حملات مهندسی اجتماعی اصطلاحی است که برای طیف گسترده ای از فعالیت های مخرب حاصل از تعاملات انسانی به کار می رود. به عبارت دیگر، فرد مهاجم در این روش، با استفاده از فریب روانشناسی، قربانی را مجبور به ارتکاب اشتباهات امنیتی و ارائه ی اطلاعات مهم می نماید.

به طور معمول، حملات مهندسی اجتماعی در یک یا چند مرحله رخ می دهد. ابتدا مهاجم، تحقیقات لازم را در مورد قربانی انجام داده تا اطلاعاتی مانند “راه های احتمالی ورود به سیستم” و “پروتکل های ضعیف امنیتی” در مورد وی به دست بیاورد. سپس مهاجم اقدام به جلب اعتماد قربانی نموده و محرک هایی جهت مراحل بعدی و نقض داده ها، ایجاد می نماید مانند افشای اطلاعات مهم یا دستیابی به منابع اطلاعات مهم.

آن چه که حملات مهندسی اجتماعی را خطرناک می سازد این است که به جای آسیب پذیری در نرم افزار یا سیستم عامل، به خطای انسانی متکی است. به طور معمول، ارتکاب اشتباهات توسط کاربران قانونی، قابل پیش بینی نمی باشد. در ضمن شناسایی و خنثی سازی آن ها در مقایسه با حمله ی مبتنی بر بدافزار دشوارتر است.

تکنیک های حمله مهندسی اجتماعی

حملات مهندسی اجتماعی در اشکال مختلفی وجود دارند و در هر مکانی که تعامل انسانی دخیل باشد، رخ می دهند. پنج مدل رایج حملات مهندسی اجتماعی دیجیتالی به قرار زیر هستند:

• Baiting

همان طور که از نامش پیداست، حملات baiting (طعمه گذاری) از یک عامل تحریک کننده، برای کنجکاوی قربانی استفاده می کنند. در این روش مهاجم، کاربر را به طرفی سوق می دهد که اطلاعات شخصی وی را به سرقت ببرد یا سیستم آن را به بدافزار آلوده کند.

بدترین نوع حمله baiting، استفاده از رسانه های فیزیکی جهت پراکنده کردن بدافزار می باشد. به عنوان مثال مهاجم، یک سخت افزار آلوده به بدافزار مانند درایو فلش را در مکان هایی که احتمال دیدن آن توسط قربانی زیاد است، قرار می دهد، مانند پارکینگ یا آسانسور شرکت. این طعمه، ظاهری بسیار فریبنده دارد، مثلا روی آن نوشته لیست حقوق و دستمزد کارکنان شرکت. قربانی آن را از روی کنجکاوی برداشته و به سیستم خانه یا محل کار خود می زند و بدافزار اتوماتیک، شروع به نصب بر روی سیستم می گردد.

حمله از طریق طعمه گذاری (baiting ) لزوما در دنیای فیزیکی رخ نمی دهد. بلکه به شکل آنلاین نیز ممکن است اتفاق بیفتد. در این صورت به شکل تبلیغات فریبنده ای است که منجر به ایجاد سایت های مخرب می گردد و یا کاربران را به دانلود یک برنامه ی آلوده به بدافزار تشویق می کند.

• Scareware

در این روش از ترساندن قربانی استفاده می شود. مهاجم شروع به هشدارهای دروغین و تهدیدات ساختگی می نماید تا قربانی تصور کند که سیستم به بدافزار آلوده شده است. در نتیجه، قربانی را مجبور به نصب نرم افزار مورد نظر خود و یا بدافزار می کند.

یکی از متداول ترین مثال های scareware، باز شدن پاپ آپ هایی با ظاهر قانونی و با محتوای “هشدار در مورد آلوده شدن سیستم” است که در مرورگر ظاهر می گردند. در این حالت، قربانی را به نصب نرم افزاری جهت محافظت از برنامه های خود تشویق می کنند که یا حاوی بدافزار است و یا وی را به سایتی مخرب هدایت می کند.

scareware گاهی از طریق spam email توزیع می گردد و گاهی نیز به کاربران پیشنهاد خرید خدمات مفیدی را ارائه می دهد.

• Pretexting

در این روش مهاجم، اطلاعات مورد نظر خود را از طریق دروغ های هوشمندانه به دست می آورد. غالبا مهاجم وانمود می کند نیاز به اطلاعات مهمی جهت انجام یک کار حیاتی دارد. معمولا مهاجم، با معرفی خود به عنوان یک مقام معتبر مانند یک همکار، افسر پلیس، مقامات بانکی و یا غیره اعتماد قربانی را جلب می کند. در این روش، مهاجم سوالاتی را مطرح می کند که ظاهرا برای تایید هویت قربانی لازم است و به این ترتیب اطلاعات مهم مورد نیاز خود را جمع آوری می کند.

در نتیجه انواع اطلاعات مورد نیاز و سوابق با استفاده از این روش جمع آوری می شود مانند کد امنیت، آدرس های شخصی، شماره های تلفن تاریخ تعطیلات کارکنان، سوابق بانکی و حتی اطلاعات امنیتی مرتبط با محیط فیزیکی.

• Phishing

فیشینگ یکی از محبوب ترین انواع حملات مهندسی اجتماعی است که شامل ایمیل و پیام های متنی با هدف ایجاد حس اضطرار، کنجکاوی و ترس در قربانی می گردد. سپس قربانی را به سمت افشای اطلاعات مهم، کلیک بر روی وب سایت های مخرب یا باز کردن ضمیمه های حاوی بدافزار هدایت می کند.

به عنوان مثال ایمیلی برای کابران خدمات آنلاین ارسال می شود و به آن ها در مورد نقض خط مشی که نیاز به اقدام فوری (مثلا تغییر پسورد) دارد، هشدار می دهد. به این ترتیب توسط یک لینگ به وب سایت های مخرب، که ظاهر قانونی و بدون مشکل دارد هدایت شده و پسورد خود را در اختیار مهاجم قرار می دهد.

با توجه به پیام های یکسان و یا تقریبا یکسانی که برای تمام کاربران در کمپین های فیشینگ ارسال می شود، شناسایی و مسدود کردن آن ها برای سرورهایی که به پلتفرم های به اشتراک گذاری تهدیدات دسترسی دارند، کار ساده ای است.

• Spear phishing

این روش به عنوان یک نسخه ی هدفمندتر از فیشینگ محسوب می شود که به موجب آن، مهاجم فرد یا سازمان خاصی را مورد هدف قرار می دهد. مهاجمان، پیام های خود را بر اساس ویژگی ها، موقعیت شغلی و ارتباطات متعلق به قربانیان تنظیم می کنند تا حمله ی آن ها کمتر به چشم بیاید. Spear phishing نیاز به تلاش بیشتری دارد و گاهی ممکن است هفته ها و یا ماه ها طول بکشد. از طرفی چنانچه با مهارت کامل انجام شود، شناسایی آن ها بسیار مشکل می گردد.

در یک سناریوی spear phishing ممکن است مهاجمی دخیل باشد که  خود را به عنوان مشاور IT یک سازمان معرفی کند و به کارمندان ایمیل ارسال کند. به این ترتیب، قربانی  فریب پیام معتبر را می خورد و پسورد خود را در اختیار قرار می دهد.

پیشگیری از حملات مهندسی اجتماعی

مهاجمین مهندسی اجتماعی با استفاده از تحریک احساسات انسانی مانند کنجکاوی یا ترس، طراح های را اجرا نموده و قربانی را به دام می کشد. بنابراین، زمانی که در ایمیل خود، مورد مشکوکی ملاحظه نمودید یا وقی که جذب پیشنهادی در یک وب سایت شدید، مراقب باشید. هوشیار بودن از شما در برابر اکثر حملات مهندسی اجتماعی که در حوزه دیجیتال رخ می دهد، مراقبت خواهد کرد.

در ضمن نکات زیر می تواند در رابطه با افزایش آگاهی شما و هوشیار بودن تان نسبت به حملات مهندسی اجتماعی تاثیر زیادی داشته باشد:

• ایمیل ها و ضمیمه هایی با منابع مشکوک را باز نکنید. نیازی به پاسخگویی به ایمیل های ناشناس نیست. حتی وقتی فرستنده ی ایمیل را می شناسید ولی نسبت به ایمیل مشکوک هستید، نیازی به پاسخگویی نیست. در این صورت می توانید از راه های ارتباطی دیگر جهت تایید ایمیل استفاده کنید.  قابل ذکر است جعل آدرس های ایمیل کار ساده ای است. در ضمن به خاطر داشته باشید حتی ایمیلی که ظاهرا معتبر است، می تواند توسط مهاجم ارسال شده باشد.

• از احراز هویت چندعاملی استفاده کنید. همواره یکی از با ارزش ترین اطلاعاتی مهاجمان به دنبال آن هستند، مدارک و اعتبارات کاربر است. استفاده از احراز هویت چند عاملی به شما کمک می کند تا در صورت به خطر افتادن سیستم از حساب کاربری خود محافظت کنید.

• مراقب پیشنهادات وسوسه انگیز باشید. در صورتی که یک پیشنهاد، بیش از حد فریبنده به نظر برسد، قبل از پذیرفتن آن، به خوبی آن را بررسی نمایید.

• نرم افزارهای آنتی ویروس و ضدبدافزار خود را همیشه به روزرسانی کنید.  انجام به روزرسانی ها را به صورت عادت در آورید تا به صورت مرتب انجام شوند. در ضمن جهت اطمینان از این که به روز رسانی ها به درستی اعمال شده اند، به صورت دوره ای بررسی کنید  و سیستم خود را برای آلودگی های احتمالی اسکن کنید.