شاید همه ما معنی مهندسی اجتماعی را ندانیم؛ در واقع مهندسی اجتماعی (Social Engineering) به روشهایی اشاره دارد که مجرمان سایبری برای وادار کردن قربانیان به انجام نوعی اقدام مشکوک که اغلب شامل نقض امنیت، ارسال پول یا واگذاری اطلاعات خصوصی است، استفاده میکنند.
مهندسی اجتماعی (Social Engineering) چیست؟
اقدامات مهندسی اجتماعی با دستکاری احساساتمان اعم از خوب و بد مانند خشم، ترس و عشق، عقل سلیم را به چالش می کشند. کلاهبرداران میتوانند ما را وادار کنند که منطقی فکر نکنیم و بدون توجه به آنچه واقعاً انجام میدهیم، بر اساس انگیزه عمل کنیم.
به بیان ساده، اگر مجرمان سایبری از بدافزارها و ویروسها برای هک کردن رایانههای ما استفاده میکنند، مهندسی اجتماعی ذهن ما را هک میکند.
مهندسی اجتماعی همیشه بخشی از یک کلاهبرداری بزرگتر است و از این واقعیت استفاده می کند که مجرمان و قربانیان آنها هرگز مجبور به ملاقات رودررو نیستند. هدف اصلی معمولاً شامل رساندن قربانیان به موارد زیر است:
گرفتن نام کاربری و رمز عبور آن ها
نصب بدافزار بر روی دستگاه آن ها
ارسال پول از طریق انتقال الکترونیکی وجه، حواله یا کارت هدیه
نصب یک افزونه یا یک نرم افزار مخرب
استفاده از کاربر برای انتقال وجوه نامشروع
مهندسی اجتماعی چگونه کار می کند؟
مهندسی اجتماعی تنها بخشی از یک چالش بزرگتر است. به عنوان مثال، کلاهبرداری the Nigerian Prince یا 419 را در نظر بگیرید (که به دلیل بخشی از قانون جنایی نیجریه که با کلاهبرداری سروکار دارد نامگذاری شده است). در این روش کلاهبرداری، یک مجرم سایبری به شما ایمیل میزند که ادعا میکنید یک شاهزاده مخلوع نیجریه می باشد و مقدار زیادی پول در یک حساب بانکی خارجی دارد که قفل شده است. برای باز کردن وجوه، شاهزاده باید مبلغ اولیه را برای رشوه دادن به مدیر بانک ارائه دهید. در عوض، شاهزاده مقداری از دارایی خود را با شما تقسیم خواهد کرد. اما معلوم می شود که این شاهزاده جذاب یک کلاهبردار است و هیچ پولی ندارد. هدف او این است که شما را وادار به انتقال وجوه و کلاهبردار کند. وقتی متوجه شدید که مورد کلاهبرداری قرار گرفته اید، پول شما از بین رفته است. بنابراین، مهندسی اجتماعی از کجا وارد عمل می شود؟
کلاهبردار با ادعای اینکه یک شاهزاده نیجریه ای است، به کلاهبرداری خود درجه ای از اختیارات می دهد و قربانیان تمایل بیشتری به پاسخ دادن دارند.
این تئوری که افراد به کسی که آنها را یک مرجع می دانند، پاسخ مثبت می دهند، فقط یکی از اساتید روانشناسی و کارشناس برجسته تأثیرگذاری بر اصول متقاعدسازی دکتر رابرت سیالدینی است. دکتر Cialdini این کتاب را در مورد چگونگی ترغیب مردم به گفتن “بله” پس از سالها تحقیق در کار به عنوان فروشنده خودروهای دستدوم، بازاریاب تلفنی و فروشنده خانه نوشته است.
دکتر Cialdini تکنیک های مهندسی اجتماعی را به شش اصل تقسیم می کند:
عمل متقابل(Reciprocity). اگر کسی به شما هدیه ای می دهد، هرچقدر هم که کوچک باشد، به احتمال زیاد با دادن هدیه ای از سمت خود پاسخ می دهید. در کلاهبرداری نیجریه ای، کلاهبردار به شما میلیون ها دلار هدیه خواهد داد. حداقل کاری که می توانید انجام دهید کمک به پرداخت هزینه رشوه به مدیر بانک است.
کمبود (Scarcity). در سال 2019، آمریکاییها نگاهی اجمالی به آخرالزمان داشتند. یک مرد با اسلحه کارکنان Popeyes را تهدید کرد. مرد دیگری از فروشگاه زنجیره ای فست فود به دلیل اقدامات تجاری فریبنده شکایت کرد. مردم برای ساندویچ کشته شدند. به طور خلاصه، این کمبود است. اگر مصرف کنندگان نتوانند چیزی داشته باشند، فقط مقدار بیشتری از آن را می خواهند.
قدرت (Authority). تظاهر به قدرت تنها راهی است که مجرمان می توانند از آن برای فریب قربانیان خود استفاده کنند. Malwarebytes Labs در مورد تعدادی تماس کلاهبرداری مختلف گزارش داده است که در آنها تماس گیرندگان ظاهراً از برخی از آژانس های دولتی ایالات متحده هستند. تماس گیرندگان ادعا می کنند که فرد بدهی مالیاتی معوقه یا جریمه دارند و اگر فوراً با دولت توافق نکنند، به زندان خواهند رفت.
ثبات (Consistency). بهطورکلی، هیچکس نمیخواهد که بلاتکلیف باشد. وقتی می گوییم قرار است کاری را انجام دهیم، سعی می کنیم آن را دنبال کنیم و اگر بتوانید ابتدا کسی را وادار کنید که با چیزی کوچک موافقت کند، آنگاه تحت فشار قرار میگیرد که با چیز بزرگتری موافقت کند.
دوست داشتن (Liking). کلاهبرداری The Ellen DeGeneres نمونه عالی برای دوست داشتن است. در پستهای رسانههای اجتماعی که ظاهراً از خود الن بود، کلاهبرداران فیلمهای برنامه گفتگوی پرطرفدار در طول روز را که در مورد خیریههای مورد علاقهاش صحبت میکرد، همراه با درخواست برای به اشتراک گذاشتن پستها جدا کردند. ازآنجاییکه قربانیان الن را دوست دارند، تمایل بیشتری به اشتراک گذاری دارند. سپس «الن» مستقیماً با کسانی که پست را به اشتراک گذاشتهاند تماس میگیرد و از آنها میخواهد یکی از فیلمهای او را دانلود کنند تا شانس برنده شدن یک میلیون دلار را داشته باشند. البته، هیچ میلیون دلاری وجود نداشت.
اجماع(Consensus) احتمالاً این عبارت را شنیده اید: “اگر بقیه از روی پل بپرند، آیا شما؟” پس با مفهوم اجماع آشنا هستید. اگر مردم فکر کنند که دیگران در حال انجام کاری هستند، تمایل بیشتری به پاسخ مثبت دارند. همانطور که در مورد کلاهبرداری های آنلاین اعمال می شود، Malwarebytes Labs گزارش داده است که سازمان های خیریه جعلی پس از یک فاجعه طبیعی ظهور کرده اند. مجرمان از موج حمایتی که معمولاً به دنبال دارد برای تحت فشار قرار دادن مردم برای اهدای پول استفاده می کنند.
انواع حملات مهندسی اجتماعی
در اینجا شش کلاهبرداری آنلاین رایج وجود دارد که از نوعی مهندسی اجتماعی استفاده می کنند.
فیشینگ ایمیل (Email phishing) رایج ترین نوع حمله است که از مهندسی اجتماعی برخوردار است. هدف یک ایمیل را دریافت می کند که به نظر می رسد توسط یک شرکت یا سازمان مورد اعتماد ارسال شده است. امروزه با استفاده از کیتهای فیشینگ که حاوی قالبهای ایمیل از پیش طراحیشدهای هستند که به نظر میرسد توسط اپل یا آمازون یا شرکتهای معروف دیگری ارسال شدهاند. این ایمیل حاوی لینکی به یک سایت فیشینگ هستند که برای جمعآوری نام های کاربری و رمز عبور طراحی شده است.
تروجان (Trojan) به هر نوع بدافزاری اشاره دارد که وانمود می کند چیزی نیست. درست مانند اسب تروا که شهرت دارد، تروجان های کامپیوتری حاوی محموله ای مخرب هستند. پیوست های ایمیل حاوی بدافزار مخفی نوعی تروجان هستند. ترفند، همانطور که در مهندسی اجتماعی اعمال می شود، زمانی است که به نظر می رسد ایمیل از یک فرستنده قابل اعتماد مانند یک همکار، دوست، خانواده یا شرکتی که با آن تجارت می کنید نشأت می گیرد.
فیشینگ نیزه ای (Spear fishing) نوعی حمله فیشینگ است که یک فرد یا گروه کوچکی از افراد را هدف قرار می دهد. بر خلاف یک فیش معمولی که عمداً عمومی است و به صورت انبوه به ایمیلهای زیادی ارسال میشود، حمله فیشینگ نیزهای به کمی دقت لازم از سوی کلاهبردار نیاز دارد. کلاهبرداران حسابهای رسانههای اجتماعی هدف را جستجو میکنند و از اطلاعات جمعآوریشده از عکسها، وضعیت رابطه، تاریخ تولد، مکانهای زندگی، سابقه شغلی و هر اطلاعات عمومی دیگری که میتوانند برای اعتبار دادن به کلاهبرداری استفاده کنند، استفاده میکنند.
فیشینگ پیام متنی اس ام اس (smishing) نوعی از فیشینگ است که روی تبلت، گوشی هوشمند یا ساعت هوشمند شما رخ می دهد. درست است، فیشینگ خارج از ایمیل نیز اتفاق می افتد. قربانیان معمولاً یک پیام متنی از یک فرستنده ناشناس دریافت می کنند که آنها را از پیشنهاد ویژه یا مسابقه ای که برنده شده اند مطلع می کند. این متن شامل پیوندی به یک سایت جعلی است که برای جمع آوری اطلاعات ورود به سیستم طراحی شده است.
تماس های کلاهبرداری (Scam calls) معادل تلفنی اسپم هستند. همچنین به عنوان vishing (فیشینگ صوتی) یا تماس های خودکار شناخته می شود، تماس های کلاهبرداری با استفاده از یک سیستم شماره گیری تلفنی کامپیوتری انجام می شود. هنگامی که به تماس پاسخ داده می شود، شماره گیری خودکار تماس را به یک شخص زنده متصل می کند یا یک پیام از قبل ضبط شده را پخش می کند. هر دو به عنوان تماس های رباتیک در نظر گرفته می شوند. در حالی که تماسهای خودکار تحت شرایط محدود خاصی میتوانند قانونی باشند، اکثر آنها غیرقانونی هستند و شامل ترفندهایی برای سرقت پول، اعتبار کاربر یا هویت قربانی هستند.
کلاهبرداریهای پشتیبانی فنی (Tech support scams) شکل پیشرفتهای از مهندسی اجتماعی هستند که به شما نشان میدهند رایانهتان به بدافزار آلوده شده است، در حالی که واقعاً اینطور نیست، سپس از شما پول اخاذی میکند تا آن را «رفع» کند. این کلاهبرداری زمانی شروع می شود که قربانیان وارد یک وب سایت مخربی شوند که توسط کلاهبرداران اداره می شود. این سایت ها شامل تبلیغات بدی هستند که برای قفل کردن مرورگر شما و جلوگیری از بسته شدن یا رفتن به سایت دیگری طراحی شده اند. تبلیغات نادرست عموماً شامل برخی هشدارها مبنی بر آلوده شدن رایانه شما به بدافزار یا دزدی شدن نرم افزار شما به همراه یک شماره پشتیبانی فنی جعلی است که می توانید برای دریافت کمک با آن تماس بگیرید. اما برای شما هزینه دارد. همانطور که اتفاق می افتد.