مهندسي اجتماعي چيست ؛ وقتي به جاي سيستمها، انسانها هك ميشوند!
نائوكي هيروشيما متخصص عادي توييتر مثل من و شما بود؛ با اين تفاوت كه نام متخصصي حساب توييترش خاص و تكحرفي (N@) بود و برخي حاضر بودند تا ۵۰ هزار دلار براي خريدش پول بدهند. اما در يكي از روزهاي سال ۲۰۱۴، نائوكي مجبور شد نام متخصصي تكحرفي ۵۰ هزار دلاري خود را دراختيار هكري قرار دهد كه موفق شد با ترفندي ساده به آنچه ميخواست برسد.
ماجرا از اين قرار بود كه هكر براي دزديدن نام متخصصي توييتر نائوكي به خدمات مشتري پيپال زنگ زده و با وانمود كردن به اينكه متخصص بخش ديگر اين شركت است، اطلاعات مربوط به چهار رقم آخر كارت اعتباري نائوكي را از آنها ميگيرد. بعد با شركت ثبت دامنه و ميزباني وب GoDaddy تماس ميگيرد كه وبسايت نائوكي در آنجا ميزباني ميشد. اين هكر با داشتن چهار رقم كارت اعتباري، از GoDaddy ميخواهد رمزعبور وبسايت نائوكي را ريست كند. حالا هكر اين قدرت را داشت تا تمام اطلاعات وبسايت نائوكي را پاك كند و اين تهديد كافي بود تا نائوكي حاضر شود نام متخصصي خود را دراختيار هكر قرار دهد.
خوشبختانه نائوكي بعدا موفق شد نام متخصصي خود را پس بگيرد، اما اتفاقي كه براي او افتاد نوعي حمله مهندسي اجتماعي بود كه مدتها است بسياري از متخصصان اينترنت و متخصصان سازمانهاي كوچك و بزرگ را با دردسرهاي جدي روبهرو كرده است. بارها شده هكرها با نقش بازي كردن، تهديد و ترفندهاي ديگر، كنترل اكانتهاي متخصصان را به دست گرفته يا مبالغ زيادي را به حسابهاي بانكي خود سرازير كردهاند. براي بسياري از افراد، امنيت اكانتهاي اينترنتي توهمي بيش نيست.
- مهندسي اجتماعي چيست
- تاريخچه مهندسي اجتماعي
- تكنيك هاي مهندسي اجتماعي
- نقشآفريني
- سرقت انحرافي
- فيشينگ
- حمله چاله آبياري
- طعمهگذاري
- چيزي به جاي ديگري
- ترسافزار
- كلاهبرداري نيجريهاي
- نحوه كار مهندسي اجتماعي
- چند مثال از معروفترين حملات مهندسي اجتماعي
- راههاي محافظت دربرابر حملات مهندسي اجتماعي
- منبع را مطالعه كنيد
- منبع چه ميداند؟
- چرخه را بشكن
- از او كارت شناسايي بخواهيد
- از فيلتر اسپم بهتري استفاده كنيد
- چقدر داستان واقعبينانه است؟
- امنيت دستگاههاي خود را بالا ببريد
- مراقب ردپاي ديجيتالي خود باشيد
- حرف آخر
مهندسي اجتماعي چيست
مهندسي اجتماعي اگرچه اصطلاح نسبتاً مدرني است، پديدهاي است كه از ديرباز و زماني كه انسانها با يكديگر شروع به تعامل كردهاند، وجود داشته است. فلسفه مهندسي اجتماعي از اين قرار است: تو چيزي داري كه من ميخواهم و من ميخواهم تو را به هر طريقي قانع كنم آن را به من بدهي يا كاري را كه من ميخواهم انجام دهي، حتي اگر به ضررت تمام شود.
در مهندسي اجتماعي اين ذهن افراد است كه هك ميشود، نه كامپيوتر
اصطلاح مهندسي اجتماعي توسط كوين ميتنيك كه خود يكي از معروفترين مهندسان اجتماعي عصر حاضر است (اما ديگر توبه كرده و اكنون بهعنوان متخصص امنيت سايبري فعاليت ميكند)، سر زبانها افتاد. مهندسي اجتماعي در دوران مدرن و در حوزه امنيت سايبري، هنر فريب دادن، سواستفاده از نقطهضعفها و تحت تأثير قرار دادن فرد براي انجام كاري كه به ضرر او است يا دسترسي به دادههاي شخصي و حساس در سيستمهاي كامپيوتري است. هكر يا مهندس اجتماعي ازطريق تلفن، پيامك، رايانامه، درايو USB آلوده يا تعامل حضوري و به كمك ترفندهاي زيركانهاي موفق ميشود آنچه را كه به دنبالش است، نه به كمك بدافزار و حملات سايبري، بلكه تنها ازطريق پرسيدن از فردي كه به اين اطلاعات دسترسي دارد، به دست آورد.
به همين خاطر است كه گفته ميشود در مهندسي اجتماعي اين ذهن افراد است كه هك ميشود، نه كامپيوتر. در حمله مهندسي اجتماعي، اطلاعاتي را كه فرد قصد فاش كردن آن را نداشته، بدون آنكه متوجه شود، دراختيار مهاجم قرار ميدهد يا تحت تأثير آنچه دستكاري روانشناختي ناميده ميشود، تشويق يا وادار به انجام كاري ميشود كه از انجام آن پشيمان خواهد شد. به بيان سادهتر، انسانها خود نوعي تهديد امنيتي محسوب ميشوند و به قول هكرها، ضعيفترين و آسيبپذيرترين حلقه در زنجيره امنيت سايبري هستند. ما انسانها تقريباً ۸۰ درصد تصميمات خود را بر پايه احساسات ميگيريم و ازآنجاكه منطق سهم بسيار ناچيزي در اين تصميمگيريها دارد، ميتوان دليل موفقيت چشمگير حملات مهندسي اجتماعي را به خوبي درك كرد.
تاريخچه مهندسي اجتماعي
ريشههاي مهندسي اجتماعي را ميتوان در داستانهاي كهن، بهخصوص اسطورههاي يونان، از داستان پرومتئوس كه با ترفندي زئوس را فريب داد و آتش را به انسانها بخشيد تا داستان مشهور اسب تروآ يافت كه اتفاقا نام خود را به شايعترين نوع بدافزار داده است.
داستان اسب تروآ به جرات يكي از جذابترين نمونههاي مهندسي اجتماعي است. در زمان جنگ تروآ، هنگامي كه يونانيان به مدت ده سال پشت دروازههاي شهر تروجان از پيشروي بازمانده بودند، يكي از جنگجويان حيلهگر يوناني به نام اديسه كه به حق مهندس اجتماعي زبردستي بود، نقشهاي ريخت تا همرزمانش بتوانند به داخل شهر راه پيدا كنند؛ نه به زور و شكستن ديوارهاي شهر، بلكه به دست خود تروجانها. به دستور اوديسه، سربازان يوناني اسب چوبي غولپيكري ساختند و درون آن مخفي شدند. بعد، برخي از آنها با كشتي تروجان را ترك كردند تا اهالي شهر فكر كنند يونانيها شكست را پذيرفته و در حال عقبنشيني هستند.
بااينحال، يك سرباز يوناني كنار اسب غولپيكر بيرون دروازه شهر باقي ماند. اين سرباز كه سينون نام داشت، به اهالي شهر تروجان گفت كه اين اسب پيشكش يونانيان به خدايان است تا جان آنها را در طول سفر بازگشت به خانه حفظ كنند؛ اين اسب هم از اين جهت به اين اندازه بزرگ ساخته شده تا اهالي شهر نتوانند آن را به داخل ببرند و يونانيهاي سوار بر كشتي را با بداقبالي روبهرو كنند. تروجانها فريب حرفهاي سينون را خوردند و براي نفرين سربازهاي يوناني، تصميم گرفتند اسب را به داخل شهر بياورند؛ غافل از اينكه درون اين اسب، سربازهاي يوناني در انتظار به آتش كشيدن شهر بودند. به خاطر حمله مهندسي اجتماعي اوديسه، يونانيها در جنگي كه به چشم تروجانها باخته بودند، پيروز شدند.
كوين ميتنيك (Kevin Mitnick) را پدر مهندسي اجتماعي ميدادند، چون او بود كه در دهه ۱۹۹۰، بعد از سالها بهكارگيري حقه و ترفند براي دستيباي به اطلاعات و دستكاري روانشناختي افراد، اصطلاح مهندسي اجتماعي را در دنياي امنيت سايبري به شهرت رساند. ميتنيك درحاليكه فقط ۱۳ سال داشت با حقه مهندسي اجتماعي بهطور رايگان از اتوبوسهاي لسآنجلس استفاده ميكرد و بعدها موفق شد به شبكههاي شركت ديجيتال اكويپمنت و شركت مخابراتي پسيفيك بلز دسترسي غيرمجاز پيدا كند. ماجراجوييهاي ميتنيك در حوزه مهندسي اجتماعي به قدري شاخ و برگ پيدا كرده بود كه وقتي سرانجام به زندان افتاد، درباره او ميگفتند كه ميتواند «با سوت زدن از پشت خط تلفن، جنگ اتمي راه بيندازد.»
تكنيك هاي مهندسي اجتماعي
در فيلم «اگه ميتوني منو بگير» (۲۰۰۲) به نيروي سادهداني استيون اسپيلبرگ، لئوناردو ديكاپريو نقش كلاهبردار زبردستي به نام فرانك ابگنيل را بازي ميكند كه قبل از ۱۹ سالگياش، با جا زدن خود بهعنوان خلبان هواپيما، دكتر و وكيل، موفق شد ميليونها دلار به جيب بزند. ابگنيل بعدها از استعداد خود در امر مهندسي اجتماعي استفاده كرد تا بهعنوان مشاور امنيتي مشغول به كار شود.
داستان ابگنيل شباهت زيادي به كوين ميتنيك، پدر مهندسي اجتماعي، دارد، چون او هم با سناريوسازي و نقش بازي كردن موفق به كلاهبرداري و دسترسي غيرمجاز به اطلاعات سازمانها و بعد از دستگيري و حبس، تصميم گرفت از استعداد خود بهعنوان مشاور امنيت سايبري استفاده كند. در واقع، داستان مهندسان اجتماعي شباهت زيادي به يكديگر دارد، چون روشهايي كه براي حملات خود استفاده ميكنند، تقريباً يكي است. در اينجا با ۱۰ مورد از معروفترين تكنيكهاي مهندسي اجتماعي آشنا خواهيد شد:
نقشآفريني
در اين روش متداول كه اولين مرحله اكثر ترفندهاي مهندسي اجتماعي محسوب ميشود، مهاجم ابتدا درباره قرباني تحقيق ميكند تا اطلاعات درست و واقعي درباره او، مثلا تاريخ تولد يا كد ملي، به دست آورد. بعد به كمك اين اطلاعات يك سناريو خيالي طراحي ميكند، با قرباني تماس ميگيرد، اعتماد او را جلب ميكند و با نقش بازي كردن (مثلا متخصصي كه به كمك نياز دارد يا مديري كه از متخصص خود درخواست فوري دارد)، از او ميخواهد اطلاعات مهمي را در اختيارش قرار دهد. اغلب همه چيز با يك سلام دوستانه يا جمله «ميتوانم كمي وقتتان را بگيرم» شروع ميشود و در پايان تماس، سازمان و فرد مورد هدف قرار گرفته، دچار خسارت مالي هنگفتي ميشود.
سرقت انحرافي
سرقت انحرافي (diversion theft) هم به صورت سنتي و هم به صورت اينترنتي صورت ميگيرد. در مدل سنتي، سارق با ترفند مهندسي اجتماعي راننده پيك را متقاعد ميكند محموله را به مكان ديگري برده و به شخص ديگري كه گيرنده اصلي نيست، تحويل دهد. سرقت انحرافي در اينترنت به اين صورت است كه سارق با جعل كردن رايانامه سازماني، از يكي از متخصصان شركت مورد هدف ميخواهد دادههاي حساس و مهم را به رايانامه فرد اشتباهي بفرستد.
فيشينگ
در ترفند فيشينگ (اشاره به ماهيگيري كه در آن از طعمه براي گيرانداختن صيد استفاده ميشود)، فرد مهاجم خود را جاي فرد يا نهاد قابل اعتمادي جا ميزند و با نقش بازي كردن سعي دارد به دادههاي حساس نظير نام متخصصي، رمز عبور يا اطلاعات مربوط به كارتهاي اعتباري دسترسي پيدا كند. رايانامههايي كه ادعا ميكنند از طرف وبسايتهاي معروف، بانكها، حراجيها يا بخش IT سازمانها فرستاده شدند تا از گيرنده، اطلاعات شخصي آنها را بپرسند، مهندسي اجتماعي از نوع فيشينگ (phishing) هستند.
ترفند فيشينگ خود به انواع مختلفي تقسيم ميشود:
- فيشينگ با قلاب (angler phishing) كه در آن مهاجم در شبكههاي اجتماعي، حساب خدمات مشتري جعلي ايجاد ميكند؛
- جعل رايانامه سازماني (BEC) كه در آن مهاجم خود را جاي يكي از مديران ارشد سازمان جا ميزند و در رايانامهي از متخصص ميخواهد پولي را به حساب او بريزد يا داده حساسي را به او رايانامه كند؛
- فارمينگ (pharming) كه در آن مهاجم، متخصصان را به جاي وبسايت اصلي به وبسايت جعلي و كلون شده هدايت ميكند تا اطلاعاتي را كه متخصص وارد ميكند، سرقت كند؛
- فيشينگ نيزهاي (spear phishing) كه يادآور ماهيگيري با نيزه است و در آن مهاجم حمله خود را تنها روي فرد خاصي متمركز ميكند تا ازطريق او بتواند به كل سيستم نفوذ كند.
- تبقاپي (tabnabbing) كه در آن مهاجم، تبهاي مرورگر متخصص را كه مدتي است غيرفعال مانده با محتواي مخرب جايگزين ميكند و او را متقاعد ميكند اطلاعات خود را براي ورود به وبسايت، در اين صفحه جعلي وارد كند.
- شكار نهنگ (whaling) كه در آن مهاجم، به جاي متخصصان عادي، سراغ مديران ارشد يا اعضاي هيئت رئيسه ميرود و با ترفند مهندسي اجتماعي سعي ميكند اطلاعات بسيار حياتي سازمان را مستقما از آنها سرقت كند.
حمله چاله آبياري
در ترفند چاله آبياري (water-holing)، مهاجم سراغ وبسايتي ميرود كه گروه هدف به آن اعتماد دارند و مرتب از آن بازديد ميكنند. مهاجم درباره اين وبسايت تحقيق ميكند تا نقاط آسيبپذير آن را پيدا كند. به مرور زمان، سيستم اعضاي گروه هدف به بدافزار آلوده شده و مهاجم راهي براي نفوذ به سيستم پيدا ميكند.
طعمهگذاري
طعمهگذاري (Baiting) تكنيكي است كه در آن مهاجم چيز به ظاهر وسوسهانگيزي را جلوي چشمان متخصص قرار ميدهد و با هدف گرفتن حس طمعش، او را به انجام كار مخربي وسوسه ميكند؛ مثلا بدافزار خود را به صورت لينكي در دكمه دانلود رايگان آهنگ مخفي ميكند تا متخصص به تصور اينكه قرار است آهنگ موردعلاقه خود را دانلود كند، بدافزار طراحي شده توسط مهاجم را دانلود كرده و باعث آلوده شدن سيستم خود ميشود. يا مثلا درايو USB آلوده به بدافزار را در مكان عمومي جا ميگذارند تا قرباني به خيال اينكه شانسي آن را پيدا كرده، درايو را به سيستم خود وصل كرده و دسترسي هكر را ممكن كند.
چيزي به جاي ديگري
حمله «چيزي به جاي ديگري» (Quid Pro Quo) روشي است كه در آن مهاجم در ازاي وعده منفعتي كه قرار است به قرباني برساند، از او درخواست به اشتراكگذاري اطلاعات ميكند. مثلا هكر خود را جاي همراه IT جا ميزند، با متخصصان سازمان هدف تماس گرفته و ميگويد براي افزايش امنيت سيستم لازم است پچ امنيتي را كه به آنها رايانامه كرده، نصب كنند، غافل از اينكه اين بسته حاوي بدافزار است و به محض نصب شدن، به هكر اجازه دسترسي به سيستم را ميدهد.
ترسافزار
ترسافزار (scareware) نوعي نرمافزار مخرب است كه ازطريق ترساندن متخصص، او را متقاعد به انجام كاري ميكند. ترسافزار بهطور معمول به شكل پيام هشدار پاپآپ ظاهر شده و به متخصص ميگويد برنامه آنتيويروس سيستم آنها نياز به آپديت دارد يا محتواي مخربي در دستگاه آنها كشف شده كه بايد همين حالا پاك شود. اين پيام هشدار جعلي متخصص را متقاعد ميكند تا بدافزار را دانلود كرده و روي سيستم خود نصب كند؛ بدين ترتيب، هكر با مهندسي اجتماعي و سواستفاده از ترس متخصص موفق به دستيابي به اطلاعات سيستم او ميشود.
كلاهبرداري نيجريهاي
اين مدل حمله مهندسي اجتماعي كه به كلاهبرداري «۴۱۹» و «شاهزاده نيجريهاي» نيز معروف است، از قرباني ميخواهد جزئيات مربوط به حساب بانكي خود يا مبلغي را دراختيار هكر قرار دهد تا در انتقال حجم زيادي پول به خارج از كشور به آنها كمك كنند و سهمي از اين انتقال پول برداند. البته كه در واقعيت، هيچ انتقالي در كار نيست و كلاهبردار از اين راه به حساب بانكي قرباني دسترسي پيدا ميكند يا مبلغي را از او گرفته و بعد ناپديد ميشود. اين كلاهبرداري نام خود را از ماجراي مشابهاي كه در نيجريه اتفاق افتاد، گرفته است و هنوز هم برخي از كلاهبرداران با ادعاي اينكه شاهزاده نيجريه هستند، از متخصصان ناآگاه و زودباور كلاهبرداري ميكنند. عدد ۴۱۹ نيز به بخشي از قوانين جنايي نيجريه اشاره دارد كه اين روش را غيرقانوني اعلام كرده است.
نحوه كار مهندسي اجتماعي
اساس حملات مهندسي اجتماعي «سوءاستفاده از احساسات» است. بسياري از مهندسان اجتماعي روي حس ترس، كنجكاوي، طمع و دلسوزي قربانيان خود تمركز ميكنند، چون اين احساسات بين انسانهاي سراسر دنيا مشترك است و واكنش ما به آنها تقريباً مشابه است. برخي از حملات مهندسي اجتماعي حتي بدون حضور فيزيكي مهاجم و تنها با برانگيخته كردن حس كنجكاوي قرباني صورت ميگيرد. مثلا در سال ۲۰۰۷، هكرها درايوهاي USB آلوده به تروجان را در پاركينگي در لندن قرار دادند و افراد از روي كنجكاوي و همچنين طمع دستيابي به وسيلهاي رايگان، اين درايوهاي آلوده را در كمال ناآگاهي به سيستم خود متصل كرده و اجازه دادند بدافزار روي دستگاه آنها نصب و اجرا شود.
مهندسان اجتماعي حس ترس، كنجكاوي، طمع و دلسوزي را هدف ميگيرند
از آن طرف، برخي از مهاجمان با سوءاستفاده از حس ترس قربانيان، آنها را تهديد كرده يا از آنها باجخواهي ميكنند. تمام بدافزارهايي كه به باجافزار (ransomware) معروفاند، كه مشهورترين آنها «WannaCry» نام دارد، اطلاعات مهم متخصص را رمزنگاري ميكنند و به آنها ميگويند تنها راه دسترسي دوباره به اين اطلاعات، واريز پول به حساب هكر است. در سناريو معروف ديگر، هكر به صورت رندوم به گروه زيادي از متخصصان كه رايانامههاي آنها در حملات نقض داده فاش شده، رايانامهي ميفرستد و به آنها ميگويد عكسهاي شخصيشان دراختيار هكر است و اگر به حساب او پولي واريز نكنند، عكسها در اينترنت منتشر ميشود.
مهاجماني نيز كه به دروغ وانمود ميكنند به كمك نياز دارند، حس دلسوزي متخصصان را تحريك ميكنند. ميتوان گفت اكثر افرادي كه در خيابان با داستانسرايي از رهگذران تقاضاي پول ميكنند، تاحدي مهندس اجتماعي هستند.
ترفندهايي كه مهندسان اجتماعي با سوءاستفاده از احساسات قربانيان خود به كار ميگيرند، اغلب به شكلهاي زير ظاهر ميشوند:
- لينكهاي مخرب به محتواي بزرگسال يا دانلود محتواي رايگان، مثل آهنگ، فيلم، نرمافزار و بازي؛
- استفاده از نام زنانه در كادر فرستنده رايانامه براي جلب اعتماد؛
- رايانامههاي جعلي كه به ظاهر از طرف بانك، سرويسهاي تراكنش الكترونيك يا وبسايتهاي مطرح فرستاده شدهاند. اين رايانامهها از متخصص ميخواهند براي تأييد يا بهروزرساني اطلاعات، روي لينكي كليك كنند يا اطلاعات لاگين يا حساب بانكي آنها را سرقت كنند؛
- رايانامههاي تهديدآميز كه در آنها صحبت از زندان رفتن يا فرايندهاي دادگاهي شده است؛
- رويدادهاي بزرگ مثل مسابقات ورزشي، پيشبيني بلاياي طبيعي يا اخبار فوري؛
- اسامي افراد مشهور و گزارشهاي هيجانانگيز جراجوييها يا رفتارهاي زننده آنها؛
- جعل هويت افراد آشنا و قابلاعتماد مثل افراد فاميل، همكاران و دوستان.
فهرست اين ترفندها بيپايان است و مطمئناً شما نيز با برخي از آنها در اينترنت روبهرو شدهايد. هرجا كه متوجه شديد فردي احساسات شما را، مخصوصا حس ترس، كنجكاوي، طمع و دلسوزي، براي انجام كاري هدف گرفته است، احتمالاً مورد حمله مهندسي اجتماعي قرار گرفتهايد و لازم است با احتياط فراوان با آن برخورد كنيد.
چند مثال از معروفترين حملات مهندسي اجتماعي
يك روش خوب براي آشنايي با ترفندهاي مهندسي اجتماعي مطالعه حملاتي است كه در گذشته صورت گرفتهاند. در اين بخش به سه مثال از معروفترين حملات مهندسي اجتماعي اشاره خواهيم كرد:
پيشنهادي كه نميتوان رد كرد؛ از هر كلاهبرداري بپرسيد، به شما خواهد گفت آسانترين راه كلاهبرداري هدف قرار دادن حرص و طمع قربانيان است. در واقع اساس كلاهبرداري ۴۱۹ معروف به «كلاهبرداري نيجريهاي» نيز همين است. در اين كلاهبرداري، فردي كه خود را شاهزاده نيجريه معرفي كرده بود، در رايانامهي كه براي قربانيان خود فرستاده بود مدعي شد قصد دارد مبالغ هنگفتي را از كشور خارج كند و هر كس به او كمك كند، ميتواند ۳۰ درصد مبلغ جابهجا شده را براي خود بردارد. بعد كلاهبردار به بهانه هزينههاي حمل و نقل، مبلغي را از قربانيان طلب ميكرد و به محض فرستاده شدن پول، بهطور كامل ناپديد ميشد.
رايانامههاي «شاهزاده نيجريهاي» به خاطر عجيب و مضحك بودن ماجراي آن تا مدتها موضوعي براي خنده بود، اما اين روش كلاهبرداري واقعا مؤثر است و در موارد بسياري موفق عمل كرده است. حتي در ايران نيز كلاهبرداري نيجريهاي زياد اتفاق ميافتاد و قرباني ميگيرد. مثلا در سال ۹۳، بيش از ۷۰۰ پرونده كلاهبرداري به روش «نيجريهاي» در ايران اتفاق افتاد و بيش از ۴۲ ميليارد تومان از مردم كلاهبرداري شد.
طوري تظاهر كن تا باور كنند؛ يكي از سادهترين و به طرز غافلگيركنندهاي، موفقترين تكنيكهاي مهندسي اجتماعي اين است كه خود را جاي قرباني جا بزنيد. كوين ميتنيك در يكي از كلاهبرداريهاي اوليه خود با شركت ديجيتال اكويپمنت كه زماني يكي از بزرگترين كمپانيها در صنعت كامپيوتر بود، تماس گرفت و وانمود كرد يكي از توسعهدهندگان ارشد اين شركت است و نميتواند به حساب خود وارد شود. او با همين دروغ ساده موفق شد لاگين و رمز عبور جديدي دريافت كند و به سرورهاي شركت دسترسي پيدا كند. اين اتفاق در سال ۱۹۷۹ افتاد و شايد فكر كنيد اوضاع از آن سال بهتر شده است، اما متأسفانه اينطور نيست. در سال ۲۰۱۶، هكري به يكي از آدرسهاي رايانامه وزارت دادگستري آمريكا دسترسي پيدا كرد و با جعل هويت يكي از متخصصان و گفتن اينكه هفته اول كاريش است، از بخش IT شركت كمك خواست تا به او دسترسي اينترنت وزارتخانه را بدهد. به همين سادگي!
مثل يك رئيس رفتار كن؛ اكثر ما طوري تربيت شديم كه به مافوق (يا كسي كه مثل مافوق رفتار ميكند) احترام بگذاريم و هرچه گفت انجام دهيم. اگر طوري رفتار كنيد كه انگار صاحب شركت هستيد و اجازه دسترسي به اطلاعاتي را داريد كه در واقع نداريد، ميتوانيد ديگران را متقاعد كنيد آنچه را كه دنبالش هستيد، در اختيارتان قرار دهند. مثلا در سال ۲۰۱۵، متخصصان مالي شركت تكنولوژي يوبيكوئيتي نتوركس، ميليونها دلار را به حساب كلاهبرداراني واريز كردند كه ازطريق رايانامههاي جعلي اداي مديران شركت را در ميآوردند. در قديم هم بازرساني كه براي روزنامههاي انگليسي كار ميكردند، به شركت مخابرات زنگ ميزنند و با تظاهر به اينكه يكي از متخصصان اين شركت هستند، اجازه دسترسي به پيامهاي صوتي افراد مشهور را پيدا ميكردند.
گاهي نيز كلاهبرداران، رايانامه وبسايتهاي معتبر را جعل ميكنند و براي شما لينكي ميفرستند تا با كليك روي آن امنيت حساب خود را تأييد كنيد؛ غافل از اينكه اين لينك به بدافزار آلوده است و شما به تصور اينكه اين رايانامه واقعا از سمت شركت معتبر فرستاده شده، به آن اعتماد كردهايد.
راههاي محافظت دربرابر حملات مهندسي اجتماعي
مقابله با مهندسي اجتماعي شايد از ساير تهديدهاي سايبري دشوارتر باشد، چون در اين معادله پاي انسان در ميان است. تكنيكهاي مهندسي اجتماعي نظير طرحهاي هرمي، اسپم، فيشينگ يا حتي كلاهبرداريهاي ساده، همه با هدف فريب قربانيان خود ازطريق «باگي» كه در سخت افزار انسانها وجود دارد، صورت ميگيرند و سناريوهاي روانشناختي پيچيدهاي را ترتيب ميدهند تا قربانيان متقاعد شوند اطلاعات شخصي خود يا ديگران را فاش كنند يا كاري انجام دهند كه به ضررشان تمام ميشود. هر بار وسوسه دانلود موزيك يا نرمافزارهاي رايگان شما را فريب داد تا بدافزار دانلود كنيد، درواقع قرباني حمله مهندسي اجتماعي قرار گرفتهايد.
اگرچه مقابله با حملات مهندسي اجتماعي بسيار دشوار است، نكات و روشهايي وجود دارد كه ميتواند ما را تاحدي دربرابر اين مدل حملات محافظت كند كه در ادامه با برخي از آنها آشنا ميشويد:
منبع را مطالعه كنيد
قبل از اينكه به درخواستي پاسخ دهيد، به اين فكر كنيد كه اين تماس دقيقاً از كجا برقرار شده است. بدون مطالعه منبع به هيچ تماسي اعتماد نكنيد. روي ميزتان درايو USB پيدا ميكنيد و نميدانيد از كجا آمده است؟ تماسي غيرمنتظره به شما ميگويد چند ميليون برنده شدهايد؟ رايانامهي از مدير شركت از شما ميخواهد اطلاعات حساسي را درباره متخصصان ديگر در اختيارش قرار دهيد؟ تمام اين سناريوها مشكوك هستند و بايد با احتياط با آنها برخورد كرد.
مطالعه منبع كار سختي نيست. هميشه آدرس رايانامه را بهطور كامل چك كنيد و مطمئن شويد از فرستنده اصلي ارسال شده است. به جاي كليك، اول نشانهگر ماوس را روي لينك نگه داريد تا آدرس آن پديدار شود. اگر متن رايانامهي كه از برند يا شركت مطرحي دريافت كردهايد، غلط املايي دارد، به احتمال زياد از جاي مطمئني فرستاده نشده و جعلي است. هروقت به صحت رايانامه يا پيامي مشكوك شديد، به وبسايت رسمي مراجعه كنيد يا درباره آن با يكي از نمايندگان به صورت تلفني صحبت كنيد.
منبع چه ميداند؟
آيا منبع اطلاعاتي را كه انتظار داريد داشته باشد، مثل نام و نام خانوادگي كامل شما را ندارد؟ اگر از طرف بانك يا برند معروفي با شما تماس گرفتند، بايد تمام اين اطلاعات را داشته باشند و هميشه قبل از اينكه اجازه دهند تغييراتي در حساب خود ايجاد كنيد، از شما سوالات امنيتي ميپرسند. اگر اينطور نبود، به احتمال زياد تماس جعلي است و بايد با احتياط با آن برخورد كنيد.
چرخه را بشكن
مهندسي اجتماعي معمولا در قرباني خود نوعي حس فوريت ايجاد ميكند. مهاجمان ميدانند اگر هدفشان وقت كافي براي فكر كردن و مطالعه موضوع داشته باشد، ممكن است متوجه حقه آنها شود؛ به همين خاطر، هميشه طوري سناريو را پيادهسازي ميكنند كه هدف مجبور شود در لحظه تصميمگيري كند. هروقت با چنين تماسي روبهرو شديد، در پاسخ به آن عجله نكنيد. به جاي كليك كردن روي لينك يا دادن اطلاعاتي كه مهاجم از شما ميخواهد، با شماره اصلي شركت تماس بگيريد يا به وبسايت آن رجوع كنيد تا اعتبار منبع را چك كنيد. اگر دوست يا مدير شركت در رايانامهي از شما خواست سريعا به حساب او پول واريز كنيد، قبل از اين كار به او زنگ بزنيد و مطمئن شويد كه اين رايانامه واقعا از طرف او فرستاده شده است.
از او كارت شناسايي بخواهيد
يكي از آسانترين راههاي حمله مهندسي اجتماعي براي ورود غيرمجاز، در دست داشتن جعبه بزرگ يا تعداد زيادي پرونده است، بهطوريكه فرد نتواند كارت شناسايي خود را هنگام ورود به نگهبان نشان بدهد. اگر شما با چنين صحنهاي مواجه شديد، فريب اين ترفند را نخوريد و هميشه از فردي كه قصد ورود به ساختمان را دارد، كارت شناسايي درخواست كنيد.
اگر روش حمله ازطريق تماس تلفني بود، بازهم به همين شكل عمل كنيد و از فردي كه تماس گرفته، تمام اطلاعات لازم را بپرسيد. اگر او را نميشناسيد و نسبت به دادن اطلاعات به او حس خوبي نداريد، بگوييد بايد موضوع را با فرد ديگري چك كنيد و بعدا با او تماس ميگيريد.
از فيلتر اسپم بهتري استفاده كنيد
اگر سرويس رايانامهي كه از آن استفاده ميكنيد، تمام اسپمها را فيلتر نميكند، بهتر است از فيلتركننده اسپم بهتري كمك بگيريد. اين فيلتركنندهها قادرند به كمك ليست سياهي از IPهاي مشكوك يا مطالعه محتوا، فايلها يا لينكهاي مشكوك را شناسايي كنند و آنها را به بخش اسپم رايانامه شما بفرستند.
چقدر داستان واقعبينانه است؟
برخي از حملات مهندسي اجتماعي فرد را در موقعيتي اورژانسي قرار ميدهند كه نتواند به ماجرا به صورت نقادانه نگاه كند. اگر بتوانيد در اين شرايط مطالعه كنيد كه چقدر ماجرا واقعبينانه است، ميتوانيد از به دام افتادن در تله مهندسان اجتماعي در امان باشيد. مثلا، اگر دوستتان در مخمصهاي گير افتاده و به پول نياز دارد، آيا به شما رايانامه ميزند يا تماس ميگيرد؟ چقدر احتمال دارد فاميل دوري كه نميشناسيد در وصيتنامه خود نامي از شما برده باشد؟ آيا بانك ممكن است به شما زنگ بزند و از شما اطلاعات حسابتان را بخواهد؟
در كل، هربار در مكالمهاي متوجه حس فوريت شديد با احتياط با آن برخورد كنيد. بگوييد براي دسترسي به اطلاعات به زمان نياز داريد يا بايد از مافوق خود سؤال كنيد. در اين شرايط عجله نكنيد. بسياري از مهندسان اجتماعي بعد از اينكه ببينند شما در همان لحظه حاضر به همكاري نيستيد، از ادامه حمله منصرف ميشوند.
امنيت دستگاههاي خود را بالا ببريد
اگر دستگاههاي هوشمند شما از امنيت بالايي برخوردار باشند، حتي در شرايطي كه مهندس اجتماعي موفق به حمله شده است، دسترسياش به اطلاعات محدود خواهد بود. براي افزايش امنيت موبايل هوشمند يا شبكه خانگي يا حتي سيستم شركت بزرگ:
- هميشه نرمافزار آنتي ويروس خود را بهروزرساني كنيد تا رايانامههاي فيشينگ نتوانند روي سيستم شما بدافزار نصب كنند.
- پچهاي امنيتي سيستم عامل و نرمافزارهاي خود را در سريعترين زمان ممكن نصب كنيد.
- موبايل خود را در حال روت يا شبكه و پيسي خود را در حالت administrator اجرا نكنيد تا درصورت دسترسي مهاجم به اكانت شما، قادر نباشد روي آن بدافزار نصب كند.
- از به كار بردن رمزعبور يكسان براي اكانتهاي مختلف خودداري كنيد تا در صورت دسترسي مهاجم به يكي از حسابهاي شما، ساير اكانتها در امان باشند.
- براي اكانتهاي حياتي حتماً از احراز هويت دو عاملي استفاده كنيد.
مراقب ردپاي ديجيتالي خود باشيد
اگر عادت داريد در شبكههاي اجتماعي اطلاعات شخصي خود را به اشتراك بگذاريد، طعمه خوبي براي مهندسان اجتماعي هستيد. مثلا يكي از سوالات امنيتي اكانت ممكن است نام حيوان خانگي باشد. اگر در شبكههاي اجتماعي نام حيوان خانگي خود را عنوان كرده باشيد، ممكن است مورد حمله مهندسي اجتماعي قرار بگيريد. توصيه ميشود پستهاي خود را در شبكههاي اجتماعي تنها با دوستان به اشتراك بگذاريد و به جنبههاي ديگر زندگي شخصي خود كه در اينترنت منتشر كردهايد، نيز خوب فكر كنيد. مثلا اگر راخبار تخصصيه الكترونيك داريد، آدرس، شماره تلفن و تاريخ تولد را از آن حذف كنيد.
مهندسي اجتماعي از آن رو اينقدر خطرناك است كه از موقعيت بسيار نرمال و به ظاهر بيخطر براي رسيدن به مقاصد پليد استفاده ميكند. بااينحال، آشنايي با ترفندهاي مهندسي اجتماعي و احتياط ميتواند خطر به دام افتادن در نقشههاي اين مهاجمان را كاهش دهد.
حرف آخر
اسمش را هرچه ميخواهيد بگذاريد؛ مهندسي اجتماعي، حقه اطمينان، سوگيري شناختي يا كلاهبرداري. سوءاستفاده از سادگي و اعتماد افراد همانقدر اين روزها شايع است كه از ابتداي تاريخ بوده است. از هر متخصص امنيت سايبري كه بپرسيد به شما خواهد گفت ضعيفترين و آسيبپذيرترين حلقه در زنجيره امنيت، انسانها هستند. ما ميتوانيم پيشرفتهترين نرمافزار را براي حفاظت از سيستمهاي كامپيوتري توسعه دهيم، سختگيرانهترين سياستهاي امنيتي را به كار گيريم و متخصصان را به بهترين شكل يادگيري دهيم؛ بااينحال، تا زماني كه اجازه دهيم حس كنجكاوي و طمع ما بدون توجه به پيامدها تصميمگيرنده باشند، ممكن است هر لحظه با تراژدي تروجان خودمان روبهرو شويم.
جمله «يك كامپيوتر امن، يك كامپيوتر خاموش است»، هوشمندانه اما نادرست است
يك جمله معروف است كه ميگويد: «يك كامپيوتر امن، يك كامپيوتر خاموش است.» جمله هوشمندانهاي است، اما نادرست است. يك مهندس اجتماعي ميتواند شما را متقاعد كند وارد دفتر كار شده و كامپيوتر خود را روشن كنيد. مهاجمي كه در پي به دست آوردن اطلاعات شما باشد، ميتواند با صبر، پافشاري و شخصيت كاريزماتيك خود آن را در نهايت به دست آورد؛ به اين ميگويند هنر فريبكاري.
واقعيت اين است كه هيچ تكنولوژياي در دنيا قادر نيست از حمله مهندسي اجتماعي جلوگيري كند. تنها راه اين است كه تمام افراد سازمان از وجود مهاجماني كه قصد دارند با فريب و ترفند، آنها را مورد دستكاري روانشناختي قرار دهند، باخبر باشند و درباره اينكه چه اطلاعاتي و چگونه بايد از آنها محافظت شود، يادگيري ببينند. به محض اينكه از تمام راههايي كه ممكن است احساسات و افكار شما در جهت منافع مهاجم دستكاري شود، به درك بهتري برسيد، بهتر متوجه خواهيد شد كه مورد حمله مهندسي اجتماعي قرار گرفتهايد.
هم انديشي ها