در کنار تمامی تجهیزات مدرن امنیت سایبری، انسان ها که همچنان اساسی ترین حقله این زنجیره هستند، همچنان به عنوان هدف اصلی مهاجمان قرار دارند.
روشهای فریب و عبور از این حلقه ضعیف، مهندسی اجتماعی نام دارد. در این مقاله به معرفی کامل این تکنیک، انواع مهندسی اجتماعی و همچنان روشهای پیشگیری از آن پرداخته میشود.
این مقاله برای تمامی افرادی که به هر نحوی با دنیای تکنولوژی سر و کار دارند مفید است.
مهندسی اجتماعی چیست؟
تبهکاران سایبری از هر فرصتی جهت آسیب حداکثری استفاده میکنند. وقتی به امنیت سایبری فکر میکنیم، بیشتر سوءاستفاده هکرها از ضعفهای امنیتی و مقابله با آنها به ذهنمان خطور میکند اما راه دیگری برای نفوذ به سازمانها و شبکهها وجود دارد و آن بهرهجویی از ضعف انسانی است که اغلب به عنوان مهندسی اجتماعی (Social Engineering) شناخته میشود و شامل فریب دادن کاربران به منظور افشای اطلاعات یا فراهم نمودن امکان دسترسی به دادههای شبکه است.
متأسفانه، شانس اغلب به نفع مهاجمان است، زیرا آنها برای دسترسی به شبکه یک سازمان تنها به یک فرد ناآگاه نیاز دارند تا روی یک پیوند مخرب کلیک کند یا اطلاعات اصالتسنجی خود را وارد کند. مهاجمان به طور مستمر در حال توسعه تکنیکهای خود هستند تا شبکههای بیشتری را شناسایی و به آنها نفوذ کنند. حتی همکاران یا شرکای تجاری نیز میتوانند اهداف غیرمستقیمی برای مهاجمان جهت دستیابی به اطلاعات یا بهبود شانس نفوذ آنها به شبکه مورد نظر باشند.
به عنوان مثال، یک مهاجم میتواند خود را کارمند Helpdesk معرفی نموده و از کاربران بخواهد اطلاعاتی مانند نام کاربری و رمز عبور خود را ارائه دهند. جای تعجب است که بسیاری از کاربران در این مورد تامل نمیکنند و گمان میکنند که این اطلاعات توسط یکی از کارمندان بخش فناوری اطلاعات درخواست شده است.
به زبان ساده، مهندسی اجتماعی فریب دادن افراد جهت فراهم نمودن امکان دستکاری و نفوذ مهاجمان به شبکه یا افشای اطلاعات یا دادههای آن است.
انواع حملات مهندسی اجتماعی
انواع مختلفی از حملات مهندسی اجتماعی وجود دارد. بنابراین درک تعریف مهندسی اجتماعی و همچنین نحوه کارکرد آن حائز اهمیت میباشد. به محض درک روشهای اساسی این تکنیک، تشخیص حملات مهندسی اجتماعی بسیار آسانتر خواهد بود.
طعمهگذاری
طعمهگذاری (Baiting) شامل ایجاد یک عامل تحریککننده یا بکارگیری یک تله نظیر یک USB حاوی بدافزار در مکانهایی است که احتمال دیدن آن توسط قربانی زیاد است. در واقع Baiting، استفاده از رسانههای فیزیکی جهت انتقال بدافزار میباشد. این طعمه، ظاهری بسیار فریبنده دارد، مثلاً روی آن نوشته شده لیست حقوق و دستمزد کارکنان شرکت. قربانی آن را از روی کنجکاوی برداشته و به سیستم خانه یا محل کار خود میزند و بدافزار اتوماتیک، شروع به نصب بر روی سیستم میکند.
حملات طعمهگذاری لزوماً در دنیای فیزیکی رخ نمیدهد. بلکه به شکل آنلاین نیز ممکن است اتفاق بیفتد. در این صورت به شکل تبلیغات فریبندهای است که کاربر را تشویق به ورود به سایتهای مخرب نموده و یا کاربران را به دانلود یک برنامه آلوده به بدافزار ترغیب مینماید.
بهانهسازی
این حمله از بهانهسازی (Pretexting) جهت جلب توجه و جذب قربانی به ارائه اطلاعات استفاده میکند. به عنوان مثال، یک نظرسنجی اینترنتی ممکن است کاملاً بیخطر به نظر برسد اما سپس جزئیات حساب بانکی را بپرسد. در حملات Pretexting ممکن است مهاجم با جعل هویت همکاران، پلیس، مقامات بانکی و مالیاتی یا سایر افراد، سوالاتی را مطرح کند که ظاهراً برای تائید هویت قربانی لازم است و از طریق آن اطلاعات حساس و حیاتی او نظیر شمارههای تأمین اجتماعی، آدرسهای شخصی و شماره تلفنها، سوابق تلفن، تاریخ تعطیلات کارکنان، سوابق بانکی و … را جمعآوری میکند.
فیشینگ
حملات فیشینگ (Phishing) یعنی ارسال یک ایمیل یا پیام متنی که در ظاهر از یک منبع قابل اعتماد ارسال شده است. به عنوان مثال ایمیلی ظاهراً از سوی یک بانک ارسال میشود که از مشتریان درخواست میکند که اطلاعات امنیتی خود را تأیید کنند و آنها را به یک سایت جعلی هدایت میکند که در آن نام کاربری و رمز عبور خود را ثبت میکنند. در «فیشینگ نیزهای» (Spear Phishing) نیز مهاجمان، شخصی را در یک شرکت خاص مورد هدف قرار میدهند و ایمیلی را ارسال میکنند که ظاهراً از سوی یک مدیر سطح بالاتر در شرکت میآید و اطلاعات محرمانه را درخواست مینمایند.
ویشینگ و اسمیشینگ
ویشینگ و اسمیشینگ (Vishing Smishing) نوعی دیگر از حملات مهندسی اجتماعی و انواعی دیگر از حملات فیشینگ هستند. «ماهیگیری صوتی» یا فیشینگ صوتی (Vishing) به معنای برقراری تماس تلفنی از سوی مهاجم و درخواست داده است. این گونه تماسها معمولاً در زمانهای پراسترس اتفاق میافتد تا احساس فوریت ایجاد کنند و گیرنده تماس فریب خورده و اطلاعات شخصی و مهم درخواست شده را در اختیار آنها قرار دهد. مهاجم ممکن است به عنوان یک همکار ظاهر شود و تظاهر کند که از بخش فناوری اطلاعات تماس گرفته و اطلاعات ورود به سیستم را از او درخواست نماید. Smishing هم از پیامهای SMS که حاوی پیوند است جهت دستیابی به اطلاعات قربانی یا نصب بدافزار بر روی دستگاه کاربر استفاده میکند.
ترسافزار
اعتقاد بر این است که «در یک مبادله عادلانه سرقتی در کار نیست»، اما در این مورد چنین است. بسیاری از حملات مهندسی اجتماعی باعث میشوند که قربانیان این باور را داشته باشند که در ازای دادهها یا دسترسیهایی که ارائه میکنند چیزی دریافت میکنند.Scareware با ادعای اینکه سیستم کاربر به بدافزار آلوده است او را ترغیب به نصب یک نرمافزار میکند.Scareware به کاربران در ازای دریافت داده، نوید یک بهروزرسانی جهت مقابله با یک مشکل امنیتی فوری را میدهد. در حالی که در واقع، scareware هیچ منفعتی (به جزء برای مجرم) ندارد و صرفاً یک تهدید امنیتی مخرب است.
ارسال هرزنامه و هک ایمیل
نوع دیگری از حملات مهندسی اجتماعی شامل هک ایمیل یا حسابهای مربوط به رسانههای اجتماعی افراد جهت دسترسی به مخاطبین آنها میباشد. در اینگونه حملات پس از هک حساب کاربری افراد، ممکن است به مخاطبین آنها گفته شود که مدارک فرد و تمام کارتهای اعتباری او مورد سرقت قرار گرفته و از آنها خواسته شود تا پول را به حساب دیگری واریز کنند. یا ممکن است اقدام به ارسال ویدیویی نمایند که در واقع لینکی به یک بدافزار یا یک تروجان (Keylogging Trojan) است.
کشاورزی در مقابل شکار
در نهایت، آگاه باشید که برخی از حملات مهندسی اجتماعی بسیار پیشرفتهتر میباشند. بیشتر رویکردهای سادهای که تاکنون شرح دادیم، نوعی «شکار» (Hunting) هستند. اساساً مهاجمان در این حملات نفوذ میکنند، اطلاعات را دریافت نموده و خارج میشوند.
با این حال، در برخی از انواع حملات مهندسی اجتماعی، مهاجمان اقدام به برقراری ارتباط با هدف مورد نظر در یک بازه زمانی طولانیتر مینمایند که این تکنیک اغلب به عنوان «کشاورزی» (Farming) شناخته میشود. این ترفند برای مهاجم خطرناکتر است و احتمال بیشتری وجود دارد که شناسایی شوند اما، اگر نفوذ مهاجمان موفقیتآمیز باشد، میتوانند اطلاعات بسیار بیشتری را استخراج نمایند.
فیشینگ همچنان مشکل اصلی در امنیت است، زیرا هنوز هیچ وصله امنیتی برای حماقت انسان وجود ندارد.
پیشگیری از حملات مهندسی اجتماعی
مقابله با حملات مهندسی اجتماعی بسیار دشوار است، زیرا این گونه حملات به صراحت با سوءاستفاده از احساسات انسانی نظیر کنجکاوی، ترس و تمایل به کمک به دوستان طراحی شدهاند و از این طریق قربانی را به دام میکشند. مهاجمان در این گونه حملات تلاش میکنند تا اعتماد و احساس فوریت را به حداکثر برسانند تا کاربران را متقاعد کنند تا اطلاعات اصالتسنجی خود را وارد کنند.
بنابراین مهم است که ضمن بکارگیری راهکارها و استراتژیهای امنیتی، از قربانی شدن جلوگیری نمائید. از این رو هوشیار بودن و بکارگیری نکات زیر میتواند به شناسایی حملات مهندسی اجتماعی کمک کند:
بررسی منبع ارسال کننده ایمیل
لحظهای به منبع ارسالکننده پیام فکر کنید. کورکورانه به هیچ پیام یا ایمیلی اعتماد نکنید. یک USB روی میز خود مشاهده میکنید ولی نمیدانید چیست؟ یک تماس تلفنی غیر منتظره دریافت میکنید که ادعا میکند شما برنده 5 میلیون دلار شدهاید؟ ایمیلی از مدیر عامل خود دریافت مینمایید که در آن اطلاعات زیادی در خصوص کارکنان از شما درخواست میکند. همه این موارد مشکوک به نظر میرسند و باید با آنها با احتیاط و هشیاری برخورد کرد.
البته بررسی منبع ارسال پیام کار چندان دشواری نیست. به عنوان مثال، هنگام دریافت یک ایمیل مشکوک، به هدر (Header) ایمیل نگاه کنید و ایمیلهای معتبر قبلی از همان فرستنده را بررسی کنید. به نشانی که پیوندها شما را هدایت میکنند، با دقت نگاه کنید؛ هایپرلینکهای جعلی را به راحتی میتوان با نگه داشتن مکاننما روی آنها تشخیص داد (هر چند روی پیوند کلیک نکنید!) املای آن را بررسی کنید: بانکها تیمهای اختصاصی از افراد واجد شرایط جهت ارتباط با مشتریان دارند، بنابراین یک ایمیل با خطاهای آشکار املایی، احتمالاً جعلی است.
اگر درخصوص منبع ارسال ایمیل یا پیامی شک دارید، میتوانید به سایت رسمی بروید و با نماینده رسمی تماس بگیرید؛ آنها میتوانند تأیید کنند که ایمیل/پیام رسمی یا جعلی است.
آنها چه اطلاعاتی از شما میدانند؟
آیا آن منبع ارسال کننده پیام/ایمیل، اطلاعاتی نظیر نام کامل شما و غیره را که شما انتظار نمیرود در اختیار داشته باشند، دارند؟ به یاد داشته باشید، اگر بانکی با شما تماس میگیرد، باید همه آن دادهها را در اختیار داشته باشد و همیشه قبل از اینکه به شما اجازه ایجاد تغییرات در حسابتان را بدهد، سؤالات امنیتی میپرسد. اگر این کار را نکنند، احتمال اینکه ایمیل/تماس/پیام جعلی باشد به میزان قابل توجهی بیشتر است و باید مراقب باشید.
آموزش امنیت سایبری و در اولویت قرار دادن آگاهیرسانی به کارکنان
کارکنان باید اهمیت محافظت از خود و سازمانشان در برابر انواع حملات مهندسی اجتماعی را درک کنند تا اولین خط دفاعی باشند و گامهای پیشگیرانه برای محافظت از اطلاعات شخصی، دستگاهها و شبکههای سازمان را بردارند. عنصر اساسی در این زمینه، مشارکت دادن کارکنان به هر طریقی در پذیرش و انجام مسئولیتهای امنیتی است.
لذا آموزش مفاهیم امنیتی به کارکنان و آگاهیرسانی در خصوص چگونگی شناسایی تهدیدات سایبری منجر به حفظ امنیت سایبری سازمان میشود. این آموزش میتواند اطلاعات مفیدی در زمینه سناریوها و تکنیکهای جدید حمله به کارکنان ارائه دهد.
آموزش کاربران در خصوص شناسایی حملات فیشینگ
فیشینگ اغلب میتواند بخشی از استراتژی اولیه حمله مهاجمان جهت دسترسی و نفوذ به یک شبکه باشد. از این رو توصیه میشود که سازمانها جهت آگاهیبخشی و هوشیاری کاربران در برابر تهدیدات فیشینگ از سرویسهای شبیهسازی فیشینگ استفاده نمایند. همچنین آموزش کاربران در خصوص شیوهها و واکنش مناسب هنگام مواجه با حملات فیشینگ هدفمند نیز در دستور کار قرار گیرد.
شکستن حلقه مهندسی اجتماعی
تکنیکهای مهندسی اجتماعی اغلب احساس فوریت را به کاربران القاء میکند. مهاجمان امیدوارند که قربانیان در مورد آنچه در حال وقوع است فکر نکنند. بنابراین فقط یک لحظه فکر کردن میتواند از این حملات جلوگیری کند یا تقلبی بودن آنها را نشان دهند.
به جای ارائه اطلاعات در تلفن یا کلیک کردن روی یک پیوند، با شماره رسمی و معتبر آن مرجع تماس بگیرید یا از طریق URL رسمی سایت وارد شوید. برای بررسی اعتبار منبع از روش ارتباطی متفاوتی استفاده کنید. به عنوان مثال، اگر از دوستی ایمیلی دریافت کردید که از شما میخواهد پول ارسال کنید، از طریق تلفن همراه به او پیامک ارسال کنید یا با او تماس بگیرید تا مطمئن شوید که آیا واقعاً اوست یا خیر.
درخواست نمودن مدرک شناسایی معتبر
یکی از سادهترین حملات مهندسی اجتماعی دور زدن ماموران امنیتی و حفاظتی ساختمانها جهت ورود به یک ساختمان و حمل یک جعبه بزرگ یا دستهای پرونده توسط یک فرد است. در این حالت، فرد دیگری درب ورودی را باز نگه میدارد. فریب این را نخورید و همیشه کارت شناسایی معتبر از آنها درخواست کنید.
همین امر در مورد سایر رویکردها نیز صدق میکند. بررسی نام و شماره هر کسی که با شما تماس میگیرد را مدنظر داشته باشید؛ به چه کسی گزارش میدهید؟ سادهترین پاسخی که میدهید سوال درخصوص نام آن شخص است درخواست کننده اطلاعات باشد. سپس به سادگی فهرست تلفن آن سازمان را قبل از ارائه هرگونه اطلاعات خصوصی یا دادههای شخصی بررسی کنید. اگر فرد درخواست کننده اطلاعات را نمیشناسید و هنوز اعتماد نمیکنید که اطلاعات مطالبه شده را در اختیار او قرار دهید، به او بگویید که باید با شخص دیگری چک کنید و با او تماس خواهید گرفت.
بکارگیری راهکار امنیتی جهت پالایش و فیلتر هرزنامه
اگر راهکار امنیت ایمیل شما به اندازه کافی هرزنامه (Spam) را فیلتر نمیکند یا ایمیلها را به عنوان ایمیل مشکوک علامتگذاری نمیکند، ممکن است لازم باشد تنظیمات آن را تغییر دهید. فیلترهای هرزنامه مناسب در راهکارهای امنیتی، از انواع مختلفی از اطلاعات برای تعیین اینکه کدام ایمیلها احتمالاً اسپم هستند استفاده میکنند. آنها ممکن است فایلها یا پیوندهای مشکوک را شناسایی نموده و ممکن است فهرست از نشانیهای IP مشکوک یا شناسههای فرستنده این نوع پیامها را در اختیار داشته باشند، یا ممکن است محتوای پیامها را تحلیل کنند تا تشخیص دهند که کدام یک احتمالاً جعلی هستند.
آیا این واقع بینانه است؟
برخی از حملات مهندسی اجتماعی با فریب دادن شما به اینکه نیازی به بررسی دقیقتر نیست، عمل میکنند و وانمود میکنند که ایمیل ارسالی کاملاً واقعی است. مثلا:
- آیا این احتمال وجود دارد که یک شاهزاده نیجریهای یک میلیون دلار در وصیتنامه خود برای شما باقی گذاشته باشد؟
- آیا بانک زنگ میزند و جزئیات حساب شما را میپرسد؟ در واقع، بسیاری از بانکها زمان برقراری تماس یا ارسال ایمیل با مشتریان خود را نیز یادداشت میکنند. بنابراین اگر مطمئن نیستید، صحت تماس یا پیام/ایمیل ارسالی از بانک را سوال و بررسی بفرمائید.
خیلی تند نرو
زمانی که احساس فوریت در یک مکالمه میکنید و تماسی اضطراری با شما گرفته میشود، بسیار محتاط باشید. این روش متداول تبهکاران سایبری است تا مانع فکر کردن قربانیان به این موضوع شوند. اگر احساس عدم اطمینان و امنیت میکنید، سرعت کار را کم کنید. بگویید که برای ارائه اطلاعات به زمان نیاز دارید، باید از مدیر خود بپرسید، در حال حاضر جزئیات صحیح را در اختیار ندارید؛ یا هر چیز دیگری که سرعت کار را کاهش دهد و به خودتان فرصت فکر کردن بدهید.
اغلب اوقات، مهندسان اجتماعی اگر متوجه شوند که مزیت غافلگیری را از دست دادهاند، قربانی خود را تحت فشار قرار نمیدهند.
ایمن نمودن تمامی دستگاههای شبکه
تمامی دستگاههای خود را ایمن کنید تا چنانچه یک حمله مهندسی اجتماعی، موفقیتآمیز باشد، مهاجمان به اطلاعات محدودی دست یابند. اصول اولیه امنیت چه در تلفن هوشمند، یک شبکه خانگی یا یک سیستم بزرگ سازمانی یکسان است.
- نرمافزارهای ضدبدافزار و ضدویروس خود را همواره بهروز نگه دارید. این میتواند به جلوگیری از نصب بدافزارهایی که از طریق ایمیلهای فیشینگ ارسال میشوند، کمک کند. از راهکارهایی نظیر آنتی ویروس بیت دیفندر برای ایمن نگه داشتن شبکه و دادههای خود استفاده کنید.
- تمامی نرمافزارها و سیستمعامل را به طور منظم بهروز نگه دارید و وصلههای امنیتی را در اسرع وقت اعمال نمائید.
- گوشی را در حالت Root و یا شبکه یا کامپیوتر شخصی خود را در حالت Administrator اجرا نکنید. در این صورت، حتی در صورت وقوع یک حمله مهندسی اجتماعی و دستیابی مهاجم به رمزهای عبور و نام کاربری حساب شما، به قادر به پیکربندی مجدد سیستم یا نصب نرمافزار بر روی آن نمیباشند.
- از یک رمز عبور برای حسابهای مختلف استفاده نکنید. در صورت داشتن رمز عبور مشابه برای تمامی حسابهای کاربری، اگر در یک حمله مهندسی اجتماعی، مهاجمان به رمز عبور یکی از حسابهای شما دسترسی پیدا کنند، با آنها میتوانند به تمامی حسابهای دیگر شما نیز نفوذ کنند.
- برای حسابهای مهم، از احراز هویت دو مرحلهای (Two-factor Authentication) استفاده کنید تا مهاجم فقط با داشتن رمز عبور قادر به دستیابی به حساب کاربری نباشد. رمز دوم، ممکن است تشخیص صدا، استفاده از دستگاه امنیتی، اثر انگشت یا کد تأیید پیامکی باشد.
- اگر رمز عبور را به یک حساب کاربری تخصیص دادهاید و فکر می کنید ممکن است مورد حمله مهندسی اجتماعی قرار گرفتهاید، بلافاصله رمز عبور را تغییر دهید.
- به طور دائمی اخبار مربوط به تهدیدات سایبری را مطالعه نمائید. در این صورت از ترفندهای جدید مهاجمان جهت حمله به سیستمها و سازمانها آشنا خواهید شد و راهکار مقابله و پیشگیری از حملات نوظهور را خواهید یافت؛ در این صورت احتمال قربانی شدن شما بسیار کمتر میشود.
در نظرگرفتن ردپای دیجیتالی خود
همچنین کمی به ردپای دیجیتالی خود فکر کنید. اشتراکگذاری بیش از حد اطلاعات شخصی به صورت آنلاین، مانند رسانههای اجتماعی، میتواند به مهاجمان کمک کند. به عنوان مثال، بسیاری از بانکها «نام اولین حیوان خانگی شما» را به عنوان یک سوال امنیتی احتمالی میپرسند. آیا آن را در فیسبوک (Facebook) به اشتراک گذاشتهاید؟ اگر چنین است، ممکن است آسیبپذیر باشید! علاوه بر این، برخی از حملات مهندسی اجتماعی با اشاره به رویدادهای اخیری که ممکن است در شبکههای اجتماعی به اشتراک گذاشته باشید، سعی در دستیابی به اطلاعات اصالتسنجی شما دارند.
توصیه میکنیم تنظیمات رسانههای اجتماعی خود را به «Friends only» تبدیل کنید و مراقب آنچه به اشتراک میگذارید باشید. لازم نیست بسیار حساس و بدگمان باشید، فقط مراقب باشید.
به سایر جنبههای زندگی خود که بصورت آنلاین به اشتراک میگذارید فکر کنید. به عنوان مثال، اگر یک رزومه آنلاین دارید، باید نشانی، شماره تلفن و تاریخ تولد خود را ویرایش کنید؛ تمام اطلاعات مفید برای هر کسی که قصد اجرای یک حمله از نوع مهندسی اجتماعی را دارد. با این که برخی از حملات مهندسی اجتماعی قربانی را عمیقاً درگیر نمیکند، برخی دیگر به دقت آماده دستیابی به اطلاعات شما میباشند، اطلاعات کمتری در اختیار این مجرمان قرار بدهید.
جمعبندی
مهندسی اجتماعی بسیار خطرناک است زیرا از موقعیتهای کاملاً عادی سوءاستفاده میکند و آنها را برای اهداف مخرب بکار میگیرد. با این حال، با آگاهی کامل از نحوه کارکرد آن و انجام اقدامات احتیاطی اولیه، احتمال اینکه قربانی مهندسی اجتماعی شوید، بسیار کمتر خواهد بود. مهم ترین کلید جهت پیشگیری از حملات مهندسی اجتماعی در یک سازمان، مشارکت دادن کارکنان به هر طریقی در پذیرش و انجام مسئولیتهای امنیتی خود است. راهبران امنیتی با آموزش، بکارگیری راهکارهای مناسب و پروسههای مؤثر میتوانند به همه کمک کنند تا امنیت سایبری را جدی بگیرند.
وجود تیمهای امنیتی در شرکتها و مراکز فناوری اطلاعات در پیشگیری از حملات سایبری ضروری است، اما همه ما در نهایت مسئول درک اصول امنیت سایبری و برداشتن گامهای اساسی برای محافظت از دستگاهها و دادههای خود هستیم. با همکاری یکدیگر، شانس بیشتری برای دور نگه داشتن مهاجمان از شبکههای سازمانی و خانگی خود خواهیم داشت.
