پیمان محمدی
پیمان محمدی
خواندن ۹ دقیقه·۵ ماه پیش

مهندسی اجتماعی چیست؟

مهندسی اجتماعی به عنوان یک مفهوم در امنیت اطلاعات و روان‌شناسی اجتماعی، به فنون و روش‌هایی اطلاق می‌شود که با استفاده از ترفندها و فریب‌ها، افراد را به انجام عملی خاص یا افشای اطلاعات حساس ترغیب می‌کنند. این فنون به طور معمول در حملات سایبری و نفوذ به سیستم‌های اطلاعاتی مورد استفاده قرار می‌گیرند.

در اصل، مهندسی اجتماعی به بهره‌برداری از ضعف‌های انسانی می‌پردازد. این ضعف‌ها می‌توانند شامل تمایل به کمک به دیگران، اعتماد بی‌جا، عدم آگاهی از تهدیدات امنیتی و یا ناتوانی در تشخیص رفتارهای مخرب باشند. مهاجمان با استفاده از این ضعف‌ها، افراد را به انجام اقداماتی مانند افشای گذرواژه‌ها، کلیک روی لینک‌های مخرب یا نصب نرم‌افزارهای مخرب ترغیب می‌کنند.

یکی از معروف‌ترین انواع حملات مهندسی اجتماعی، حمله فیشینگ (Phishing) است که در آن مهاجم با ارسال ایمیل‌ها یا پیام‌های جعلی، افراد را به افشای اطلاعات حساس خود ترغیب می‌کند. همچنین، حملات مهندسی اجتماعی می‌توانند به صورت مستقیم، مانند تقلب تلفنی یا تماس‌های فریبنده، یا به صورت غیرمستقیم، مانند ایجاد وب‌سایت‌های جعلی، صورت بگیرند.

به طور کلی، مهندسی اجتماعی به دلیل تعامل مستقیم با عامل انسانی و بهره‌برداری از رفتارها و تصمیمات افراد، یکی از چالش‌های بزرگ در زمینه امنیت اطلاعات محسوب می‌شود. آگاهی‌بخشی، آموزش و تقویت مهارت‌های شناختی افراد در شناسایی تهدیدات مهندسی اجتماعی، از مهم‌ترین راهکارهای مقابله با این نوع حملات است.


انواع شاخه های مهندسی اجتماعی :

مهندسی اجتماعی شامل چندین شاخه و تکنیک مختلف است که هر کدام به روش‌های خاصی برای فریب و بهره‌برداری از افراد استفاده می‌کنند. مهم‌ترین شاخه‌های مهندسی اجتماعی عبارتند از:

فیشینگ (Phishing):

ارسال ایمیل‌ها یا پیام‌های جعلی که به نظر می‌رسند از منابع معتبر باشند تا افراد را ترغیب به افشای اطلاعات حساس مانند نام کاربری، گذرواژه‌ها یا اطلاعات بانکی کنند.

فیشینگ نیزه‌ای (Spear Phishing):

نوع خاصی از فیشینگ که به طور خاص بر روی یک فرد یا سازمان خاص متمرکز است. این حملات به طور معمول با تحقیق دقیق درباره هدف و ایجاد پیام‌های بسیار سفارشی و متقاعدکننده صورت می‌گیرند.

پیش‌پرداخت یا طعمه‌گذاری (Pretexting):

ایجاد یک سناریوی جعلی برای فریب قربانی به افشای اطلاعات شخصی یا انجام یک عمل خاص. مهاجم ممکن است به عنوان یک فرد معتبر مانند یک مقام دولتی، همکار یا نماینده یک شرکت معتبر ظاهر شود.

بیت‌فیشینگ (Baiting):

استفاده از طعمه‌های فیزیکی یا دیجیتال، مانند USBهای آلوده یا لینک‌های دانلود نرم‌افزارهای جذاب، برای ترغیب قربانی به انجام عملی که منجر به نفوذ مهاجم به سیستم می‌شود.

کوچینگ (Quid Pro Quo):

پیشنهاد یک خدمات یا مزیت در ازای دریافت اطلاعات حساس. به عنوان مثال، مهاجم ممکن است به عنوان یک تکنسین IT ظاهر شود و پیشنهاد حل یک مشکل کامپیوتری را در ازای دریافت گذرواژه‌ها بدهد.

آدم‌پراکنی (Tailgating) یا Piggybacking:

ورود به مناطق محافظت‌شده با همراهی شخص مجاز، بدون داشتن مجوز. مهاجم ممکن است پشت سر فردی که دسترسی دارد وارد شود یا از این فرد بخواهد که در را برای او باز کند.

فارمینگ (Pharming):

هدایت کاربران به وب‌سایت‌های جعلی با تغییرات در سیستم DNS یا نصب نرم‌افزارهای مخرب، به گونه‌ای که کاربران بدون اطلاع خود اطلاعات حساس را در این وب‌سایت‌ها وارد کنند.

هر یک از این شاخه‌ها دارای روش‌ها و تکنیک‌های خاص خود هستند که با بهره‌برداری از اعتماد، جهل یا ناتوانی افراد در تشخیص تهدیدات، به مهاجم کمک می‌کنند تا به اهداف خود دست یابد. آگاهی و آموزش کاربران، همراه با استفاده از راهکارهای فنی امنیتی، از مهم‌ترین روش‌های مقابله با این نوع حملات هستند.

رمزگشایی اجتماعی (Social Engineering Decoding):

تحلیل و بررسی رفتارها و الگوهای ارتباطی افراد برای پیدا کردن نقاط ضعف و بهره‌برداری از آن‌ها. این تکنیک شامل نظارت بر شبکه‌های اجتماعی، ایمیل‌ها و تماس‌ها برای جمع‌آوری اطلاعات است.

اسپوفینگ (Spoofing):

جعل هویت یک منبع معتبر برای فریب قربانی. این تکنیک می‌تواند شامل جعل آدرس ایمیل، شماره تلفن یا وب‌سایت باشد. به عنوان مثال، مهاجم می‌تواند از یک شماره تلفن مشابه با یک سازمان معتبر تماس بگیرد.

عذرخواهی (Apology):

بهره‌برداری از تمایل افراد به پذیرش عذرخواهی‌ها و احساس گناه. مهاجم ممکن است خود را به عنوان فردی که نیاز به کمک دارد معرفی کند و با ابراز پشیمانی و عذرخواهی، اطلاعات حساس را درخواست کند.

تاکتیک‌های اورژانسی (Urgency Tactics):

ایجاد حس فوریت و اضطرار برای ترغیب افراد به اقدام سریع بدون فکر. به عنوان مثال، مهاجم می‌تواند ادعا کند که حساب بانکی قربانی در معرض خطر است و فوراً نیاز به تغییر گذرواژه دارد.

دوستیابی آنلاین (Online Dating Scams):

استفاده از سایت‌ها و اپلیکیشن‌های دوستیابی برای فریب افراد و دریافت اطلاعات شخصی یا مالی. مهاجم معمولاً با ایجاد یک پروفایل جعلی و برقراری ارتباط عاطفی با قربانی، اعتماد او را جلب کرده و سپس از او درخواست کمک مالی می‌کند.

مصاحبه‌های شغلی جعلی (Fake Job Interviews):

ارسال آگهی‌های شغلی جعلی و دعوت افراد به مصاحبه‌های ساختگی برای جمع‌آوری اطلاعات شخصی و حرفه‌ای آن‌ها. مهاجم ممکن است از این اطلاعات برای حملات بعدی یا دزدی هویت استفاده کند.

تکنیک‌های روان‌شناسی معکوس (Reverse Psychology Techniques):

استفاده از روان‌شناسی معکوس برای ترغیب افراد به انجام عملی که در حالت عادی از انجام آن خودداری می‌کنند. به عنوان مثال، مهاجم می‌تواند به طور غیرمستقیم فرد را به اشتراک‌گذاری اطلاعات حساس ترغیب کند.

انسان‌دوستی (Charity Scams):

جعل کمپین‌های خیریه برای جمع‌آوری کمک‌های مالی از افراد. مهاجم با بهره‌برداری از حس انسان‌دوستی و خیرخواهی، افراد را به اهدای پول یا اطلاعات مالی ترغیب می‌کند.


مهندسی اجتماعی در شبکه های مجازی

شبکه‌های اجتماعی مانند تلگرام و اینستاگرام به دلیل دسترسی گسترده و ارتباطات آسان، به بستر مناسبی برای حملات مهندسی اجتماعی تبدیل شده‌اند. مهاجمان از این پلتفرم‌ها برای فریب کاربران و دسترسی به اطلاعات حساس یا انجام فعالیت‌های مخرب استفاده می‌کنند. در ادامه به بررسی برخی از روش‌ها و تکنیک‌های مهندسی اجتماعی در این شبکه‌ها می‌پردازیم:

1. فیشینگ در شبکه‌های اجتماعی

پروفایل‌های جعلی: مهاجمان پروفایل‌های جعلی با هویت‌های معتبر یا جذاب ایجاد می‌کنند تا اعتماد کاربران را جلب کنند. این پروفایل‌ها ممکن است شبیه به دوستان، شخصیت‌های مشهور یا حتی همکاران کاربر باشند.

لینک‌های مخرب: مهاجمان از طریق پیام‌ها، نظرات یا پست‌ها لینک‌های مخرب ارسال می‌کنند که کاربران را به وب‌سایت‌های فیشینگ هدایت می‌کند. این وب‌سایت‌ها طراحی شده‌اند تا شبیه به صفحات ورود معتبر به نظر برسند و اطلاعات ورود کاربر را سرقت کنند.

2. تکنیک‌های فریب در تلگرام

ربات‌های جعلی: مهاجمان ربات‌هایی ایجاد می‌کنند که به نظر می‌رسد خدمات مفیدی ارائه می‌دهند، اما در واقع اطلاعات کاربران را جمع‌آوری می‌کنند. به عنوان مثال، یک ربات ممکن است ادعا کند که می‌تواند وضعیت حساب بانکی را بررسی کند و از کاربران اطلاعات حساس درخواست کند.

گروه‌ها و کانال‌های جعلی: مهاجمان گروه‌ها یا کانال‌های جعلی ایجاد می‌کنند که به نظر می‌رسد منابع معتبر یا انجمن‌های محبوب هستند. آن‌ها از این فضاها برای انتشار اطلاعات نادرست یا فریب کاربران به منظور افشای اطلاعات شخصی استفاده می‌کنند.

3. مهندسی اجتماعی در اینستاگرام

حملات فیشینگ از طریق دایرکت مسیج (DM): مهاجمان پیام‌های دایرکت ارسال می‌کنند که شامل لینک‌های مخرب یا درخواست‌های اطلاعاتی می‌باشد. این پیام‌ها ممکن است به نظر برسد که از طرف دوستان یا حساب‌های معتبر ارسال شده‌اند.

کمپین‌های جعلی: مهاجمان کمپین‌ها و مسابقات جعلی ایجاد می‌کنند که از کاربران می‌خواهند برای شرکت اطلاعات شخصی یا مالی خود را ارائه دهند. این کمپین‌ها معمولاً وعده جوایز بزرگ یا تخفیف‌های ویژه می‌دهند.

4. تکنیک‌های روان‌شناسی معکوس

تاکتیک‌های اورژانسی: مهاجمان پیام‌هایی ارسال می‌کنند که حس فوریت ایجاد می‌کند، مانند ادعای نقض امنیتی در حساب کاربر و نیاز فوری به تغییر گذرواژه.

تأیید هویت دو مرحله‌ای جعلی: مهاجمان از کاربران درخواست می‌کنند کد تأیید هویت دو مرحله‌ای را ارسال کنند، در حالی که به نظر می‌رسد این درخواست از سوی پلتفرم واقعی آمده است.

5. افزایش تعامل با محتوای جعلی

پست‌ها و استوری‌های جذاب: مهاجمان از پست‌ها و استوری‌های جذاب برای جذب کاربران استفاده می‌کنند. این پست‌ها ممکن است شامل لینک‌هایی به وب‌سایت‌های مخرب یا درخواست‌های اطلاعاتی باشند.

تبلیغات جعلی: تبلیغات مخرب که به نظر می‌رسد تخفیف‌های بزرگ یا محصولات رایگان ارائه می‌دهند، کاربران را به صفحات فیشینگ هدایت می‌کنند.


مهم ترین ابزار مهندسی اجتماعی :

مهندسی اجتماعی، به دلیل ماهیت بین رشته‌ای و پیچیده خود، از ابزارها و تکنیک‌های متنوعی برای دستکاری و فریب افراد استفاده می‌کند. در زیر به برخی از مهم‌ترین ابزارهای مهندسی اجتماعی پرداخته شده و هر یک به تفصیل توضیح داده شده‌اند:

1. فیشینگ ایمیل‌ها (Phishing Emails)

فیشینگ ایمیل‌ها یکی از رایج‌ترین و مؤثرترین ابزارهای مهندسی اجتماعی است. در این روش، مهاجم ایمیل‌های جعلی ارسال می‌کند که به نظر می‌رسد از منابع معتبر باشند.

نحوه عملکرد: ایمیل‌های فیشینگ معمولاً حاوی لینک‌های مخرب یا درخواست‌های اطلاعاتی هستند. آن‌ها ممکن است شامل پیام‌هایی با حس فوریت باشند، مانند ادعای نقض امنیتی در حساب کاربر.

مقابله: کاربران باید از منبع ایمیل مطمئن شوند و از کلیک بر روی لینک‌های مشکوک خودداری کنند. استفاده از فیلترهای اسپم و آنتی‌فیشینگ نیز مفید است.

2. وب‌سایت‌های فیشینگ (Phishing Websites)

وب‌سایت‌های فیشینگ به تقلید از وب‌سایت‌های معتبر طراحی می‌شوند تا کاربران را به افشای اطلاعات حساس ترغیب کنند.

نحوه عملکرد: این وب‌سایت‌ها ممکن است از طریق لینک‌های ارسال شده در ایمیل‌ها، پیام‌های شبکه‌های اجتماعی یا تبلیغات جعلی به کاربران معرفی شوند.

مقابله: کاربران باید به آدرس وب‌سایت دقت کنند و از وارد کردن اطلاعات حساس در سایت‌های ناشناخته خودداری کنند. استفاده از افزونه‌های مرورگر که وب‌سایت‌های فیشینگ را تشخیص می‌دهند نیز مؤثر است.

3. پروفایل‌های جعلی (Fake Profiles)

مهاجمان در شبکه‌های اجتماعی پروفایل‌های جعلی ایجاد می‌کنند که به نظر می‌رسد از افراد معتبر یا دوستان کاربر باشند.

نحوه عملکرد: این پروفایل‌ها با کاربران ارتباط برقرار کرده و اعتماد آن‌ها را جلب می‌کنند تا اطلاعات حساس را درخواست کنند.

مقابله: کاربران باید درخواست‌های دوستی یا ارتباط از منابع ناشناخته را با دقت بررسی کرده و به اطلاعات پروفایل دقت کنند.

4. ربات‌های جعلی (Fake Bots)

در پلتفرم‌هایی مانند تلگرام، مهاجمان ربات‌هایی ایجاد می‌کنند که به نظر می‌رسد خدمات مفیدی ارائه می‌دهند اما در واقع برای جمع‌آوری اطلاعات کاربران طراحی شده‌اند.

نحوه عملکرد: این ربات‌ها ممکن است از کاربران اطلاعات ورود یا دیگر اطلاعات حساس را درخواست کنند.

مقابله: کاربران باید از ربات‌های ناشناخته استفاده نکنند و تنظیمات امنیتی پلتفرم‌ها را به دقت بررسی کنند.

5. کلاهبرداری تلفنی (Phone Scams)

مهاجمان با تماس تلفنی، خود را به عنوان نماینده شرکت‌های معتبر معرفی می‌کنند و اطلاعات حساس را درخواست می‌کنند.

نحوه عملکرد: این تماس‌ها معمولاً شامل ادعاهای جعلی مانند مشکلات حساب بانکی یا نیاز به تأیید اطلاعات هستند.

مقابله: کاربران باید هویت تماس‌گیرنده را تأیید کنند و اطلاعات حساس را از طریق تلفن افشا نکنند.


نتیجه‌گیری

مهندسی اجتماعی یک تهدید جدی در زمینه امنیت اطلاعات است که با بهره‌برداری از ضعف‌های انسانی، می‌تواند به خسارات جبران‌ناپذیری منجر شود. با افزایش آگاهی و استفاده از ابزارها و فناوری‌های مناسب، می‌توان به طور مؤثری از این حملات جلوگیری کرد و امنیت اطلاعات را تا حد زیادی تضمین نمود. ایجاد یک فرهنگ امنیتی قوی و آموزش مستمر کاربران نیز از عوامل کلیدی در کاهش موفقیت حملات مهندسی اجتماعی است.

مهندسی اجتماعیهکشبکه های مجازیتلگرامفیشینگ
به نام خدا بنده پیمان هستم و بر حسب علاقه حدودا 3 سال و نیم پیش برنامه نویسی با زبام پایتون را شروع و در حوزه های گرافیکی Tk / ربات نویسی pyrogram / و اسکریپت نویسی فعالیت کردم
شاید از این پست‌ها خوشتان بیاید