مهندسی اجتماعی (Social Engineering) چیست؟


مهندسی اجتماعی هنر فریب دادن کاربران برای به دست آوردن اطلاعات محرمانه آن‌هاست. اطلاعاتی که حمله‌کننده‌ به دنبال آن‌هاست بسیار متنوع می‌تواند باشد ولی عموما سعی می‌کنند رمزهای شما، اطلاعات بانکی‌ و حتی دسترسی به سیستم‌تان را به دست بگیرند.

چرا مهندسی اجتماعی پرکاربرد است؟ به این دلیل که سوءاستفاده از تمایل طبیعی انسان‌ها به اعتماد، آسان‌تر از پیدا کردن راه‌هایی برای هک کردن است. برای مثال، فریب دادن یک شخص برای به دست آوردن پسوردش، آسان‌تر از کرک کردن خود پسورد است مگر این که پسورد خیلی ضعیف باشد.

مهندسان اجتماعی چطور کلاه بر سرمان می‌گذارند؟

· روش اول: دریافت ایمیل از طرف یک "دوست"

اگر حمله‌کننده بتواند رمز ایمیل یک شخص را به هر طریقی بدست آورد، می‌تواند به لیست مخاطبان شخص دسترسی یابد و چون بیشتر اشخاص تنها از یک رمز برای همه‌ی حساب های کاربری خود استفاده می‌کنند، پس حمله‌کننده می‌تواند به مخاطب‌های شخص‌ در سایر رسانه‌های اجتماعی (Social Media) هم دسترسی پیدا کند. پس از این مرحله، هکر که کنترل ایمیل یا سایر شبکه‌های اجتماعی یک فرد را بدست آورده شروع به ارسال پیام به مخاطبان و دوستان فرد آلوده می‌کند.

شما یک ایمیل از طرف "دوست"تان که مورد حمله قرار گرفته، دریافت می‌کنید. این ایمیل می‌تواند شامل یکی از دو مورد زیر باشد:

1) شامل یک لینک، و چون این لینک از طرف "دوست" تان ارسال شده است، به احتمال زیاد روی آن کلیک کرده و به بدافزار آلوده خواهید شد.

۲) شامل دانلود کردن مدیای خاصی همچون عکس، موزیک، فیلم که نرم‌افزار مخربی به آن وصل شده‌است. با دانلود کردن این مدیا شما نیز آلوده خواهید شد و حمله‌کننده با دسترسی به مخاطب‌های شما این حمله را دقیقا بر روی آن‌ها نیز استفاده خواهد کرد.

· روش دوم: استفاده از یک داستان قانع‌کننده مثل:

* تقاضای کمک اضطراری از طرف شما: دوست شما در کشوری غریب مورد حمله قرار گرفته و الان در بیمارستان بستری است. از شما درخواست می‌کند به او پول ارسال کنید تا بتواند به خانه برگردد.
روش دوم مهندسی اجتماعی ارسال یک مشکل یا مسئله‌ توسط یک لینک به شماست. محتویات لینک فرم‌هایی حاوی اطلاعات شخصی و مهم است و شما باید با اطلاعات شخصی خود آن‌ها را تکمیل کنید. لینکی که روی آن کلیک می‌کنید ممکن است خیلی قانونی و سالم به نظر برسد (در واقع حمله کننده‌ها سایت مورد نظر را از لحاظ ظاهر دقیقا کپی کرده‌اند) و چون همه چیز طبیعی به نظر می‌رسد شما احتمالا هر اطلاعاتی که به دنبال آن هستند را در اختیار آن‌ها خواهید گذاشت. این نوع حمله‌ها اکثرا با پیامی همراه هستند که می‌گوید اگر در زمان تعیین شده عمل نکنید چه عواقبی خواهید داشت، این کار را برای این می‌کنند شما بدون فکر کردن عمل کنید.

ممکن است این روش را با یک پیام خوشایند اجرا کنند. برای مثال، پیامی دریافت ‌کنید با این مضمون که "شما در لاتاری برنده شده‌اید" یا یک فامیل دور به تازگی فوت شده و قرار است شما از او ارث ‌ببرید. برای به دست آوردن جایزه یا پول باید اطلاعات بانکی‌تان، آدرس و شماره موبایل‌تان را ایمیل کنید و حتی شاید برای تأیید هویت کارت ملی شما را نیز بخواهند. نتیجه‌ی این کار خالی شدن حساب بانکی‌ و سوءاستفاده از هویت‌تان خواهد بود.

چگونه از این دست حمله‌ها مصون بشویم؟

1. عجله نکنید. حمله‌کننده‌ها می‌خواهند شما اول عمل کنید، بعد فکر کنید! اگر پیامی دریافت کنید که نوعی حالت اظطراری را القا می‌کند، اجازه ندهید که این حالت تأثیری در طرز فکر و عمل شما بگذارد.

2. از کلیک کردن بر روی لینک‌هایی که فرستنده آن‌ها را نمی‌شناسید خودداری کنید. وبسایت مورد نظر را خودتان توسط موتور جستجویی پیدا کنید و از امن بودن آن مطمئن شوید.

3. از هرگونه دانلود کردن احتیاط کنید! اگر فرستنده را شخصاً نمی‌شناسید و انتظار هیچ گونه فایلی از طرف او را ندارید، از دانلود کردن فایل خودداری کنید.

4. تحقیق کنید. درباره هر پیام ناخواسته مشکوک باشید. اگر ایمیلی از طرف یک شرکت یا یک بانک دریافت کردید، مطمئن شوید که ایمیل واقعا از طرف شرکت یا بانک ارسال شده است.

در آخر اگر دوست دارید بیشتر با روش‌های مختلف هکرها آشنا بشوید، من تماشای قسمت 3 از فصل سوم سریال Black Mirror رو به شما توصیه می‌کنم.



منبع:

https://www.webroot.com/us/en/resources/tips-articles/what-is-social-engineering