مهندسی اجتماعی چیست؟

اصطلاح مهندسی اجتماعی توسط کوین میتنیک که خود یکی از معروف‌ترین مهندسان اجتماعی عصر حاضر است (اما دیگر توبه کرده و اکنون به‌عنوان متخصص امنیت سایبری فعالیت می‌کند)، سر زبان‌ها افتاد. مهندسی اجتماعی در دوران مدرن و در حوزه امنیت سایبری، هنر فریب دادن، سواستفاده از نقطه‌ضعف‌ها و تحت تأثیر قرار دادن فرد برای انجام کاری که به ضرر او است یا دسترسی به داده‌های شخصی و حساس در سیستم‌های کامپیوتری است. هکر یا مهندس اجتماعی ازطریق تلفن، پیامک، ایمیل، درایو USB آلوده یا تعامل حضوری و به کمک ترفندهای زیرکانه‌ای موفق می‌شود آنچه را که به دنبالش است، نه به کمک بدافزار و حملات سایبری، بلکه تنها ازطریق پرسیدن از فردی که به این اطلاعات دسترسی دارد، به دست آورد.

به همین خاطر است که گفته می‌شود در مهندسی اجتماعی این ذهن افراد است که هک می‌شود، نه کامپیوتر. در حمله مهندسی اجتماعی، اطلاعاتی را که فرد قصد فاش کردن آن را نداشته، بدون آنکه متوجه شود، دراختیار مهاجم قرار می‌دهد یا تحت تأثیر آنچه دستکاری روانشناختی نامیده می‌شود، تشویق یا وادار به انجام کاری می‌شود که از انجام آن پشیمان خواهد شد. به بیان ساده‌تر، انسان‌ها خود نوعی تهدید امنیتی محسوب می‌شوند و به قول هکرها، ضعیف‌ترین و آسیب‌پذیرترین حلقه در زنجیره امنیت سایبری هستند. ما انسان‌ها تقریباً ۸۰ درصد تصمیمات خود را بر پایه احساسات می‌گیریم و ازآنجاکه منطق سهم بسیار ناچیزی در این تصمیم‌گیری‌ها دارد، می‌توان دلیل موفقیت چشمگیر حملات مهندسی اجتماعی را به خوبی درک کرد.

تکنیک های مهندسی اجتماعی

ر فیلم «اگهمی‌تونی منو بگیر» (۲۰۰۲) به کارگردانی استیون اسپیلبرگ، لئوناردو دی‌کاپریو نقش کلاهبردار زبردستی به نام فرانک ابگنیل را بازی می‌کند که قبل از ۱۹ سالگی‌اش، با جا زدن خود به‌عنوان خلبان هواپیما، دکتر و وکیل، موفق شد میلیون‌ها دلار به جیب بزند. ابگنیل بعدها از استعداد خود در امر مهندسی اجتماعی استفاده کرد تا به‌عنوان مشاور امنیتی مشغول به کار شود.

داستان ابگنیل شباهت زیادی به کوین میتنیک، پدر مهندسی اجتماعی، دارد، چون او هم با سناریوسازی و نقش بازی کردن موفق به کلاهبرداری و دسترسی غیرمجاز به اطلاعات سازمان‌ها و بعد از دستگیری و حبس، تصمیم گرفت از استعداد خود به‌عنوان مشاور امنیت سایبری استفاده کند. در واقع، داستان مهندسان اجتماعی شباهت زیادی به یکدیگر دارد، چون روش‌هایی که برای حملات خود استفاده می‌کنند، تقریباً یکی است. در اینجا با ۱۰ مورد از معروف‌ترین تکنیک‌های مهندسی اجتماعی آشنا خواهید شد:‌

نقش‌آفرینی

در این روش متداول که اولین مرحله اکثر ترفندهای مهندسی اجتماعی محسوب می‌شود، مهاجم ابتدا درباره قربانی تحقیق می‌کند تا اطلاعات درست و واقعی درباره او، مثلا تاریخ تولد یا کد ملی، به دست آورد. بعد به کمک این اطلاعات یک سناریو خیالی طراحی می‌کند، با قربانی تماس می‌گیرد، اعتماد او را جلب می‌کند و با نقش بازی کردن (مثلا کاربری که به کمک نیاز دارد یا مدیری که از کارمند خود درخواست فوری دارد)، از او می‌خواهد اطلاعات مهمی را در اختیارش قرار دهد. اغلب همه چیز با یک سلام دوستانه یا جمله «می‌توانم کمی وقتتان را بگیرم» شروع می‌شود و در پایان تماس، سازمان و فرد مورد هدف قرار گرفته، دچار خسارت مالی هنگفتی می‌شود.

سرقت انحرافی

سرقت انحرافی (diversion theft) هم به صورت سنتی و هم به صورت اینترنتی صورت می‌گیرد. در مدل سنتی، سارق با ترفند مهندسی اجتماعی راننده پیک را متقاعد می‌کند محموله را به مکان دیگری برده و به شخص دیگری که گیرنده اصلی نیست، تحویل دهد. سرقت انحرافی در اینترنت به این صورت است که سارق با جعل کردن ایمیل سازمانی، از یکی از کارمندان شرکت مورد هدف می‌خواهد داده‌های حساس و مهم را به ایمیل فرد اشتباهی بفرستد.

فیشینگ

در ترفند فیشینگ (اشاره به ماهی‌گیری که در آن از طعمه برای گیرانداختن صید استفاده می‌شود)، فرد مهاجم خود را جای فرد یا نهاد قابل اعتمادی جا می‌زند و با نقش بازی کردن سعی دارد به داده‌های حساس نظیر نام کاربری، رمز عبور یا اطلاعات مربوط به کارت‌های اعتباری دسترسی پیدا کند. ایمیل‌هایی که ادعا می‌کنند از طرف وب‌سایت‌های معروف، بانک‌ها، حراجی‌ها یا بخش IT سازمان‌ها فرستاده شدند تا از گیرنده، اطلاعات شخصی آن‌ها را بپرسند، مهندسی اجتماعی از نوع فیشینگ (phishing) هستند.

ترفند فیشینگ خود به انواع مختلفی تقسیم می‌شود:

  • فیشینگ با قلاب (angler phishing) که در آن مهاجم در شبکه‌های اجتماعی، حساب خدمات مشتری جعلی ایجاد می‌کند؛
  • جعل ایمیل سازمانی (BEC) که در آن مهاجم خود را جای یکی از مدیران ارشد سازمان جا می‌زند و در ایمیلی از کارمند می‌خواهد پولی را به حساب او بریزد یا داده حساسی را به او ایمیل کند؛
  • فارمینگ (pharming) که در آن مهاجم، کاربران را به جای وب‌سایت اصلی به وب‌سایت جعلی و کلون شده هدایت می‌کند تا اطلاعاتی را که کاربر وارد می‌کند، سرقت کند؛
  • فیشینگ نیزه‌ای‌ (spear phishing) که یادآور ماهی‌گیری با نیزه است و در آن مهاجم حمله خود را تنها روی فرد خاصی متمرکز می‌کند تا ازطریق او بتواند به کل سیستم نفوذ کند.
  • تب‌قاپی (tabnabbing) که در آن مهاجم، تب‌های مرورگر کاربر را که مدتی است غیرفعال مانده با محتوای مخرب جایگزین می‌کند و او را متقاعد می‌کند اطلاعات خود را برای ورود به وب‌سایت، در این صفحه جعلی وارد کند.
  • شکار نهنگ (whaling) که در آن مهاجم، به جای کاربران عادی، سراغ مدیران ارشد یا اعضای هیئت رئیسه می‌رود و با ترفند مهندسی اجتماعی سعی می‌کند اطلاعات بسیار حیاتی سازمان را مستقما از آن‌ها سرقت کند.

حمله چاله آبیاری

در ترفند چاله آبیاری (water-holing)، مهاجم سراغ وب‌سایتی می‌رود که گروه هدف به آن اعتماد دارند و مرتب از آن بازدید می‌کنند. مهاجم درباره این وب‌سایت تحقیق می‌کند تا نقاط آسیب‌پذیر آن را پیدا کند. به مرور زمان، سیستم اعضای گروه هدف به بدافزار آلوده شده و مهاجم راهی برای نفوذ به سیستم پیدا می‌کند.

طعمه‌گذاری

طعمه‌گذاری (Baiting) تکنیکی است که در آن مهاجم چیز به ظاهر وسوسه‌انگیزی را جلوی چشمان کاربر قرار می‌دهد و با هدف گرفتن حس طمعش، او را به انجام کار مخربی وسوسه می‌کند؛ مثلا بدافزار خود را به صورت لینکی در دکمه دانلود رایگان آهنگ مخفی می‌کند تا کاربر به تصور اینکه قرار است آهنگ مورد‌علاقه خود را دانلود کند، بدافزار طراحی شده توسط مهاجم را دانلود کرده و باعث آلوده شدن سیستم خود می‌شود. یا مثلا درایو USB آلوده به بدافزار را در مکان عمومی جا می‌گذارند تا قربانی به خیال اینکه شانسی آن را پیدا کرده، درایو را به سیستم خود وصل کرده و دسترسی هکر را ممکن کند.

چیزی به جای دیگری

حمله «چیزی به جای دیگری» (Quid Pro Quo) روشی است که در آن مهاجم در ازای وعده منفعتی که قرار است به قربانی برساند، از او درخواست به اشتراک‌گذاری اطلاعات می‌کند. مثلا هکر خود را جای پشتیبان IT جا می‌زند، با کارمندان سازمان هدف تماس گرفته و می‌گوید برای افزایش امنیت سیستم لازم است پچ امنیتی را که به آن‌ها ایمیل کرده،‌ نصب کنند، غافل از اینکه این بسته حاوی بدافزار است و به محض نصب شدن، به هکر اجازه دسترسی به سیستم را می‌دهد.

ترس‌افزار

ترس‌افزار (scareware)‌ نوعی نرم‌افزار مخرب است که ازطریق ترساندن کاربر، او را متقاعد به انجام کاری می‌کند. ترس‌افزار به‌طور معمول به شکل پیام هشدار پاپ‌آپ ظاهر شده و به کاربر می‌گوید برنامه آنتی‌ویروس سیستم آن‌ها نیاز به آپدیت دارد یا محتوای مخربی در دستگاه آن‌ها کشف شده که باید همین حالا پاک شود. این پیام هشدار جعلی کاربر را متقاعد می‌کند تا بدافزار را دانلود کرده و روی سیستم خود نصب کند؛ بدین ترتیب،‌ هکر با مهندسی اجتماعی و سواستفاده از ترس کاربر موفق به دستیابی به اطلاعات سیستم او می‌شود.

کلاهبرداری نیجریه‌ای

این مدل حمله مهندسی اجتماعی که به کلاهبرداری «۴۱۹»‌ و «شاهزاده نیجریه‌ای» نیز معروف است، از قربانی می‌خواهد جزئیات مربوط به حساب بانکی خود یا مبلغی را دراختیار هکر قرار دهد تا در انتقال حجم زیادی پول به خارج از کشور به آن‌ها کمک کنند و سهمی از این انتقال پول برداند. البته که در واقعیت، هیچ انتقالی در کار نیست و کلاهبردار از این راه به حساب بانکی قربانی دسترسی پیدا می‌کند یا مبلغی را از او گرفته و بعد ناپدید می‌شود. این کلاهبرداری نام خود را از ماجرای مشابه‌ای که در نیجریه اتفاق افتاد، گرفته است و هنوز هم برخی از کلاهبرداران با ادعای اینکه شاهزاده نیجریه هستند، از کاربران ناآگاه و زودباور کلاهبرداری می‌کنند. عدد ۴۱۹ نیز به بخشی از قوانین جنایی نیجریه اشاره دارد که این روش را غیرقانونی اعلام کرده است.

نحوه کار مهندسی اجتماعی

اساس حملات مهندسی اجتماعی «سوءاستفاده از احساسات» است. بسیاری از مهندسان اجتماعی روی حس ترس، کنجکاوی، طمع و دلسوزی قربانیان خود تمرکز می‌کنند، چون این احساسات بین انسان‌های سراسر دنیا مشترک است و واکنش ما به آن‌ها تقریباً مشابه است. برخی از حملات مهندسی اجتماعی حتی بدون حضور فیزیکی مهاجم و تنها با برانگیخته کردن حس کنجکاوی قربانی صورت می‌گیرد. مثلا در سال ۲۰۰۷، هکرها درایوهای USB آلوده به تروجان را در پارکینگی در لندن قرار دادند و افراد از روی کنجکاوی و همچنین طمع دستیابی به وسیله‌ای رایگان، این درایوهای آلوده را در کمال ناآگاهی به سیستم خود متصل کرده و اجازه دادند بدافزار روی دستگاه آن‌ها نصب و اجرا شود.

از آن طرف، برخی از مهاجمان با سوءاستفاده از حس ترس قربانیان، آن‌ها را تهدید کرده یا از آن‌ها باج‌خواهی می‌کنند. تمام بدافزارهایی که به باج‌افزار (ransomware) معروف‌اند، که مشهورترین آن‌ها «WannaCry» نام دارد، اطلاعات مهم کاربر را رمزنگاری می‌کنند و به آن‌ها می‌گویند تنها راه دسترسی دوباره به این اطلاعات، واریز پول به حساب هکر است. در سناریو معروف دیگر، هکر به صورت رندوم به گروه زیادی از کاربران که ایمیل‌های آن‌ها در حملات نقض داده فاش شده، ایمیلی می‌فرستد و به آن‌ها می‌گوید عکس‌های شخصی‌شان دراختیار هکر است و اگر به حساب او پولی واریز نکنند، عکس‌ها در اینترنت منتشر می‌شود.

مهاجمانی نیز که به دروغ وانمود می‌کنند به کمک نیاز دارند، حس دلسوزی کاربران را تحریک می‌کنند. می‌توان گفت اکثر افرادی که در خیابان با داستان‌سرایی از رهگذران تقاضای پول می‌کنند، تاحدی مهندس اجتماعی هستند.

ترفندهایی که مهندسان اجتماعی با سوءاستفاده از احساسات قربانیان خود به کار می‌گیرند، اغلب به شکل‌های زیر ظاهر می‌شوند:‌

  • لینک‌های مخرب به محتوای بزرگسال یا دانلود محتوای رایگان، مثل آهنگ، فیلم، نرم‌افزار و بازی؛
  • استفاده از نام زنانه در کادر فرستنده ایمیل برای جلب اعتماد؛
  • ایمیل‌های جعلی که به ظاهر از طرف بانک، سرویس‌های تراکنش آنلاین یا وب‌سایت‌های مطرح فرستاده شده‌اند. این ایمیل‌ها از کاربر می‌خواهند برای تأیید یا به‌روزرسانی اطلاعات، روی لینکی کلیک کنند یا اطلاعات لاگین یا حساب بانکی آن‌ها را سرقت کنند؛
  • ایمیل‌های تهدیدآمیز که در آن‌ها صحبت از زندان رفتن یا فرایندهای دادگاهی شده است؛
  • رویدادهای بزرگ مثل مسابقات ورزشی، پیش‌بینی بلایای طبیعی یا اخبار فوری؛
  • اسامی افراد مشهور و گزارش‌های هیجان‌انگیز درباره ماجراجویی‌ها یا رفتارهای زننده آن‌ها؛
  • جعل هویت افراد آشنا و قابل‌اعتماد مثل افراد فامیل، همکاران و دوستان.

فهرست این ترفندها بی‌پایان است و مطمئناً شما نیز با برخی از آن‌ها در اینترنت روبه‌رو شده‌اید. هرجا که متوجه شدید فردی احساسات شما را، مخصوصا حس ترس، کنجکاوی، طمع و دلسوزی، برای انجام کاری هدف گرفته است، احتمالاً مورد حمله مهندسی اجتماعی قرار گرفته‌اید و لازم است با احتیاط فراوان با‌ آن برخورد کنید.

راه‌های محافظت دربرابر حملات مهندسی اجتماعی

مقابله با مهندسی اجتماعی شاید از سایر تهدیدهای سایبری دشوارتر باشد، چون در این معادله پای انسان در میان است. تکنیک‌های مهندسی اجتماعی نظیر طرح‌های هرمی، اسپم، فیشینگ یا حتی کلاهبرداری‌های ساده، همه با هدف فریب قربانیان خود ازطریق «باگی» که در سخت افزار انسان‌ها وجود دارد، صورت می‌گیرند و سناریوهای روانشناختی پیچیده‌ای را ترتیب می‌دهند تا قربانیان متقاعد شوند اطلاعات شخصی خود یا دیگران را فاش کنند یا کاری انجام دهند که به ضررشان تمام می‌شود. هر بار وسوسه دانلود موزیک یا نرم‌افزارهای رایگان شما را فریب داد تا بدافزار دانلود کنید، درواقع قربانی حمله مهندسی اجتماعی قرار گرفته‌اید.

اگرچه مقابله با حملات مهندسی اجتماعی بسیار دشوار است، نکات و روش‌هایی وجود دارد که می‌تواند ما را تاحدی دربرابر این مدل حملات محافظت کند که در ادامه با برخی از آن‌ها آشنا می‌شوید:

منبع را بررسی کنید

قبل از اینکه به درخواستی پاسخ دهید، به این فکر کنید که این تماس دقیقاً از کجا برقرار شده است. بدون بررسی منبع به هیچ تماسی اعتماد نکنید. روی میزتان درایو USB پیدا می‌کنید و نمی‌دانید از کجا آمده است؟ تماسی غیرمنتظره به شما می‌گوید چند میلیون برنده شده‌اید؟ ایمیلی از مدیر شرکت از شما می‌خواهد اطلاعات حساسی را درباره کارمندان دیگر در اختیارش قرار دهید؟ تمام این سناریوها مشکوک هستند و باید با احتیاط با آن‌ها برخورد کرد.

بررسی منبع کار سختی نیست. همیشه آدرس ایمیل را به‌طور کامل چک کنید و مطمئن شوید از فرستنده اصلی ارسال شده است. به جای کلیک، اول نشانه‌گر ماوس را روی لینک نگه دارید تا آدرس آن پدیدار شود. اگر متن ایمیلی که از برند یا شرکت مطرحی دریافت کرده‌اید، غلط املایی دارد، به احتمال زیاد از جای مطمئنی فرستاده نشده و جعلی است. هروقت به صحت ایمیل یا پیامی مشکوک شدید، به وب‌سایت رسمی مراجعه کنید یا درباره آن با یکی از نمایندگان به صورت تلفنی صحبت کنید.

منبع چه می‌داند؟

آیا منبع اطلاعاتی را که انتظار دارید داشته باشد، مثل نام و نام خانوادگی کامل شما را ندارد؟ اگر از طرف بانک یا برند معروفی با شما تماس گرفتند، باید تمام این اطلاعات را داشته باشند و همیشه قبل از اینکه اجازه دهند تغییراتی در حساب خود ایجاد کنید، از شما سوالات امنیتی می‌پرسند. اگر اینطور نبود، به احتمال زیاد تماس جعلی است و باید با احتیاط با آن برخورد کنید.

چرخه را بشکن

مهندسی اجتماعی معمولا در قربانی خود نوعی حس فوریت ایجاد می‌کند. مهاجمان می‌دانند اگر هدفشان وقت کافی برای فکر کردن و بررسی موضوع داشته باشد، ممکن است متوجه حقه آن‌ها شود؛ به همین خاطر، همیشه طوری سناریو را پیاده‌سازی می‌کنند که هدف مجبور شود در لحظه تصمیم‌گیری کند. هروقت با چنین تماسی روبه‌رو شدید، در پاسخ به آن عجله نکنید. به جای کلیک کردن روی لینک یا دادن اطلاعاتی که مهاجم از شما می‌خواهد، با شماره اصلی شرکت تماس بگیرید یا به وب‌سایت آن رجوع کنید تا اعتبار منبع را چک کنید. اگر دوست یا مدیر شرکت در ایمیلی از شما خواست سریعا به حساب او پول واریز کنید، قبل از این کار به او زنگ بزنید و مطمئن شوید که این ایمیل واقعا از طرف او فرستاده شده است.

از او کارت شناسایی بخواهید

یکی از آسان‌ترین راه‌های حمله مهندسی اجتماعی برای ورود غیرمجاز، در دست داشتن جعبه بزرگ یا تعداد زیادی پرونده است، به‌طوری‌که فرد نتواند کارت شناسایی خود را هنگام ورود به نگهبان نشان بدهد. اگر شما با چنین صحنه‌ای مواجه شدید، فریب این ترفند را نخورید و همیشه از فردی که قصد ورود به ساختمان را دارد، کارت شناسایی درخواست کنید.

اگر روش حمله ازطریق تماس تلفنی بود، بازهم به همین شکل عمل کنید و از فردی که تماس گرفته، تمام اطلاعات لازم را بپرسید. اگر او را نمی‌شناسید و نسبت به دادن اطلاعات به او حس خوبی ندارید، بگویید باید موضوع را با فرد دیگری چک کنید و بعدا با او تماس می‌گیرید.

از فیلتر اسپم بهتری استفاده کنید

اگر سرویس ایمیلی که از آن استفاده می‌کنید، تمام اسپم‌ها را فیلتر نمی‌کند، بهتر است از فیلترکننده اسپم بهتری کمک بگیرید. این فیلترکننده‌ها قادرند به کمک لیست سیاهی از IPهای مشکوک یا بررسی محتوا، فایل‌ها یا لینک‌های مشکوک را شناسایی کنند و آن‌ها را به بخش اسپم ایمیل شما بفرستند.

چقدر داستان واقع‌بینانه است؟

برخی از حملات مهندسی اجتماعی فرد را در موقعیتی اورژانسی قرار می‌دهند که نتواند به ماجرا به صورت نقادانه نگاه کند. اگر بتوانید در این شرایط بررسی کنید که چقدر ماجرا واقع‌بینانه است، می‌توانید از به دام افتادن در تله مهندسان اجتماعی در امان باشید. مثلا، اگر دوستتان در مخمصه‌ای گیر افتاده و به پول نیاز دارد، آیا به شما ایمیل می‌زند یا تماس می‌گیرد؟ چقدر احتمال دارد فامیل دوری که نمی‌شناسید در وصیت‌نامه خود نامی از شما برده باشد؟ آیا بانک ممکن است به شما زنگ بزند و از شما اطلاعات حساب‌تان را بخواهد؟

در کل، هربار در مکالمه‌ای متوجه حس فوریت شدید با احتیاط با آن برخورد کنید. بگویید برای دسترسی به اطلاعات به زمان نیاز دارید یا باید از مافوق خود سؤال کنید. در این شرایط عجله نکنید. بسیاری از مهندسان اجتماعی بعد از اینکه ببینند شما در همان لحظه حاضر به همکاری نیستید، از ادامه حمله منصرف می‌شوند.

امنیت دستگاه‌های خود را بالا ببرید

اگر دستگاه‌های هوشمند شما از امنیت بالایی برخوردار باشند، حتی در شرایطی که مهندس اجتماعی موفق به حمله شده است، دسترسی‌اش به اطلاعات محدود خواهد بود. برای افزایش امنیت گوشی هوشمند یا شبکه خانگی یا حتی سیستم شرکت بزرگ:

  • همیشه نرم‌افزار آنتی ویروس خود را به‌روزرسانی کنید تا ایمیل‌های فیشینگ نتوانند روی سیستم شما بدافزار نصب کنند.
  • پچ‌های امنیتی سیستم عامل و نرم‌افزارهای خود را در سریع‌ترین زمان ممکن نصب کنید.
  • گوشی خود را در حال روت یا شبکه و پی‌سی خود را در حالت administrator اجرا نکنید تا درصورت دسترسی مهاجم به اکانت شما، قادر نباشد روی آن بدافزار نصب کند.
  • از به کار بردن رمزعبور یکسان برای اکانت‌های مختلف خودداری کنید تا در صورت دسترسی مهاجم به یکی از حساب‌های شما، سایر اکانت‌ها در امان باشند.
  • برای اکانت‌های حیاتی حتماً از احراز هویت دو عاملی استفاده کنید.

مراقب ردپای دیجیتالی خود باشید

اگر عادت دارید در شبکه‌های اجتماعی اطلاعات شخصی خود را به اشتراک بگذارید، طعمه خوبی برای مهندسان اجتماعی هستید. مثلا یکی از سوالات امنیتی اکانت ممکن است نام حیوان خانگی باشد. اگر در شبکه‌های اجتماعی نام حیوان خانگی خود را عنوان کرده باشید، ممکن است مورد حمله مهندسی اجتماعی قرار بگیرید. توصیه می‌شود پست‌های خود را در شبکه‌های اجتماعی تنها با دوستان به اشتراک بگذارید و به جنبه‌های دیگر زندگی شخصی خود که در اینترنت منتشر کرده‌اید، نیز خوب فکر کنید. مثلا اگر رزومه آنلاین دارید، آدرس، شماره تلفن و تاریخ تولد را از آن حذف کنید.

مهندسی اجتماعی از آن رو اینقدر خطرناک است که از موقعیت بسیار نرمال و به ظاهر بی‌خطر برای رسیدن به مقاصد پلید استفاده می‌کند. بااین‌حال، آشنایی با ترفندهای مهندسی اجتماعی و احتیاط می‌تواند خطر به دام افتادن در نقشه‌های این مهاجمان را کاهش دهد.


حرف آخر

اسمش را هرچه می‌خواهید بگذارید؛ مهندسی اجتماعی، حقه اطمینان، سوگیری شناختی یا کلاهبرداری. سوءاستفاده از سادگی و اعتماد افراد همانقدر این روزها شایع است که از ابتدای تاریخ بوده است. از هر متخصص امنیت سایبری که بپرسید به شما خواهد گفت ضعیف‌ترین و آسیب‌پذیرترین حلقه در زنجیره امنیت، انسان‌ها هستند. ما می‌توانیم پیشرفته‌ترین نرم‌افزار را برای حفاظت از سیستم‌های کامپیوتری توسعه دهیم، سختگیرانه‌ترین سیاست‌های امنیتی را به کار گیریم و کاربران را به بهترین شکل آموزش دهیم؛ بااین‌حال، تا زمانی که اجازه دهیم حس کنجکاوی و طمع ما بدون توجه به پیامدها تصمیم‌گیرنده باشند، ممکن است هر لحظه با تراژدی تروجان خودمان روبه‌رو شویم.

یک جمله معروف است که می‌گوید:‌ «یک کامپیوتر امن، یک کامپیوتر خاموش است.» جمله هوشمندانه‌ای است، اما نادرست است. یک مهندس اجتماعی می‌تواند شما را متقاعد کند وارد دفتر کار شده و کامپیوتر خود را روشن کنید. مهاجمی که در پی به دست آوردن اطلاعات شما باشد، می‌تواند با صبر، پافشاری و شخصیت کاریزماتیک خود آن را در نهایت به دست آورد؛ به این می‌گویند هنر فریب‌کاری.

واقعیت این است که هیچ تکنولوژی‌ای در دنیا قادر نیست از حمله مهندسی اجتماعی جلوگیری کند. تنها راه این است که تمام افراد سازمان از وجود مهاجمانی که قصد دارند با فریب و ترفند، آن‌ها را مورد دستکاری روانشناختی قرار دهند، باخبر باشند و درباره اینکه چه اطلاعاتی و چگونه باید از آن‌ها محافظت شود، آموزش ببینند. به محض اینکه از تمام راه‌هایی که ممکن است احساسات و افکار شما در جهت منافع مهاجم دستکاری شود، به درک بهتری برسید، بهتر متوجه خواهید شد که مورد حمله مهندسی اجتماعی قرار گرفته‌اید.

دیدگاه‌ خود را بنویسید

اسکرول به بالا