حملات مهندسی اجتماعی اصطلاحی است که برای طیف گستردهای از فعالیتهای مخرب حاصل از تعاملات انسانی به کار میرود. به عبارت دیگر، فرد مهاجم در این روش با استفاده از فریب روانشناسی، قربانی را مجبور به ارتکاب اشتباهات امنیتی و ارائهی اطلاعات مهم میکند.
به طور معمول حملات مهندسی اجتماعی در یک یا چند مرحله رخ میدهند. ابتدا مهاجم، تحقیقات لازم را در مورد قربانی انجام داده تا اطلاعاتی مانند “راههای احتمالی ورود به سیستم” و “پروتکلهای ضعیف امنیتی” در مورد وی به دست بیاورد.
سپس مهاجم اقدام به جلب اعتماد قربانی نموده و محرکهایی جهت مراحل بعدی و نقض دادهها ایجاد مینماید، مانند افشای اطلاعات مهم یا دستیابی به منابع اطلاعات مهم.
آنچه که حملات مهندسی اجتماعی را خطرناک میسازد این است که به جای آسیبپذیری در نرم افزار یا سیستم عامل، به خطای انسانی متکی است. به طور معمول، ارتکاب اشتباهات توسط کاربران قانونی قابل پیش بینی نیست و شناسایی و خنثی سازی آنها در مقایسه با حملههای مبتنی بر بدافزار دشوارتر است.
تکنیکهای حمله مهندسی اجتماعی
حملات مهندسی اجتماعی در اشکال مختلفی وجود دارند و در هر مکانی که تعامل انسانی دخیل باشد، رخ میدهند. پنج مدل رایج حملات مهندسی اجتماعی دیجیتالی به قرار زیر هستند:
-
حملات Baiting
همان طور که از نامش پیداست، حملات Baiting (طعمه گذاری) از یک عامل تحریک کننده، برای کنجکاوی قربانی استفاده میکنند. در این روش مهاجم، کاربر را به طرفی سوق میدهد که اطلاعات شخصی وی را به سرقت ببرد یا سیستم آن را به بدافزار آلوده کند.
بدترین نوع حمله Baiting، استفاده از رسانههای فیزیکی جهت پراکنده کردن بدافزار است. به عنوان مثال مهاجم، یک سخت افزار آلوده به بدافزار مانند درایو فلش را در مکانهایی که احتمال دیدن آن توسط قربانی زیاد است قرار میدهد، مانند پارکینگ یا آسانسور شرکت.
این طعمه ظاهری بسیار فریبنده دارد، مثلا روی آن نوشته لیست حقوق و دستمزد کارکنان شرکت. قربانی آن را از روی کنجکاوی برداشته و به سیستم خانه یا محل کار خود میزند و بدافزار بصورت اتوماتیک، شروع به نصب بر روی سیستم میکند.
حمله از طریق طعمه گذاری (Baiting) لزوماً در دنیای فیزیکی رخ نمیدهد، بلکه به شکل آنلاین نیز ممکن است اتفاق بیفتد. در این صورت به شکل تبلیغات فریبندهای است که منجر به باز کردن سایتهای مخرب میشود و یا کاربران را به دانلود یک برنامهی آلوده به بدافزار تشویق میکند.
-
Scareware
در این روش از ترساندن قربانی استفاده میشود. مهاجم شروع به هشدارهای دروغین و تهدیدات ساختگی مینماید تا قربانی تصور کند که سیستم به بدافزار آلوده شده است. در نتیجه، قربانی را مجبور به نصب نرم افزار مورد نظر خود و یا بدافزار میکند.
یکی از متداولترین مثالهای Scareware، باز شدن پاپآپهایی با ظاهر قانونی و با محتوای “هشدار در مورد آلوده شدن سیستم” است که در مرورگر ظاهر میگردند. در این حالت، قربانی را به نصب نرم افزاری جهت محافظت از برنامههای خود تشویق میکنند که یا حاوی بدافزار است و یا وی را به سایت مخربی هدایت میکند.
Scareware گاهی از طریق ایمیلهای Spam توزیع میگردد و گاهی نیز به کاربران پیشنهاد خرید خدمات مفیدی را ارائه میدهد.
-
Pretexting
در این روش مهاجم، اطلاعات مورد نظر خود را از طریق دروغهای هوشمندانه به دست میآورد. غالبا مهاجم وانمود میکند نیاز به اطلاعات مهمی جهت انجام یک کار حیاتی دارد. معمولا مهاجم، با معرفی خود به عنوان یک مقام معتبر مانند یک همکار، افسر پلیس، مقامات بانکی و یا غیره اعتماد قربانی را جلب میکند.
در این روش، مهاجم سوالاتی را مطرح میکند که ظاهرا برای تایید هویت قربانی لازم است و به این ترتیب اطلاعات مهم مورد نیاز خود را جمعآوری میکند.
در نتیجه انواع اطلاعات مورد نیاز و سوابق با استفاده از این روش جمعآوری میشود مانند کد امنیت، آدرسهای شخصی، شمارههای تلفن تاریخ تعطیلات کارکنان، سوابق بانکی و حتی اطلاعات امنیتی مرتبط با محیط فیزیکی.
-
Phishing
فیشینگ یکی از محبوبترین انواع حملات مهندسی اجتماعی است که شامل ایمیل و پیامهای متنی با هدف ایجاد حس اضطرار، کنجکاوی و ترس در قربانی میشود. سپس قربانی را به سمت افشای اطلاعات مهم، کلیک بر روی وبسایتهای مخرب یا باز کردن ضمیمههای حاوی بدافزار، هدایت میکند.
به عنوان مثال ایمیلی برای کابران خدمات آنلاین ارسال میشود و به آنها در مورد نقض خط مشی که نیاز به اقدام فوری (مثلا تغییر پسورد) دارد، هشدار میدهد. به این ترتیب توسط یک لینک به وبسایتهای مخرب، که ظاهر قانونی و بدون مشکل دارد هدایت شده و پسورد خود را در اختیار مهاجم قرار میدهد.
با توجه به پیامهای یکسان و یا تقریبا یکسانی که برای تمام کاربران در کمپینهای فیشینگ ارسال میشود، شناسایی و مسدود کردن آنها برای سرورهایی که به پلتفرمهای به اشتراکگذاری تهدیدات دسترسی دارند، کار سادهای است.
-
Spear Phishing
این روش به عنوان یک نسخهی هدفمندتر از فیشینگ محسوب میشود که در آن مهاجم، فرد یا سازمان خاصی را مورد هدف قرار میدهد. مهاجمان پیامهای خود را بر اساس ویژگیها، موقعیت شغلی و ارتباطات متعلق به قربانیان تنظیم میکنند تا حملهی آنها کمتر به چشم بیاید.
Spear Phishing نیاز به تلاش بیشتری دارد و گاهی ممکن است هفتهها و یا ماهها طول بکشد. از طرفی چنانچه با مهارت کامل انجام شود، شناسایی آنها بسیار مشکل است.
در یک سناریوی Spear Phishing ممکن است مهاجمی دخیل باشد که خود را به عنوان مشاور IT یک سازمان معرفی کند و به کارمندان ایمیل ارسال کند. به این ترتیب، قربانی فریب پیام معتبر را میخورد و پسورد خود را در اختیار مهاجم قرار میدهد.
پیشگیری از حملات مهندسی اجتماعی
مهاجمین مهندسی اجتماعی با استفاده از تحریک احساسات انسانی مانند کنجکاوی یا ترس، طرحهایی را اجرا نموده و قربانی را به دام میکشند. بنابراین، زمانی که در ایمیل خود مورد مشکوکی ملاحظه نمودید یا وقتی که جذب پیشنهادی در یک وب سایت شدید، مراقب باشید. هوشیار بودن از شما در برابر اکثر حملات مهندسی اجتماعی که در حوزه دیجیتال رخ میدهند، مراقبت خواهد کرد.
نکات زیر میتوانند در رابطه با افزایش آگاهی و هوشیاری شما نسبت به حملات مهندسی اجتماعی تاثیر زیادی داشته باشد:
- ایمیلها و ضمیمههایی با منابع مشکوک را باز نکنید. نیازی به پاسخگویی به ایمیلهای ناشناس نیست. حتی وقتی فرستندۀ ایمیل را میشناسید ولی نسبت به ایمیل مشکوک هستید، نیازی به پاسخگویی نیست.
میتوانید از راههای ارتباطی دیگر جهت تایید ایمیل استفاده کنید. به یاد داشته باشید که جعل آدرسهای ایمیل کار سادهای است و حتی ایمیلی که ظاهرا معتبر است، میتواند توسط مهاجم ارسال شده باشد.
- از احراز هویت چند عاملی استفاده کنید. یکی از با ارزشترین اطلاعاتی که مهاجمان به دنبال آن هستند، مدارک و اعتبارات کاربر است. استفاده از احراز هویت چند عاملی به شما کمک میکند تا در صورت به خطر افتادن سیستم از حساب کاربری خود محافظت کنید.
- مراقب پیشنهادات وسوسه انگیز باشید. در صورتی که یک پیشنهاد بیش از حد فریبنده به نظر برسد، قبل از پذیرفتن، آن را به خوبی بررسی نمایید.
- نرم افزارهای آنتی ویروس و ضد بدافزار خود را همیشه بهروزرسانی کنید. انجام بروزرسانیها را به صورت عادت در آورید تا به صورت مرتب انجام شوند. در ضمن جهت اطمینان از این که بروزرسانیها به درستی اعمال شدهاند، به صورت دورهای بررسی کنید و سیستم خود را برای آلودگیهای احتمالی اسکن کنید.