با حذف داده های خود از مهندسی اجتماعی و فیشینگ جلوگیری کنید

توسط · 25 اسفند 1401

زمان مطالعه: 8 دقیقه

این مقاله بر حذف اطلاعات شخصی شما برای جلوگیری از حملات فیشینگ و مهندسی اجتماعی تمرکز دارد.

در حالی که ما ترجیح می‌دهیم به قلب مقاله بپردازیم و دقیقاً به شما بگوییم که چگونه داده‌های خود را حذف کنید، درک چند جزئیات، به ویژه در مقابله با آخرین حملات، حیاتی است. بنابراین، لازم است کمی به جزئیات بپردازیم.

درک اینکه چه چیزی این انواع جرایم سایبری را تشکیل می دهد، شروعی عالی برای یادگیری نحوه جلوگیری از مهندسی اجتماعی و فیشینگ است. پس بیایید از آنجا شروع کنیم.

حمله مهندسی اجتماعی چیست؟

اصطلاح “مهندسی اجتماعی” چتر گسترده ای را در بر می گیرد و انواع روش های حمله را در بر می گیرد.

ویکی‌پدیا مهندسی اجتماعی را به‌عنوان «دستکاری روان‌شناختی افراد برای انجام اعمال یا افشای اطلاعات محرمانه» تعریف می‌کند. این اطلاعات می تواند شامل شماره تامین اجتماعی، جزئیات کارت اعتباری، شماره حساب بانکی، رمز عبور یا سایر اطلاعات شخصی شما باشد.

تخمین زده می شود که مهندسی اجتماعی در 95-98٪ (بسته به منبع) تمام حملات هدفمند به افراد و سازمان ها استفاده می شود.

دو عنصر از یک حمله مهندسی اجتماعی/فیشینگ وجود دارد: بدست آوردن اطلاعات شخص ثالث و سازش دانش شخص ثالث

ما در درجه اول تمرکز می کنیم بدست آوردن اطلاعات یا فیشینگ. دلیل آن بسیار ساده است: اگر مهاجم یا آن دسته از سرویس‌هایی که به طور مستقیم یا غیرمستقیم به مجرم کمک می‌کنند (مثلاً کارگزاران داده) نمی تواند موقعیت شما را پیدا کند یا به آن دسترسی پیدا کند داده ها، پس نمی توان به خطر افتاد.

فیشینگ چیست؟

از زمان اولین حمله فیشینگ گزارش شده در سال 1990، این حمله به یک بردار حمله پیچیده تر تبدیل شده است. در حال حاضر، فیشینگ یکی از رایج ترین نمونه های فعالیت های کلاهبرداری در اینترنت در نظر گرفته می شود. فعالیت های فیشینگ می تواند منجر به خسارات شدیدی برای قربانیان شود، از جمله اطلاعات حساس، سرقت هویت، شرکت ها و اسرار دولتی. – الخلیل و همکاران، 2021

کلاهبرداری فیشینگ نوعی حمله سایبری است که از تکنیک های مهندسی اجتماعی برای فریب قربانیان برای ارائه اطلاعات حساس استفاده می کند. معمولاً شامل ارسال یک ایمیل یا پیام متنی با پیوند یا پیوست مخرب است که به نظر می رسد از یک منبع قانونی باشد.

کلاهبرداری های فیشینگ یک مشکل اصلی امنیت سایبری برای افراد و سازمان ها به طور یکسان است. مجله امنیتی به گزارشی اشاره می کند که تخمین می زند بیش از 255 میلیون حمله فیشینگ در شش ماه اول سال 2022 رخ داده است. 61% نسبت به مدت مشابه در سال 2021 افزایش یافته است.

به گفته اکثر منابع معتبر، ایمیل رایج ترین روش ارتباطی بین مهاجم و قربانی است. در بسیاری از موارد، مجرم یک دامنه جعلی ثبت می کند. و یک ایمیل فیشینگ را طوری بسازید و قالب بندی کنید که انگار از یک شرکت قانونی است. سپس پیام اغلب به صورت دسته جمعی ارسال می شود.

انواع تخصصی تر و هدفمندتری از فیشینگ نیز وجود دارد. دو مورد که برای افراد و سازمان‌ها بسیار دشوار است، فیشینگ نیزه‌ای و فیشینگ ماهیگیر هستند.

نیزه فیشینگ

Spear phishing یک حمله ایمیلی است که فرد خاصی را در یک سازمان هدف قرار می دهد. هدف‌های معمولی مدیران سطح بالا در بانک‌ها و سایر مؤسسات مالی است.

از آنجایی که پیام، کارگران تحصیل‌کرده را هدف قرار می‌دهد که به‌خوبی در شمشیرهای مختلف آشنا هستند، مهاجم زمان بیشتری را به تحقیق اختصاص می‌دهد تا فضایی از اعتبار را ارائه دهد. غیرعادی نیست که پیام حاوی اطلاعات شخصی (به عنوان مثال، نام، عنوان شغل، بخش، شماره دفتر و غیره)، نام همکاران، رویدادهای شرکت، یا سایر «اطلاعات داخلی» باشد.

شاید این مقاله را هم دوست داشته باشید :  یک یوتیوب را کوتاه کنید [GUÍA]

خوشبختانه برای جنایتکار، جزئیات شخصی و سایر “اطلاعات داخلی” به راحتی از طریق لینکدین، وب سایت های شرکت و سایر منابع داده عمومی در دسترس هستند.

حتی در ایمیل‌های فیشینگ هدفمند نیز می‌توان شواهدی مبنی بر کلاهبرداری پیدا کرد. در اینجا به صورت اشتباهات گرامری است.
منبع

شخصی سازی در نیزه فیشینگ

حملات فیشینگ نیزه همیشه مدیران سطح بالا را هدف قرار نمی دهند. مهاجمان اغلب یک ایمیل شخصی ارسال می کنند که به نظر می رسد از یک حساب آنلاین قانونی ارسال شده است. به ایمیل فیشینگ American Airlines در زیر نگاهی بیندازید:

ایمیل های فیشینگ American Airlines
با بررسی دقیق محتوای پیام از نظر گرامری، املایی، نقطه گذاری، قالب بندی و خطاهای واقعی، از مهندسی اجتماعی و فیشینگ جلوگیری کنید.
منبع

در تصویر بالا، اگر با دقت نگاه کنید، می توانید یک اشتباه ظاهری را مشاهده کنید. اگر نگاه کنید واقعا با دقت، می توانید یک خطای قالب بندی را مشاهده کنید. آن را امتحان کنید!

گرفتی؟ “برنامه سفر” اشتباه نوشته شده است. همچنین توجه داشته باشید که در سمت راست نام و نشان‌واره «American Airlines» یک خطای قالب‌بندی جزئی وجود دارد. فقط “اطلاعات سفر” یک لینک زیر خط دار است.

هنگامی که هر متن، ایمیل یا پیام دیجیتالی دریافت می‌کنید، به دنبال دستور زبان ضعیف، غلط‌های املایی، گرافیک غیرحرفه‌ای یا سایر نشانه‌های ایمیل کلاهبرداری باشید.

متأسفانه، شناسایی حملات فیشینگ نیزه ای به دلیل سطح بالای شخصی سازی چالش برانگیز است. چند سال پیش، یک مطالعه گسترده امنیت اینتل ادعا کرد که 97٪ از شرکت کنندگان نمی توانند ایمیل های فیشینگ جعلی را شناسایی کنند.

فیشینگ ماهیگیر

فیشینگ ماهیگیر یک حمله مهندسی اجتماعی نسبتا جدیدتر است که کاربران رسانه های اجتماعی را هدف قرار می دهد. در این نوع تلاش برای فیشینگ، مهاجمان اغلب خود را به عنوان عوامل خدمات مشتری نشان می دهند که به شکایات ارسال شده توسط کاربران در یک پلت فرم رسانه اجتماعی، اغلب فیس بوک یا پاسخ می دهند.

نام کاربری معمولاً نام برخی از شرکت‌های معتبر (معمولاً یک موسسه مالی یا شرکت خدماتی) را در خود جای می‌دهد تا قانونی‌تر به نظر برسد.

اغلب در پیام پیوندی وجود دارد که کاربر را به یک سایت مخرب به نام “سایت فیشینگ” هدایت می کند. پس از ورود به این سایت فیشینگ، از کاربر خواسته می شود اطلاعات شخصی خود را وارد کند. از طرف دیگر، پیوند مخرب ممکن است حاوی کد مخربی باشد که می تواند امنیت رایانه شما را به خطر بیندازد.

حساب های کلاهبرداری در رسانه های اجتماعی Phish For Banking Credentials | اثبات
یک پیوند مخرب حاوی کد مضری است که امنیت رایانه را به خطر می اندازد
منبع

فیشینگ پیامکی (“smishing”)

همانطور که از نام آن پیداست، smishing نوعی فیشینگ است که از پیام‌های متنی موبایل یا تلفن استفاده می‌کند. این پیام‌ها به شیوه‌ای مرتبط با برنامه‌های گوشی هوشمند یا مدیریت حساب ساخته می‌شوند (به مثال زیر مراجعه کنید).

نمونه دیگری از پیوند مخرب
منبع

فیشینگ صوتی (“ویشینگ”)

Vishing یک حمله فیشینگ است که از طریق تلفن رخ می دهد. با توجه به پیشرفت در اتوماسیون VoIP و جعل شناسه تماس گیرنده، کلاهبرداران اکنون می توانند به طور همزمان میلیون ها تماس تلفنی برقرار کنند. علاوه بر این، نرم‌افزار جعل باعث می‌شود ارتباط از طرف یک شرکت قانونی به نظر برسد.

مشابه سایر روش‌های فیشینگ، حملات vishing حاوی جریانی از فوریت و ترس هستند. نمونه ای از کلاهبرداری های ویشینگ: پرداخت های معوقه IRS، مشکلات پردازش کارت اعتباری و پیش فرض های پرداخت خدمات.

با حذف داده های خود از فیشینگ جلوگیری کنید

حذف اطلاعات شخصی که به صورت آنلاین پیدا شده است برای جلوگیری از مهندسی اجتماعی و حملات فیشینگ ضروری است. حذف این اطلاعات دسترسی مجرمان، دستکاری و استفاده از آن برای اهداف مخرب را دشوارتر می کند.

علاوه بر این، حذف داده‌ها احتمال جعل هویت شخصی یا دسترسی به حساب‌های حساس را کاهش می‌دهد.

بسیاری از افراد – به ویژه جوان تر – به آموزش اولیه در مورد “چرا و چگونگی” حفاظت از داده های خود نیاز دارند.

ابتدا، آگاهی از آن تراکنش‌های روزمره ضروری است که اگرچه به ظاهر بی‌ضرر هستند، اما داده‌های ما را بیشتر و بیشتر می‌کنند.

در اینجا لیست کوتاهی از این معاملات آمده است:

– دانلود یک برنامه با کیفیت (iPhone یا )

– ثبت نام برای برنامه وفاداری/پاداش مشتری

– ثبت محصول

شاید این مقاله را هم دوست داشته باشید :  7 روش برای لغو همگام سازی آیفون از iPad یا آیفون دیگر

– درخواست برای/استفاده از کارت اعتباری

– مرور وب بدون ضد ردیابی

– ثبت محصول نزد سازنده

– استفاده از برنامه دوستیابی، شبکه های اجتماعی یا حمل و نقل. (مثال: فیس بوک، Tinder، Grindr، Uber، Instagram)

– خیلی، خیلی بیشتر

چرا شرکت ها ورودی های داده را در این مکان ها قرار می دهند؟ خوب…

مهندسی اجتماعی و روانشناسی مصرف کننده (برای عصبانی شدن آماده شوید)

تیم‌های بازاریابی می‌دانند که در چه مرحله‌ای از چرخه‌های خرید، شما کمتر از خود صبر نشان می‌دهید (بخوانید: سرکوب تکانه‌ها). این یک پدیده به خوبی مطالعه شده در روانشناسی مصرف کننده است.

چرا این را به شما می گوییم؟ خوب، برای اینکه شما را مجبور به توقف دادن اطلاعات خود کنید! آیا دانستن اینکه مردم واقعاً از “بازاریابی عصبی” برای به دام انداختن داده های شما استفاده می کنند، حداقل کمی شما را آزار نمی دهد؟

“نرومارکتینگ چیست؟” تو پرسیدی. ویکی پدیا: “یک زمینه ارتباطی بازاریابی تجاری که از عصب روانشناسی برای تحقیقات بازار، مطالعه مصرف کنندگان استفاده می کند”. حسی حرکتی [body]، شناختی [thinking]، و عاطفی [emotional] پاسخ به محرک های بازاریابی.

به طور خلاصه، روشی که مغز ما کار می کند برای موارد زیر استفاده می شود:

  1. چیزهای بیشتری به شما بفروشد
  2. اطلاعات را به “شریک” آنها بدهید تا بتوانند چیزهای بیشتری به شما بفروشند (و بالعکس)، یا
  3. فقط داده های خود را بفروشید

یعنی واقعا… به هر حال.

نتیجه این عدم دقت در نحوه اشتراک گذاری داده های خود در جستجوی معمولی نام یک شخص در گوگل مشهود است. برو و نام کسی را در گوگل وارد کن. لازم نیست مال شما باشد اطراف را حفاری کنید. چی پیدا کردی؟

آدرس ایمیل؟ آدرس خانه؟ نام کارفرما؟ شماره تلفن؟ صلاحیت تامین اجتماعی یا چهار آخر؟ نام بانک؟ نام های نسبی؟ آدرس های نسبی؟ ایمیل ها؟

آیا مشکل آشکار می شود؟

اگر نه، نگران نباشید. تو تنها نیستی اجازه دهید اثرات ناگوار این انباشتگی به ظاهر بی‌گناه اطلاعات به ظاهر بی‌اهمیت را توضیح دهیم: کارگزاران داده.

کارگزاران داده

ما باید با کارگزاران داده شروع کنیم. کارگزاران داده صنعت 250 میلیارد دلاری را با بهره برداری از اطلاعات شخصی شما ساخته اند.

کارگزاران داده اینترنت را برای اطلاعات شما خراش می دهند، آن را بسته بندی می کنند و به بالاترین قیمت پیشنهادی می فروشند. شما به یک پروفایل تبدیل می‌شوید، برخی از شرکت‌های از قبل ثروتمند را غنی می‌کنید و در این فرآیند حریم خصوصی خود را از دست می‌دهید.

حتی زمانی که کارگزاران داده مشغول تبدیل شما به نقطه داده نیستند، استفاده از این اطلاعات برای همه – از جمله هکرها – رایگان است. نتیجه افزایش سرسام آور موارد سرقت هویت، فیشینگ، افزایش تماس های بازاریابی تلفنی/هرزنامه و به طور کلی امنیت کمتر است.

برای حفظ حریم خصوصی خود، حذف اطلاعات شما از پایگاه داده کارگزاران داده ضروری است.

بررسی کنید چه کارگزارانی اطلاعات خصوصی شما را دارند و امتیاز ریسک حریم خصوصی خود را به صورت رایگان از اینجا دریافت کنید.

سایر اقدامات امنیتی که باید انجام شود

در حالی که پاک کردن داده های عمومی شما است ضروری است برای حفظ حریم خصوصی داده های خارجی و جلوگیری از مهندسی اجتماعی و حملات فیشینگ، برخی اقدامات اضافی توصیه می شود.

در حالی که برون یابی در طرحی برای حفظ حریم خصوصی داده های خارجی خارج از محدوده این مقاله است، در اینجا فهرست کوتاهی از اقدامات امنیتی وجود دارد:

– فیلترهای ایمیل خود را بشناسید و به روز کنید

– هر ایمیل مشکوکی را حذف و مسدود کنید

– در صورت شک، پیام را حذف کنید

– مطمئن شوید که فایروال شبکه و فایروال شخصی/رومیزی شما فعال و به روز هستند

– اطلاعات ورود به سیستم تمام حساب های مالی را ایمن کنید

– هرگز جزئیات پرداخت را در ایمیل یا پیامک وارد نکنید

– اطلاعات پروفایل های رسانه های اجتماعی خود را تجزیه کنید (یا آنها را حذف کنید!)

– اطمینان حاصل کنید که همه برنامه‌ها، سیستم‌ها و نرم‌افزارها با آخرین وصله‌های امنیتی به‌روز شده‌اند (شاید بخواهید یک نرم‌افزار یا به‌روزرسانی سخت‌افزار را برای این منظور در نظر بگیرید).

اولین قدم را در جلوگیری از مهندسی اجتماعی و فیشینگ بردارید و ارزیابی رایگان حریم خصوصی و امتیاز ارزیابی ریسک خود را از اینجا دریافت کنید.

امتیاز بدهید
لینک کوتاه مقاله : https://5ia.ir/RBSJRM
کوتاه کننده لینک
کد QR :
اشتراک گذاری

برچسب ها:

سروناز مقدم پور

سروناز مقدم پور

سروناز مقدم پور هستم کارشناس مهندسی کامپیوتر و مدیر وبسایت نود و هشت زوم. چندین سال است که در حوزه وب فعالیت می کنم و تخصص های اصلیم طراحی سایت و سئو است بعد از یادگیری علاقه زیادی به آموزش دادن دارم

شاید این مطالب را هم دوست داشته باشید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

جدیدترین مقالات

تبلیغات متنی
-----------------------------------
آپلود عکس
-----------------------------------
پنجیا
-----------------------------------
بکلینو
-----------------------------------
آپلود
-----------------------------------
کوتاه کننده لینک
-----------------------------------
بک لینک
-----------------------------------
خرید بک لینک
-----------------------------------
فروش بک لینک
-----------------------------------
افزایش دامین اتوریتی
-----------------------------------
خرید دامنه رنک دار
-----------------------------------
جراحة التجميل في إيران
--------------------------------
آموزش زبان آلمانی
--------------------------------
خرید نهال آلبالو گوشواره ای
--------------------------------
خرید عینک ایمنی
--------------------------------
دوره آنلاین زبان لرن تاک

دسته‌ها