social engineering attacks
توسط Fateme Zahra
مهندسی اجتماعی (social engineering) اصطلاحی است که برای طیف گسترده ای از فعالیت های مخرب که از طریق تعاملات انسانی انجام می شود استفاده می شود. از دستکاری روانشناختی برای فریب کاربران برای انجام اشتباهات امنیتی یا ارائه اطلاعات حساس استفاده می کند.
حملات social engineering در یک یا چند مرحله اتفاق می افتد. مرتکب ابتدا قربانی مورد نظر را مورد بررسی قرار می دهد تا اطلاعات پس زمینه لازم مانند نقاط ورود احتمالی و پروتکل های امنیتی ضعیف مورد نیاز برای ادامه حمله را جمع آوری کند. سپس، مهاجم برای جلب اعتماد قربانی حرکت میکند و محرکهایی را برای اقدامات بعدی که رویههای امنیتی را نقض میکنند، مانند افشای اطلاعات حساس یا اجازه دسترسی به منابع حیاتی، فراهم میکند.
چیزی که مهندسی اجتماعی را به ویژه خطرناک می کند این است که به جای آسیب پذیری در نرم افزار و سیستم عامل، به خطای انسانی متکی است. اشتباهات مرتکب شده توسط کاربران قانونی بسیار کمتر قابل پیش بینی است و شناسایی و خنثی کردن آنها را سخت تر از نفوذ مبتنی بر بدافزار می کند.
تکنیک های حمله social engineering
حملات مهندسی اجتماعی اشکال مختلفی دارند و می توانند در هر جایی که تعامل انسانی درگیر باشد انجام شوند. در زیر پنج مورد از رایجترین شکلهای حمله مهندسی اجتماعی دیجیتال آورده شده است.
طعمه گذاری
همانطور که از نامش پیداست، حملات طعمه از یک وعده دروغین برای تحریک حرص و طمع یا کنجکاوی قربانی استفاده می کنند. آنها کاربران را به دامی می کشانند که اطلاعات شخصی آنها را می دزدد یا سیستم های آنها را با بدافزار تحمیل می کند.
مذموم ترین شکل طعمه گذاری از رسانه های فیزیکی برای پراکنده کردن بدافزارها استفاده می کند. به عنوان مثال، مهاجمان طعمه - معمولاً درایوهای فلش آلوده به بدافزار - را در مناطق آشکاری که قربانیان احتمالی آنها را می بینند (مانند حمام، آسانسور، پارکینگ یک شرکت هدف) رها می کنند. طعمه ظاهری معتبر دارد، مانند برچسبی که آن را به عنوان لیست حقوق و دستمزد شرکت معرفی می کند.
قربانیان از روی کنجکاوی طعمه را برمی دارند و آن را در رایانه محل کار یا خانگی قرار می دهند که در نتیجه بدافزار به طور خودکار روی سیستم نصب می شود.
کلاهبرداری با طعمه لزوماً نباید در دنیای فیزیکی انجام شود. شکلهای آنلاین طعمهگذاری شامل تبلیغات فریبندهای است که به سایتهای مخرب منتهی میشود یا کاربران را به دانلود برنامههای آلوده به بدافزار تشویق میکند.
ابزار ترسناک
Scareware شامل بمباران قربانیان با هشدارهای نادرست و تهدیدهای ساختگی است. کاربران فریب میخورند و فکر میکنند سیستمشان به بدافزار آلوده شده است، و آنها را وادار میکند نرمافزاری را نصب کنند که هیچ سود واقعی (غیر از مجرم) ندارد یا خود بدافزار است. Scareware همچنین به عنوان نرم افزار فریب، نرم افزار اسکنر سرکش و کلاهبرداری شناخته می شود.
Scareware همچنین از طریق ایمیل های هرزنامه توزیع می شود که هشدارهای جعلی را ارائه می دهد یا به کاربران پیشنهاد خرید خدمات بی ارزش/مضر می دهد.
بهانه دادن
در اینجا یک مهاجم اطلاعاتی را از طریق یک سری دروغ های هوشمندانه به دست می آورد. کلاهبرداری اغلب توسط مجرمی آغاز می شود که وانمود می کند برای انجام یک کار مهم به اطلاعات حساس قربانی نیاز دارد.
مهاجم معمولاً با ایجاد اعتماد به قربانی خود با جعل هویت همکاران، پلیس، مقامات بانکی و مالیاتی یا سایر افرادی که دارای اختیارات حق شناخت هستند، شروع می کند. پیشگو سوالاتی می پرسد که ظاهراً برای تأیید هویت قربانی مورد نیاز است و از طریق آنها اطلاعات شخصی مهمی را جمع آوری می کند.
انواع اطلاعات و سوابق مرتبط با استفاده از این کلاهبرداری جمع آوری می شود، مانند شماره های تامین اجتماعی، آدرس ها و شماره تلفن های شخصی، سوابق تلفن، تاریخ تعطیلات کارکنان، سوابق بانکی و حتی اطلاعات امنیتی مربوط به یک کارخانه فیزیکی.
فیشینگ
به عنوان یکی از محبوب ترین انواع حملات social engineering، کلاهبرداری های فیشینگ، کمپین های ایمیل و پیام های متنی هستند که با هدف ایجاد حس فوریت، کنجکاوی یا ترس در قربانیان انجام می شود. سپس آنها را وادار می کند تا اطلاعات حساس را فاش کنند، روی پیوندهای وب سایت های مخرب کلیک کنند یا پیوست های حاوی بدافزار را باز کنند.
با توجه به اینکه پیامهای یکسان یا تقریباً یکسان برای همه کاربران در کمپینهای فیشینگ ارسال میشوند، شناسایی و مسدود کردن آنها برای سرورهای ایمیلی که به پلتفرمهای اشتراکگذاری تهدید دسترسی دارند بسیار آسانتر است.
نیزه فیشینگ
این یک نسخه هدفمندتر از کلاهبرداری فیشینگ است که به موجب آن یک مهاجم افراد یا شرکت های خاصی را انتخاب می کند. سپس پیامهای خود را بر اساس ویژگیها، موقعیتهای شغلی و تماسهای متعلق به قربانیان خود تنظیم میکنند تا حمله آنها کمتر آشکار شود. فیشینگ نیزه ای به تلاش بسیار بیشتری از طرف مجرم نیاز دارد و ممکن است هفته ها و ماه ها طول بکشد تا انجام شود. تشخیص آنها بسیار سخت تر است و اگر به طور ماهرانه انجام شوند، میزان موفقیت بهتری خواهند داشت.
یک سناریوی فیشینگ نیزه ای ممکن است شامل مهاجمی باشد که با جعل هویت مشاور فناوری اطلاعات سازمان، ایمیلی را برای یک یا چند کارمند ارسال می کند. دقیقاً همانطور که مشاور معمولاً انجام می دهد، جمله بندی و امضا می شود، در نتیجه گیرندگان را فریب می دهد تا فکر کنند که یک پیام معتبر است. این پیام از گیرندگان می خواهد که رمز عبور خود را تغییر دهند و پیوندی را در اختیار آنها قرار می دهد که آنها را به یک صفحه مخرب هدایت می کند که در آن مهاجم اکنون اعتبار آنها را ضبط می کند.
پیشگیری از حملات social engineering
مهندسان اجتماعی احساسات انسانی مانند کنجکاوی یا ترس را دستکاری می کنند تا نقشه ها را اجرا کنند و قربانیان را به دام خود بکشانند. بنابراین، هر زمان که احساس میکنید از یک ایمیل نگران میشوید، به پیشنهادی که در یک وبسایت نمایش داده میشود جذب میشوید، یا زمانی که با رسانههای دیجیتال سرگردان مواجه میشوید که درباره آن دروغ میگویند، محتاط باشید. هوشیار بودن می تواند به شما کمک کند از خود در برابر بیشتر حملات مهندسی اجتماعی که در حوزه دیجیتال رخ می دهند محافظت کنید.
علاوه بر این، نکات زیر می تواند به بهبود هوشیاری شما در رابطه با هک های مهندسی اجتماعی کمک کند.
ایمیلها و پیوستهای منابع مشکوک را باز نکنید – اگر فرستنده مورد نظر را نمیشناسید، نیازی به پاسخ دادن به ایمیل ندارید. حتی اگر آنها را می شناسید و در مورد پیام آنها مشکوک هستید، اخبار را از منابع دیگر، از جمله از طریق تلفن یا مستقیماً از سایت ارائه دهنده خدمات، بررسی و تأیید کنید. به یاد داشته باشید که آدرس های ایمیل همیشه جعلی هستند. حتی ایمیلی که ظاهراً از یک منبع قابل اعتماد می آید، ممکن است در واقع توسط یک مهاجم آغاز شده باشد.
از احراز هویت چند عاملی استفاده کنید - یکی از با ارزش ترین اطلاعاتی که مهاجمان به دنبال آن هستند، اعتبار کاربر است. استفاده از احراز هویت چندعاملی به اطمینان از محافظت از حساب شما در صورت به خطر افتادن سیستم کمک می کند. Imperva Login Protect یک راه حل ۲FA با قابلیت استقرار آسان است که می تواند امنیت حساب را برای برنامه های شما افزایش دهد.
مراقب پیشنهادات وسوسه انگیز باشید - اگر پیشنهادی خیلی فریبنده به نظر می رسد، قبل از پذیرش آن به عنوان واقعیت، دو بار فکر کنید. جستجوی موضوع در گوگل به شما کمک می کند تا به سرعت تشخیص دهید که آیا با یک پیشنهاد قانونی یا یک تله سروکار دارید.
نرم افزار آنتی ویروس/ضد بدافزار خود را به روز نگه دارید – مطمئن شوید که به روز رسانی های خودکار انجام شده است یا دانلود کردن آخرین امضاها را به عادت تبدیل کنید. بهصورت دورهای بررسی کنید تا مطمئن شوید که بهروزرسانیها اعمال شدهاند و سیستم خود را برای عفونتهای احتمالی اسکن کنید.
پست های توصیه شده
کلان داده
14 مهر, 1402
تحول دیجیتال
14 مهر, 1402
تجزیه و تحلیل داده ها
14 مهر, 1402