هک و امنیت

مهندسی اجتماعی مدرن – 10 نوع از حملات سایبری مهندسی اجتماعی

بررسی و توضیح حملات سایبری مهندسی اجتماعی در سال 2023

آیا تا به حال ایمیل یا تماس تلفنی مشکوکی از یک شماره ناشناس دریافت کرده اید که درخواست اطلاعات می کند؟ یا روی آن پیوندی کلیک کرده اید که وعده تخفیف می دهد اما در نهایت اطلاعات حساس را وارد کرده باشید؟ به احتمال زیاد شما قربانی یک حمله مهندسی اجتماعی شده اید.

مهندسی اجتماعی یک تکنیک دستکاری است که توسط مهاجمان برای استخراج اطلاعات یا دسترسی از افراد استفاده می شود.

در این مقاله از لرنچی می آموزیم که حملات مهندسی اجتماعی چیست، چگونه کار می کنند و 10 شکل جدید از حملات مهندسی اجتماعی را یاد میگیریم. همچنین یاد خواهیم گرفت که چگونه خود و کسب و کارتان را در برابر چنین حملاتی شناسایی و محافظت کنید.

گزارش بررسی‌ داده‌های Verizon در سال 2018 نشان داد که مهندسی اجتماعی عاملی در 32 درصد از تمام موارد نشت داده‌ها بوده است.

IBM X-Force Threat Index 2019 نشان داد که فیشینگ رایج‌ترین نوع حمله است که بیش از یک سوم حملات را تشکیل می‌دهد.

حملات مهندسی اجتماعی چیست؟

حملات مهندسی اجتماعی

حملات مهندسی اجتماعی دستکاری یا تاکتیک های فریبنده ای هستند که برای کنترل سیستم های رایانه ای، داده ها یا اطلاعات حساس استفاده می شوند.

حملات مهندسی اجتماعی به شدت تکامل یافته است. روش‌های جدید مانند دیپ فیک یک نگرانی فزاینده برای افراد و مشاغل است. مجرمان سایبری اهداف خود را می شناسند و مهندسی اجتماعی برای استفاده از ضعف های انسانی استفاده می شود.

اشتباهات امنیت سایبری مانند این می تواند برای شرکت ها مبالغ هنگفتی هزینه داشته باشد. میانگین هزینه نشت داده های یک شرکت 4.24 میلیون دلار است.

محافظت در برابر مهندسی اجتماعی به یک موضوع مبرم تبدیل شده است و دفاع در برابر این حملات برای جلوگیری از قربانی شدن ضروری است. روش‌های جدید برای بهره‌برداری از روندهای فناوری دائماً توسط مهاجمان سایبری در حال توسعه است که منجر به تکنیک‌های مهندسی اجتماعی کارآمد می‌شود.

حملات مهندسی اجتماعی چگونه انجام می شوند؟

حملات مهندسی اجتماعی می تواند به اشکال مختلف رخ دهد. هنگامی که یک مجرم سایبری به سیستم های امنیتی یا اطلاعات خصوصی شما دسترسی پیدا می کند، آسیب می تواند پرهزینه باشد. حملات مهندسی اجتماعی تهدیدی برای پلتفرم های مختلف از جمله iOS، اندروید و رایانه های شخصی است.

در مهندسی اجتماعی چهار مرحله اصلی وجود دارد.

  • کشف و تحقیق – مهاجم از طریق پلتفرم‌های رسانه‌های اجتماعی، انجمن‌های دارک وب یا سایر منابع عمومی اطلاعات، اطلاعات مربوط به هدف خود را جستجو می‌کند.
  • فریب و قلاب – هنگامی که مهاجم اطلاعات کافی را جمع آوری کرد، سعی می کند با فریب به هدف خود اعتماد کند. آنها این کار را از طریق ایمیل های فیشینگ یا تماس با هدف با استفاده از تکنیک های جعل هویت انجام می دهند.
  • حمله – اگر مهاجم موفق باشد، سپس سعی می کند به سیستم یا اطلاعات خود دسترسی پیدا کند. آنها این کار را از طریق نرم افزارهای مخرب، حدس زدن رمز عبور و روش های دیگر انجام می دهند.
  • عقب نشینی – پس از اینکه مهاجم با موفقیت به سیستم یا اطلاعات هدف دسترسی پیدا کرد، با حذف هرگونه شواهدی از حمله خود شروع به پوشاندن مسیرهای خود می کند.

میانگین زمان شناسایی یک حمله سایبری یا نقض اطلاعات نزدیک به 250 روز است، بنابراین شما حتی نمی‌دانید چه اتفاقی افتاده است.

شاید این مقاله نیز برای شما کاربردی باشد : چگونه هکرها رمز عبور را هک می‌کنند

10 نوع حمله مهندسی اجتماعی مدرن

اکنون که می دانیم حملات مهندسی اجتماعی چیست و چقدر می توانند ویرانگر باشند، اجازه دهید به 10 نوع حمله مهندسی اجتماعی در سال 2023 نگاهی بیندازیم.

فیشینگ

فیشینگ

حملات فیشینگ رایج ترین نوع حملات مهندسی اجتماعی هستند. این شامل ارسال ایمیل های تقلبی به تعدادی از افراد است که به نظر می رسد ایمیل از یک منبع قانونی، مانند یک بانک یا سازمان دولتی است. ایمیل معمولا حاوی لینکی است که به یک وب سایت مخرب منتهی می شود که برای سرقت اطلاعات شخصی طراحی شده است.

در سال 2017، یک حمله ای صورت گرفت که کاربران نتفلیکس را هدف قرار داد. مهاجمان ایمیل هایی را ارسال کردند که به نظر می رسید از طرف نتفلیکس باشد و از گیرندگان درخواست کردند تا اطلاعات پرداخت خود را به روز کنند. اگر این کار را انجام می دادند، به یک وب سایت جعلی هدایت می شدند که اعتبار ورود و شماره کارت اعتباری آنها را به سرقت می برد.

فیشینگ هدف دار

حملات Spear phishing مانند حملات فیشینگ هستند، اما افراد یا سازمان‌های خاصی را هدف قرار می‌دهند. مهاجم ایمیل را با اطلاعات مربوط به هدف خود سفارشی می کند و تشخیص کلاهبرداری را برای آنها دشوار می کند.

برداشت جدید در مورد فیشینگ هدف دار به عنوان فیشینگ ماهیگیر شناخته می شود. این زمانی اتفاق می افتد که کلاهبرداران جعل هویت حساب های خدمات مشتری در رسانه های اجتماعی هستند. هدف آنها دسترسی به اطلاعات ورود به سیستم با وعده کمک است.

Smishing و vishing

Smishing نوعی حمله فیشینگ است که از پیام های متنی استفاده می کند. مهاجم پیامی را ارسال می‌کند که به نظر می‌رسد از یک سازمان قانونی است و از شما می‌خواهد روی پیوندی کلیک کنید یا با یک شماره تلفن تماس بگیرید.

Vishing مانند ضربه زدن است، اما مهاجم از تماس های صوتی به جای پیام های متنی استفاده می کند. آنها ممکن است شناسه تماس گیرنده را جعل کنند، بنابراین به نظر می رسد که از یک منبع قانونی یا حتی یک دوست تماس می گیرند.

در سال 2019، یک کمپین عظیم ویشینگ وجود داشت که مشتریان بانک های بزرگ ایالات متحده را هدف قرار می داد. مهاجمان با قربانیان تماس می گرفتند و وانمود می کردند که از بخش بانک هستند. سپس سعی می کنند از قربانی بخواهند اطلاعات ورود یا شماره کارت اعتباری خود را به آنها بدهد.

Piggybacking/Tailgating

Piggybacking به حمله ای اشاره دارد که در آن مهاجم با دنبال کردن شخصی که دسترسی قانونی دارد به یک منطقه امن دسترسی پیدا می کند.

Tailgating شبیه به piggybacking است، اما مهاجم سعی می‌کند با درخواست نشان یا شناسه شخصی به آن دسترسی پیدا کند. هنگامی که آنها نشان را داشتند، می توانند از آن برای ورود به ساختمان استفاده کنند.

طعمه گذاری – Baiting

طعمه گذاری - Baiting

حملات طعمه گذاری از رسانه های فیزیکی استفاده می کنند. این شامل درایوهای USB یا سی‌دی می‌شود تا قربانیان را به آلوده کردن رایانه‌های خود فریب دهند. مهاجم رسانه آلوده را در یک مکان عمومی رها می کند و منتظر می ماند تا کسی آن را بگیرد و به رایانه خود وصل کند.

در سال 2017، یک حمله طعمه گذاری به کارکنان سرویس بهداشت ملی بریتانیا (NHS) انجام شد. مهاجم در اطراف بیمارستان‌ها و کلینیک‌ها USB هایی به جای گذاشت که به نظر می‌رسید حاوی اطلاعاتی درباره مراقبت از بیمار است. هنگامی که به برق متصل می‌شد، دستگاه‌ها در واقع بدافزاری را نصب می‌کردند که می‌تواند به مهاجم اجازه دسترسی به داده‌های حساس بیمار را بدهد.

حملات سازشنامه الکترونیکی تجارت

سازشنامه ایمیل تجاری (BEC) نوعی حمله مهندسی اجتماعی است که در آن مهاجم به یک حساب ایمیل تجاری دسترسی پیدا می کند و از آن برای ارسال ایمیل های جعلی استفاده می کند.

رایج ترین نوع حمله BEC به عنوان کلاهبرداری فاکتور شناخته می شود. این زمانی است که مهاجم ایمیلی را ارسال می کند که به نظر می رسد از یک فروشنده شناخته شده باشد و از گیرنده می خواهد که فاکتوری را پرداخت کند. پرداخت به جای فروشنده قانونی به حساب مهاجم وارد می شود.

حملات Quid Pro Quo

در حملات Quid pro quo، مهاجم در ازای اطلاعات شخصی یا دسترسی به یک سیستم، چیزی را به قربانی ارائه می دهد.

به عنوان مثال، یک مهاجم ممکن است با فردی تماس بگیرد که وانمود می کند اهل فناوری اطلاعات است. و آنها پیشنهاد می کنند در صورت ارائه اعتبار ورود به سیستم، به عیب یابی مشکلات رایانه خود کمک کنند.

تله های عسل

تله های عسل

اصطلاح “تله عسل” به یک حمله مهندسی اجتماعی اشاره دارد که در آن از یک فرد جذاب برای جذب اهداف استفاده می شود.

تله عسل شامل استفاده از یک فرد جذاب برای اغوا کردن و دستکاری یک هدف برای افشای اطلاعات حساس یا به خطر انداختن موقعیت آنها است. مهاجم از یک فرد جذاب برای فریب قربانی برای افشای اطلاعات شخصی یا ارتکاب جرم استفاده می کند.

Honey trapping نیز یک تاکتیک رایج جاسوسی است که توسط سازمان های اطلاعاتی مختلف در سراسر جهان استفاده شده است. این به آنها کمک می کند تا اطلاعات حساس را از افراد در موقعیت های قدرت استخراج کنند. برخی موارد برجسته از Honey trapping وجود دارد که شامل افراد مرتبط با ارتش نیز می شود.

ترس افزار

ترس افزار

Scareware نوعی حمله مهندسی اجتماعی است که در آن مهاجم از ترس برای فریب قربانی برای انجام یک عمل استفاده می کند. این شامل کلیک روی یک پیوند، دانلود بدافزار یا خرید آنلاین چیزی است.

به عنوان مثال، یک مهاجم ممکن است ایمیلی ارسال کند که به نظر می رسد از طرف شرکت قانونی مانند مایکروسافت باشد. سپس به گیرنده هشدار می دهد که رایانه آنها به ویروس آلوده شده است. سپس ایمیل به آن‌ها میگوید که برای دانلود «نرم‌افزار آنتی ویروس» که در نهایت بدافزار خواهد بود، روی پیوندی کلیک کنند.

در سال 2012، یک حمله ترسناک با هدف هدف قرار دادن کاربران اندروید صورت گرفت. مهاجمان برنامه های آنتی ویروس جعلی ساخته و آنها را به صورت آنلاین تبلیغ می کردند. زمانی که قربانیان برنامه‌ها را نصب می‌کردند، هشدارهای جعلی ویروس را نشان می‌دادند و از کاربر می‌خواستند «نسخه کامل» برنامه را برای حذف بدافزار خریداری کند.

چگونه از خود در برابر مهندسی اجتماعی محافظت کنیم؟

بهترین راه برای محافظت از خود در برابر حملات مهندسی اجتماعی این است که از آنها آگاه باشید تا بتوانید تشخیص دهید که چه زمانی ممکن است اتفاق بیفتد و به آن دچار نشوید.

مجرمان سایبری راه های جدیدی برای حمله به اهداف ارائه می کنند و مهم است که در مورد آخرین تهدیدات به روز باشید.

در اینجا یک چک لیست سریع برای هک نشدن به روش مهندسی اجتماعی مدرن وجود دارد :

  • ایمیل ها شامل نام، آدرس و کپی را به دقت بررسی کنید. مراقب ویژگی‌های غیرمعمول/ناآشنا باشید که کاملاً درست به نظر نمی‌رسند.
  • مراقب پیوست های غیرمنتظره باشید.
  • خطوط موضوع ایمیل فیشینگ رایج را بشناسید (“اقدام فوری لازم است”، “حساب در معرض خطر قرار گرفته است”).
  • هویت هر کسی را که شخصاً نمی‌شناسید کاملا مورد بررسی قرار و تایید کنید.
  • در مورد رسانه های اجتماعی بیشتر مراقب باشید.
  • هرگز باج نپردازید و باج افزار را به مقامات مربوطه گزارش دهید. همچنین می توانید به پلیس فتا در شهر یا شهرستان خود گزارش دهید.
  • همیشه از احراز هویت دو یا چند عاملی (2FA/MFA) استفاده کنید.

چگونه از کسب و کار خود در برابر مهندسی اجتماعی محافظت کنیم ؟

در اینجا نحوه محافظت از مشاغل در برابر حملات مهندسی اجتماعی مدرن آمده است :

  • آموزش کارکنان در مورد حملات مهندسی اجتماعی.
  • ایجاد و اجرای سیاست های امنیتی قوی.
  • حفاظت فنی مانند آنتی ویروس و فایروال ها را نصب کنید.
  • فعالیت و گزارش های حسابرسی را پیگیری کنید.
  • سیاست های رمز عبور قوی و احراز هویت چند عاملی (MFA) را اجرا کنید.
  • با استفاده از اصل حداقل امتیاز، دسترسی به اطلاعات حساس را محدود کنید.
  • ردیابی فعالیت کارکنان با SIEM solution

نتیجه گیری

همانطور که حملات مهندسی اجتماعی پیشرفته تر می شوند، ضروری است که از نحوه تلاش هکرها برای هک شما، کسب و کار و خانواده شما آگاه باشید. اکثر حملات مهندسی اجتماعی را می توان شناسایی، کنترل و کاهش داد.

بسیار مهم است که حملات مهندسی اجتماعی را جدی بگیریم. با به کارگیری استراتژی های دفاعی مناسب، می توانیم از خود در برابر انواع حملات مهندسی اجتماعی محافظت کنیم.

به روز بمانید، هوشیار باشید و خود را به یک هدف سخت تبدیل کنید.

شاید این مقاله نیز برای شما کاربردی باشد : انواع مختلف هکر در دنیا

امیدواریم این ترفند کاربردی از مجموعه آموزش های هک و امنیت به جهت دانستن مهندسی اجتماعی مدرن – 10 نوع از حملات سایبری مهندسی اجتماعی برای شما عزیزان مفید واقع شده باشد؛ اگر شما نیز روشی برای هک به روش مهندسی اجتماعی در سال 2023 را بلدید میتوانید آن را در بخش کامنت ها مطرح کنید تا با نام شما این مقاله بروزرسانی گردد.

برای امتیاز به این نوشته کلیک کنید!
[کل: 1 میانگین: 5]

هاست وردپرس هاست وردپرس

سعید زارعین

سعید هستم 27 ساله، یک عدد تولید محتوا(ئر) خلاق :)))

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

همچنین ببینید
بستن
دکمه بازگشت به بالا