مهندسی اجتماعی؛ وقتی به جای سیستمها، انسانها هک میشوند!
نائوکی هیروشیما کاربر عادی توییتر مثل من و شما بود؛ با این تفاوت که نام کاربری حساب توییترش خاص و تکحرفی (N@) بود و برخی حاضر بودند تا ۵۰ هزار دلار برای خریدش پول بدهند. اما در یکی از روزهای سال ۲۰۱۴، نائوکی مجبور شد نام کاربری تکحرفی ۵۰ هزار دلاری خود را در اختیار هکری قرار دهد که موفق شد با ترفندی ساده به آنچه میخواست برسد.
ماجرا از این قرار بود که هکر برای دزدیدن نام کاربری توییتر نائوکی به خدمات مشتری پیپال زنگ زده و با وانمود کردن به اینکه کارمند بخش دیگر این شرکت است، اطلاعات مربوط به چهار رقم آخر کارت اعتباری نائوکی را از آنها میگیرد. بعد با شرکت ثبت دامنه و میزبانی وب GoDaddy تماس میگیرد که وبسایت نائوکی در آنجا میزبانی میشد. این هکر با داشتن چهار رقم کارت اعتباری، از GoDaddy میخواهد رمزعبور وبسایت نائوکی را ریست کند. حالا هکر این قدرت را داشت تا تمام اطلاعات وبسایت نائوکی را پاک کند و این تهدید کافی بود تا نائوکی حاضر شود نام کاربری خود را در اختیار هکر قرار دهد.
خوشبختانه نائوکی بعدا موفق شد نام کاربری خود را پس بگیرد، اما اتفاقی که برای او افتاد نوعی حمله مهندسی اجتماعی بود که مدتها است بسیاری از کاربران اینترنت و کارمندان سازمانهای کوچک و بزرگ را با دردسرهای جدی روبهرو کرده است. بارها شده هکرها با نقش بازی کردن، تهدید و ترفندهای دیگر، کنترل اکانتهای کاربران را به دست گرفته یا مبالغ زیادی را به حسابهای بانکی خود سرازیر کردهاند. برای بسیاری از افراد، امنیت اکانتهای اینترنتی توهمی بیش نیست.
عناوینی که در این مقاله خواهید خواند:
مهندسی اجتماعی چیست
مهندسی اجتماعی اگرچه اصطلاح نسبتا مدرنی است، پدیدهای است که از دیرباز و زمانی که انسانها با یکدیگر شروع به تعامل کردهاند، وجود داشته است. فلسفه مهندسی اجتماعی از این قرار است: تو چیزی داری که من میخواهم و من میخواهم تو را به هر طریقی قانع کنم آن را به من بدهی یا کاری را که من میخواهم انجام دهی، حتی اگر به ضررت تمام شود.
اصطلاح مهندسی اجتماعی توسط کوین میتنیک که خود یکی از معروفترین مهندسان اجتماعی عصر حاضر است (اما دیگر توبه کرده و اکنون به عنوان متخصص امنیت سایبری فعالیت میکند)، سر زبانها افتاد. مهندسی اجتماعی در دوران مدرن و در حوزه امنیت سایبری، هنر فریب دادن، سواستفاده از نقطهضعفها و تحت تأثیر قرار دادن فرد برای انجام کاری که به ضرر او است یا دسترسی به دادههای شخصی و حساس در سیستمهای کامپیوتری است. هکر یا مهندس اجتماعی از طریق تلفن، پیامک، ایمیل، درایو USB آلوده یا تعامل حضوری و به کمک ترفندهای زیرکانهای موفق میشود آنچه را که به دنبالش است، نه به کمک بدافزار و حملات سایبری، بلکه تنها از طریق پرسیدن از فردی که به این اطلاعات دسترسی دارد، به دست آورد.
به همین خاطر است که گفته میشود در مهندسی اجتماعی این ذهن افراد است که هک میشود، نه کامپیوتر. در حمله مهندسی اجتماعی، اطلاعاتی را که فرد قصد فاش کردن آن را نداشته، بدون آنکه متوجه شود، در اختیار مهاجم قرار میدهد یا تحت تأثیر آنچه دستکاری روانشناختی نامیده میشود، تشویق یا وادار به انجام کاری میشود که از انجام آن پشیمان خواهد شد. به بیان سادهتر، انسانها خود نوعی تهدید امنیتی محسوب میشوند و به قول هکرها، ضعیفترین و آسیبپذیرترین حلقه در زنجیره امنیت سایبری هستند. ما انسانها تقریبا ۸۰ درصد تصمیمات خود را بر پایه احساسات میگیریم و از آنجایی که منطق سهم بسیار ناچیزی در این تصمیمگیریها دارد، میتوان دلیل موفقیت چشمگیر حملات مهندسی اجتماعی را به خوبی درک کرد.
تاریخچه مهندسی اجتماعی
ریشههای مهندسی اجتماعی را میتوان در داستانهای کهن، بهخصوص اسطورههای یونان، از داستان پرومتئوس که با ترفندی زئوس را فریب داد و آتش را به انسانها بخشید تا داستان مشهور اسب تروآ یافت که اتفاقا نام خود را به شایعترین نوع بدافزار داده است.
داستان اسب تروآ به جرات یکی از جذابترین نمونههای مهندسی اجتماعی است. در زمان جنگ تروآ، هنگامی که یونانیان به مدت ده سال پشت دروازههای شهر تروجان از پیشروی بازمانده بودند، یکی از جنگجویان حیلهگر یونانی به نام ادیسه که به حق مهندس اجتماعی زبردستی بود، نقشهای ریخت تا همرزمانش بتوانند به داخل شهر راه پیدا کنند؛ نه به زور و شکستن دیوارهای شهر، بلکه به دست خود تروجانها. به دستور اودیسه، سربازان یونانی اسب چوبی غولپیکری ساختند و درون آن مخفی شدند. بعد، برخی از آنها با کشتی تروجان را ترک کردند تا اهالی شهر فکر کنند یونانیها شکست را پذیرفته و در حال عقبنشینی هستند.
با این حال، یک سرباز یونانی کنار اسب غولپیکر بیرون دروازه شهر باقی ماند. این سرباز که سینون نام داشت، به اهالی شهر تروجان گفت که این اسب پیشکش یونانیان به خدایان است تا جان آنها را در طول سفر بازگشت به خانه حفظ کنند؛ این اسب هم از این جهت به این اندازه بزرگ ساخته شده تا اهالی شهر نتوانند آن را به داخل ببرند و یونانیهای سوار بر کشتی را با بداقبالی روبهرو کنند. تروجانها فریب حرفهای سینون را خوردند و برای نفرین سربازهای یونانی، تصمیم گرفتند اسب را به داخل شهر بیاورند؛ غافل از اینکه درون این اسب، سربازهای یونانی در انتظار به آتش کشیدن شهر بودند. به خاطر حمله مهندسی اجتماعی اودیسه، یونانیها در جنگی که به چشم تروجانها باخته بودند، پیروز شدند.
کوین میتنیک (Kevin Mitnick) را پدر مهندسی اجتماعی میدادند، چون او بود که در دهه ۱۹۹۰، بعد از سالها بهکارگیری حقه و ترفند برای دستیبای به اطلاعات و دستکاری روانشناختی افراد، اصطلاح مهندسی اجتماعی را در دنیای امنیت سایبری به شهرت رساند. میتنیک درحالیکه فقط ۱۳ سال داشت با حقه مهندسی اجتماعی بهطور رایگان از اتوبوسهای لسآنجلس استفاده میکرد و بعدها موفق شد به شبکههای شرکت دیجیتال اکویپمنت و شرکت مخابراتی پسیفیک بلز دسترسی غیرمجاز پیدا کند. ماجراجوییهای میتنیک در حوزه مهندسی اجتماعی به قدری شاخ و برگ پیدا کرده بود که وقتی سرانجام به زندان افتاد، درباره او میگفتند که میتواند «با سوت زدن از پشت خط تلفن، جنگ اتمی راه بیندازد.»
تکنیکهای مهندسی اجتماعی
در فیلم «اگهمیتونی منو بگیر» (۲۰۰۲) به کارگردانی استیون اسپیلبرگ، لئوناردو دیکاپریو نقش کلاهبردار زبردستی به نام فرانک ابگنیل را بازی میکند که قبل از ۱۹ سالگیاش، با جا زدن خود به عنوان خلبان هواپیما، دکتر و وکیل، موفق شد میلیونها دلار به جیب بزند. ابگنیل بعدها از استعداد خود در امر مهندسی اجتماعی استفاده کرد تا به عنوان مشاور امنیتی مشغول به کار شود.
داستان ابگنیل شباهت زیادی به کوین میتنیک، پدر مهندسی اجتماعی، دارد، چون او هم با سناریوسازی و نقش بازی کردن موفق به کلاهبرداری و دسترسی غیرمجاز به اطلاعات سازمانها و بعد از دستگیری و حبس، تصمیم گرفت از استعداد خود به عنوان مشاور امنیت سایبری استفاده کند. در واقع، داستان مهندسان اجتماعی شباهت زیادی به یکدیگر دارد، چون روشهایی که برای حملات خود استفاده میکنند، تقریبا یکی است. در اینجا با ۱۰ مورد از معروفترین تکنیکهای مهندسی اجتماعی آشنا خواهید شد:
نقشآفرینی
در این روش متداول که اولین مرحله اکثر ترفندهای مهندسی اجتماعی محسوب میشود، مهاجم ابتدا درباره قربانی تحقیق میکند تا اطلاعات درست و واقعی درباره او، مثلا تاریخ تولد یا کد ملی، به دست آورد. بعد به کمک این اطلاعات یک سناریو خیالی طراحی میکند، با قربانی تماس میگیرد، اعتماد او را جلب میکند و با نقش بازی کردن (مثلا کاربری که به کمک نیاز دارد یا مدیری که از کارمند خود درخواست فوری دارد)، از او میخواهد اطلاعات مهمی را در اختیارش قرار دهد. اغلب همه چیز با یک سلام دوستانه یا جمله «میتوانم کمی وقتتان را بگیرم» شروع میشود و در پایان تماس، سازمان و فرد مورد هدف قرار گرفته، دچار خسارت مالی هنگفتی میشود.
سرقت انحرافی
سرقت انحرافی (diversion theft) هم به صورت سنتی و هم به صورت اینترنتی صورت میگیرد. در مدل سنتی، سارق با ترفند مهندسی اجتماعی راننده پیک را متقاعد میکند محموله را به مکان دیگری برده و به شخص دیگری که گیرنده اصلی نیست، تحویل دهد. سرقت انحرافی در اینترنت به این صورت است که سارق با جعل کردن ایمیل سازمانی، از یکی از کارمندان شرکت مورد هدف میخواهد دادههای حساس و مهم را به ایمیل فرد اشتباهی بفرستد.
فیشینگ
در ترفند فیشینگ (اشاره به ماهیگیری که در آن از طعمه برای گیرانداختن صید استفاده میشود)، فرد مهاجم خود را جای فرد یا نهاد قابل اعتمادی جا میزند و با نقش بازی کردن سعی دارد به دادههای حساس نظیر نام کاربری، رمز عبور یا اطلاعات مربوط به کارتهای اعتباری دسترسی پیدا کند. ایمیلهایی که ادعا میکنند از طرف وبسایتهای معروف، بانکها، حراجیها یا بخش IT سازمانها فرستاده شدند تا از گیرنده، اطلاعات شخصی آنها را بپرسند، مهندسی اجتماعی از نوع فیشینگ (phishing) هستند.
ترفند فیشینگ خود به انواع مختلفی تقسیم میشود:
- فیشینگ با قلاب (angler phishing) که در آن مهاجم در شبکههای اجتماعی، حساب خدمات مشتری جعلی ایجاد میکند؛
- جعل ایمیل سازمانی (BEC) که در آن مهاجم خود را جای یکی از مدیران ارشد سازمان جا میزند و در ایمیلی از کارمند میخواهد پولی را به حساب او بریزد یا داده حساسی را به او ایمیل کند؛
- فارمینگ (pharming) که در آن مهاجم، کاربران را به جای وبسایت اصلی به وبسایت جعلی و کلون شده هدایت میکند تا اطلاعاتی را که کاربر وارد میکند، سرقت کند؛
- فیشینگ نیزهای (spear phishing) که یادآور ماهیگیری با نیزه است و در آن مهاجم حمله خود را تنها روی فرد خاصی متمرکز میکند تا از طریق او بتواند به کل سیستم نفوذ کند.
- تبقاپی (tabnabbing) که در آن مهاجم، تبهای مرورگر کاربر را که مدتی است غیرفعال مانده با محتوای مخرب جایگزین میکند و او را متقاعد میکند اطلاعات خود را برای ورود به وبسایت، در این صفحه جعلی وارد کند.
- شکار نهنگ (whaling) که در آن مهاجم، به جای کاربران عادی، سراغ مدیران ارشد یا اعضای هیئت رئیسه میرود و با ترفند مهندسی اجتماعی سعی میکند اطلاعات بسیار حیاتی سازمان را مستقما از آنها سرقت کند.
حمله چاله آبیاری
در ترفند چاله آبیاری (water-holing)، مهاجم سراغ وبسایتی میرود که گروه هدف به آن اعتماد دارند و مرتب از آن بازدید میکنند. مهاجم درباره این وبسایت تحقیق میکند تا نقاط آسیبپذیر آن را پیدا کند. به مرور زمان، سیستم اعضای گروه هدف به بدافزار آلوده شده و مهاجم راهی برای نفوذ به سیستم پیدا میکند.
طعمهگذاری
طعمهگذاری (Baiting) تکنیکی است که در آن مهاجم چیز به ظاهر وسوسهانگیزی را جلوی چشمان کاربر قرار میدهد و با هدف گرفتن حس طمعش، او را به انجام کار مخربی وسوسه میکند؛ مثلا بدافزار خود را به صورت لینکی در دکمه دانلود رایگان آهنگ مخفی میکند تا کاربر به تصور اینکه قرار است آهنگ موردعلاقه خود را دانلود کند، بدافزار طراحی شده توسط مهاجم را دانلود کرده و باعث آلوده شدن سیستم خود میشود. یا مثلا درایو USB آلوده به بدافزار را در مکان عمومی جا میگذارند تا قربانی به خیال اینکه شانسی آن را پیدا کرده، درایو را به سیستم خود وصل کرده و دسترسی هکر را ممکن کند.
چیزی به جای دیگری
حمله «چیزی به جای دیگری» (Quid Pro Quo) روشی است که در آن مهاجم در ازای وعده منفعتی که قرار است به قربانی برساند، از او درخواست به اشتراکگذاری اطلاعات میکند. مثلا هکر خود را جای پشتیبان IT جا میزند، با کارمندان سازمان هدف تماس گرفته و میگوید برای افزایش امنیت سیستم لازم است پچ امنیتی را که به آنها ایمیل کرده، نصب کنند، غافل از اینکه این بسته حاوی بدافزار است و به محض نصب شدن، به هکر اجازه دسترسی به سیستم را میدهد.
ترسافزار
ترسافزار (scareware) نوعی نرمافزار مخرب است که از طریق ترساندن کاربر، او را متقاعد به انجام کاری میکند. ترسافزار بهطور معمول به شکل پیام هشدار پاپآپ ظاهر شده و به کاربر میگوید برنامه آنتیویروس سیستم آنها نیاز به آپدیت دارد یا محتوای مخربی در دستگاه آنها کشف شده که باید همین حالا پاک شود. این پیام هشدار جعلی کاربر را متقاعد میکند تا بدافزار را دانلود کرده و روی سیستم خود نصب کند؛ بدین ترتیب، هکر با مهندسی اجتماعی و سواستفاده از ترس کاربر موفق به دستیابی به اطلاعات سیستم او میشود.
کلاهبرداری نیجریهای
این مدل حمله مهندسی اجتماعی که به کلاهبرداری «۴۱۹» و «شاهزاده نیجریهای» نیز معروف است، از قربانی میخواهد جزئیات مربوط به حساب بانکی خود یا مبلغی را در اختیار هکر قرار دهد تا در انتقال حجم زیادی پول به خارج از کشور به آنها کمک کنند و سهمی از این انتقال پول برداند. البته که در واقعیت، هیچ انتقالی در کار نیست و کلاهبردار از این راه به حساب بانکی قربانی دسترسی پیدا میکند یا مبلغی را از او گرفته و بعد ناپدید میشود. این کلاهبرداری نام خود را از ماجرای مشابهای که در نیجریه اتفاق افتاد، گرفته است و هنوز هم برخی از کلاهبرداران با ادعای اینکه شاهزاده نیجریه هستند، از کاربران ناآگاه و زودباور کلاهبرداری میکنند. عدد ۴۱۹ نیز به بخشی از قوانین جنایی نیجریه اشاره دارد که این روش را غیرقانونی اعلام کرده است.
نحوه کار مهندسی اجتماعی
اساس حملات مهندسی اجتماعی «سوءاستفاده از احساسات» است. بسیاری از مهندسان اجتماعی روی حس ترس، کنجکاوی، طمع و دلسوزی قربانیان خود تمرکز میکنند، چون این احساسات بین انسانهای سراسر دنیا مشترک است و واکنش ما به آنها تقریبا مشابه است. برخی از حملات مهندسی اجتماعی حتی بدون حضور فیزیکی مهاجم و تنها با برانگیخته کردن حس کنجکاوی قربانی صورت میگیرد. مثلا در سال ۲۰۰۷، هکرها درایوهای USB آلوده به تروجان را در پارکینگی در لندن قرار دادند و افراد از روی کنجکاوی و همچنین طمع دستیابی به وسیلهای رایگان، این درایوهای آلوده را در کمال ناآگاهی به سیستم خود متصل کرده و اجازه دادند بدافزار روی دستگاه آنها نصب و اجرا شود.
از آن طرف، برخی از مهاجمان با سوءاستفاده از حس ترس قربانیان، آنها را تهدید کرده یا از آنها باجخواهی میکنند. تمام بدافزارهایی که به باجافزار (ransomware) معروفاند، که مشهورترین آنها «WannaCry» نام دارد، اطلاعات مهم کاربر را رمزنگاری میکنند و به آنها میگویند تنها راه دسترسی دوباره به این اطلاعات، واریز پول به حساب هکر است. در سناریو معروف دیگر، هکر به صورت رندوم به گروه زیادی از کاربران که ایمیلهای آنها در حملات نقض داده فاش شده، ایمیلی میفرستد و به آنها میگوید عکسهای شخصیشان در اختیار هکر است و اگر به حساب او پولی واریز نکنند، عکسها در اینترنت منتشر میشود.
مهاجمانی نیز که به دروغ وانمود میکنند به کمک نیاز دارند، حس دلسوزی کاربران را تحریک میکنند. میتوان گفت اکثر افرادی که در خیابان با داستانسرایی از رهگذران تقاضای پول میکنند، تاحدی مهندس اجتماعی هستند.
ترفندهایی که مهندسان اجتماعی با سوءاستفاده از احساسات قربانیان خود به کار میگیرند، اغلب به شکلهای زیر ظاهر میشوند:
- لینکهای مخرب به محتوای بزرگسال یا دانلود محتوای رایگان، مثل آهنگ، فیلم، نرمافزار و بازی؛
- استفاده از نام زنانه در کادر فرستنده ایمیل برای جلب اعتماد؛
- ایمیلهای جعلی که به ظاهر از طرف بانک، سرویسهای تراکنش آنلاین یا وبسایتهای مطرح فرستاده شدهاند. این ایمیلها از کاربر میخواهند برای تأیید یا بهروزرسانی اطلاعات، روی لینکی کلیک کنند یا اطلاعات لاگین یا حساب بانکی آنها را سرقت کنند؛
- ایمیلهای تهدیدآمیز که در آنها صحبت از زندان رفتن یا فرایندهای دادگاهی شده است؛
- رویدادهای بزرگ مثل مسابقات ورزشی، پیشبینی بلایای طبیعی یا اخبار فوری؛
- اسامی افراد مشهور و گزارشهای هیجانانگیز درباره ماجراجوییها یا رفتارهای زننده آنها؛
- جعل هویت افراد آشنا و قابلاعتماد مثل افراد فامیل، همکاران و دوستان.
فهرست این ترفندها بیپایان است و مطمئنا شما نیز با برخی از آنها در اینترنت روبهرو شدهاید. هرجا که متوجه شدید فردی احساسات شما را، مخصوصا حس ترس، کنجکاوی، طمع و دلسوزی، برای انجام کاری هدف گرفته است، احتمالا مورد حمله مهندسی اجتماعی قرار گرفتهاید و لازم است با احتیاط فراوان با آن برخورد کنید.
چند مثال از معروفترین حملات مهندسی اجتماعی
یک روش خوب برای آشنایی با ترفندهای مهندسی اجتماعی بررسی حملاتی است که در گذشته صورت گرفتهاند. در این بخش به سه مثال از معروفترین حملات مهندسی اجتماعی اشاره خواهیم کرد:
پیشنهادی که نمیتوان رد کرد؛ از هر کلاهبرداری بپرسید، به شما خواهد گفت آسانترین راه کلاهبرداری هدف قرار دادن حرص و طمع قربانیان است. در واقع اساس کلاهبرداری ۴۱۹ معروف به «کلاهبرداری نیجریهای» نیز همین است. در این کلاهبرداری، فردی که خود را شاهزاده نیجریه معرفی کرده بود، در ایمیلی که برای قربانیان خود فرستاده بود مدعی شد قصد دارد مبالغ هنگفتی را از کشور خارج کند و هر کس به او کمک کند، میتواند ۳۰ درصد مبلغ جابهجا شده را برای خود بردارد. بعد کلاهبردار به بهانه هزینههای حمل و نقل، مبلغی را از قربانیان طلب میکرد و به محض فرستاده شدن پول، بهطور کامل ناپدید میشد.
ایمیلهای «شاهزاده نیجریهای» به خاطر عجیب و مضحک بودن ماجرای آن تا مدتها موضوعی برای خنده بود، اما این روش کلاهبرداری واقعا مؤثر است و در موارد بسیاری موفق عمل کرده است. حتی در ایران نیز کلاهبرداری نیجریهای زیاد اتفاق میافتاد و قربانی میگیرد. مثلا در سال ۹۳، بیش از ۷۰۰ پرونده کلاهبرداری به روش «نیجریهای» در ایران اتفاق افتاد و بیش از ۴۲ میلیارد تومان از مردم کلاهبرداری شد.
طوری تظاهر کن تا باور کنند؛ یکی از سادهترین و به طرز غافلگیرکنندهای، موفقترین تکنیکهای مهندسی اجتماعی این است که خود را جای قربانی جا بزنید. کوین میتنیک در یکی از کلاهبرداریهای اولیه خود با شرکت دیجیتال اکویپمنت که زمانی یکی از بزرگترین کمپانیها در صنعت کامپیوتر بود، تماس گرفت و وانمود کرد یکی از توسعهدهندگان ارشد این شرکت است و نمیتواند به حساب خود وارد شود. او با همین دروغ ساده موفق شد لاگین و رمز عبور جدیدی دریافت کند و به سرورهای شرکت دسترسی پیدا کند. این اتفاق در سال ۱۹۷۹ افتاد و شاید فکر کنید اوضاع از آن سال بهتر شده است، اما متاسفانه اینطور نیست. در سال ۲۰۱۶، هکری به یکی از آدرسهای ایمیل وزارت دادگستری آمریکا دسترسی پیدا کرد و با جعل هویت یکی از کارمندان و گفتن اینکه هفته اول کاریش است، از بخش IT شرکت کمک خواست تا به او دسترسی اینترنت وزارتخانه را بدهد. به همین سادگی!
مثل یک رئیس رفتار کن؛ اکثر ما طوری تربیت شدیم که به مافوق (یا کسی که مثل مافوق رفتار میکند) احترام بگذاریم و هرچه گفت انجام دهیم. اگر طوری رفتار کنید که انگار صاحب شرکت هستید و اجازه دسترسی به اطلاعاتی را دارید که در واقع ندارید، میتوانید دیگران را متقاعد کنید آنچه را که دنبالش هستید، در اختیارتان قرار دهند. مثلا در سال ۲۰۱۵، کارمندان مالی شرکت تکنولوژی یوبیکوئیتی نتورکس، میلیونها دلار را به حساب کلاهبردارانی واریز کردند که از طریق ایمیلهای جعلی ادای مدیران شرکت را در میآوردند. در قدیم هم بازرسانی که برای روزنامههای انگلیسی کار میکردند، به شرکت مخابرات زنگ میزنند و با تظاهر به اینکه یکی از کارمندان این شرکت هستند، اجازه دسترسی به پیامهای صوتی افراد مشهور را پیدا میکردند.
گاهی نیز کلاهبرداران، ایمیل وبسایتهای معتبر را جعل میکنند و برای شما لینکی میفرستند تا با کلیک روی آن امنیت حساب خود را تأیید کنید؛ غافل از اینکه این لینک به بدافزار آلوده است و شما به تصور اینکه این ایمیل واقعا از سمت شرکت معتبر فرستاده شده، به آن اعتماد کردهاید.
راههای محافظت در برابر حملات مهندسی اجتماعی
مقابله با مهندسی اجتماعی شاید از سایر تهدیدهای سایبری دشوارتر باشد، چون در این معادله پای انسان در میان است. تکنیکهای مهندسی اجتماعی نظیر طرحهای هرمی، اسپم، فیشینگ یا حتی کلاهبرداریهای ساده، همه با هدف فریب قربانیان خود از طریق «باگی» که در سخت افزار انسانها وجود دارد، صورت میگیرند و سناریوهای روانشناختی پیچیدهای را ترتیب میدهند تا قربانیان متقاعد شوند اطلاعات شخصی خود یا دیگران را فاش کنند یا کاری انجام دهند که به ضررشان تمام میشود. هر بار وسوسه دانلود موزیک یا نرمافزارهای رایگان شما را فریب داد تا بدافزار دانلود کنید، درواقع قربانی حمله مهندسی اجتماعی قرار گرفتهاید.
اگرچه مقابله با حملات مهندسی اجتماعی بسیار دشوار است، نکات و روشهایی وجود دارد که میتواند ما را تاحدی در برابر این مدل حملات محافظت کند که در ادامه با برخی از آنها آشنا میشوید:
منبع را بررسی کنید
قبل از اینکه به درخواستی پاسخ دهید، به این فکر کنید که این تماس دقیقا از کجا برقرار شده است. بدون بررسی منبع به هیچ تماسی اعتماد نکنید. روی میزتان درایو USB پیدا میکنید و نمیدانید از کجا آمده است؟ تماسی غیرمنتظره به شما میگوید چند میلیون برنده شدهاید؟ ایمیلی از مدیر شرکت از شما میخواهد اطلاعات حساسی را درباره کارمندان دیگر در اختیارش قرار دهید؟ تمام این سناریوها مشکوک هستند و باید با احتیاط با آنها برخورد کرد.
بررسی منبع کار سختی نیست. همیشه آدرس ایمیل را بهطور کامل چک کنید و مطمئن شوید از فرستنده اصلی ارسال شده است. به جای کلیک، اول نشانهگر ماوس را روی لینک نگه دارید تا آدرس آن پدیدار شود. اگر متن ایمیلی که از برند یا شرکت مطرحی دریافت کردهاید، غلط املایی دارد، به احتمال زیاد از جای مطمئنی فرستاده نشده و جعلی است. هروقت به صحت ایمیل یا پیامی مشکوک شدید، به وبسایت رسمی مراجعه کنید یا درباره آن با یکی از نمایندگان به صورت تلفنی صحبت کنید.
منبع چه میداند؟
آیا منبع اطلاعاتی را که انتظار دارید داشته باشد، مثل نام و نام خانوادگی کامل شما را ندارد؟ اگر از طرف بانک یا برند معروفی با شما تماس گرفتند، باید تمام این اطلاعات را داشته باشند و همیشه قبل از اینکه اجازه دهند تغییراتی در حساب خود ایجاد کنید، از شما سوالات امنیتی میپرسند. اگر اینطور نبود، به احتمال زیاد تماس جعلی است و باید با احتیاط با آن برخورد کنید.
چرخه را بشکن
مهندسی اجتماعی معمولا در قربانی خود نوعی حس فوریت ایجاد میکند. مهاجمان میدانند اگر هدفشان وقت کافی برای فکر کردن و بررسی موضوع داشته باشد، ممکن است متوجه حقه آنها شود؛ به همین خاطر، همیشه طوری سناریو را پیادهسازی میکنند که هدف مجبور شود در لحظه تصمیمگیری کند. هروقت با چنین تماسی روبهرو شدید، در پاسخ به آن عجله نکنید. به جای کلیک کردن روی لینک یا دادن اطلاعاتی که مهاجم از شما میخواهد، با شماره اصلی شرکت تماس بگیرید یا به وبسایت آن رجوع کنید تا اعتبار منبع را چک کنید. اگر دوست یا مدیر شرکت در ایمیلی از شما خواست سریعا به حساب او پول واریز کنید، قبل از این کار به او زنگ بزنید و مطمئن شوید که این ایمیل واقعا از طرف او فرستاده شده است.
از او کارت شناسایی بخواهید
یکی از آسانترین راههای حمله مهندسی اجتماعی برای ورود غیرمجاز، در دست داشتن جعبه بزرگ یا تعداد زیادی پرونده است، بهطوریکه فرد نتواند کارت شناسایی خود را هنگام ورود به نگهبان نشان بدهد. اگر شما با چنین صحنهای مواجه شدید، فریب این ترفند را نخورید و همیشه از فردی که قصد ورود به ساختمان را دارد، کارت شناسایی درخواست کنید.
اگر روش حمله از طریق تماس تلفنی بود، باز هم به همین شکل عمل کنید و از فردی که تماس گرفته، تمام اطلاعات لازم را بپرسید. اگر او را نمیشناسید و نسبت به دادن اطلاعات به او حس خوبی ندارید، بگویید باید موضوع را با فرد دیگری چک کنید و بعدا با او تماس میگیرید.
از فیلتر اسپم بهتری استفاده کنید
اگر سرویس ایمیلی که از آن استفاده میکنید، تمام اسپمها را فیلتر نمیکند، بهتر است از فیلترکننده اسپم بهتری کمک بگیرید. این فیلترکنندهها قادرند به کمک لیست سیاهی از IPهای مشکوک یا بررسی محتوا، فایلها یا لینکهای مشکوک را شناسایی کنند و آنها را به بخش اسپم ایمیل شما بفرستند.
چقدر داستان واقعبینانه است؟
برخی از حملات مهندسی اجتماعی فرد را در موقعیتی اورژانسی قرار میدهند که نتواند به ماجرا به صورت نقادانه نگاه کند. اگر بتوانید در این شرایط بررسی کنید که چقدر ماجرا واقعبینانه است، میتوانید از به دام افتادن در تله مهندسان اجتماعی در امان باشید. مثلا، اگر دوستتان در مخمصهای گیر افتاده و به پول نیاز دارد، آیا به شما ایمیل میزند یا تماس میگیرد؟ چقدر احتمال دارد فامیل دوری که نمیشناسید در وصیتنامه خود نامی از شما برده باشد؟ آیا بانک ممکن است به شما زنگ بزند و از شما اطلاعات حسابتان را بخواهد؟
در کل، هربار در مکالمهای متوجه حس فوریت شدید با احتیاط با آن برخورد کنید. بگویید برای دسترسی به اطلاعات به زمان نیاز دارید یا باید از مافوق خود سؤال کنید. در این شرایط عجله نکنید. بسیاری از مهندسان اجتماعی بعد از اینکه ببینند شما در همان لحظه حاضر به همکاری نیستید، از ادامه حمله منصرف میشوند.
امنیت دستگاههای خود را بالا ببرید
اگر دستگاههای هوشمند شما از امنیت بالایی برخوردار باشند، حتی در شرایطی که مهندس اجتماعی موفق به حمله شده است، دسترسیاش به اطلاعات محدود خواهد بود. برای افزایش امنیت گوشی هوشمند یا شبکه خانگی یا حتی سیستم شرکت بزرگ:
- همیشه نرمافزار آنتی ویروس خود را بهروزرسانی کنید تا ایمیلهای فیشینگ نتوانند روی سیستم شما بدافزار نصب کنند.
- پچهای امنیتی سیستم عامل و نرمافزارهای خود را در سریعترین زمان ممکن نصب کنید.
- گوشی خود را در حال روت یا شبکه و پیسی خود را در حالت administrator اجرا نکنید تا درصورت دسترسی مهاجم به اکانت شما، قادر نباشد روی آن بدافزار نصب کند.
- از به کار بردن رمزعبور یکسان برای اکانتهای مختلف خودداری کنید تا در صورت دسترسی مهاجم به یکی از حسابهای شما، سایر اکانتها در امان باشند.
- برای اکانتهای حیاتی حتما از احراز هویت دو عاملی استفاده کنید.
مراقب ردپای دیجیتالی خود باشید
اگر عادت دارید در شبکههای اجتماعی اطلاعات شخصی خود را به اشتراک بگذارید، طعمه خوبی برای مهندسان اجتماعی هستید. مثلا یکی از سوالات امنیتی اکانت ممکن است نام حیوان خانگی باشد. اگر در شبکههای اجتماعی نام حیوان خانگی خود را عنوان کرده باشید، ممکن است مورد حمله مهندسی اجتماعی قرار بگیرید. توصیه میشود پستهای خود را در شبکههای اجتماعی تنها با دوستان به اشتراک بگذارید و به جنبههای دیگر زندگی شخصی خود که در اینترنت منتشر کردهاید، نیز خوب فکر کنید. مثلا اگر رزومه آنلاین دارید، آدرس، شماره تلفن و تاریخ تولد را از آن حذف کنید.
مهندسی اجتماعی از آن رو اینقدر خطرناک است که از موقعیت بسیار نرمال و به ظاهر بیخطر برای رسیدن به مقاصد پلید استفاده میکند. با این حال، آشنایی با ترفندهای مهندسی اجتماعی و احتیاط میتواند خطر به دام افتادن در نقشههای این مهاجمان را کاهش دهد.
حرف آخر
اسمش را هرچه میخواهید بگذارید؛ مهندسی اجتماعی، حقه اطمینان، سوگیری شناختی یا کلاهبرداری. سوءاستفاده از سادگی و اعتماد افراد همانقدر این روزها شایع است که از ابتدای تاریخ بوده است. از هر متخصص امنیت سایبری که بپرسید به شما خواهد گفت ضعیفترین و آسیبپذیرترین حلقه در زنجیره امنیت، انسانها هستند. ما میتوانیم پیشرفتهترین نرمافزار را برای حفاظت از سیستمهای کامپیوتری توسعه دهیم، سختگیرانهترین سیاستهای امنیتی را به کار گیریم و کاربران را به بهترین شکل آموزش دهیم؛ با این حال، تا زمانی که اجازه دهیم حس کنجکاوی و طمع ما بدون توجه به پیامدها تصمیمگیرنده باشند، ممکن است هر لحظه با تراژدی تروجان خودمان روبهرو شویم.
یک جمله معروف است که میگوید: «یک کامپیوتر امن، یک کامپیوتر خاموش است.» جمله هوشمندانهای است، اما نادرست است. یک مهندس اجتماعی میتواند شما را متقاعد کند وارد دفتر کار شده و کامپیوتر خود را روشن کنید. مهاجمی که در پی به دست آوردن اطلاعات شما باشد، میتواند با صبر، پافشاری و شخصیت کاریزماتیک خود آن را در نهایت به دست آورد؛ به این میگویند هنر فریبکاری.
واقعیت این است که هیچ تکنولوژیای در دنیا قادر نیست از حمله مهندسی اجتماعی جلوگیری کند. تنها راه این است که تمام افراد سازمان از وجود مهاجمانی که قصد دارند با فریب و ترفند، آنها را مورد دستکاری روانشناختی قرار دهند، باخبر باشند و درباره اینکه چه اطلاعاتی و چگونه باید از آنها محافظت شود، آموزش ببینند. به محض اینکه از تمام راههایی که ممکن است احساسات و افکار شما در جهت منافع مهاجم دستکاری شود، به درک بهتری برسید، بهتر متوجه خواهید شد که مورد حمله مهندسی اجتماعی قرار گرفتهاید.