مهندسی اجتماعی به عنوان یک مفهوم در امنیت اطلاعات و روانشناسی اجتماعی، به فنون و روشهایی اطلاق میشود که با استفاده از ترفندها و فریبها، افراد را به انجام عملی خاص یا افشای اطلاعات حساس ترغیب میکنند. این فنون به طور معمول در حملات سایبری و نفوذ به سیستمهای اطلاعاتی مورد استفاده قرار میگیرند.
در اصل، مهندسی اجتماعی به بهرهبرداری از ضعفهای انسانی میپردازد. این ضعفها میتوانند شامل تمایل به کمک به دیگران، اعتماد بیجا، عدم آگاهی از تهدیدات امنیتی و یا ناتوانی در تشخیص رفتارهای مخرب باشند. مهاجمان با استفاده از این ضعفها، افراد را به انجام اقداماتی مانند افشای گذرواژهها، کلیک روی لینکهای مخرب یا نصب نرمافزارهای مخرب ترغیب میکنند.
یکی از معروفترین انواع حملات مهندسی اجتماعی، حمله فیشینگ (Phishing) است که در آن مهاجم با ارسال ایمیلها یا پیامهای جعلی، افراد را به افشای اطلاعات حساس خود ترغیب میکند. همچنین، حملات مهندسی اجتماعی میتوانند به صورت مستقیم، مانند تقلب تلفنی یا تماسهای فریبنده، یا به صورت غیرمستقیم، مانند ایجاد وبسایتهای جعلی، صورت بگیرند.
به طور کلی، مهندسی اجتماعی به دلیل تعامل مستقیم با عامل انسانی و بهرهبرداری از رفتارها و تصمیمات افراد، یکی از چالشهای بزرگ در زمینه امنیت اطلاعات محسوب میشود. آگاهیبخشی، آموزش و تقویت مهارتهای شناختی افراد در شناسایی تهدیدات مهندسی اجتماعی، از مهمترین راهکارهای مقابله با این نوع حملات است.
مهندسی اجتماعی شامل چندین شاخه و تکنیک مختلف است که هر کدام به روشهای خاصی برای فریب و بهرهبرداری از افراد استفاده میکنند. مهمترین شاخههای مهندسی اجتماعی عبارتند از:
فیشینگ (Phishing):
ارسال ایمیلها یا پیامهای جعلی که به نظر میرسند از منابع معتبر باشند تا افراد را ترغیب به افشای اطلاعات حساس مانند نام کاربری، گذرواژهها یا اطلاعات بانکی کنند.
فیشینگ نیزهای (Spear Phishing):
نوع خاصی از فیشینگ که به طور خاص بر روی یک فرد یا سازمان خاص متمرکز است. این حملات به طور معمول با تحقیق دقیق درباره هدف و ایجاد پیامهای بسیار سفارشی و متقاعدکننده صورت میگیرند.
پیشپرداخت یا طعمهگذاری (Pretexting):
ایجاد یک سناریوی جعلی برای فریب قربانی به افشای اطلاعات شخصی یا انجام یک عمل خاص. مهاجم ممکن است به عنوان یک فرد معتبر مانند یک مقام دولتی، همکار یا نماینده یک شرکت معتبر ظاهر شود.
بیتفیشینگ (Baiting):
استفاده از طعمههای فیزیکی یا دیجیتال، مانند USBهای آلوده یا لینکهای دانلود نرمافزارهای جذاب، برای ترغیب قربانی به انجام عملی که منجر به نفوذ مهاجم به سیستم میشود.
کوچینگ (Quid Pro Quo):
پیشنهاد یک خدمات یا مزیت در ازای دریافت اطلاعات حساس. به عنوان مثال، مهاجم ممکن است به عنوان یک تکنسین IT ظاهر شود و پیشنهاد حل یک مشکل کامپیوتری را در ازای دریافت گذرواژهها بدهد.
آدمپراکنی (Tailgating) یا Piggybacking:
ورود به مناطق محافظتشده با همراهی شخص مجاز، بدون داشتن مجوز. مهاجم ممکن است پشت سر فردی که دسترسی دارد وارد شود یا از این فرد بخواهد که در را برای او باز کند.
فارمینگ (Pharming):
هدایت کاربران به وبسایتهای جعلی با تغییرات در سیستم DNS یا نصب نرمافزارهای مخرب، به گونهای که کاربران بدون اطلاع خود اطلاعات حساس را در این وبسایتها وارد کنند.
هر یک از این شاخهها دارای روشها و تکنیکهای خاص خود هستند که با بهرهبرداری از اعتماد، جهل یا ناتوانی افراد در تشخیص تهدیدات، به مهاجم کمک میکنند تا به اهداف خود دست یابد. آگاهی و آموزش کاربران، همراه با استفاده از راهکارهای فنی امنیتی، از مهمترین روشهای مقابله با این نوع حملات هستند.
رمزگشایی اجتماعی (Social Engineering Decoding):
تحلیل و بررسی رفتارها و الگوهای ارتباطی افراد برای پیدا کردن نقاط ضعف و بهرهبرداری از آنها. این تکنیک شامل نظارت بر شبکههای اجتماعی، ایمیلها و تماسها برای جمعآوری اطلاعات است.
اسپوفینگ (Spoofing):
جعل هویت یک منبع معتبر برای فریب قربانی. این تکنیک میتواند شامل جعل آدرس ایمیل، شماره تلفن یا وبسایت باشد. به عنوان مثال، مهاجم میتواند از یک شماره تلفن مشابه با یک سازمان معتبر تماس بگیرد.
عذرخواهی (Apology):
بهرهبرداری از تمایل افراد به پذیرش عذرخواهیها و احساس گناه. مهاجم ممکن است خود را به عنوان فردی که نیاز به کمک دارد معرفی کند و با ابراز پشیمانی و عذرخواهی، اطلاعات حساس را درخواست کند.
تاکتیکهای اورژانسی (Urgency Tactics):
ایجاد حس فوریت و اضطرار برای ترغیب افراد به اقدام سریع بدون فکر. به عنوان مثال، مهاجم میتواند ادعا کند که حساب بانکی قربانی در معرض خطر است و فوراً نیاز به تغییر گذرواژه دارد.
دوستیابی آنلاین (Online Dating Scams):
استفاده از سایتها و اپلیکیشنهای دوستیابی برای فریب افراد و دریافت اطلاعات شخصی یا مالی. مهاجم معمولاً با ایجاد یک پروفایل جعلی و برقراری ارتباط عاطفی با قربانی، اعتماد او را جلب کرده و سپس از او درخواست کمک مالی میکند.
مصاحبههای شغلی جعلی (Fake Job Interviews):
ارسال آگهیهای شغلی جعلی و دعوت افراد به مصاحبههای ساختگی برای جمعآوری اطلاعات شخصی و حرفهای آنها. مهاجم ممکن است از این اطلاعات برای حملات بعدی یا دزدی هویت استفاده کند.
تکنیکهای روانشناسی معکوس (Reverse Psychology Techniques):
استفاده از روانشناسی معکوس برای ترغیب افراد به انجام عملی که در حالت عادی از انجام آن خودداری میکنند. به عنوان مثال، مهاجم میتواند به طور غیرمستقیم فرد را به اشتراکگذاری اطلاعات حساس ترغیب کند.
انساندوستی (Charity Scams):
جعل کمپینهای خیریه برای جمعآوری کمکهای مالی از افراد. مهاجم با بهرهبرداری از حس انساندوستی و خیرخواهی، افراد را به اهدای پول یا اطلاعات مالی ترغیب میکند.
شبکههای اجتماعی مانند تلگرام و اینستاگرام به دلیل دسترسی گسترده و ارتباطات آسان، به بستر مناسبی برای حملات مهندسی اجتماعی تبدیل شدهاند. مهاجمان از این پلتفرمها برای فریب کاربران و دسترسی به اطلاعات حساس یا انجام فعالیتهای مخرب استفاده میکنند. در ادامه به بررسی برخی از روشها و تکنیکهای مهندسی اجتماعی در این شبکهها میپردازیم:
1. فیشینگ در شبکههای اجتماعی
پروفایلهای جعلی: مهاجمان پروفایلهای جعلی با هویتهای معتبر یا جذاب ایجاد میکنند تا اعتماد کاربران را جلب کنند. این پروفایلها ممکن است شبیه به دوستان، شخصیتهای مشهور یا حتی همکاران کاربر باشند.
لینکهای مخرب: مهاجمان از طریق پیامها، نظرات یا پستها لینکهای مخرب ارسال میکنند که کاربران را به وبسایتهای فیشینگ هدایت میکند. این وبسایتها طراحی شدهاند تا شبیه به صفحات ورود معتبر به نظر برسند و اطلاعات ورود کاربر را سرقت کنند.
2. تکنیکهای فریب در تلگرام
رباتهای جعلی: مهاجمان رباتهایی ایجاد میکنند که به نظر میرسد خدمات مفیدی ارائه میدهند، اما در واقع اطلاعات کاربران را جمعآوری میکنند. به عنوان مثال، یک ربات ممکن است ادعا کند که میتواند وضعیت حساب بانکی را بررسی کند و از کاربران اطلاعات حساس درخواست کند.
گروهها و کانالهای جعلی: مهاجمان گروهها یا کانالهای جعلی ایجاد میکنند که به نظر میرسد منابع معتبر یا انجمنهای محبوب هستند. آنها از این فضاها برای انتشار اطلاعات نادرست یا فریب کاربران به منظور افشای اطلاعات شخصی استفاده میکنند.
3. مهندسی اجتماعی در اینستاگرام
حملات فیشینگ از طریق دایرکت مسیج (DM): مهاجمان پیامهای دایرکت ارسال میکنند که شامل لینکهای مخرب یا درخواستهای اطلاعاتی میباشد. این پیامها ممکن است به نظر برسد که از طرف دوستان یا حسابهای معتبر ارسال شدهاند.
کمپینهای جعلی: مهاجمان کمپینها و مسابقات جعلی ایجاد میکنند که از کاربران میخواهند برای شرکت اطلاعات شخصی یا مالی خود را ارائه دهند. این کمپینها معمولاً وعده جوایز بزرگ یا تخفیفهای ویژه میدهند.
4. تکنیکهای روانشناسی معکوس
تاکتیکهای اورژانسی: مهاجمان پیامهایی ارسال میکنند که حس فوریت ایجاد میکند، مانند ادعای نقض امنیتی در حساب کاربر و نیاز فوری به تغییر گذرواژه.
تأیید هویت دو مرحلهای جعلی: مهاجمان از کاربران درخواست میکنند کد تأیید هویت دو مرحلهای را ارسال کنند، در حالی که به نظر میرسد این درخواست از سوی پلتفرم واقعی آمده است.
5. افزایش تعامل با محتوای جعلی
پستها و استوریهای جذاب: مهاجمان از پستها و استوریهای جذاب برای جذب کاربران استفاده میکنند. این پستها ممکن است شامل لینکهایی به وبسایتهای مخرب یا درخواستهای اطلاعاتی باشند.
تبلیغات جعلی: تبلیغات مخرب که به نظر میرسد تخفیفهای بزرگ یا محصولات رایگان ارائه میدهند، کاربران را به صفحات فیشینگ هدایت میکنند.
مهندسی اجتماعی، به دلیل ماهیت بین رشتهای و پیچیده خود، از ابزارها و تکنیکهای متنوعی برای دستکاری و فریب افراد استفاده میکند. در زیر به برخی از مهمترین ابزارهای مهندسی اجتماعی پرداخته شده و هر یک به تفصیل توضیح داده شدهاند:
1. فیشینگ ایمیلها (Phishing Emails)
فیشینگ ایمیلها یکی از رایجترین و مؤثرترین ابزارهای مهندسی اجتماعی است. در این روش، مهاجم ایمیلهای جعلی ارسال میکند که به نظر میرسد از منابع معتبر باشند.
نحوه عملکرد: ایمیلهای فیشینگ معمولاً حاوی لینکهای مخرب یا درخواستهای اطلاعاتی هستند. آنها ممکن است شامل پیامهایی با حس فوریت باشند، مانند ادعای نقض امنیتی در حساب کاربر.
مقابله: کاربران باید از منبع ایمیل مطمئن شوند و از کلیک بر روی لینکهای مشکوک خودداری کنند. استفاده از فیلترهای اسپم و آنتیفیشینگ نیز مفید است.
2. وبسایتهای فیشینگ (Phishing Websites)
وبسایتهای فیشینگ به تقلید از وبسایتهای معتبر طراحی میشوند تا کاربران را به افشای اطلاعات حساس ترغیب کنند.
نحوه عملکرد: این وبسایتها ممکن است از طریق لینکهای ارسال شده در ایمیلها، پیامهای شبکههای اجتماعی یا تبلیغات جعلی به کاربران معرفی شوند.
مقابله: کاربران باید به آدرس وبسایت دقت کنند و از وارد کردن اطلاعات حساس در سایتهای ناشناخته خودداری کنند. استفاده از افزونههای مرورگر که وبسایتهای فیشینگ را تشخیص میدهند نیز مؤثر است.
3. پروفایلهای جعلی (Fake Profiles)
مهاجمان در شبکههای اجتماعی پروفایلهای جعلی ایجاد میکنند که به نظر میرسد از افراد معتبر یا دوستان کاربر باشند.
نحوه عملکرد: این پروفایلها با کاربران ارتباط برقرار کرده و اعتماد آنها را جلب میکنند تا اطلاعات حساس را درخواست کنند.
مقابله: کاربران باید درخواستهای دوستی یا ارتباط از منابع ناشناخته را با دقت بررسی کرده و به اطلاعات پروفایل دقت کنند.
4. رباتهای جعلی (Fake Bots)
در پلتفرمهایی مانند تلگرام، مهاجمان رباتهایی ایجاد میکنند که به نظر میرسد خدمات مفیدی ارائه میدهند اما در واقع برای جمعآوری اطلاعات کاربران طراحی شدهاند.
نحوه عملکرد: این رباتها ممکن است از کاربران اطلاعات ورود یا دیگر اطلاعات حساس را درخواست کنند.
مقابله: کاربران باید از رباتهای ناشناخته استفاده نکنند و تنظیمات امنیتی پلتفرمها را به دقت بررسی کنند.
5. کلاهبرداری تلفنی (Phone Scams)
مهاجمان با تماس تلفنی، خود را به عنوان نماینده شرکتهای معتبر معرفی میکنند و اطلاعات حساس را درخواست میکنند.
نحوه عملکرد: این تماسها معمولاً شامل ادعاهای جعلی مانند مشکلات حساب بانکی یا نیاز به تأیید اطلاعات هستند.
مقابله: کاربران باید هویت تماسگیرنده را تأیید کنند و اطلاعات حساس را از طریق تلفن افشا نکنند.
نتیجهگیری
مهندسی اجتماعی یک تهدید جدی در زمینه امنیت اطلاعات است که با بهرهبرداری از ضعفهای انسانی، میتواند به خسارات جبرانناپذیری منجر شود. با افزایش آگاهی و استفاده از ابزارها و فناوریهای مناسب، میتوان به طور مؤثری از این حملات جلوگیری کرد و امنیت اطلاعات را تا حد زیادی تضمین نمود. ایجاد یک فرهنگ امنیتی قوی و آموزش مستمر کاربران نیز از عوامل کلیدی در کاهش موفقیت حملات مهندسی اجتماعی است.
