صفحه اصلی وبلاگ تیزهوشان مالی مهندسی اجتماعی چیست؟
مهندسی اجتماعی چیست؟

مهندسی اجتماعی چیست؟

مهندسی اجتماعی فرآیندی است که در آن سعی می‌شود اطلاعات حساس یا رمزعبورها را از افراد به دست می‌آورند ، بیشتر با استفاده از فرندهای اجتماعی. این شامل ارتباط مستقیم با افراد، ارسال ایمیل‌های فریبنده یا استفاده از تکنیک‌های متنوعی برای گول زدن افراد می‌شود.

مهندسی اجتماعی چیست؟

مهندسی اجتماعی هنر فریب دادن مردم است به طوری که آنها اطلاعات محرمانه خود را تسلیم کنند. انواع اطلاعاتی که مجرمان به دنبال آن ها هستند می تواند متفاوت باشد، اما زمانی که افراد هدف مشخص می شوند مجرمان معمولا تلاش می کنند تا شما را بگونه ای فریب دهند که کلمه عبور یا اطلاعات بانکی خود را به آن ها بدهید و یا تلاش می کنند تا به کامپیوتر شما دسترسی داشته باشند و به طور مخفیانه نرم افزارهای مخربی را نصب کنند تا از طریق آن ها به رمزهای عبور و اطلاعات بانکی شما دست یابند و همچنین کنترل کامپیوتر شما را بدست بگیرند.

مجرمان از تاکتیک های مهندسی اجتماعی استفاده می کنند چون معمولا آسان ترین راه، بهره برداری از تمایل طبیعی شما است که نسبت به راه های دیگر مانند هک نرم افزار آسان تر است. به عنوان مثال، فریب دادن کسی برای دادن رمز عبور خود از هک رمز عبور آسان تر است (مگر اینکه رمز عبور واقعا ضعیف باشد).

امنیت همه چیز در مورد دانستن این است که چه کسی و چه چیزی مورد اعتماد است. آگاهی از اینکه چه زمانی به گفتار یک فرد می توان اعتماد کرد و چه زمانی نه؛ چه زمانی می توانید اعتماد کنید که شخصی که با شما در حال برقراری ارتباط است واقعا همان شخصی است که شما فکر می کنید. چه زمانی می توان اعتماد کرد که یک وب سایت مشروع است یا نیست. چه زمانی می توان اعتماد کرد که فرد بر روی گوشی مشروع است یا نیست. یا ارائه اطلاعات یک ایده خوب است یا نه.

از هر متخصص امنیتی که بپرسید آنها به شما خواهند گفت که ضعیف ترین حلقه در زنجیره امنیتی، انسانی است که یک فرد یا سناریو را حتی با دیدن چهره اش می پذیرد. مهم نیست که چه تعداد قفل و بست روی پنجره ها و درهای شما نصب شده است یا این که دارای سگ نگهبان، سیستم های هشدار، نور افکن، نرده ها با سیم خاردار، و پرسنل امنیتی مسلح هستید یا خیر؛ اگر شما به فردی اعتماد کنید که می گوید مامور تحویل پیتزا است و شما به او اجازه دهید بدون چک کردن از گیت عبور کند به طور کامل در معرض خطر قرار می گیرید.

 

حملات مهندسی اجتماعی متداول

ایمیل از یک دوست. اگر یک مجرم موفق به هک یا مهندس اجتماعی رمز عبور ایمیل یک نفر باشد به لیست تماس های فرد دسترسی خواهد داشت - و چون اکثر افراد از یک رمز عبور در همه جا استفاده می کنند، او احتمالا به اطلاعات تماس شبکه های اجتماعی فرد نیز دسترسی خواهد داشت.

هنگامی که مجرم حساب ایمیل را تحت کنترل خود دارد، ایمیلی را به تمام مخاطبین فرد ارسال می کند یا پیام هایی را در تمام صفحات اجتماعی دوست خود و احتمالا در صفحات دوستان دوستانش از خود بجای می گذارد.

این پیام ها ممکن است از اعتماد و حس کنجکاوی شما استفاده کنند:

  • حاوی یک لینک که شما فقط باید آن را بررسی کنید – و چون لینک از یک دوست می آید و شما کنجکاو هستید، شما به لینک اعتماد می کنید و کلیک می کنید و با نرم افزارهای مخرب آلوده می شوید بنابراین جنایکار می تواند دستگاه شما را کنترل کند و اطلاعات تماس شما را جمع آوری کند و آنها را درست مثل شما فریب دهد.
  • شامل یک عکس، موسیقی، فیلم، اسناد دانلود شده و غیره، که حاوی نرم افزار های مخرب تعبیه شده است. اگر شما دانلود کنید - به احتمال زیاد این کار را انجام می دهید چون شما فکر می کنید از جانب یک دوست رسیده است - شما آلوده می شوید. در حال حاضر، مجرم به ماشین شما، حساب ایمیل، حساب های شبکه های اجتماعی و لیست تماس ها دسترسی دارد و حمله به هر کسی که شما می شناسید گسترش می یابد.

این پیام ها ممکن است یک داستان یا بهانه ی اغوا کننده ایجاد کنند:

  • از شما درخواست کمک فوری می شود - "دوست" شما در کشور X مورد سرقت و ضرب و شتم قرار گرفته است و در بیمارستان است. آن ها نیاز دارند تا شما پولی را برای آن ها ارسال کنند تا بتوانند به خانه برگردند و آنها به شما می گویند که چگونه پول را ارسال کنید.
  • از شما بمنظور جمع آوری کمک های خیریه یا علت های دیگر درخواست کمک می شود- با دستورالعمل در مورد نحوه ارسال پول به مجرم .

تلاش های فیشینگ. به طور معمول، یک فیشر یک پیام ایمیل، IM، نظر، یا متنی که به نظر می رسد از یک فرد مشروع، شرکت محبوب، بانک، مدرسه، یا موسسه آمده است را می فرستد.

این پیام ها معمولا دارای یک سناریو و یا داستان هستند:

  • پیام ممکن است توضیح دهد که یک مشکل وجود دارد که شما را ملزم به "تأیید" اطلاعات می کند از طریق کلیک کردن بر روی لینک نمایش داده شده و ارائه اطلاعات در فرم آنها. محل لینک ممکن است مشروع و قانونی بنظر برسد با تمام آرم ها و محتواهای صحیح (در واقع، مجرمان ممکن است فرمت دقیق و محتوای سایت قانونی را کپی کرده باشند). چون هر چیزی که به نظر مشروع می رسد، شما به ایمیل و سایت جعلی اعتماد می کنید و هر اطلاعاتی که کلاه بردار درخواست کرده است را ارائه می کنید. این نوع از فیشینگ اغلب شامل یک هشدار است درباره چیزی که اتفاق خواهد افتاد بشرطی که شما زود عمل کنید، چرا که مجرمان قبل از اینکه شما فکر کنید می دانند چه اقدامی انجام می دهید، شما به احتمال زیاد در دام سرقت آن ها گرفتار می شوید.
  • پیام ممکن است به شما اطلاع است که شما "برنده" شده اید. شاید ایمیل ادعا کند که از یک قرعه کشی صادر شده است و یا از بستگان یک مرده، یا فرد میلیونر که شما بر روی سایت آن ها کلیک کرده اید و غیره. به منظور دریافت جایزه های خود "شما مجبور به ارائه اطلاعات در مورد بانک خود هستید تا آن ها بدانند چگونه باید آن ها را به شما ارسال کنند یا از شما می خواهند تا آدرس و شماره تلفن خود را ارائه دهید تا آنها بتوانند این جایزه را ارسال کنند همچنین ممکن است از شما خواسته شود تا برای اثبات شماره تامین اجتماعی خود را ارسال کنید. این ها، فیشرهای حریصانه هستند اگر چه بهانه داستان آن ها ضعیف است، اما مردم بشدت تمایل دارند دانند چه چیزی به آن ها ارائه خواهد شد، سپس سارقان با دور زدن اطلاعات حساب بانکی شما را خالی می کنند و هویت شما را به سرقت می برند.
  • پیام ممکن است درخواست کمک باشد. شکار مهربانی و سخاوت، این فیشرها تقاضای کمک یا حمایت از فاجعه، مبارزات سیاسی ، خیریه ها و موضوعات داغ را مطرح می کنند.

سناریوهای طعمه. این طرح های مهندسی اجتماعی می دانند که اگر شما اویزان چیزی شوید که مردم می خواهند، بسیاری از مردم طعمه را بر می دارند. این برنامه ها اغلب در سایت های همتا به همتا که ارائه دانلود چیزی شبیه به یک فیلم جدید داغ، و یا موسیقی هستند اتفاق می افتند. اما طرح ها در سایت های شبکه های اجتماعی، وب سایت های مخربی که از طریق نتایج جستجو پیدا می کنید و غیره یافت می شوند.

یا، طرح ممکن است به عنوان یک معامله شگفت آور بزرگ در سایت های طبقه بندی شده، سایت های حراجی، و غیره ظاهر شود. برای کاهش سوء ظن خود شما می توانید ببینید که فروشنده امتیاز خوبی دارد (تماما برنامه ریزی شده و دستکاری شده جلوتر از زمان).

افرادی که طعمه را بر می دارند ممکن است با نرم افزار های مخرب آلوده شوند که می توانند هر تعداد از سوء استفاده های جدید علیه خودشان و اطلاعات تماسشان را تولید کنند، ممکن است پول آن ها را بدون دریافت آیتم خریداری شده خود سرقت کنند و اگر آنها به اندازه کافی احمق باشند و پرداخت را از طریق چک انجام دهند، ممکن است حساب بانکی خود را خالی بیابند.

پاسخ به یک سوالی که شما تا به حال هرگز مطرح نکرده اید. مجرمان ممکن است تظاهر به پاسخ "درخواست شما برای کمک" از یک شرکت داشته باشند. آنها شرکت هایی را انتخاب می کنند که میلیون ها نفر از مردم از آن استفاده می کنند مانند یک شرکت نرم افزاری و یا بانک. اگر شما از محصول و یا خدمات استفاده نمی کنید، شما ایمیل، تماس تلفنی و یا پیام را نادیده می گیرید، اما اگر شما از این سرویس استفاده می کنید، فرصت خوبی وجود دارد زیرا شما احتمالا می خواهید به دلیل یک مشکلی دارید کمک دریافت کنید.

به عنوان مثال، حتی اگر شما می دانید که شما در اصل آن سوال را نپرسیده اید شما احتمالا یک مشکل دیگر از سیستم عامل رایانه خود را می پرسید و دوست دارید از این فرصت برای تعمیر آن استفاده کنید. بصورت رایگان! لحظه ای که شما پاسخ می دهید داستان کلاه بردار را خریداری کرده اید، به آن ها اعتماد می کنید و خودتان راه را برای بهره برداری باز می کنید.

نماینده، که در واقع یک مجرم است، نیاز به احراز هویت شما دارند همراه با اطلاعاتی که از طریق آن ها وارد سیستم خود و یا کامپیوتر خود می شوید به همین دلیل اطلاعات خود را در اختیار آن ها قرار می دهید تا از راه دور به کامپیوتر شما دسترسی داشته باشند به طوری که آنها بتوانند مشکل مزبور را اصلاح کنند و یا به شما دستوراتی را بگویند تا شما بتوانید خودتان آن را با تمیر کنید - که در آن برخی از دستورات آنها به شما می گویند که وارد سیستم شوید و راهی را برای جنایت کار بمنظور اقدامات بعدی در کامپیوتر خود باز می کنید.

ایجاد بی اعتمادی. مهندسی اجتماعی، همه چیز در مورد ایجاد بی اعتمادی، یا شروع تعارض ها است؛ این ها اغلب توسط افرادی که می شناسید و کسانی که از دست شما عصبانی هستند انجام می شوند، گاهی توسط افراد کثیف که تنها در حال تلاش برای انتقام و ویران کردن هستند انجام می شود، افرادی که می خواهند برای اولین بار در ذهن شما در مورد دیگران ایجاد بی اعتمادی کنند سپس در مرحله بعد در قالب یک قهرمان اعتماد شما را به دست آورند و یا با دستکاری اطلاعات و سپس با تهدید افشای اطلاعات از شما اخاذی کنند.

این شکل از مهندسی اجتماعی اغلب با به دست آوردن دسترسی به یک حساب ایمیل و یا دیگر حساب های ارتباطی بر روی یک سرویس گیرنده IM، شبکه های اجتماعی، چت، فروم، و غیره شروع می شود آنها این عمل را با هک، مهندسی اجتماعی، و یا به سادگی حدس زدن کلمات عبور ضعیف انجام می دهند.

  • شخص مخرب ممکن است سپس ارتباطات حساس و خصوصی را تغییر دهد (از جمله تصاویر و صدا) با استفاده از تکنیک های ویرایش اولیه و ارسال این ها به افراد دیگر برای ایجاد درام، بی اعتمادی، خجالت، و غیره. آنها ممکن است شبیه به ارسال تصادفی باشند با بگونه ای بنظر برسند که با اجازه خود شما ارسال شده اند و شما از آنچه که «واقعا» در جریان است اطلاع دارید.
  • با روش دیگر، آنها ممکن است از مواد تغییر یافته برای گرفتن پول یا از شخصی که آنها هک کرده اند و یا از گیرنده استفاده کنند.

به معنای واقعی کلمه هزاران نوع از حملات مهندسی اجتماعی وجود دارد. اما تنها تعدادی از آنها که از لحاظ اجتماعی می تواند کاربران را مهندسی کند و از طریق بهره برداری کند در تخیل مجرم  است. و شما ممکن است اشکال مختلف سوء استفاده را در یک حمله تجربه کنید. سپس مجرم به احتمال زیاد به فروش اطلاعات شما به دیگران دست می زند به طوری که آنها نیز می توانند از آنها در برابر شما، دوستان شما، دوستان دوستان شما سوء استفاده کنند و از اعتماد نابجای مردم استفاده کنند.

 

تبدیل به یک قربانی نشوید

  • کم کردن سرعت. اسپمر می خواهند شما اول اقدام کنید بعد فکر کنید. اگر پیام احساس فوریت را منتقل کند یا از تاکتیک های فروش فشار بالا استفاده کند مشکوک می شود؛ هرگز اجازه ندهید فوریت آن ها بررسی دقیق شما را تحت تاثیر قرار دهد.
  • تحقیق و بررسی حقایق. نسبت به پیام های ناخواسته مشکوک باشید. اگر ایمیل بنظر می رسد از شرکتی است که با آن کار می کنید، تحقیقات خود را انجام دهید. از یک موتور جستجو برای رفتن به سایت واقعی شرکت استفاده کنید و یا از یک راهنمای تلفن برای پیدا کردن شماره تلفن آن استفاده کنید.
  • هر گونه درخواست برای اطلاعات مالی و یا کلمه عبور را حذف کنید. اگر از شما خواسته شده تا به یک پیام با اطلاعات شخصی پاسخ دهید، قطعا آن یک کلاهبرداری است.
  • درخواست برای کمک و یا پیشنهادات برای کمک را رد کنید. شرکت ها و سازمان های قانونی هرگز با شما برای ارائه کمک تماس نمی گیرند. اگر شما به طور خاص درخواست مساعدت از فرستنده را مطرح نکردید، پیشنهاد "راهنمایی" برای بازگرداندن نمرات اعتباری، تشکیلات جدید تجاری، پاسخ به سوال شما، و غیره را یک کلاهبرداری در نظر بگیرید. به طور مشابه، اگر شما یک درخواست کمک از یک موسسه و یا سازمان خیریه ای را دریافت کنید که با شما رابطه ندارد، آن را حذف کنید. همواره به دنبال سازمان های خیریه معتبر باشید تا در گرداب کلاهبرداری سقوط نکنید.
  • اجازه ندهید یک لینک در کنترل مکانی باشد که شما در آن اقامت دارید. وب سایت را با استفاده از یک موتور جستجو تا مطمئن شوید که شما در جایی هستید که از اول قصد داشتید در آن جا باشید. لینک ها در ایمیل URL واقعی را در پایین نشان می دهند، اما یک لینک جعلی خوب هنوز هم می تواند شما را بصورت اشتباه هدایت کند.

کنجکاوی منجر به کلیک کردن با بی دقتی می شود - اگر شما نمی دانید که ایمیل در مورد چه چیزی است، کلیک کردن روی لینک یک انتخاب ضعیف است. به طور مشابه، هرگز از شماره تلفن های ایمیل استفاده نکنید. تظاهر به صحبت کردن با شما بعنوان یک کارمند بانک برای یک کلاهبردار آسان است.

  • ربودن ایمیل شایع است. هکرها، اسپمرها و مهندسین اجتماعی کنترل حساب های ایمیل افراد (و دیگر حساب های ارتباطی) را در اختیار می گیرند. هنگامی که آنها حساب ایمیل کسی را کنترل می کنند آن ها اعتماد همه مخاطبان فرد را جلب می کنند. حتی زمانی که فرستنده به نظر می رسد کسی است که او را می شناسید، اگر شما یک ایمیل با یک لینک یا یک پیوست دریافت می کنید قبل از باز کردن لینک ها و یا دانلود حتما با دوستان خود چک کنید.
  • مراقب هر گونه دانلودی باشید. اگر شما شخصا فرستنده را نمی شناسید و انتظار ارسال فایلی از آنها ندارید، دانلود کار اشتباهی است.
  • پیشنهادات خارجی جعلی هستند. اگر شما ایمیلی از یک قرعه کشی خارجی و یا لاتری دریافت کردید، و یا درخواستی برای انتقال وجوه از یک کشور خارجی برای یک سهم از پول آن دریافت کردید قطعا یک کلاهبرداری است.
  • فیلترهای اسپم خود را روی بالاترین درجه تنظیم کنید. هر برنامه ایمیل دارای فیلترهای اسپم است. بخش پایینی گزینه های تنظیمات محیط خود را نگاه کنید، و آن ها را روی بالاترین درجه تنظیم کنید - فقط به یاد داشته باشید که پوشه اسپم خود را به صورت دوره ای بررسی کنید برای دیدن این که آیا یک ایمیل مشروع به طور تصادفی در دام اسپم افتاده است یا خیر. شما همچنین می توانید یک راهنمای گام به گام را برای تنظیم فیلترهای اسپم خود با جستجو بر روی نام ارائه دهنده ایمیل خود را به همراه عبارت "فیلترهای اسپم"، جستجو کنید.
  • ایمن سازی دستگاه های محاسباتی خود. نصب نرم افزار ضد ویروس، فایروال ها، فیلترهای ایمیل و بروزرسانی آن ها. تنظیم سیستم عامل خود برای به روز رسانی خودکار و اگر گوشی هوشمند شما به طور خودکار به روز رسانی نمی شود، هر زمان که شما یک اخطار برای انجام این کار دریافت می کنید به صورت دستی آن را بروز رسانی کنید. از یک ابزار ضد فیشینگ ارائه شده توسط مرورگر خود و یا شخص ثالث برای هشدار دادن خطرات استفاده کنید.
ارسال نظر
  • - نشانی ایمیل شما منتشر نخواهد شد.
  • - لطفا دیدگاهتان تا حد امکان مربوط به مطلب باشد.
  • - لطفا فارسی بنویسید.
  • - میخواهید عکس خودتان کنار نظرتان باشد؟ به gravatar.com بروید و عکستان را اضافه کنید.
  • - نظرات شما بعد از تایید مدیریت منتشر خواهد شد
(بعد از تائید مدیر منتشر خواهد شد)

اگر کد خوانا نیست اینجا را کلیک کنید
    مطالب مرتبط