مهندسی اجتماعی (Social Engineering) چیست؟

این مقاله توضیحاتی درمورد تکنیک مهندسی اجتماعی داده و روش‌های پیشگیری آن را نیز ارائه می‌دهد. پس تا اتمام این مقاله ما را همراهی کنید.
تصویر شاخص مقاله مهندسی اجتماعی چیست

در این مقاله می‌خوانیم

مهندسی اجتماعی (Social Engineering) چیست؟

مهندسی اجتماعی (Social Engineering) یا هنر فریب، به روش‌های فریب در راستای پیشبرد اهداف و منافع گویند که مصداق‌های گوناگونی دارد. و در عملیات تیم قرمز، تست نفوذ و سایر روش‌های نفوذ مورد استفاده قرار می‌گیرد.

اگر تمایل به آشنایی بیشتر با تیم قرمز را دارید می‌توانید مقاله تیم قرمز چیست؟ را مطالعه بفرمایید. همچنین برای شناخت مفهوم تست نفوذ، پیشنهاد می‌کنیم مقاله تست نفوذ چیست؟ را نیز مطالعه کنید.

به صورت کلی، در این مفهوم سعی می‌کنیم در اجرای سناریو، نتیجه منتهی به تله برای کاربر شود. برای مثال در حملات گروه Lapsus$، در برخی از سناریوها، از تله فیشینگ برای دسترسی به پروفایل‌های توسعه دهندگان مایکروسافت، با استفاده از ارسال پوش نوتیفیکشن OTP اشاره می‌شود.

همچنین در حمله به Uber، مهاجم با ارسال Push Nortification های فراوان و همچنین جعل هویت پشتیبانی یکی از سرویس دهندگان به این شرکت، با یکی از مدیران فنی شرکت ارتباط برقرار کرده و کد عامل دوم احراز هویت را برای دسترسی به کلیه اپلیکیشن‌های نیازمند احراز هویت میل او را سرقت نموده است.

همچنین به علت وجود عامل انسانی در این روش، اغلب این روش بسیار موثر و موفقیت‌آمیز می‌باشد، چرا که بنابر منابع معتبر و تحلیل‌های حملات، عامل انسانی ضعیف‌ترین عامل در چرخه حملات به سازمان‌ها است.

مهندسی اجتماعی (Social Engineering) چیست؟

روش‌های مهندسی اجتماعی (Social Engineering)

در ادامه به روش‌های مختلف این مورد بیشتر می‌پردازیم:

لینک آلوده (Spearphishing Link)

در این روش، مهاجم با استفاده از ساخت لینک آلوده که هدفی مخرب را مدنظر دارد، توسعه داده و کاربر با مشاهده و یا اجرای لینک مربوطه در تله قرار می‌گیرد و عملا اطلاعات کاربر به سرقت برده می‌شود. این روش در اغلب حملات گروه‌های پیشرفته یا APT به صورت موثر استفاده می‌شود و برای سرقت اطلاعات و همچنین دسترسی به منابع محافظت شده مورد استفاده است.

برای مثال با شروع حملات سایبری و فعالیت‌های هکتیویسم، موج ارسال ایمیل‌های تهدید آمیز با مضامین اغلب سیاسی رواج یافته و دریافت کننده پیام را برای دریافت انواع اپلیکیشن‌های ارتباطی و یا همچنین اپلیکیشن‌های به منظور bypass، انواع محدودیت‌ها ترغیب می‌نماید. پر واضح است که اغلب موارد دریافتی شامل لینک‌های مخرب هستند که قربانی را به سمت مقصد آلوده هدایت می‌نمایند.

فایل آلوده (Spearphishing Attachment)

در این روش مهاجم (هکر) با استفاده از ساخت فایل‌های آلوده و الحاق آن و همچنین دسترسی توسط قربانی حمله را اجرا می‌کند. کاربرد این روش در انتقال انواع payload های مخرب برای هدف از پیش تعیین شده‌ای مانند انتقال بدافزار به سیستم قربانی و یا همچنین اجرا exploit نیازمند تعامل با کاربر است. برای مثال به مانند روش قبلی، قربانی پس از ارجاع با استفاده از لینک آلوده، فایل مخربی را دریافت و به محض دریافت و یا نصب آن اپلیکیشن، امکان دسترسی مهاجم به اطلاعات هدف را به وجود می‌آورد.

تخریب و سرقت اطلاعات کاربران توسط هکرها
تخریب و سرقت اطلاعات کاربران توسط هکرها

فایل آلوده از طریق سرویس (Spearphishing via Service)

در این روش هکر با آلوده‌سازی و یا همچنین ساخت سرویس‌های در تعامل با کاربر مانند سرویس پوش نوتیفیکیشن، سعی در به تله انداختن قربانی و اجرا payload مورد نظر را دارد. از مثال‌های این روش می‌توان دسترسی به اطلاعات پروفایل‌های کاربری قربانی، با استفاده از ارسال پوش نوتیفیکیشن OTP حساب کاربری اشاره نمود.

روش‌های پیشگیری از حملات مهندسی اجتماعی

همانطور که پیش‌تر بحث شد، مهندسی اجتماعی (Social Engineering)، سواستفاده از روانشناسی و کنجکاوی انسانی برای نفوذ به اطلاعات قربانیان است. با تمرکز بر انسان در نظر گرفتن این موضوع، سازمان‌ها باید به کارمندان خود در مقابل این حملات کمک کنند. آنها می‌توانند مشاوره‌های زیر را در برنامه‌های آموزشی آگاهی امنیتی خود گنجانند.

  1. مواظب باشید: به کارمندان یادآوری کنید که همواره هوشمندانه و شکاک نسبت به ارتباطات غیرمجاز باشند، به خصوص ارتباطاتی که درخواست اطلاعات حساس را دارند یا عجله در اقدامات لازم را دارند.
  2. منبع را تأیید کنید: از کارمندان تشویق کنید تا از صحت ایمیل‌ها، پیام‌ها یا تماس‌های تلفنی با استفاده از مقایسه اطلاعات با مخاطبان شناخته شده یا استفاده از اطلاعات تماس رسمی از وبسایت شرکت اطمینان حاصل کنند.
  3. قبل از کلیک کردن، فکر کنید: به کارمندان آموزش دهید که هوشمندانه رفتار کنند وقتی که بر روی لینک‌ها کلیک می‌کنند یا پیوست‌ها را دانلود می‌کنند، به خصوص اگر این موارد از منابع ناشناخته یا مشکوکی برخوردار باشند.
  4. از تلاش‌های فیشینگ خبردار شوید: آگاهی راجع به ایمیل‌ها و وبسایت‌های فیشینگی افزایش دهید که
  5. هیچگونه ایمیلی را از منابع نامعتبر باز نکنید. اگر پیام ایمیل مشکوکی از یکی از دوستان یا اعضای خانواده‌تان دریافت کردید، با آنها در شخص یا تلفناً تماس بگیرید.
  6. هیچگونه پیشنهادی از غریبه‌ها را بدون شک به عهده ندهید. اگر چیزی خیلی خوب به نظر می‌رسد، احتمالاً همانطور است.
  7. لپ‌تاپ خود را هر زمان که از محل کار خود دور باشید قفل کنید.
  8. نرم‌افزار ضدویروسی بخرید. هیچ راه‌حل
  9. ضدویروسی دارای 100٪ نرخ تشخیص نیست، اما می‌تواند به دفاع در برابر حملاتی که از تاکتیک‌های مهندسی اجتماعی استفاده می‌کنند کمک کند.
  10. سیاست حفظ حریم خصوصی شرکت خود را بخوانید تا بفهمید در چه شرایطی می‌توانید یا باید به یک غریبه ورود به ساختمان را اجازه دهید.
  11. هر درخواست فوری را که از یک مخاطب درون سازمانتان دریافت می‌کنید را بررسی کنید تا از صحت آن مطمئن شوید، به ویژه قبل از انتقال پول یا فاش کردن اطلاعات.
  12. فرهنگی را با آگاهی از ریسک ایجاد کنید تا کارمندان هشدار داشته باشند. حملات مهندسی اجتماعی به طور معمول بر تجربه نادانی و خطاهای انسانی برای موفقیت خود تکیه می‌کنند. مطمئن شوید که امنیت به عنوان یک بخش از واژگان سازمانی شما در نظر گرفته شده است تا کارمندان بتوانند از حملات جلوگیری کنند و در صورت وقوع حوادث، بدانند کجا گزارش کنند.
پیمایش به بالا