با حذف داده های خود از مهندسی اجتماعی و فیشینگ جلوگیری کنید

این مقاله بر حذف اطلاعات شخصی شما برای جلوگیری از حملات فیشینگ و مهندسی اجتماعی تمرکز دارد.

در حالی که ما ترجیح می‌دهیم به قلب مقاله بپردازیم و دقیقاً به شما بگوییم که چه کاری باید انجام دهید، درک چند جزئیات، به ویژه در مورد جدیدترین انواع حملات، حیاتی است.

بنابراین، لازم است کمی به جزئیات بپردازیم. درک اینکه چه چیزی این اشکال مرتبط از جرایم سایبری را تشکیل می دهد، شروع خوبی برای یادگیری نحوه جلوگیری از مهندسی اجتماعی و فیشینگ است. پس بیایید با بحث در مورد آنچه که یک حمله مهندسی اجتماعی است شروع کنیم.

حمله مهندسی اجتماعی چیست؟

اصطلاح “مهندسی اجتماعی” چتر گسترده ای را در بر می گیرد و انواع حملات را در بر می گیرد.

به طور کلی، یک حمله مهندسی اجتماعی حمله ای است که در آن مرتکب افراد را فریب می دهد تا اطلاعات شخصی خود را فاش کنند. این اطلاعات می تواند شامل شماره تامین اجتماعی، جزئیات کارت اعتباری، شماره حساب بانکی، رمز عبور یا سایر اطلاعات شخصی شما باشد.

تخمین زده می شود که مهندسی اجتماعی در 95 تا 98 درصد از تمام حملات هدفمند به افراد و سازمان ها استفاده می شود.

دو عنصر از یک حمله مهندسی اجتماعی/فیشینگ وجود دارد: بدست آوردن اطلاعات شخص ثالث و سازش اطلاعات شخص ثالث

ما در درجه اول تمرکز می کنیم بدست آوردن اطلاعات یا فیشینگ. دلیل آن کاملاً ساده است: اگر مهاجم یا آن سرویس‌هایی که مستقیم یا غیرمستقیم به مجرم کمک می‌کنند (مثلاً کارگزاران داده) نمی تواند مکان شما را پیدا کند یا به آن دسترسی پیدا کند داده ها، پس نمی توان به خطر افتاد.

فیشینگ چیست؟

کلاهبرداری فیشینگ نوعی حمله سایبری است که از تکنیک های مهندسی اجتماعی برای فریب قربانیان برای ارائه اطلاعات حساس مانند رمز عبور، شماره کارت اعتباری یا سایر داده های شخصی استفاده می کند. معمولاً شامل ارسال یک ایمیل یا پیام متنی با پیوند یا پیوست مخرب است که به نظر می رسد از یک منبع قانونی باشد. هدف مهاجم دسترسی به حساب های قربانی و سرقت داده های آنها است.

کلاهبرداری های فیشینگ یک مشکل اصلی امنیت سایبری برای افراد و سازمان ها به طور یکسان است. مجله امنیتی به گزارشی اشاره می کند که تخمین می زند بیش از 255 میلیون حمله فیشینگ در شش ماه اول سال 2022 رخ داده است. 61% نسبت به مدت مشابه در سال 2021 افزایش یافته است.

به گفته اکثر منابع معتبر، ایمیل رایج ترین روش ارتباطی بین مهاجم و قربانی است. در بسیاری از موارد، مجرم یک دامنه جعلی ثبت می‌کند و یک ایمیل فیشینگ را طوری قالب‌بندی می‌کند که گویی از یک شرکت قانونی است. این پیام اغلب به صورت دسته جمعی ارسال می شود.

انواع تخصصی تر و هدفمندتری از فیشینگ نیز وجود دارد. دو موردی که هم برای افراد و هم برای سازمان ها دشوار است، فیشینگ نیزه ای و فیشینگ ماهیگیر هستند.

نیزه فیشینگ

Spear phishing یک حمله ایمیلی است که فرد خاصی را در یک سازمان هدف قرار می دهد. هدف‌های معمولی مدیران سطح بالا در بانک‌ها و سایر مؤسسات مالی است.

از آنجایی که پیام، کارگران تحصیلکرده ای را هدف قرار می دهد که به خوبی در شمشیرهای مختلف آشنا هستند و به آنها آموزش داده شده است که در برابر فعالیت های مشکوک مراقب باشند، مهاجم زمان بیشتری را به تحقیق اختصاص می دهد تا فضایی از اصالت را ارائه دهد. غیرعادی نیست که پیام حاوی اطلاعات شخصی (به عنوان مثال، نام، عنوان شغلی، بخش، و غیره)، نام همکاران، رویدادهای شرکت یا سایر «اطلاعات داخلی» باشد.

خوشبختانه برای جنایتکار، جزئیات شخصی و سایر “اطلاعات داخلی” به راحتی از طریق لینکدین، وب سایت های شرکت و منابع داده های عمومی بیشتر در دسترس هستند.

حملات فیشینگ نیزه همیشه مدیران سطح بالا را هدف قرار نمی دهند. مهاجمان اغلب یک ایمیل شخصی ارسال می کنند که به نظر می رسد از یک حساب آنلاین قانونی ارسال شده است. به ایمیل فیشینگ American Airlines در زیر نگاهی بیندازید:

در تصویر بالا اگر با دقت نگاه کنید می توانید یک اشتباه واضح را مشاهده کنید. گرفتی؟ “برنامه سفر” اشتباه نوشته شده است.

هنگامی که هر پیامی را دریافت می کنید – متن، ایمیل یا موارد دیگر – حتماً به دنبال گرامر ضعیف، غلط های املایی، گرافیک غیرحرفه ای یا سایر نشانه های آشکار یک ایمیل کلاهبرداری باشید.

متأسفانه، شناسایی حملات فیشینگ نیزه ای به دلیل سطح بالای شخصی سازی دشوار است. چند سال پیش، یک مطالعه گسترده امنیت اینتل ادعا کرد که 97٪ از شرکت کنندگان – وقتی از آنها خواسته شد ایمیل های فیشینگ جعلی را شناسایی کنند – نمی توانند.

فیشینگ ماهیگیر

فیشینگ ماهی گیر نوع جدیدی از حملات مهندسی اجتماعی است که کاربران رسانه های اجتماعی را هدف قرار می دهد. در این نوع تلاش برای فیشینگ، مهاجمان اغلب خود را به عنوان عوامل خدمات مشتری نشان می دهند که به شکایات ارسال شده توسط کاربران در یک پلت فرم رسانه اجتماعی، اغلب فیس بوک یا توییتر پاسخ می دهند.

نام کاربری معمولاً نام برخی از شرکت‌های معتبر (معمولاً یک مؤسسه مالی یا شرکت خدمات مالی) را در خود جای می‌دهد تا قانونی‌تر به نظر برسد.

اغلب در پیام پیوندی وجود دارد که کاربر را به یک سایت مخرب به نام “سایت فیشینگ” هدایت می کند. پس از ورود به این سایت فیشینگ، از کاربر خواسته می شود اطلاعات شخصی خود را وارد کند. از طرف دیگر، پیوند مخرب ممکن است حاوی کد مخربی باشد که می تواند امنیت رایانه شما را به خطر بیندازد.

فیشینگ پیامکی (“smishing”)

همانطور که از نام آن پیداست، smishing نوعی از فیشینگ با استفاده از پیام های متنی موبایل یا گوشی های هوشمند است. به گفته IBM، کارآمدترین متن های smishing بسیار پیچیده هستند، زیرا این پیام ها به شیوه ای مرتبط با برنامه های تلفن هوشمند یا مدیریت حساب ساخته می شوند (به مثال مراجعه کنید).

فیشینگ صوتی (“ویشینگ”)

Vishing یک حمله فیشینگ است که از طریق تلفن رخ می دهد. با توجه به پیشرفت در اتوماسیون VoIP و جعل شناسه تماس گیرنده، کلاهبرداران اکنون می توانند میلیون ها تماس تلفنی را که به نظر می رسد از سوی شرکت های قانونی باشد، برقرار کنند. مشابه سایر روش‌های فیشینگ، حملات vishing حاوی جریانی از فوریت و ترس هستند. نمونه ای از کلاهبرداری های ویشینگ: پرداخت های معوقه IRS، مشکلات پردازش کارت اعتباری و پیش فرض های پرداخت خدمات.

با حذف داده های خود از فیشینگ جلوگیری کنید

حذف اطلاعات شخصی که به صورت آنلاین پیدا شده است برای جلوگیری از مهندسی اجتماعی و حملات فیشینگ ضروری است. حذف این اطلاعات دسترسی مجرمان و استفاده از آن برای اهداف مخرب را دشوارتر می کند.

علاوه بر این، حذف داده‌ها احتمال جعل هویت شخصی یا دسترسی به حساب‌های حساس را کاهش می‌دهد. علاوه بر این، حذف اطلاعات شخصی شما از منابع عمومی نه تنها خطر حملات مهندسی اجتماعی یا فیشینگ، بلکه سرقت هویت و سایر اشکال کلاهبرداری را به شدت کاهش می دهد.

بسیاری از افراد – به ویژه جوان تر – به آموزش اولیه در مورد “چرا و چگونگی” حفاظت از داده های خود نیاز دارند.

ابتدا، آگاهی از آن تراکنش‌های روزمره ضروری است که اگرچه به ظاهر بی‌ضرر هستند، اما داده‌های ما را بیشتر و بیشتر می‌کنند.

در اینجا لیست کوتاهی از این معاملات آمده است:

– دانلود یک برنامه با کیفیت (iPhone یا Android)

– ثبت نام برای برنامه وفاداری/پاداش مشتری

– ثبت محصول

– درخواست برای/استفاده از کارت اعتباری

– مرور وب بدون ضد ردیابی

– ثبت محصول نزد سازنده

– استفاده از برنامه دوستیابی، شبکه های اجتماعی یا حمل و نقل. (مثال: فیس بوک، Tinder، Grindr، Uber، Instagram)

– خیلی، خیلی بیشتر

چرا شرکت ها ورودی های داده را در این مکان ها قرار می دهند؟ خوب…

مهندسی اجتماعی و روانشناسی مصرف کننده

تیم‌های بازاریابی می‌دانند که در چه مرحله‌ای از چرخه‌های خرید، کمتر احتمال دارد که صبر و حوصله نشان دهید (بخوانید: سرکوب تکانه‌ها). این در واقع یک پدیده به خوبی مطالعه شده در روانشناسی مصرف کننده است.

بازاریابان زمان و مکان استفاده از این تمایلات روانی را محاسبه می کنند تا:

1. چیزهای بیشتری به شما بفروشد
2. اطلاعات را به “شریک” آنها بدهید تا بتوانند چیزهای بیشتری به شما بفروشند (و بالعکس)، یا
3. فقط داده های خود را بفروشید

نتیجه این عدم دقت در نحوه اشتراک گذاری داده های خود در جستجوی معمولی نام یک شخص در گوگل مشهود است. برو و نام کسی را در گوگل وارد کن. لازم نیست مال شما باشد اطراف را حفاری کنید. چی پیدا کردی؟

آدرس ایمیل؟ آدرس خانه؟ نام کارفرما؟ شماره تلفن؟ صلاحیت تامین اجتماعی یا چهار آخر؟ نام بانک؟ نام های نسبی؟ آدرس های نسبی؟ ایمیل ها؟

آیا مشکل آشکار می شود؟

اگر نه، نگران نباشید. تو تنها نیستی اجازه دهید اثرات ناگوار این انباشتگی به ظاهر بی‌گناه اطلاعات به ظاهر بی‌اهمیت را توضیح دهیم: کارگزاران داده.

کارگزاران داده

ما باید با کارگزاران داده شروع کنیم. کارگزاران داده صنعت 250 میلیارد دلاری را با بهره برداری از اطلاعات شخصی شما ساخته اند.

کارگزاران داده اینترنت را برای اطلاعات شما خراش می دهند، آن را بسته بندی می کنند و به بالاترین قیمت پیشنهادی می فروشند. شما به یک پروفایل تبدیل می‌شوید، برخی از شرکت‌های از قبل ثروتمند را غنی می‌کنید و در این فرآیند حریم خصوصی خود را از دست می‌دهید.

حتی زمانی که کارگزاران داده مشغول تبدیل شما به نقطه داده نیستند، استفاده از این اطلاعات برای همه – از جمله هکرها – رایگان است. نتیجه افزایش سرسام آور موارد سرقت هویت، فیشینگ، افزایش تماس های بازاریابی تلفنی/هرزنامه و به طور کلی امنیت کمتر است.

برای حفظ حریم خصوصی خود، حذف اطلاعات خود از پایگاه داده کارگزاران داده ضروری است.

بررسی کنید چه کارگزارانی اطلاعات خصوصی شما را دارند و امتیاز ریسک حریم خصوصی خود را به صورت رایگان از اینجا دریافت کنید.

سایر اقدامات امنیتی که باید انجام شود

در حالی که پاک کردن داده های شرمگاهی شما است ضروری است برای حفظ حریم خصوصی داده ها و جلوگیری از حملات مهندسی اجتماعی و فیشینگ، برخی اقدامات اضافی توصیه می شود.

در حالی که برون یابی در طرحی برای حفظ حریم خصوصی داده ها خارج از محدوده این مقاله است، در اینجا فهرست کوتاهی از اقدامات امنیتی وجود دارد:

– فیلترهای ایمیل خود را بشناسید و به روز کنید

– هر ایمیل مشکوکی را حذف و مسدود کنید

– در صورت شک، پیام را حذف کنید

– مطمئن شوید که فایروال شبکه و فایروال شخصی/رومیزی شما فعال و به روز هستند

– اطلاعات ورود به سیستم تمام حساب های مالی را ایمن کنید

– هرگز جزئیات پرداخت را در ایمیل یا پیامک وارد نکنید

– اطلاعات پروفایل های رسانه های اجتماعی خود را تجزیه کنید (یا آنها را حذف کنید!)

– اطمینان حاصل کنید که همه برنامه‌ها، سیستم‌ها و نرم‌افزارها با آخرین وصله‌های امنیتی به‌روز شده‌اند (شاید بخواهید یک نرم‌افزار یا به‌روزرسانی سخت‌افزار را برای این منظور در نظر بگیرید).

اولین قدم را در جلوگیری از مهندسی اجتماعی و فیشینگ بردارید و ارزیابی رایگان حریم خصوصی خود را از اینجا دریافت کنید.

t_98zoom@ به کانال تلگرام 98 زوم بپیوندید