آیا تا به حال ایمیل یا تماس تلفنی مشکوکی از یک شماره ناشناس دریافت کرده اید که درخواست اطلاعات می کند؟ یا روی آن پیوندی کلیک کرده اید که وعده تخفیف می دهد اما در نهایت اطلاعات حساس را وارد کرده باشید؟ به احتمال زیاد شما قربانی یک حمله مهندسی اجتماعی شده اید.
مهندسی اجتماعی یک تکنیک دستکاری است که توسط مهاجمان برای استخراج اطلاعات یا دسترسی از افراد استفاده می شود.
در این مقاله از لرنچی می آموزیم که حملات مهندسی اجتماعی چیست، چگونه کار می کنند و 10 شکل جدید از حملات مهندسی اجتماعی را یاد میگیریم. همچنین یاد خواهیم گرفت که چگونه خود و کسب و کارتان را در برابر چنین حملاتی شناسایی و محافظت کنید.
گزارش بررسی دادههای Verizon در سال 2018 نشان داد که مهندسی اجتماعی عاملی در 32 درصد از تمام موارد نشت دادهها بوده است.
IBM X-Force Threat Index 2019 نشان داد که فیشینگ رایجترین نوع حمله است که بیش از یک سوم حملات را تشکیل میدهد.
حملات مهندسی اجتماعی چیست؟
حملات مهندسی اجتماعی دستکاری یا تاکتیک های فریبنده ای هستند که برای کنترل سیستم های رایانه ای، داده ها یا اطلاعات حساس استفاده می شوند.
حملات مهندسی اجتماعی به شدت تکامل یافته است. روشهای جدید مانند دیپ فیک یک نگرانی فزاینده برای افراد و مشاغل است. مجرمان سایبری اهداف خود را می شناسند و مهندسی اجتماعی برای استفاده از ضعف های انسانی استفاده می شود.
اشتباهات امنیت سایبری مانند این می تواند برای شرکت ها مبالغ هنگفتی هزینه داشته باشد. میانگین هزینه نشت داده های یک شرکت 4.24 میلیون دلار است.
محافظت در برابر مهندسی اجتماعی به یک موضوع مبرم تبدیل شده است و دفاع در برابر این حملات برای جلوگیری از قربانی شدن ضروری است. روشهای جدید برای بهرهبرداری از روندهای فناوری دائماً توسط مهاجمان سایبری در حال توسعه است که منجر به تکنیکهای مهندسی اجتماعی کارآمد میشود.
حملات مهندسی اجتماعی چگونه انجام می شوند؟
حملات مهندسی اجتماعی می تواند به اشکال مختلف رخ دهد. هنگامی که یک مجرم سایبری به سیستم های امنیتی یا اطلاعات خصوصی شما دسترسی پیدا می کند، آسیب می تواند پرهزینه باشد. حملات مهندسی اجتماعی تهدیدی برای پلتفرم های مختلف از جمله iOS، اندروید و رایانه های شخصی است.
در مهندسی اجتماعی چهار مرحله اصلی وجود دارد.
- کشف و تحقیق – مهاجم از طریق پلتفرمهای رسانههای اجتماعی، انجمنهای دارک وب یا سایر منابع عمومی اطلاعات، اطلاعات مربوط به هدف خود را جستجو میکند.
- فریب و قلاب – هنگامی که مهاجم اطلاعات کافی را جمع آوری کرد، سعی می کند با فریب به هدف خود اعتماد کند. آنها این کار را از طریق ایمیل های فیشینگ یا تماس با هدف با استفاده از تکنیک های جعل هویت انجام می دهند.
- حمله – اگر مهاجم موفق باشد، سپس سعی می کند به سیستم یا اطلاعات خود دسترسی پیدا کند. آنها این کار را از طریق نرم افزارهای مخرب، حدس زدن رمز عبور و روش های دیگر انجام می دهند.
- عقب نشینی – پس از اینکه مهاجم با موفقیت به سیستم یا اطلاعات هدف دسترسی پیدا کرد، با حذف هرگونه شواهدی از حمله خود شروع به پوشاندن مسیرهای خود می کند.
میانگین زمان شناسایی یک حمله سایبری یا نقض اطلاعات نزدیک به 250 روز است، بنابراین شما حتی نمیدانید چه اتفاقی افتاده است.
10 نوع حمله مهندسی اجتماعی مدرن
اکنون که می دانیم حملات مهندسی اجتماعی چیست و چقدر می توانند ویرانگر باشند، اجازه دهید به 10 نوع حمله مهندسی اجتماعی در سال 2023 نگاهی بیندازیم.
فیشینگ
حملات فیشینگ رایج ترین نوع حملات مهندسی اجتماعی هستند. این شامل ارسال ایمیل های تقلبی به تعدادی از افراد است که به نظر می رسد ایمیل از یک منبع قانونی، مانند یک بانک یا سازمان دولتی است. ایمیل معمولا حاوی لینکی است که به یک وب سایت مخرب منتهی می شود که برای سرقت اطلاعات شخصی طراحی شده است.
در سال 2017، یک حمله ای صورت گرفت که کاربران نتفلیکس را هدف قرار داد. مهاجمان ایمیل هایی را ارسال کردند که به نظر می رسید از طرف نتفلیکس باشد و از گیرندگان درخواست کردند تا اطلاعات پرداخت خود را به روز کنند. اگر این کار را انجام می دادند، به یک وب سایت جعلی هدایت می شدند که اعتبار ورود و شماره کارت اعتباری آنها را به سرقت می برد.
فیشینگ هدف دار
حملات Spear phishing مانند حملات فیشینگ هستند، اما افراد یا سازمانهای خاصی را هدف قرار میدهند. مهاجم ایمیل را با اطلاعات مربوط به هدف خود سفارشی می کند و تشخیص کلاهبرداری را برای آنها دشوار می کند.
برداشت جدید در مورد فیشینگ هدف دار به عنوان فیشینگ ماهیگیر شناخته می شود. این زمانی اتفاق می افتد که کلاهبرداران جعل هویت حساب های خدمات مشتری در رسانه های اجتماعی هستند. هدف آنها دسترسی به اطلاعات ورود به سیستم با وعده کمک است.
Smishing و vishing
Smishing نوعی حمله فیشینگ است که از پیام های متنی استفاده می کند. مهاجم پیامی را ارسال میکند که به نظر میرسد از یک سازمان قانونی است و از شما میخواهد روی پیوندی کلیک کنید یا با یک شماره تلفن تماس بگیرید.
Vishing مانند ضربه زدن است، اما مهاجم از تماس های صوتی به جای پیام های متنی استفاده می کند. آنها ممکن است شناسه تماس گیرنده را جعل کنند، بنابراین به نظر می رسد که از یک منبع قانونی یا حتی یک دوست تماس می گیرند.
در سال 2019، یک کمپین عظیم ویشینگ وجود داشت که مشتریان بانک های بزرگ ایالات متحده را هدف قرار می داد. مهاجمان با قربانیان تماس می گرفتند و وانمود می کردند که از بخش بانک هستند. سپس سعی می کنند از قربانی بخواهند اطلاعات ورود یا شماره کارت اعتباری خود را به آنها بدهد.
Piggybacking/Tailgating
Piggybacking به حمله ای اشاره دارد که در آن مهاجم با دنبال کردن شخصی که دسترسی قانونی دارد به یک منطقه امن دسترسی پیدا می کند.
Tailgating شبیه به piggybacking است، اما مهاجم سعی میکند با درخواست نشان یا شناسه شخصی به آن دسترسی پیدا کند. هنگامی که آنها نشان را داشتند، می توانند از آن برای ورود به ساختمان استفاده کنند.
طعمه گذاری – Baiting
حملات طعمه گذاری از رسانه های فیزیکی استفاده می کنند. این شامل درایوهای USB یا سیدی میشود تا قربانیان را به آلوده کردن رایانههای خود فریب دهند. مهاجم رسانه آلوده را در یک مکان عمومی رها می کند و منتظر می ماند تا کسی آن را بگیرد و به رایانه خود وصل کند.
در سال 2017، یک حمله طعمه گذاری به کارکنان سرویس بهداشت ملی بریتانیا (NHS) انجام شد. مهاجم در اطراف بیمارستانها و کلینیکها USB هایی به جای گذاشت که به نظر میرسید حاوی اطلاعاتی درباره مراقبت از بیمار است. هنگامی که به برق متصل میشد، دستگاهها در واقع بدافزاری را نصب میکردند که میتواند به مهاجم اجازه دسترسی به دادههای حساس بیمار را بدهد.
حملات سازشنامه الکترونیکی تجارت
سازشنامه ایمیل تجاری (BEC) نوعی حمله مهندسی اجتماعی است که در آن مهاجم به یک حساب ایمیل تجاری دسترسی پیدا می کند و از آن برای ارسال ایمیل های جعلی استفاده می کند.
رایج ترین نوع حمله BEC به عنوان کلاهبرداری فاکتور شناخته می شود. این زمانی است که مهاجم ایمیلی را ارسال می کند که به نظر می رسد از یک فروشنده شناخته شده باشد و از گیرنده می خواهد که فاکتوری را پرداخت کند. پرداخت به جای فروشنده قانونی به حساب مهاجم وارد می شود.
حملات Quid Pro Quo
در حملات Quid pro quo، مهاجم در ازای اطلاعات شخصی یا دسترسی به یک سیستم، چیزی را به قربانی ارائه می دهد.
به عنوان مثال، یک مهاجم ممکن است با فردی تماس بگیرد که وانمود می کند اهل فناوری اطلاعات است. و آنها پیشنهاد می کنند در صورت ارائه اعتبار ورود به سیستم، به عیب یابی مشکلات رایانه خود کمک کنند.
تله های عسل
اصطلاح “تله عسل” به یک حمله مهندسی اجتماعی اشاره دارد که در آن از یک فرد جذاب برای جذب اهداف استفاده می شود.
تله عسل شامل استفاده از یک فرد جذاب برای اغوا کردن و دستکاری یک هدف برای افشای اطلاعات حساس یا به خطر انداختن موقعیت آنها است. مهاجم از یک فرد جذاب برای فریب قربانی برای افشای اطلاعات شخصی یا ارتکاب جرم استفاده می کند.
Honey trapping نیز یک تاکتیک رایج جاسوسی است که توسط سازمان های اطلاعاتی مختلف در سراسر جهان استفاده شده است. این به آنها کمک می کند تا اطلاعات حساس را از افراد در موقعیت های قدرت استخراج کنند. برخی موارد برجسته از Honey trapping وجود دارد که شامل افراد مرتبط با ارتش نیز می شود.
ترس افزار
Scareware نوعی حمله مهندسی اجتماعی است که در آن مهاجم از ترس برای فریب قربانی برای انجام یک عمل استفاده می کند. این شامل کلیک روی یک پیوند، دانلود بدافزار یا خرید آنلاین چیزی است.
به عنوان مثال، یک مهاجم ممکن است ایمیلی ارسال کند که به نظر می رسد از طرف شرکت قانونی مانند مایکروسافت باشد. سپس به گیرنده هشدار می دهد که رایانه آنها به ویروس آلوده شده است. سپس ایمیل به آنها میگوید که برای دانلود «نرمافزار آنتی ویروس» که در نهایت بدافزار خواهد بود، روی پیوندی کلیک کنند.
در سال 2012، یک حمله ترسناک با هدف هدف قرار دادن کاربران اندروید صورت گرفت. مهاجمان برنامه های آنتی ویروس جعلی ساخته و آنها را به صورت آنلاین تبلیغ می کردند. زمانی که قربانیان برنامهها را نصب میکردند، هشدارهای جعلی ویروس را نشان میدادند و از کاربر میخواستند «نسخه کامل» برنامه را برای حذف بدافزار خریداری کند.
چگونه از خود در برابر مهندسی اجتماعی محافظت کنیم؟
بهترین راه برای محافظت از خود در برابر حملات مهندسی اجتماعی این است که از آنها آگاه باشید تا بتوانید تشخیص دهید که چه زمانی ممکن است اتفاق بیفتد و به آن دچار نشوید.
مجرمان سایبری راه های جدیدی برای حمله به اهداف ارائه می کنند و مهم است که در مورد آخرین تهدیدات به روز باشید.
در اینجا یک چک لیست سریع برای هک نشدن به روش مهندسی اجتماعی مدرن وجود دارد :
- ایمیل ها شامل نام، آدرس و کپی را به دقت بررسی کنید. مراقب ویژگیهای غیرمعمول/ناآشنا باشید که کاملاً درست به نظر نمیرسند.
- مراقب پیوست های غیرمنتظره باشید.
- خطوط موضوع ایمیل فیشینگ رایج را بشناسید (“اقدام فوری لازم است”، “حساب در معرض خطر قرار گرفته است”).
- هویت هر کسی را که شخصاً نمیشناسید کاملا مورد بررسی قرار و تایید کنید.
- در مورد رسانه های اجتماعی بیشتر مراقب باشید.
- هرگز باج نپردازید و باج افزار را به مقامات مربوطه گزارش دهید. همچنین می توانید به پلیس فتا در شهر یا شهرستان خود گزارش دهید.
- همیشه از احراز هویت دو یا چند عاملی (2FA/MFA) استفاده کنید.
چگونه از کسب و کار خود در برابر مهندسی اجتماعی محافظت کنیم ؟
در اینجا نحوه محافظت از مشاغل در برابر حملات مهندسی اجتماعی مدرن آمده است :
- آموزش کارکنان در مورد حملات مهندسی اجتماعی.
- ایجاد و اجرای سیاست های امنیتی قوی.
- حفاظت فنی مانند آنتی ویروس و فایروال ها را نصب کنید.
- فعالیت و گزارش های حسابرسی را پیگیری کنید.
- سیاست های رمز عبور قوی و احراز هویت چند عاملی (MFA) را اجرا کنید.
- با استفاده از اصل حداقل امتیاز، دسترسی به اطلاعات حساس را محدود کنید.
- ردیابی فعالیت کارکنان با SIEM solution
نتیجه گیری
همانطور که حملات مهندسی اجتماعی پیشرفته تر می شوند، ضروری است که از نحوه تلاش هکرها برای هک شما، کسب و کار و خانواده شما آگاه باشید. اکثر حملات مهندسی اجتماعی را می توان شناسایی، کنترل و کاهش داد.
بسیار مهم است که حملات مهندسی اجتماعی را جدی بگیریم. با به کارگیری استراتژی های دفاعی مناسب، می توانیم از خود در برابر انواع حملات مهندسی اجتماعی محافظت کنیم.
به روز بمانید، هوشیار باشید و خود را به یک هدف سخت تبدیل کنید.
امیدواریم این ترفند کاربردی از مجموعه آموزش های هک و امنیت به جهت دانستن مهندسی اجتماعی مدرن – 10 نوع از حملات سایبری مهندسی اجتماعی برای شما عزیزان مفید واقع شده باشد؛ اگر شما نیز روشی برای هک به روش مهندسی اجتماعی در سال 2023 را بلدید میتوانید آن را در بخش کامنت ها مطرح کنید تا با نام شما این مقاله بروزرسانی گردد.