مقدمه
مهندسی اجتماعی اصطلاحی است که برای طیف وسیعی از فعالیتهای مخرب، حاصل از تعاملاتِ انسانی به کار میرود و برای اولین بار در سال 1894 مورداستفاده قرار گرفت. مهندسی اجتماعی با استفاده از مهارت روانشناختی، کاربران را فریب میدهد تا مرتکب اشتباهات امنیتی شوند و اطلاعات حساس را در اختیار هکرها و افراد سودجو قرار بدهند. حملات مهندسی اجتماعی در یک یا چند مرحله اتفاق میافتد؛ ابتدا هکر قربانی را زیر نظر میگیرد و درباره او تحقیق میکند تا اطلاعات زمینهای مانند نقاط احتمالی ورود و پروتکلهای امنیتی ضعیف که برای ادامه حمله موردنیاز است را جمعآوری کند. سپس، مهاجم برای جلبِ اعتماد قربانی یکسری اقداماتی را فراهم میکند که توسط آن بتواند شرایط امنیتی را نقض و از اشتباهاتی مانند افشای اطلاعاتِ حساس یا دریافتِ مجوز دسترسی به منابع مهم، سوءاستفاده کند.
آنچه مهندسی اجتماعی را بهطور ویژه¬ای خطرناک میکند این است که بهجای آسیبپذیری در نرمافزار و سیستمعامل، به خطای انسانی متکی است. اشتباهات انجامشده توسط کارمندان، بسیار کمتر قابل پیشبینی است و شناسایی و خنثیسازی آنها نسبت به یک حمله مبتنی بر بدافزار دشوارتر است. در این مقاله سعی شده است، مفهوم حملات مهندسی اجتماعی مطرح شود و با بررسی برخی از تکنیکهای این حمله به حدی از هوشیاری در قبال این نوع حملهها دستیافت.
راهکارهایی در جهت افزایش امنیت در برابر حملات مهندسی اجتماعی
هکرها در تکنیک مهندسی اجتماعی از احساسات انسانی، مانند کنجکاوی یا ترس، استفاده میکنند تا قربانیان را در مسیر دستیابی به اهداف شوم خودشان قرار دهند. بهترین راهکار هنگام مواجهشدن با ایمیلهای مشکوک یا پیامهای تبلیغاتی در وبسایتها، احتیاط است. جدول شماره 1 برخی از روش های متداول حملات مهندسی اجتماعی را بیان میکند که موجب میشود در برابر بیشتر حملات مهندسی اجتماعی که در حوزه دیجیتال اتفاق میافتد هوشیارانه عمل نمایید.
روش های متداول حملات مهندسی اجتماعی به شرح زیر است:
- فیشینگ: حملات فیشینگ از برنامههای ایمیل و پیام کوتاه باهدف ایجاد احساس اضطرار، کنجکاوی یا ترس در قربانیان استفاده می¬کند. هکر، قربانی را ترغیب میکند تا اطلاعات حساس را فاش کنند، روی پیوندهای وب¬سایتهای مخرب کلیک کنند یا پیوستهایی که حاوی بدافزار و فایل های مخرب هستند را باز کنند.
- فیشینگ هدفمند: فیشینگ هدفمند یک کلاهبرداری ایمیل یا ارتباطات الکترونیکی است که برای یک فرد، سازمان یا تجارت خاص هدفگذاری شده است. در این حمله، یک ایمیل از طریق منبع ظاهراً معتبری مانند رئیس مجموعه یا مدیران ارشد و… به کاربر ارسال میشود؛ برای مثال، از یک گیرنده ناآگاه میخواهد با کلیک بر روی لینکی معین در ایمیل، رمز عبور خود را تغییر دهد، غافل از آنکه او به یک وبسایت جعلی هدایت میشود.
- تکنیک طعمه: تکنیک طعمه از بسیاری جهات شبیه به حملات فیشینگ است. آنچه طعمهگذاری را از سایر انواع حملات مهندسی اجتماعی متمایز میکند، استفاده از تجهیزات فیزیکی مانند CD، فلش و سایر ابزارهای انتقال داده است. حملات طعمهگذاری، از کنجکاوی کاربران سوءاستفاده میکند و معمولاً از یک وعده دروغین برای تحریک طَمع قربانی استفاده میکنند. بهعنوانمثال، فِلش مموری¬های (USB) آلوده به فایلهای مخرب که برچسبی با عنوان فیش حقوقی کارمندان شرکت بر روی آن قرار دارد و بهظاهر در مکانهای عمومی مانند کتابخانهها و پارکینگها جامانده، ممکن است حس کنجکاوی هر کسی را برانگیزد قافل از آنکه بهمحض اتصال فلش به رایانه، هکر به مقصود خود رسیده و امکان هرگونه دسترسی غیرمجازی برای هکر فراهم می گردد.
- القای ترس (تکنیک ترسناک): ابزار اصلی این نوع حملهها، هشدارهای دروغین و تهدیدات ساختگی است و ادعا میکند که یکی از بخشهای سیستم کامپیوتری شما به خطر افتاده است و در حقیقت، گزارشی جعلی از آلودگیهای مخرب به کاربر میدهد که با برانگیختن احساسِ ترسِ از دست دادن یا افشای اطلاعات، به عنوان مثال قربانی را به سمت خریدِ نرمافزار جعلی امنیتی موردنظرِ مجرم سایبری، سوق داده و اینگونه به جزئیات خصوصی مانند اعتبار حساب کاربر دست مییابد.
- تکنیک بهانه: تکنیک بهانه از یک هویت جعلی همچون همکار، پلیس، مقامات بانکی و مالیاتی یا سایر اشخاصی که برای عموم شناخته شده هستند، برای ایجاد اعتماد و اطمینان استفاده میکند و وانمود میکند به یکسری اطلاعات حساس و مهم و ضروری احتیاج دارد.
- تکنیک تبلیغاتی: در این تکنیک، تبلیغات ناخواسته (و گاهاً تحریککننده) در رایانه یا تلفن همراه شما نمایش داده میشود و معمولاً از طریق یکی از دو روش زیر در دستگاه کاربر نمایان میشود:
1. شما ممکن است یک برنامه رایگان نصب کنید، البته بدون اینکه متوجه شوید این برنامه، حاوی حملاتِ تبلیغاتی است. این موضوع به توسعهدهنده برنامه اجازه میدهد تا درآمد کسب کند و به این معنی است که شما بدون تائید و موافقت، بدافزارهای تبلیغاتی را روی سیستم خودبارگیری کردهاید.
2. ممکن است در نرمافزار یا سیستمعامل قربانی، آسیبپذیری وجود داشته باشد و هکرها از آن برای واردکردن بدافزار، ازجمله برخی از انواع نرمافزارهای تبلیغاتی مزاحم، سوءاستفاده کنند.
حملات مهندسی اجتماعی روزبهروز در حال گسترش است و بهترین راهکار برای پیشگیری و جلوگیری از قربانیشدن، ایجاد یک سپر دفاعی مناسب در برابر این تهدید است. یکی از قدرتمندترین سپرهای دفاعی در برابر اینگونه حملات، افزایش آگاهی کاربران است به نوعی که به دانش کافی جهت محافظت از اطلاعات حساس و خطرات ناشی از عدم مدیریت صحیح اطلاعات، دست یابند. برای پیشگیری از افتادن در دام چنین تهدیداتی باید اقدامهای مناسبی صورت پذیرد، در ادامه به ذكر اصليترين روشهاي دفاعي در برابر حملات مهندسی اجتماعی خواهیم پرداخت.
• سرعت خود را کم کنید! هکرها میخواهند شما بدون فکر اقدام کنید بنابراین قبل از هر اقدامی حتی در زمان انجام فعاليتهاي روزمره و شخصي، فکر کنید.
اگر پیام، فوریتی را به شما منتقل میکند یا از تاکتیکهای فروش با فشار بالا استفاده میکند، به موضوع شک کنید و هرگز اجازه ندهید که فوریت آنها در بررسیِ دقیق شما تأثیر بگذارد.
• برای اطمینان از حقیقت، تحقیق کنید. به هرگونه پیام ناخواسته مشکوک شوید. حتی اگر به نظر میرسد ایمیل از سمتِ شرکتی است که نام آن برایتان آشناست، بااینحال، خودتان هم در رابطه با آن ایمیل تحقیق کنید. بهراحتی میتوانید از یک موتور جستجو برای رفتن به سایت شرکت حقیقی یا پیدا کردنِ یک فهرست تلفن و کسب اطلاع از آن آگهی استفاده کنید.
• مهاجماني كه با اهداف جدي اقدام به حمله مهندسي اجتماعي ميكنند، معمولاً از قبل افرادي را هدفگيري كرده و اقدام به جمعآوري اطلاعات در مورد آنها مينمايند.
در چنين موقعيتهايي است كه حتي رفتارهاي روزمره افراد ميتواند بهعنوان ابزاري براي جلب اعتماد و يا تعيين فرصت مناسبِ حمله توسط مهاجمين مورد سوءاستفاده قرار گيرد. لذا بايد آگاهي داشته باشيم كه در صحبتهاي روزمرۀ خود با ديگران و يا در شبكههاي اجتماعي، چه اطلاعاتي را از خودمان (نه لزوماً از گروه، سازمان يا غيره)
منتشر ميكنيم و به بياني ديگر، چه اندازه به افراد ناآشنا اجازه ميدهيم تا ما را بشناسند!
• اجازه ندهید که یک لینک، شما را کنترل کند. با پیداکردن وبسایت اصلی با استفاده از یک موتور جستجو، کنترل امنیتی تجهیزات تحت اختیار خود را به دست بگیرید و مطمئن شوید وارد سایتی خواهید شد که به دنبال آن هستید.
• درخواستها یا پیشنهادهای کمک را به سادگی قبول نکنید. هکرها، اسپمرها و مهندسان اجتماعی که کنترل حسابهای ایمیل افراد (و سایر حسابهای ارتباطی) را به دست میگیرند، در فضای سایبری بسیار فعالاند. حتی اگر به نظر میرسد فرستنده شخصی است که میشناسید، بازهم قبل از بازکردن لینکها یا دانلود فایلها، از صحت ایمیل ارسالی اطمینان حاصل نمایید.
• همیشه مخاطرات امنیتی را در نظر داشته باشید. همواره این امکان را بدهید كه در هر ارتباط با افراد بيروني ممكن است در معرض حملات مهندسي اجتماعي قرار گیرید. توجه به همين نكتۀ ساده باعث افزايش هوشياري شما خواهد شد و سبب ميشود تا از افشای اطلاعات سازمانی و شخصي كه لزومی ندارد دیگران به آن دسترسی داشته باشند، جلوگیری نمایید.
• اطلاعات حساس و قابل طبقهبندی را بشناسید: شما باید بینِ اطلاعات حساس و طبقهبندیشده (مانند: قراردادهای کاری، اطلاعات درآمدی و هزینه، لیست مشتریان سازمان، نتایج تحقیقات سازمانی و …) كه میبایست در داخل سازمان باقي بماند و اطلاعات عادی كه محدودیتی برای انتشار آن وجود ندارد، تمايز قائل شوید.
• مراقب هرگونه بارگیری (دانلود) باشید. اگر فرستنده را شخصاً نمیشناسید و از او انتظار فایلی ندارید، بارگیری هر چیزی اشتباه است.
دامنه لینکها را کنترل کرده تا در خصوص صحت آنها اطمینان حاصل کنید. از دانلود فایلهایِ ضمیمه ایمیلی که فرستنده آن را نمیشناسید، خودداری کنید. به ایمیلهای غیرقابلاعتماد شک کنید و به این واقعیت واقف شوید که جوایز و پیشنهادهای ویژه و شگفتانگیز، معمولاً جعلی هستند.
• نكتهاي كه در خصوص حملات مهندسی اجتماعی، حائز اهميت است، پایبندی افراد به پيروي از سياستها و دستورالعملهای ایرادشده در حوزه امنیت اطلاعات است. حتي اگر امنيت رايانهاي را در ديگر بخشها بتوان با سامانههاي كنترلدسترسي، ديوار آتش، ابزارها و تجهیزات امنیتی فراهم كرد، در حوزه مهندسي اجتماعي بدون پایبندی افراد و التزام آنها به سياستهاي امنيتي، بههیچعنوان مصونیت مطلق در قبال حملات مهندسی اجتماعی امكانپذير نيست .
• اغلب پیشنهادهای خارجی و اینترنتی، جعلی است. اگر ایمیلی حاوی پیام متنی مبنیبر قرعهکشی ایمیلی، ارسال وجهی از بستگان ناشناس یا درخواست انتقال وجه از یک کشور خارجی برای دریافت سهمی از پول یا ارث، دریافت کردید، تضمین میکنیم که این پیغام جعلی و کلاهبرداری است.
نتیجه
راهحل اصلی مقابله با مهندسی اجتماعی این است که شما، مراقبِ ارتباطاتِ خود باشید و هر اطلاعاتی را در اختیار اشخاص مختلف قرار ندهید. شما باید اطلاعات مهم و حساس را بشناسید و با رفتارهایی که نباید انجامشان بدهید نیز آشنا باشید.
در نگاهِ ساده به نظر میرسد اعتمادنکردن همیشه اولین راه مقابله با مهندسی اجتماعی است اما نکته بسیار مهم این است که هیچگاه این روش به تنهایی توصیه نمیشود. شما با اعتمادنکردن در حال پاککردن صورتمسئله هستید؛ بنابراین بهترین راهکار برای در امان بودن از حملات مهندسی اجتماعی، افزایش آگاهی¬ها و دانش فردی و سازمانی و ایجاد فرهنگ صحیح امنیت اطلاعات میباشد.
بدون دیدگاه