social engineering attacks

مهندسی اجتماعی (social engineering) اصطلاحی است که برای طیف گسترده ای از فعالیت های مخرب که از طریق تعاملات انسانی انجام می شود استفاده می شود. از دستکاری روانشناختی برای فریب کاربران برای انجام اشتباهات امنیتی یا ارائه اطلاعات حساس استفاده می کند.

حملات social engineering در یک یا چند مرحله اتفاق می افتد. مرتکب ابتدا قربانی مورد نظر را مورد بررسی قرار می دهد تا اطلاعات پس زمینه لازم مانند نقاط ورود احتمالی و پروتکل های امنیتی ضعیف مورد نیاز برای ادامه حمله را جمع آوری کند. سپس، مهاجم برای جلب اعتماد قربانی حرکت می‌کند و محرک‌هایی را برای اقدامات بعدی که رویه‌های امنیتی را نقض می‌کنند، مانند افشای اطلاعات حساس یا اجازه دسترسی به منابع حیاتی، فراهم می‌کند.

چیزی که مهندسی اجتماعی را به ویژه خطرناک می کند این است که به جای آسیب پذیری در نرم افزار و سیستم عامل، به خطای انسانی متکی است. اشتباهات مرتکب شده توسط کاربران قانونی بسیار کمتر قابل پیش بینی است و شناسایی و خنثی کردن آنها را سخت تر از نفوذ مبتنی بر بدافزار می کند.

تکنیک های حمله social engineering

حملات مهندسی اجتماعی اشکال مختلفی دارند و می توانند در هر جایی که تعامل انسانی درگیر باشد انجام شوند. در زیر پنج مورد از رایج‌ترین شکل‌های حمله مهندسی اجتماعی دیجیتال آورده شده است.

طعمه گذاری

همانطور که از نامش پیداست، حملات طعمه از یک وعده دروغین برای تحریک حرص و طمع یا کنجکاوی قربانی استفاده می کنند. آنها کاربران را به دامی می کشانند که اطلاعات شخصی آنها را می دزدد یا سیستم های آنها را با بدافزار تحمیل می کند.

مذموم ترین شکل طعمه گذاری از رسانه های فیزیکی برای پراکنده کردن بدافزارها استفاده می کند. به عنوان مثال، مهاجمان طعمه - معمولاً درایوهای فلش آلوده به بدافزار - را در مناطق آشکاری که قربانیان احتمالی آنها را می بینند (مانند حمام، آسانسور، پارکینگ یک شرکت هدف) رها می کنند. طعمه ظاهری معتبر دارد، مانند برچسبی که آن را به عنوان لیست حقوق و دستمزد شرکت معرفی می کند.

قربانیان از روی کنجکاوی طعمه را برمی دارند و آن را در رایانه محل کار یا خانگی قرار می دهند که در نتیجه بدافزار به طور خودکار روی سیستم نصب می شود.

کلاهبرداری با طعمه لزوماً نباید در دنیای فیزیکی انجام شود. شکل‌های آنلاین طعمه‌گذاری شامل تبلیغات فریبنده‌ای است که به سایت‌های مخرب منتهی می‌شود یا کاربران را به دانلود برنامه‌های آلوده به بدافزار تشویق می‌کند.

ابزار ترسناک

Scareware شامل بمباران قربانیان با هشدارهای نادرست و تهدیدهای ساختگی است. کاربران فریب می‌خورند و فکر می‌کنند سیستمشان به بدافزار آلوده شده است، و آنها را وادار می‌کند نرم‌افزاری را نصب کنند که هیچ سود واقعی (غیر از مجرم) ندارد یا خود بدافزار است. Scareware همچنین به عنوان نرم افزار فریب، نرم افزار اسکنر سرکش و کلاهبرداری شناخته می شود.

Scareware همچنین از طریق ایمیل های هرزنامه توزیع می شود که هشدارهای جعلی را ارائه می دهد یا به کاربران پیشنهاد خرید خدمات بی ارزش/مضر می دهد.

بهانه دادن

در اینجا یک مهاجم اطلاعاتی را از طریق یک سری دروغ های هوشمندانه به دست می آورد. کلاهبرداری اغلب توسط مجرمی آغاز می شود که وانمود می کند برای انجام یک کار مهم به اطلاعات حساس قربانی نیاز دارد.

مهاجم معمولاً با ایجاد اعتماد به قربانی خود با جعل هویت همکاران، پلیس، مقامات بانکی و مالیاتی یا سایر افرادی که دارای اختیارات حق شناخت هستند، شروع می کند. پیشگو سوالاتی می پرسد که ظاهراً برای تأیید هویت قربانی مورد نیاز است و از طریق آنها اطلاعات شخصی مهمی را جمع آوری می کند.

انواع اطلاعات و سوابق مرتبط با استفاده از این کلاهبرداری جمع آوری می شود، مانند شماره های تامین اجتماعی، آدرس ها و شماره تلفن های شخصی، سوابق تلفن، تاریخ تعطیلات کارکنان، سوابق بانکی و حتی اطلاعات امنیتی مربوط به یک کارخانه فیزیکی.

فیشینگ

به عنوان یکی از محبوب ترین انواع حملات social engineering، کلاهبرداری های فیشینگ، کمپین های ایمیل و پیام های متنی هستند که با هدف ایجاد حس فوریت، کنجکاوی یا ترس در قربانیان انجام می شود. سپس آنها را وادار می کند تا اطلاعات حساس را فاش کنند، روی پیوندهای وب سایت های مخرب کلیک کنند یا پیوست های حاوی بدافزار را باز کنند.

با توجه به اینکه پیام‌های یکسان یا تقریباً یکسان برای همه کاربران در کمپین‌های فیشینگ ارسال می‌شوند، شناسایی و مسدود کردن آنها برای سرورهای ایمیلی که به پلتفرم‌های اشتراک‌گذاری تهدید دسترسی دارند بسیار آسان‌تر است.

نیزه فیشینگ

این یک نسخه هدفمندتر از کلاهبرداری فیشینگ است که به موجب آن یک مهاجم افراد یا شرکت های خاصی را انتخاب می کند. سپس پیام‌های خود را بر اساس ویژگی‌ها، موقعیت‌های شغلی و تماس‌های متعلق به قربانیان خود تنظیم می‌کنند تا حمله آنها کمتر آشکار شود. فیشینگ نیزه ای به تلاش بسیار بیشتری از طرف مجرم نیاز دارد و ممکن است هفته ها و ماه ها طول بکشد تا انجام شود. تشخیص آنها بسیار سخت تر است و اگر به طور ماهرانه انجام شوند، میزان موفقیت بهتری خواهند داشت.

یک سناریوی فیشینگ نیزه ای ممکن است شامل مهاجمی باشد که با جعل هویت مشاور فناوری اطلاعات سازمان، ایمیلی را برای یک یا چند کارمند ارسال می کند. دقیقاً همانطور که مشاور معمولاً انجام می دهد، جمله بندی و امضا می شود، در نتیجه گیرندگان را فریب می دهد تا فکر کنند که یک پیام معتبر است. این پیام از گیرندگان می خواهد که رمز عبور خود را تغییر دهند و پیوندی را در اختیار آنها قرار می دهد که آنها را به یک صفحه مخرب هدایت می کند که در آن مهاجم اکنون اعتبار آنها را ضبط می کند.

پیشگیری از حملات social engineering

مهندسان اجتماعی احساسات انسانی مانند کنجکاوی یا ترس را دستکاری می کنند تا نقشه ها را اجرا کنند و قربانیان را به دام خود بکشانند. بنابراین، هر زمان که احساس می‌کنید از یک ایمیل نگران می‌شوید، به پیشنهادی که در یک وب‌سایت نمایش داده می‌شود جذب می‌شوید، یا زمانی که با رسانه‌های دیجیتال سرگردان مواجه می‌شوید که درباره آن دروغ می‌گویند، محتاط باشید. هوشیار بودن می تواند به شما کمک کند از خود در برابر بیشتر حملات مهندسی اجتماعی که در حوزه دیجیتال رخ می دهند محافظت کنید.

علاوه بر این، نکات زیر می تواند به بهبود هوشیاری شما در رابطه با هک های مهندسی اجتماعی کمک کند.

ایمیل‌ها و پیوست‌های منابع مشکوک را باز نکنید – اگر فرستنده مورد نظر را نمی‌شناسید، نیازی به پاسخ دادن به ایمیل ندارید. حتی اگر آنها را می شناسید و در مورد پیام آنها مشکوک هستید، اخبار را از منابع دیگر، از جمله از طریق تلفن یا مستقیماً از سایت ارائه دهنده خدمات، بررسی و تأیید کنید. به یاد داشته باشید که آدرس های ایمیل همیشه جعلی هستند. حتی ایمیلی که ظاهراً از یک منبع قابل اعتماد می آید، ممکن است در واقع توسط یک مهاجم آغاز شده باشد.
از احراز هویت چند عاملی استفاده کنید - یکی از با ارزش ترین اطلاعاتی که مهاجمان به دنبال آن هستند، اعتبار کاربر است. استفاده از احراز هویت چندعاملی به اطمینان از محافظت از حساب شما در صورت به خطر افتادن سیستم کمک می کند. Imperva Login Protect یک راه حل ۲FA با قابلیت استقرار آسان است که می تواند امنیت حساب را برای برنامه های شما افزایش دهد.
مراقب پیشنهادات وسوسه انگیز باشید - اگر پیشنهادی خیلی فریبنده به نظر می رسد، قبل از پذیرش آن به عنوان واقعیت، دو بار فکر کنید. جستجوی موضوع در گوگل به شما کمک می کند تا به سرعت تشخیص دهید که آیا با یک پیشنهاد قانونی یا یک تله سروکار دارید.
نرم افزار آنتی ویروس/ضد بدافزار خود را به روز نگه دارید – مطمئن شوید که به روز رسانی های خودکار انجام شده است یا دانلود کردن آخرین امضاها را به عادت تبدیل کنید. به‌صورت دوره‌ای بررسی کنید تا مطمئن شوید که به‌روزرسانی‌ها اعمال شده‌اند و سیستم خود را برای عفونت‌های احتمالی اسکن کنید.