مهندسي اجتماعي چيست ؛ وقتي به جاي سيستم‌ها، انسان‌ها هك مي‌شوند!

نائوكي هيروشيما متخصص عادي توييتر مثل من و شما بود؛ با اين تفاوت كه نام متخصصي حساب توييترش خاص و تك‌حرفي (N@) بود و برخي حاضر بودند تا ۵۰ هزار دلار براي خريدش پول بدهند. اما در يكي از روزهاي سال ۲۰۱۴، نائوكي مجبور شد نام متخصصي تك‌حرفي ۵۰ هزار دلاري خود را دراختيار هكري قرار دهد كه موفق شد با ترفندي ساده به آنچه مي‌خواست برسد.

ماجرا از اين قرار بود كه هكر براي دزديدن نام متخصصي توييتر نائوكي به خدمات مشتري پي‌پال زنگ زده و با وانمود كردن به اينكه متخصص بخش ديگر اين شركت است، اطلاعات مربوط به چهار رقم آخر كارت اعتباري نائوكي را از آن‌ها مي‌گيرد. بعد با شركت ثبت دامنه و ميزباني وب GoDaddy تماس مي‌گيرد كه وب‌سايت نائوكي در آنجا ميزباني مي‌شد. اين هكر با داشتن چهار رقم كارت اعتباري، از GoDaddy مي‌خواهد رمزعبور وب‌سايت نائوكي را ريست كند. حالا هكر اين قدرت را داشت تا تمام اطلاعات وب‌سايت نائوكي را پاك كند و اين تهديد كافي بود تا نائوكي حاضر شود نام متخصصي خود را دراختيار هكر قرار دهد.

خوشبختانه نائوكي بعدا موفق شد نام متخصصي خود را پس بگيرد، اما اتفاقي كه براي او افتاد نوعي حمله مهندسي اجتماعي بود كه مدت‌ها است بسياري از متخصصان اينترنت و متخصصان سازمان‌هاي كوچك و بزرگ را با دردسرهاي جدي روبه‌رو كرده است. بارها شده هكرها با نقش بازي كردن، تهديد و ترفندهاي ديگر، كنترل اكانت‌هاي متخصصان را به دست گرفته‌ يا مبالغ زيادي را به حساب‌هاي بانكي خود سرازير كرده‌اند. براي بسياري از افراد، امنيت اكانت‌هاي اينترنتي توهمي بيش نيست.

مهندسي اجتماعي اگرچه اصطلاح نسبتاً مدرني است، پديده‌اي است كه از ديرباز و زماني كه انسان‌ها با يكديگر شروع به تعامل كرده‌اند، وجود داشته است. فلسفه مهندسي اجتماعي از اين قرار است: تو چيزي داري كه من مي‌خواهم و من مي‌خواهم تو را به هر طريقي قانع كنم آن را به من بدهي يا كاري را كه من مي‌خواهم انجام دهي، حتي اگر به ضررت تمام شود.

اصطلاح مهندسي اجتماعي توسط كوين ميتنيك كه خود يكي از معروف‌ترين مهندسان اجتماعي عصر حاضر است (اما ديگر توبه كرده و اكنون به‌عنوان متخصص امنيت سايبري فعاليت مي‌كند)، سر زبان‌ها افتاد. مهندسي اجتماعي در دوران مدرن و در حوزه امنيت سايبري، هنر فريب دادن، سواستفاده از نقطه‌ضعف‌ها و تحت تأثير قرار دادن فرد براي انجام كاري كه به ضرر او است يا دسترسي به داده‌هاي شخصي و حساس در سيستم‌هاي كامپيوتري است. هكر يا مهندس اجتماعي ازطريق تلفن، پيامك، رايانامه، درايو USB آلوده يا تعامل حضوري و به كمك ترفندهاي زيركانه‌اي موفق مي‌شود آنچه را كه به دنبالش است، نه به كمك بدافزار و حملات سايبري، بلكه تنها ازطريق پرسيدن از فردي كه به اين اطلاعات دسترسي دارد، به دست آورد.

ريشه‌هاي مهندسي اجتماعي را مي‌توان در داستان‌هاي كهن، به‌خصوص اسطوره‌هاي يونان، از داستان پرومتئوس كه با ترفندي زئوس را فريب داد و آتش را به انسان‌ها بخشيد تا داستان مشهور اسب تروآ يافت كه اتفاقا نام خود را به شايع‌ترين نوع بدافزار داده است.

داستان اسب تروآ به جرات يكي از جذاب‌ترين نمونه‌هاي مهندسي اجتماعي است. در زمان جنگ تروآ، هنگامي كه يونانيان به مدت ده سال پشت دروازه‌هاي شهر تروجان از پيشروي بازمانده بودند، يكي از جنگجويان حيله‌گر يوناني به نام اديسه كه به حق مهندس اجتماعي زبردستي بود، نقشه‌اي ريخت تا همرزمانش بتوانند به داخل شهر راه پيدا كنند؛ نه به زور و شكستن ديوارهاي شهر، بلكه به دست خود تروجان‌ها. به دستور اوديسه، سربازان يوناني اسب چوبي غول‌پيكري ساختند و درون آن مخفي شدند. بعد، برخي از آن‌ها با كشتي تروجان را ترك كردند تا اهالي شهر فكر كنند يوناني‌ها شكست را پذيرفته و در حال عقب‌نشيني هستند.

بااين‌حال، يك سرباز يوناني كنار اسب غول‌پيكر بيرون دروازه شهر باقي ماند. اين سرباز كه سينون نام داشت، به اهالي شهر تروجان گفت كه اين اسب پيشكش يونانيان به خدايان است تا جان آن‌ها را در طول سفر بازگشت به خانه حفظ كنند؛ اين اسب هم از اين جهت به اين اندازه بزرگ ساخته شده تا اهالي شهر نتوانند آن را به داخل ببرند و يوناني‌هاي سوار بر كشتي را با بداقبالي روبه‌رو كنند. تروجان‌ها فريب حرف‌هاي سينون را خوردند و براي نفرين سربازهاي يوناني، تصميم گرفتند اسب را به داخل شهر بياورند؛ غافل از اينكه درون اين اسب، سربازهاي يوناني در انتظار به آتش كشيدن شهر بودند. به خاطر حمله مهندسي اجتماعي اوديسه، يوناني‌ها در جنگي كه به چشم تروجان‌ها باخته بودند، پيروز شدند.

كوين ميتنيك (Kevin Mitnick) را پدر مهندسي اجتماعي مي‌دادند، چون او بود كه در دهه ۱۹۹۰، بعد از سال‌ها به‌كارگيري حقه و ترفند براي دستيباي به اطلاعات و دستكاري روانشناختي افراد، اصطلاح مهندسي اجتماعي را در دنياي امنيت سايبري به شهرت رساند. ميتنيك درحاليكه فقط ۱۳ سال داشت با حقه مهندسي اجتماعي به‌طور رايگان از اتوبوس‌هاي لس‌آنجلس استفاده مي‌كرد و بعدها موفق شد به شبكه‌هاي شركت ديجيتال اكويپمنت و شركت مخابراتي پسيفيك بلز دسترسي غيرمجاز پيدا كند. ماجراجويي‌هاي ميتنيك در حوزه مهندسي اجتماعي به قدري شاخ و برگ پيدا كرده بود كه وقتي سرانجام به زندان افتاد، درباره او مي‌گفتند كه مي‌تواند «با سوت زدن از پشت خط تلفن، جنگ اتمي راه بيندازد.»

در فيلم «اگه مي‌توني منو بگير» (۲۰۰۲) به نيروي سادهداني استيون اسپيلبرگ، لئوناردو دي‌كاپريو نقش كلاهبردار زبردستي به نام فرانك ابگنيل را بازي مي‌كند كه قبل از ۱۹ سالگي‌اش، با جا زدن خود به‌عنوان خلبان هواپيما، دكتر و وكيل، موفق شد ميليون‌ها دلار به جيب بزند. ابگنيل بعدها از استعداد خود در امر مهندسي اجتماعي استفاده كرد تا به‌عنوان مشاور امنيتي مشغول به كار شود.

داستان ابگنيل شباهت زيادي به كوين ميتنيك، پدر مهندسي اجتماعي، دارد، چون او هم با سناريوسازي و نقش بازي كردن موفق به كلاهبرداري و دسترسي غيرمجاز به اطلاعات سازمان‌ها و بعد از دستگيري و حبس، تصميم گرفت از استعداد خود به‌عنوان مشاور امنيت سايبري استفاده كند. در واقع، داستان مهندسان اجتماعي شباهت زيادي به يكديگر دارد، چون روش‌هايي كه براي حملات خود استفاده مي‌كنند، تقريباً يكي است. در اينجا با ۱۰ مورد از معروف‌ترين تكنيك‌هاي مهندسي اجتماعي آشنا خواهيد شد:‌

در اين روش متداول كه اولين مرحله اكثر ترفندهاي مهندسي اجتماعي محسوب مي‌شود، مهاجم ابتدا درباره قرباني تحقيق مي‌كند تا اطلاعات درست و واقعي درباره او، مثلا تاريخ تولد يا كد ملي، به دست آورد. بعد به كمك اين اطلاعات يك سناريو خيالي طراحي مي‌كند، با قرباني تماس مي‌گيرد، اعتماد او را جلب مي‌كند و با نقش بازي كردن (مثلا متخصصي كه به كمك نياز دارد يا مديري كه از متخصص خود درخواست فوري دارد)، از او مي‌خواهد اطلاعات مهمي را در اختيارش قرار دهد. اغلب همه چيز با يك سلام دوستانه يا جمله «مي‌توانم كمي وقتتان را بگيرم» شروع مي‌شود و در پايان تماس، سازمان و فرد مورد هدف قرار گرفته، دچار خسارت مالي هنگفتي مي‌شود.

سرقت انحرافي (diversion theft) هم به صورت سنتي و هم به صورت اينترنتي صورت مي‌گيرد. در مدل سنتي، سارق با ترفند مهندسي اجتماعي راننده پيك را متقاعد مي‌كند محموله را به مكان ديگري برده و به شخص ديگري كه گيرنده اصلي نيست، تحويل دهد. سرقت انحرافي در اينترنت به اين صورت است كه سارق با جعل كردن رايانامه سازماني، از يكي از متخصصان شركت مورد هدف مي‌خواهد داده‌هاي حساس و مهم را به رايانامه فرد اشتباهي بفرستد.

در ترفند فيشينگ (اشاره به ماهي‌گيري كه در آن از طعمه براي گيرانداختن صيد استفاده مي‌شود)، فرد مهاجم خود را جاي فرد يا نهاد قابل اعتمادي جا مي‌زند و با نقش بازي كردن سعي دارد به داده‌هاي حساس نظير نام متخصصي، رمز عبور يا اطلاعات مربوط به كارت‌هاي اعتباري دسترسي پيدا كند. رايانامه‌هايي كه ادعا مي‌كنند از طرف وب‌سايت‌هاي معروف، بانك‌ها، حراجي‌ها يا بخش IT سازمان‌ها فرستاده شدند تا از گيرنده، اطلاعات شخصي آن‌ها را بپرسند، مهندسي اجتماعي از نوع فيشينگ (phishing) هستند.

ترفند فيشينگ خود به انواع مختلفي تقسيم مي‌شود:

• فيشينگ با قلاب (angler phishing) كه در آن مهاجم در شبكه‌هاي اجتماعي، حساب خدمات مشتري جعلي ايجاد مي‌كند؛
• جعل رايانامه سازماني (BEC) كه در آن مهاجم خود را جاي يكي از مديران ارشد سازمان جا مي‌زند و در رايانامهي از متخصص مي‌خواهد پولي را به حساب او بريزد يا داده حساسي را به او رايانامه كند؛
• فارمينگ (pharming) كه در آن مهاجم، متخصصان را به جاي وب‌سايت اصلي به وب‌سايت جعلي و كلون شده هدايت مي‌كند تا اطلاعاتي را كه متخصص وارد مي‌كند، سرقت كند؛
• فيشينگ نيزه‌اي‌ (spear phishing) كه يادآور ماهي‌گيري با نيزه است و در آن مهاجم حمله خود را تنها روي فرد خاصي متمركز مي‌كند تا ازطريق او بتواند به كل سيستم نفوذ كند.
• تب‌قاپي (tabnabbing) كه در آن مهاجم، تب‌هاي مرورگر متخصص را كه مدتي است غيرفعال مانده با محتواي مخرب جايگزين مي‌كند و او را متقاعد مي‌كند اطلاعات خود را براي ورود به وب‌سايت، در اين صفحه جعلي وارد كند.
• شكار نهنگ (whaling) كه در آن مهاجم، به جاي متخصصان عادي، سراغ مديران ارشد يا اعضاي هيئت رئيسه مي‌رود و با ترفند مهندسي اجتماعي سعي مي‌كند اطلاعات بسيار حياتي سازمان را مستقما از آن‌ها سرقت كند.

در ترفند چاله آبياري (water-holing)، مهاجم سراغ وب‌سايتي مي‌رود كه گروه هدف به آن اعتماد دارند و مرتب از آن بازديد مي‌كنند. مهاجم درباره اين وب‌سايت تحقيق مي‌كند تا نقاط آسيب‌پذير آن را پيدا كند. به مرور زمان، سيستم اعضاي گروه هدف به بدافزار آلوده شده و مهاجم راهي براي نفوذ به سيستم پيدا مي‌كند.

طعمه‌گذاري (Baiting) تكنيكي است كه در آن مهاجم چيز به ظاهر وسوسه‌انگيزي را جلوي چشمان متخصص قرار مي‌دهد و با هدف گرفتن حس طمعش، او را به انجام كار مخربي وسوسه مي‌كند؛ مثلا بدافزار خود را به صورت لينكي در دكمه دانلود رايگان آهنگ مخفي مي‌كند تا متخصص به تصور اينكه قرار است آهنگ مورد‌علاقه خود را دانلود كند، بدافزار طراحي شده توسط مهاجم را دانلود كرده و باعث آلوده شدن سيستم خود مي‌شود. يا مثلا درايو USB آلوده به بدافزار را در مكان عمومي جا مي‌گذارند تا قرباني به خيال اينكه شانسي آن را پيدا كرده، درايو را به سيستم خود وصل كرده و دسترسي هكر را ممكن كند.

حمله «چيزي به جاي ديگري» (Quid Pro Quo) روشي است كه در آن مهاجم در ازاي وعده منفعتي كه قرار است به قرباني برساند، از او درخواست به اشتراك‌گذاري اطلاعات مي‌كند. مثلا هكر خود را جاي همراه IT جا مي‌زند، با متخصصان سازمان هدف تماس گرفته و مي‌گويد براي افزايش امنيت سيستم لازم است پچ امنيتي را كه به آن‌ها رايانامه كرده،‌ نصب كنند، غافل از اينكه اين بسته حاوي بدافزار است و به محض نصب شدن، به هكر اجازه دسترسي به سيستم را مي‌دهد.

ترس‌افزار (scareware)‌ نوعي نرم‌افزار مخرب است كه ازطريق ترساندن متخصص، او را متقاعد به انجام كاري مي‌كند. ترس‌افزار به‌طور معمول به شكل پيام هشدار پاپ‌آپ ظاهر شده و به متخصص مي‌گويد برنامه آنتي‌ويروس سيستم آن‌ها نياز به آپديت دارد يا محتواي مخربي در دستگاه آن‌ها كشف شده كه بايد همين حالا پاك شود. اين پيام هشدار جعلي متخصص را متقاعد مي‌كند تا بدافزار را دانلود كرده و روي سيستم خود نصب كند؛ بدين ترتيب،‌ هكر با مهندسي اجتماعي و سواستفاده از ترس متخصص موفق به دستيابي به اطلاعات سيستم او مي‌شود.

اين مدل حمله مهندسي اجتماعي كه به كلاهبرداري «۴۱۹»‌ و «شاهزاده نيجريه‌اي» نيز معروف است، از قرباني مي‌خواهد جزئيات مربوط به حساب بانكي خود يا مبلغي را دراختيار هكر قرار دهد تا در انتقال حجم زيادي پول به خارج از كشور به آن‌ها كمك كنند و سهمي از اين انتقال پول برداند. البته كه در واقعيت، هيچ انتقالي در كار نيست و كلاهبردار از اين راه به حساب بانكي قرباني دسترسي پيدا مي‌كند يا مبلغي را از او گرفته و بعد ناپديد مي‌شود. اين كلاهبرداري نام خود را از ماجراي مشابه‌اي كه در نيجريه اتفاق افتاد، گرفته است و هنوز هم برخي از كلاهبرداران با ادعاي اينكه شاهزاده نيجريه هستند، از متخصصان ناآگاه و زودباور كلاهبرداري مي‌كنند. عدد ۴۱۹ نيز به بخشي از قوانين جنايي نيجريه اشاره دارد كه اين روش را غيرقانوني اعلام كرده است.

اساس حملات مهندسي اجتماعي «سوءاستفاده از احساسات» است. بسياري از مهندسان اجتماعي روي حس ترس، كنجكاوي، طمع و دلسوزي قربانيان خود تمركز مي‌كنند، چون اين احساسات بين انسان‌هاي سراسر دنيا مشترك است و واكنش ما به آن‌ها تقريباً مشابه است. برخي از حملات مهندسي اجتماعي حتي بدون حضور فيزيكي مهاجم و تنها با برانگيخته كردن حس كنجكاوي قرباني صورت مي‌گيرد. مثلا در سال ۲۰۰۷، هكرها درايوهاي USB آلوده به تروجان را در پاركينگي در لندن قرار دادند و افراد از روي كنجكاوي و همچنين طمع دستيابي به وسيله‌اي رايگان، اين درايوهاي آلوده را در كمال ناآگاهي به سيستم خود متصل كرده و اجازه دادند بدافزار روي دستگاه آن‌ها نصب و اجرا شود.

مهاجماني نيز كه به دروغ وانمود مي‌كنند به كمك نياز دارند، حس دلسوزي متخصصان را تحريك مي‌كنند. مي‌توان گفت اكثر افرادي كه در خيابان با داستان‌سرايي از رهگذران تقاضاي پول مي‌كنند، تاحدي مهندس اجتماعي هستند.

ترفندهايي كه مهندسان اجتماعي با سوءاستفاده از احساسات قربانيان خود به كار مي‌گيرند، اغلب به شكل‌هاي زير ظاهر مي‌شوند:‌

• لينك‌هاي مخرب به محتواي بزرگسال يا دانلود محتواي رايگان، مثل آهنگ، فيلم، نرم‌افزار و بازي؛
• استفاده از نام زنانه در كادر فرستنده رايانامه براي جلب اعتماد؛
• رايانامه‌هاي جعلي كه به ظاهر از طرف بانك، سرويس‌هاي تراكنش الكترونيك يا وب‌سايت‌هاي مطرح فرستاده شده‌اند. اين رايانامه‌ها از متخصص مي‌خواهند براي تأييد يا به‌روزرساني اطلاعات، روي لينكي كليك كنند يا اطلاعات لاگين يا حساب بانكي آن‌ها را سرقت كنند؛
• رايانامه‌هاي تهديدآميز كه در آن‌ها صحبت از زندان رفتن يا فرايندهاي دادگاهي شده است؛
• رويدادهاي بزرگ مثل مسابقات ورزشي، پيش‌بيني بلاياي طبيعي يا اخبار فوري؛
• اسامي افراد مشهور و گزارش‌هاي هيجان‌انگيز جراجويي‌ها يا رفتارهاي زننده آن‌ها؛
• جعل هويت افراد آشنا و قابل‌اعتماد مثل افراد فاميل، همكاران و دوستان.

فهرست اين ترفندها بي‌پايان است و مطمئناً شما نيز با برخي از آن‌ها در اينترنت روبه‌رو شده‌ايد. هرجا كه متوجه شديد فردي احساسات شما را، مخصوصا حس ترس، كنجكاوي، طمع و دلسوزي، براي انجام كاري هدف گرفته است، احتمالاً مورد حمله مهندسي اجتماعي قرار گرفته‌ايد و لازم است با احتياط فراوان با‌ آن برخورد كنيد.

يك روش خوب براي آشنايي با ترفندهاي مهندسي اجتماعي مطالعه حملاتي است كه در گذشته صورت گرفته‌اند. در اين بخش به سه مثال از معروف‌ترين حملات مهندسي اجتماعي اشاره خواهيم كرد:

پيشنهادي كه نمي‌توان رد كرد؛ از هر كلاهبرداري بپرسيد، به شما خواهد گفت آسان‌ترين راه كلاهبرداري هدف قرار دادن حرص و طمع قربانيان است. در واقع اساس كلاهبرداري ۴۱۹ معروف به «كلاهبرداري نيجريه‌اي» نيز همين است. در اين كلاهبرداري، فردي كه خود را شاهزاده نيجريه معرفي كرده بود، در رايانامهي كه براي قربانيان خود فرستاده بود مدعي شد قصد دارد مبالغ هنگفتي را از كشور خارج كند و هر كس به او كمك كند، مي‌تواند ۳۰ درصد مبلغ جابه‌جا شده را براي خود بردارد. بعد كلاهبردار به بهانه هزينه‌هاي حمل و نقل، مبلغي را از قربانيان طلب مي‌كرد و به محض فرستاده شدن پول، به‌طور كامل ناپديد مي‌شد.

رايانامه‌هاي «شاهزاده نيجريه‌اي» به خاطر عجيب و مضحك بودن ماجراي آن تا مدت‌ها موضوعي براي خنده بود، اما اين روش كلاهبرداري واقعا مؤثر است و در موارد بسياري موفق عمل كرده است. حتي در ايران نيز كلاهبرداري نيجريه‌اي زياد اتفاق مي‌افتاد و قرباني مي‌گيرد. مثلا در سال ۹۳، بيش از ۷۰۰ پرونده كلاهبرداري به روش «نيجريه‌اي» در ايران اتفاق افتاد و بيش از ۴۲ ميليارد تومان از مردم كلاهبرداري شد.

طوري تظاهر كن تا باور كنند؛ يكي از ساده‌ترين و به طرز غافلگيركننده‌اي، موفق‌ترين تكنيك‌هاي مهندسي اجتماعي اين است كه خود را جاي قرباني جا بزنيد. كوين ميتنيك در يكي از كلاهبرداري‌هاي اوليه خود با شركت ديجيتال اكويپمنت كه زماني يكي از بزرگ‌ترين كمپاني‌ها در صنعت كامپيوتر بود، تماس گرفت و وانمود كرد يكي از توسعه‌دهندگان ارشد اين شركت است و نمي‌تواند به حساب خود وارد شود. او با همين دروغ ساده موفق شد لاگين و رمز عبور جديدي دريافت كند و به سرورهاي شركت دسترسي پيدا كند. اين اتفاق در سال ۱۹۷۹ افتاد و شايد فكر كنيد اوضاع از آن سال بهتر شده است، اما متأسفانه اينطور نيست. در سال ۲۰۱۶، هكري به يكي از آدرس‌هاي رايانامه وزارت دادگستري آمريكا دسترسي پيدا كرد و با جعل هويت يكي از متخصصان و گفتن اينكه هفته اول كاريش است، از بخش IT شركت كمك خواست تا به او دسترسي اينترنت وزارت‌خانه را بدهد. به همين سادگي!

مثل يك رئيس رفتار كن؛ اكثر ما طوري تربيت شديم كه به مافوق (يا كسي كه مثل مافوق رفتار مي‌كند) احترام بگذاريم و هرچه گفت انجام دهيم. اگر طوري رفتار كنيد كه انگار صاحب شركت هستيد و اجازه دسترسي به اطلاعاتي را داريد كه در واقع نداريد، مي‌توانيد ديگران را متقاعد كنيد آنچه را كه دنبالش هستيد، در اختيارتان قرار دهند. مثلا در سال ۲۰۱۵، متخصصان مالي شركت تكنولوژي يوبيكوئيتي نتوركس، ميليون‌ها دلار را به حساب كلاهبرداراني واريز كردند كه ازطريق رايانامه‌هاي جعلي اداي مديران شركت را در مي‌آوردند. در قديم هم بازرساني كه براي روزنامه‌هاي انگليسي كار مي‌كردند، به شركت مخابرات زنگ مي‌زنند و با تظاهر به اينكه يكي از متخصصان اين شركت هستند، اجازه دسترسي به پيام‌هاي صوتي افراد مشهور را پيدا مي‌كردند.

گاهي نيز كلاهبرداران، رايانامه وب‌سايت‌هاي معتبر را جعل مي‌كنند و براي شما لينكي مي‌فرستند تا با كليك روي آن امنيت حساب خود را تأييد كنيد؛ غافل از اينكه اين لينك به بدافزار آلوده است و شما به تصور اينكه اين رايانامه واقعا از سمت شركت معتبر فرستاده شده، به آن اعتماد كرده‌ايد.

مقابله با مهندسي اجتماعي شايد از ساير تهديدهاي سايبري دشوارتر باشد، چون در اين معادله پاي انسان در ميان است. تكنيك‌هاي مهندسي اجتماعي نظير طرح‌هاي هرمي، اسپم، فيشينگ يا حتي كلاهبرداري‌هاي ساده، همه با هدف فريب قربانيان خود ازطريق «باگي» كه در سخت افزار انسان‌ها وجود دارد، صورت مي‌گيرند و سناريوهاي روانشناختي پيچيده‌اي را ترتيب مي‌دهند تا قربانيان متقاعد شوند اطلاعات شخصي خود يا ديگران را فاش كنند يا كاري انجام دهند كه به ضررشان تمام مي‌شود. هر بار وسوسه دانلود موزيك يا نرم‌افزارهاي رايگان شما را فريب داد تا بدافزار دانلود كنيد، درواقع قرباني حمله مهندسي اجتماعي قرار گرفته‌ايد.

اگرچه مقابله با حملات مهندسي اجتماعي بسيار دشوار است، نكات و روش‌هايي وجود دارد كه مي‌تواند ما را تاحدي دربرابر اين مدل حملات محافظت كند كه در ادامه با برخي از آن‌ها آشنا مي‌شويد:

قبل از اينكه به درخواستي پاسخ دهيد، به اين فكر كنيد كه اين تماس دقيقاً از كجا برقرار شده است. بدون مطالعه منبع به هيچ تماسي اعتماد نكنيد. روي ميزتان درايو USB پيدا مي‌كنيد و نمي‌دانيد از كجا آمده است؟ تماسي غيرمنتظره به شما مي‌گويد چند ميليون برنده شده‌ايد؟ رايانامهي از مدير شركت از شما مي‌خواهد اطلاعات حساسي را درباره متخصصان ديگر در اختيارش قرار دهيد؟ تمام اين سناريوها مشكوك هستند و بايد با احتياط با آن‌ها برخورد كرد.

مطالعه منبع كار سختي نيست. هميشه آدرس رايانامه را به‌طور كامل چك كنيد و مطمئن شويد از فرستنده اصلي ارسال شده است. به جاي كليك، اول نشانه‌گر ماوس را روي لينك نگه داريد تا آدرس آن پديدار شود. اگر متن رايانامهي كه از برند يا شركت مطرحي دريافت كرده‌ايد، غلط املايي دارد، به احتمال زياد از جاي مطمئني فرستاده نشده و جعلي است. هروقت به صحت رايانامه يا پيامي مشكوك شديد، به وب‌سايت رسمي مراجعه كنيد يا درباره آن با يكي از نمايندگان به صورت تلفني صحبت كنيد.

آيا منبع اطلاعاتي را كه انتظار داريد داشته باشد، مثل نام و نام خانوادگي كامل شما را ندارد؟ اگر از طرف بانك يا برند معروفي با شما تماس گرفتند، بايد تمام اين اطلاعات را داشته باشند و هميشه قبل از اينكه اجازه دهند تغييراتي در حساب خود ايجاد كنيد، از شما سوالات امنيتي مي‌پرسند. اگر اينطور نبود، به احتمال زياد تماس جعلي است و بايد با احتياط با آن برخورد كنيد.

مهندسي اجتماعي معمولا در قرباني خود نوعي حس فوريت ايجاد مي‌كند. مهاجمان مي‌دانند اگر هدفشان وقت كافي براي فكر كردن و مطالعه موضوع داشته باشد، ممكن است متوجه حقه آن‌ها شود؛ به همين خاطر، هميشه طوري سناريو را پياده‌سازي مي‌كنند كه هدف مجبور شود در لحظه تصميم‌گيري كند. هروقت با چنين تماسي روبه‌رو شديد، در پاسخ به آن عجله نكنيد. به جاي كليك كردن روي لينك يا دادن اطلاعاتي كه مهاجم از شما مي‌خواهد، با شماره اصلي شركت تماس بگيريد يا به وب‌سايت آن رجوع كنيد تا اعتبار منبع را چك كنيد. اگر دوست يا مدير شركت در رايانامهي از شما خواست سريعا به حساب او پول واريز كنيد، قبل از اين كار به او زنگ بزنيد و مطمئن شويد كه اين رايانامه واقعا از طرف او فرستاده شده است.

يكي از آسان‌ترين راه‌هاي حمله مهندسي اجتماعي براي ورود غيرمجاز، در دست داشتن جعبه بزرگ يا تعداد زيادي پرونده است، به‌طوري‌كه فرد نتواند كارت شناسايي خود را هنگام ورود به نگهبان نشان بدهد. اگر شما با چنين صحنه‌اي مواجه شديد، فريب اين ترفند را نخوريد و هميشه از فردي كه قصد ورود به ساختمان را دارد، كارت شناسايي درخواست كنيد.

اگر روش حمله ازطريق تماس تلفني بود، بازهم به همين شكل عمل كنيد و از فردي كه تماس گرفته، تمام اطلاعات لازم را بپرسيد. اگر او را نمي‌شناسيد و نسبت به دادن اطلاعات به او حس خوبي نداريد، بگوييد بايد موضوع را با فرد ديگري چك كنيد و بعدا با او تماس مي‌گيريد.

اگر سرويس رايانامهي كه از آن استفاده مي‌كنيد، تمام اسپم‌ها را فيلتر نمي‌كند، بهتر است از فيلتركننده اسپم بهتري كمك بگيريد. اين فيلتركننده‌ها قادرند به كمك ليست سياهي از IPهاي مشكوك يا مطالعه محتوا، فايل‌ها يا لينك‌هاي مشكوك را شناسايي كنند و آن‌ها را به بخش اسپم رايانامه شما بفرستند.

برخي از حملات مهندسي اجتماعي فرد را در موقعيتي اورژانسي قرار مي‌دهند كه نتواند به ماجرا به صورت نقادانه نگاه كند. اگر بتوانيد در اين شرايط مطالعه كنيد كه چقدر ماجرا واقع‌بينانه است، مي‌توانيد از به دام افتادن در تله مهندسان اجتماعي در امان باشيد. مثلا، اگر دوستتان در مخمصه‌اي گير افتاده و به پول نياز دارد، آيا به شما رايانامه مي‌زند يا تماس مي‌گيرد؟ چقدر احتمال دارد فاميل دوري كه نمي‌شناسيد در وصيت‌نامه خود نامي از شما برده باشد؟ آيا بانك ممكن است به شما زنگ بزند و از شما اطلاعات حساب‌تان را بخواهد؟

در كل، هربار در مكالمه‌اي متوجه حس فوريت شديد با احتياط با آن برخورد كنيد. بگوييد براي دسترسي به اطلاعات به زمان نياز داريد يا بايد از مافوق خود سؤال كنيد. در اين شرايط عجله نكنيد. بسياري از مهندسان اجتماعي بعد از اينكه ببينند شما در همان لحظه حاضر به همكاري نيستيد، از ادامه حمله منصرف مي‌شوند.

اگر دستگاه‌هاي هوشمند شما از امنيت بالايي برخوردار باشند، حتي در شرايطي كه مهندس اجتماعي موفق به حمله شده است، دسترسي‌اش به اطلاعات محدود خواهد بود. براي افزايش امنيت موبايل هوشمند يا شبكه خانگي يا حتي سيستم شركت بزرگ:

• هميشه نرم‌افزار آنتي ويروس خود را به‌روزرساني كنيد تا رايانامه‌هاي فيشينگ نتوانند روي سيستم شما بدافزار نصب كنند.
• پچ‌هاي امنيتي سيستم عامل و نرم‌افزارهاي خود را در سريع‌ترين زمان ممكن نصب كنيد.
• موبايل خود را در حال روت يا شبكه و پي‌سي خود را در حالت administrator اجرا نكنيد تا درصورت دسترسي مهاجم به اكانت شما، قادر نباشد روي آن بدافزار نصب كند.
• از به كار بردن رمزعبور يكسان براي اكانت‌هاي مختلف خودداري كنيد تا در صورت دسترسي مهاجم به يكي از حساب‌هاي شما، ساير اكانت‌ها در امان باشند.
• براي اكانت‌هاي حياتي حتماً از احراز هويت دو عاملي استفاده كنيد.

اگر عادت داريد در شبكه‌هاي اجتماعي اطلاعات شخصي خود را به اشتراك بگذاريد، طعمه خوبي براي مهندسان اجتماعي هستيد. مثلا يكي از سوالات امنيتي اكانت ممكن است نام حيوان خانگي باشد. اگر در شبكه‌هاي اجتماعي نام حيوان خانگي خود را عنوان كرده باشيد، ممكن است مورد حمله مهندسي اجتماعي قرار بگيريد. توصيه مي‌شود پست‌هاي خود را در شبكه‌هاي اجتماعي تنها با دوستان به اشتراك بگذاريد و به جنبه‌هاي ديگر زندگي شخصي خود كه در اينترنت منتشر كرده‌ايد، نيز خوب فكر كنيد. مثلا اگر راخبار تخصصيه الكترونيك داريد، آدرس، شماره تلفن و تاريخ تولد را از آن حذف كنيد.

مهندسي اجتماعي از آن رو اينقدر خطرناك است كه از موقعيت بسيار نرمال و به ظاهر بي‌خطر براي رسيدن به مقاصد پليد استفاده مي‌كند. بااين‌حال، آشنايي با ترفندهاي مهندسي اجتماعي و احتياط مي‌تواند خطر به دام افتادن در نقشه‌هاي اين مهاجمان را كاهش دهد.

اسمش را هرچه مي‌خواهيد بگذاريد؛ مهندسي اجتماعي، حقه اطمينان، سوگيري شناختي يا كلاهبرداري. سوءاستفاده از سادگي و اعتماد افراد همانقدر اين روزها شايع است كه از ابتداي تاريخ بوده است. از هر متخصص امنيت سايبري كه بپرسيد به شما خواهد گفت ضعيف‌ترين و آسيب‌پذيرترين حلقه در زنجيره امنيت، انسان‌ها هستند. ما مي‌توانيم پيشرفته‌ترين نرم‌افزار را براي حفاظت از سيستم‌هاي كامپيوتري توسعه دهيم، سختگيرانه‌ترين سياست‌هاي امنيتي را به كار گيريم و متخصصان را به بهترين شكل يادگيري دهيم؛ بااين‌حال، تا زماني كه اجازه دهيم حس كنجكاوي و طمع ما بدون توجه به پيامدها تصميم‌گيرنده باشند، ممكن است هر لحظه با تراژدي تروجان خودمان روبه‌رو شويم.

واقعيت اين است كه هيچ تكنولوژي‌اي در دنيا قادر نيست از حمله مهندسي اجتماعي جلوگيري كند. تنها راه اين است كه تمام افراد سازمان از وجود مهاجماني كه قصد دارند با فريب و ترفند، آن‌ها را مورد دستكاري روانشناختي قرار دهند، باخبر باشند و درباره اينكه چه اطلاعاتي و چگونه بايد از آن‌ها محافظت شود، يادگيري ببينند. به محض اينكه از تمام راه‌هايي كه ممكن است احساسات و افكار شما در جهت منافع مهاجم دستكاري شود، به درك بهتري برسيد، بهتر متوجه خواهيد شد كه مورد حمله مهندسي اجتماعي قرار گرفته‌ايد.