مهندسی اجتماعی

چکیده مطلب:

 مهندسی اجتماعی در زمینه امنیت سایبری عبارت است از فریب مردم در جهت انجام اقدامات اشتباه یا تصمیمات نادرست. هدف اصلی آن، سوء استفاده از قربانیان احتمالی با شستشوی مغزی آنها در واکنش‌های عاطفی و تمایلات طبیعی آنهاست. مهاجم با استفاده از کنجکاوی، ترس، خودخواهی و تمایل قربانی آنها را فریب می‌دهد تا کارهای اشتباهی انجام دهند.

حملات مهندسی اجتماعی و نحوه جلوگیری از آنها | همتاپی

کلاهبرداری و تقلب امری شایع و متداول در فضای مجازی است. یکی از انواع آنها، حملات مهندسی اجتماعی می‌باشد که اگر جدی گرفته نشود می‌تواند عواقب بدی به دنبال داشته باشد. اطلاعات محرمانه و سرمایه‌های دیجیتال در معرض خطر قرار می‌گیرند و هیچ کس دوست ندارد با این خطرات روبرو شود. در این مقاله با مفهوم حملات اجتماعی آشنا خواهیم شد. همچنین مثال‌هایی از این نوع حملات و نحوه جلوگیری از آنها در ادامه نیز آمده است.


مراحل مهندسی اجتماعی چیست؟


یک کلاهبردار مهندسی اجتماعی می‌تواند حمله را به صورت مراحل زیر انجام دهد:

  1. آماده شدن برای حمله: این آماده‌سازی شامل شناسایی دقیق قربانی بالقوه، جمع‌آوری اطلاعات لازم برای مشکوک نشدن قربانی به کلاهبردار و انتخاب روش حمله است.
  2. فریب دادن قربانی: کلاهبردار یا با هدف مورد نظر خود صحبت کرده یا برای او پیام می‌فرستد که معمولاً شامل داستان‌های فریبنده برای جلب اعتماد قربانی است.
  3. کسب اطلاعات شخصی و محرمانه قربانی: پس از شستشوی مغزی قربانی و جلب اعتماد او، کلاهبردار می‌تواند اطلاعات و داده‌های حساس را بدست آورد.
  4. پایان دادن به تعامل و رابطه: کلاهبردار با احتیاط و به طور طبیعی تعامل خود با قربانی را قطع می‌کند و هیچ اثری از کار خود باقی نمی‌گذارد.

رایج‌ترین انواع حملات مهندسی اجتماعی


اکنون که با مفهوم مهندسی اجتماعی آشنا شدیم، به تکنیک‌های حمله یا نحوه‌کار این مجرمان اینترنتی نگاهی می‌اندازیم.

  • فیشینگ

فیشینگ رایج‌ترین نوع کلاهبرداری و حمله مهندسی اجتماعی است که از طریق ایمیل مخرب، پیامک یا تماس تلفنی انجام می‌شود. کلاهبردار با ارسال ایمیلی که ظاهرا مجاز است، خود را به جای نماینده یک شرکت یا موسسه، مانند بانک‌ها، فروشگاه‌ها و شرکت‌های شناخته شده جا زده و از این طریق قربانیان را فریب می‌دهد.

در اینجا نمونه‌ای از این مورد را می‌بینیم: 

پیام‌های فیشینگ معمولاً در مورد اقدام فوری در حساب قربانی می‌باشد. کلاهبرداران غالباً با ارسال پیام‌هایی می‌گویند که به روزرسانی لازم است، یا فعالیت مشکوکی به وجود آمده و به تأیید هویت و اطلاعات شخصی قربانیان نیاز است.

در موارد دیگر، کلاهبرداران از قربانی می‌خواهند تا روی یک لینک مخرب کلیک کنند. این امر در پلتفرم‌های رسانه‌های اجتماعی نیز وجود دارد و کلاهبرداران، مردم را به کلاهبرداری فیشینگ بیت کوین سوق می‌دهند.

در این هنگام، کلاهبردار وانمود می‌کند شخصی از سایت اصلی است و از قربانیان بالقوه می‌خواهد روی لینک ارسال شده کلیک کنند و موارد مربوط به حساب‌های خود را ارائه دهند. بعد از کلیک بر روی این لینک مخرب، تمام اطلاعات ضروری و محرمانه در مورد آدرس کیف پول‌های بیت کوین قربانیان جمع‌آوری می‌شود. 

  • فیشینگ نیزه‌ای

این کلاهبرداری یک نوع کلاهبرداری فیشینگ هدفمند است. در فیشینگ نیزه‌ای، کلاهبرداران با دقت افراد یا شرکت‌های مورد هدف خود را انتخاب می‌کنند. برای اینکه حمله به راحتی شناسایی نشود، آنها پیام‌ها را در قالب ایمیل یا مکالمه قرار می‌دهند.

این حمله معمولاً اینگونه اتفاق می‌افتد که کلاهبردار خود را جای کسی می‌گذارد که قربانی او را می‌شناسد و اطلاعات محرمانه‌ای مانند جزئیات ورود به سیستم شخصی را برای دسترسی به پرونده‌های حساس یک شرکت درخواست می‌کند.

ممکن است همه ایمیل‌ها و پیام‌ها قانونی به نظر برسند، اما حقیقت این است که همه آنها توسط بدافزار آلوده شده‌اند. غالباً، لینکی وجود دارد که قربانی را به صفحه مخربی هدایت می‌کند که در آن اطلاعات ورود به سیستم و سایر جزئیات به خطر می‌افتند.

پس از کلیک بر روی لینک، کلاهبردار می‌تواند به اطلاعات قربانی و اطلاعات مهم شرکت دسترسی پیدا کرده و آنها را بدست آورد.

  • طعمه‌گذاری

این روش مهندسی اجتماعی با استفاده از طعمه‌ها، قربانیان احتمالی را به سمت اقلام یا محصولات آلوده به بدافزار سوق می‌دهد. کلاهبرداران معمولاً این کار را از طریق وب‌سایت‌ها یا لینک‌های قابل کلیکی که موارد رایگان ارائه می‌دهند انجام می‌دهند، مانند فیلم، کتاب یا موسیقی و سایر فایل‌های دیجیتالی. 

ممکن است مهاجم از قربانی بخواهد یک حساب کاربری ایجاد کند یا فایل مخرب را کلیک کرده و دانلود نماید. در نتیجه رایانه قربانی به طور خودکار با بدافزار آلوده می‌شود. همچنین طعمه‌گذاری می‌تواند به صورت فیزیکی نیز اتفاق بیفتد. به طور مثال، کلاهبرداران یک فلش یا هارد دیسک مخرب را در یک مکان عمومی رها کرده و منتظر می‌مانند افراد کنجکاو آن را به رایانه خود متصل کنند و آنچه در داخل آن است را بررسی کنند. پس از اتصال آن به دستگاه، دستگاه آلوده به بدافزار می‌شود.

  • ترس‌افزار (scareware)

آیا تا به حال در یک وب سایت با این پیام روبرو شده‌اید: رایانه شما آلوده است! برای حذف بدافزار اینجا کلیک کنید یا هشدار! 74 عامل مخرب پیدا شده است؟ اگر تا به حال با چنین پیام‌هایی مواجه نشده‌اید، آدم خوش‌شانسی هستید. در اینجا نمونه‌ای از این پیام‌ها را برای شما می‌آوریم: 

رایانه شما آلوده است! برای حذف بدافزار اینجا کلیک کنید یا هشدار! 74 عامل مخرب پیدا شده است؟ | همتاپی

امیدواریم که روی این پنجره‌های پاپ آپ به ظاهر قانونی کلیک نکرده باشید، زیرا اینها می‌توانند به دستگاه شما آسیب جدی برسانند. این حمله مهندسی اجتماعی از تکنیک ترس برای انتشار بدافزارها استفاده می‌کند که برای ترساندن یا شوک دادن به قربانیان احتمالی خود طراحی شده است. در این مواقع مهاجم از شما می‌خواهد بر روی یک لینک آلوده کلیک کرده یا نرم‌افزار مخرب را بارگیری کنید. انجام هر یک از اینها می‌تواند رایانه شما را به خطر بیندازد.

علاوه بر پنجره‌های پاپ آپ و بنرهای فریبکارانه، ترس‌افزار را می‌توان در مورد هشدارها و پیشنهادهای جعلی، از طریق ایمیل نیز ارسال کرد. 

  • بهانه‌سازی (pretexting)

در اینجا، کلاهبردار خود را جای کسی می‌زند که مجاز به دانستن برخی اطلاعات مهم است، به عنوان مثال، نماینده بانک یا شرکت، پلیس یا حتی همکاران.

در این حمله، کلاهبردارن برای جمع‌آوری داده‌های اساسی، سوالاتی می‌پرسند. همانند روش‌های قبلی مهندسی اجتماعی، به محض  اینکه کلاهبردار بتواند اعتماد قربانی بالقوه را جلب کند، می‌تواند اطلاعات حساسی مانند سوابق تلفن، آدرس منزل، شماره بیمه و موارد مشابه را بلافاصله بدست آورد.


5 راه برای محافظت در برابر طرح‌های مهندسی اجتماعی


اکنون که تکنیک‌های حمله و چگونگی وقوع هرکدام را با ارائه برخی مثال‌ها، بررسی کردیم، بیایید به نحوه جلوگیری از آنها و ایمن نگه داشتن بیت کوین نگاهی بیندازیم.

  • در مورد لینک‌ها و پیوست‌های ایمیل، هوشیار و محتاط باشید.

همیشه هنگام باز کردن ایمیل‌ها مراقب باشید، به خصوص اگر موارد یا پیام‌های مشکوکی را مشاهده می‌کنید. سریع پیوست یا لینک را باز نکنید. قبل از کلیک کردن، منبع ایمیل، هارد دیسک یا لینک را بررسی کرده و از قانونی بودن آن مطمئن شوید.

توجه داشته باشید که تبلیغات پاپ آپ، بنر و وب‌سایت‌های ناشناخته نیز مشمول این قضیه می‌شوند. بنابراین، همیشه مراقب باشید و از کیف پول بیت کوین، اطلاعات حساب کاربری و سایر اطلاعات محرمانه خود در برابر حملات امنیت سایبری و مهندسی اجتماعی محافظت کنید.

  • یک نرم افزار ضد ویروس قابل اعتماد نصب کنید.

برای داشتن یک لایه امنیتی بیشتر، نرم‌افزار ضد ویروس امن و قابل اعتمادی را روی دستگاه‌های خود نصب کنید. همچنین رایانه، سیستم عامل و آنتی ویروس رایانه و سایر دستگاه‌های شخصی خود را بروزرسانی کنید.

  • از راه‌حل‌های امنیتی قوی برای حساب‌های خود استفاده کنید.

برای رمز عبور حساب‌های خود از ترکیبات قوی استفاده کنید. همچنین بهتر است در صورت امکان، گذرواژه‌های خود را حفظ کنید. به این معنی که آن را محرمانه قرار دهید و آن را با کسی به اشتراک نگذارید. اگر از گذرواژه‌های تولید شده سیستمی استفاده می‌کنید که به خاطر سپردن آن ممکن است سخت باشد، می‌توانید از نرم‌افزار ذخیره رمز استفاده کنید.

احراز هویت دو عاملی (2fa) یک گزینه امنیتی قوی برای حساب‌های کاربری می‌باشد. اگر هنوز این مورد را در حساب کاربری همتاپی خود فعال نکرده‌اید، توصیه می‌کنیم که برای اطمینان بیشتر به تنظیمات امنیتی حساب کاربری خود بروید و آن را فعال کنید!

  • مراقب پیشنهادهای وسوسه‌انگیز باشید.

قبل از کلیک روی پیشنهادات فریبنده، دو سه بار فکر کنید. با انجام این کار می‌توانید خود را از دام‌های خطرناک طرح‌های مهندسی اجتماعی نجات دهید. اگر پیشنهادی عالی به نظر رسید، احتمالا مشکلی وجود دارد. گرچه این جمله همیشه صدق نمی‌کند، اما باید مراقب چنین پیشنهادهایی باشید و قبل از ادامه، به جستجوی آنها در اینترنت بپردازید.

  • اطلاعات خود را بالا برده و اخبار مربوط به حملات مهندسی اجتماعی را بخوانید.

ممکن است بپرسید: اقدام متقابل در برابر مهندسی اجتماعی چیست؟

پاسخ این سوال این است، تحقیق کنید و آنچه در مورد حملات مهندسی اجتماعی آموخته‌اید را با دوستان، خانواده و همکاران خود به اشتراک بگذارید. تشخیص این تکنیک‌ها گاهی سخت است، بنابراین بالا بردن اطلاعات دیگران در مورد این طرح‌ها می‌تواند بسیار مفید باشد.


اکنون اطلاعات شخصی و کیف پول بیت کوین خود را ایمن کنید!


بسیار مهم است که همیشه مراقب کلاهبرداری‌ها و طرح‌های احتمالی در فضای مجازی باشید. کلاهبرداران همیشه به دنبال راه‌هایی برای به خطر انداختن اطلاعات محرمانه قربانیان بالقوه هستند. این اطلاعات محرمانه شامل اطلاعات کیف پول‌های بیت کوین و حساب‌های کاربری شما در پلتفرم‌ها و صرافی‌ها نیز می‌شوند، زیرا فضای ارز دیجیتال نیز از اهداف اصلی مجرمان اینترنتی است. 

با بالا بردن اطلاعات خود و به روز نگه داشتن خود در مورد آخرین اقدامات مخرب و حملات آنلاین، می‌توانید خود را از این عواقب ناگوار نجات دهید. سعی کنید سایت‌های خبری کریپتو یا وب‌سایت آنتی‌ویروس مورد علاقه خود را بررسی کنید.

ارائه‌دهندگان راه‌حل‌های امنیتی مانند kaspersky، bitdefender و غیره، اطلاعات بسیار مفیدی را درباره روند امنیت سایبری، حفاظت و دفاع در برابر بدافزار و موارد دیگر به اشتراک می‌گذارند. اگر می‌خواهید دانش و مهارت خود را در زمینه بدافزارها افزایش دهید، می‌توانید از شرکت‌های آنلاینی که مدیریت تهدید را آموزش می‌دهند، استفاده کنید.

اشتراک گذاری

پیام شما

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *