هکرها چطور با مهندسی اجتماعی به کاربران حمله میکنند؟ بازی با اطلاعات لو رفته
هکهای پیدرپی پلتفرمها و انتشار اطلاعات و دادههای افراد، هر روز هکرها را برای مهندسی اجتماعی (فریب دادن و بازی با ذهن افراد) آمادهتر کرده است. هکرها هر روزه با تجمیع دادهها کاربران بیشتری را در معرض حملات اجتماعی قرار میدهند.
هکهای پیدرپی پلتفرمها و انتشار اطلاعات و دادههای افراد، هر روز هکرها را برای مهندسی اجتماعی (فریب دادن و بازی با ذهن افراد) آمادهتر کرده است. هکرها هر روزه با تجمیع دادهها کاربران بیشتری را در معرض حملات اجتماعی قرار میدهند به خصوص این روزها که شماره کارت بانکی، سفرهای دورنشهری و آدرس منزل بسیاری از کاربران نیز لو رفته است. کلاهبرداران با تماس تلفنی و پیامک و با دادن اطلاعات صحیح کاربران، راحتتر آنها را طعمه هدفهای بعدی خود قرار میدهند. تماس برای دریافت اطلاعات برای واریز سود سهام عدالت، ارسال بستههای جایزه نمونهای از مهندسی اجتماعی هستند. در واقع سادهترین راه برای این که یکی از قربانیان حملات مهندسی اجتماعی هکرها نباشید این است که به سادگی وسوسه نشوید و به همه چیز شک کنید!
به گزارش پیوست هک پلتفرمها هر روز کاربران را به حملههای مهندسی اجتماعی نزدیکتر میکند. چون هر قدر دادههای هکرها بیشتر شود، دیتاهای آنها کاملتر میشود و هکرها میتوانند تعداد بیشتری از مردم را در حملههای بعدی، مورد سواستفاده قرار دهند. تصور کنید یک پیامک دریافت کردهاید که اطلاعات شخصی شما در آن به شکل صحیح درج شده است، شما قاعدتا اعتماد بیشتری به این پیامکها میکنید و احتمالا روی لینک آن پیامک کلیک میکنید یا کسی پس از تماس با شما و دادن آدرستان درخواست ارسال رمزی که به گوشیتان پیامک شده را میخواهد. اینها نمونههایی از مهندسی اجتماعی است که بنا به نیازهای جامعه و مسائل روز هر جامعه تغییر میکند.
مهندسی اجتماعی چیست؟
علیرضا قهرود مشاور و مدرس امنیت سایبری میگوید: مهندسی اجتماعی در سادهترین تعریف هنر فریب دادن است، حالا این فریب میتواند برای کاربران معمولی، سازمانی یا شرکتی باشد.
علیرضا قهرود مشاور و مدرس امنیت سایبری
مهندسی اجتماعی یکی از تکنیکهای کاربردی هکرهاست و هر ساله تعداد کلانی از پروندههای کلاهبرداری مربوط به مهندسی اجتماعی است، فیشینگ هم زیر مجموعه مهندسی اجتماعی است. پیامکها یا تماسهایی با مضامینی مثل اینکه در مسابقهای برنده شدهاید،بسته پستی دارید،در سامانه عدل ایران پرونده دارید یا اطلاعات کارتتان را برای سهام عدالت تکمیل کنید، نمونهای از این کلاهبرداریهاست و افراد با یک کلیک روی لینکهای نامعتبر قربانی این ترفندها میشوند.
نمونهای از پیامکهای فیشینگ
پیامکهای فیشینگ نمونهای از مهندسی اجتماعی است
قهرود ادامه میدهد:در سالهای اخیر چندین ارگان وظیفه امنیت فضای مجازی را به عهده گرفتهاند که در راس آنها شورای عالی مجازی است که تصمیمگیری کلان حوزه فناوری به عهده این سازمان است . سپس دبیرخانه این مجموعه یعنی مرکز ملی فضای مجازی است که سازمان پدافند غیرعامل زیرمجموعه آن شناخته میشود. پدافند غیرعامل متولی امنیت در نهادهای حیاتی مثل سازمان بنادر است که امنیت ملی را تحت شعاع قرار میدهد.
نهاد دوم مرکز راهبردی افتای ریاست جمهوری است که متولی امنیت در بخشهای دولتی مثل بانک مرکزی و بانکهای کشور است.
سازمان سوم مرکز ماهر است که زیرمجموعه سازمان فناوری اطلاعات است که متولی امنیت در بخشهای دولتی است و سازمان چهارم پلیس فتا است که متولی امنیت در بحث استارتآپی و پیشگیری در فضای مجازی است. مسائل فیشینگ به پلیس فتا مرتبط است و وظیفه پلیس فتا این است که محتوای درستی برای تمام افراد جامعه فراهم کند. محتوای درست یعنی حتی افراد بیسواد و کم سواد هم بتوانند متوجه منظور بشوند و طعمه فریبکاران قرار نگیرند.
پلیس فتا باید با تولید محتواهای متنی و تصویری نقش بیشتری در آگاهیرسانی کاربران داشته باشد.
چه طور قربانی مهندسی اجتماعی نشویم؟
قهرود معتقد است اینترنت مثل یک چاقوی دولبه است و به اندازه بعد مفید و اثرگذارش میتواند افراد را دچار چالشهای جبرانناپذیر کند. او ادامه میدهد: تحریمها کار ما را سخت کرده است و ما در بسیاری مواقع به مراجع قانونی برای دانلود دسترسی نداریم. اما در برخی جاها نیز ضعف از خودمان است. برای مثال کروم و فایرفاکس را که میتوانیم از منابع مستقیم آنها دانلود کنیم.تاکید میکنم کاربران در هیچ لپتاپ یا کامپیوتر عمومی رمزهای شخصی خود را وارد نکنند و به خاطر یک موضوع وسوسه انگیز وارد سایتهای غیر معتبر نشوند. بخشی از این موضوع هم به سازمانها مرتبط است که باید برای دادههای کاربران ارزش بیشتری قائل شوند.
لطفا وسوسه نشوید
قهرود ضعفهای اجتماعی و نبود اطلاعات را یکی دیگر از عوامل بیشتر شدن قربانیان مهندسی اجتماعی میداند و میافزاید: خبر دستگیری یک سلبریتی یا فیلم شخصی یک نماینده مجلس گاهی باعث میشود با عجله و از روی وسوسه روی یک لینک کلیک کنیم و هکرها به اطلاعات ما دست پیدا کنند. مهندسی اجتماعی در واقع مهندسی ذهن انسانها و دستکاری با آن است.
هر روز با بیشتر شدن هک احتمال حملات مهندسی اجتماعی هم برای ما کاربران عادی و هم سازمانی بیشتر میشود. مهندسی اجتماعی فقط در فضای سایبری نیست ممکن است شما پای تلفن و پیامک و با هزار تکنیک قربانی شوید.
مهندسی اجتماعی بازی با ذهن افراد است
رویا دهبسته مدیرعامل باگدشت
رویا دهبست مدیرعامل باگدشت هم در این باره میگوید: مهندسی اجتماعی یکی از روشهای حملههای امنیتی است که در آن از نقطه ضعف افراد برای سواستفاده و سرقت دادهها و داراییهای افراد استفاده میشود. حمله مهندسی اجتماعی بنا به سبک زندگی افراد هر جامعه و کشور تغییر میکند.
پایه مهندسی اجتماعی سواستفاده از اعتماد افراد است و هر قدر دانش و تجربه فرد در این زمینه بیشتر باشد تعداد قربانیها کم میشود.بحث آموزش و فرهنگسازی مهمترین نکتهای است که این آسیبها را کاهش میدهد.
در حال حاضر پلیس فتا کارهایی کرده است اما اینها نظاممند نشدهاند. تا زمزمههای بحث واریز سود سهام عدالت پیش میآید کلاهبرداران شروع میکنند و پیامکها و اطلاعرسانیهای تلویزیونی باید در این مدت انجام شود تا تعداد قربانیها کمتر شود. بسیاری از افراد سواد کافی یا حوصله خواندن پیامک ندارند اما با ساخت ویدیوهایی در این زمینه میتوان تعداد قربانیان را کاهش داد.
مسئولیتپذیری در برابر دیتا و دادههای کاربران
دهبسته ادامه میدهد: حفاظت از دیتا در ایران به قدر کافی و با حساسیت لازمه نیست اما خوشبختانه برخی سازمانها برای برند خود احترام بیشتری قائل شدهاند و در این زمینه بهتر عمل کردهاند.سازمانها هم میتوانند در راستای مسئولیت اجتماعی خود ویدیوها و محتواهایی در این زمینه تولید کنند.یکی از کارهایی که مدیران امنیت باید انجام دهند این است که خود را جای هکرها قرار بدهند و نقاط ضعف سازمان خود را بیابند.
مهندسی اجتماعی راحتترین راه برای حمله به کاربران است چون دسترسی به نقاط ضعف انسانها راحتتر از مسائل فنی است. به همین خاطر تمرکز باید روی دانش کارکنان و آگاهی بخشی به مشتریان باشد.
مختصات حملههای مهندسی اجتماعی
فرشید فرحخان کارشناس امنیت حوزه سایبری
فرشید فرحخان کارشناس امنیت حوزه سایبری هم در این باره میگوید: مهندسی اجتماعی تهدیدی است که میتواند وضعیت، اعتبار، شرایطی و دارایی ما یا سازمانمان را به مخاطره بیندازد.خیلی از مواقع مجرمان سایبری آدمهایی با دانش فنی نیستند بلکه برای سواستفاده از کاربران از روش سنتی و فریبکاریهای عامیانه استفاده میکنند.حملات مهندسی اجتماعی فقط در فضای سایبری نیست و در هر مکانی قابلیت اجرا دارد.
تصور کنید با یک تماس شماره کارت خود را به کلاهبردار میدهید! در واقع اینجا شما قربانی دانش فنی هکر نشدهاید بلکه قربانی ناآگاهی خودتان و سواستفادهگری طرف مقابل شدهاید.
مهندسی اجتماعی چهار مرحله دارد،مرحله آمادهسازی، ایجاد اطمینان در قربانی، متقاعدسازی قربانی و سپس قطع ارتباط کامل با قربانی یعنی هکرها و کلاهبرداران هیچ ردپایی از خود به جای نمیگذارند و اکانت و هر نوع اطلاعات را پس از رسیدن به هدف از همه جا حذف میکنند.
متداولترین حملات مهندسی اجتماعی با هدفهای خاص صورت میگیرد و هکرها مجموعهای از تکنیکها را برای رسیدن به اهداف خود استفاده میکنند.
پاسخی برای حملات مهندسی اجتماعی وجود ندارد اما اطلاعرسانی است و اعتماد نکردن بهترین راه حل است.
سازمانهای متولی باید اطلاعرسانی کنند و آگاهیرسانی باید از مدارس شروع شود همه باید همت کنیم که مهندسی اجتماعی کمتر قربانی بگیرند.