حملات مهندسی اجتماعی چیست و آشنایی با 5 مورد از آنها

تحقیق: مهاجم بعد از شناسایی قربانی، یک روش حمله انتخاب می‌کند.

تعامل: در این مرحله ضمن برقراری تماس، فرایند اعتمادسازی آغاز می‌شود.

حمله: حمله شکل می‌گیرد و مهاجم اطلاعات لازم را جمع‌آوری می‌کند.

دروازه: مهاجم مسیر ورود خود را می‌پوشاند و حمله را به پایان می‌رساند.

 

 

چرا هکر‌ها ریسک انجام یک حمله مهندسی را به جان می‌خرند؟

 

همان‌طور که اشاره شد، سازمان‌ها و ارگان‌های معتبر همواره بودجه قابل‌توجهی را برای افزایش امنیت زیرساخت‌ها و شبکه‌های خود صرف می‌کنند. تا جایی که شرکت‌هایی مانند گوگل، ناسا، مایکروسافت، فیسبوک (متا)، تلگرام و... سالانه بالغ بر میلیون‌ها دلار برای افزایش امنیت تمامی قسمت‌های حساس سیستم خود هزینه می‌کنند.

 

همین تلگرام که یکی از قدرتمندترین پیام‌رسان‌ها است، همچنان برای پیشرفته‌تر کردن پروتکل‌های امنیتی خود برای افرادی که بتواند بر هر قسمتی از آن نفوذ کند جایزه‌ای بزرگ اهدا خواهد کرد. حال تصور کنید که یک هکر غیرقانونی (که مسلما آهی در بساط ندارد؛ زیرا اکثر افرادی که اقدام به انجام کار غیرقانونی می‌کنند هدف اصلی‌شان کسب پول است) چگونه می‌تواند با یک سیستم مثلا 20 میلیونی از فیلتر‌های قدرتمند این شرکت‌ها عبور کرده و بر شبکه یا زیرساخت شبکه رخنه کند؟

 

از نظر منطق این کار غیرممکن است. اما در سالیان نه‌چندان دور شاهد رسوایی‌های بزرگی در این حوزه بوده‌ایم. حتی در یک مورد کودکی 13 ساله چینی اعتبار کل شرکت متا و پیام‌رسان واتس‌اَپ را زیر سوال برد! (البته نمی‌توان این خبر را معتبر دانست زیرا شرکت متا آن را تکذیب کرد و هیچ خبرگزاری معتبری آن را اعلام نکرد) در جواب این سوال باید گفت که استفاده از اشتباهات انسانی دلیل پیروزی یک هکر در برابر میلیون‌ها دلار است.

 

با این تفاسیر بهتر می‌توان به پاسخ سوال “چرا یک هکر ریسک انجام حمله مهندسی اجتماعی را به جان می‌خرد؟” رسید. زیرا در زمان‌هایی شاید فرد خرابکار منابع لازم و کافی برای رخنه به پروتکل‌های امنیتی را ندارد. ازاین‌رو با طراحی حملات مهندسی اجتماعی، به این منابع دسترسی پیدا کرده و در نهایت اهداف خود را عملی می‌سازد.

 

علائم هشداردهنده حملات مهندسی اجتماعی را بشناسیم

 

حملات مهندسی اجتماعی از جمله هوشمندانه‌ترین و زیرکانه‌ترین حملات سایبری هستند که با وجود داستان‌های متقاعدکننده، تشخیص آنها فوق‌العاده دشوار است. اما نشانه‌هایی که در ادامه این بخش معرفی می‌کنیم، احتمالا کمک می‌کنند این حملات را سریع‌تر تشخیص دهید:

 

• • دریافت پیام غیرعادی از طرف همکار، مدیر یا شخصی که می‌شناسید.
  • تخفیف‌های عجیب‌غریب‌ که باورکردنشان سخت است.
  • هرگونه پیامی که در ازای اطلاعات حساس، چیزی که دنبالش هستید را در اختیارتان می‌گذارد.
  • درخواستی برای انجام یک عمل غیرعادی و تهدید در صورت نادیده‌گیری این درخواست.‌
  • دریافت پیغام ایمیلی، تماس تلفنی، پیام متنی یا صوتی از شماره‌های ناشناس.
  • دریافت پیغام ایمیلی، تماس تلفنی، پیام متنی یا صوتی برای احراز هویت و تایید اطلاعات شما.
  • دریافت پیغام ایمیلی برای تغییر فوری یک رمز عبور.
  • دریافت پیغام ایمیلی با محتوای هشدار در مورد قفل یا بسته‌شدن حساب.

 

 

چنانچه احساس می‌کنید در معرض یک حمله مهندسی اجتماعی قرار گرفته‌اید، به این علائم بیشتر دقت کنید:

 

• • احساس فوریت: مهاجم می‌کوشد با برقراری تماس فوری و به ظاهر حساس به زمان، گیرنده را به وحشت بیاندازند. هدف این است که گیرنده احساس کند اگر دیر بجنبد، یک پیشنهاد ویژه، تخفیف عالی یا فرصت تکرارنشدنی را از دست می‌دهد یا حتی به‌نحوی جریمه می‌شود.
  • درخواست اطلاعات حساس از طریق ایمیل: کسب و کارهای قانونی هرگز اطلاعات کارت اعتباری، شماره تامین اجتماعی یا رمز عبور را از طریق ایمیل درخواست نمی‌کنند. اگر شرکتی چنین درخواستی از شما دارد، به احتمال زیاد کلاهبرداری است.
  • آدرس ایمیل جعلی: ببینید ایمیل دریافتی از یک دامنه مورد تایید ارسال شده یا نه. برای مثال پیام‌های شرکتی مثل مایکروسافت از آدرس microsoft.com@ دریافت می‌شود، نه microsoft.co@.

 

 

5 نوع از حملات مهندسی اجتماعی همراه با مثال

انواع مختلفی از یک حمله مهندسی اجتماعی را می‌توان طراحی کرد که بسته به خلاقیت یک انسان، دسته‌بندی نامحدودی برای این موضوع وجود دارد. اما بیشترین حملات مهندسی اجتماعی رخ‌داده در سالیان اخیر در پنج مورد زیر خلاصه می‌شود که توسط سایت imperva ارائه شده است:

 

1. 1. Baiting
   2. Scareware
   3. Pretexting
   4. Phishing
   5. Spear phishing

 

 

خرابکاران و هکرها در هر یک از انواع حملات مهندسی یاد شده، با تحریک قسمت‌های مختلف احساسات و خارج از منطق انسان، راهی برای به‌دست‌آوردن دسترسی یا کسب اطلاعات و منابع موردنیاز باز می‌کنند. در ادامه به بررس تمامی این موارد با مثال‌های مختلف پرداخته‌ایم. پیشنهاد می‌شود تا حتما مطالعه فرمایید زیراکه در ایران تعداد وقوع این حملات بسیار زیاد شده است. تا جایی که حتی رمز پویا و پروتکل‌های امنیتی جدید اتخاذ شده نیز پاسخگو نیستند و تنها با افزایش دانش عمومی می‌توان از رخداد این اتفاقات جلوگیری کرد.

 

Baiting

 

ترجمه لفظی این کلمه تله‌گذاری است. در این نوع حمله اجتماعی مهندسی، هکر نیاز به یک تله تحریک‌کننده دارد تا قربانی را مجبور به استفاده از آن کند. برای مثال یک دیسک اطلاعاتی یا حتی یک فلش معمولی می‌تواند به‌عنوان تله استفاده شود. هکر با آلوده کردن این موارد به فایل‌های مخرب (که شاید حتی قابل رویت و شناسایی نیز نباشند) تلاش می‌کند تا کاری کند که قربانی از آن استفاده کند.

 

مثلا با برنامه‌ریزی یک دوستی دروغین، به‌عنوان هدیه به او یک فیلم می‌دهد. یا با هویت یک فرد معتمد در جامعه مانند پلیس، دکتر، قاضی، وکیل و... قربانی را مجاب به استفاده از فلش آلوده می‌کند. در فیلم‌های هالیوودی شاید از این نوع اتفاقات دیده باشید. در حقیقت به این نوع نفوذ به اطلاعات فرد، حمله مهندسی اجتماعی از نوع تله‌گذاری یا baiting می‌گویند که قربانی بدون آگاهی، به دلیل استفاده از یک دیسک یا حتی فلش معمولی آلوده، تمامی اطلاعاتش به سرقت می‌رود.

 

Scareware

 

Scareware در فارسی به معنی ابزاری ترسناک است. اما در دنیای کامپیوتر به راهکاری گفته می‌شود تا در آن فرد مجاب به دانلود یک فایل مخرب شود. حملات اجتماعی مهندسی از نوع Scareware، اغلب با یک پیام شروع می‌شود. مثلا در سیستم شما یک ویروس بسیار خطرناک شناسایی شده است. برای ازبین‌بردن آن از برنامه یاد شده استفاده کنید.

 

یا حتی در مواردی خاص‌تر که نیاز به خلاقیت و هوشمندی بیشتری از طرف فرد خرابکار است، با پیام‌های از قبیل: کم‌کردن 10 کیلو وزن در 30 روز با دانلود نرم‌افزار زیر؛ روش ثروتمند شدن در 30 روز؛ خرید محصول با 90 درصد تخفیف و... مواجه خواهید شد.

 برای جلوگیری از گرفتار شدن در این نوع دام بهتر است تا قبل از هر نوع تصمیم و عمل کمی فکر کنید. پس از آن نیاز است تا اعتبار سایت (برای چک کردن اعتبار سایت روش‌ها و ابزارهای مختلفی مانند سایت moz وجود دارد)، برنامه یا پیام را چک کنید. در نهایت توصیه می‌شود تا به‌هیچ‌عنوان اطلاعات خود را به اشتراک نگذارید، حتی شماره تلفن.

 

 

Pretexting

 

در این نوع متد از هک مهندسی اجتماعی، هدف کسب اطلاعات از طریق بیان دروغ‌هایی هوشمندانه است. اغلب با لباس افرادی که مجوز پرس‌وجو دارند، مانند کارمند مالیات، مأمور اطلاعات و مأمور پلیس، اطلاعات موردنیاز برای ایجاد دسترسی توسط خرابکار کسب می‌شود.

 

برای مثال زمانی که هکر قصد نفوذ به شبکه مالیاتی کشور را دارد، با عنوان کارمند مالیات و همکار، با دروغ‌هایی اطلاعات و منابع موردنیاز برای رخنه به شبکه مالیاتی را از طریق یک کارمند واقعی مالیات به دست می‌آورد. مانند کسب اطلاعاتی شخصی شامل شماره تلفن، مشخصات سیستمی که برای واردشدن به شبکه از آن استفاده می‌کند، نام فرزندان، همسر و حیوانات خانگی (در پروسه کشف رمز این موارد بسیار کمک‌کننده است) و... .

 

این مورد اغلب در هک و دزدی‌های اطلاعاتی در سطح وسیع و بسیار بزرگ صورت می‌گیرد. زیرا نیاز به برنامه‌ریزی و اجرای نقشه‌های مختلف در بازه زمانی طولانی و به‌صورت حرفه‌ای است تا هیچ‌گونه ردپایی بجا نماند.

 

Phishing

 

امروزه کمتر کسی با پیامک‌های مداوم و پیوسته پلیس فتا که کلمه فیشینگ بارهاوبارها در آن تکرار شده، آشنایی ندارد. در حقیقت فیشینگ یک روش هک مهندسی اجتماعی است که در آن فرد خرابکار با ارسال یک پیام که حاوی گزارش دروغینی دررابطه‌با اتفاقی اضطراری است، شمارا ملزم به کاری می‌کند.

 

برای مثال یک SMS که حاوی پیامی با مضمون شکایت یک فرد از شما و لزوم تایید تاریخ دادگاه از جانب قربانی، از شما اطلاعات شخصی و مهمی را دریافت می‌شود. در موارد مختلف ممکن است این پیام‌ها متنوع و حتی واقعی‌تر از نوع واقعی آن باشد! برای واقعی کردن پیام و مهم جلوه‌دادن آن از اطلاعات شخصی افراد نیز استفاده می‌شود. مانند جناب آقای X با شماره تلفن Y و آدرس محل سکونت Z  برای جلوگیری از اعمال جریمه برق اضافی با شناسه قبض فلان به لینک زیر مراجعه نمایید.

 

در این مواقع باید هوشیارانه عمل کنید. اگر متن پیام در حدی واقعی بود که شما را به شک انداخت! بهتر است تا با بررسی پیام و اطلاعاتی که از شما می‌خواهد شروع کنید. در نهایت بهترین کار مراجعه به دفاتر معتبر و مشورت با یک فرد فعال در حوزه مرتبط است. در سال‌های اخیر به دلیل مشکلات اقتصادی فراوان و ازبین‌رفتن بسیاری از ارزش‌های انسانی، آمار جرم و جنایت به‌خصوص در حوزه فناوری اطلاعات افزایش ترسناکی داشته است، ازاین‌رو توصیه می‌شود تا با هوشیاری کامل در اشتراک‌گذاری اطلاعات عمل کنید.

 

 

Spear phishing 

 

نوع هدفمندتر فیشینگ، spear phishing است. در این نوع هک و دزدی اطلاعات که توسط حملات مهندسی اجتماعی طرح‌ریزی می‌شود، پیام بسیار دقیق و ظریف نوشته شده است. تا جایی که امکان دارد خرابکار از چندین ماه تا چندین سال را صرف طراحی متن فیشینگ کند.

 

در برخی موارد هک مهندسی اجتماعی، شاهد جعل نامه‌های اداری با همان مهر و امضا معتبر هستیم که برای کارمندان یک حوزه فرستاده می‌شود. در این نوع جرم احتمال پیروزی نقشه بسیار بالاست زیرا تعداد قربانیان بالاست، متن پیام تقریبا واقعی است و جامعه هدف نیز درست انتخاب شده است.

 

برای مثال برای هک یک بانک، پیامی جعلی که با پیامی واقعی از طرف سازمان ناظر بر موارد امنیتی بانک تفاوتی ندارد، به کارمندان یک شعبه خاص فرستاده می‌شود. شاید از 10 کارمند 2 نفر به این پیام شک کرده و آن را حتی بازهم نکنند اما احتمال این که افراد دیگر مرتکب اشتباه شوند بالاست. با این روش هکر به سیستم و شبکه اطلاعاتی بانک نفوذ کرده و اقدام به خرابکاری می‌کند.

 

برای آشنایی بیشتر با این نوع حمله سایبری مقاله بعد از فیشینگ چه کنیم را از دست ندهید.

 

راهکار‌های جلوگیری از حملات مهندسی اجتماعی چیست؟

 

حملات مهندسی اجتماعی به دلیل هدف قراردادن انسان‌ها و استفاده از نقاط ضعف و احساسی، همواره یکی از خطرناک‌ترین روش‌های نفوذ به شبکه است. زیرا هرچه قدر زیرساخت‌های یک سازمان امن و پروتکل‌های امنیتی استفاده شده دقیق باشد، بازهم احتمال نفوذ امنیتی با یک حمله مهندسی اجتماعی وجود خواهد داشت. ازاین‌رو برای جلوگیری از به سرقت رفتن اطلاعات، منابع، فایل‌های محرمانه، عکس و تصاویر شخصی و موارد دیگر بهتر است تا به توصیه‌های زیر توجه فرمایید:

 

• • در زمان مواجه با مأمور قبل از به اشتراک قراردادن هر نوع اطلاعاتی از اعتبار وی اطمینان حاصل کنید. مانند بررسی کارت و مشخصات مربوط به ادعای طرف
  • در زمان دریافت هر نوع پیامی مانند ایمیل، SMS، نوتیفیکیشن و... قبل از هر اقدامی فکر کرده و از اعتبار فرستند مانند شماره، آدرس ایمیل، آدرس سایت فرستنده و... اطمینان حاصل کنید.
  • اگر متن پیام کاملا واقعی به نظر رسید و در صورت بی‌توجهی به پیام امکان دارد تا واقعا متحمل ضرر یا جریمه شوید، توصیه می‌شود برای اطمینان و راحتی خیال به شعبه معتبری برای رفع ابهامات مراجعه کنید.
  • به‌هیچ‌عنوان اطلاعات شخصی مانند شماره تلفن، رمز عبور، آدرس ایمیل، آدرس محل زندگی و حتی نام اعضای خانواده و حیوانات خانگی را نیز برای افراد مشکوک ارسال نکنید. زیر این اطلاعات در یافتن رمز عبور شما کاربردی است.
  • از هر سایتی اقدام به دانلود نرم‌افزار و برنامه نکنید. برای این منظور سرویس‌های معتبری مانند گوگل‌پلی وجود دارد.
  • بر روی هر لینکی کلیک نکنید و هر نوع پیام تهدیدآمیزی را جدی نگیرید.

 

 

 

راه‌حل‌های نرم‌افزاری برای جلوگیری از حملات مهندسی اجتماعی

 

فراتر از تمام عناصر انسانی که برای جلوگیری از عملات مهندسی اجتماعی مورد استفاده قرار می‌گیرند، سازمان می‌بایست به فکر راه‌حل‌های نرم افزاری و امنیت سایبری برای مواجهه با این حملات هم باشد. برای مثال:

 

• • استفاده از انواع سنسورها. واقعیت تلخی در مورد حملات مهندسی اجتماعی وجود دارد؛ اینکه ما نمی‌توانیم چیزی که نمی‌بینیم را متوقف کنیم. از این‌رو سازمان‌ها باید به فکر قابلیت‌هایی باشند که  دید کاملی را برای دفاع از محیط شبکه در اختیار تیم امنیتی قرار می‌دهد. طوری که هیچ نقطه کوری تبدیل به پناهگاه دشمن نشود.
  • هوش فنی. برای بهبود امنیت سایبری سراغ هوش فنی مثل شاخص‌های سازش (IOC) ا. این‌طوری رویدادهایی که تاکنون قابل شناسایی نبودند، به‌راحتی برجسته می‌شوند.
  • هوش تهدید. سعی کنید تا می‌توانید گزارش‌های اطلاعاتی تهدیدات روایی مهندسان اجتماعی را بخوانید و تصویر واضحی از رفتار بازیگران، ابزارهایی که استفاده می‌کنند و صنایعی که مورد حمله قرار می‌دهند، ترسیم کنید. این روزها درک زمینه یک حمله فوق‌العاده حائز اهمیت است.
  • شکار تهدید. فن‌آوری‌های امنیتی به تنهایی نمی‌توانند محافظت صددرصدی را تضمین کنند و فناوری‌هایی که تاکنون در این زمینه توسعه‌یافته، خطاپذیرند؛ بنابراین اولین قدم برای مقابله با این حملات، شکار ۲۴ ساعته تهدیدات حملات مهندسی اجتماعی به‌طور کاملا انسانی و مدیریت شده است.

 

 

چند پرسش برای پیشگیری از حملات مهندسی اجتماعی

 

دفاع در برابر مهندسی اجتماعی مستلزم تمرین خودآگاهی است. همیشه قبل از هر واکنشی سرعت خود را کم کنید و قبل از آنکه به پیغام دریافتی پاسخ دهید، کمی فکر کنید. چون مهاجم دقیقا انتظار دارد کاربر شتاب‌زده عمل کند و اصطلاحا دست‌پاچه شود. پس شما باید برعکس عمل کنید. پیشنهاد می‌کنیم این چند سوال را از خود بپرسید:

 

• • آیا احساساتم بعد از دیدن این پیغام تحریک شده است؟ وقتی به طرز عجیبی احساس کنجکاوی، ترس یا هیجان می‌کنیم، طبیعتا قدرت کمتری برای ارزیابی عواقب اعمال خود داریم. به عبارتی راحت‌تر چشم‌مان را روی حقایق می‌بندیم و «خام» می‌شویم!  پس اگر بعد از دیدن پیغامی احساس می‌کنید احساسات‌تان تحریک شده و دوست دارید شتاب‌زده عمل کنید، این را یک پرچم قرمز در نظر بگیرید.
  • آیا این پیغام واقعا از طرف دوست من است؟ اگر فرستنده پیام ادعا می‌کند دوست‌ شما یا مدیر شرکتی است که مدت‌هاست مشتری آن هستید، زحمت بکشید با طرف مقابل تماس بگیرید و مطمئن شوید این پیغام واقعا از جانب اوست. ممکن است دستگاه دوست‌تان هک شده و خودش بی‌خبر باشد. یا اصلا شخص دیگری هویتش را جعل کرده باشد.
  • آیا ظاهر وب‌سایتی که مرور می‌کنم، عجیب‌غریب به نظر می‌رسد؟ بی نظمی در URL، کیفیت بسیار بد تصاویر، لوگوهای قدیمی یا اشتباه و اشتباهات تایپی صفحه وب، همگی می‌توانند پرچم هشدار یک وب‌سایت جعلی باشند. هر موقع به هر طریقی پایتان به این وب‌سایت‌ها باز شد، خیلی زود آن را ترک کنید.
  • آیا این پیشنهاد، تخفیف یا فرصت ویژه بیش از حد خوب به نظر می‌رسد؟ در مورد جوایز و پیشنهاداتی که می‌شنوید، کمی منطقی باشید. چرا کسی باید بخش زیادی از سود خود را به‌عنوان جایزه به کاربران ببخشد؟ گول اعداد و ارقام نجومی را نخورید. اینها معمولا تله‌های خوش آب‌و‌رنگی برای دزدیدن اطلاعات کاربران هستند.
  • فایل پیوست یا لینک این پیغام مشکوک به نظر می‌رسد؟ اگر نام پیوند یا فایل پیوست پیام مبهم یا عجیب به نظر می‌رسد، لطفا در صحت کل ارتباط تجدید نظر کنید. همچنین در نظر بگیرید که آیا خود پیام پرچم قرمز شک برانگیزی دارد یا خیر.
  • آیا این شخص می‌تواند هویت خود را به من ثابت کند؟ اگر هیچ‌جوره نمی‌توانید از فرستنده پیام مطمئن شوید، از خود او بخواهید هویتش را در ارتباط با سازمان تایید کند. اگر نتوانست مدرک محکمی ارائه کند، به او اجازه دسترسی ندهید. این کار را هم در برخوردهای حضوری و هم مکالمات آنلاین انجام دهید.

 

 

جمع‌بندی

 

شرکت‌ها و سازمان‌های بزرگ همواره یک تیم خبره و مجهز همراه با بودجه بیشتر از کافی به‌منظور ایجاد بستری امن دارند. این کار لازمه حفظ اعتبار یک مجموعه است اما باز‌هم در مواردی شاهد رخنه در پروتکل‌های امنیتی اجرا شده هستیم. در این موارد هکر و فرد خرابکار باهدف قراردادن انسان‌ها و استفاده از اشتباهات انسانی اهداف خود را عملی می‌کند. به این نوع هک، حملات مهندسی اجتماعی گفته می‌شود که بسیار خطرناک بوده و شرکت‌های بزرگی از این نوع حملات ضربه خورده‌اند.