مهندسی اجتماعی و روش نوین سوء‌استفاده از آن
mci-pages-sharing
مهندسی اجتماعی و روش نوین سوء‌استفاده از آن

«مهندسی اجتماعی» یا Social Engineering اساسا عبارت است از: هنر دسترسی به ساختمان ها، سیستم ها یا داده ها با بهره-برداری از روان شناسی انسانی بدون نفوذ یا استفاده از تکنیک های هک فنی. به عنوان مثال، یک مهندس اجتماعی به جای تلاش برای یافتن یک آسیب پذیری نرم افزاری، با تظاهر به اینکه یک شخص پشتیبان IT است، تلاش می کند تا یک یا چند کارمند را به منظور افشای رمز عبور خودشان فریب دهد. حتی اگر در هوشیاری و آمادگی کامل باشید، زمانی که نوبت به حفاظت از مرکز داده ها، توسعه های ابری و امنیت ساختمان تان می رسد، با وجود اینکه بر روی فناوری های دفاعی سرمایه گذاری کرده اید و سیاست های امنیتی و فرایندهای مناسب را در اختیار گرفته و کارآمدی آن ها را سنجیده و به طور مرتب ارتقایشان داده اید، باز هم یک مهندس اجتماعی می تواند راه خودش را باز کرده و به هدفش برسد.

شبكه هاي اجتماعي به عنوان ابزاري براي تسهيل ارتباطات نوين به ‌منظور برقراري روابط شخصي و حرفه‌اي شناخته ‌شده‌اند. با اين حال، هكرها و مهاجمان دنياي مجازي از اين بستر براي اهداف سوء خود بهره‌برداري كرده و اين شبكه‌ها را محل مناسبي براي دست‌يابي به مقاصد و منافع خود يافته‌اند. اين فعاليت هاي خرابكارانه عموما در قالب حملات صيادي سامان‌دهي و اجراشده‌اند. عبارت «حملات صيادي» مرتبط با پديده‌اي اجتماعي است كه در آن فرد يا گروهي در قالب و فرم قابل ‌اعتماد و شناخته‌شده خود را نمايانده و به اين شكل سعي در جمع‌آوري اطلاعات حساس از كاربر را دارند. دليل نام‌گذاري اين حملات به «حملات صيادي»، شباهت اين روش با ماهي‌گيري است كه در آن صياد از طعمه براي به دام انداختن صيد و شكار استفاده مي كند. خطر مواجه با طعمه‌هاي صيادي (نظير صفحات جعلي وب و رايانامه‌هاي آلوده) در سراسر دنياي مجازي وجود دارد؛ به‌ويژه در شبكه هاي اجتماعي كه به دليل گستردگي كاربران و دسترسي آسان به اطلاعات حساس افراد، نسبت به اكثر سرويس‌هاي اينترنتي، محل مناسب‌تري براي شناسايي و به دام انداختن قربانيان است.

بر اساس تحقيقات آزمايشگاه Kaspersky، يكي از معتبرترين مراكز تحقيق و توسعه در حوزه مقابله با حملات سايبري، 22 درصد اهداف حملات صيادي متوجه كاربران يكي از معروف‌ترين و شناخته‌ شده‌ترين شبكه‌هاي اجتماعي در دنياست. در اين گزارش بيان‌شده كه روزانه بيش از 20,000 حمله صيادي كه هدفش شبكه اجتماعي مذكور است، رصد مي‌شوند. اين آمار نشان از آن دارد كه كاربران شبكه‌هاي اجتماعي نيازي ضروري به برنامه‌هاي آگاهي‌رساني امنيتي براي مصونيت از چنين حملاتي دارند.

حملات صيادي فريبنده، رايج‌ترين نوع حملات صيادي در شبكه‌هاي اجتماعي است. در يك سناريوي متداول، مهاجم (كه در حملات صيادي، اصطلاحاً صياد ناميده مي‌شود) با يك حساب كاربري ساختگي وارد شبكه اجتماعي شده، خود را به ‌جاي شخص ديگري جا زده و با دوستان وي در آن شبكه ارتباط برقرار مي‌كند. پس ‌از آن، صياد اقدام به ارسال پيام‌هايي براي اين افراد مي‌نمايد كه حاوي پيوندهاي مخرب هستند؛ با اين اميد كه تعداد هرچه بيشتري از آن‌ها در دام بيفتند. اغلب اين پيوندها، حاوي مطالبي جعلي بوده كه با قرار دادن قرباني در وضعيت حساس يا نگران‌كننده (مثل امكان ابتلا به ويروس، فرصت استثنايي براي كاهش هزينه و خريد با تخفيف و غيره)، وي را ترغيب مي‌كند تا اطلاعات شخصي خود را وارد نمايد؛ درحالي ‌كه اين اطلاعات قرار است در اختيار صياد قرار گيرند.

هدف اكثر اين حملات، دسترسي صياد به اطلاعات شخصي قربانيان (مثل اطلاعات بانكي)، براي سوءاستفاده‌هايي مانند دزدي يا جعل هويت است. با اين حال در برخي مواقع، هدف صياد ورود خسارت به قربانيان نيست، بلكه جمع‌آوري اطلاعات شخصي و فروش آن‌ها به اشخاص يا گروه‌هاي ديگر است.

ضمنا اخیرا با توجه با راه‌اندازی و همه گیر شدن رمز پویا در سراسر کشور فیشینگ در زمینه اطلاعات حساب بانکی به روش‌هایی که از قبل دیده می‌شد، اکنون دیگر مشاهده نمی‌شود. همچنین با راه‌اندازی سامانه سهام عدالت اخیرا مشاهده شده لینکی که در شکل زیر آورده شده است طی یک پیامک به مشترکین ارسال شده و مشترکین بر روی لینک کلیک کرده و به تکمیل اطلاعات می پردازند. از سوی دیگر مهاجم اطلاعات را جمع‌آوری کرده و در مقاصد سوء، استفاده خواهد کرد.

مهندسی اجتماعی و روش نوین سوء‌استفاده از آن

در راستای جلوگیری از خطرات احتمالی و به منظور جلوگیری از سوء استفاده در این خصوص، توصیه می شود کاربران اکیدا از وارد نمودن اطلاعات شخصی خود از قبیل نام، نام خانوادگی، شماره شناسنامه، شماره کارت ملی، اطلاعات تماس و آدرس های محل کار و سکونت و کدهای پستی و نیز اطلاعات حساس کارت های بانکی مانند CVV2 و غیره در سایت های نامعتبر و یا ارائه نمودن این اطلاعات به افراد ناشناس و نیز کلیک نمودن بر روی لینک های نامعتبر و پر نمودن فیلدهای اطلاعات شخصی خودداری نمایند.