کمیته رکن چهارم – مهندسی اجتماعی عبارتی است که برای گستره وسیعی از فعالیتهای بدخواهانه استفاده میشود که با استفاده از تعاملات انسانی عملی میگردند. در این روش، با استفاده از ترفندهای روانشناختی میتوان کاربران را فریب داد و باعث شد که دست به اشتباهات امنیتی زده یا اطلاعات حساس را به صورت آگاهانه فاش کنند.
حملات مهندسی اجتماعی معمولا در یک یا چند گام پیادهسازی میشوند. شخص مهاجم ابتدا به بررسی تمام و کمال قربانی خود میپردازد تا اطلاعات پسزمینه مورد نیاز مانند نقاط ورود و پروتکلهای امنیتی ضعیف را شناسایی کند و بعد دست به حمله بزند. سپس هکر اعتماد قربانی را جلب کرده و محرکهای لازم که به کنار گذاشتن رویکردهای امنیتی رایج منتهی میشوند را به وجود میآورد. به این ترتیب، قربانی ممکن است اطلاعات حساس را فاش کند یا کاری کند که مهاجم به منابع حیاتی دسترسی یابد.
آنچه مهندسی اجتماعی را شدیدا خطرناک میکند، اتکایش بر خطای انسانی است و لزوما نیازی به اتکا بر آسیبپذیریهای نرمافزاری نیست. اشتباهاتی که توسط کاربران صورت میگیرند، به مراتب غیر قابل پیشبینیتر هستند و بنابراین شناسایی دلایل موفقیتآمیز بودن حمله، به مراتب دشوارتر از یافتن آسیبپذیریهای نرمافزاری خواهد بود.
تکنیکهای رایج در حملات مهندسی اجتماعی
حملات مهندسی اجتماعی به طرق گوناگون پیادهسازی میشوند و در هرجایی که دخالت و تعامل انسانی وجود داشته باشد، قابل انجام هستند. در پایین به بررسی ۵ فرم رایج از حملات مهندسی اجتماعی دیجیتالی میپردازیم.
طعمهگذاری (Baiting)
همانطور که از نام این روش پیداست، حملات طعمهگذاری از یک وعده دروغین برای ایجاد حس طمع یا کنجکاوی در قربانی استفاده میکنند. مهاجم، کاربر را به سمت دامی که برایش پهن کرده میکشد و سپس با استفاده از یک بدافزار، اطلاعات شخصی او را به سرقت میبرد یا به سیستم او رخنه میکند.
محبوبترین روش طعمهگذاری، استفاده از مدیای فیزیکی برای توزیع بدافزار است. برای مثال مهاجمین طعمه خود -که معمولا یک فلش درایو آلوده به بدافزار است- را در نقاط پر رفت و آمد قرار میدهد، یعنی جایی که قربانیهای بالقوه به طور یقین قادر به مشاهده آن خواهند بود (به عنوان نمونه میتوان به دستشوییها، آسانسورها و پارکینگ یک کمپانی اشاره کرد). ضمنا طعمه ظاهری بسیار باورپذیر دارد و برای مثال با برچسب «لیست دستمزدهای کاربران» جایگذاری میشود.
قربانی ممکن است به خاطر کنجکاوی صرف، طعمه را برداشته و آن را به کامپیوتر خود در خانه یا محل کار متصل کند. به این ترتیب، نصب بدافزار به صورت خودکار انجام میشود. البته که حملات طعمهگذاری لزوما هم در دنیای فیزیکی انجام نمیشوند. از فرمهای آنلاین طعمهگذاری میتوان به تبلیغات هیجانانگیزی اشاره کرد که کاربر را به سایتهای آلوده هدایت میکنند یا او را ترغیب به دانلود اپلیکیشنهایی که به بدافزار آلوده شدهاند.
ترسافزار (Scareware)
ترسافزارها قربانی را با انبوهی از هشدارهای دروغین و تهدیدهای ساختگی بمباران میکنند. به این ترتیب کاربر فریب خورده و تصور میکند سیستماش به یک بدافزار آلوده است. سپس سازنده ترسافزار از او میخواهد که به نصب نرمافزاری بپردازد که (به جز برای مهاجم) هیچ نفعی ندارد یا اساسا یک بدافزار کامل است.
یکی از مثالهای رایج ترسافزارها، بنرهای پاپآپی است که هنگام گشتوگذار در اینترنت، از مرورگرتان سر در آورده و متونی با این مضمون را نمایش میدهند: «کامپیوتر شما احتمالا به یک برنامه جاسوسافزار بدخواهانه آلوده شده باشد». ترسافزار یا شما را ترغیب به نصب یک ابزار (که معمولا آلوده به بدافزار است) میکند، یا شما را به وبسایت بدخواهانه ارجاع میدهد و کامپیوترتان از آن طریق آلوده میشود.
ناگفته نماند که ترسافزارها از طریق ایمیلهای اسپم نیز شیوع مییابند و به کاربر پیشنهاد میکنند که بابت سرویسهای بیارزش یا آسیبرسان، پول بپردازد.
Pretexting
در این روش، مهاجم اطلاعات لازم را با بهکارگیری مجموعهای از دروغهایی که با ظرافت ساخت و پرداخت شدهاند به دست میآورد. این شیوه کلاهبرداری معمولا به این ترتیب آغاز میشود که مهاجم ادعا میکند به برخی اطلاعات حساس قربانی نیاز دارد تا شروع به انجام کاری حیاتی کند.
مهاجم معمولا در ابتدا در صدد ایجاد حس اعتماد در قربانی بر میآید و خودش را جای یکی از همکاران قربانی یا پلیس یا کارمند بانک یا مامور مالیاتی جا میزند. او سپس به طرح پرسشهایی میپردازد که در ظاهر برای تایید هویت قربانی مورد نیاز هستند، اما در عمل به مهاجم کمک میکنند تا اطلاعات شخصی مهم را به دست آورد.
با این روش، هر جور اطلاعاتی که بتوان تصور کرد قابل جمعآوری خواهد بود، چیزهایی مانند شماره ملی، آدرسهای شخصی، شمارههای تلفن، تاریخ مرخصیهای کاری، پیشینههای بانکی و حتی اطلاعات امنیتی یک تاسیسات فیزیکی.
فیشینگ (Phishing)
به عنوان یکی از محبوبترین انواع حملات مهندسی اجتماعی، کلاهبرداریهای فیشینگ در قالب کمپینهای ایمیل و پیام متنی پیادهسازی میشوند که هدفشان ایجاد حس فوریت، کنجکاوی یا ترس در قربانی است. کاربر هدف سپس ترغیب به ارائه اطلاعات حساس، کلیک روی لینکهای منتهی به وبسایتهای بدخواهانه یا باز کردن فایلهای ضمیمهای که حاوی بدافزار هستند میشود.
یکی از مثالهای فیشینگ، ارسال ایمیل به کاربران یک سرویس آنلاین است که به آنها هشدار میدهد از برخی قوانین سرویس تخطی کردهاند و حالا باید رمز عبور خود را تغییر دهند. این ایمیل شامل یک لینک به وبسایتی کاملا مشابه به وبسایت سرویس اصلی نیز میشود و کاربر باید نام کاربری و پسوورد پیشین خود را همراه با پسوورد جدید مد نظرش وارد کند. به محض وارد کردن اطلاعات درخواستی، مهاجم از آنها باخبر میشود.
از آنجایی که پیامهای ارسالی برای تمام کاربران یکسان یا بسیار شبیه به یکدیگر هستند، تشخیص و بلاک کردن این پیغامها از روی سرورهای ایمیل بسیار آسان است.
فیشینگ نیزهای (Spear Phishing)
فیشینگ نیزهای، ورژنی هدفمندتر از کلاهبرداریهای فیشینگ است که به صورت خاص یک شخص یا یک سازمان واحد را هدف قرار میدهد. مهاجمین پیامهای خود را بسته به مشخصههای فردی و سمتهای شغلی شخصیسازی میکنند تا قربانی کمتر به حمله مضنون باشد. فیشینگ نیزهای نیازمند تلاش بیشتری از سوی مهاجم است و پیادهسازی آن گاهی هفتهها یا ماهها زمان میبرد. اما در عوض تشخیص آنها نیز دشوارتر بوده و اگر با ظرافت انجام شوند، شانس موفقیت بالاتری دارند.
یک سناریوی فیشینگ نیزهای میتواند شامل مهاجمی باشد که خودش را به جای مشاور آیتی در یک سازمان جا میزند و ایمیلی برای یک یا چند کارمند میفرستد. این ایمیل زبانی بسیار مشابه به زبان مشاوران سازمانی خواهد داشت و به همین ترتیب نیز امضا میشود، بنابراین قربانی به احتمال زیاد در معتبر بودن پیغام تردید نخواهد کرد. در این پیامها از گیرنده خواسته میشود که رمز عبور خود را تغییر دهند و این کار از طریق لینکی انجام میشود که آنها را به وبسایتی بدخواهانه هدایت میکند.
راههای مقابله با مهندسی اجتماعی
مهندسی اجتماعی با سوء استفاده از احساسات انسانی مانند کنجکاوی یا ترس انجام میشود و از ترفندهایی مختلف برای کشیدن قربانی به سمت طعمه استفاده میکند. بنابراین هر زمان که با مشاهده یک ایمیل حس ضرورت در وجودتان شکل گرفت یا به کلیک روی پیشنهاد نمایش داده شده روی فلان وبسایت ترغیب شدید، باید احتمال قربانی شدن در حملات بدخواهانه را نیز مد نظر داشته باشید. با به کارگیری تدابیر مختلفی که در پایین به آنها پرداختهایم، میتوانید از خودتان در برابر حملات مهندسی اجتماعی در قلمروی آنلاین محافظت کنید.
ایمیلها و فایلهای ضمیمهای که از طرف منابع مشکوک ارسال شدهاند را باز نکنید. اگر فرستنده ایمیل یا پیغام را نمیشناسید، نیازی به پاسخ دادن به ایمیل نیز ندارید. حتی اگر فرستنده را میشناسید اما نسبت به پیام تردید دارید، بهتر است که خبر بیان شده در پیغام را با دیگران و از طرق دیگر چک کنید: چه به صورت تلفنی و چه با ارتباط مستقیم با وبسایتی که فلان سرویس را ارائه میکند. یادتان باشد که ایمیل آدرسها همواره جعل میشوند، بنابراین ایمیلی که به ظاهر از سوی منبعی قابل اعتماد فرستاده شده نیز ممکن است دستپخت یک هکر باشد.
از احراز هویت چند مرحلهای استفاده کنید. یکی از ارزشمندترین اطلاعات شما برای مهاجمین، اطلاعات لاگین است. با استفاده از احراز هویت چند مرحلهای از اکانتتان در صورتی که دستگاه به خطر افتاد محافظت کنید.
مراقب پیشنهادهای وسوسهکننده باشید. اگر پیشنهاد به دستتان رسیده که حسابی هیجانانگیز به نظر میرسد، پیش از پذیرفتن آن خوب به موضوع فکر کنید. با چند جستجوی ساده در گوگل میتوانید مطمئن شوید که با پیشنهادی واقعی طرف حساب هستید یا یک طعمه.
نرمافزارهای آنتیویروس را بهروز نگه دارید. مطمئن شوید که گزینه بهروزرسانی خودکار در این نرمافزارها روشن است تا در هر روز، آخرین آپدیتها دریافت شوند. هر از چندگاهی نیز به نرمافزار سر بزنید و مطمئن شوید آخرین آپدیتها دریافت شدهاند. از سوی دیگر، اسکن مداوم سیستم را نیز از یاد نبرید.
منبع : دیجیاتو