مهندسی اجتماعی چیست ؛ وقتی به جای سیستم‌ها، انسان‌ها هک می‌شوند!

انسان‌ها ضعیف‌ترین حلقه زنجیره امنیت سایبری هستند و این اساس حمله «مهندسی اجتماعی» است. برای محافظت دربرابر این حمله فراگیر با این مقاله همراه شوید.

نائوکی هیروشیما کاربر عادی توییتر مثل من و شما بود؛ با این تفاوت که نام کاربری حساب توییترش خاص و تک‌حرفی (N@) بود و برخی حاضر بودند تا ۵۰ هزار دلار برای خریدش پول بدهند. اما در یکی از روزهای سال ۲۰۱۴، نائوکی مجبور شد نام کاربری تک‌حرفی ۵۰ هزار دلاری خود را دراختیار هکری قرار دهد که موفق شد با ترفندی ساده به آنچه می‌خواست برسد.

ماجرا از این قرار بود که هکر برای دزدیدن نام کاربری توییتر نائوکی به خدمات مشتری پی‌پال زنگ زده و با وانمود کردن به اینکه کارمند بخش دیگر این شرکت است، اطلاعات مربوط به چهار رقم آخر کارت اعتباری نائوکی را از آن‌ها می‌گیرد. بعد با شرکت ثبت دامنه و میزبانی وب GoDaddy تماس می‌گیرد که وب‌سایت نائوکی در آنجا میزبانی می‌شد. این هکر با داشتن چهار رقم کارت اعتباری، از GoDaddy می‌خواهد رمزعبور وب‌سایت نائوکی را ریست کند. حالا هکر این قدرت را داشت تا تمام اطلاعات وب‌سایت نائوکی را پاک کند و این تهدید کافی بود تا نائوکی حاضر شود نام کاربری خود را دراختیار هکر قرار دهد.

خوشبختانه نائوکی بعدا موفق شد نام کاربری خود را پس بگیرد، اما اتفاقی که برای او افتاد نوعی حمله مهندسی اجتماعی بود که مدت‌ها است بسیاری از کاربران اینترنت و کارمندان سازمان‌های کوچک و بزرگ را با دردسرهای جدی روبه‌رو کرده است. بارها شده هکرها با نقش بازی کردن، تهدید و ترفندهای دیگر، کنترل اکانت‌های کاربران را به دست گرفته‌ یا مبالغ زیادی را به حساب‌های بانکی خود سرازیر کرده‌اند. برای بسیاری از افراد، امنیت اکانت‌های اینترنتی توهمی بیش نیست.

مهندسی اجتماعی چیست

مهندسی اجتماعی اگرچه اصطلاح نسبتاً مدرنی است، پدیده‌ای است که از دیرباز و زمانی که انسان‌ها با یکدیگر شروع به تعامل کرده‌اند، وجود داشته است. فلسفه مهندسی اجتماعی از این قرار است: تو چیزی داری که من می‌خواهم و من می‌خواهم تو را به هر طریقی قانع کنم آن را به من بدهی یا کاری را که من می‌خواهم انجام دهی، حتی اگر به ضررت تمام شود.

در مهندسی اجتماعی این ذهن افراد است که هک می‌شود، نه کامپیوتر

اصطلاح مهندسی اجتماعی توسط کوین میتنیک که خود یکی از معروف‌ترین مهندسان اجتماعی عصر حاضر است (اما دیگر توبه کرده و اکنون به‌عنوان متخصص امنیت سایبری فعالیت می‌کند)، سر زبان‌ها افتاد. مهندسی اجتماعی در دوران مدرن و در حوزه امنیت سایبری، هنر فریب دادن، سواستفاده از نقطه‌ضعف‌ها و تحت تأثیر قرار دادن فرد برای انجام کاری که به ضرر او است یا دسترسی به داده‌های شخصی و حساس در سیستم‌های کامپیوتری است. هکر یا مهندس اجتماعی ازطریق تلفن، پیامک، ایمیل، درایو USB آلوده یا تعامل حضوری و به کمک ترفندهای زیرکانه‌ای موفق می‌شود آنچه را که به دنبالش است، نه به کمک بدافزار و حملات سایبری، بلکه تنها ازطریق پرسیدن از فردی که به این اطلاعات دسترسی دارد، به دست آورد.

به همین خاطر است که گفته می‌شود در مهندسی اجتماعی این ذهن افراد است که هک می‌شود، نه کامپیوتر. در حمله مهندسی اجتماعی، اطلاعاتی را که فرد قصد فاش کردن آن را نداشته، بدون آنکه متوجه شود، دراختیار مهاجم قرار می‌دهد یا تحت تأثیر آنچه دستکاری روانشناختی نامیده می‌شود، تشویق یا وادار به انجام کاری می‌شود که از انجام آن پشیمان خواهد شد. به بیان ساده‌تر، انسان‌ها خود نوعی تهدید امنیتی محسوب می‌شوند و به قول هکرها، ضعیف‌ترین و آسیب‌پذیرترین حلقه در زنجیره امنیت سایبری هستند. ما انسان‌ها تقریباً ۸۰ درصد تصمیمات خود را بر پایه احساسات می‌گیریم و ازآنجاکه منطق سهم بسیار ناچیزی در این تصمیم‌گیری‌ها دارد، می‌توان دلیل موفقیت چشمگیر حملات مهندسی اجتماعی را به خوبی درک کرد.

تاریخچه مهندسی اجتماعی

ریشه‌های مهندسی اجتماعی را می‌توان در داستان‌های کهن، به‌خصوص اسطوره‌های یونان، از داستان پرومتئوس که با ترفندی زئوس را فریب داد و آتش را به انسان‌ها بخشید تا داستان مشهور اسب تروآ یافت که اتفاقا نام خود را به شایع‌ترین نوع بدافزار داده است.

داستان اسب تروآ به جرات یکی از جذاب‌ترین نمونه‌های مهندسی اجتماعی است. در زمان جنگ تروآ، هنگامی که یونانیان به مدت ده سال پشت دروازه‌های شهر تروجان از پیشروی بازمانده بودند، یکی از جنگجویان حیله‌گر یونانی به نام ادیسه که به حق مهندس اجتماعی زبردستی بود، نقشه‌ای ریخت تا همرزمانش بتوانند به داخل شهر راه پیدا کنند؛ نه به زور و شکستن دیوارهای شهر، بلکه به دست خود تروجان‌ها. به دستور اودیسه، سربازان یونانی اسب چوبی غول‌پیکری ساختند و درون آن مخفی شدند. بعد، برخی از آن‌ها با کشتی تروجان را ترک کردند تا اهالی شهر فکر کنند یونانی‌ها شکست را پذیرفته و در حال عقب‌نشینی هستند.

بااین‌حال، یک سرباز یونانی کنار اسب غول‌پیکر بیرون دروازه شهر باقی ماند. این سرباز که سینون نام داشت، به اهالی شهر تروجان گفت که این اسب پیشکش یونانیان به خدایان است تا جان آن‌ها را در طول سفر بازگشت به خانه حفظ کنند؛ این اسب هم از این جهت به این اندازه بزرگ ساخته شده تا اهالی شهر نتوانند آن را به داخل ببرند و یونانی‌های سوار بر کشتی را با بداقبالی روبه‌رو کنند. تروجان‌ها فریب حرف‌های سینون را خوردند و برای نفرین سربازهای یونانی، تصمیم گرفتند اسب را به داخل شهر بیاورند؛ غافل از اینکه درون این اسب، سربازهای یونانی در انتظار به آتش کشیدن شهر بودند. به خاطر حمله مهندسی اجتماعی اودیسه، یونانی‌ها در جنگی که به چشم تروجان‌ها باخته بودند، پیروز شدند.

کوین میتنیک (Kevin Mitnick) را پدر مهندسی اجتماعی می‌دادند، چون او بود که در دهه ۱۹۹۰، بعد از سال‌ها به‌کارگیری حقه و ترفند برای دستیبای به اطلاعات و دستکاری روانشناختی افراد، اصطلاح مهندسی اجتماعی را در دنیای امنیت سایبری به شهرت رساند. میتنیک درحالیکه فقط ۱۳ سال داشت با حقه مهندسی اجتماعی به‌طور رایگان از اتوبوس‌های لس‌آنجلس استفاده می‌کرد و بعدها موفق شد به شبکه‌های شرکت دیجیتال اکویپمنت و شرکت مخابراتی پسیفیک بلز دسترسی غیرمجاز پیدا کند. ماجراجویی‌های میتنیک در حوزه مهندسی اجتماعی به قدری شاخ و برگ پیدا کرده بود که وقتی سرانجام به زندان افتاد، درباره او می‌گفتند که می‌تواند «با سوت زدن از پشت خط تلفن، جنگ اتمی راه بیندازد.»

تکنیک های مهندسی اجتماعی

در فیلم «اگه می‌تونی منو بگیر» (۲۰۰۲) به کارگردانی استیون اسپیلبرگ، لئوناردو دی‌کاپریو نقش کلاهبردار زبردستی به نام فرانک ابگنیل را بازی می‌کند که قبل از ۱۹ سالگی‌اش، با جا زدن خود به‌عنوان خلبان هواپیما، دکتر و وکیل، موفق شد میلیون‌ها دلار به جیب بزند. ابگنیل بعدها از استعداد خود در امر مهندسی اجتماعی استفاده کرد تا به‌عنوان مشاور امنیتی مشغول به کار شود.

داستان ابگنیل شباهت زیادی به کوین میتنیک، پدر مهندسی اجتماعی، دارد، چون او هم با سناریوسازی و نقش بازی کردن موفق به کلاهبرداری و دسترسی غیرمجاز به اطلاعات سازمان‌ها و بعد از دستگیری و حبس، تصمیم گرفت از استعداد خود به‌عنوان مشاور امنیت سایبری استفاده کند. در واقع، داستان مهندسان اجتماعی شباهت زیادی به یکدیگر دارد، چون روش‌هایی که برای حملات خود استفاده می‌کنند، تقریباً یکی است. در اینجا با ۱۰ مورد از معروف‌ترین تکنیک‌های مهندسی اجتماعی آشنا خواهید شد:‌

نقش‌آفرینی

در این روش متداول که اولین مرحله اکثر ترفندهای مهندسی اجتماعی محسوب می‌شود، مهاجم ابتدا درباره قربانی تحقیق می‌کند تا اطلاعات درست و واقعی درباره او، مثلا تاریخ تولد یا کد ملی، به دست آورد. بعد به کمک این اطلاعات یک سناریو خیالی طراحی می‌کند، با قربانی تماس می‌گیرد، اعتماد او را جلب می‌کند و با نقش بازی کردن (مثلا کاربری که به کمک نیاز دارد یا مدیری که از کارمند خود درخواست فوری دارد)، از او می‌خواهد اطلاعات مهمی را در اختیارش قرار دهد. اغلب همه چیز با یک سلام دوستانه یا جمله «می‌توانم کمی وقتتان را بگیرم» شروع می‌شود و در پایان تماس، سازمان و فرد مورد هدف قرار گرفته، دچار خسارت مالی هنگفتی می‌شود.

سرقت انحرافی

سرقت انحرافی (diversion theft) هم به صورت سنتی و هم به صورت اینترنتی صورت می‌گیرد. در مدل سنتی، سارق با ترفند مهندسی اجتماعی راننده پیک را متقاعد می‌کند محموله را به مکان دیگری برده و به شخص دیگری که گیرنده اصلی نیست، تحویل دهد. سرقت انحرافی در اینترنت به این صورت است که سارق با جعل کردن ایمیل سازمانی، از یکی از کارمندان شرکت مورد هدف می‌خواهد داده‌های حساس و مهم را به ایمیل فرد اشتباهی بفرستد.

فیشینگ

در ترفند فیشینگ (اشاره به ماهی‌گیری که در آن از طعمه برای گیرانداختن صید استفاده می‌شود)، فرد مهاجم خود را جای فرد یا نهاد قابل اعتمادی جا می‌زند و با نقش بازی کردن سعی دارد به داده‌های حساس نظیر نام کاربری، رمز عبور یا اطلاعات مربوط به کارت‌های اعتباری دسترسی پیدا کند. ایمیل‌هایی که ادعا می‌کنند از طرف وب‌سایت‌های معروف، بانک‌ها، حراجی‌ها یا بخش IT سازمان‌ها فرستاده شدند تا از گیرنده، اطلاعات شخصی آن‌ها را بپرسند، مهندسی اجتماعی از نوع فیشینگ (phishing) هستند.

ترفند فیشینگ خود به انواع مختلفی تقسیم می‌شود:

• فیشینگ با قلاب (angler phishing) که در آن مهاجم در شبکه‌های اجتماعی، حساب خدمات مشتری جعلی ایجاد می‌کند؛
• جعل ایمیل سازمانی (BEC) که در آن مهاجم خود را جای یکی از مدیران ارشد سازمان جا می‌زند و در ایمیلی از کارمند می‌خواهد پولی را به حساب او بریزد یا داده حساسی را به او ایمیل کند؛
• فارمینگ (pharming) که در آن مهاجم، کاربران را به جای وب‌سایت اصلی به وب‌سایت جعلی و کلون شده هدایت می‌کند تا اطلاعاتی را که کاربر وارد می‌کند، سرقت کند؛
• فیشینگ نیزه‌ای‌ (spear phishing) که یادآور ماهی‌گیری با نیزه است و در آن مهاجم حمله خود را تنها روی فرد خاصی متمرکز می‌کند تا ازطریق او بتواند به کل سیستم نفوذ کند.
• تب‌قاپی (tabnabbing) که در آن مهاجم، تب‌های مرورگر کاربر را که مدتی است غیرفعال مانده با محتوای مخرب جایگزین می‌کند و او را متقاعد می‌کند اطلاعات خود را برای ورود به وب‌سایت، در این صفحه جعلی وارد کند.
• شکار نهنگ (whaling) که در آن مهاجم، به جای کاربران عادی، سراغ مدیران ارشد یا اعضای هیئت رئیسه می‌رود و با ترفند مهندسی اجتماعی سعی می‌کند اطلاعات بسیار حیاتی سازمان را مستقما از آن‌ها سرقت کند.

حمله چاله آبیاری

در ترفند چاله آبیاری (water-holing)، مهاجم سراغ وب‌سایتی می‌رود که گروه هدف به آن اعتماد دارند و مرتب از آن بازدید می‌کنند. مهاجم درباره این وب‌سایت تحقیق می‌کند تا نقاط آسیب‌پذیر آن را پیدا کند. به مرور زمان، سیستم اعضای گروه هدف به بدافزار آلوده شده و مهاجم راهی برای نفوذ به سیستم پیدا می‌کند.

طعمه‌گذاری

طعمه‌گذاری (Baiting) تکنیکی است که در آن مهاجم چیز به ظاهر وسوسه‌انگیزی را جلوی چشمان کاربر قرار می‌دهد و با هدف گرفتن حس طمعش، او را به انجام کار مخربی وسوسه می‌کند؛ مثلا بدافزار خود را به صورت لینکی در دکمه دانلود رایگان آهنگ مخفی می‌کند تا کاربر به تصور اینکه قرار است آهنگ مورد‌علاقه خود را دانلود کند، بدافزار طراحی شده توسط مهاجم را دانلود کرده و باعث آلوده شدن سیستم خود می‌شود. یا مثلا درایو USB آلوده به بدافزار را در مکان عمومی جا می‌گذارند تا قربانی به خیال اینکه شانسی آن را پیدا کرده، درایو را به سیستم خود وصل کرده و دسترسی هکر را ممکن کند.

چیزی به جای دیگری

حمله «چیزی به جای دیگری» (Quid Pro Quo) روشی است که در آن مهاجم در ازای وعده منفعتی که قرار است به قربانی برساند، از او درخواست به اشتراک‌گذاری اطلاعات می‌کند. مثلا هکر خود را جای پشتیبان IT جا می‌زند، با کارمندان سازمان هدف تماس گرفته و می‌گوید برای افزایش امنیت سیستم لازم است پچ امنیتی را که به آن‌ها ایمیل کرده،‌ نصب کنند، غافل از اینکه این بسته حاوی بدافزار است و به محض نصب شدن، به هکر اجازه دسترسی به سیستم را می‌دهد.

ترس‌افزار

ترس‌افزار (scareware)‌ نوعی نرم‌افزار مخرب است که ازطریق ترساندن کاربر، او را متقاعد به انجام کاری می‌کند. ترس‌افزار به‌طور معمول به شکل پیام هشدار پاپ‌آپ ظاهر شده و به کاربر می‌گوید برنامه آنتی‌ویروس سیستم آن‌ها نیاز به آپدیت دارد یا محتوای مخربی در دستگاه آن‌ها کشف شده که باید همین حالا پاک شود. این پیام هشدار جعلی کاربر را متقاعد می‌کند تا بدافزار را دانلود کرده و روی سیستم خود نصب کند؛ بدین ترتیب،‌ هکر با مهندسی اجتماعی و سواستفاده از ترس کاربر موفق به دستیابی به اطلاعات سیستم او می‌شود.

کلاهبرداری نیجریه‌ای

این مدل حمله مهندسی اجتماعی که به کلاهبرداری «۴۱۹»‌ و «شاهزاده نیجریه‌ای» نیز معروف است، از قربانی می‌خواهد جزئیات مربوط به حساب بانکی خود یا مبلغی را دراختیار هکر قرار دهد تا در انتقال حجم زیادی پول به خارج از کشور به آن‌ها کمک کنند و سهمی از این انتقال پول برداند. البته که در واقعیت، هیچ انتقالی در کار نیست و کلاهبردار از این راه به حساب بانکی قربانی دسترسی پیدا می‌کند یا مبلغی را از او گرفته و بعد ناپدید می‌شود. این کلاهبرداری نام خود را از ماجرای مشابه‌ای که در نیجریه اتفاق افتاد، گرفته است و هنوز هم برخی از کلاهبرداران با ادعای اینکه شاهزاده نیجریه هستند، از کاربران ناآگاه و زودباور کلاهبرداری می‌کنند. عدد ۴۱۹ نیز به بخشی از قوانین جنایی نیجریه اشاره دارد که این روش را غیرقانونی اعلام کرده است.

نحوه کار مهندسی اجتماعی

اساس حملات مهندسی اجتماعی «سوءاستفاده از احساسات» است. بسیاری از مهندسان اجتماعی روی حس ترس، کنجکاوی، طمع و دلسوزی قربانیان خود تمرکز می‌کنند، چون این احساسات بین انسان‌های سراسر دنیا مشترک است و واکنش ما به آن‌ها تقریباً مشابه است. برخی از حملات مهندسی اجتماعی حتی بدون حضور فیزیکی مهاجم و تنها با برانگیخته کردن حس کنجکاوی قربانی صورت می‌گیرد. مثلا در سال ۲۰۰۷، هکرها درایوهای USB آلوده به تروجان را در پارکینگی در لندن قرار دادند و افراد از روی کنجکاوی و همچنین طمع دستیابی به وسیله‌ای رایگان، این درایوهای آلوده را در کمال ناآگاهی به سیستم خود متصل کرده و اجازه دادند بدافزار روی دستگاه آن‌ها نصب و اجرا شود.

مهندسان اجتماعی حس ترس، کنجکاوی، طمع و دلسوزی را هدف می‌گیرند

از آن طرف، برخی از مهاجمان با سوءاستفاده از حس ترس قربانیان، آن‌ها را تهدید کرده یا از آن‌ها باج‌خواهی می‌کنند. تمام بدافزارهایی که به باج‌افزار (ransomware) معروف‌اند، که مشهورترین آن‌ها «WannaCry» نام دارد، اطلاعات مهم کاربر را رمزنگاری می‌کنند و به آن‌ها می‌گویند تنها راه دسترسی دوباره به این اطلاعات، واریز پول به حساب هکر است. در سناریو معروف دیگر، هکر به صورت رندوم به گروه زیادی از کاربران که ایمیل‌های آن‌ها در حملات نقض داده فاش شده، ایمیلی می‌فرستد و به آن‌ها می‌گوید عکس‌های شخصی‌شان دراختیار هکر است و اگر به حساب او پولی واریز نکنند، عکس‌ها در اینترنت منتشر می‌شود.

مهاجمانی نیز که به دروغ وانمود می‌کنند به کمک نیاز دارند، حس دلسوزی کاربران را تحریک می‌کنند. می‌توان گفت اکثر افرادی که در خیابان با داستان‌سرایی از رهگذران تقاضای پول می‌کنند، تاحدی مهندس اجتماعی هستند.

ترفندهایی که مهندسان اجتماعی با سوءاستفاده از احساسات قربانیان خود به کار می‌گیرند، اغلب به شکل‌های زیر ظاهر می‌شوند:‌

• لینک‌های مخرب به محتوای بزرگسال یا دانلود محتوای رایگان، مثل آهنگ، فیلم، نرم‌افزار و بازی؛
• استفاده از نام زنانه در کادر فرستنده ایمیل برای جلب اعتماد؛
• ایمیل‌های جعلی که به ظاهر از طرف بانک، سرویس‌های تراکنش آنلاین یا وب‌سایت‌های مطرح فرستاده شده‌اند. این ایمیل‌ها از کاربر می‌خواهند برای تأیید یا به‌روزرسانی اطلاعات، روی لینکی کلیک کنند یا اطلاعات لاگین یا حساب بانکی آن‌ها را سرقت کنند؛
• ایمیل‌های تهدیدآمیز که در آن‌ها صحبت از زندان رفتن یا فرایندهای دادگاهی شده است؛
• رویدادهای بزرگ مثل مسابقات ورزشی، پیش‌بینی بلایای طبیعی یا اخبار فوری؛
• اسامی افراد مشهور و گزارش‌های هیجان‌انگیز درباره ماجراجویی‌ها یا رفتارهای زننده آن‌ها؛
• جعل هویت افراد آشنا و قابل‌اعتماد مثل افراد فامیل، همکاران و دوستان.

فهرست این ترفندها بی‌پایان است و مطمئناً شما نیز با برخی از آن‌ها در اینترنت روبه‌رو شده‌اید. هرجا که متوجه شدید فردی احساسات شما را، مخصوصا حس ترس، کنجکاوی، طمع و دلسوزی، برای انجام کاری هدف گرفته است، احتمالاً مورد حمله مهندسی اجتماعی قرار گرفته‌اید و لازم است با احتیاط فراوان با‌ آن برخورد کنید.

چند مثال از معروف‌ترین حملات مهندسی اجتماعی

یک روش خوب برای آشنایی با ترفندهای مهندسی اجتماعی بررسی حملاتی است که در گذشته صورت گرفته‌اند. در این بخش به سه مثال از معروف‌ترین حملات مهندسی اجتماعی اشاره خواهیم کرد:

پیشنهادی که نمی‌توان رد کرد؛ از هر کلاهبرداری بپرسید، به شما خواهد گفت آسان‌ترین راه کلاهبرداری هدف قرار دادن حرص و طمع قربانیان است. در واقع اساس کلاهبرداری ۴۱۹ معروف به «کلاهبرداری نیجریه‌ای» نیز همین است. در این کلاهبرداری، فردی که خود را شاهزاده نیجریه معرفی کرده بود، در ایمیلی که برای قربانیان خود فرستاده بود مدعی شد قصد دارد مبالغ هنگفتی را از کشور خارج کند و هر کس به او کمک کند، می‌تواند ۳۰ درصد مبلغ جابه‌جا شده را برای خود بردارد. بعد کلاهبردار به بهانه هزینه‌های حمل و نقل، مبلغی را از قربانیان طلب می‌کرد و به محض فرستاده شدن پول، به‌طور کامل ناپدید می‌شد.

ایمیل‌های «شاهزاده نیجریه‌ای» به خاطر عجیب و مضحک بودن ماجرای آن تا مدت‌ها موضوعی برای خنده بود، اما این روش کلاهبرداری واقعا مؤثر است و در موارد بسیاری موفق عمل کرده است. حتی در ایران نیز کلاهبرداری نیجریه‌ای زیاد اتفاق می‌افتاد و قربانی می‌گیرد. مثلا در سال ۹۳، بیش از ۷۰۰ پرونده کلاهبرداری به روش «نیجریه‌ای» در ایران اتفاق افتاد و بیش از ۴۲ میلیارد تومان از مردم کلاهبرداری شد.

طوری تظاهر کن تا باور کنند؛ یکی از ساده‌ترین و به طرز غافلگیرکننده‌ای، موفق‌ترین تکنیک‌های مهندسی اجتماعی این است که خود را جای قربانی جا بزنید. کوین میتنیک در یکی از کلاهبرداری‌های اولیه خود با شرکت دیجیتال اکویپمنت که زمانی یکی از بزرگ‌ترین کمپانی‌ها در صنعت کامپیوتر بود، تماس گرفت و وانمود کرد یکی از توسعه‌دهندگان ارشد این شرکت است و نمی‌تواند به حساب خود وارد شود. او با همین دروغ ساده موفق شد لاگین و رمز عبور جدیدی دریافت کند و به سرورهای شرکت دسترسی پیدا کند. این اتفاق در سال ۱۹۷۹ افتاد و شاید فکر کنید اوضاع از آن سال بهتر شده است، اما متأسفانه اینطور نیست. در سال ۲۰۱۶، هکری به یکی از آدرس‌های ایمیل وزارت دادگستری آمریکا دسترسی پیدا کرد و با جعل هویت یکی از کارمندان و گفتن اینکه هفته اول کاریش است، از بخش IT شرکت کمک خواست تا به او دسترسی اینترنت وزارت‌خانه را بدهد. به همین سادگی!

مثل یک رئیس رفتار کن؛ اکثر ما طوری تربیت شدیم که به مافوق (یا کسی که مثل مافوق رفتار می‌کند) احترام بگذاریم و هرچه گفت انجام دهیم. اگر طوری رفتار کنید که انگار صاحب شرکت هستید و اجازه دسترسی به اطلاعاتی را دارید که در واقع ندارید، می‌توانید دیگران را متقاعد کنید آنچه را که دنبالش هستید، در اختیارتان قرار دهند. مثلا در سال ۲۰۱۵، کارمندان مالی شرکت تکنولوژی یوبیکوئیتی نتورکس، میلیون‌ها دلار را به حساب کلاهبردارانی واریز کردند که ازطریق ایمیل‌های جعلی ادای مدیران شرکت را در می‌آوردند. در قدیم هم بازرسانی که برای روزنامه‌های انگلیسی کار می‌کردند، به شرکت مخابرات زنگ می‌زنند و با تظاهر به اینکه یکی از کارمندان این شرکت هستند، اجازه دسترسی به پیام‌های صوتی افراد مشهور را پیدا می‌کردند.

گاهی نیز کلاهبرداران، ایمیل وب‌سایت‌های معتبر را جعل می‌کنند و برای شما لینکی می‌فرستند تا با کلیک روی آن امنیت حساب خود را تأیید کنید؛ غافل از اینکه این لینک به بدافزار آلوده است و شما به تصور اینکه این ایمیل واقعا از سمت شرکت معتبر فرستاده شده، به آن اعتماد کرده‌اید.

راه‌های محافظت دربرابر حملات مهندسی اجتماعی

مقابله با مهندسی اجتماعی شاید از سایر تهدیدهای سایبری دشوارتر باشد، چون در این معادله پای انسان در میان است. تکنیک‌های مهندسی اجتماعی نظیر طرح‌های هرمی، اسپم، فیشینگ یا حتی کلاهبرداری‌های ساده، همه با هدف فریب قربانیان خود ازطریق «باگی» که در سخت افزار انسان‌ها وجود دارد، صورت می‌گیرند و سناریوهای روانشناختی پیچیده‌ای را ترتیب می‌دهند تا قربانیان متقاعد شوند اطلاعات شخصی خود یا دیگران را فاش کنند یا کاری انجام دهند که به ضررشان تمام می‌شود. هر بار وسوسه دانلود موزیک یا نرم‌افزارهای رایگان شما را فریب داد تا بدافزار دانلود کنید، درواقع قربانی حمله مهندسی اجتماعی قرار گرفته‌اید.

اگرچه مقابله با حملات مهندسی اجتماعی بسیار دشوار است، نکات و روش‌هایی وجود دارد که می‌تواند ما را تاحدی دربرابر این مدل حملات محافظت کند که در ادامه با برخی از آن‌ها آشنا می‌شوید:

منبع را بررسی کنید

قبل از اینکه به درخواستی پاسخ دهید، به این فکر کنید که این تماس دقیقاً از کجا برقرار شده است. بدون بررسی منبع به هیچ تماسی اعتماد نکنید. روی میزتان درایو USB پیدا می‌کنید و نمی‌دانید از کجا آمده است؟ تماسی غیرمنتظره به شما می‌گوید چند میلیون برنده شده‌اید؟ ایمیلی از مدیر شرکت از شما می‌خواهد اطلاعات حساسی را درباره کارمندان دیگر در اختیارش قرار دهید؟ تمام این سناریوها مشکوک هستند و باید با احتیاط با آن‌ها برخورد کرد.

بررسی منبع کار سختی نیست. همیشه آدرس ایمیل را به‌طور کامل چک کنید و مطمئن شوید از فرستنده اصلی ارسال شده است. به جای کلیک، اول نشانه‌گر ماوس را روی لینک نگه دارید تا آدرس آن پدیدار شود. اگر متن ایمیلی که از برند یا شرکت مطرحی دریافت کرده‌اید، غلط املایی دارد، به احتمال زیاد از جای مطمئنی فرستاده نشده و جعلی است. هروقت به صحت ایمیل یا پیامی مشکوک شدید، به وب‌سایت رسمی مراجعه کنید یا درباره آن با یکی از نمایندگان به صورت تلفنی صحبت کنید.

منبع چه می‌داند؟

آیا منبع اطلاعاتی را که انتظار دارید داشته باشد، مثل نام و نام خانوادگی کامل شما را ندارد؟ اگر از طرف بانک یا برند معروفی با شما تماس گرفتند، باید تمام این اطلاعات را داشته باشند و همیشه قبل از اینکه اجازه دهند تغییراتی در حساب خود ایجاد کنید، از شما سوالات امنیتی می‌پرسند. اگر اینطور نبود، به احتمال زیاد تماس جعلی است و باید با احتیاط با آن برخورد کنید.

چرخه را بشکن

مهندسی اجتماعی معمولا در قربانی خود نوعی حس فوریت ایجاد می‌کند. مهاجمان می‌دانند اگر هدفشان وقت کافی برای فکر کردن و بررسی موضوع داشته باشد، ممکن است متوجه حقه آن‌ها شود؛ به همین خاطر، همیشه طوری سناریو را پیاده‌سازی می‌کنند که هدف مجبور شود در لحظه تصمیم‌گیری کند. هروقت با چنین تماسی روبه‌رو شدید، در پاسخ به آن عجله نکنید. به جای کلیک کردن روی لینک یا دادن اطلاعاتی که مهاجم از شما می‌خواهد، با شماره اصلی شرکت تماس بگیرید یا به وب‌سایت آن رجوع کنید تا اعتبار منبع را چک کنید. اگر دوست یا مدیر شرکت در ایمیلی از شما خواست سریعا به حساب او پول واریز کنید، قبل از این کار به او زنگ بزنید و مطمئن شوید که این ایمیل واقعا از طرف او فرستاده شده است.

از او کارت شناسایی بخواهید

یکی از آسان‌ترین راه‌های حمله مهندسی اجتماعی برای ورود غیرمجاز، در دست داشتن جعبه بزرگ یا تعداد زیادی پرونده است، به‌طوری‌که فرد نتواند کارت شناسایی خود را هنگام ورود به نگهبان نشان بدهد. اگر شما با چنین صحنه‌ای مواجه شدید، فریب این ترفند را نخورید و همیشه از فردی که قصد ورود به ساختمان را دارد، کارت شناسایی درخواست کنید.

اگر روش حمله ازطریق تماس تلفنی بود، بازهم به همین شکل عمل کنید و از فردی که تماس گرفته، تمام اطلاعات لازم را بپرسید. اگر او را نمی‌شناسید و نسبت به دادن اطلاعات به او حس خوبی ندارید، بگویید باید موضوع را با فرد دیگری چک کنید و بعدا با او تماس می‌گیرید.

از فیلتر اسپم بهتری استفاده کنید

اگر سرویس ایمیلی که از آن استفاده می‌کنید، تمام اسپم‌ها را فیلتر نمی‌کند، بهتر است از فیلترکننده اسپم بهتری کمک بگیرید. این فیلترکننده‌ها قادرند به کمک لیست سیاهی از IPهای مشکوک یا بررسی محتوا، فایل‌ها یا لینک‌های مشکوک را شناسایی کنند و آن‌ها را به بخش اسپم ایمیل شما بفرستند.

چقدر داستان واقع‌بینانه است؟

برخی از حملات مهندسی اجتماعی فرد را در موقعیتی اورژانسی قرار می‌دهند که نتواند به ماجرا به صورت نقادانه نگاه کند. اگر بتوانید در این شرایط بررسی کنید که چقدر ماجرا واقع‌بینانه است، می‌توانید از به دام افتادن در تله مهندسان اجتماعی در امان باشید. مثلا، اگر دوستتان در مخمصه‌ای گیر افتاده و به پول نیاز دارد، آیا به شما ایمیل می‌زند یا تماس می‌گیرد؟ چقدر احتمال دارد فامیل دوری که نمی‌شناسید در وصیت‌نامه خود نامی از شما برده باشد؟ آیا بانک ممکن است به شما زنگ بزند و از شما اطلاعات حساب‌تان را بخواهد؟

در کل، هربار در مکالمه‌ای متوجه حس فوریت شدید با احتیاط با آن برخورد کنید. بگویید برای دسترسی به اطلاعات به زمان نیاز دارید یا باید از مافوق خود سؤال کنید. در این شرایط عجله نکنید. بسیاری از مهندسان اجتماعی بعد از اینکه ببینند شما در همان لحظه حاضر به همکاری نیستید، از ادامه حمله منصرف می‌شوند.

امنیت دستگاه‌های خود را بالا ببرید

اگر دستگاه‌های هوشمند شما از امنیت بالایی برخوردار باشند، حتی در شرایطی که مهندس اجتماعی موفق به حمله شده است، دسترسی‌اش به اطلاعات محدود خواهد بود. برای افزایش امنیت گوشی هوشمند یا شبکه خانگی یا حتی سیستم شرکت بزرگ:

• همیشه نرم‌افزار آنتی ویروس خود را به‌روزرسانی کنید تا ایمیل‌های فیشینگ نتوانند روی سیستم شما بدافزار نصب کنند.
• پچ‌های امنیتی سیستم عامل و نرم‌افزارهای خود را در سریع‌ترین زمان ممکن نصب کنید.
• گوشی خود را در حال روت یا شبکه و پی‌سی خود را در حالت administrator اجرا نکنید تا درصورت دسترسی مهاجم به اکانت شما، قادر نباشد روی آن بدافزار نصب کند.
• از به کار بردن رمزعبور یکسان برای اکانت‌های مختلف خودداری کنید تا در صورت دسترسی مهاجم به یکی از حساب‌های شما، سایر اکانت‌ها در امان باشند.
• برای اکانت‌های حیاتی حتماً از احراز هویت دو عاملی استفاده کنید.

مراقب ردپای دیجیتالی خود باشید

اگر عادت دارید در شبکه‌های اجتماعی اطلاعات شخصی خود را به اشتراک بگذارید، طعمه خوبی برای مهندسان اجتماعی هستید. مثلا یکی از سوالات امنیتی اکانت ممکن است نام حیوان خانگی باشد. اگر در شبکه‌های اجتماعی نام حیوان خانگی خود را عنوان کرده باشید، ممکن است مورد حمله مهندسی اجتماعی قرار بگیرید. توصیه می‌شود پست‌های خود را در شبکه‌های اجتماعی تنها با دوستان به اشتراک بگذارید و به جنبه‌های دیگر زندگی شخصی خود که در اینترنت منتشر کرده‌اید، نیز خوب فکر کنید. مثلا اگر رزومه آنلاین دارید، آدرس، شماره تلفن و تاریخ تولد را از آن حذف کنید.

مهندسی اجتماعی از آن رو اینقدر خطرناک است که از موقعیت بسیار نرمال و به ظاهر بی‌خطر برای رسیدن به مقاصد پلید استفاده می‌کند. بااین‌حال، آشنایی با ترفندهای مهندسی اجتماعی و احتیاط می‌تواند خطر به دام افتادن در نقشه‌های این مهاجمان را کاهش دهد.

حرف آخر

اسمش را هرچه می‌خواهید بگذارید؛ مهندسی اجتماعی، حقه اطمینان، سوگیری شناختی یا کلاهبرداری. سوءاستفاده از سادگی و اعتماد افراد همانقدر این روزها شایع است که از ابتدای تاریخ بوده است. از هر متخصص امنیت سایبری که بپرسید به شما خواهد گفت ضعیف‌ترین و آسیب‌پذیرترین حلقه در زنجیره امنیت، انسان‌ها هستند. ما می‌توانیم پیشرفته‌ترین نرم‌افزار را برای حفاظت از سیستم‌های کامپیوتری توسعه دهیم، سختگیرانه‌ترین سیاست‌های امنیتی را به کار گیریم و کاربران را به بهترین شکل آموزش دهیم؛ بااین‌حال، تا زمانی که اجازه دهیم حس کنجکاوی و طمع ما بدون توجه به پیامدها تصمیم‌گیرنده باشند، ممکن است هر لحظه با تراژدی تروجان خودمان روبه‌رو شویم.

جمله «یک کامپیوتر امن، یک کامپیوتر خاموش است»، هوشمندانه اما نادرست است

یک جمله معروف است که می‌گوید:‌ «یک کامپیوتر امن، یک کامپیوتر خاموش است.» جمله هوشمندانه‌ای است، اما نادرست است. یک مهندس اجتماعی می‌تواند شما را متقاعد کند وارد دفتر کار شده و کامپیوتر خود را روشن کنید. مهاجمی که در پی به دست آوردن اطلاعات شما باشد، می‌تواند با صبر، پافشاری و شخصیت کاریزماتیک خود آن را در نهایت به دست آورد؛ به این می‌گویند هنر فریب‌کاری.

واقعیت این است که هیچ تکنولوژی‌ای در دنیا قادر نیست از حمله مهندسی اجتماعی جلوگیری کند. تنها راه این است که تمام افراد سازمان از وجود مهاجمانی که قصد دارند با فریب و ترفند، آن‌ها را مورد دستکاری روانشناختی قرار دهند، باخبر باشند و درباره اینکه چه اطلاعاتی و چگونه باید از آن‌ها محافظت شود، آموزش ببینند. به محض اینکه از تمام راه‌هایی که ممکن است احساسات و افکار شما در جهت منافع مهاجم دستکاری شود، به درک بهتری برسید، بهتر متوجه خواهید شد که مورد حمله مهندسی اجتماعی قرار گرفته‌اید.

مهندسی اجتماعی: انواع تکنیک ها + چرخه حملات Social Engineering

مهندسی اجتماعی (Social Engineering) در حوزه امنیت اطلاعات به معنای دستکاری روانشناختی افراد برای انجام کارهای خاص یا افشای اطلاعات متمرکز است. در واقع هدف از مهندسی اجتماعی دستیابی به اطلاعات، سواستفاده و حمله از این طریق است.

تکنیک های مهندسی اجتماعی به طور کلی شامل ۴ روش فیزیکی، اجتماعی، فنی و فنی-اجتماعی است. شما در این مقاله؛ مهندسی اجتماعی و انواع آن را به زبان ساده خواهید آموخت و همچنین با راه های ساده پیشگیری از حملات مهندسی آشنا خواهید شد.

آن‌چه در این مقاله خواهید آموخت:

• مهندسی اجتماعی چیست؟ [تاریخچه]
• مراحل چرخه مهندسی اجتماعی [ به همراه مثال]
• روش‌های شستشوی مغزی در حملات مهندسی
• ۴ نوع کلی حمله مهندسی اجتماعی [شرح کامل]
• نمونه‌های واقعی حمله در جهان
• راه های مقابله با مهندسی اجتماعی

پس در این مقاله از فرانش، همراه ما باشید، تا با توضیحات کامل و ساده، اطلاعات جامعی از انواع حملات مهندسی اجتماعی کسب کنید.

مهندسی اجتماعی چیست؟

مهندسی اجتماعی Social Engineering برای اولین بار در سال ۱۸۹۴ و با این باور که برای مقابله با مشکلات انسانی، وجود افراد حرفه‌ای ضروریست، مطرح شد.

در ابتدا مهندسی اجتماعی جنبۀ مثبتی داشت؛ چون باعث می‌شد افرادِ متخصص، در جامعه مداخلۀ مثبت داشته باشند. اما بعد از مدتی، به جنبۀ منفی گرایش پیدا کرد و به شستشوی مغزی افراد تبدیل شد.

شستشوی مغزی فقط در بحث سیاسی و اجتماعی وارد شده بود نه حوزه فناوری. اما بعدها فردی به نام Kevin Mitnick باعث شد این مفهوم به حوزه فناوری هم وارد شود. کوین میتنیک، هکر معروف دهه ۹۰ میلادی است که بعدها در زمینه امنیت مشغول به فعالیت شد و کتاب معروفی با عنوان هنر فریب را در همین حوزه نوشت.

مهندسی اجتماعی در حوزه فناوری اطلاعات و امنیت چگونه تعریف می ‌شود؟

مهندسی اجتماعی در حوزه فناوری اطلاعات یعنی؛

هنر متقاعد ساختن فرد، با استفاده از شستشوی مغزی، برای انجام دادنِ کاری که امنیت را به خطر بیاندازد.

چرخه حملات مهندسی اجتماعی چگونه است؟

مراحل چرخه مهندسی اجتماعی ۴ مورد زیر است:

1. جمع ‌آوری اطلاعات Information Gathering
2. برقراری ارتباط Developing Relationship
3. بهره برداری Exploitation
4. اجرا و حمله Execution

شاید هر کدام از این ۴ مرحله، نیاز به تکرار داشته باشند تا نفوذگر به هدف خود برسد.

مراحل حمله مهندسی اجتماعی social engineering attack

۱.  جمع ‌‌آوری اطلاعات ؛ اولین مرحله در حملات مهندسی اجتماعی

جمع آوری اطلاعات (Information Gathering) مهم‌ترین مرحله در حملات مهندسی اجتماعی است و احتمال موفقیتِ بیشترِ حملات، به این فاز بستگی دارد. به همین دلیل زمان و توجه زیادی در این مرحله صرف می‌شود.

از اطلاعات جمع آوری شده برای تعیین مسیر حمله، گذرواژه‌های (Passwords) ممکن، تشخیص پاسخ‌های احتمالی افرادِ مختلف، ساختن سناریوهای قوی و … استفاده می‌شود.

۶ نمونه از بهترین روش‌های مهندسی اجتماعی در هک، دستیابی و سوء استفاده از اطلاعات

1. باز نگه‌داشتن درب و اجازه ورود به تشکیلات
2. افشای نام کاربری و گذرواژه (پسورد) پشت تلفن
3. فراهم کردن تاییدیه اجتماعی (تایید مهاجم توسط قربانی) با معرفی و تایید مهاجم برای سایر پرسنل کمپانی.
4. وارد کردن یک درایو USB حاوی فایل‌های مخرب در یکی از کامپیوترهای کمپانی
5. باز کردن یک فایل ضمیمه ایمیلی که آلوده است.
6. افشای اسرار محرمانه در گفتگویی که ظاهراً با “همکار” انجام می‌شود (یعنی مهاجم هویت همکار را جعل کرده است).

۲. برقراری ارتباط Developing Relationship مرحله دوم در حملات مهندسی اجتماعی

در مرحله برقراری ارتباط، یک رابطۀ کاری با شخص مورد نظر برقرار می‌شود. این مرحله مهم و حیاتی است زیرا کیفیت رابطۀ ایجاد شده توسط مهاجم، سطح همکاری و میزان پیشبرد اهداف با کمک قربانی را مشخص می‌کند.

روند برقراری ارتباط در حملات مهندسی اجتماعی چگونه است؟

مرحله برقراری ارتباط در حمله مهندسی اجتماعی ممکن است خیلی ساده و خلاصه یا پیچیده و در چند بخش باشد. به عنوان مثال؛ ساده به این شکل که، مهاجم با یک لبخند و برقراری تماس چشمی، به سمت شخص مورد نظر حرکت کند تا او در را برای ورودش به داخل سازمان باز کند.

پیچیده به این شکل که شامل برقراری ارتباط شخصی از طریق تلفن یا خیلی شخصی‌تر مثل نشان دادن تصاویر خانوادگی و بازگو کردن داستان‌های خانوادگی به قربانی، در لابی باشد.

همچنین در این مرحله ممکن است، از یک رابطه آنلاین با پروفایل جعلی در شبکه‌های اجتماعی یا سایت‌های دوست‌یابی، استفاده شود.

۳. بهره‌ برداری Exploitation مرحله سوم در حملات مهندسی اجتماعی

در مرحله بهره برداری، مهاجم از اطلاعات و روابط برقرار شده، برای نفوذ و دستیابی به هدف استفاده می‌کند. ممکن است این بهره برداری، از طریق به دست آوردن اطلاعاتِ به ظاهر بی اهمیت یا دستیابی به یکسری دسترسی‌ها انجام شود.

تمرکز مهاجم در مرحله بهره برداری از حمله، بر روی چه چیزی است؟

در فاز بهره برداری، تمرکزِ مهاجم رویِ ۲ مورد زیر است:

1. حفظ رابطۀ برقرار شده
2. حفظ رضایت و توافق کسب شده در مرحله قبل بدون ایجاد شک و بدگمانی

۴. اجرای حمله Execution مرحله آخر در چرخه حملات مهندسی اجتماعی

در مرحلۀ اجرای حمله، یا هدف حمله محقق می‌شود یا به دلایل مختلف، حمله به صورتی که شک و ظنی درباره اتفاقات ایجاد نشود، پایان می‌پذیرد.

عموماً بهتر است در مرحله اجرای حمله به گونه‌ای عمل شود که، شخص مورد نظر (قربانی) حس کند کار خوبی برای یک شخص دیگر (مهاجم) انجام داده است و امکان تعاملات بیشتر در آینده هم وجود داشته باشد.

برای جلوگیری از افشای هویت مهاجم در مرحله حمله، باید چه کار کرد؟

برای جلوگیری از افشای هویت مهاجم و حتی مشخص شدنِ اینکه حمله‌ای صورت گرفته است، بهتر است کارهایی مثل پاک کردن اثرات و ردپاهای دیجیتال و اطلاعات باقیمانده از حمله انجام شود. در ضمن هدف نهایی و آخرین اقدامِ مهاجم، ایجاد یک استراتژیِ خروجِ برنامه ریزی شده و دقیق است.

۶ مورد متداول در تکنیک های مهندسی اجتماعی و روشهای شستشوی مغزی

در مهندسی اجتماعی حوزه فناوری اطلاعات، مهاجم از شستشوی مغزی استفاده می‌کند تا قربانی را به ارتکاب اشتباه امنیتی، متقاعد کند. به همین دلیل آگاهی از تکنیک های مهندسی اجتماعی و روش های شستشوی مغزی بسیار مهم است. در ادامه 6 مورد از مهمترین تکنیک های مهندسی اجتماعی را شرح می‌دهیم؛

1. استفاده از متن یا سناریوی آماده
2. طعمه گذاشتن
3. حرکت کردن پشت سر افراد مجاز برای ورود به ساختمان
4. بازی کردن نقش دیگران
5. جبران یک لطف
6. القای ترس

۱. استفاده از متن یا سناریوی آماده

در استفاده از متن یا سناریوی آماده، مهاجم وانمود می‌کند که، تماس برقرار شده، بدون هر گونه هدف خرابکارانه‌­ای است. او یک گفتگو را شکل داده و رابطه‌ای دوستانه ایجاد می‌کند و تنها در مراحل پایانیِ حمله، اطلاعات حساس را در خواست می‌کند.

۲. طعمه گذاشتن (Baiting)

با طعمه گذاشتن، مهاجمان، قربانی را فریب می‌دهند تا با انجام یک کار غیر امن، آن‌ها را به خواسته‌شان برساند. به عنوان مثال؛ مهاجمان، یک فلش آلوده را با برچسب‌هایی مثل «لیست پاداش‌های مخفیانه شرکت» بر سر راه قربانی قرار می‌دهند.

طعمه گذاشتن در حملات مهندسی اجتماعی

۳. حرکت کردن پشت سر افراد مجاز برای ورود به ساختمان

در این نوع حمله، مهاجم با حرکت کردن پشت سر یک فرد مجاز و وانمود کردن به این که او نیز مجاز به ورود داخل ساختمان است، سعی می‌کند وارد محوطه‌ای شود که دسترسی به آنجا محدودیت دارد. هر چند این تعقیب کردن در دنیای فیزیکی انجام می‌شود اما هدف نهایی با حوزه فناوری اطلاعات در ارتباط است (مثلا مهاجم می‌تواند وارد اتاق سرور شود).

۴. بازی کردن نقش دیگران

در روش بازی کردن نقش دیگران، مهاجم وانمود می‌کند که شخص دیگری است؛ شخصی که قدرت و اختیار لازم برای مطرح کردن یک خواسته یا تقاضا را داشته باشد (مثلا فرد مهاجم خود را به جای پشتیبان فنی یا مدیرعامل معرفی می‌کند که از جمله حملات متداول در این گروه است).

۵. جبران یک لطف (Quid Pro Quo)

در روش جبران یک لطف، مهاجم چیزی به شما عرضه کرده و در ازای آن از شما چیزی را درخواست می‌کند. در عین حال، جنبه مخرب و بدخواهانه هدف خود را هم مخفی می‌کند. به عنوان مثال مهاجم در ازای پرداخت یک پاداش نقدی، از شما می‌خواهد رمز عبوری را در اختیار وی قرار دهید. همچنین وانمود می‌کند یک محقق فناوری اطلاعات است که بر روی یک نمونه موردی، مطالعه می‌کند.

۶. القای ترس (Scareware)

با القای ترس مهاجم وانمود می‌کند که یک فرد واسط است و در رابطه با یک خطر، به شما هشدار می‌دهد. مثلاً فردی حساب شما را هک کرده است؛ پس برای حل مسأله، شما باید رمز عبورتان را در اختیار وی قرار دهید.

روش ‌های مهندسی اجتماعی مورد استفاده مهاجمین

روش های مهندسی اجتماعی در حملات، جنبه‌های زیادی دارند که در 4 روش زیر طبقه بندی قرار می‌شوند.

1. روش‌های فیزیکی
2. روش‌های اجتماعی
3. روش‌های فنی
4. روش‌های فنی – اجتماعی

در این دوره آموزشی به صورت کاملا جامع و برای اولین بار در ایران، مهندسی اجتماعی و روش هایی که در این نوع از حملات استفاده می شود را آموزش ببینید:

۱. روش‌ های فیزیکی در حملات مهندسی اجتماعی

در روش‌های فیزیکی حملات مهندسی اجتماعی، مهاجم با اقدامات فیزیکی، سعی دارد اطلاعاتی را درباره قربانی، جمع‌آوری کند. این اطلاعات می‌تواند شامل اطلاعات شخصی (مثل شماره تامین اجتماعی و تاریخ تولد) یا اطلاعات ورود به یک سیستم کامپیوتری باشد.

برخی از روش‌های فیزیکی نیاز به تجهیزات اندک و برخی دیگر نیاز به تجهیزات پیشرفته­‌ای دارند.

ویژگی‌های مشترک بین روش های فیزیکی حمله مهندسی اجتماعی

• نمی‌توان آن‌ها را از راه دور اجرا کرد
• برای انجام آن‌ها باید حتماً مهاجم در محل، حضور فیزیکی داشته باشد
• مهاجم باید ماموریت را به صورت رو در رو و شخصی اجرا کند
• جهت بهره برداری موفقیت­ آمیز از این روش‌ها، مهاجم نیازمند یک سناریوی از پیش طراحی شده، است
• استفاده از اصول نفوذ بر افراد (مهندسی اجتماعی) و سایر عوامل روان­شناسی ضروری است

5 متد حمله مهندسی اجتماعی به روش فیزیکی

روش‌های زیر مهم‌ترین متدهای حمله مهندسی اجتماعی به روش فیزیکی است:

۱. شیرجه در زباله ‌ها (Dumpster Diving)

شیرجه در زباله ‌ها یعنی؛ جستجو در آشغال‌ها و زباله‌های یک سازمان (کاغذهای پاره شده) جهت یافتن اطلاعات ارزشمند. در زباله ­ها اغلب اطلاعات مهمی یافت می‌شود، از جمله پرونده‌های پزشکی، نامه‌ها، عکس‌ها، نام افراد و شماره تماس آن‌ها، صورت حساب‌های بانکی، اطلاعات حساب بانکی، اطلاعاتی درباره نرم‌افزارها و گزارش‌های بخش پشتیبانی فنی.

در بعضی از کتب و نشریات علمی، شیرجه در زباله ­های سطل آشغال رایانه را نیز در این طبقه گنجانده‌­اند. بسیاری از افراد از نبود کاربر پشت میز استفاده کرده و یک نسخه کپی از کل فایل‌های پاک شده تهیه می­کنند تا در فرصت مناسبی بتوانند اقدام به بررسی و تحقیق و تفحص کنند.

چنین حمله‌ای می‌تواند یک منبع اطلاعاتی ارزشمند برای مهاجمین باشد و از این طریق به اطلاعات شخصی مربوط به کارمندان، دفترچه‌های راهنما، یادداشت‌ها و حتی نسخه‌های چاپی اطلاعات حساس مثل اطلاعات ورود کاربران به سیستم، دست پیدا کنند. اگر مهاجمی بتواند به دفاتر سازمان مورد هدف دسترسی پیدا کند، ممکن است اطلاعاتی مثل پسوردها را به صورت نوشته شده روی برگه‌های یادداشت، پیدا کند.

۲. نفوذ و نقش بازی کردن

نفوذ (ورود سرزده و بدون اجازه) وقتی انجام می­‌شود که مهاجم برای به دست آوردن اطلاعات؛ با جعل هویت فرد دیگری وارد ساختمان شخص /سازمان مورد هدف می‌شود. او می‌تواند با بازی کردن نقش یک کارمند، یک پیمانکار یا حتی یکی از مدیران IT سؤال‌هایی را بپرسد.همچنین او می‌تواند پیشنهاد رفع مشکلات را به صورت رو در رو یا از پشت تلفن مطرح کند.

نقش بازی کردن در مهندسی اجتماعی

۳. حرکت کردن پشت سر هدف

حرکت کردن با فاصله کم، پشت سر هدف (Piggybacking)، راهی برای دسترسی به یک ساختمان ایمن­ سازی شده، حتی در صورت وجود سازوکارهای امنیتی با کارت هوشمند یا استفاده از ویژگی‌های زیست­ سنجی است.

معمولاً این راهکارهای امنیتی می‌توانند مانع ورود کارکنان غیرمجاز به ساختمان‌ها و دسترسی آن‌ها به سیستم‌ها یا شبکه‌ها شوند. اما متأسفانه افراد، در بسیاری از موارد، بیش از حد برای کمک به دیگران، تلاش می‌کنند. به عنوان مثال وقتی به نظر می‌‌رسد که فردی در حال جستجوی کارت عبور خودش است، در را باز می‌گذارند تا از این طریق کمکی به او کرده باشند.

بازی کردن نقش کارمند یا تکنسینی که با عجله به سمت در حرکت می‌کند تا قبل از بسته شدن در وارد ساختمان شود هم یکی از روش‌های دسترسی به ساختمان‌هایی است که ورود به آن‌ها برای مهندسان اجتماعی، دشوار است.

 ۴. سرک کشیدن

سرک کشیدن ، ایستادن پشت سر افراد و نگاه کردن یکی دیگر از روش‌های جمع ­آوری و دستیابی به اطلاعات است. اطلاعاتی که از این طریق جمع­ آوری می‌شود طیف وسیعی دارد، از شناسه کاربری گرفته تا کلمه‌­های عبور یا سایر اطلاعات محرمانه‌ای که به صورت متنِ ساده هستند.

در این روش، لزوماً نیازی به نفوذ فیزیکی به محل مورد نظر وجود ندارد. چنین کاری را می­توان در هر جایی که مردم لپ­تاپ‌هایشان را برای کار باز می‌کنند، مثل کافی­ شاپ‌ها، فرودگاه‌ها، رستورانِ هتل‌ها یا حتی در فضای باز، انجام داد.

۵. مهندسی اجتماعی معکوس

در روش مهندسی اجتماعی معکوس، به جای برقراری تماس مستقیم با قربانی، مهاجم سعی می‌کند او را به این باور برساند که وی یک شخص قابل اطمینان است. در مهندسی اجتماعی معکوس، هدف این است که قربانی سعی کند به مهاجم نزدیک شود، مثلاً از او تقاضای کمک کند. به همین دلیل، به این روشِ غیر مستقیم، مهندسی اجتماعی معکوس گفته می‌شود.

مهندسی اجتماعی معکوس از چند مرحله تشکیل شده است؟

مهندسی اجتماعی معکوس از سه مرحله تشکیل شده است:

۱. خرابکاری عمدی

در این مرحله، خرابکاری در سیستم کامپیوتری سازمان رخ می‌دهد. این خرابکاری‌ها بسیار متنوع هستند و از موارد ساده‌ای مثل قطع کردن ارتباط فرد با شبکه سازمان تا موارد پیچیده‌ای مثل دستکاری اپلیکیشن‌های نرم‌افزاری، می‌توانند انجام ‌شوند.

۲. تبلیغ

بعد از خرابکاری، مهاجمین تبلیغات می‌کنند که قادر به حل مشکل هستند.

۳. کمک رسانی

بعد از تبلیغات وقتی که قربانی از آن‌ها تقاضای کمک می‌کند، مهندس اجتماعی مشکلی را که قبلاً خودش ایجاد کرده، رفع می‌کند و همزمان پسورد قربانی را برای حل مشکل، از او درخواست می‌کند یا به وی می‌گوید نرم‌افزار خاصی را نصب کند.

۲. روش‌ های اجتماعی در حملات مهندسی اجتماعی

در روش‌ های اجتماعی، مهاجم بر تکنیک‌های روانشناسی مثل اصول متقاعد کردن برای شستشوی مغزی قربانی متکی است. یک نمونه از روش‌های متقاعد کردن استفاده از قدرت (ادعایی) است. یکی از روش‌ها، کنجکاوی است که از آن در حملات فیشینگ هدفمند و طعمه گذاشتن (Baiting) استفاده می‌شود.

برای افزایش احتمال موفقیت چنین حملاتی، مجرمان اغلب سعی می‌کنند یک رابطه با قربانیان آینده‌شان برقرار کنند. طبق مطالعه گارتنر، جدیدترین نوع حملات مهندسی اجتماعی ، حملاتی هستند که از طریق تلفن اجرا می‌شوند. جاگذاری فلش در سازمان برای توسعه بد‌افزار روش دوم این افراد است.

۳. روش ‌های فنی در حملات مهندسی اجتماعی

روش‌ های فنی عمدتاً از طریق اینترنت انجام می‌شوند. گارتنر خاطر نشان کرده است؛ با توجه به این که کاربران در بسیاری موارد از رمز عبور یکسان (و ضعیف) برای حساب‌های کاربری مختلف استفاده می‌کنند، اینترنت برای مهندس‌های اجتماعی ابزاری جذاب جهت دستیابی به پسوردها است.

اغلب افراد توجه ندارند که به دست خود، اطلاعات شخصی زیادی را در اختیار مهاجمین (یا هر کسی که آن را جستجو می‌کند) قرار می‌دهند. مهاجمین در اغلب اوقات از موتورهای جستجو برای جمع‌آوری اطلاعات شخصی درباره قربانیان آینده‌شان استفاده می‌کنند. همچنین، ابزارهایی وجود دارند که قادر به جمع‌آوری و تجمیع اطلاعات از منابع اینترنتی مختلف هستند.

4. روش ‌های فنی – اجتماعی در حملات مهندسی اجتماعی

در حملات مهندسی اجتماعی موفق، اغلب از ترکیب روش‌های مختلفی که بالا ذکر شد، استفاده می‌شود. روش ‌های فنی – اجتماعی منجر به ایجاد قوی‌ترین سلاح‌ها برای مهندس‌های اجتماعی شده‌اند.

[15686,faraneshCourses squery=”” perpage=”5″ coustomcourses=”19080,18498,19247,18133,17119″]

انواع روش های فنی – اجتماعی

4 روش زیر از معروف‌ترین و متداول‌‌ترین روش های فنی – اجتماعی حملات مهندسی اجتماعیُ به شمار می‌رود:

۱. طعمه گذاری

در روش طعمه گذاری؛ مهاجمین یک وسیله ذخیره اطلاعات که آلوده به بدافزار است را در محلی قرار می‌دهند که احتمال پیدا کردن آن، توسط قربانی وجود دارد. این وسیله می‌تواند یک درایو USB، آلوده به تروجان (Trojan) باشند.

به‌علاوه در این روش، مهاجمین سعی می‌کنند با استفاده از برچسب‌های وسوسه انگیزی مثل “محرمانه” یا “کارمندان اخراجی ۱۳۹۸” از حس کنجکاوی افراد استفاده کنند.

۲. مهندسی اجتماعی و فیشینگ و هرزنامه Spam بافت آگاه

فیشینگ اجتماعی و هرزنامه، یکی دیگر از ترکیبات متداول روش‌های اجتماعی و فنی است. معمولاً فیشینگ (Phishing) از طریق ایمیل یا پیام‌رسان‌های فوری انجام می‌شود و مثل اسپم گروه بزرگ‌تری از کاربران را مورد هدف قرار می‌دهد. اما در مقابل، مهندسی اجتماعی معمولاً افراد خاص یا گروه‌های کوچکتری از افراد را مورد هدف قرار می‌دهند. تبهکاران امیدوارند که با ارسال پیام به تعداد زیادی از کاربران بتوانند عده زیادی را فریب دهند تا حمله آن‌ها سودآور باشد.

حملات فیشینگ و مهندسی اجتماعی

همچنین فیشینگ از جمله مخاطرات امنیتی است که به شدت در اینترنت گسترش یافته. در فیشینگ، مهاجم سعی می‌کند قربانیان را فریب دهد تا اطلاعات حساسی مثل گذرواژه یا شماره کارت اعتباری خود را، در وبسایتی که تحت کنترل مهاجم است، وارد کنند.

ثابت شده که فیشینگ اجتماعی که در آن از اطلاعات اجتماعی مربوط به قربانی استفاده می‌شود، در مقایسه با فیشینگ معمولی می‌تواند فوق العاده موثرتر باشد. در همین راستا، برخی از مقالات به این نتیجه رسیده‌اند که وقتی در ایمیل‌های فیشینگ، هویت یکی از دوستانِ فردِ مورد نظر، جعل شود؛ نرخ موفقیت از ۱۶ درصد به ۷۲ درصد افزایش پیدا می‌کند.

۳. مهندسی اجتماعی از طریق شبکه های اجتماعی و پروفایل‌ های جعلی

پروفایل جعلی در بیشتر شبکه‌های اجتماعی به راحتی قابل ساختن است؛ چون تنها گزینه اصلی و مورد نیاز، آدرس پست الکترونیک معتبر است. در نتیجه شرایط برای ایجاد پروفایل‌های جعلی، بسیار آسان‌تر شده است.

مطالعه‌ای که در سال ۲۰۰۷ با انتخاب تصادفیِ کاربران فیسبوک انجام گرفت، نشان داد که تقریباً ۴۱ درصد از کاربرانِ شبکه‌های اجتماعی، درخواست دوستی از سوی یک پروفایل جعلی را قبول کردند.

مثال از مهندسی اجتماعی در فضای مجازی با پروفایل ‌های جعلی

فرد بعد از ساخت پروفایل جعلی و دوست شدن با افراد، حمله خود را شروع می‌کند. مهاجم اطلاعات پروفایل شخص را کپی می‌کند و در یک شبکه اجتماعی دیگر که آن شخص هنوز در آن عضو نیست، یک پروفایل جعلی می‌سازد و سپس با دوستان وی تماس می‌گیرد.

مهندسی اجتماعی از طریق شبکه های اجتماعی و پروفایل های جعلی

اگر کاربری در فیسبوک حساب داشته باشد اما در لینکدین خیر، مهاجم می‌تواند اطلاعات پروفایل فیسبوک وی را برای ایجاد یک حساب در لینکدین کپی کند و سپس با دوستان فیسبوکی او که در لینکدین هستند، تماس برقرار کند.

۴. برنامه­‌های موبایلی

افزایش میزان استفاده از برنامه‌های موبایلی (اپلیکشن) در مشاغل و محیط‌های خصوصی، آن‌ها را به یک کانال محبوب برای حملات مهندسی اجتماعی تبدیل کرده است.

در ارتباطات تجاری، پیام رسان‌های موبایلی و اپلیکیشن‌های ایمیل، برای مهندس‌های اجتماعی جذابیت زیادی دارند. از آنجایی که سیاست‌های به همراه آوردن وسایل الکترونیکی شخصی مثل تبلت و گوشی موبایل، توسط بسیاری از شرکت­‌ها اجرایی شده‌اند؛ تعداد کاربرانی که از گوشی موبایلشان برای چک کردن ایمیل‌های شرکت یا خواندن مستندات ذخیره شده در ابر استفاده می‌کنند، روزبه‌روز بیشتر می‌شود.

اما خیلی از کاربران از برنامه‌های موبایلی، به طرز غیر ایمنی استفاده می‌کنند که امکان استفاده از آن‌ها جهت اجرای حملات مهندسی اجتماعی وجود دارد.

در برنامه‌­های پیام رسان موبایلی محبوب مثل واتساپ می‌توان، شناسه فرستنده را جعل کرد. یک مهندس اجتماعی می‌تواند از این شرایط برای ارسال پیام به یک قربانی استفاده کند در حالیکه وانمود می‌کند یکی از دوستان وی است. مهندسان اجتماعی به کمک این آسیب‌پذیری‌ها قادرند، حساب کاربران را ربوده و سپس از آن‌ها جهت اهداف خود، استفاده کرد.

دستگاه ‌های موبایل چگونه کار را برای مهندسان اجتماعی آسان‌تر کرده‌اند؟

خیلی از برنامه‌­های موبایلی به شدت آسیب‌پذیر هستند و می‌توانند اطلاعات حساس را از خود نشت دهند. به همین دلیل دستگاه‌های موبایلی مسیرهای حمله متعددی را برای مهندسی اجتماعی و سایر حملاتی که علیه حریم خصوصی کاربران است، فراهم می‌کنند. بعلاوه، برخی از برنامه‌‌های گوشی‌های هوشمند، مجوز دسترسی به داده‌های حساس روی دستگاه کاربر را درخواست می‌کنند.

اگر یک مهاجم چنین اپلیکیشنی بسازد می‌تواند این اطلاعات را به دست آورده و از آن‌ها به عنوان یک نقطه شروع برای حمله مهندسی اجتماعی استفاده کند.

همچنین می‌توان تبادل اطلاعات بین برنامه‌های گوشی‌های هوشمند را شنود کرد و سپس از آن‌ها جهت نقض خط مشی‌ها و مجوزهای اپلیکیشن استفاده کرد. در برخی از موارد، مهاجم یک اپلیکیشن موبایلی محبوب را کپی کرده و از آن جهت اجرای حمله استفاده می‌کند.

۴ شرکت بزرگ که هدف مهندسی اجتماعی و حملات آن شدند

شرکت‌ها و سازمان‌های معروفی به نام‌های RSA، نیویورک تایمز، کاسپر اسکی و… مورد تهاجم قرار گرفته‌اند که در ادامه به معرفی ۴ مورد از آن‌ها می‌پردازیم:

۱. شرکت RSA در سال 2011

شرکت RSA در سال 2011 قربانی حمله‌ای شد که از طریق یک تهدید پیشرفته و مستمر انجام شده بود. تعدادی از کارمندان ایمیلی تحت عنوان “برنامه استخدام سال ۲۰۱۱ ” دریافت کردند. هر چند اکثر آن‌ها این ایمیل را در فولدر هرزنامه (Spam) پیدا کرده بودند، اما این ایمیل به اندازه‌ای خوب طراحی شده بود که گیرنده شکی به آن نمی‌کرد. بنابراین تعدادی از کارمندان ایمیل را مستقیما از پوشه هرزنامه باز کردند.

یک فایل صفحه گسترده، به این ایمیل پیوست شده بود. این فایل صفحه گسترده، حاوی یک اکسپلویت روز صفر بود که به کمک یکی از آسیب‌پذیری‌های ادوبی فلش، یک در پشتی نصب می‌کرد. مهاجم، از یک آسیب‌پذیری برای کنترل دستگاه از راه دور استفاده کرده بود که در ابتدا شناسایی نشد. پس از تکمیل فاز اولیه مهندسی اجتماعی، مهاجمین به سیستم‌های بیشتری در شبکه محلی نفوذ کردند. سپس آن‌ها با موفقیت، تعدادی از اکانت‌های استراتژیک و مهم را هک کرده و توانستند اطلاعات مهمی را درباره سیستم SecurID شرکت RSA سرقت کنند. در نهایت به دلیل موفقیت این حمله مهندسی اجتماعی، RSA مجبور به جایگزینی میلیون‌ها توکن SecurID شد.

۲. نیویورک تایمز در سال 2013

نیویورک تایمز هم در سال 2013، هدف حمله‌ای مشابه RSA قرار گرفت. هکرهای چینی یک حمله هدفمند ۴ ماهه اجرا و به سیستم‌های کامپیوتری نیویورک تایمز نفوذ کردند. آن‌ها اطلاعات ورود (Login) کارمندان را به دست آوردند. تحقیقات نشان می‌دهد که شواهدی درباره انگیزه‌های سیاسی در این حمله وجود داشت. مهاجمین حساب‌های ایمیل را هک کرده و سعی کردند منبع ترافیک را برای نیویورک تایمز مخفی کنند و ترافیکِ ایجاد شده توسط حملات را از طریق کامپیوترهای دانشگاهی مستقر در آمریکا مسیریابی کنند.

باز هم مسیر اولیه حمله، یک حمله فیشینگ هدفمند بود که اعلامیه‌های جعلی فدکس (شرکت پست امریکایی) را ارسال می‌کرد. نیویورک تایمز، کارشناسان امنیت کامپیوتر را استخدام کرد تا این حمله را تحلیل کرده و از ایجاد تهدیدی مستمر پیشگیری کنند. آن‌ها متوجه شدند که برخی روش‌های مورد استفاده برای نفوذ به زیرساخت کمپانی با ارتش چین در ارتباط است. بعلاوه، بدافزار نصب شده برای دسترسی به کامپیوترهای شبکه کمپانی از الگوهایی مشابه به حملات قبلی چین تبعیت می‌کرد. قبلاً از کامپیوترهای همان دانشگاه در آمریکا توسط هکرهای ارتش چین استفاده شده است. با این حمله، هکرها پسورد تمام کارمندان نیویورک تایمز را به سرقت بردند و توانستند به دستگاه‌های شخصی ۵۳ نفر دسترسی پیدا کنند. اما طبق اعلام نیویورک تایمز، هیچ اطلاعات کامپیوتری به سرقت نرفته بود. خصوصیات این حمله به وضوح حکایت از یک انگیزه سیاسی داشت.

۳. شبکه جاسوسی سایبری اکتبر قرمز

شرکت کاسپرسکی (Kaspersky) اخیرا یک گزارش تحقیقاتی جدید درباره حملات فیشینگ هدفمند صورت گرفته علیه سازمان‌های دیپلماتیک، دولتی و تحقیقی منتشر کرد. بیشتر سازمان‌هایی که هدف این حملات قرار گرفتند در کشورهای عضو اتحاد جماهیر شوری سابق در شرق اروپا و آسیای مرکزی قرار داشتند. این حمله، در سال ۲۰۰۷ آغاز شد و تا ابتدای سال ۲۰۱۳ ادامه داشت و منجر به سرقت داده‌های حساسی از موسسات تحقیقاتی، گروه‌های هسته‌ای، بخش انرژی و سازمان‌های هوا-فضایی شد.

در این حمله هم مثل حملات RSA و نیویورک تایمز یک ایمیل فیشینگ هدفمند به گروهی از افراد منتخب ارسال شد. به عنوان مثال، مهاجمین اتومبیل‌های دیپلماتیک ارزان قیمتی را در پیام‌های فیشینگ هدفمند تبلیغ می‌کردند؛ این پیام‌ها حاوی یک بدافزار سفارشی بودند. طبق اعلام کاسپرسکی، معماری بدافزار متشکل از افزونه‌های مخرب، ماژول‌های سرقت اطلاعات و یک تروجانِ در پشتی بود که از آسیب‌پذیری‌های امنیتی مایکروسافت آفیس، سوء استفاده می‌کرد. همچنین، مهاجمین اطلاعات حساس زیادی را از شبکه‌هایی که به آن‌ها رخنه کرده بودند، استخراج کردند.

از اطلاعات Login به سرقت رفته، به صورت یک لیست سازماندهی شده، برای حدس زدن پسورد سیستم‌های دیگر استفاده شد. تهدید پیشرفته مستمر اکتبر قرمز تقریباً برای ۶ سال فعال بود. بررسی‌های عمیق نشان داد در فایل‌های اجرایی بدافزار، علائمی وجود دارشته که نشان می‌داده، مهاجمین در یک کشور روس زبان مستقر بوده‌اند.

۴. واترهولینگ

حملات واترهولینگ در کنار فیشینگ هدفمند، مسیر اصلی را در حملاتی که اخیرا علیه سازمان‌های چند ملیتی صورت گرفت، تشکیل می‌دادند. در این روش، مهاجمان به جای اینکه مستقیماً کارمندان را با پیام‌های فیشینگِ سفارشی مورد هدف قرار دهند، وب‌سایت‌هایی را هدف قرار دادند که احتمال بازدید از آن‌ها توسط قربانیانشان وجود داشت. آن‌ها وب‌سایت‌های خاصی را با بدافزار هدف قرار داده و انتظار داشتند که برخی از کارمندان کمپانی‌های مورد نظرشان از این سایت‌ها بازدید کنند.

راه های مقابله با مهندسی اجتماعی (5 توصیه مهم)

1. آموزش و آگاهی بخش به تک تک افراد سازمان و فرهنگ‌سازی مناسب در مورد حملات مهندسی اجتماعی
2. شناخت اطلاعات حساس و آموزش طبقه‌بندی اطلاعات به پرسنل
3. باز نکردن ایمیل از منابع مشکوک
4. نرم افزار آنتی ویروس خود را به روز کنید
5. کلیک نکردن و دانلود نکردن پیوست‌ ایمیل هایی که قبلا با آن‌ها در ارتباط نبوده‌اید

جمع بندی مقاله روش‌های حملات مهندسی اجتماعی

در این مقاله از فرانش آموختیم که؛

• حملات مهندسی اجتماعی در یک فرایند ۴ مرحله‌ای ۱. جمع ‌آوری اطلاعات، ۲.برقراری ارتباط، ۳.بهره برداری و ۴. حمله انجام می‌شود.
• مهم ترین تکنیک های مهندسی اجتماعی عبارتند از؛ متن یا سناریوی آماده – طعمه گذاشتن – حرکت کردن پشت سر افراد مجاز برای ورود به ساختمان – بازی کردن نقش دیگران – جبران یک لطف و در آخر؛ القای ترس صورت می‌گیرد.
• نمونه‌های جهانی و قدرتمند حملات مهندسی اجتماعی، غالبا از ادغام روش اجتماعی و فنی و با فیشینگ اجرا می‌شوند.
• و…

منابع:

https://www.zoomit.ir/security/374861-social-engineering-complete-guide/

https://faranesh.com/blog/social-engineering-techniques