مهندسی اجتماعی به طور کامل - امنیت من در گرو امنیت تو

مدتی هست دارم به این فکر می کنم که چه کاری میشه کرد؟ برای خودم، دیگران، کشورم و انسانیت. تصمیم گرفتم آموزش هایی رو شروع کنم به ضبط کردن و نوشتن که سطح آگاهی عموم مردم رو ببرم بالا. قطعا وقتی دانش عموم مردم بره بالا کشور بهتری خواهیم داشت، زندگی بهتری هم خواهیم داشت. فرقی نمی کنه در چه حکومت یا کشوری زندگی کنیم. مهم اینه که خوب زندگی کنیم. یک اکانت در یوتیوب دیدم یک آقایی شروع کرده بود آموزش های خیلی پیش پا افتاده گذاشته بود برای افرادی که تنها هستند یا پدر و مادرشون فوت شده. فوق العاده بود این که وقت بذاری برای افرادی خیلی به کمک نیاز دارند. آموزش هایی مثل درست کردن شیر دستشویی که قطعا برای دختری که تنها باشه و یا پدر نداشته باشه کار سختیه. آموزش هایی که می ذارم که در یوتیوب چه در اینستاگرام و چه در ویرگولم، برای افرادی با دانش صفر درباره موضوعات روز دنیا و برای افرادی که کمی یا حتی خیلی می دونند درباره موضوعات روز دنیا. اگر بخوام مثال بزنم، استاد دانشگاهی که بلد نباشه با ChatGPT یا Deepseek کارکنه خیلی بعید هستش که بره از یکی از دانشجو هاش بپرسه. علاوه بر اون متاسفانه اکثر اساتید دانشگاه های خوب کشور که خودم در دوتاش تحصیل کردم (علم و صنعت - دانشگاه تهران) خیلی توانایی آموزش دیدن در حوزه های بروز رو ندارند باید کوتاه و خلاصه آموزش ببینند. از نظر خودم کشوری آباد نمیشه مگر نیروی انسانی توانمند و آموزش دیده داشته باشه.

1. تعریف مهندسی اجتماعی

مهندسی اجتماعی یعنی سوءاستفاده از روان‌شناسی، اعتماد، ترس، عجله، رودربایستی، احترام به مقام، کنجکاوی یا طمع انسان برای وادار کردن او به کاری که نباید انجام دهد؛ مثل دادن رمز عبور، کلیک روی لینک، باز کردن فایل، ورود دادن فرد ناشناس به ساختمان، یا افشای اطلاعات محرمانه.

نکته مهم: مهندسی اجتماعی فقط «فیشینگ ایمیلی» نیست. در فصل کتاب تأکید شده که هر روشی که فرد را وادار کند کاری غیرعادی یا ناامن انجام دهد، می‌تواند مهندسی اجتماعی باشد؛ چه در ایمیل، تماس تلفنی، پیامک، شبکه اجتماعی، وب‌سایت جعلی، وای‌فای جعلی یا حتی ورود فیزیکی به ساختمان.

2. چرا مهندسی اجتماعی خطرناک است؟

ضعیف‌ترین نقطه امنیت همیشه نرم‌افزار نیست؛ انسان است. حتی اگر فایروال، آنتی‌ویروس، رمزنگاری، MFA و سیاست‌های امنیتی داشته باشیم، یک کارمند فریب‌خورده می‌تواند مسیر ورود مهاجم را باز کند.

در متن کتاب آمده که بخش بزرگی از حملات شامل نوعی مهندسی اجتماعی هستند و به همین دلیل در آزمون‌ها و عملیات Red Team اهمیت زیادی دارند.

از دید عملی، مهاجم ممکن است دنبال این چیزها باشد:

هدف مهاجممثالگرفتن اطلاعات ورودرمز عبور، کد MFA، توکن نشستدسترسی اولیهکلیک روی لینک، نصب فایل، اتصال به Wi-Fi جعلیسرقت هویتاطلاعات کارت، شماره ملی/SSN، اطلاعات بانکیورود فیزیکیTailgating، جعل هویت پیمانکار یا کارمندجمع‌آوری اطلاعاتساختار شرکت، شماره داخلی‌ها، نام افراد، فرایندهاگسترش حملهاستفاده از حساب قربانی برای فریب افراد دیگر

3. اصول روان‌شناسی نفوذ

فصل کتاب به اصول نفوذ رابرت چالدینی اشاره می‌کند. این اصول پایه بسیاری از حملات مهندسی اجتماعی هستند.

اصلمعنینمونه در حملهReciprocity / عمل متقابلوقتی کسی لطفی می‌کند، حس می‌کنیم باید جبران کنیم«من از IT هستم، دارم کمکت می‌کنم حسابت هک نشه»Commitment / تعهدوقتی فرد چیزی را قبول کند، احتمال ادامه دادن بیشتر می‌شودتماس‌گیرنده قربانی را مرحله‌به‌مرحله وادار به تأیید می‌کندSocial Proof / تأیید اجتماعیاگر دیگران کاری کنند، ما هم آن را طبیعی می‌بینیم«همه کارکنان این فرم را پر کرده‌اند»Authority / اقتدارانسان‌ها معمولاً از مقام بالاتر اطاعت می‌کنندجعل پلیس، مدیر، بانک، واحد ITLiking / دوست‌داشتناگر فرد را دوست‌داشتنی یا شبیه خودمان ببینیم، اعتماد بیشتر می‌شودلحن دوستانه، هم‌زبان بودن، شباهت ظاهری یا سازمانیScarcity / کمیابیچیز محدود، فوری یا کمیاب ارزشمندتر دیده می‌شود«فقط تا امشب فرصت داری حساب را تأیید کنی»

حمله موفق معمولاً فقط یک اصل را استفاده نمی‌کند؛ ترکیب می‌کند. مثلاً «اقتدار + ترس + فوریت» در تماس‌های جعلی پلیس یا بانک بسیار رایج است.

4. Pretexting یا پیش‌متن‌سازی

Pretext یعنی داستان، سناریو یا بهانه‌ای که مهاجم برای تماس با قربانی می‌سازد. در کتاب تأکید شده که پیش‌متن باید با هدف حمله هماهنگ باشد؛ اگر مهاجم دنبال رمز سازمانی است، نباید خودش را کارمند بانک جا بزند، بلکه بهتر است سناریویی مثل پشتیبانی IT یا Help Desk بسازد.

ساختار یک پیش‌متن معمولاً این است:

جزءتوضیحنقش جعلیIT، مدیر، پشتیبانی بانک، پیمانکار، مأمور امنیتدلیل تماسمشکل حساب، به‌روزرسانی، هشدار امنیتی، تأیید هویتفشار روانیفوریت، ترس، تهدید، فرصت محدوددرخواسترمز، کد، کلیک، نصب، ورود دادن، ارسال فایلپایان طبیعیتشکر، وعده حل مشکل، هدایت به صفحه واقعی برای کاهش شک

مثال ساده از فایل sicial1.txt: فردی با نقش جعلی IT تماس می‌گیرد، ادعا می‌کند روی حساب قربانی فعالیت مشکوک دیده شده و برای «محافظت از حساب» رمز عبور می‌خواهد. این نمونه، Vishing است؛ یعنی فیشینگ تلفنی.

5. نقش ترس، فوریت و زبان در مهندسی اجتماعی

در فایل sicial1.txt گفته شده که حملات اجتماعی برخلاف حملات فنی، مستقیم به روان‌شناسی و رفتار انسان حمله می‌کنند. مهاجم از ترس، فوریت، اعتماد و اقتدار استفاده می‌کند تا قربانی فرصت فکر کردن پیدا نکند.

یک نکته مهم در فایل sicial بحث NLP است. منظور آنجا بیشتر Neuro-Linguistic Programming یا استفاده از زبان و محرک‌های روانی برای اثرگذاری است، نه NLP در هوش مصنوعی. ایده اصلی این است که انتخاب واژه‌ها، لحن، سرعت صحبت، واژه‌های هشداردهنده و عبارت‌های اعتمادساز می‌تواند قربانی را به اقدام سریع وادار کند.

نمونه عبارت‌های خطرناک:

• «همین الان باید انجام بدی»

• «حساب شما در خطر است»

• «اگر تأیید نکنی، دسترسی‌ات بسته می‌شود»

• «من از طرف مدیریت/IT/بانک تماس می‌گیرم»

• «فقط برای تأیید هویت، رمز یا کد را بگو»

قانون طلایی: هرجا فوریت شدید + درخواست اطلاعات حساس دیدی، باید شک کنی.

6. بردارهای اصلی مهندسی اجتماعی

در کتاب چهار بردار اصلی معرفی شده‌اند: Phishing، Vishing، Smishing و Impersonation.

6.1 Phishing / فیشینگ

فیشینگ یعنی فریب از طریق ارتباطات الکترونیکی، معمولاً ایمیل، پیام‌رسان یا شبکه اجتماعی. هدف می‌تواند گرفتن اطلاعات، هدایت به سایت جعلی، نصب بدافزار یا باز کردن فایل آلوده باشد.

نشانه‌های فیشینگ:

نشانهتوضیحلینک مشکوکآدرس واقعی با برند ادعایی نمی‌خواندفرستنده نامعتبرایمیل یا دامنه عجیبفوریتتهدید به بسته شدن حسابغلط املایی/گرامریمخصوصاً در ایمیل‌های ضعیفپیشنهاد غیرواقعیجایزه، پول رایگان، ارث، قرعه‌کشیفایل پیوستPDF، Word، ZIP یا فایل اجرایی مشکوکدرخواست اطلاعات محرمانهرمز، کد OTP، اطلاعات کارت

کتاب مثال‌هایی از ایمیل‌های جعلی بانکی و ایمیل‌های جایزه/لاتاری می‌آورد و تأکید می‌کند که حتی ایمیل‌هایی با لوگو و ظاهر حرفه‌ای هم می‌توانند جعلی باشند؛ باید آدرس لینک و فرستنده بررسی شود.

6.2 Spear Phishing / فیشینگ هدفمند

فیشینگ معمولی مثل تور انداختن وسیع است؛ اما Spear Phishing حمله هدفمند به فرد، شرکت یا گروه خاص است. در این حالت، مهاجم قبل از حمله درباره قربانی اطلاعات جمع‌آوری می‌کند: نام مدیر، پروژه‌ها، همکاران، قالب ایمیل سازمانی، رویدادها و ابزارهای داخلی.

خطر آن بیشتر است چون پیام واقعی‌تر به نظر می‌رسد.

6.3 Vishing / فیشینگ تلفنی

Vishing یعنی استفاده از تماس صوتی برای فریب. مثال فایل sicial دقیقاً همین است: تماس جعلی از طرف IT برای گرفتن رمز عبور.

نشانه‌های Vishing:

• تماس‌گیرنده خودش را از IT، بانک، پلیس، بیمه یا سازمان رسمی معرفی می‌کند.

• می‌خواهد رمز، کد پیامک، اطلاعات کارت یا اطلاعات حساب را بگیرد.

• اجازه نمی‌دهد تماس را قطع کنی و از مسیر رسمی پیگیری کنی.

• از لحن جدی، تهدیدآمیز یا بسیار کمک‌کننده استفاده می‌کند.

6.4 Smishing / فیشینگ پیامکی

Smishing همان فیشینگ از طریق SMS است. پیامک معمولاً لینک کوتاه‌شده، هشدار جعلی، بسته پستی، جریمه، جایزه یا مشکل بانکی دارد. چون روی موبایل دیدن آدرس کامل سخت‌تر است، قربانی راحت‌تر کلیک می‌کند.

6.5 Impersonation / جعل هویت

Impersonation یعنی مهاجم خودش را جای فرد یا سازمان دیگر جا بزند. این جعل می‌تواند دیجیتال یا فیزیکی باشد:

نوع جعل هویتمثالجعل کارمند ITگرفتن رمز یا نصب نرم‌افزارجعل مدیردستور انتقال پول یا ارسال فایلجعل پیک/پیمانکارورود به ساختمانجعل پروفایل شبکه اجتماعیساخت حساب شبیه یک فرد واقعیجعل وب‌سایتساخت صفحه شبیه بانک یا شبکه اجتماعی

در فایل sicial مثال‌هایی از جعل هویت در شبکه‌های اجتماعی، ساخت پروفایل جعلی و حتی تصاحب حساب واقعی برای سوءاستفاده از اعتبار آن آمده است.

7. سرقت هویت / Identity Theft

سرقت هویت یعنی استفاده غیرمجاز از اطلاعات شخصی فرد برای کلاهبرداری یا جرم. اطلاعات هدف می‌تواند شامل نام، شماره ملی/SSN، اطلاعات کارت، حساب بانکی، اطلاعات بیمه، ایمیل، رمز عبور یا اطلاعات پزشکی باشد.

پیامدهای سرقت هویت:

• ضرر مالی

• باز شدن حساب یا وام به نام قربانی

• سوءاستفاده از کارت بانکی

• مشکلات حقوقی

• اضطراب، فشار روانی و زمان زیاد برای اصلاح وضعیت

• فروش اطلاعات در دارک‌وب

روش‌های رایج سرقت هویت:

روشتوضیحفیشینگگرفتن اطلاعات از طریق ایمیل/پیام/تماسنشت پایگاه دادهسرقت اطلاعات از دیتابیس‌های سازمان‌هاDumpster Divingجست‌وجوی زباله‌ها برای اسناد حساسSkimmingکپی اطلاعات کارت از ATM یا POSسرقت حسابگرفتن رمز و تصاحب ایمیل/شبکه اجتماعیجعل سایتگرفتن اطلاعات ورود در صفحه جعلی

در فایل sicial به سوءاستفاده از داده‌های نشت‌کرده، دستگاه‌های نصب‌شده روی ATM/POS و جست‌وجوی اسناد دورریخته‌شده اشاره شده است.

8. تهدید داخلی / Insider Threat

تهدید داخلی یعنی فردی که از داخل سازمان دسترسی دارد، آگاهانه یا ناآگاهانه باعث آسیب امنیتی شود. این فرد می‌تواند کارمند فعلی، کارمند سابق، پیمانکار، شریک تجاری یا هر فرد دارای دسترسی مجاز باشد.

سه نوع اصلی:

نوعتوضیحمثالMalicious Insiderفردی که عمداً آسیب می‌زندفروش اطلاعات شرکت، خرابکاری، جاسوسیNegligent Insiderفردی که از روی بی‌دقتی آسیب می‌زندکلیک روی فیشینگ، ارسال فایل محرمانه، استفاده از ابزار AI نامطمئنCompromised Insiderفردی که حسابش توسط مهاجم تصاحب شده یا تحت فشار استاستفاده از رمز سرقت‌شده، باج‌گیری یا اجبار

نشانه‌های رفتاری خطرناک:

• دسترسی به داده‌هایی خارج از نیاز شغلی

• دانلود یا انتقال حجم غیرعادی داده

• کار کردن در ساعات غیرمعمول

• پنهان‌کاری، مقاومت در برابر نظارت

• تغییر ناگهانی رفتار

• استفاده از ابزارها یا سرویس‌های غیرمجاز

برای دفاع، فقط آموزش کافی نیست؛ باید کنترل دسترسی، مانیتورینگ رفتاری، DLP، حداقل‌سازی دسترسی و فرایند گزارش‌دهی وجود داشته باشد.

9. مهندسی اجتماعی فیزیکی

مهندسی اجتماعی فقط پشت کامپیوتر نیست. گاهی مهاجم با لباس، رفتار، اعتمادبه‌نفس و داستان مناسب وارد محیط فیزیکی می‌شود. در فایل sicial مثال زده شده که حتی پوشیدن جلیقه نارنجی و کلاه ایمنی می‌تواند باعث شود فرد «مجاز» به نظر برسد.

9.1 Badge Access / دسترسی با کارت

سازمان‌ها معمولاً برای ورود از کارت RFID استفاده می‌کنند. اما مشکل اینجاست که کارت به‌تنهایی تضمین نمی‌کند شخص واقعاً مجاز است. در کتاب به مشکلاتی مثل Tailgating، Piggybacking، چرخاندن کارت، بررسی نکردن عکس کارت و حتی کلون شدن کارت RFID اشاره شده است.

9.2 Tailgating و Piggybacking

اصطلاحمعنیTailgatingمهاجم بدون رضایت فرد مجاز، پشت سر او وارد می‌شودPiggybackingفرد مجاز با رضایت خودش مهاجم را وارد می‌کند، مثلاً در را برای او نگه می‌دارد

علت موفقیت این روش‌ها معمولاً فنی نیست؛ اجتماعی است. مردم دوست ندارند بی‌ادب یا بدبین به نظر برسند. همین رودربایستی امنیت را می‌شکند.

9.3 Man Trap / اتاقک کنترل ورود

Man Trap دو در پشت‌سرهم دارد. فرد بعد از ورود از در اول، بین دو در گیر می‌افتد تا هویت او بررسی شود. این روش برای جلوگیری از Tailgating مؤثرتر از در معمولی است.

9.4 Biometrics / زیست‌سنجی

Biometrics یعنی احراز هویت با ویژگی فیزیکی یا رفتاری. کتاب انواع زیر را معرفی می‌کند:

نوعتوضیحاثر انگشترایج، اما در بعضی شرایط قابل خطااسکن عنبیهبررسی الگوی iris چشماسکن شبکیهبررسی الگوی رگ‌های پشت چشمVoiceprintتشخیص از روی صدا، اما صدا با بیماری/زمان تغییر می‌کندPalm Veinالگوی رگ‌های کف دستGait Recognitionتشخیص از روی راه رفتن

دو معیار مهم در سیستم‌های زیست‌سنجی:

معیارمعنیFRR / False Rejection Rateفرد مجاز اشتباهاً رد شودFAR / False Acceptance Rateفرد غیرمجاز اشتباهاً پذیرفته شود

FAR خطرناک‌تر است، چون یعنی فرد غیرمجاز وارد سیستم یا ساختمان شده است.

10. Baiting / طعمه‌گذاری

Baiting یعنی مهاجم چیزی جذاب را به‌عنوان طعمه قرار دهد تا قربانی خودش اقدام ناامن انجام دهد. نمونه کلاسیک: فلش USB رهاشده در پارکینگ یا محیط شرکت.

منطق حمله ساده است: انسان کنجکاو است و چیز رایگان را دوست دارد. اما دفاع هم ساده است: هیچ رسانه ناشناسی نباید به سیستم سازمانی وصل شود.

نمونه‌های طعمه:

• فلش USB

• فایل رایگان

• لینک دانلود نرم‌افزار

• فرم جایزه

• QR Code مشکوک

• پیشنهاد هدیه یا تخفیف غیرواقعی

11. Quid Pro Quo / چیزی در برابر چیزی

Quid Pro Quo یعنی مهاجم در برابر گرفتن اطلاعات، چیزی پیشنهاد می‌دهد؛ مثلاً «من مشکلت را حل می‌کنم، تو رمزت را بده». در کتاب این روش با سناریوی Help Desk جعلی توضیح داده شده است.

مثال:

«از واحد پشتیبانی هستم. حساب شما مشکل دارد. اگر رمز فعلی را بدهید، همین الان برایتان درست می‌کنم.»

دفاع: هیچ واحد IT حرفه‌ای نباید رمز کاربر را بخواهد. تأیید هویت باید از مسیر رسمی، شماره داخلی رسمی، تیکت یا سامانه سازمانی انجام شود.

12. Contact Spamming / سوءاستفاده از فهرست مخاطبان

اگر حساب ایمیل یا شبکه اجتماعی یک فرد هک شود، مهاجم می‌تواند از فهرست مخاطبان او برای ارسال پیام‌های جعلی استفاده کند. چون پیام از طرف فرد آشنا می‌آید، اعتماد قربانی بیشتر می‌شود.

حتی گاهی بدون هک حساب هم ممکن است ایمیل جعل شود و ظاهراً از طرف فرد آشنا برسد.

دفاع:

• بررسی آدرس فرستنده

• تماس از مسیر دوم برای تأیید

• فعال‌سازی MFA

• هشدار به مخاطبان بعد از هک حساب

• تغییر رمز و خروج از نشست‌های فعال

13. مهندسی اجتماعی در شبکه‌های اجتماعی

شبکه‌های اجتماعی معدن اطلاعات برای مهاجم هستند. افراد نام شرکت، سمت، همکاران، رویدادها، سفرها، علایق و حتی ساختار سازمانی را منتشر می‌کنند.

روش‌های رایج:

روشتوضیحClone Profileساخت حساب شبیه فرد واقعیAccount Takeoverتصاحب حساب واقعیFake Recruiterجعل استخدام‌کنندهFake CEO/Managerجعل مدیر برای درخواست فوریSocial Proofاستفاده از دوستان مشترک برای ایجاد اعتمادMass Manipulationتأثیرگذاری روی گروه بزرگی از کاربران

در فایل sicial گفته شده که مهاجم می‌تواند پروفایل جعلی بسازد، از عکس و اطلاعات ساختگی یا سرقت‌شده استفاده کند، یا حساب واقعی را تصاحب کند و از اعتبار آن برای حملات بعدی استفاده کند.

14. حملات وب‌سایتی مرتبط با مهندسی اجتماعی

14.1 Site Cloning / شبیه‌سازی سایت

در این روش، صفحه‌ای شبیه سایت اصلی ساخته می‌شود تا قربانی اطلاعاتش را وارد کند. از نظر دفاعی، کاربر باید فقط ظاهر سایت را معیار نگیرد؛ باید دامنه، HTTPS، گواهی، مسیر ورود رسمی و Password Manager را بررسی کند.

در کتاب توضیح داده شده که سایت جعلی ممکن است فقط ظاهر سایت اصلی را تقلید کند و قربانی را از طریق ایمیل یا لینک به آن هدایت کند.

14.2 Rogue Website / سایت جعلی یا آلوده

سایت Rogue سایتی است که کاربر فکر می‌کند معتبر است، اما هدف مخرب دارد. این سایت می‌تواند کاملاً جعلی باشد یا یک سایت واقعیِ آلوده‌شده باشد.

14.3 Typosquatting / سوءاستفاده از غلط تایپی

مهاجم دامنه‌ای شبیه دامنه اصلی ثبت می‌کند؛ مثلاً با یک حرف کم‌وزیاد. کاربر با تایپ اشتباه وارد سایت جعلی می‌شود. کتاب این روش را URL Hijacking هم معرفی می‌کند.

14.4 Watering Hole Attack / حمله آبشخور

در این روش، مهاجم سایتی را آلوده می‌کند که قربانیان هدف معمولاً به آن سر می‌زنند. به جای حمله مستقیم به افراد، مهاجم جایی را آلوده می‌کند که قربانیان خودشان به آن مراجعه می‌کنند.

15. مهندسی اجتماعی بی‌سیم / Wireless Social Engineering

شبکه‌های Wi-Fi هم می‌توانند ابزار فریب باشند. مهاجم می‌تواند یک Access Point جعلی با نام شبیه شبکه معتبر ایجاد کند تا کاربر به آن وصل شود. در کتاب به Rogue Access Point، Captive Portal، جعل SSID و ابزارهای خودکار مثل Wifiphisher در سطح آموزشی اشاره شده است.

از دید دفاعی، خطرها این‌ها هستند:

خطرتوضیحEvil Twinشبکه جعلی با نام مشابه شبکه اصلیCaptive Portal جعلیصفحه ورود جعلی برای گرفتن اطلاعاتDeauthenticationقطع اتصال کاربر از شبکه اصلی برای وادار کردن به اتصال مجددشنود ترافیکاگر ارتباط رمزنگاری نشده باشدنصب نرم‌افزار جعلیبا پیام‌هایی مثل «برای ادامه افزونه نصب کن»

دفاع:

• اتصال فقط به SSIDهای رسمی

• استفاده از WPA2/WPA3 Enterprise

• اعتبارسنجی گواهی در شبکه‌های سازمانی

• VPN روی شبکه‌های عمومی

• غیرفعال کردن Auto-Join برای شبکه‌های ناشناس

• آموزش کاربران درباره Captive Portal جعلی

• مانیتورینگ Rogue AP

16. ابزارهای خودکار مهندسی اجتماعی

در فصل کتاب به ابزارهایی مثل Social Engineering Toolkit و Wifiphisher اشاره شده است. این ابزارها می‌توانند برخی سناریوهای مهندسی اجتماعی را خودکار کنند؛ مثل ساخت سناریو، مدیریت کمپین، ساخت صفحات جعلی یا آزمایش‌های وایرلس در محیط مجاز.

اما نکته مهم: شناخت این ابزارها برای دفاع، تست مجاز و درک تهدید مفید است؛ استفاده بدون مجوز از آن‌ها غیرقانونی و غیراخلاقی است. در جزوه آموزشی بهتر است این ابزارها را در سطح «شناخت خطر و طراحی دفاع» نگه داریم، نه دستور اجرا.

17. راهکارهای دفاعی و مقابله

فایل sicial تأکید می‌کند که دفاع فقط آموزش نیست؛ چون حملات با کمک AI بسیار واقعی‌تر و قانع‌کننده‌تر شده‌اند. دفاع باید حتی بعد از یک کلیک اشتباه هم دوام بیاورد؛ یعنی سیستم نباید با یک خطای انسانی کاملاً فروبپاشد.

17.1 آموزش و تمرین

• آموزش فیشینگ، ویشینگ، اسمیشینگ و جعل هویت

• تمرین با حملات شبیه‌سازی‌شده

• آموزش گزارش‌دهی بدون ترس از تنبیه

• آموزش تفاوت URL واقعی و جعلی

• آموزش عدم افشای رمز، OTP و اطلاعات حساس

17.2 سیاست‌ها و فرایندها

سیاستکاربردعدم درخواست رمز توسط ITحذف یکی از سناریوهای رایج حملهCall-back Policyتماس با شماره رسمی برای تأییدVisitor Managementثبت و همراهی مهمان‌هاClean Desk Policyحذف یادداشت رمز و اسناد حساس از میزData Classificationمشخص شدن سطح محرمانگی داده‌هاApproval Workflowتأیید چندمرحله‌ای برای پرداخت/ارسال داده

17.3 کنترل‌های فنی

• MFA قوی، ترجیحاً FIDO2/WebAuthn یا Authenticator امن

• Password Manager

• فیلتر ایمیل، DMARC, DKIM, SPF

• EDR/Antivirus

• محدودسازی Macro و فایل‌های اجرایی

• Web Filtering

• DLP برای جلوگیری از خروج اطلاعات

• Least Privilege

• مانیتورینگ رفتار کاربران

• غیرفعال کردن AutoRun برای USB

• Patch Management

17.4 کنترل‌های فیزیکی

• Man Trap

• نگهبان آموزش‌دیده

• کارت شناسایی واضح با عکس

• ضد Tailgating

• دوربین و لاگ ورود/خروج

• قفل کردن سیستم هنگام ترک میز

• محدودیت USB

• خرد کردن اسناد حساس قبل از دور ریختن

17.5 پاسخ به حادثه

وقتی حمله رخ داد:

1. قربانی را سرزنش نکن؛ سریع گزارش بگیر.

2. رمزها و نشست‌های فعال را باطل کن.

3. حساب‌های مرتبط را بررسی کن.

4. لاگ‌ها را تحلیل کن.

5. افراد مرتبط را هشدار بده.

6. دامنه/لینک/فایل مخرب را مسدود کن.

7. درس‌آموخته‌ها را به آموزش و سیاست تبدیل کن.