اگر شما هم به حوزه ی هک و امنیت علاقه دارید حتما تا به حال در مورد مهندسی اجتماعی شنیده اید. این اصطلاح مربوط به یکی از روش های هک در جهان است. در صورتی که شما با انواع روش های هک آشنا نباشید به راحتی ممکن است که هک شوید. به همین دلیل در این مقاله قصد داریم در مورد مهندسی اجتماعی صحبت کنیم.
آنچه در این مقاله خواهید خواند :
مهندسی اجتماعی هنر دستکاری افراد است تا اطلاعات محرمانه را کنار بگذارند. انواع اطلاعاتی که این مجرمان به دنبال آن هستند میتواند متفاوت باشد. اما زمانی که افراد مورد هدف قرار میگیرند، مجرمان معمولاً سعی میکنند شما را فریب دهند تا رمز عبور یا اطلاعات بانکی خود را به آنها بدهید. یا به رایانهتان دسترسی پیدا کنند تا به طور مخفیانه نرمافزارهای مخرب را نصب کنند. گذرواژه ها و اطلاعات بانکی و همچنین کنترل رایانه شما به آنها داده خواهد شد.
مجرمان از تاکتیک های مهندسی اجتماعی استفاده می کنند. زیرا معمولاً استفاده از تمایل طبیعی شما به اعتماد آسان تر از کشف راه هایی برای هک گوشی و یا دیگر سیستم های شما است. به عنوان مثال، فریب دادن کسی که رمز عبور خود را به شما بدهد، بسیار ساده تر از این است که شما سعی کنید رمز عبور او را هک کنید (مگر اینکه رمز عبور واقعا ضعیف باشد).
امنیت همه چیز این است که بدانیم به چه کسی و به چه چیزی اعتماد کنیم. این مهم است که بدانید چه زمانی و چه زمانی نباید حرف شخصی را قبول کنید و چه زمانی فردی که با او در ارتباط هستید همان کسی است که می گوید. همین امر در مورد تعاملات آنلاین و استفاده از وب سایت نیز صادق است: چه زمانی اطمینان دارید که وب سایتی که استفاده می کنید قانونی است یا برای ارائه اطلاعات شما ایمن است؟
از هر حرفه ای امنیتی بپرسید . آنها به شما خواهند گفت که ضعیف ترین حلقه در زنجیره امنیتی انسانی است که یک شخص یا سناریو را به صورت واقعی می پذیرد. مهم نیست که چند قفل و پیچ و مهره بر روی درها و پنجره های شما وجود داشته باشد. یا اینکه سگ های نگهبان، سیستم های هشدار، نورافکن، نرده ها با سیم خاردار و پرسنل امنیتی مسلح داشته باشید. ممکن است به شخصی که در ورودی میگوید تحویلدهنده پیتزا است، اعتماد کنید . و بدون اینکه ابتدا بررسی کنید که آیا او مشروع است یا نه، به او اجازه ورود دهید. بعد از آن شما کاملاً در معرض خطر هستید.
اگر مجرمی موفق به هک کردن یا مهندسی اجتماعی رمز عبور ایمیل یک شخص شود، به لیست مخاطبین آن شخص دسترسی دارد . از آنجا که اکثر مردم در همه جا از یک رمز عبور استفاده می کنند، احتمالاً به مخاطبین شبکه اجتماعی آن شخص نیز دسترسی دارند.
هنگامی که مجرم آن حساب ایمیل را تحت کنترل خود داشته باشد، به تمام مخاطبین شخص ایمیل می فرستد .یا در تمام صفحات اجتماعی دوست خود و احتمالاً در صفحات دوستان دوست آن شخص پیام می گذارد.
می تواند حاوی پیوندی باشد که باید آن را بررسی کنید. چون پیوند از طرف یکی از دوستانتان می آید و شما کنجکاو هستید، به لینک اعتماد می کنید و کلیک می کنید. سپس به بدافزار آلوده می شوید تا مجرم بتواند دستگاه شما را تصرف کند و اطلاعات شما را جمع آوری کند. بعد از این کار با استفاده از روش های دیگر می تواند به مخاطبین شما پیام هایی را ارسال کند . آن ها را هم به همین روش هک کند.
اطلاعات هک شده حاوی دانلودی از تصاویر، موسیقی، فیلم، سند و غیره است . هر گوشی هک شده دارای نرم افزارهای مخرب یا همان بدافزار های جاسازی شده است. اگر روی لینک ها کلیک کنید یا هر نرم افزاری را دانلود کنید( که احتمالاً انجام می دهید) آلوده می شوید. زیرا فکر می کنید از دوستتان است . اکنون، مجرم به دستگاه، حساب ایمیل، حسابهای شبکه اجتماعی و مخاطبین شما دسترسی دارد . حمله به همه کسانی که میشناسید سرایت میکند. و این حملات تا انتها ادامه پیدا می کند.
حملات فیشینگ زیرمجموعهای از استراتژی مهندسی اجتماعی هستند که از یک منبع قابل اعتماد تقلید میکنند . سپس یک سناریوی به ظاهر منطقی برای تحویل اعتبار ورود یا سایر دادههای شخصی حساس ایجاد میکنند. بر اساس دادههای Webroot، مؤسسات مالی اکثریت قریب به اتفاق شرکتهای جعل هویت را نمایندگی میکنند . بر اساس گزارش سالانه بررسی نقض دادههای Verizon، حملات مهندسی اجتماعی از جمله فیشینگ و بهانهسازی (به زیر مراجعه کنید) مسئول 93 درصد از نقضهای موفق دادهها هستند.
ممکن است یک فرد از شما به صورت ضروری درخواست کمک کند. “دوست” شما در کشور X گیر کرده است، دزدیده شده، مورد ضرب و شتم قرار گرفته و در بیمارستان است. آنها به شما نیاز دارند که پول بفرستید تا بتوانند به خانه برسند و به شما می گویند چگونه پول را برای مجرم بفرستید.
از تلاشهای فیشینگ با پسزمینهای که به نظر مشروع به نظر میرسد، استفاده کنید. به طور معمول، یک فیشر یک ایمیل، پیام فوری، نظر یا پیام متنی ارسال می کند که به نظر می رسد از یک شرکت، بانک، مدرسه یا مؤسسه معتبر و محبوب است.
ممکن است از شما بخواهند به جمع آوری کمک های خیریه آنها یا هر هدف دیگری کمک کنید. احتمالاً با دستورالعمل نحوه ارسال پول به مجرم هم مواجه خواهید شد. این فیشارها با شکار مهربانی و سخاوت، برای هر فاجعه، کمپین سیاسی یا خیریهای که لحظهای در ذهن شماست، کمک یا حمایت میکنند.
مشکلی را به شما ارائه می کنند. از شما می خواهد با کلیک بر روی لینک نمایش داده شده و ارائه اطلاعات در فرم آنها، اطلاعات خود را “تأیید” کنید. مکان پیوند ممکن است با همه آرم ها و محتوای مناسب بسیار مشروع به نظر برسد. (در واقع، مجرمان ممکن است فرمت و محتوای دقیق سایت قانونی را کپی کرده باشند). از آنجا که همه چیز مشروع به نظر می رسد، شما به ایمیل و سایت جعلی اعتماد می کنید . سپس هر اطلاعاتی را که کلاهبردار درخواست می کند ارائه می دهید. این نوع از کلاهبرداری های فیشینگ اغلب شامل هشداری در مورد اینکه اگر به زودی اقدام نکنید چه اتفاق بدی در انتظار شماست می شود!
مجرمان میدانند که اگر بتوانند قبل از فکر کردن، شما را وادار به انجام عمل کنند، احتمالاً در معرض تلاش آنها برای فیشینگ قرار خواهید گرفت.
به شما اطلاع دهد که “برنده” هستید. ممکن است ایمیل ادعا کند که از یک قرعه کشی، یا یکی از بستگان مرده، یا میلیونمین فردی است که روی سایت آنها کلیک کرده است، و غیره. برای اینکه “برنده” خود را به شما ارائه دهید، باید اطلاعاتی در مورد مسیریابی بانک خود ارائه دهید . تا بدانند چگونه آن را برای شما ارسال کنند یا آدرس و شماره تلفن شما را بدهند تا بتوانند جایزه را ارسال کنند .
همچنین ممکن است از شما خواسته شود که اغلب از جمله شماره تامین اجتماعی خود ثابت کنید که چه کسی هستید. اینها «فیشهای طمع» هستند. که حتی اگر بهانه داستان نازک باشد، مردم آنچه را که ارائه میشود میخواهند . با در اختیار گذاشتن اطلاعات خود، سپس تخلیه حساب بانکیشان و دزدیده شدن هویت، به دنبال آن هستند.
به عنوان یک رئیس یا همکار ظاهر شوید. ممکن است درخواست به روز رسانی در مورد یک پروژه مهم و اختصاصی که شرکت شما در حال حاضر روی آن کار می کند، برای اطلاعات پرداخت مربوط به کارت اعتباری شرکت، یا برخی درخواست های دیگر که به عنوان یک کسب و کار روزمره ظاهر می شود، بخواهد.
این طرحهای مهندسی اجتماعی میدانند که اگر چیزی را که مردم میخواهند به آن ها بدهند، بسیاری از مردم طعمه را خواهند گرفت. این طرحها اغلب در سایتهای Peer-to-Peer یافت میشوند. که دانلود چیزی مانند یک فیلم جدید یا موسیقی را ارائه میدهند. اما این طرح ها در سایت های شبکه های اجتماعی، وب سایت های مخربی که از طریق نتایج جستجو پیدا می کنید و غیره نیز یافت می شوند.
یا، این طرح ممکن است در سایتهای طبقهبندیشده، سایتهای حراج، و غیره بهعنوان یک معامله فوقالعاده عالی نشان داده شود. برای رفع ظن شما، میتوانید ببینید که فروشنده امتیاز خوبی دارد (همه برنامهریزی شده و زودتر از موعد طراحی شده است).
افرادی که طعمه را میگیرند ممکن است به نرمافزار مخربی آلوده شوند. که میتواند هر تعداد سوء استفاده جدید علیه خود و مخاطبینشان ایجاد کند. ممکن است بدون دریافت کالای خریداریشده، پول خود را از دست بدهند. اگر به اندازه کافی احمق باشند که با چک پرداخت کنند، ممکن است متوجه شوند که حساب بانکی آن ها به صورت کامل خالی است.
مجرمان ممکن است وانمود کنند که به “درخواست کمک” شما از یک شرکت پاسخ می دهند . در عین حال کمک بیشتری نیز ارائه می دهند. آنها شرکت هایی را انتخاب می کنند که میلیون ها نفر از آنها استفاده می کنند. مانند یک شرکت نرم افزاری یا بانک. اگر از محصول یا خدمات استفاده نمیکنید، ایمیل، تماس تلفنی یا پیام را نادیده میگیرید. اما اگر از این سرویس استفاده کنید، احتمال زیادی وجود دارد که پاسخ دهید، زیرا احتمالاً برای مشکل کمک میخواهید. .
برای مثال، حتی اگر میدانید که در ابتدا سؤالی نپرسیدهاید، احتمالاً با سیستم عامل رایانه خود مشکل دارید و از این فرصت برای رفع آن استفاده میکنید. آن هم به صورت رایگان!. لحظه ای که پاسخ می دهید، داستان کلاهبردار را خریده اید، به آنها اعتماد کرده اید و خود را برای استثمار باز کرده اید.
نماینده، که در واقع یک مجرم است، باید شما را احراز هویت کند. آیا شما به سیستم آنها وارد شدید یا به رایانه خود وارد شدید ؟. این سوالات برای افراد عادی غیر قابل پاسخ هستند. یا ممکن است به آنها اجازه دسترسی از راه دور به رایانه خودتان را بدهید تا آنها بتوانند آن را «تعمیر» کنند. در این حالت احتمال این که گرفتار یک حمله مهندسی اجتماعی شوید بسیار زیاد است.
برخی از مهندسی اجتماعی، همه چیز در مورد ایجاد بی اعتمادی، یا شروع درگیری است. این کارها اغلب توسط افرادی انجام می شود که شما می شناسید و از دست شما عصبانی هستند.اما این کار توسط افراد بدجنسی انجام می شود که فقط تلاش می کنند ویران کنند. افرادی که می خواهند ابتدا در ذهن شما نسبت به دیگران بی اعتمادی ایجاد کنند .تا بتوانند به عنوان یک فرد وارد عمل شوند. قهرمان می شوند و اعتماد شما را جلب می کنند، یا توسط اخاذی هایی که می خواهند اطلاعات را دستکاری کنند و سپس شما را تهدید به افشای اطلاعات کنند.
این شکل از مهندسی اجتماعی اغلب با دسترسی به یک حساب ایمیل یا یک حساب ارتباطی دیگر در یک کلاینت پیام فوری، شبکه اجتماعی، چت، انجمن و غیره آغاز می شود. آنها این کار را یا با هک کردن، مهندسی اجتماعی یا حدس زدن رمزهای عبور واقعا ضعیف انجام می دهند. ( آشنایی با انواع رمز گوشی )
پس از آن، شخص بدخواه ممکن است ارتباطات حساس یا خصوصی (از جمله تصاویر و صدا) را با استفاده از تکنیکهای ویرایش اولیه تغییر دهد .سپس آنها را برای افراد دیگر ارسال کند تا درام، بیاعتمادی، خجالت و غیره ایجاد کند. ممکن است به نظر برسد که بهطور تصادفی ارسال شده است، یا به نظر برسد. آنها به شما اطلاع می دهند که “واقعا” چه خبر است.
از طرف دیگر، آنها ممکن است از مطالب تغییر یافته برای اخاذی از شخصی که هک کرده اند یا از گیرنده فرضی استفاده کنند.
به معنای واقعی کلمه هزاران تنوع برای حملات مهندسی اجتماعی وجود دارد. تنها محدودیت برای تعداد راه هایی که آنها می توانند از طریق این نوع سوء استفاده کاربران را مهندسی اجتماعی کنند، تخیل جنایتکار است. و ممکن است چندین اشکال سوء استفاده را در یک حمله تجربه کنید. سپس مجرم احتمالاً اطلاعات شما را به دیگران میفروشد تا آنها نیز بتوانند سوءاستفادههای خود را علیه شما، دوستانتان، دوستان دوستانتان و غیره انجام دهند، زیرا مجرمان از اعتماد نابجای مردم استفاده میکنند.
در حالی که حملات فیشینگ شایع، کوتاه مدت هستند و تنها به چند کاربر نیاز دارند تا طعمه یک کمپین موفق را بگیرند، روش هایی برای محافظت از خود وجود دارد. بیشتر آنها خیلی بیشتر نیاز ندارند.
به جای اینکه صرفاً به جزئیاتی که در مقابل خود دارید توجه کنید. برای جلوگیری از فیش شدن خودتان، موارد زیر را در نظر داشته باشید.
نکاتی که باید به خاطر بسپارید:
ارسال کنندگان هرزنامه از شما می خواهند که ابتدا اقدام کنید و بعد فکر کنید. اگر پیام احساس فوریت را منتقل می کند یا از تاکتیک های فروش با فشار بالا استفاده می کند، شک داشته باشید. هرگز اجازه ندهید فوریت آنها بر بررسی دقیق شما تأثیر بگذارد.
به هرگونه پیام ناخواسته مشکوک باشید. اگر ایمیل به نظر می رسد که از طرف شرکتی است که شما استفاده می کنید، تحقیق خود را انجام دهید. از یک موتور جستجو برای رفتن به سایت شرکت واقعی یا یک فهرست تلفن برای یافتن شماره تلفن آنها استفاده کنید.
با پیدا کردن وب سایت با استفاده از یک موتور جستجو، کنترل خود را حفظ کنید تا مطمئن شوید که در جایی که می خواهید فرود بیایید. نگه داشتن ماوس روی پیوندها در ایمیل، URL واقعی را در پایین نشان می دهد، اما یک جعلی خوب همچنان می تواند شما را به اشتباه هدایت کند.
هکرها، هرزنامهها و مهندسان اجتماعی که کنترل حسابهای ایمیل افراد (و سایر حسابهای ارتباطی) را به دست میگیرند، بیداد میکنند. هنگامی که آنها یک حساب ایمیل را کنترل می کنند، اعتماد مخاطبین آن شخص را شکار می کنند. حتی زمانی که به نظر میرسد فرستنده فردی است که میشناسید، اگر منتظر ایمیلی با پیوند یا پیوست نیستید، قبل از باز کردن پیوندها یا دانلود، با دوست خود چک کنید.
بیشتر بخوانید : هک گوشی از طریق ایمیل
اگر شخصاً فرستنده را نمی شناسید و از او انتظار فایلی دارید، دانلود هر چیزی اشتباه است.
اگر ایمیلی از یک بخت آزمایی یا قرعه کشی خارجی، پول از یکی از اقوام ناشناس دریافت کردید، یا درخواستی برای انتقال وجه از یک کشور خارجی برای سهمی از پول دریافت کردید، تضمین می شود که کلاهبرداری است.
اگر از شما خواسته شود به پیامی حاوی اطلاعات شخصی پاسخ دهید، این یک کلاهبرداری است.
شرکت ها و سازمان های قانونی برای ارائه کمک با شما تماس نمی گیرند. اگر بهطور خاص از فرستنده درخواست کمک نکردهاید، هر پیشنهادی را برای «کمک» در نظر بگیرید. به عنوان مثال به بازیابی امتیازات اعتباری، تأمین مالی مجدد خانه، پاسخ به سؤالتان و غیره به عنوان یک کلاهبرداری نگاه کنید . به همین ترتیب، اگر از یک موسسه خیریه یا سازمانی که با آن ارتباطی ندارید درخواست کمک دریافت کردید، آن را حذف کنید. برای دادن، به تنهایی به دنبال سازمانهای خیریه معتبر باشید تا دچار کلاهبرداری نشوید.
هر برنامه ایمیل دارای فیلترهای اسپم است. برای پیدا کردن تنظیمات خود، به گزینههای تنظیمات خود نگاه کنید . آنها را روی بالا تنظیم کنید . فقط به یاد داشته باشید که پوشه هرزنامه خود را به صورت دورهای بررسی کنید. تا ببینید آیا ایمیل قانونی به طور تصادفی در آنجا به دام افتاده است یا خیر. همچنین میتوانید با جستجو در نام ارائهدهنده ایمیل خود بهعلاوه عبارت «فیلترهای هرزنامه»، راهنمای گام به گام تنظیم فیلترهای هرزنامه خود را جستجو کنید.
نرم افزارهای ضد ویروس، فایروال ها، فیلترهای ایمیل را نصب کنید . آنها را به روز نگه دارید. سیستم عامل خود را طوری تنظیم کنید که به طور خودکار به روز شود . اگر گوشی هوشمند شما به طور خودکار به روز نمی شود، هر زمان که اخطاری دریافت کردید، آن را به صورت دستی به روز کنید. از یک ابزار ضد فیشینگ ارائه شده توسط مرورگر وب یا شخص ثالث خود برای هشدار به شما در مورد خطرات استفاده کنید.
با توجه به مطالبی که به شما گفته شد مهندسی اجتماعی یکی از مهمترین و بهترین راه ها برای هکر ها است. به همین دلیل هم باید بیشترین دقت را داشته باشید. تجربه شخصی من در این مورد عجله داشتن فرد تماس گیرنده و این که در وقتی غیر از وقت اداری تماس گرفته بود شد. فردی با من تماس گرفت و با عجله از من شماره ی کارت من را خواست. بعد از این مسئله سه میلیون تومان به حساب من واریز کرد و اعلام کرد این بخشی از جایزه ای است که شما در قرعه کشی برنده شدید. پیامک این سه میلیون تومان برای من ظاهر شد.
این مرحله مرحله ی اعتماد سازی بود و فرد با این کار توانست اعتماد من را جلب کند. اما من تنها منتظر یک چیز بودم تا تلفن را روی ان فرد قطع کنم!. آن هم این بود که از من بخواهد رمز دوم کارت خودم را به او بدهم!. همین اتفاق هم افتاد. شروع به پرسش های سریع کرد و با سرعت زیادی از من اطلاعات را می خواست. حتی از واژه هایی مانند سریع باش هم استفاده می کرد. به محض این که از من درخواست رمز عبور دوم را داشت متوجه شدم که تمام این ها یک بازی بوده!.
نکته ی جالب این بود که بعد از قطع کردن تماس روی این فرد ، سه میلیون تومانی که توسط او واریز شده بود به شکل اصلاحیه از حسابم خارج شد!. این نشان دهنده ی این است که حتی به مبالغ واریزی نمی توانید تا مدتی که مطمئن شوید اصلاحیه ای وجود ندارد اعتماد کنید!. هکر می توانید یک تراکنش غیر معتبر بسازد که پیامک واریز آن برای شما بیاید. تا زمانی که پیامک اصلاحیه برای شما بیاید، هکر می تواند رمز دوم شما را بگیرد و کار را تمام کند!.
علاوه بر مهندسی اجتماعی روش های بسیاری وجود دارد که افراد با استفاده از آن هک می شوند. به همین دلیل هم بهتر است که همه ی این روش ها را بدانید. اما با روش هایی که برای جلوگیری از مهندسی اجتماعی به شما گفته شد می توانید خودتان را در برابر این هک ها محافظت کنید!.