مقدمه

مهندسی اجتماعی اصطلاحی است که برای طیف وسیعی از فعالیت‌های مخرب، حاصل از تعاملاتِ انسانی به کار می‌رود و برای اولین بار در سال 1894 مورداستفاده قرار گرفت. مهندسی اجتماعی با استفاده از مهارت روان‌شناختی، کاربران را فریب می‌دهد تا مرتکب اشتباهات امنیتی شوند و اطلاعات حساس را در اختیار هکرها و افراد سودجو قرار بدهند. حملات مهندسی اجتماعی در یک یا چند مرحله اتفاق می‌افتد؛ ابتدا هکر قربانی را زیر نظر می‌گیرد و درباره او تحقیق می‌کند تا اطلاعات زمینه‌ای مانند نقاط احتمالی ورود و پروتکل‌های امنیتی ضعیف که برای ادامه حمله موردنیاز است را جمع‌آوری کند. سپس، مهاجم برای جلبِ اعتماد قربانی یکسری اقداماتی را فراهم می‌کند که توسط آن بتواند شرایط امنیتی را نقض و از اشتباهاتی مانند افشای اطلاعاتِ حساس یا دریافتِ مجوز دسترسی به منابع مهم، سوءاستفاده کند.
آنچه مهندسی اجتماعی را به‌طور ویژه¬ای خطرناک می‌کند این است که به‌جای آسیب‌پذیری در نرم‌افزار و سیستم‌عامل، به خطای انسانی متکی است. اشتباهات انجام‌شده توسط کارمندان، بسیار کمتر قابل پیش‌بینی است و شناسایی و خنثی‌سازی آن‌ها نسبت به یک حمله مبتنی بر بدافزار دشوارتر است. در این مقاله سعی شده است، مفهوم حملات مهندسی اجتماعی مطرح شود و با بررسی برخی از تکنیک‌های این حمله به حدی از هوشیاری در قبال این نوع حمله‌ها دست‌یافت.

راهکارهایی در جهت افزایش امنیت در برابر حملات مهندسی اجتماعی

هکرها در تکنیک مهندسی اجتماعی از احساسات انسانی، مانند کنجکاوی یا ترس، استفاده می‌کنند تا قربانیان را در مسیر دستیابی به اهداف شوم خودشان قرار دهند. بهترین راهکار هنگام مواجه‌شدن با ایمیل‌های مشکوک یا پیام‌های تبلیغاتی در وب‌سایت‌ها، احتیاط است. جدول شماره 1 برخی از روش های متداول حملات مهندسی اجتماعی را بیان می‌کند که موجب می‌شود در برابر بیشتر حملات مهندسی اجتماعی که در حوزه دیجیتال اتفاق می‌افتد هوشیارانه‌ عمل نمایید.

روش های متداول حملات مهندسی اجتماعی به شرح زیر است:

  • فیشینگ: حملات فیشینگ از برنامه‌های ایمیل و پیام کوتاه باهدف ایجاد احساس اضطرار، کنجکاوی یا ترس در قربانیان استفاده می¬کند. هکر، قربانی را ترغیب می‌کند تا اطلاعات حساس را فاش کنند، روی پیوندهای وب¬سایت‌های مخرب کلیک کنند یا پیوست‌هایی که حاوی بدافزار و فایل های مخرب هستند را باز کنند.
  • فیشینگ هدفمند: فیشینگ هدفمند یک کلاه‌برداری ایمیل یا ارتباطات الکترونیکی است که برای یک فرد، سازمان یا تجارت خاص هدف‌گذاری شده است. در این حمله، یک ایمیل از طریق منبع ظاهراً معتبری مانند رئیس مجموعه یا مدیران ارشد و… به کاربر ارسال می‌شود؛ برای مثال، از یک گیرنده ناآگاه می‌خواهد با کلیک بر روی لینکی معین در ایمیل، رمز عبور خود را تغییر دهد، غافل از آنکه او به یک وب‌سایت جعلی هدایت می‌شود.
  • تکنیک طعمه: تکنیک طعمه از بسیاری جهات شبیه به حملات فیشینگ است. آنچه طعمه‌گذاری را از سایر انواع حملات مهندسی اجتماعی متمایز می‌کند، استفاده از تجهیزات فیزیکی مانند CD، فلش و سایر ابزارهای انتقال داده است. حملات طعمه‌گذاری، از کنجکاوی کاربران سوءاستفاده می‌کند و معمولاً از یک وعده دروغین برای تحریک طَمع قربانی استفاده می‌کنند. به‌عنوان‌مثال، فِلش مموری¬های (USB) آلوده به فایل‌های مخرب که برچسبی با عنوان فیش حقوقی کارمندان شرکت بر روی آن قرار دارد و به‌ظاهر در مکان‌های عمومی مانند کتابخانه‌ها و پارکینگ‌ها جا‌مانده، ممکن است حس کنجکاوی هر کسی را برانگیزد قافل از آنکه به‌محض اتصال فلش به رایانه، هکر به مقصود خود رسیده و امکان هرگونه دسترسی غیرمجازی برای هکر فراهم می گردد.
  • القای ترس‌ (تکنیک ترسناک): ابزار اصلی این نوع حمله‌ها، هشدارهای دروغین و تهدیدات ساختگی است و ادعا می‌کند که یکی از بخش‌های سیستم کامپیوتری شما به خطر افتاده است و در حقیقت، گزارشی جعلی از آلودگی‌های مخرب به کاربر می‌دهد که با برانگیختن احساسِ ترسِ از دست دادن یا افشای اطلاعات، به عنوان مثال قربانی را به سمت خریدِ نرم‌افزار جعلی امنیتی موردنظرِ مجرم سایبری، سوق داده و این‌گونه به جزئیات خصوصی مانند اعتبار حساب کاربر دست می‌یابد.
  • تکنیک بهانه: تکنیک بهانه از یک هویت جعلی همچون همکار، پلیس، مقامات بانکی و مالیاتی یا سایر اشخاصی که برای عموم شناخته شده هستند، برای ایجاد اعتماد و اطمینان استفاده می‌کند و وانمود می‌کند به یکسری اطلاعات حساس و مهم و ضروری احتیاج دارد.
  • تکنیک تبلیغاتی: در این تکنیک، تبلیغات ناخواسته (و گاهاً تحریک‌کننده) در رایانه یا تلفن همراه شما نمایش داده می‌شود و معمولاً از طریق یکی از دو روش زیر در دستگاه کاربر نمایان می‌شود:
    1. شما ممکن است یک برنامه رایگان نصب کنید، البته بدون اینکه متوجه شوید این برنامه، حاوی حملاتِ تبلیغاتی است. این موضوع به توسعه‌دهنده برنامه اجازه می‌دهد تا درآمد کسب کند و به این معنی است که شما بدون تائید و موافقت، بدافزارهای تبلیغاتی را روی سیستم خودبارگیری کرده‌اید.
    2. ممکن است در نرم‌افزار یا سیستم‌عامل قربانی، آسیب‌پذیری وجود داشته باشد و هکرها از آن برای واردکردن بدافزار، ازجمله برخی از انواع نرم‌افزارهای تبلیغاتی مزاحم، سوءاستفاده کنند.

حملات مهندسی اجتماعی روزبه‌روز در حال گسترش است و بهترین راهکار برای پیشگیری و جلوگیری از قربانی‌شدن، ایجاد یک سپر دفاعی مناسب در برابر این تهدید است. یکی از قدرتمند‌ترین سپرهای دفاعی در برابر اینگونه حملات، افزایش آگاهی کاربران است به نوعی که به دانش کافی جهت محافظت از اطلاعات حساس و خطرات ناشی از عدم مدیریت صحیح اطلاعات، دست یابند. برای پیشگیری از افتادن در دام چنین تهدیداتی باید اقدام‌های مناسبی صورت پذیرد، در ادامه به ذكر اصلي‌ترين روش‌هاي دفاعي در برابر حملات مهندسی اجتماعی خواهیم پرداخت.

• سرعت خود را کم کنید! هکرها می‌خواهند شما بدون فکر اقدام کنید بنابراین قبل از هر اقدامی حتی در زمان انجام فعاليت‌هاي روزمره و شخصي، فکر کنید.

اگر پیام، فوریتی را به شما منتقل می‌کند یا از تاکتیک‌های فروش با فشار بالا استفاده می‌کند، به موضوع شک کنید و هرگز اجازه ندهید که فوریت آن‌ها در بررسیِ دقیق شما تأثیر بگذارد.
• برای اطمینان از حقیقت، تحقیق کنید. به هرگونه پیام ناخواسته مشکوک شوید. حتی اگر به نظر می‌رسد ایمیل از سمتِ شرکتی است که نام آن برایتان آشناست، بااین‌حال، خودتان هم در رابطه با آن ایمیل تحقیق کنید. به‌راحتی می‌توانید از یک موتور جستجو برای رفتن به سایت شرکت حقیقی یا پیدا کردنِ یک فهرست تلفن و کسب اطلاع از آن آگهی استفاده کنید.
• مهاجماني كه با اهداف جدي اقدام به حمله مهندسي اجتماعي مي‌كنند، معمولاً از قبل افرادي را هدف‌گيري كرده و اقدام به جمع‌آوري اطلاعات در مورد آن‌ها مي‌نمايند.

در چنين موقعيت‌هايي است كه حتي رفتارهاي روزمره افراد مي‌تواند به‌عنوان ابزاري براي جلب اعتماد و يا تعيين فرصت مناسبِ حمله توسط مهاجمين مورد سوءاستفاده قرار گيرد. لذا بايد آگاهي داشته باشيم كه در صحبت‌هاي روزمرۀ خود با ديگران و يا در شبكه‌هاي اجتماعي، چه اطلاعاتي را از خودمان (نه لزوماً از گروه، سازمان يا غيره)

منتشر مي‌كنيم و به بياني ديگر، چه اندازه به افراد ناآشنا اجازه مي‌دهيم تا ما را بشناسند!
• اجازه ندهید که یک لینک، شما را کنترل کند. با پیدا‌کردن وب‌سایت اصلی با استفاده از یک موتور جستجو، کنترل امنیتی تجهیزات تحت اختیار خود را به دست بگیرید و مطمئن شوید وارد سایتی خواهید شد که به دنبال آن هستید.


• درخواست‌ها یا پیشنهادهای کمک را به سادگی قبول نکنید. هکرها، اسپمرها و مهندسان اجتماعی که کنترل حساب‌های ایمیل افراد (و سایر حساب‌های ارتباطی) را به دست می‌گیرند، در فضای سایبری بسیار فعال‌‌اند. حتی اگر به نظر می‌رسد فرستنده شخصی است که می‌شناسید، بازهم قبل از باز‌کردن لینک‌ها یا دانلود فایل‌ها، از صحت ایمیل ارسالی اطمینان حاصل نمایید.
• همیشه مخاطرات امنیتی را در نظر داشته باشید. همواره این امکان را بدهید كه در هر ارتباط با افراد بيروني ممكن است در معرض حملات مهندسي اجتماعي قرار گیرید. توجه به همين نكتۀ ساده باعث افزايش هوشياري شما خواهد شد و سبب مي‌شود تا از افشای اطلاعات سازمانی و شخصي كه لزومی ندارد دیگران به آن دسترسی داشته باشند، جلوگیری نمایید.
• اطلاعات حساس و قابل طبقه‌بندی را بشناسید: شما باید بینِ اطلاعات حساس و طبقه‌بندی‌شده (مانند: قراردادهای کاری، اطلاعات درآمدی و هزینه، لیست مشتریان سازمان، نتایج تحقیقات سازمانی و …) كه می‌بایست در داخل سازمان باقي بماند و اطلاعات عادی كه محدودیتی برای انتشار آن وجود ندارد، تمايز قائل شوید.
• مراقب هرگونه بارگیری (دانلود) باشید. اگر فرستنده را شخصاً نمی‌شناسید و از او انتظار فایلی ندارید، بارگیری هر چیزی اشتباه است.

دامنه لینک‌ها را کنترل کرده تا در خصوص صحت آن‌ها اطمینان حاصل کنید. از دانلود فایل‌هایِ ضمیمه ایمیلی که فرستنده آن را نمی‌شناسید، خودداری کنید. به ایمیل‌های غیرقابل‌اعتماد شک کنید و به این واقعیت واقف شوید که جوایز و پیشنهادهای ویژه و شگفت‌انگیز، معمولاً جعلی هستند.
• نكته‌اي كه در خصوص حملات مهندسی اجتماعی، حائز اهميت است، پایبندی افراد به پيروي از سياست‌ها و دستورالعمل‌های ایرادشده در حوزه امنیت اطلاعات است. حتي اگر امنيت رايانه‌اي را در ديگر بخش‌ها بتوان با سامانه‌هاي كنترل‌دسترسي، ديوار آتش، ابزارها و تجهیزات امنیتی فراهم كرد، در حوزه مهندسي اجتماعي بدون پایبندی افراد و التزام آن‌ها به سياست‌هاي امنيتي، به‌هیچ‌عنوان مصونیت مطلق در قبال حملات مهندسی اجتماعی امكان‌پذير نيست .
• اغلب پیشنهاد‌های خارجی و اینترنتی، جعلی است. اگر ایمیلی حاوی پیام متنی مبنی‌بر قرعه‌کشی ایمیلی، ارسال وجهی از بستگان ناشناس یا درخواست انتقال وجه از یک کشور خارجی برای دریافت سهمی از پول یا ارث، دریافت کردید، تضمین می‌کنیم که این پیغام جعلی و کلاه‌برداری است.

نتیجه
راه‌حل اصلی مقابله با مهندسی اجتماعی این است که شما، مراقبِ ارتباطاتِ خود باشید و هر اطلاعاتی را در اختیار اشخاص مختلف قرار ندهید. شما باید اطلاعات مهم و حساس را بشناسید و با رفتارهایی که نباید انجامشان بدهید نیز آشنا باشید.


در نگاهِ ساده به نظر می‌رسد اعتماد‌نکردن همیشه اولین راه مقابله با مهندسی اجتماعی است اما نکته بسیار مهم این است که هیچگاه این روش به تنهایی توصیه نمی‌شود. شما با اعتماد‌نکردن در حال پاک‌کردن صورت‌مسئله هستید؛ بنابراین بهترین راهکار برای در امان بودن از حملات مهندسی اجتماعی، افزایش آگاهی¬ها و دانش فردی و سازمانی و ایجاد فرهنگ صحیح امنیت اطلاعات می‌باشد.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

2 × 3 =