی اهداف خود را عملی میکند. به این نوع هک، حملات مهندسی اجتماعی گفته میشود که بسیار خطرناک بوده و شرکتهای بزرگی از این نوع حملات ضربه خوردهاند.
دیدگاهتان را بنویسید