مهندسی اجتماعی (Social Engineering)- شروع کار!

مدتی هست دارم به این فکر می کنم که چه کاری میشه کرد؟ برای خودم، دیگران، کشورم و انسانیت. تصمیم گرفتم آموزش هایی رو شروع کنم به ضبط کردن و نوشتن که سطح آگاهی عموم مردم رو ببرم بالا. قطعا وقتی دانش عموم مردم بره بالا کشور بهتری خواهیم داشت، زندگی بهتری هم خواهیم داشت. فرقی نمی کنه در چه حکومت یا کشوری زندگی کنیم. مهم اینه که خوب زندگی کنیم. یک اکانت در یوتیوب دیدم یک آقایی شروع کرده بود آموزش های خیلی پیش پا افتاده گذاشته بود برای افرادی که تنها هستند یا پدر و مادرشون فوت شده. فوق العاده بود این که وقت بذاری برای افرادی خیلی به کمک نیاز دارند. آموزش هایی مثل درست کردن شیر دستشویی که قطعا برای دختری که تنها باشه و یا پدر نداشته باشه کار سختیه. آموزش هایی که می ذارم که در یوتیوب چه در اینستاگرام و چه در ویرگولم، برای افرادی با دانش صفر درباره موضوعات روز دنیا و برای افرادی که کمی یا حتی خیلی می دونند درباره موضوعات روز دنیا. اگر بخوام مثال بزنم، استاد دانشگاهی که بلد نباشه با ChatGPT یا Deepseek کارکنه خیلی بعید هستش که بره از یکی از دانشجو هاش بپرسه. علاوه بر اون متاسفانه اکثر اساتید دانشگاه های خوب کشور که خودم در دوتاش تحصیل کردم (علم و صنعت - دانشگاه تهران) خیلی توانایی آموزش دیدن در حوزه های بروز رو ندارند باید کوتاه و خلاصه آموزش ببینند. از نظر خودم کشوری آباد نمیشه مگر نیروی انسانی توانمند و آموزش دیده داشته باشه.

مقدمه مهندسی اجتماعی (Social Engineering)

مهندسی اجتماعی هنر فریب، تهدیدی پنهان در دنیای دیجیتال است. این مهم ترین علمی هست که همه مردم باید دربارش حداقل ها رو بدونن.

🔐 آیا تا به حال کسی با یک تماس ساده یا پیامک جعلی اطلاعات شخصی‌ات را گرفته؟
اگر جواب بله است، احتمالاً طعمه‌ی یک حمله مهندسی اجتماعی شده‌ای!

مهندسی اجتماعی، در دنیای امنیت سایبری، به استفاده از فریب روان‌شناختی برای دسترسی غیرمجاز به اطلاعات یا سیستم‌ها گفته می‌شود.
در واقع، مهاجم به‌جای هک کردن سیستم، انسان را هک می‌کند!

فردی با شماره‌ی ناشناس تماس می‌گیرد و می‌گوید از بانک است. با لحنی مطمئن از شما شماره کارت، رمز دوم یا کد پیامک را می‌خواهد. اگر گول بخورید، پول‌تان در عرض چند ثانیه نابود می‌شود! این کار در گذشته خیلی سخت تر بود، چرا؟؟ چون قبلا این قدر اطلاعات از مردم ایران در اینترنت نبود. به خاطر حمله های سایبری که به زیرساخت های کشور شده (بانک، اپراتور، سازمان سنجش، قلمچی و ...) اطلاعات خیلی دقیقی از من و شما در دسترس هستش. قبلا فرد زنگ میزد می گفت من از بانکم یا از فلان مسابقه هستم و اطلاعات از شما می گرفت. همون موقع عده ای گول می خوردن. الان فرد زنگ میزنه میگه آقای مجنون؟ آقای علی مجنون؟ رتبه کنکورت این بوده، فلان دانشگاه ها درس خوندی، خونتون اینجاست، کد پستی تون اینه، کد ملیت اینه، اسم پدر، مادر و کد ملی اون ها رو هم میگه. بخوام بنویسم چیا میتوهه بگه خودش یه مقالست. وقتی این قدر از شما می دونه شما احتمالا اعتماد می کنی و تمام.

انواع رایج حملات مهندسی اجتماعی:

  • فیشینگ (Phishing):

    در این نوع حمله، مهاجم با ارسال ایمیل‌ها یا پیام‌های متنی وانمود می‌کند که از طرف یک سازمان معتبر یا شخص مورد اعتماد است تا قربانی را فریب دهد و اطلاعات حساس (مانند نام کاربری، رمز عبور، اطلاعات کارت اعتباری) را فاش کند. 

  • طعمه‌گذاری (Baiting):

    در این روش، مهاجم با ارائه یک جذابیت (مانند یک هدیه رایگان یا یک فایل جذاب) قربانی را ترغیب می‌کند تا یک بدافزار را دانلود یا نصب کند. 

  • جعل هویت (Pretexting):

    در این نوع حمله، مهاجم با ایجاد یک هویت جعلی و متقاعد کردن قربانی به اینکه یک شخص مورد اعتماد است، اطلاعات حساس را به دست می‌آورد. 

  • دنباله‌روی (Tailgating):

    در این روش فیزیکی، مهاجم با دنبال کردن فردی که به طور قانونی وارد یک منطقه امن می‌شود، بدون داشتن مجوز وارد آن منطقه می‌شود. 

  • کلاهبرداری نیجریه‌ای (Nigerian Scam):

    این نوع حمله که به کلاهبرداری ۴۱۹ نیز معروف است، قربانی را فریب می‌دهد تا اطلاعات بانکی یا مبالغی را برای کمک به انتقال پول به خارج از کشور به او بدهد، در حالی که در واقعیت هیچ پولی منتقل نمی‌شود. 

  • فیشینگ با نیزه (Spear phishing):

    این نوع فیشینگ، یک حمله هدفمند است که مهاجم اطلاعات شخصی قربانی را جمع‌آوری می‌کند تا ایمیل یا پیام فیشینگ را برای او شخصی‌سازی کند. 

چرا مهندسی اجتماعی مؤثر است؟

  • انسان‌ها کنجکاوند

  • میل به کمک دارند

  • عجله می‌کنند

  • از منابع رسمی و آشنا سوءاستفاده می‌شود

چطور از خودمان محافظت کنیم؟

  • شک کن! هر ایمیل، تماس یا پیام ناگهانی را به دیده تردید نگاه کن.

  • تأیید دو مرحله‌ای (2FA) فعال کن.

  • اطلاعات شخصی را تلفنی یا پیامکی نده.

  • لینک‌ها را بررسی کن. روی لینک‌های مشکوک کلیک نکن.

  • آموزش ببین. خودت و اطرافیانت را با این روش‌ها آشنا کن.

مهندسی اجتماعی یکی از خطرناک‌ترین روش‌های حمله‌ی سایبری است، زیرا ضعیف‌ترین حلقه امنیتی را هدف می‌گیرد: خود انسان!

در دنیای دیجیتال امروز، آگاهی، مهم‌ترین دیوار دفاعی توست.

حملات سایبری تأییدشده به جمهوری اسلامی ایران در ۴۰ سال گذشته

🗓️ 1. سال ۲۰۱۰ – کرم استاکس‌نت (Stuxnet)

  • گروه هکری: نسبت داده به موساد و سیا

  • هدف: تأسیسات هسته‌ای نطنز

  • روش: بدافزار صنعتی منتقل‌شده از طریق USB

  • توضیح: این ویروس با هدف تخریب سانتریفیوژها طراحی شد و تأثیر قابل‌توجهی بر برنامه غنی‌سازی اورانیوم داشت؛ تهران نیز وقوع آن را تأیید کرد Deutsche Welle+10Eghtesad Online+10SNN+10مشرق نیوز+9Kayhan+9fa.wikipedia.org+9icdt.ir.

🗓️ 2. سال ۲۰۱۱ – ویروس Stars

  • گروه هکری: نامشخص

  • هدف: سیستم‌های دولتی ایران

  • روش: بدافزار با ظاهر رسمی

  • توضیح: این بدافزار شبیه فایل‌های دولتی طراحی شده بود، اما مرکز ماهر آن را شناسایی و خنثی کرد.

🗓️ 3. اردیبهشت ۱۳۹۱ (می ۲۰۱۲) – حمله وزیر نفت

  • گروه هکری: نامشخص

  • هدف: شبکه وزارت نفت و شرکت ملی نفت

  • روش: نفوذ با بدافزار، حذف تنظیمات و اختلال در سرورها

  • توضیح: بدافزار باعث قطع اینترنت و اختلال در سیستم‌های مخابراتی شد، اما وزیر نفت اعلام کرد اطلاعات طبقه‌بندی‌شده امن مانده است

🗓️ ۴. خرداد ۱۳۹۱ – ویروس Flame

  • گروه هکری: نامشخص (احتمالاً با حمایت دولتی)

  • هدف: سامانه‌های دولتی و نفت

  • روش: بدافزار جاسوسی بسیار پیچیده

  • توضیح: Flame بسیار پیشرفته‌تر از استاکس‌نت بود؛ وزیر ارتباطات گفت هیچ آسیب‌جدی وارد نشده است

🗓️ ۵. فروردین ۱۳۹۷ – حمله به روترهای سیسکو

  • گروه هکری: نامشخص (با پیام پرچم آمریکا)

  • هدف: دیتاسنترها و تجهیزات شبکه

  • روش: نفوذ به تنظیمات روترها

  • توضیح: صدها روتر مورد تأثیر قرار گرفتند و پیام اعتراضی درج شد؛ بیش از ۹۵٪ آسیب‌ها بلافاصله رفع شد

🗓️ ۶. اردیبهشت ۱۳۹۹ – حمله به بندر شهید رجایی

  • گروه هکری: احتمالاً اسرائیل

  • هدف: سیستم‌های کنترل بندرعباس

  • روش: نفوذ دیجیتال به سیستم‌های بندری

  • توضیح: اختلالات موقتی در شبکه بندر رخ داد، اما عملیات تخلیه و بارگیری ادامه یافت

🗓️ ۷. تیر ۱۴۰۰ – حمله به سامانه راه‌آهن

  • گروه هکری: احتمالاً Indra

  • هدف: سامانه‌های کامپیوتری و تابلوهای اطلاع‌رسانی

  • روش: نفوذ و اخلال در سیستم‌ها

  • توضیح: با تاخیر یا لغو صدها قطار، اختلال در سایت فروش بلیت و نمایش پیام سیاسی روی تابلوها گزارش شد

🗓️ ۸. آبان ۱۴۰۰ – حمله گنجشک درنده به سامانه سوخت

  • گروه هکری: گنجشک درنده

  • هدف: شبکه هوشمند کارت سوخت

  • روش: بدافزار و از کارانداختن سامانه

  • توضیح: عرضه بنزین یارانه‌ای مختل شد و پیام‌های معترض روی تابلوها ظاهر شد؛ گروه مسئولیت را پذیرفت

🗓️ ۹. خرداد ۱۴۰۱ – حمله قیام تا سرنگونی به شهرداری تهران

  • گروه هکری: قیام تا سرنگونی (منتسب به منافقین)

  • هدف: سامانه‌های شهرداری و «تهران من»

  • روش: نفوذ و قطع خدمات

  • توضیح: سایت‌ها و خدمات آنلاین چند روز قطع شد؛ شورای شهر وقوع حمله را تأیید کرد

🗓️ ۱۰. مهر ۱۴۰۱ – حمله Black Reward به سازمان انرژی اتمی

  • گروه هکری: Black Reward

  • هدف: سرور ایمیل سازمان انرژی اتمی

  • روش: نفوذ و سرقت داده

  • توضیح: حدود ۵۰ گیگابایت از اسناد و مکاتبات فنی منتشر شد؛ سازمان انرژی اتمی وقوع نفوذ را تأیید کرد

🗓️ 11. شهریور ۱۴۰۱ (سپتامبر 2022) – تأخیر در اعلام نتایج کنکور سراسری

  • گزارش رسمی:
    در تاریخ ۲۸ شهریور ۱۴۰۱، خبرگزاری فارس و تسنیم اعلام کردند که سامانه‌های سازمان سنجش هدف حمله سایبری قرار گرفته‌اند.

🗓️ 12.خرداد ۱۴۰۲ (ژوئن 2023) – ادعای هک و انتشار داده‌ها

  • ادعا:
    گروه ناشناس در شبکه‌های اجتماعی ادعا کرد که اطلاعات ثبت‌نام‌کنندگان کنکور از جمله کد ملی، شماره داوطلبی، آدرس و عکس داوطلبان را منتشر کرده است.

    رفرنس:

    ایسنا - پاسخ سازمان سنجش به ادعای هک

هیچ سیتمی امن نیست پس نمیشه جلوی هک شدن رو گرفت، ولی این که برای بعدش آماده باشی مهمه.

ممنون میشم نظرتون یا تجربه ای اگر داشتین یا شنیدین برام بنویسین.

مهندسی اجتماعی (Social Engineering)- شروع کار!
مهندسی اجتماعی (Social Engineering)- شروع کار!

امنیت سایبری‌ات رو از همین امروز جدی بگیر!

در دنیایی که هر روز هدف حملات سایبری هستیم، آگاهی تنها سلاح ماست. این مقاله، حملات واقعی سایبری به ایران رو بررسی کرده. بخون و از اطلاعاتت محافظت کن.

دنبال کردن من