Bamasoft
Bamasoft
خواندن ۸ دقیقه·۲ سال پیش

مهندسی اجتماعی چیست؟

شاید همه ما معنی مهندسی اجتماعی را ندانیم؛ در واقع مهندسی اجتماعی (Social Engineering) به روش‌هایی اشاره دارد که مجرمان سایبری برای وادار کردن قربانیان به انجام نوعی اقدام مشکوک که اغلب شامل نقض امنیت، ارسال پول یا واگذاری اطلاعات خصوصی است، استفاده می‌کنند.

مهندسی اجتماعی (Social Engineering) چیست؟

اقدامات مهندسی اجتماعی با دست‌کاری احساساتمان اعم از خوب و بد مانند خشم، ترس و عشق، عقل سلیم را به چالش می کشند. کلاهبرداران می‌توانند ما را وادار کنند که منطقی فکر نکنیم و بدون توجه به آنچه واقعاً انجام می‌دهیم، بر اساس انگیزه عمل کنیم.

به بیان ساده، اگر مجرمان سایبری از بدافزارها و ویروس‌ها برای هک کردن رایانه‌های ما استفاده می‌کنند، مهندسی اجتماعی ذهن ما را هک می‌کند.

مهندسی اجتماعی همیشه بخشی از یک کلاهبرداری بزرگ‌تر است و از این واقعیت استفاده می کند که مجرمان و قربانیان آنها هرگز مجبور به ملاقات رودررو نیستند. هدف اصلی معمولاً شامل رساندن قربانیان به موارد زیر است:

  • گرفتن نام کاربری و رمز عبور آن ها
  • نصب بدافزار بر روی دستگاه آن ها
  • ارسال پول از طریق انتقال الکترونیکی وجه، حواله یا کارت هدیه
  • نصب یک افزونه یا یک نرم افزار مخرب
  • استفاده از کاربر برای انتقال وجوه نامشروع

مهندسی اجتماعی چگونه کار می کند؟

مهندسی اجتماعی تنها بخشی از یک چالش بزرگتر است. به عنوان مثال، کلاهبرداری the Nigerian Prince یا 419 را در نظر بگیرید (که به دلیل بخشی از قانون جنایی نیجریه که با کلاهبرداری سروکار دارد نامگذاری شده است). در این روش کلاهبرداری، یک مجرم سایبری به شما ایمیل می‌زند که ادعا می‌کنید یک شاهزاده مخلوع نیجریه می باشد و مقدار زیادی پول در یک حساب بانکی خارجی دارد که قفل شده است. برای باز کردن وجوه، شاهزاده باید مبلغ اولیه را برای رشوه دادن به مدیر بانک ارائه دهید. در عوض، شاهزاده مقداری از دارایی خود را با شما تقسیم خواهد کرد. اما معلوم می شود که این شاهزاده جذاب یک کلاهبردار است و هیچ پولی ندارد. هدف او این است که شما را وادار به انتقال وجوه و کلاهبردار کند. وقتی متوجه شدید که مورد کلاهبرداری قرار گرفته اید، پول شما از بین رفته است. بنابراین، مهندسی اجتماعی از کجا وارد عمل می شود؟

کلاهبردار با ادعای اینکه یک شاهزاده نیجریه ای است، به کلاهبرداری خود درجه ای از اختیارات می دهد و قربانیان تمایل بیشتری به پاسخ دادن دارند.

این تئوری که افراد به کسی که آنها را یک مرجع می دانند، پاسخ مثبت می دهند، فقط یکی از اساتید روان‌شناسی و کارشناس برجسته تأثیرگذاری بر اصول متقاعدسازی دکتر رابرت سیالدینی است. دکتر Cialdini این کتاب را در مورد چگونگی ترغیب مردم به گفتن “بله” پس از سالها تحقیق در کار به عنوان فروشنده خودروهای دست‌دوم، بازاریاب تلفنی و فروشنده خانه نوشته است.

دکتر Cialdini تکنیک های مهندسی اجتماعی را به شش اصل تقسیم می کند:

  • عمل متقابل (Reciprocity). اگر کسی به شما هدیه ای می دهد، هرچقدر هم که کوچک باشد، به احتمال زیاد با دادن هدیه ای از سمت خود پاسخ می دهید. در کلاهبرداری نیجریه ای، کلاهبردار به شما میلیون ها دلار هدیه خواهد داد. حداقل کاری که می توانید انجام دهید کمک به پرداخت هزینه رشوه به مدیر بانک است.
  • کمبود (Scarcity). در سال 2019، آمریکایی‌ها نگاهی اجمالی به آخرالزمان داشتند. یک مرد با اسلحه کارکنان Popeyes را تهدید کرد. مرد دیگری از فروشگاه زنجیره ای فست فود به دلیل اقدامات تجاری فریبنده شکایت کرد. مردم برای ساندویچ کشته شدند. به طور خلاصه، این کمبود است. اگر مصرف کنندگان نتوانند چیزی داشته باشند، فقط مقدار بیشتری از آن را می خواهند.
  • قدرت (Authority). تظاهر به قدرت تنها راهی است که مجرمان می توانند از آن برای فریب قربانیان خود استفاده کنند. Malwarebytes Labs در مورد تعدادی تماس کلاهبرداری مختلف گزارش داده است که در آنها تماس گیرندگان ظاهراً از برخی از آژانس های دولتی ایالات متحده هستند. تماس گیرندگان ادعا می کنند که فرد بدهی مالیاتی معوقه یا جریمه دارند و اگر فوراً با دولت توافق نکنند، به زندان خواهند رفت.
  • ثبات (Consistency). به‌طورکلی، هیچ‌کس نمی‌خواهد که بلاتکلیف باشد. وقتی می گوییم قرار است کاری را انجام دهیم، سعی می کنیم آن را دنبال کنیم و اگر بتوانید ابتدا کسی را وادار کنید که با چیزی کوچک موافقت کند، آنگاه تحت فشار قرار می‌گیرد که با چیز بزرگ‌تری موافقت کند.
  • دوست داشتن (Liking). کلاهبرداری The Ellen DeGeneres نمونه عالی برای دوست داشتن است. در پست‌های رسانه‌های اجتماعی که ظاهراً از خود الن بود، کلاهبرداران فیلم‌های برنامه گفتگوی پرطرفدار در طول روز را که در مورد خیریه‌های مورد علاقه‌اش صحبت می‌کرد، همراه با درخواست برای به اشتراک گذاشتن پست‌ها جدا کردند. ازآنجایی‌که قربانیان الن را دوست دارند، تمایل بیشتری به اشتراک گذاری دارند. سپس «الن» مستقیماً با کسانی که پست را به اشتراک گذاشته‌اند تماس می‌گیرد و از آنها می‌خواهد یکی از فیلم‌های او را دانلود کنند تا شانس برنده شدن یک میلیون دلار را داشته باشند. البته، هیچ میلیون دلاری وجود نداشت.
  • اجماع(Consensus) احتمالاً این عبارت را شنیده اید: “اگر بقیه از روی پل بپرند، آیا شما؟” پس با مفهوم اجماع آشنا هستید. اگر مردم فکر کنند که دیگران در حال انجام کاری هستند، تمایل بیشتری به پاسخ مثبت دارند. همان‌طور که در مورد کلاهبرداری های آنلاین اعمال می شود، Malwarebytes Labs گزارش داده است که سازمان های خیریه جعلی پس از یک فاجعه طبیعی ظهور کرده اند. مجرمان از موج حمایتی که معمولاً به دنبال دارد برای تحت فشار قرار دادن مردم برای اهدای پول استفاده می کنند.

انواع حملات مهندسی اجتماعی

در اینجا شش کلاهبرداری آنلاین رایج وجود دارد که از نوعی مهندسی اجتماعی استفاده می کنند.

  • فیشینگ ایمیل (Email phishing) رایج ترین نوع حمله است که از مهندسی اجتماعی برخوردار است. هدف یک ایمیل را دریافت می کند که به نظر می رسد توسط یک شرکت یا سازمان مورد اعتماد ارسال شده است. امروزه با استفاده از کیت‌های فیشینگ که حاوی قالب‌های ایمیل از پیش طراحی‌شده‌ای هستند که به نظر می‌رسد توسط اپل یا آمازون یا شرکت‌های معروف دیگری ارسال شده‌اند. این ایمیل حاوی لینکی به یک سایت فیشینگ هستند که برای جمع‌آوری نام های کاربری و رمز عبور طراحی شده است.
  • تروجان (Trojan) به هر نوع بدافزاری اشاره دارد که وانمود می کند چیزی نیست. درست مانند اسب تروا که شهرت دارد، تروجان های کامپیوتری حاوی محموله ای مخرب هستند. پیوست های ایمیل حاوی بدافزار مخفی نوعی تروجان هستند. ترفند، همانطور که در مهندسی اجتماعی اعمال می شود، زمانی است که به نظر می رسد ایمیل از یک فرستنده قابل اعتماد مانند یک همکار، دوست، خانواده یا شرکتی که با آن تجارت می کنید نشأت می گیرد.
  • فیشینگ نیزه ای (Spear fishing) نوعی حمله فیشینگ است که یک فرد یا گروه کوچکی از افراد را هدف قرار می دهد. بر خلاف یک فیش معمولی که عمداً عمومی است و به صورت انبوه به ایمیل‌های زیادی ارسال می‌شود، حمله فیشینگ نیزه‌ای به کمی دقت لازم از سوی کلاهبردار نیاز دارد. کلاهبرداران حساب‌های رسانه‌های اجتماعی هدف را جستجو می‌کنند و از اطلاعات جمع‌آوری‌شده از عکس‌ها، وضعیت رابطه، تاریخ تولد، مکان‌های زندگی، سابقه شغلی و هر اطلاعات عمومی دیگری که می‌توانند برای اعتبار دادن به کلاهبرداری استفاده کنند، استفاده می‌کنند.
  • فیشینگ پیام متنی اس ام اس (smishing) نوعی از فیشینگ است که روی تبلت، گوشی هوشمند یا ساعت هوشمند شما رخ می دهد. درست است، فیشینگ خارج از ایمیل نیز اتفاق می افتد. قربانیان معمولاً یک پیام متنی از یک فرستنده ناشناس دریافت می کنند که آنها را از پیشنهاد ویژه یا مسابقه ای که برنده شده اند مطلع می کند. این متن شامل پیوندی به یک سایت جعلی است که برای جمع آوری اطلاعات ورود به سیستم طراحی شده است.
  • تماس های کلاهبرداری (Scam calls) معادل تلفنی اسپم هستند. همچنین به عنوان vishing (فیشینگ صوتی) یا تماس های خودکار شناخته می شود، تماس های کلاهبرداری با استفاده از یک سیستم شماره گیری تلفنی کامپیوتری انجام می شود. هنگامی که به تماس پاسخ داده می شود، شماره گیری خودکار تماس را به یک شخص زنده متصل می کند یا یک پیام از قبل ضبط شده را پخش می کند. هر دو به عنوان تماس های رباتیک در نظر گرفته می شوند. در حالی که تماس‌های خودکار تحت شرایط محدود خاصی می‌توانند قانونی باشند، اکثر آنها غیرقانونی هستند و شامل ترفندهایی برای سرقت پول، اعتبار کاربر یا هویت قربانی هستند.
  • کلاهبرداری‌های پشتیبانی فنی (Tech support scams) شکل پیشرفته‌ای از مهندسی اجتماعی هستند که به شما نشان می‌دهند رایانه‌تان به بدافزار آلوده شده است، در حالی که واقعاً اینطور نیست، سپس از شما پول اخاذی می‌کند تا آن را «رفع» کند. این کلاهبرداری زمانی شروع می شود که قربانیان وارد یک وب سایت مخربی شوند که توسط کلاهبرداران اداره می شود. این سایت ها شامل تبلیغات بدی هستند که برای قفل کردن مرورگر شما و جلوگیری از بسته شدن یا رفتن به سایت دیگری طراحی شده اند. تبلیغات نادرست عموماً شامل برخی هشدارها مبنی بر آلوده شدن رایانه شما به بدافزار یا دزدی شدن نرم افزار شما به همراه یک شماره پشتیبانی فنی جعلی است که می توانید برای دریافت کمک با آن تماس بگیرید. اما برای شما هزینه دارد. همانطور که اتفاق می افتد.

تاریخچه مهندسی اجتماعی

برای خواندن ادامه مطلب به این لینک وارد شوید.

منبع: باماسافت

مهندسی اجتماعیsocial engineeringباماسافت
شاید از این پست‌ها خوشتان بیاید