مهندسی اجتماعی چیه؟ هک به سبک مهندسی اجتماعی( از اسب تروا تا فیشینگ)

هک بدون کدنویسی؟! خوش اومدی به دنیای مهندسی اجتماعی

حتماً وقتی اسم "هک" میاد، یاد یکی میفتی که پشت چندتا مانیتور نشسته، صفحه‌کلید رو با سرعت نور میزنه، و داره با یه سری کد عجیب غریب وارد یه سیستم فوق‌محرمانه میشه. ولی بذار یه چیزی رو بهت بگم: خیلی از هکرها اصلاً لازم نیست حتی یه خط کد بزنن! اینجاست که می‌رسیم به یه چیز جذاب (و البته خطرناک) به اسم "مهندسی اجتماعی" یا همون Social Engineering. تو این پست قراره با هم ببینیم مهندسی اجتماعی چیه، هکرا چجوری باهاش دل می‌برن و اطلاعات می‌دزدن، و چندتا از معروف‌ترین حملات این سبک رو بررسی کنیم.آخر سر هم برسیم به داستان اسب تروجان و تحلیلش کنیم.

مهندسی اجتماعی چیه اصلاً؟

مهندسی اجتماعی یعنی اینکه به‌جای اینکه یه سیستم رو از نظر فنی هک کنی، بری سراغ نقطه‌ضعف اصلی‌تر یعنی آدم‌ها. واقعیت تلخ اینه که ضعیف‌ترین حلقه امنیتی تو هر سیستمی، خود انسانه. یعنی هکرا میان با ترفندهای روانشناسی، زرنگ‌بازی، یا حتی مهربونی (!) کاری می‌کنن که خودت اطلاعاتت رو دو دستی تقدیمشون کنی، بدون اینکه حتی بفهمی داری این کارو می‌کنی.

مثلاً چی؟ یکی میاد باهات تماس می‌گیره، میگه از بانک زنگ زده و باید رمزتو چک کنه. یه ایمیل قشنگ و حرفه‌ای برات میاد که مثلاً از طرف شرکته و میگه "روی این لینک کلیک کن". یا حتی یکی توی شرکتت میاد سر صحبت رو باز می‌کنه و یه‌جوری سوال می‌پرسه که بفهمه سیستم ورودتون چجوریه. همه اینا مصداق مهندسی اجتماعیه.

حملات هکری چجوریه ؟ شناخت انواع حملات هکری معروف

حالا هکرا چجوری ازش استفاده می‌کنن؟

هکرا عاشق مهندسی اجتماعی‌ان چون:

نیازی به تخصص فنی بالا نداره.
ردیابی‌ش خیلی سخت‌تره.
با کمترین تلاش، بیشترین اطلاعات رو می‌گیرن.

مثلاً یه هکر به‌جای اینکه پسوردت رو بشکنه، یه فرم جعلی برات می‌فرسته که خودت بری پسوردتو اونجا وارد کنی. یا خودش رو جا می‌زنه به‌عنوان یه کارمند آی‌تی، ازت می‌خواد برای "بررسی امنیت" رمزتو بفرستی.

انواع حملات معروف مهندسی اجتماعی

۱. فیشینگ (Phishing) : احتمالاً معروف‌ترین نوعشه. معمولاً یه ایمیل یا پیام جعلیه که می‌گه "اکانتت مشکل پیدا کرده"، "تو قرعه‌کشی برنده شدی"، یا یه چیز وسوسه‌انگیز دیگه. بعدش ازت می‌خواد وارد یه سایت بشی که کلاً قلابیه و فقط ساخته شده برای دزدیدن اطلاعاتت. نسخه‌های خاص‌ترش: Spear Phishing: حمله به یه شخص خاص با اطلاعات شخصی‌تر. Whaling: مخصوص شکار مدیرای رده‌بالا.
۲. Pretexting (زمینه‌سازی) : طرف با یه داستان ساختگی میاد جلو، مثل اینکه "من از بخش منابع انسانیم، لازمه یه سری اطلاعات رو بررسی کنیم". هدفش اینه که حس اعتماد ایجاد کنه تا راحت‌تر ازت اطلاعات بگیره.
۳. Baiting (طعمه گذاشتن) : یه فلش مموری رو جا می‌ذارن تو آسانسور یا لابی شرکت، روش هم یه چیز جذاب مثل "لیست حقوق مهرماه" نوشته شده. تو هم وسوسه می‌شی بزنی به سیستم… بوم! ویروس اجرا میشه.
۴. Tailgating (دنباله‌روی) : طرف بدون کارت ورود می‌ره پشت سرت وارد شرکت میشه، چون درو براش نگه‌داشتی. خیلی ساده، ولی همین می‌تونه شروع یه حمله باشه.
۵. Quid Pro Quo (چیزی در ازای چیزی) : مثلاً زنگ می‌زنن و می‌گن "ما از تیم پشتیبانی نرم‌افزار فلان هستیم. یه باگ امنیتی جدی هست، بیاین راهنمایی‌تون کنیم". تو هم همکاری می‌کنی و دسترسی می‌دی، در حالی که داری در رو برای هکر باز می‌کنی.

بدافزار چیه؟چرا باید ازش بترسیم؟انواع بدافزار های خطرناک

چطوری گول نخوریم؟

هیچ بانکی ازت رمز عبور نمی‌خواد، نه تلفنی، نه ایمیلی، نه حضوری.
به هر ایمیلی یا لینکی اعتماد نکن. آدرس دامنه رو با دقت نگاه کن.
تخفیف ها و گزارش هارو به جای چک کردن از لینک مستقیم از سایت اصلی ببین
حواست باشه با کی داری حرف می‌زنی. اگه کسی گفت از شرکت یا بانک خاصیه، ازش بخواه خودش رو دقیق‌تر معرفی کنه.(حتی اونموقع هم نمیشه اعتماد کرد)
رمز عبورات رو هیچ‌وقت و به هیچ‌کس نده، حتی اگه گفتن از آی‌تی هستن.

🐎 ...اگه به داستان علاقه نداری میتونی نخونی ولی درس قشنگی توشه...🐎

داستان اسب تروجان؛ معروف ترین حمله مهندسی اجتماعی تاریخ؟!

بذار یه کم فلش‌بک بزنیم به گذشته، خیلی گذشته! زمانی که نه اینترنتی بود، نه هکری، نه ایمیلی برای فیشینگ. اما هنوز هم مهندسی اجتماعی وجود داشت، البته توی یه قالب کلاسیک و افسانه‌ای. ماجرا برمی‌گرده به جنگ تروا؛ یونانی‌ها و تروایی‌ها سال‌ها با هم درگیر بودن و هیچ‌کدوم نتونسته بودن برنده این جنگ لعنتی بشن. دیوارهای شهر تروا انقدر محکم و بلند بود که هیچ‌کس نمی‌تونست واردش بشه. اما یونانی‌ها یه نقشه کشیدن... نقشه‌ای که بیشتر از شمشیر، به روانشناسی و فریب مربوط می‌شد.

نقشه چی بود؟ یونانی‌ها وانمود کردن که از جنگ خسته شدن و کشتی‌هاشونو جمع کردن و رفتن. ولی قبل رفتن، یه هدیه عجیب گذاشتن جلوی دروازه شهر: یه اسب چوبی غول‌پیکر. تروایی‌ها اولش شک داشتن، ولی کم‌کم بینشون دو دسته شکل گرفت: یه عده گفتن "این یه تله‌س، لمسش نکنیم"، یه عده دیگه گفتن "این یه هدیه‌ست برای خدایان، اگه نیاریمش تو ممکنه باعث خشمشون شه!" آخر سر، غرور و کنجکاوی کار خودشو کرد. دروازه‌ها باز شد، اسبو آوردن تو شهر، جشن گرفتن و خوابیدن. اما داخل اسب؟ چندتا سرباز یونانی قایم شده بودن. شب که شد، سربازها از اسب بیرون اومدن، دروازه رو از داخل باز کردن و بقیه ارتش یونان که قایم شده بودن، وارد شهر شدن و تروا سقوط کرد.

خب حالا مهندسی اجتماعی کجای این ماجرا بود؟

این داستان واقعاً یه نمونه ناب از حمله مهندسی اجتماعیه. چرا؟

فریب و ایجاد اعتماد: یونانی‌ها تظاهر کردن که جنگ رو باختن و دارن عقب‌نشینی می‌کنن. این خودش باعث شد حس امنیت کاذب تو تروایی‌ها ایجاد بشه.
بازی با احساسات: روی اعتقادات مذهبی مردم تروا بازی شد؛ با این ذهنیت که "این هدیه برای خدایان ماست، اگه نخوایم بی‌احترامی میشه".
تکنیک طعمه (Baiting): اسب چوبی دقیقاً مثل یه فلش مموری افتاده جلوی در ورودی بود! یه چیز عجیب، وسوسه‌انگیز و مشکوک که مردم نتونستن در برابرش مقاومت کنن.
اعتماد بیش از حد به محیط داخلی: تروایی‌ها وقتی اسب رو آوردن داخل شهر، دیگه امنیت رو تمام‌شده فرض کردن. مثل وقتی که ما یه فایل ناشناس رو باز می‌کنیم و فکر می‌کنیم چون تو لپ‌تاپ خودمونه، امنه.

اگه قراره از این داستان چیزی یاد بگیریم، اینه که:

> همیشه لازم نیست قوی‌ترین دیوارها رو بشکنی، فقط کافیه آدمای پشت اون دیوار رو فریب بدی.

هکرای امروزی هم همین کارو می‌کنن؛ یه ظاهر قشنگ، یه داستان قابل باور، و کمی مهارت تو رفتارشناسی. همینا کافیه که وارد سیستم‌ها، ذهن‌ها و حتی زندگی آدما بشن… درست مثل اسب تروا!

مهندسی اجتماعی یه نوع هک روانیه. توش بیشتر از کد، از رفتار و احساسات آدما استفاده میشه. هکرا هم به‌خوبی می‌دونن چجوری بازی کنن با اعتماد ما. پس بهتره به‌جای اعتماد بی‌جا، همیشه یه ذره شک‌ داشته باشیم و حواسمون جمع باشه.

اگر تجربه‌ای از این حمله‌ها داشتی یا شنیدی، حتماً تو کامنتا بنویس، شاید کمک کنه یکی دیگه گول نخوره.👇

پیج ما در اینستاگرام -> erffan.yavari