مفهوم مهندسی اجتماعی در کلاهبرداری به چه معناست؟ چه نکاتی را باید برای پیشگیری رعایت کرد؟

مهندسی اجتماعی (Social Engineering) هنر فریب دادن افراد برای افشا اطلاعات محرمانه یا شخصی است.

انواع اطلاعاتی که مجرمان به دنبال آن هستند می‌تواند متفاوت باشد، اما زمانی که افراد مورد هدف قرار می‌گیرند، مجرمان معمولاً سعی می‌کنند شما را فریب دهند تا رمز عبور یا اطلاعات بانکی خود را به آن‌ها بدهید، یا به رایانه‌تان دسترسی پیدا کنند تا به طور مخفیانه نرم‌افزارهای مخرب را نصب کنند.

مجرمان از تاکتیک‌های مهندسی اجتماعی استفاده می‌کنند؛ زیرا معمولاً استفاده از تمایل طبیعی انسان به اعتماد کردن، آسان‌تر از کشف راه‌هایی برای هک کردن نرم‌افزار شما است.

به عنوان مثال، فریب دادن کسی که رمز عبور خود را به شما بدهد، بسیار ساده‌تر از این است که شما سعی کنید رمز عبور او را هک کنید (مگر اینکه رمز عبور واقعاً ضعیف باشد).

مهم‌ترین اصل امنیت این است که بدانیم به چه کسی و به چه چیزی اعتماد کنیم. این مهم است که بدانید چه زمانی باید و چه زمانی نباید حرف شخصی را قبول کنید و چه زمانی فردی که با او در ارتباط هستید همان کسی است که ادعا می‌کند.

همین امر در مورد تعاملات آنلاین و استفاده از وب‌سایت‌ها نیز صادق است: چه زمانی مطمئن می‌شوید که وب‌سایتی که از آن استفاده می‌کنید قانونی است یا برای ارائه اطلاعات شخصی شما ایمن است؟

از هر متخصص امنیتی که بپرسید به شما خواهند گفت که ضعیف‌ترین حلقه در زنجیره امنیتی، انسانی است که یک شخص یا سناریو را به عنوان یک حقیقت می‌پذیرد.

مهم نیست که چند قفل و پیچ‌ومهره بر روی درها و پنجره‌های شما وجود داشته باشد، یا اینکه سگ‌های نگهبان، سیستم‌های هشدار، نورافکن، نرده‌ها با سیم‌خاردار و پرسنل امنیتی مسلح داشته باشید.

اگر به شخصی که در دروازه می‌گوید تحویل‌دهنده پیتزا است، اعتماد کنید و بدون اینکه بررسی کنید که آیا او فردی مشروع است یا نه، به او اجازه ورود دهید، کاملاً در معرض خطری هستید.

حمله مهندسی اجتماعی چگونه انجام می‌شود؟

در این قسمت از نوشتار با ما همراه باشید تا نحوه انجام حملات مهندسی اجتماعی را بررسی کنیم.

• ایمیل از یک دوست

اگر مجرمی موفق به هک کردن یا مهندسی اجتماعی رمز عبور ایمیل یک شخص شود، به لیست مخاطبین آن شخص دسترسی دارد – و از آنجا که اکثر مردم در همه‌جا از یک رمز عبور استفاده می‌کنند، احتمالاً به مخاطبین شبکه اجتماعی آن شخص نیز دسترسی دارند.

هنگامی که مجرم آن حساب ایمیل را تحت کنترل خود داشته باشد، به تمام مخاطبین شما ایمیل می‌فرستد یا در تمام صفحات اجتماعی دوستان آن شخص پیام می‌گذارد.

این پیام‌ها می‌تواند حاوی یک لینک (یا حتی فیلم، موسیقی و…) باشد – و چون لینک از طرف یکی از دوستانتان می‌آید و شما کنجکاو هستید که بدانید چه هست، به لینک اعتماد و کلیک می‌کنید – اینجاست که به بدافزار آلوده می‌شوید و مجرم می‌تواند بر دستگاه شما مسلط شود و اطلاعات شما و اطرافیانتان را جمع‌آوری کند.

• ایمیل از منبعی قابل اعتماد

حملات فیشینگ زیرمجموعه‌ای از استراتژی مهندسی اجتماعی هستند که یک سناریوی به ظاهر منطقی برای دسترسی به رمزهای ورود یا سایر داده‌های شخصی حساس ایجاد می‌کنند.

بر اساس داده‌های Webroot، مؤسسات مالی اکثریت قریب به اتفاق شرکت‌های جعل هویت را نمایندگی می‌کنند و بر اساس گزارش سالانه بررسی نقض داده‌های Verizon، حملات مهندسی اجتماعی از جمله فیشینگ مسئول 93 درصد از نقض موفق داده‌ها هستند.

در این پیام‌ها ممکن است فوراً از شما کمک خواسته شود. دوست شما در کشور X گیر کرده است، دزدیده شده، مورد ضرب و شتم قرار گرفته و در بیمارستان است. آن‌ها به شما نیاز دارند که پول بفرستید تا بتوانند به خانه برسند و به شما می‌گویند چگونه پول را برای مجرم بفرستید.

گاهی از تلاش‌های فیشینگ با پس‌زمینه‌ای که به نظر مشروع به نظر می‌رسد، استفاده می‌شود. به طور معمول، یک فیشر یک ایمیل، پیام فوری، نظر یا پیام متنی ارسال می‌کند که به نظر می‌رسد از یک شرکت، بانک، مدرسه یا مؤسسه معتبر و محبوب است.

این لینک‌ها ممکن است با آرم‌ها و محتوای مناسب بسیار منطقی به نظر برسد (در واقع، مجرمان ممکن است فرمت و محتوای دقیق سایت قانونی را کپی کرده باشند).

از آنجا که همه چیز در ظاهر خوب است، شما به ایمیل و سایت جعلی اعتماد می‌کنید و هر اطلاعاتی را که کلاهبردار درخواست می‌کند، ارائه می‌دهید.

• سناریوهای طعمه‌گذاری

این طرح‌های مهندسی اجتماعی می‌دانند که اگر چیزی را که مردم می‌خواهند در جلوی چشمشان آویزان کنند، بسیاری از مردم طعمه را خواهند گرفت.

این طرح‌ها اغلب در سایت‌های Peer-to-Peer یافت می‌شوند که دانلود چیزی مانند یک فیلم جدید یا موسیقی را ارائه می‌دهند.

اما این طرح‌ها در سایت‌های شبکه‌های اجتماعی، وب‌سایت‌های مخربی که از طریق نتایج جستجو پیدا می‌کنید و غیره نیز یافت می‌شوند. افرادی که فریب می‌خورند ممکن است به نرم‌افزار مخربی آلوده شوند که می‌تواند از اطلاعات شما و اطرافیان شما سو استفاده کند.

• پاسخ به سوالی که هرگز نداشتید

مجرمان ممکن است وانمود کنند که به «درخواست کمک» شما از یک شرکت پاسخ می‌دهند و در عین حال کمک بیشتری نیز ارائه می‌دهند. آن‌ها شرکت‌هایی را انتخاب می‌کنند که میلیون‌ها نفر از آن‌ها استفاده می‌کنند، مانند یک شرکت نرم‌افزاری یا بانک.

اگر از محصول یا خدمات استفاده نمی‌کنید، ایمیل، تماس تلفنی یا پیام را نادیده می‌گیرید، اما اگر از این سرویس استفاده کنید، احتمال زیادی وجود دارد که پاسخ دهید.

برای مثال، حتی اگر می‌دانید که هیچ درخواست کمکی نداشته‌اید، احتمالاً این فرصت برای رفع مشکلات دیگر خود استفاده می‌کنید. رایگان! لحظه‌ای که پاسخ می‌دهید، طرح کلاهبردار را کامل کرده‌اید.

چطور قربانی حملات مهندسی اجتماعی نشویم؟

بیشتر راه‌های جلوگیری از قربانی شدن در این‌گونه حملات به چیزی بیش از توجه به جزئیات نیاز ندارند. برای جلوگیری از آسیب دیدن، موارد زیر را در نظر داشته باشید.

1. ارسال‌کنندگان هرزنامه از شما می‌خواهند که ابتدا اقدام کنید و بعد فکر کنید. اگر پیام ارسالی احساس فوریت را در شما به وجود می‌آورد حتماً به آن شک کنید. هرگز اجازه ندهید فوریت آن‌ها بر بررسی دقیق شما تأثیر بگذارد.

2. به هرگونه پیام ناخواسته مشکوک باشید. اگر به نظر می‌رسد که ایمیل از طرف شرکتی است که شما کاربر آن هستید، تحقیق خود را انجام دهید. از یک موتور جستجو برای رفتن به سایت واقعی شرکت یا یک فهرست تلفن برای یافتن شماره تلفن آن‌ها استفاده کنید.

3. نگه داشتن ماوس روی لینک‌ها در ایمیل، URL واقعی را در پایین نشان می‌دهد، اما یک کلاهبردار حرفه‌ای همچنان می‌تواند شما را به مسیر اشتباه هدایت کند.

4. تعداد هکرها، هرزنامه‌ها و مهندسان اجتماعی که کنترل حساب‌های ایمیل افراد را به دست می‌گیرند، زیاد شده‌اند. هنگامی که آن‌ها یک حساب ایمیل را کنترل می‌کنند، درصدد شکار اعتماد مخاطبین آن شخص هستند. حتی زمانی که به نظر می‌رسد فرستنده فردی است که می‌شناسید، اگر منتظر ایمیلی یا لینکی از طرف او نیستید، قبل از باز کردن لینک‌ها یا دانلود، با دوست خود صحبت کنید.

5. مراقب هرگونه دانلودی باشید. اگر شخصاً فرستنده را نمی‌شناسید، دانلود هر چیزی اشتباه است.

سوالات متداول

• چرا مجرمان از مهندسی اجتماعی استفاده می‌کنند؟

مجرمان از تاکتیک‌های مهندسی اجتماعی استفاده می‌کنند؛ زیرا معمولاً استفاده از تمایل طبیعی انسان به اعتماد کردن، آسان‌تر از کشف راه‌هایی برای هک کردن نرم‌افزار شما است.

• حمله مهندسی اجتماعی چگونه انجام می‌شود؟

دریافت ایمیل از یک دوست، دریافت ایمیل از منبعی قابل اعتماد، سناریوهای طعمه‌گذاری و پاسخ به سوالی که هرگز نداشتید، چند مورد از نحوه انجام حملات مهندسی اجتماعی است.