پایگاه خبری وب زوم
چهارشنبه 12 اردیبهشت 1403
کد خبر: 17233
  1. صفحه نخست /
  2. تکنولوژی /
پ

هکرها چطور با مهندسی اجتماعی به کاربران حمله می‌کنند؟ بازی با اطلاعات لو رفته

هک‌های پی‌در‌پی پلتفرم‌ها و انتشار اطلاعات و داده‌های افراد، هر روز هکرها را برای مهندسی اجتماعی (فریب دادن و بازی با ذهن افراد) آماده‌تر کرده است. هکرها هر روزه با تجمیع داده‌ها کاربران بیشتری را در معرض حملات اجتماعی قرار می‌دهند.

هک‌های پی‌در‌پی پلتفرم‌ها و انتشار اطلاعات و داده‌های افراد، هر روز هکرها را برای مهندسی اجتماعی (فریب دادن و بازی با ذهن افراد) آماده‌تر کرده است. هکرها هر روزه با تجمیع داده‌ها کاربران بیشتری را در معرض حملات اجتماعی قرار می‌دهند به خصوص این روزها که شماره کارت بانکی، سفرهای دورن‌شهری و آدرس منزل بسیاری از کاربران نیز لو رفته است. کلاهبرداران با تماس تلفنی و پیامک و با دادن اطلاعات صحیح کاربران، راحت‌تر آنها را طعمه هدف‌های بعدی خود قرار می‌دهند. تماس برای دریافت اطلاعات برای واریز سود سهام عدالت، ارسال بسته‌های جایزه نمونه‌ای از مهندسی اجتماعی هستند. در واقع ساده‌ترین راه برای این که یکی از قربانیان حملات مهندسی اجتماعی هکرها نباشید این است که به سادگی وسوسه نشوید و به همه چیز شک کنید!

به گزارش پیوست هک پلتفرم‌ها هر روز کاربران را به حمله‌های مهندسی اجتماعی نزدیک‌‌تر می‌کند. چون هر قدر داده‌‌های هکرها بیشتر شود، دیتاهای آنها کامل‌تر می‌شود و هکرها می‌توانند تعداد بیشتری از مردم را در حمله‌های بعدی، مورد سواستفاده قرار دهند. تصور کنید یک پیامک دریافت کرده‌اید که اطلاعات شخصی شما در آن به شکل صحیح درج شده است، شما قاعدتا اعتماد بیشتری به این پیامک‌ها می‌کنید و احتمالا روی لینک آن پیامک کلیک می‌کنید یا کسی پس از تماس با شما و دادن آدرستان درخواست ارسال رمزی که به گوشیتان پیامک شده را می‌خواهد. اینها نمونه‌‌هایی از مهندسی اجتماعی است که بنا به نیازهای جامعه و مسائل روز هر جامعه تغییر می‌کند.

مهندسی اجتماعی چیست؟

علیرضا قهرود مشاور و مدرس امنیت سایبری می‌گوید: مهندسی اجتماعی در ساده‌‌ترین تعریف هنر فریب دادن است، حالا این فریب می‌تواند برای کاربران معمولی، سازمانی یا شرکتی باشد.

علیرضا قهرود مشاور و مدرس امنیت سایبری 

مهندسی اجتماعی یکی از تکنیک‌های کاربردی هکرهاست و هر ساله تعداد کلانی از پرونده‌های کلاهبرداری مربوط به مهندسی اجتماعی است، فیشینگ هم زیر مجموعه مهندسی اجتماعی است. پیامک‌ها یا تماس‌هایی با مضامینی مثل اینکه در مسابقه‌ای برنده شده‌اید،بسته پستی دارید،در سامانه عدل ایران پرونده دارید یا اطلاعات کارتتان را برای سهام عدالت تکمیل کنید، نمونه‌ای از این کلاهبرداری‌هاست و افراد با یک کلیک روی لینک‌های نامعتبر قربانی این ترفندها می‌شوند.

نمونه‌ای از پیامک‌های فیشینگ

پیامک‌های فیشینگ نمونه‌ای از مهندسی اجتماعی است

قهرود ادامه می‌دهد:در سال‌های اخیر چندین ارگان وظیفه امنیت فضای مجازی را به عهده گرفته‌اند که در راس آنها شورای عالی مجازی است که تصمیم‌گیری کلان حوزه فناوری به عهده این سازمان است . سپس دبیرخانه این مجموعه یعنی مرکز ملی فضای مجازی است که سازمان پدافند غیرعامل زیرمجموعه آن شناخته می‌شود. پدافند غیرعامل متولی امنیت در نهادهای حیاتی مثل سازمان بنادر است که امنیت ملی را تحت شعاع قرار می‌دهد.
نهاد دوم مرکز راهبردی افتای ریاست جمهوری است که متولی امنیت در بخش‌های دولتی مثل بانک مرکزی و بانک‌های کشور است.
سازمان سوم مرکز ماهر است که زیرمجموعه سازمان فناوری اطلاعات است که متولی امنیت در بخش‌های دولتی است و سازمان چهارم پلیس فتا است که متولی امنیت در بحث استارت‌آپی و پیشگیری در فضای مجازی است. مسائل فیشینگ به پلیس فتا مرتبط است و وظیفه پلیس فتا این است که محتوای درستی برای تمام افراد جامعه فراهم کند. محتوای درست یعنی حتی افراد بی‌سواد و کم سواد هم بتوانند متوجه منظور بشوند و طعمه فریبکاران قرار نگیرند.

پلیس فتا باید با تولید محتواهای متنی و تصویری نقش بیشتری در آگاهی‌رسانی کاربران داشته باشد.

چه طور قربانی مهندسی اجتماعی نشویم؟

قهرود معتقد است اینترنت مثل یک چاقوی دولبه است و به اندازه بعد مفید و اثرگذارش می‌تواند افراد را دچار چالش‌های جبران‌ناپذیر کند. او ادامه می‌دهد: تحریم‌ها کار ما را سخت کرده است و ما در بسیاری مواقع به مراجع قانونی برای دانلود دسترسی نداریم. اما در برخی جاها نیز ضعف از خودمان است. برای مثال کروم و فایرفاکس را که می‌توانیم از منابع مستقیم آنها دانلود کنیم.تاکید می‌کنم کاربران در هیچ لپتاپ یا کامپیوتر عمومی رمزهای شخصی خود را وارد نکنند و به خاطر یک موضوع وسوسه انگیز وارد سایت‌های غیر معتبر نشوند. بخشی از این موضوع هم به سازمان‌‌ها مرتبط است که باید برای داده‌های کاربران ارزش بیشتری قائل شوند.

لطفا وسوسه نشوید

قهرود ضعف‌های اجتماعی و نبود اطلاعات را یکی دیگر از عوامل بیشتر شدن قربانیان مهندسی اجتماعی می‌داند و می‌افزاید: خبر دستگیری یک سلبریتی یا فیلم شخصی یک نماینده مجلس گاهی باعث می‌شود با عجله و از روی وسوسه روی یک لینک کلیک کنیم و هکرها به اطلاعات ما دست پیدا کنند. مهندسی اجتماعی در واقع مهندسی ذهن انسان‌ها و دستکاری با آن است.

هر روز با بیشتر شدن هک احتمال حملات مهندسی اجتماعی هم برای ما کاربران عادی و هم سازمانی بیشتر می‌شود.  مهندسی اجتماعی فقط در فضای سایبری نیست ممکن است شما پای تلفن و پیامک و با هزار تکنیک قربانی شوید.

مهندسی اجتماعی بازی با ذهن افراد است

رویا دهبسته مدیرعامل باگدشت

رویا دهبست مدیرعامل باگدشت هم در این باره می‌گوید: مهندسی اجتماعی یکی از روش‌های حمله‌های امنیتی است که در آن از نقطه ضعف افراد برای سواستفاده و سرقت داده‌ها و دارایی‌های افراد استفاده می‌شود. حمله مهندسی اجتماعی بنا به سبک زندگی افراد هر جامعه و کشور تغییر می‌کند.
پایه مهندسی اجتماعی سواستفاده از اعتماد افراد است و هر قدر دانش و تجربه فرد در این زمینه بیشتر باشد تعداد قربانی‌ها کم می‌شود.بحث آموزش و فرهنگسازی مهم‌ترین نکته‌ای است که این آسیب‌ها را کاهش می‌دهد.
در حال حاضر پلیس فتا کارهایی کرده است اما اینها نظام‌مند نشده‌اند. تا زمزمه‌های بحث واریز سود سهام عدالت پیش می‌آید کلاهبرداران شروع می‌کنند و پیامک‌ها و اطلاع‌رسانی‌های تلویزیونی باید در این مدت انجام شود تا تعداد قربانی‌ها کمتر شود. بسیاری از افراد سواد کافی یا حوصله خواندن پیامک ندارند اما با ساخت ویدیوهایی در این زمینه می‌توان تعداد قربانیان را کاهش داد.

مسئولیت‌پذیری در برابر دیتا و داده‌های کاربران

دهبسته ادامه می‌دهد: حفاظت از دیتا در ایران به قدر کافی و با حساسیت لازمه نیست اما خوشبختانه برخی سازمان‌‌ها برای برند خود احترام بیشتری قائل شده‌اند و در این زمینه بهتر عمل کرده‌اند.سازمان‌ها هم می‌توانند در راستای مسئولیت اجتماعی خود ویدیوها و محتواهایی در این زمینه تولید کنند.یکی از کارهایی که مدیران امنیت باید انجام دهند این است که خود را جای هکرها قرار بدهند و نقاط ضعف سازمان خود را بیابند.

مهندسی اجتماعی راحت‌ترین راه برای حمله به کاربران است چون دسترسی به نقاط ضعف انسانها راحت‌تر از مسائل فنی است. به همین خاطر تمرکز باید روی دانش کارکنان و آگاهی بخشی به مشتریان باشد.

مختصات حمله‌های مهندسی اجتماعی

فرشید فرح‌خان کارشناس امنیت حوزه سایبری

فرشید فرح‌خان کارشناس امنیت حوزه سایبری هم در این باره می‌گوید: مهندسی اجتماعی تهدیدی است که می‌تواند وضعیت، اعتبار، شرایطی و دارایی ما یا سازمانمان را به مخاطره بیندازد.خیلی از مواقع مجرمان سایبری آدم‌هایی با دانش فنی نیستند بلکه برای سواستفاده از کاربران از روش سنتی و فریب‌کاری‌های عامیانه استفاده می‌کنند.حملات مهندسی اجتماعی فقط در فضای سایبری نیست و در هر مکانی قابلیت اجرا دارد.

تصور کنید با یک تماس شماره کارت خود را به کلاهبردار می‌دهید! در واقع اینجا شما قربانی دانش فنی هکر نشده‌اید بلکه قربانی ناآگاهی خودتان و سواستفاده‌گری طرف مقابل شده‌اید.
مهندسی اجتماعی چهار مرحله دارد،مرحله آماده‌سازی، ایجاد اطمینان در قربانی، متقاعدسازی قربانی و سپس قطع ارتباط کامل با قربانی یعنی هکرها و کلاهبرداران هیچ ردپایی از خود به جای نمی‌گذارند و اکانت و هر نوع اطلاعات را پس از رسیدن به هدف از همه جا حذف می‌کنند.
متداول‌ترین حملات مهندسی اجتماعی با هدف‌های خاص صورت می‌گیرد و هکرها مجموعه‌ای از تکنیک‌ها را برای رسیدن به اهداف خود استفاده می‌کنند.
پاسخی برای حملات مهندسی اجتماعی وجود ندارد اما اطلاع‌رسانی است و اعتماد نکردن بهترین راه حل است.
سازمان‌های متولی باید اطلاع‌رسانی کنند و آگاهی‌رسانی باید از مدارس شروع شود همه باید همت کنیم که مهندسی اجتماعی کمتر قربانی بگیرند.

کلید واژه : حمله هکری هکرها
مطالب مرتبط
ارسال دیدگاه