سارقانی که مغز شما را هک می‌کنند؟

معرفی به دوستان اشتراک گذاری

مقوله امنیت در وب از جنبه‌های مختلف قابل بررسی است همانطورکه شما سیستم‌های خود را مجهز به سامانه‌های ضد بد‌افزار و فایروال‌ها می‌کنید و دیوارهای امنیتی بلند برای اطلاعات خود می‌سازید از آن سوی دیوار نیز مجرمان چشم دوخته‌اند تا شکاف های آن را شناسایی و به اطلاعات و حریم خصوصی شما دست درازی کنند.

سارقانی که مغز شما را هک می‌کنند؟

نویسنده: خانم لیلا سهیلی آزاد

مقدمه

مقوله امنیت در وب از جنبه‌های مختلف قابل بررسی است همانطورکه شما سیستم‌های خود را مجهز به سامانه‌های ضد بد‌افزار و فایروال‌ها می‌کنید و دیوارهای امنیتی بلند برای اطلاعات خود می‌سازید از آن سوی دیوار نیز مجرمان چشم دوخته‌اند تا شکاف های آن را شناسایی و به اطلاعات و حریم خصوصی شما دست درازی کنند.
اغلب ما تصور می‌کنیم که کلاهبرداران اینترنتی از راه‌های پیچیده فنی سیستم‌های ما را آلوده و از اطلاعات ما بهره‌ برداری می‌کنند در حالی‌که در بسیاری موارد آنها به راهی بسیار ساده‌تر که لزوماً فنی هم نیست متوصل می‌شوند شیوه‌ای به نام "مهندسی اجتماعی" .
مهندسی اجتماعی در عین زیرکانه بودن یکی از مطلوب‌ترین و کم ‌هزینه‌ترین راه‌ها برای کلاهبرداران است. در این شیوه سارقان با تکیه بر خطاهای شناختی بشر و نیاز فطری او به اعتماد به دیگران، یکی از ضعیف‌ترین بخش‌های هر سیستم یعنی "بخش انسانی" را فریب داده و حملات خود را آغاز می‌کنند، در واقع در این تکنیک خود "شما" مورد توجه سارقین هستید و با قرار داده شدن در حالات خاص با فشارهای روانی اطلاعات را نادانسته تقدیم آن‌ها می‌کنید!
در این مقاله به بررسی اجمالی مهندسی اجتماعی در حوزه امنیت می پردازیم و با مشخصات آن آشنا خواهیم شد.

تعریف

تماسی از سرویس دهنده اینترنت تان با شما برقرار می‌شود و کارشناس پشتیبانی اعلام می‌دارد به دلیل ارتقا سرورهای امنیتی اینترنت شما تا ساعاتی دیگر دچار اختلال خواهد شد و ضمن عذرخواهی برای رفع سریع مشکل از شما درخواست رمز عبور و نام کاربری می‌کند شما چه می‌کنید؟
شما هم اکنون هدف یک حمله مهندسی اجتماعی هستید!

سرقت

طبق تعریف ویکی پدیا مهندسی اجتماعی یا Social Engineering در حوزه امنیت عبارت است از فن بکارگیری و اغوای مردم برای افشای اطلاعات محرمانه. (Wikipedia, n.d)
عموم تکنیک های مهندسی اجتماعی مبتنی بر حس اعتمادجویی انسان و خطاهای شناختی اوست یعنی آن موقعیت‌های خاصی که مغز انسان دچار خطا شده و در قضاوت و نتیجه گیری اشتباه می‌کند.

مهندسی اجتماعی

مهندسی اجتماعی را می‌توان ترکیبی از علم و روانشناسی و هنر دانست که در عین ظاهر ساده‌اش پیچیده و شگفت‌انگیز است. این شیوه از قدیم مورد توجه بوده است شاید هنوز داستان‌هایی از کلاه‌برداری افرادی در لباس مأموران جمع آوری آمار و یا مأمور برق را به خاطر داشته باشید البته در گذشته کار سخت‌تر بود ولی در عصر دیجیتال اطلاعات به راحتی در دسترس است و سارقان نیاز چندانی به ارتباط مستقیم با قربانی ندارند. (Social Engineerig, n.d)
شاید سایر روش‌های هک و نفوذ و سرقت اطلاعات نیازمند تکنیک‌های فنی و دانش نرم‌افزاری باشد اما مهندسی اجتماعی این فرصت را به سارقان می‌دهد تا به سادگی و با تکیه بر یکی از نیازهای دیرینه بشر یعنی اعتماد به دیگران، به راحتی به اطلاعات ارزشمند دسترسی پیدا کنند و به جای عبور از دیواره آتش و نرم افزارهای امنیتی راه خود را از طریق ذهن افراد باز ‌کنند. (ویکی پدیا، بی‌تا) کوتاه سخن اینکه کلاهبرداران اینترنتی با استفاده از مهندسی اجتماعی مغز قربانیان خود را هک می‌کنند. (Savitz, 2012)
البته مهندسی اجتماعی همیشه بد نیست و بسیاری از شاخه‌های علوم از آن برای کمک به انسان‌ها بهره می‌برند، روانشناسان و متخصصان علوم رفتاری، سرویس‌های اطلاعاتی و کارشناسان تبلیغات و بازاریابی و فروش برای دستیابی به مقاصد خود به این شاخه توجه دارند اما در کنار این فواید، کلاهبرداران و سارقان هم در جستجوی فرصت‌اند، شیادان از حس اعتماد انسان‌ها سوءاستفاده کرده و با ترفندهای متنوع مهندسی اجتماعی افراد را به انجام کارهای خاص و یا افشای اطلاعات وا می‌دارند.
سوال اینجاست که چه کسانی هدف حملات مهندسی اجتماعی هستند؟ پلیس بین الملل معتقد است همه! اینترپل می‌گوید:" همه افراد در معرض این حملاتند! هر چند افراد سالمند آسیب پذیرتر هستند، اما افراد در سنین مختلف، در همه کشورها، در همه زمینه ها و مشاغل در معرض خطر هستند. همه ما باید نسبت به خطرات کلاهبرداری مهندسی اجتماعی هم در زندگی شخصی و هم حرفه ای هشدار باشیم و اقدامات احتیاطی لازم را اتخاذ می کنیم." (Interpol, n.d)

انواع حملات مهندسی اجتماعی

شکل زیر چرخه اصلی تمام انواع حملات مهندسی اجتماعی است : (Interpol, n.d)

مهندسی اجتماعی


این الگو در اغلب حملات مهندسی اجتماعی مشاهده می‌شود هر چند امروزه این نوع حملات بسیار گسترده‌تر و پیچیده‌تر شده‌اند و ترکیبی از روش‌های مختلف در آن‌ها بکار می‌رود اما از یک منظر می‌توان حملات مهندسی اجتماعی را به دو دسته اصلی تقسیم کرد: (Infosec, 2013)

1. حملات مبتنی بر ارتباط انسانی: این دسته نیازمند تعامل با فرد یعنی برقراری ارتباط انسان با انسان است.

جعل هویت :

فرد کلاهبردار از طریق یک تماس تلفنی و یا حتی حضور در مکان مورد نظر با عنوان تعمیرکار، پیمانکار و پرسنل پشتیبانی فنی با افراد شرکت یا سازمان هدف ارتباط برقرار کرده و با داستان سرایی و جلب اعتماد، اطلاعات محرمانه سازمان را بدست میاورد. اغلب کارکنان سطح پایین یا افراد عادی، هیچ سوء ظنی نسبت به کسی که در این موقعیت ظاهر می‌شود، ندارند.

دزدیده نگاه کردن :

در این شیوه که بیشتر در بانک ها و موسسات شایع است سارقان اینترنتی با گشت و گذار در محل با نگاه‌های دزدیده از بالای سر کارمندان و یا گوش دادن به صحبت‌های رد و بدل شده بین آنها اطلاعات را جمع آوری میکنند مثلا به نام کاربری و کلمه عبوری که موقع ورود به سیستم تایپ می‌کنند دقت کرده و برای ورود خود به سیستم از آن استفاده می‌کنند.

دزدیده نگاه کردن

زباله گردی :

برای کشف اطلاعات محرمانه شرکت یا سازمان مورد هدف اسناد باطله کاغذی و چاپی در زباله دان‌ها منبع قابل توجهی برای سارقان هستند. هکرها اغلب می توانند رمزهای عبور، نام پرونده‌ها یا سایر اطلاعات محرمانه و سرنخ های مهم را از لابه لای آن‌ها پیدا کنند.

زباله گردی

2. حملات مبتنی بر سیستم : در این نوع حملات رایانه و اینترنت و دانش فنی هم به کمک سارقان می‌آید.

متقاعدسازی :

در این شیوه قربانی از قبل مطالعه و هدف‌گذاری می‌شود و برای اعتمادسازی او سناریویی طراحی می‌شود و با تکیه بر اطلاعاتی که از فرد در شبکه اجتماعی اش موجود است کلاهبرداران اعتماد او را به خود جلب می‌کنند. در این شیوه تماس تلفنی معمول است و امروزه از سیستم‌های تلفنی اینترنتی یا VOIP هم استفاده می‌شود که قابل ردیابی هم نیست. سارقان با استفاده از تکنیک‌های القای ترس شما را نسبت به در خطر بودن دارایی یا دوستان و اعضا خانواده تان مضطرب می‌کنند. (Lord, 2017) به عنوان مثال از عبارت‌هایی نظیر " تقاضایی کمک فوری" " یا اقدام فوری برای حفظ موجودی حساب‌تان" استفاده می‌کنند و یا القا می‌کنند که برای یکی از دوستان‌تان یا اعضای خانواده که در جایی گرفتار شده کاری انجام دهید یا حتی برای کمک فوری به خیریه مورد اعتماد شما که در وضعیت اضطراری است از شما تقاضای پول می‌شود.

حملات صیادی :

فریب قربانی از طریق ارسال ایمیل‌های جعلی یا صفحات تقلبی وب که کاملا مشابه صفحات اصل هستند صورت می‌گیرد و با هدایت قربانی به سمت این صفحات تقلبی اطلاعات محرمانه او مانند اطلاعات کارت بانکی یا رمز عبور خود در دسترس سارقین قرار می‌گیرد. امروزه با گستردگی شبکه‌های اجتماعی این شیوه از طریق لینک‌ها و پیام‌های ارسالی در این پیام‌رسان‌ها مورد استفاه قرار می‌گیرد. مثلا صفحه ای از طرف بانک شما باز می‌شود و برای ارزیابی صحت اطلاعات شما درخواست ورود اطلاعات مالی‌تان را دارد. یا اینکه شما برنده شده‌اید و باید برای ارسال مبلغ، اطلاعات خود را وارد کنید.

فیشینگ

طعمه گذاری:

در این روش یک ابزار فیزیکی مانند یک لوح فشرده یا فلش دیسک حاوی بدافزار با برچسب هایی جذاب و فریبنده مثل "لیست حقوق مدیر عامل" یا هدیه تبلیغاتی در سر راه افراد – مثلا در آسانسور یا راه پله ها– قرار داده می‌شود و با تحریک حس کنجکاویِ قربانی او را به دام انداخته و به محض اتصال به رایانه قربانی امکان دسترسی کلاهبرداران به رایانه او فراهم می‌شود. امروزه با ارسال لینک‌های داغ در صفحات مثلا لینک فیلم‌ها و موسیقی‌های روز و یا چیزی مشابه آن این کار برای سارقان راحت‌تر شده است که البته این لینک‌ها طعمه و حاوی بدافزار هستند. (Webroot, n.d)

چطور در برابر حملات مهندسی اجتماعی مصون بمانیم؟

گفتیم حملات مهندسی اجتماعی بر هک کردن ذهن افراد تمرکز دارند و با فریفتن افراد با شیوه های مختلف به اهداف خود دست پیدا می‌کنند. به نظر میرسد برای مواجهه صحیح با این حملات باید بر عامل کلیدی این حملات یعنی اشخاص که بعضا مردم عادی و نیروهای انسانی سازمان‌ها هستند، متمرکز شد و با آگاه سازی درصد موفقیت این حملات را کاهش داد.
مهمترین قدم برای در امان ماندن از حملات مهندسی اجتماعی آگاهی رسانی به افراد در سطوح مختلف است که این آگاهی‌رسانی از آموزش والدین به فرزندان تا آموزش‌های پیشرفته در سازمان‌های امنیتی و اطلاعاتی را شامل می‌شود. اینکه افراد بپذیرند خطر وجود دارد و در ارتباط با افراد بیرونی ممکن است در معرض این حملات قرار گیرند سبب میشود افراد داده‌های شخصی و داخلی خود یا سازمان مرتبط را به سادگی فاش نکنند.
افراد باید در هر سمتی که هستند قدرت تشخیص داشته باشند و میان اطلاعات معمولی و اطلاعاتی که باید در داخل مجموعه، سازمان یا خانواده باقی بماند تفاوت قائل شوند. طیف این آگاه‌سازی از آموزش طبقه‌بندی اطلاعات در سازمان‌ها تا آموزش اهمیت حساب‌های مالی یک خانواده به فرزندان متغییر است.
گفتیم که در برخی از حملات جدی مهندسی اجتماعی افراد از قبل شناسایی شده و مهاجمان به تدریج اطلاعات را در مورد آن‌ها جمع‌آوری می‌کنند. در چنین موارد حتی صحبت‌های روزمره و عادی از سفارش پیتزا تا نوشته‌های عادی در شبکه‌های اجتماعی فرصتی برای سارقان است. افرادی که در سازمان‌های کلیدی مشغول هستند خانواده آنان باید در مورد فعالیت‌های روزمره و عادی خود دقت کنند و ببینند تا چه اندازه به دیگران اجازه می‌دهند آنها را بشناسند!
مهاجمان معمولا شما را در حالات خاص روانی قرار می‌دهند تا قدرت تشخیص شما را تضعیف کنند و شما را به تصمیم‌گیری شتابزده وادار کنند پس خونسرد باشید و هیجانات خود را کنترل کنید.
تعارف را کنار بگذارید و خونسرد باشید و بر صداقت و احراز هویت کسی که به هر نحوی با شما تماس گرفته است تمرکز کنید این فرد می‌تواند شخصی باشد که خود را مأمور جمع‌آوری آمار معرفی کرده است یا مخاطب ناشناس در تلگرام، یا فرستنده ناشناس یک ایمیل. (درگاه جامع شاب، 1395)
در مورد حملات مبتنی بر سیستم مراقب باشید.
برای ایمیل‌های جدید که تاکنون دریافت نکرده‌اید وقت بگذارید. آدرس ایمیل فرستنده و یا URL را دقیقاً بررسی کنید و درستی آدرس را با منابع رسمی آن مطابقت دهید.
اگر پیامی دریافت می‌کنید که انتظار آن را ندارید (حتی از طرف کسی است که می‌شناسید) یا در یک پیامک یا ایمیل پیشنهادی دریافت می کنید که زیادی خوب است هیچ پیوستی از آن را باز نکنید، بر روی لینک‌هایش کلیک نکنید، آن ایمیل را جواب ندهید، هیچ پولی ارسال نکنید، مدارک شناسایی (حتی کپی آنها را) را ارسال نکنید، جزئیات حساب‌های بانکی یا کارت‌های پرداخت خود را ارائه ندهید، پیام را به عنوان هرزنامه گزارش دهید و سپس آن را پاک کنید.
اگر در یک تماس تلفنی احساس راحتی نمی‌کنید اطلاعاتی ارائه ندهید و مکالمه را پایان دهید.
همچنین می‌توانید با تنظیم فیلترهای اسپم به بالاترین سطح و نصب دیوار آتش و نرم‌افزار ضد ویروس از رایانه و سایر دستگاه‌های خود محافظت کنید و آن‌ها را به روز نگه دارید. (Interpol, n.d)

نتیجه گیری

مهندسی اجتماعی مجموعه‌ای از روش‌های تقریباً غیرفنی و متمرکز بر ویژگی‌های روانشناسانه افراد برای نفوذ و دسترسی به اطلاعات کاربران است که توسط سارقان و هکرها مورد استفاده قرار می‌گیرد. کلاهبرداران و سارقین کاربران را در موقعیتی قرار می‌دهند که به صورت ناخواسته و بدون آگاهی و یا از روی اضطراب و هیجان اطلاعات حساس خود را به مهاجمان بدهند. به دلیل رشد و گسترش شبکه‌های اجتماعی و افزایش روزافزون کاربران این سامانه‌ها، بستر بسیار مناسبی برای حملات مهندسی اجتماعی فراهم شده است که در صورت عدم آشنایی با این‌گونه حملات، خطر بزرگی کاربران این شبکه‌ها را تهدید خواهد کرد. (شاب، 1395)
با رشد و شیوع داده‌های شخصی در بستر اینترنت به نظر نمی‌رسد که در سال های آینده حملات مهندسی اجتماعی کاهشی پیدا کنند، به واقع نمیتوان در برابر این حملات کاملا مصون ماند چرا که برای سهل انگاری و ساده‌لوحی هیچ راهِ درمانِ صد در صدی وجود ندارد، اما افزایش آگاهی و هشیاری در سطوح مختلف شغلی و زندگی روزمره از فرصت‌های تبهکاران می‌کاهد.

مراجع

Wikipedia, (n.d), Socail engineering (security), https://en.wikipedia.org/wiki/Social_engineering_(security)

Socail Engineering, (n.d), What is Social Engineering, https://www.social-engineer.org/about/

Savitz, Eric , 2012, Social Engineering: Hacking the human mind, Forbes, https://www.forbes.com/sites/ciocentral/2012/03/29/social-engineering-hacking-the-human-mind/#6a0a692721e3

Interpol, (n.d), Social Engineering fraud, https://www.interpol.int/Crime-areas/Financial-crime/Social-engineering-fraud/Types-of-social-engineering-fraud

Infosec, 2013, Social Engineering: a hacking story, http://resources.infosecinstitute.com/social-engineering-a-hacking-story/

Lord, Net, 2017, don’t get hooked: how to recognize and avoid phishing attacks (infographic), Data Guardian, https://digitalguardian.com/blog/dont-get-hooked-how-recognize-and-avoid-phishing-attacks-infographic

Webroot, (n.d), What is Social Engineering, https://www.webroot.com/us/en/home/resources/tips/online-shopping-banking/secure-what-is-social-engineering

ویکی‌پدیا، بی تا، مهندسی اجتماعی، https://fa.wikipedia.org/wiki/مهندسی_اجتماعی
شاب، 1395، چگونه در شبکه‌های اجتماعی، حریم خصوصی خود را حفظ کنیم؟، https://shub.ir/news/25
درگاه جامع شاب، 1395، مهندسی اجتماعی (2)، https://shub.ir/news/15

نظرات

 
   
 
Captcha