جلوگیری از حملات خطرناک مهندسی اجتماعی : حملات مهندسی اجتماعی از سمت آشنا و یا کسی که اجازه دادید به حریم خصوصی شما وارد شود اتفاق میفتد و باید از گذاشتن پسورد ساده و ترکیب اسم و تاریخ تولد و … پرهیز کنید.
کلمات کلیدی: حمله، مهندسی اجتماعی، روانشناختی، کلاهبرداری ، هک کردن
او زیبا و مجرد است و پیامهایش مانند موهای بلوندش جذاب هست. قبل از اینکه او از درخواست دوستش در فیسبوک مطلع شود، آنها در حال نوشتن پیام کوتاه و تحریککننده و ایمیلهای طولانی و بسیار صمیمی برای یکدیگر هستند. به طور معمول آشنایی تصادفی آنلاین آنها دیوانگی تلقی میشود. گرچه آنها هرگز با یکدیگر ملاقات نکردهاند اما پس از سالها برای اولینبار احساس امنیت میکنند. سرنوشت برخی از افراد را به هم نزدیک میکند و برخی دیگر ممکن است توسط یک کلاهبردار جذب شوند. این همان چیزی است که مهندسی اجتماعی نامیده میشود.
در حقیقت مهندسی اجتماعی عبارت هست از دست آوردن اطلاعات حساس توسط یک شخص بیگانه بر اساس بنای نامناسب اعتماد در روابط، قربانیان اطلاعات محرمانه مربوط به کار خود را فاش میکنند یا پولشان را به افرادی که نمیشناسند انتقال میدهند. مهندسی اجتماعی این افراد را به سمت انجام کارهایی سوق میدهد که بدون آن هرگز انجام نمیدادند. برخلاف انتظار، مهندسی اجتماعی یک روش انگیزشی نیست بلکه یک نوع تقلب هست. ما به شما توضیح میدهیم مهندسی اجتماعی چیست، بر چه کسانی میتواند تأثیر بگذارد و افراد چگونه میتوانند از خود در برابر آن محافظت کنند.
مهندسی اجتماعی چگونه به وجود آمده است؟
ایده مهندسی اجتماعی در اصل از فلسفه برانگیخته شد. ابتدا کارل پوپر با اشاره به عناصر جامعهشناختی و روانشناختی برای بهبود ساختارهای اجتماعی این اصطلاح را در سال 1945 ابداع کرد. اساساً روش پوپر بر این فرض بود که مردم میتوانند مانند ماشینآلات بهینه شوند. در دهه 1970 جانشینان پوپر نظریه وی را گسترش دادند که انواع خاصی از حیلههای روانشناختی را در بر گرفت. هدف اولیه آنها سرقت اطلاعات نبود، آنها میخواستند مردم را به سمت تعامل بهتر و آگاهی بیشتر ترغیب کنند. در حقیقت این یک حیله اما با هدفی متفاوت بود. امروزه ما میتوانیم از مهندسی اجتماعی بهعنوان یک برنامهریزی حیلهگرانه برای دستکاری روانشناختی یاد میکنیم.
برخی از هکرها بیشتر از اینکه به روشهای کاملاً سیستمی تکیه کنند، بر روی دستکاری روانشناختی هدفمند تمرکز میکنند. اگرچه این روشها به ریشههای فلسفی خود وفادار ماندهاند اما انگیزه مهندسان اجتماعی به میزان قابلتوجهی تغییر کرده است. هرکسی که عوامل و راه فریب افراد را بداند، با کمی غریزه و قصد جنایتکارانه میتواند آنها را فریب دهد. اغلب کلاهبرداران نقش یک آشنا یا بازرگان مورد اعتماد را بازی میکنند، یا وانمود میکنند از طرف یک بانک یا حتی یکی از نیروهای آتشنشانی هستند. عاملان از این طریق جلب اعتماد میکنند.
به طور خلاصه، مهندسان اجتماعی سعی میکنند از مردم برای اهداف خود سوءاستفاده کنند. یکی از مشهورترین مهندسان اجتماعی هکر کوین میتنیک هست. او به دلیل نفوذ بیش از حد به کامپیوترهای دیگران خیلی زود به یکی از افراد تحت تعقیب در ایالات متحده تبدیل شد. گفته میشود که او صدها بار بهترین شبکههای امن ایالات متحده نفوذ کرده است. وی همچنین ادعا کرد که از وزارت دفاع و حتی NSA جاسوسی کرده است. میتنیک در کتاب خود با عنوان “هنر فریب” مینویسد که مهندسی اجتماعی نسبت روشهای فنی راهی سریعتر برای دستیابی به اطلاعات موردنظر شما هست. میتنیک بهجای توسعه نرمافزارهای جاسوسی، بر روی اراده و احساسات همنوعان خود برنامهریزی کرد.
مهندسی اجتماعی در اینترنت به چه شکل است؟
در عصر دیجیتال، کلاهبرداران نیز از این حربه در اینترنت استفاده میکنند. معمولاً همه چیز با یک ایمیل و گاهی با یک پیام در یک شبکه اجتماعی شروع میشود. فیشینگ یک روش کلاسیک هست که مردم را به سمت یک وبسایت کامل جعلی هدایت میکند. هرکسی که اطلاعات خود را در آنجا وارد کند، مستقیم به مجرمان منتقل میشود. گاهی اوقات مجرمان اینترنتی با حس کنجکاوی قربانیان خود بازی کرده و ایمیلهایی همراه با یک لینک ارسال میکنند؛ بنابراین کاربر پس از کلیک بهجای پیام خوب، یک بدافزار بارگیری میکند.
مثال: رابین سیج
یکی از مثالهای برجسته در زمینه مهندسی اجتماعی، رابین سیج است. رابین جوان و جذاب کاملاً اختراع شده ذهن انسان بود. در سال 2010 توماس ریان، متخصص فناوری اطلاعات ایالات متحده، در شبکههای اجتماعی یک پروفایل جعلی با عکس و مشخصات یک زن جوان جذاب به نام رابین سیج ایجاد کرد. این شخصیت خیالی با برنامهریزی قبلی، چهرههای نظامی، صنعتگران و سیاستمداران را شیفته خود میکند و اطلاعات محرمانه و بسیار حساسی را از آنها به دست میآورد. در روند انجام این کار، هیچ یک از قربانیان شخصاً با سیج ملاقات نکردند. رایان فقط در رسانههای اجتماعی پیامهای باورپذیر و فریبندهای را به آنها ارسال میکرد و قربانیانش بدون هیچ شکی با خیالی آسوده با او چت میکردند. هدف رایان اثبات عملکرد مردم بهعنوان یک شکاف امنیتی بود که به طرز چشمگیری موفق به انجام آن شد.
هک کردن انسان به چه معناست؟
از زمانی که مهندسان اجتماعی تشخیص دادهاند که توانایی تأثیرگذاری بر انسان خود بهتنهایی یک شیوه ضعف امنیتی است، کارشناسان فناوری اطلاعات از هک شدن انسان صحبت میکنند. انسانها اطلاعات محرمانه خود را بدون اینکه متوجه شوند افشا میکنند. این بدان معناست که خطر هک شدن ذهن انسانها نسبت به رایانهها بیشتر است. به زبان ساده، مردم یک خطر امنیتی هستند که باید جدی گرفته شود. ویروس یابها میتوانند بهخوبی از سیستمها محافظت کنند درحالیکه کاربران همچنان مورد سوءاستفاده ذهنی قرار میگیرند.
اداره جنایی پلیس فدرال آلمان دررابطهبا “آسیبپذیری انسان” بیان کرد: یک رایانه کاملاً منطقی عمل میکند، اما افراد فعالیتهای خود را تحت تأثیر احساسات خود انجام میدهند. بسیاری از محققان تصور میکنند که انسانها تقریباً 80 درصد از کل تصمیماتی که میگیرند بر اساس احساسات است. این بدان معناست که در بیشتر موارد استدلال ما در مقایسه با احساساتمان حرف کمتری دارد و این دقیقاً همان چیزی است که در هک کردن انسان از آن سو استفاده میشود.
مهندسی اجتماعی چه کسی را تهدید میکند؟
در هرجایی که پول و اطلاعات محرمانه وجود داشته باشد مهندسی اجتماعی نیز ظاهر میشود و از نهادها، مقامات ملی و مشاغل و یا افراد جاسوسی میشود. طبق تحقیقات انجمن صنعت IT Bitkom ، جاسوسی صنعتی دیجیتال، خرابکاری و سرقت داده، هرساله حدود 51 میلیارد یورو به شرکتهای آلمانی ضرر میرساند. طی این تحقیقات آنها در 19 درصد از شرکتهای مورد بررسی، مهندسی اجتماعی را بهعنوان یک تهدید مشترک گزارش کردهاند. علاوه بر دریافت پول علت دیگر این جاسوسی و خرابکاریها افشای ایدهها و دادههای محرمانه میباشد.
چرا مردم توسط افراد متقلب جذب میشوند؟
باتوجهبه مبالغ سرسام آوری که کلاهبرداران با فریب مردم به دست میآورند، لازم است یک سؤال پرسیده و پاسخ داده شود: چه عواملی باعث میشود مردم بهراحتی از این راه فریب بخورند؟ برای شروع، فقط کافی است سادهلوح نباشید تا قربانی مهندسی اجتماعی نشوید. در سال 2015 ، یک دانشآموز آمریکایی با فریب چندین مأمور CIA آنها را بر این باور رساند که او یک متخصص IT است و اطلاعات مهمی را از این طریق به دست آورد. وی به مدت سه روز بهعنوان مدیر حساب ایمیل CIA بهتمامی اطلاعات دسترسی داشت. نکته جالب این است که برخلاف آژانس امنیت ملی (NSA)، یکی از نقاط مرکزی CIA کسب اطلاعات از مردم است به همین دلیل مأموران CIA با قوانین مهندسی اجتماعی بسیار آشنا هستند.
چه مکانیسمهای روانشناختی در پس این امر نهفته است؟
درصد موفقیت مهندسی اجتماعی بهپیش بینی نسبی تفکر و رفتار انسان بستگی دارد. عمدتاً مهندسی اجتماعی از ویژگیهای رفتاری اساسی و خاص بهره میبرد. در یک مطالعه، روانشناسان باتجربهای مانند Myles Jordan و Heather Goudey 12 نمونه از مهمترین و موفقترین موارد مهندسی اجتماعی رابین سالهای 2001 و 2004 فیلتر کردند، بررسیها نشان داد که این فریبها حاصل بیتجربگی، کنجکاوی، طمع و نیاز به عشق بوده است. این موارد، عواطف و ویژگیهای شخصی بسیار مهمی هستند که حتی گاهی میتوانند یکدیگر را تقویت کنند. این امر کار را برای مرتکبان آسان میکند. در نتیجه مبنای مهم مهندسی اجتماعی این است که افراد تحت تأثیر احساسات خود قرار میگیرند و عقل در تصمیمگیری آنها سهیم نیست.
مثال: کلاهبرداری عروس روسی
این مثال مربوط به کلاهبرداری عروس روسی و مورد هدف قراردادن مردان مجرد در اروپای غربی و مرکزی میشود. دختران جوان روسی که معمولاً بسیار جذاب هستند، مردان را به امید یک رابطه عاشقانه بزرگ یا حداقل یک سفر کوتاه فریب میدهند تا برای آنها کالا و پول خارجی ارسال کنند. بسیاری از این مردان ناخواسته متهم به پولشویی و قاچاق کالا شدند و همه پول خود را از این طریق ازدستدادهاند.
درخواستهایی مانند “فقط در صورت داشتن ویزای مناسب میتوانم با شما دیدار کنم و در ادامه درخواست پول برای اسناد و وکلا فقط یک حقه است که توسط مجرمان برای رسیدن بهحساب بانکی قربانیان مورداستفاده قرار میگیرد. بعد از آن، آنها برای سفر یا لباس جدید پول میخواهند و تا زمانی که به آنها مشکوک شوند از دارایی قربانیان خود سوءاستفاده میکنند. در نتیجه اغلب نهتنها تصاویر زنان جوان، بلکه موجودیت آنها تقلبی است و بهجای یک دختر روسی که میخواهد ازدواج کند، فرستنده پیامهای جذاب اغلب مردان در هر سنی و از کشوری هستند.
چگونه مجرمان اطلاعات مربوط به قربانیان خود را پیدا میکنند؟
ترکیبی از تلاشهای آفلاین و آنلاین در این زمینه “dumpster diving” نام دارد. کلاهبرداران برای اطلاع از عادات، علایق و وضعیت زندگی اشخاص موردنظر حتی در بین مسائل بیارزش زندگی آنها جستجو و کنجکاوی میکنند. مهندسان اجتماعی میتوانند اطلاعات مهمی را از پوشک بچهها، جعبههای دارویی، جعبههای پیتزا، کاغذبازیهای دور انداخته شده به دست آورند. قطعاً بررسی افراد در سیستمعاملهای رسانههای اجتماعی بسیار دلپذیرتر از زیرورو کردن انبوه زبالهها است. کاربران بدون فکر، هویت خود را در یک بشقاب نقرهای، در پستهای عمومی به مجرمان ارائه میدهند و بهاینترتیب کلاهبرداران میتوانند خود را از طریق وجه اشتراکات جعلی مورد لطف و توجه قربانیان قرار دهند.
چگونه میتوانم از خود در برابر مهندسی اجتماعی محافظت کنم؟
“تبریک میگویم، شما برنده شدهاید! “: اگر به شما جایزه یا مبالغ هنگفتی وعده داده شد، از عقل سلیم خود استفاده کنید معمولاً افراد به غریبهها چیزی نمیدهند. لطفاً به هیچ پیام کوتاه، ایمیل یا تماس تلفنی مشکوک واکنش نشان ندهید.
نرم افزار امنیتی: با فیلتر کردن هرزنامه و استفاده از نرم افزار محافظتی قابل اعتماد میتوانید خطر قربانی شدن هر یک از این کلاهبرداری ها را به حداقل برسانید. نرمافزارها امنیتی ( آنتی ویروسها ) میتوانند از بروز این گونه مشکلات جلوگیری کنند یکی از آنتی ویروسهای مطرح در این زمینه برند معروف G Data میباشد.
هر حملاتی برای سیستم شما مضر هست ولی از سمت یک آشنا و یا کسی که شما را میشناسد اتفاق بیفتد خیلی دردناک هست.
منبع G Data : سافت یاب https://softyab.com
Dangerous social engineering attacks