اصطلاح مهندسی اجتماعی توسط کوین میتنیک که خود یکی از معروفترین مهندسان اجتماعی عصر حاضر است (اما دیگر توبه کرده و اکنون بهعنوان متخصص امنیت سایبری فعالیت میکند)، سر زبانها افتاد. مهندسی اجتماعی در دوران مدرن و در حوزه امنیت سایبری، هنر فریب دادن، سواستفاده از نقطهضعفها و تحت تأثیر قرار دادن فرد برای انجام کاری که به ضرر او است یا دسترسی به دادههای شخصی و حساس در سیستمهای کامپیوتری است. هکر یا مهندس اجتماعی ازطریق تلفن، پیامک، ایمیل، درایو USB آلوده یا تعامل حضوری و به کمک ترفندهای زیرکانهای موفق میشود آنچه را که به دنبالش است، نه به کمک بدافزار و حملات سایبری، بلکه تنها ازطریق پرسیدن از فردی که به این اطلاعات دسترسی دارد، به دست آورد.
به همین خاطر است که گفته میشود در مهندسی اجتماعی این ذهن افراد است که هک میشود، نه کامپیوتر. در حمله مهندسی اجتماعی، اطلاعاتی را که فرد قصد فاش کردن آن را نداشته، بدون آنکه متوجه شود، دراختیار مهاجم قرار میدهد یا تحت تأثیر آنچه دستکاری روانشناختی نامیده میشود، تشویق یا وادار به انجام کاری میشود که از انجام آن پشیمان خواهد شد. به بیان سادهتر، انسانها خود نوعی تهدید امنیتی محسوب میشوند و به قول هکرها، ضعیفترین و آسیبپذیرترین حلقه در زنجیره امنیت سایبری هستند. ما انسانها تقریباً ۸۰ درصد تصمیمات خود را بر پایه احساسات میگیریم و ازآنجاکه منطق سهم بسیار ناچیزی در این تصمیمگیریها دارد، میتوان دلیل موفقیت چشمگیر حملات مهندسی اجتماعی را به خوبی درک کرد.
تکنیک های مهندسی اجتماعی
ر فیلم «اگهمیتونی منو بگیر» (۲۰۰۲) به کارگردانی استیون اسپیلبرگ، لئوناردو دیکاپریو نقش کلاهبردار زبردستی به نام فرانک ابگنیل را بازی میکند که قبل از ۱۹ سالگیاش، با جا زدن خود بهعنوان خلبان هواپیما، دکتر و وکیل، موفق شد میلیونها دلار به جیب بزند. ابگنیل بعدها از استعداد خود در امر مهندسی اجتماعی استفاده کرد تا بهعنوان مشاور امنیتی مشغول به کار شود.
داستان ابگنیل شباهت زیادی به کوین میتنیک، پدر مهندسی اجتماعی، دارد، چون او هم با سناریوسازی و نقش بازی کردن موفق به کلاهبرداری و دسترسی غیرمجاز به اطلاعات سازمانها و بعد از دستگیری و حبس، تصمیم گرفت از استعداد خود بهعنوان مشاور امنیت سایبری استفاده کند. در واقع، داستان مهندسان اجتماعی شباهت زیادی به یکدیگر دارد، چون روشهایی که برای حملات خود استفاده میکنند، تقریباً یکی است. در اینجا با ۱۰ مورد از معروفترین تکنیکهای مهندسی اجتماعی آشنا خواهید شد:
نقشآفرینی
در این روش متداول که اولین مرحله اکثر ترفندهای مهندسی اجتماعی محسوب میشود، مهاجم ابتدا درباره قربانی تحقیق میکند تا اطلاعات درست و واقعی درباره او، مثلا تاریخ تولد یا کد ملی، به دست آورد. بعد به کمک این اطلاعات یک سناریو خیالی طراحی میکند، با قربانی تماس میگیرد، اعتماد او را جلب میکند و با نقش بازی کردن (مثلا کاربری که به کمک نیاز دارد یا مدیری که از کارمند خود درخواست فوری دارد)، از او میخواهد اطلاعات مهمی را در اختیارش قرار دهد. اغلب همه چیز با یک سلام دوستانه یا جمله «میتوانم کمی وقتتان را بگیرم» شروع میشود و در پایان تماس، سازمان و فرد مورد هدف قرار گرفته، دچار خسارت مالی هنگفتی میشود.
سرقت انحرافی
سرقت انحرافی (diversion theft) هم به صورت سنتی و هم به صورت اینترنتی صورت میگیرد. در مدل سنتی، سارق با ترفند مهندسی اجتماعی راننده پیک را متقاعد میکند محموله را به مکان دیگری برده و به شخص دیگری که گیرنده اصلی نیست، تحویل دهد. سرقت انحرافی در اینترنت به این صورت است که سارق با جعل کردن ایمیل سازمانی، از یکی از کارمندان شرکت مورد هدف میخواهد دادههای حساس و مهم را به ایمیل فرد اشتباهی بفرستد.
فیشینگ
در ترفند فیشینگ (اشاره به ماهیگیری که در آن از طعمه برای گیرانداختن صید استفاده میشود)، فرد مهاجم خود را جای فرد یا نهاد قابل اعتمادی جا میزند و با نقش بازی کردن سعی دارد به دادههای حساس نظیر نام کاربری، رمز عبور یا اطلاعات مربوط به کارتهای اعتباری دسترسی پیدا کند. ایمیلهایی که ادعا میکنند از طرف وبسایتهای معروف، بانکها، حراجیها یا بخش IT سازمانها فرستاده شدند تا از گیرنده، اطلاعات شخصی آنها را بپرسند، مهندسی اجتماعی از نوع فیشینگ (phishing) هستند.
ترفند فیشینگ خود به انواع مختلفی تقسیم میشود:
- فیشینگ با قلاب (angler phishing) که در آن مهاجم در شبکههای اجتماعی، حساب خدمات مشتری جعلی ایجاد میکند؛
- جعل ایمیل سازمانی (BEC) که در آن مهاجم خود را جای یکی از مدیران ارشد سازمان جا میزند و در ایمیلی از کارمند میخواهد پولی را به حساب او بریزد یا داده حساسی را به او ایمیل کند؛
- فارمینگ (pharming) که در آن مهاجم، کاربران را به جای وبسایت اصلی به وبسایت جعلی و کلون شده هدایت میکند تا اطلاعاتی را که کاربر وارد میکند، سرقت کند؛
- فیشینگ نیزهای (spear phishing) که یادآور ماهیگیری با نیزه است و در آن مهاجم حمله خود را تنها روی فرد خاصی متمرکز میکند تا ازطریق او بتواند به کل سیستم نفوذ کند.
- تبقاپی (tabnabbing) که در آن مهاجم، تبهای مرورگر کاربر را که مدتی است غیرفعال مانده با محتوای مخرب جایگزین میکند و او را متقاعد میکند اطلاعات خود را برای ورود به وبسایت، در این صفحه جعلی وارد کند.
- شکار نهنگ (whaling) که در آن مهاجم، به جای کاربران عادی، سراغ مدیران ارشد یا اعضای هیئت رئیسه میرود و با ترفند مهندسی اجتماعی سعی میکند اطلاعات بسیار حیاتی سازمان را مستقما از آنها سرقت کند.
حمله چاله آبیاری
در ترفند چاله آبیاری (water-holing)، مهاجم سراغ وبسایتی میرود که گروه هدف به آن اعتماد دارند و مرتب از آن بازدید میکنند. مهاجم درباره این وبسایت تحقیق میکند تا نقاط آسیبپذیر آن را پیدا کند. به مرور زمان، سیستم اعضای گروه هدف به بدافزار آلوده شده و مهاجم راهی برای نفوذ به سیستم پیدا میکند.
طعمهگذاری
طعمهگذاری (Baiting) تکنیکی است که در آن مهاجم چیز به ظاهر وسوسهانگیزی را جلوی چشمان کاربر قرار میدهد و با هدف گرفتن حس طمعش، او را به انجام کار مخربی وسوسه میکند؛ مثلا بدافزار خود را به صورت لینکی در دکمه دانلود رایگان آهنگ مخفی میکند تا کاربر به تصور اینکه قرار است آهنگ موردعلاقه خود را دانلود کند، بدافزار طراحی شده توسط مهاجم را دانلود کرده و باعث آلوده شدن سیستم خود میشود. یا مثلا درایو USB آلوده به بدافزار را در مکان عمومی جا میگذارند تا قربانی به خیال اینکه شانسی آن را پیدا کرده، درایو را به سیستم خود وصل کرده و دسترسی هکر را ممکن کند.
چیزی به جای دیگری
حمله «چیزی به جای دیگری» (Quid Pro Quo) روشی است که در آن مهاجم در ازای وعده منفعتی که قرار است به قربانی برساند، از او درخواست به اشتراکگذاری اطلاعات میکند. مثلا هکر خود را جای پشتیبان IT جا میزند، با کارمندان سازمان هدف تماس گرفته و میگوید برای افزایش امنیت سیستم لازم است پچ امنیتی را که به آنها ایمیل کرده، نصب کنند، غافل از اینکه این بسته حاوی بدافزار است و به محض نصب شدن، به هکر اجازه دسترسی به سیستم را میدهد.
ترسافزار
ترسافزار (scareware) نوعی نرمافزار مخرب است که ازطریق ترساندن کاربر، او را متقاعد به انجام کاری میکند. ترسافزار بهطور معمول به شکل پیام هشدار پاپآپ ظاهر شده و به کاربر میگوید برنامه آنتیویروس سیستم آنها نیاز به آپدیت دارد یا محتوای مخربی در دستگاه آنها کشف شده که باید همین حالا پاک شود. این پیام هشدار جعلی کاربر را متقاعد میکند تا بدافزار را دانلود کرده و روی سیستم خود نصب کند؛ بدین ترتیب، هکر با مهندسی اجتماعی و سواستفاده از ترس کاربر موفق به دستیابی به اطلاعات سیستم او میشود.
کلاهبرداری نیجریهای
این مدل حمله مهندسی اجتماعی که به کلاهبرداری «۴۱۹» و «شاهزاده نیجریهای» نیز معروف است، از قربانی میخواهد جزئیات مربوط به حساب بانکی خود یا مبلغی را دراختیار هکر قرار دهد تا در انتقال حجم زیادی پول به خارج از کشور به آنها کمک کنند و سهمی از این انتقال پول برداند. البته که در واقعیت، هیچ انتقالی در کار نیست و کلاهبردار از این راه به حساب بانکی قربانی دسترسی پیدا میکند یا مبلغی را از او گرفته و بعد ناپدید میشود. این کلاهبرداری نام خود را از ماجرای مشابهای که در نیجریه اتفاق افتاد، گرفته است و هنوز هم برخی از کلاهبرداران با ادعای اینکه شاهزاده نیجریه هستند، از کاربران ناآگاه و زودباور کلاهبرداری میکنند. عدد ۴۱۹ نیز به بخشی از قوانین جنایی نیجریه اشاره دارد که این روش را غیرقانونی اعلام کرده است.
نحوه کار مهندسی اجتماعی
اساس حملات مهندسی اجتماعی «سوءاستفاده از احساسات» است. بسیاری از مهندسان اجتماعی روی حس ترس، کنجکاوی، طمع و دلسوزی قربانیان خود تمرکز میکنند، چون این احساسات بین انسانهای سراسر دنیا مشترک است و واکنش ما به آنها تقریباً مشابه است. برخی از حملات مهندسی اجتماعی حتی بدون حضور فیزیکی مهاجم و تنها با برانگیخته کردن حس کنجکاوی قربانی صورت میگیرد. مثلا در سال ۲۰۰۷، هکرها درایوهای USB آلوده به تروجان را در پارکینگی در لندن قرار دادند و افراد از روی کنجکاوی و همچنین طمع دستیابی به وسیلهای رایگان، این درایوهای آلوده را در کمال ناآگاهی به سیستم خود متصل کرده و اجازه دادند بدافزار روی دستگاه آنها نصب و اجرا شود.
از آن طرف، برخی از مهاجمان با سوءاستفاده از حس ترس قربانیان، آنها را تهدید کرده یا از آنها باجخواهی میکنند. تمام بدافزارهایی که به باجافزار (ransomware) معروفاند، که مشهورترین آنها «WannaCry» نام دارد، اطلاعات مهم کاربر را رمزنگاری میکنند و به آنها میگویند تنها راه دسترسی دوباره به این اطلاعات، واریز پول به حساب هکر است. در سناریو معروف دیگر، هکر به صورت رندوم به گروه زیادی از کاربران که ایمیلهای آنها در حملات نقض داده فاش شده، ایمیلی میفرستد و به آنها میگوید عکسهای شخصیشان دراختیار هکر است و اگر به حساب او پولی واریز نکنند، عکسها در اینترنت منتشر میشود.
مهاجمانی نیز که به دروغ وانمود میکنند به کمک نیاز دارند، حس دلسوزی کاربران را تحریک میکنند. میتوان گفت اکثر افرادی که در خیابان با داستانسرایی از رهگذران تقاضای پول میکنند، تاحدی مهندس اجتماعی هستند.
ترفندهایی که مهندسان اجتماعی با سوءاستفاده از احساسات قربانیان خود به کار میگیرند، اغلب به شکلهای زیر ظاهر میشوند:
- لینکهای مخرب به محتوای بزرگسال یا دانلود محتوای رایگان، مثل آهنگ، فیلم، نرمافزار و بازی؛
- استفاده از نام زنانه در کادر فرستنده ایمیل برای جلب اعتماد؛
- ایمیلهای جعلی که به ظاهر از طرف بانک، سرویسهای تراکنش آنلاین یا وبسایتهای مطرح فرستاده شدهاند. این ایمیلها از کاربر میخواهند برای تأیید یا بهروزرسانی اطلاعات، روی لینکی کلیک کنند یا اطلاعات لاگین یا حساب بانکی آنها را سرقت کنند؛
- ایمیلهای تهدیدآمیز که در آنها صحبت از زندان رفتن یا فرایندهای دادگاهی شده است؛
- رویدادهای بزرگ مثل مسابقات ورزشی، پیشبینی بلایای طبیعی یا اخبار فوری؛
- اسامی افراد مشهور و گزارشهای هیجانانگیز درباره ماجراجوییها یا رفتارهای زننده آنها؛
- جعل هویت افراد آشنا و قابلاعتماد مثل افراد فامیل، همکاران و دوستان.
فهرست این ترفندها بیپایان است و مطمئناً شما نیز با برخی از آنها در اینترنت روبهرو شدهاید. هرجا که متوجه شدید فردی احساسات شما را، مخصوصا حس ترس، کنجکاوی، طمع و دلسوزی، برای انجام کاری هدف گرفته است، احتمالاً مورد حمله مهندسی اجتماعی قرار گرفتهاید و لازم است با احتیاط فراوان با آن برخورد کنید.
راههای محافظت دربرابر حملات مهندسی اجتماعی
مقابله با مهندسی اجتماعی شاید از سایر تهدیدهای سایبری دشوارتر باشد، چون در این معادله پای انسان در میان است. تکنیکهای مهندسی اجتماعی نظیر طرحهای هرمی، اسپم، فیشینگ یا حتی کلاهبرداریهای ساده، همه با هدف فریب قربانیان خود ازطریق «باگی» که در سخت افزار انسانها وجود دارد، صورت میگیرند و سناریوهای روانشناختی پیچیدهای را ترتیب میدهند تا قربانیان متقاعد شوند اطلاعات شخصی خود یا دیگران را فاش کنند یا کاری انجام دهند که به ضررشان تمام میشود. هر بار وسوسه دانلود موزیک یا نرمافزارهای رایگان شما را فریب داد تا بدافزار دانلود کنید، درواقع قربانی حمله مهندسی اجتماعی قرار گرفتهاید.
اگرچه مقابله با حملات مهندسی اجتماعی بسیار دشوار است، نکات و روشهایی وجود دارد که میتواند ما را تاحدی دربرابر این مدل حملات محافظت کند که در ادامه با برخی از آنها آشنا میشوید:
منبع را بررسی کنید
قبل از اینکه به درخواستی پاسخ دهید، به این فکر کنید که این تماس دقیقاً از کجا برقرار شده است. بدون بررسی منبع به هیچ تماسی اعتماد نکنید. روی میزتان درایو USB پیدا میکنید و نمیدانید از کجا آمده است؟ تماسی غیرمنتظره به شما میگوید چند میلیون برنده شدهاید؟ ایمیلی از مدیر شرکت از شما میخواهد اطلاعات حساسی را درباره کارمندان دیگر در اختیارش قرار دهید؟ تمام این سناریوها مشکوک هستند و باید با احتیاط با آنها برخورد کرد.
بررسی منبع کار سختی نیست. همیشه آدرس ایمیل را بهطور کامل چک کنید و مطمئن شوید از فرستنده اصلی ارسال شده است. به جای کلیک، اول نشانهگر ماوس را روی لینک نگه دارید تا آدرس آن پدیدار شود. اگر متن ایمیلی که از برند یا شرکت مطرحی دریافت کردهاید، غلط املایی دارد، به احتمال زیاد از جای مطمئنی فرستاده نشده و جعلی است. هروقت به صحت ایمیل یا پیامی مشکوک شدید، به وبسایت رسمی مراجعه کنید یا درباره آن با یکی از نمایندگان به صورت تلفنی صحبت کنید.
منبع چه میداند؟
آیا منبع اطلاعاتی را که انتظار دارید داشته باشد، مثل نام و نام خانوادگی کامل شما را ندارد؟ اگر از طرف بانک یا برند معروفی با شما تماس گرفتند، باید تمام این اطلاعات را داشته باشند و همیشه قبل از اینکه اجازه دهند تغییراتی در حساب خود ایجاد کنید، از شما سوالات امنیتی میپرسند. اگر اینطور نبود، به احتمال زیاد تماس جعلی است و باید با احتیاط با آن برخورد کنید.
چرخه را بشکن
مهندسی اجتماعی معمولا در قربانی خود نوعی حس فوریت ایجاد میکند. مهاجمان میدانند اگر هدفشان وقت کافی برای فکر کردن و بررسی موضوع داشته باشد، ممکن است متوجه حقه آنها شود؛ به همین خاطر، همیشه طوری سناریو را پیادهسازی میکنند که هدف مجبور شود در لحظه تصمیمگیری کند. هروقت با چنین تماسی روبهرو شدید، در پاسخ به آن عجله نکنید. به جای کلیک کردن روی لینک یا دادن اطلاعاتی که مهاجم از شما میخواهد، با شماره اصلی شرکت تماس بگیرید یا به وبسایت آن رجوع کنید تا اعتبار منبع را چک کنید. اگر دوست یا مدیر شرکت در ایمیلی از شما خواست سریعا به حساب او پول واریز کنید، قبل از این کار به او زنگ بزنید و مطمئن شوید که این ایمیل واقعا از طرف او فرستاده شده است.
از او کارت شناسایی بخواهید
یکی از آسانترین راههای حمله مهندسی اجتماعی برای ورود غیرمجاز، در دست داشتن جعبه بزرگ یا تعداد زیادی پرونده است، بهطوریکه فرد نتواند کارت شناسایی خود را هنگام ورود به نگهبان نشان بدهد. اگر شما با چنین صحنهای مواجه شدید، فریب این ترفند را نخورید و همیشه از فردی که قصد ورود به ساختمان را دارد، کارت شناسایی درخواست کنید.
اگر روش حمله ازطریق تماس تلفنی بود، بازهم به همین شکل عمل کنید و از فردی که تماس گرفته، تمام اطلاعات لازم را بپرسید. اگر او را نمیشناسید و نسبت به دادن اطلاعات به او حس خوبی ندارید، بگویید باید موضوع را با فرد دیگری چک کنید و بعدا با او تماس میگیرید.
از فیلتر اسپم بهتری استفاده کنید
اگر سرویس ایمیلی که از آن استفاده میکنید، تمام اسپمها را فیلتر نمیکند، بهتر است از فیلترکننده اسپم بهتری کمک بگیرید. این فیلترکنندهها قادرند به کمک لیست سیاهی از IPهای مشکوک یا بررسی محتوا، فایلها یا لینکهای مشکوک را شناسایی کنند و آنها را به بخش اسپم ایمیل شما بفرستند.
چقدر داستان واقعبینانه است؟
برخی از حملات مهندسی اجتماعی فرد را در موقعیتی اورژانسی قرار میدهند که نتواند به ماجرا به صورت نقادانه نگاه کند. اگر بتوانید در این شرایط بررسی کنید که چقدر ماجرا واقعبینانه است، میتوانید از به دام افتادن در تله مهندسان اجتماعی در امان باشید. مثلا، اگر دوستتان در مخمصهای گیر افتاده و به پول نیاز دارد، آیا به شما ایمیل میزند یا تماس میگیرد؟ چقدر احتمال دارد فامیل دوری که نمیشناسید در وصیتنامه خود نامی از شما برده باشد؟ آیا بانک ممکن است به شما زنگ بزند و از شما اطلاعات حسابتان را بخواهد؟
در کل، هربار در مکالمهای متوجه حس فوریت شدید با احتیاط با آن برخورد کنید. بگویید برای دسترسی به اطلاعات به زمان نیاز دارید یا باید از مافوق خود سؤال کنید. در این شرایط عجله نکنید. بسیاری از مهندسان اجتماعی بعد از اینکه ببینند شما در همان لحظه حاضر به همکاری نیستید، از ادامه حمله منصرف میشوند.
امنیت دستگاههای خود را بالا ببرید
اگر دستگاههای هوشمند شما از امنیت بالایی برخوردار باشند، حتی در شرایطی که مهندس اجتماعی موفق به حمله شده است، دسترسیاش به اطلاعات محدود خواهد بود. برای افزایش امنیت گوشی هوشمند یا شبکه خانگی یا حتی سیستم شرکت بزرگ:
- همیشه نرمافزار آنتی ویروس خود را بهروزرسانی کنید تا ایمیلهای فیشینگ نتوانند روی سیستم شما بدافزار نصب کنند.
- پچهای امنیتی سیستم عامل و نرمافزارهای خود را در سریعترین زمان ممکن نصب کنید.
- گوشی خود را در حال روت یا شبکه و پیسی خود را در حالت administrator اجرا نکنید تا درصورت دسترسی مهاجم به اکانت شما، قادر نباشد روی آن بدافزار نصب کند.
- از به کار بردن رمزعبور یکسان برای اکانتهای مختلف خودداری کنید تا در صورت دسترسی مهاجم به یکی از حسابهای شما، سایر اکانتها در امان باشند.
- برای اکانتهای حیاتی حتماً از احراز هویت دو عاملی استفاده کنید.
مراقب ردپای دیجیتالی خود باشید
اگر عادت دارید در شبکههای اجتماعی اطلاعات شخصی خود را به اشتراک بگذارید، طعمه خوبی برای مهندسان اجتماعی هستید. مثلا یکی از سوالات امنیتی اکانت ممکن است نام حیوان خانگی باشد. اگر در شبکههای اجتماعی نام حیوان خانگی خود را عنوان کرده باشید، ممکن است مورد حمله مهندسی اجتماعی قرار بگیرید. توصیه میشود پستهای خود را در شبکههای اجتماعی تنها با دوستان به اشتراک بگذارید و به جنبههای دیگر زندگی شخصی خود که در اینترنت منتشر کردهاید، نیز خوب فکر کنید. مثلا اگر رزومه آنلاین دارید، آدرس، شماره تلفن و تاریخ تولد را از آن حذف کنید.
مهندسی اجتماعی از آن رو اینقدر خطرناک است که از موقعیت بسیار نرمال و به ظاهر بیخطر برای رسیدن به مقاصد پلید استفاده میکند. بااینحال، آشنایی با ترفندهای مهندسی اجتماعی و احتیاط میتواند خطر به دام افتادن در نقشههای این مهاجمان را کاهش دهد.
حرف آخر
اسمش را هرچه میخواهید بگذارید؛ مهندسی اجتماعی، حقه اطمینان، سوگیری شناختی یا کلاهبرداری. سوءاستفاده از سادگی و اعتماد افراد همانقدر این روزها شایع است که از ابتدای تاریخ بوده است. از هر متخصص امنیت سایبری که بپرسید به شما خواهد گفت ضعیفترین و آسیبپذیرترین حلقه در زنجیره امنیت، انسانها هستند. ما میتوانیم پیشرفتهترین نرمافزار را برای حفاظت از سیستمهای کامپیوتری توسعه دهیم، سختگیرانهترین سیاستهای امنیتی را به کار گیریم و کاربران را به بهترین شکل آموزش دهیم؛ بااینحال، تا زمانی که اجازه دهیم حس کنجکاوی و طمع ما بدون توجه به پیامدها تصمیمگیرنده باشند، ممکن است هر لحظه با تراژدی تروجان خودمان روبهرو شویم.
یک جمله معروف است که میگوید: «یک کامپیوتر امن، یک کامپیوتر خاموش است.» جمله هوشمندانهای است، اما نادرست است. یک مهندس اجتماعی میتواند شما را متقاعد کند وارد دفتر کار شده و کامپیوتر خود را روشن کنید. مهاجمی که در پی به دست آوردن اطلاعات شما باشد، میتواند با صبر، پافشاری و شخصیت کاریزماتیک خود آن را در نهایت به دست آورد؛ به این میگویند هنر فریبکاری.
واقعیت این است که هیچ تکنولوژیای در دنیا قادر نیست از حمله مهندسی اجتماعی جلوگیری کند. تنها راه این است که تمام افراد سازمان از وجود مهاجمانی که قصد دارند با فریب و ترفند، آنها را مورد دستکاری روانشناختی قرار دهند، باخبر باشند و درباره اینکه چه اطلاعاتی و چگونه باید از آنها محافظت شود، آموزش ببینند. به محض اینکه از تمام راههایی که ممکن است احساسات و افکار شما در جهت منافع مهاجم دستکاری شود، به درک بهتری برسید، بهتر متوجه خواهید شد که مورد حمله مهندسی اجتماعی قرار گرفتهاید.