حملات مهندسی اجتماعی: آنچه باید بدانید

زمان مطالعه: 8 دقیقه

حملات مهندسی اجتماعی در عصر دیجیتال به طور فزاینده ای رایج شده اند زیرا مجرمان سایبری راه های جدیدی برای بهره برداری از طبیعت انسان برای منافع خود یافته اند.

به بیان ساده، حملات مهندسی اجتماعی از پیام‌های فریبنده استفاده می‌کنند که برای وادار کردن کسی به انجام کاری که در غیر این صورت انجام نمی‌دادند، طراحی شده‌اند.

این حملات اغلب شامل تاکتیک های روانی مانند احساس فوریت یا قدرت می شود. مهاجمان مهندسی اجتماعی را با اطلاعات قابل شناسایی شخصی (PII) ترکیب می کنند تا یک کاملا شخصی و به ظاهر قانونی ایجاد کنند.

در این مقاله، حملات مهندسی اجتماعی چیست، چگونه کار می‌کنند و انواع مختلف آن‌ها را بررسی می‌کنیم. همچنین نمونه‌هایی از هر نوع حمله و نکاتی در مورد چگونگی شناسایی و جلوگیری از حملات مهندسی اجتماعی ارائه خواهیم داد.

حمله مهندسی اجتماعی چیست؟

همانطور که از نام آن پیداست، حملات مهندسی اجتماعی از تاکتیک‌های فریبنده استفاده می‌کنند تا کسی را وادار به انجام کاری کنند که در غیر این صورت انجام نمی‌داد. گران تهدید از دستکاری روانی برای انجام این کار استفاده می کنند. به عبارت دیگر با احساسات انسانی بازی می کنند.

برای مثال، یک مهاجم ممکن است از تاکتیک‌های روان‌شناختی مانند احساس فوریت یا قدرت همراه با PII که در وب باز یافت می‌شود، استفاده کند تا پیامی بسیار شخصی‌سازی‌شده که واقعی به نظر می‌رسد ایجاد کند.

حملات مهندسی اجتماعی اغلب از روش های فنی استفاده نمی کنند. در عوض، مهندس اجتماعی از دانش روانشناسی انسان (به «تاکتیک‌های روان‌شناختی» در زیر مراجعه کنید) برای انجام حمله استفاده می‌کند.

حملات مهندسی اجتماعی چگونه کار می کنند؟

انواع مختلفی از حملات مهندسی اجتماعی وجود دارد. با این حال، بیشتر اگر نگوییم همه یک سری مراحل مشترک دارند. این شامل:

  1. پژوهش: مهاجم PII در مورد هدف(های) خود با استفاده از اینترنت باز به دست می آورد. مهاجم ممکن است از این طریق PII متعددی از جمله نام یک فرد، اطلاعات تماس، کارفرما و علایق را به دست آورد. این داده ها به دو دلیل اصلی جمع آوری می شوند: (1) برای مکان یابی و/یا برقراری ارتباط با هدف و (2) برای ایجاد یک پیام بسیار شخصی.
  2. کاردستی: با استفاده از داده های جمع آوری شده در مرحله تحقیق، مهاجم پیام را می سازد. مهندس اجتماعی از تکنیک هایی مانند اقتدار کاذب (یعنی تظاهر به شخص مهم) برای ایجاد اعتماد و مشروعیت استفاده می کند. پیام ها ممکن است از طریق ایمیل (فیشینگ)، پیام متنی (smishing) یا صوتی (ویشینگ) ارسال شوند که ایمیل رایج ترین آنهاست.
  3. فریب: پیام دستکاری شده برای فریب دادن هدف به انجام یک عمل در معرض خطر مانند کلیک کردن بر روی پیوند مخرب، دانلود بدافزار یا وارد کردن اعتبارنامه استفاده می شود.
  4. گسترش: مهاجم حمله را ارسال می کند و منتظر پاسخ هدف می ماند. در صورت موفقیت، مهاجم ممکن است به داده های حساس (به عنوان مثال، اطلاعات ورود به سیستم، داده های مالی و غیره) دسترسی پیدا کند یا قربانی را برای انتقال یا سیم کشی پول صحبت کند.

تاکتیک های روانی

بسیاری از انواع تاکتیک های روانی ممکن است در یک حمله مهندسی اجتماعی استفاده شوند. از جمله پرکاربردترین آنها عبارتند از:

  1. قدرت: مهاجم برای جلب اعتماد قربانی و ترغیب او به اشتراک گذاری داده های حساس، اشتراک گذاری اعتبار ورود به سیستم یا ارسال پول وانمود می کند که یک شخصیت معتبر است. به عنوان مثال، یک بازیگر تهدید هویت یک مقام دولتی یا مدیر بانک را برای فریب شخص برای ارسال پرداخت برای برخی «بدهی» جعل می کند.
  2. ضرورت: مهاجم احساس فوریت ایجاد می کند تا قربانی را وادار به عمل بدون فکر کند. به عنوان مثال، بازیگر تهدید ادعا می کند که حساب قربانی هک شده است و برای جلوگیری از حذف نیاز به اقدام فوری است.
  3. اثبات اجتماعی: مهاجم تصور نادرستی از اجماع یا محبوبیت ایجاد می کند (“افراد دیگر این کار را انجام می دهند”) تا قربانی را وادار به عمل کند. به عنوان مثال، بازیگر تهدید با فهرستی از گواهی‌های جعلی به دنبال کمک‌های مالی می‌شود.
  4. عمل متقابل: مهاجم قبل از درخواست چیزی احساس تعهد ایجاد می کند. به عنوان مثال، بازیگر تهدید یک هدیه «انحصاری» یا «رایگان» ارائه می‌کند و به قربانی نیاز دارد تا اطلاعات شخصی خود را برای ادعای پیشنهاد به اشتراک بگذارد.
  5. کمبود: مهاجم با این ادعا که یک محصول یا خدمات با کیفیت بالا دارای تخفیف یا رایگان است، ذهنیت FOMO ایجاد می کند. البته این فقط برای مدت زمان محدود یا تعداد کمی از افراد است.
شاید این مقاله را هم دوست داشته باشید :  نحوه انتقال پیام های متنی (SMS) از اندروید به اندروید

انواع حملات مهندسی اجتماعی (با مثال)

شاید رایج ترین حملات مهندسی اجتماعی علیه افراد، فیشینگ، فیشینگ نیزه ای، بهانه گیری و طعمه گذاری باشد. در زیر شرح مختصری از هر حمله و تاکتیک های مورد استفاده ارائه شده است. یک تصویر نمونه از هر نوع حمله نیز گنجانده شده است.

فیشینگ

هدف کلاهبرداری های فیشینگ به دست آوردن اطلاعات حساس مانند شماره کارت اعتباری یا رمز عبور از طریق ایمیل ها یا پیام های کلاهبرداری است. مهاجمان اغلب از فوریت و کمبود استفاده می‌کنند تا گیرندگان را تحت فشار قرار دهند تا سریع عمل کنند، مانند کلیک کردن روی یک پیوند مخرب یا اشتراک‌گذاری اطلاعات شخصی. پیوست های Vishing، smishing و بدافزار (معمولاً PDF) نیز استفاده می شود.

ممکن است بتوانید یک حمله فیشینگ را با خطا در قالب بندی یا دستور زبان ضعیف شناسایی کنید. یک آدرس ایمیل عجیب، خط موضوع یا درخواست نیز ممکن است نشان دهنده فیشینگ باشد.

ایمیل فیشینگ
منبع: Ontech Systems, Inc.
حاشیه نویسی: تصویر با مستطیل های قرمز حاشیه نویسی می شود تا خطاهای قالب بندی، اشتباهات گرامری و سایر مسائل برجسته شود.

نیزه فیشینگ

Spear phishing نوع هدفمندتری از فیشینگ است. در حملات فیشینگ نیزه ای، عامل تهدید به دنبال فرد یا گروه خاصی مانند کارمند یک شرکت می رود.

هدف متداول حملات spear phishing سرقت اعتبار از یک کاربر ناآگاه برای دستیابی به دسترسی غیرمجاز است. فیشینگ نیزه شامل سطح بالایی از پیچیدگی و تحقیق است (به مثال ایمیل مراجعه کنید).

در مثال زیر، واضح است که مهاجم PII عمومی دقیق مانند نام قربانی، کارفرما، عنوان شغل و نقش و آدرس ایمیل را به دست آورده است. پیام به دقت ساخته شده است و مهاجم حتی آدرس ایمیل فرستنده را تکرار می کند (احتمالاً از برخی روش های جعل استفاده می کند).

در چنین حالتی، گیرنده بهتر است برای تأیید درخواست، از طریق تلفن با فرستنده تماس بگیرد. علاوه بر این، فرد ممکن است متوجه شود که لحن پیام از نحوه برقراری ارتباط عادی شخص منحرف می شود.

برای مرجع آسان، جدول زیر برخی از تفاوت‌های فیشینگ و فیشینگ نیزه را نشان می‌دهد.

فیشینگ نیزه فیشینگ
هدف هدف گسترده، معمولاً گروه بزرگی از مردم فرد خاص
رویکرد ایمیل‌ها یا پیام‌های انبوه، معمولاً شخصی نیستند پیام های شخصی شده با جزئیات خاص
هدف به دست آوردن اطلاعات حساس مانند رمز عبور، سرقت پول به دست آوردن اطلاعات حساس برای دسترسی به یک سیستم یا حساب خاص، سرقت پول
تاکتیک از زبان و طراحی عمومی و غیر شخصی استفاده می کند از زبان خاص و شخصی استفاده می کند که احتمالاً از یک منبع شناخته شده یا شخصیت معتبر آمده است
سطح پیچیدگی معمولاً کم است، به حجم ایمیل ها یا پیام ها بستگی دارد سطح بالاتری از پیچیدگی و تحقیق؛ نیاز به تلاش بیشتری برای اجرا دارد
مثال ایمیلی تقلبی که به نظر می رسد از یک بانک برای اطلاعات ورود به سیستم ارسال شده است ایمیلی که به نظر می‌رسد از طرف سرپرستی است که اطلاعات حساس یا انتقال سیمی را درخواست می‌کند
مقایسه حملات فیشینگ و نیزه ای فیشینگ

بهانه دادن

بهانه سازی یک کلاهبرداری مهندسی اجتماعی است که از یک سناریوی نادرست برای به دست آوردن اطلاعات مالی حساس (به عنوان مثال، شماره کارت اعتباری، شماره حساب بانکی) یا اعتبار برای دسترسی به یک سیستم (به عنوان مثال، نام کاربری و رمز عبور) استفاده می کند. بازیگر تهدید اغلب از جعل هویت، فوریت و اختیار برای فریب قربانی برای ارائه این اطلاعات استفاده می کند.

شاید این مقاله را هم دوست داشته باشید :  6 روش برتر برای رفع خطای نامشخص هنگام کپی کردن فایل یا پوشه در ویندوز

در مثال زیر، ایمیل دارای قالب بندی ضعیفی با چندین اشتباه گرامری و نقطه گذاری است. علاوه بر این، به پیام «احتیاط» زیر عنوان موضوع توجه کنید که به کاربر هشدار می دهد که ایمیل از خارج از سازمان آمده است. همه‌ی امنیت‌ها متوجه این موضوع نمی‌شوند، اما اگر امنیت شما این کار را می‌کند، بهتر است حادثه را گزارش کنید و سپس ایمیل را حذف کنید.

بهانه دادن ایمیل
منبع: دانشگاه مرکزی واشنگتن

طعمه گذاری

طعمه گذاری یک حمله فیزیکی یا مجازی است. در یک حمله طعمه‌گذاری مجازی، مهاجم پس از انجام یک کار آسان، نامه‌ای ارسال می‌کند که در آن وعده پاداش می‌دهد. به عنوان مثال، یک کلاهبرداری نسبتاً رایج طعمه گذاری، نوید یک ابزار دلپذیر را پس از تکمیل یک نظرسنجی می دهد. مهاجمان اغلب از کمبود و فوریت به عنوان تاکتیک های روانی در حملات طعمه استفاده می کنند.

در مثال زیر، برخی از اشتباهات و خطاهای مشهود وجود دارد. بارزترین آن فقدان نام تجاری گوگل و قالب بندی ضعیف است. معمولاً برای شرکت‌های معتبر غیرمعمول است که از طریق ایمیل با اشخاصی ارتباط برقرار کنند که برای استفاده از خدماتشان هدایا یا جوایزی ارائه می‌کنند.

طعمه گذاری ایمیل
منبع: وایلی

چگونه از حملات مهندسی اجتماعی جلوگیری کنیم

چندین بهترین روش وجود دارد که افراد می توانند برای جلوگیری از حملات مهندسی اجتماعی دنبال کنند. توجه داشته باشید که بیشتر این شیوه‌ها شامل راه‌حل‌های فنی نیستند، بلکه شامل عقل سلیم و چشم تیزبین هستند.

  • منبع را تأیید کنید: یکی از راه‌های شناسایی چنین حملاتی بررسی اطلاعات فرستنده در ایمیل است که می‌تواند به عنوان یادآوری برای تأیید هویت فرستنده قبل از پاسخگویی باشد. اگر در مورد صحت فرستنده مطمئن نیستید، بهتر است با تماس مستقیم با سازمان یا انجام تحقیقات بیشتر در صورت عدم امکان، منبع را تأیید کنید.
  • از رمزهای عبور قوی استفاده کنید: حدس زدن گذرواژه‌های قوی برای مهاجمان دشوارتر است، و یک لایه حفاظتی برای اعتبار کاربر و سایر اطلاعات حساس اضافه می‌کند. حتماً برای هر حساب از رمز عبور متفاوتی استفاده کنید.
  • استفاده از احراز هویت دو مرحله ای (2FA)/ احراز هویت چند عاملی (MFA): احراز هویت دو مرحله ای (2FA) و احراز هویت چند مرحله ای (MFA) اقدامات امنیتی اضافی هستند که از دسترسی غیرمجاز به حساب ها یا سیستم های حساس جلوگیری می کنند. MFA یک عامل امنیتی فراتر از رمزهای عبور و کدهای یکبار مصرف (به عنوان مثال، اثر انگشت، تشخیص چهره، و غیره) اضافه می کند.
  • یک راه حل حفظ حریم خصوصی داده های خارجی (EDP) را در نظر بگیرید: EDP با دنبال کردن منبع اصلی خود: PII در معرض، با مشکل مهندسی اجتماعی مقابله می کند. اکثریت قریب به اتفاق مهاجمان تقریباً به طور انحصاری از PII رایگان و در دسترس عموم استفاده می کنند. EDP ​​PII شما را از سراسر اینترنت و دارک وب اسکن می‌کند، حذف می‌کند و نظارت می‌کند. این شامل بدترین متخلفان می شود: کارگزاران داده و سایت های جستجوی افراد.

چگونه 98zoom می تواند کمک کند

علاوه بر کاهش حملات مهندسی اجتماعی، 98zoom به ایجاد یک سپر حریم خصوصی کمک می کند که کلاهبرداری، کلاهبرداری، هرزنامه، سرقت هویت، نقض داده ها، بازاریابان تلفنی و موارد دیگر را منحرف می کند.

ما این کار را توسط فعالانه حذف اطلاعات خود از کارگزاران داده، سایت های جستجوی افراد و بازاریابان انبوه.

98zoom در 3 مرحله ساده کار می کند:

  1. حریم خصوصی خود را انتخاب کنید: شرکت هایی را انتخاب کنید که به آنها اعتماد دارید و باید اطلاعاتی را که درباره شما دارند حذف کنند.
  2. یک دفاع چند لایه ایجاد کنید: ما از انتخاب هایی که در مرحله قبل انجام دادید برای ایجاد سپر حریم خصوصی شما استفاده می کنیم. ما بلافاصله شروع به حذف اطلاعات شما از Data Brokers می کنیم، شما را از لیست های بازاریابی انبوه حذف می کنیم و شرکت هایی را که اطلاعات شما را در اختیار ندارید مجبور می کنیم آن ها را حذف کنند.
  3. نگهداری: ما ابزارهای زیادی برای داشتن یک زندگی خصوصی به شما می دهیم. اینها شامل یک برنامه افزودنی مرورگر با اعتماد صفر و یک اسکن ایمیل جامع برای تنظیم تنظیمات برگزیده حریم خصوصی شما است.

منتظر چی هستی؟ امروز ارزیابی رایگان حریم خصوصی خود را دریافت کنید!

امتیاز بدهید

لینک کوتاه مقاله : https://5ia.ir/WKpkZT
کوتاه کننده لینک
کد QR :
اشتراک گذاری
سروناز مقدم پور

سروناز مقدم پور

سروناز مقدم پور هستم کارشناس مهندسی کامپیوتر و مدیر وبسایت نود و هشت زوم. چندین سال است که در حوزه وب فعالیت می کنم و تخصص های اصلیم طراحی سایت و سئو است بعد از یادگیری علاقه زیادی به آموزش دادن دارم

شاید این مطالب را هم دوست داشته باشید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *