چگونگی حمله هکرها با مهندسی اجتماعی به کاربران؟
هکرها هر روزه با تجمیع دادهها کاربران بیشتری را در معرض حملات اجتماعی قرار میدهند؛ به خصوص این روزها که شماره کارت بانکی، سفرهای دورنشهری و آدرس منزل بسیاری از کاربران نیز لو رفته است.
به گزارش ایران دکونومی، هک پلتفرمها هر روز کاربران را به حملههای مهندسی اجتماعی نزدیکتر میکند. چون هر قدر دادههای هکرها بیشتر شود، دیتاهای آنها کاملتر میشود و هکرها میتوانند تعداد بیشتری از مردم را در حملههای بعدی، مورد سوءاستفاده قرار دهند. تصور کنید یک پیامک دریافت کردهاید که اطلاعات شخصی شما در آن به شکل صحیح درج شده است، شما قاعدتاً اعتماد بیشتری به این پیامکها میکنید و احتمالا روی لینک آن پیامک کلیک میکنید یا کسی پس از تماس با شما و دادن آدرستان درخواست ارسال رمزی که به گوشیتان پیامک شده را میخواهد. اینها نمونههایی از مهندسی اجتماعی است که بنا به نیازهای جامعه و مسائل روز هر جامعه تغییر میکند.
مهندسی اجتماعی چیست؟
علیرضا قهرود، مشاور و مدرس امنیت سایبری میگوید: مهندسی اجتماعی در سادهترین تعریف هنر فریب دادن است، حالا این فریب میتواند برای کاربران معمولی، سازمانی یا شرکتی باشد.
مهندسی اجتماعی یکی از تکنیکهای کاربردی هکرهاست و هر ساله تعداد کلانی از پروندههای کلاهبرداری مربوط به مهندسی اجتماعی است، فیشینگ هم زیر مجموعه مهندسی اجتماعی است. پیامکها یا تماسهایی با مضامینی مثل اینکه در مسابقهای برنده شدهاید، بسته پستی دارید، در سامانه عدل ایران پرونده دارید یا اطلاعات کارتتان را برای سهام عدالت تکمیل کنید، نمونهای از این کلاهبرداریهاست و افراد با یک کلیک روی لینکهای نامعتبر قربانی این ترفندها میشوند.
قهرود ادامه میدهد: در سالهای اخیر چندین ارگان وظیفه امنیت فضای مجازی را به عهده گرفتهاند که در راس آنها شورای عالی مجازی است که تصمیمگیری کلان حوزه فناوری به عهده این سازمان است. سپس دبیرخانه این مجموعه یعنی مرکز ملی فضای مجازی است که سازمان پدافند غیرعامل زیرمجموعه آن شناخته میشود. پدافند غیرعامل متولی امنیت در نهادهای حیاتی مثل سازمان بنادر است که امنیت ملی را تحت شعاع قرار میدهد.
نهاد دوم مرکز راهبردی افتای ریاست جمهوری است که متولی امنیت در بخشهای دولتی مثل بانک مرکزی و بانکهای کشور است.
سازمان سوم مرکز ماهر است که زیرمجموعه سازمان فناوری اطلاعات است که متولی امنیت در بخشهای دولتی است و سازمان چهارم پلیس فتا است که متولی امنیت در بحث استارتاپی و پیشگیری در فضای مجازی است. مسائل فیشینگ به پلیس فتا مرتبط است و وظیفه پلیس فتا این است که محتوای درستی برای تمام افراد جامعه فراهم کند. محتوای درست یعنی حتی افراد بیسواد و کم سواد هم بتوانند متوجه منظور بشوند و طعمه فریبکاران قرار نگیرند.
چه طور قربانی مهندسی اجتماعی نشویم؟
قهرود معتقد است اینترنت مثل یک چاقوی دولبه است و به اندازه بعد مفید و اثرگذارش میتواند افراد را دچار چالشهای جبرانناپذیر کند. او ادامه میدهد: تحریمها کار ما را سخت کرده است و ما در بسیاری مواقع به مراجع قانونی برای دانلود دسترسی نداریم. اما در برخی مواقع نیز ضعف از خودمان است؛ برای مثال کروم و فایرفاکس را که میتوانیم از منابع مستقیم آنها دانلود کنیم. تاکید میکنم کاربران در هیچ لپتاپ یا کامپیوتر عمومی رمزهای شخصی خود را وارد نکنند و به خاطر یک موضوع وسوسه انگیز وارد سایتهای غیر معتبر نشوند. بخشی از این موضوع هم به سازمانها مرتبط است که باید برای دادههای کاربران ارزش بیشتری قائل شوند.
لطفاً وسوسه نشوید
قهرود ضعفهای اجتماعی و نبود اطلاعات را یکی دیگر از عوامل بیشتر شدن قربانیان مهندسی اجتماعی میداند و میافزاید: خبر دستگیری یک سلبریتی یا فیلم شخصی یک نماینده مجلس گاهی باعث میشود با عجله و از روی وسوسه روی یک لینک کلیک کنیم و هکرها به اطلاعات ما دست پیدا کنند. مهندسی اجتماعی در واقع مهندسی ذهن انسانها و دستکاری با آن است.
هر روز با بیشتر شدن هک احتمال حملات مهندسی اجتماعی هم برای ما کاربران عادی و هم سازمانی بیشتر میشود. مهندسی اجتماعی فقط در فضای سایبری نیست ممکن است شما پای تلفن و پیامک و با هزار تکنیک قربانی شوید.
مهندسی اجتماعی بازی با ذهن افراد است
رویا دهبست، مدیرعامل باگدشت هم در این باره میگوید: مهندسی اجتماعی یکی از روشهای حملههای امنیتی است که در آن از نقطه ضعف افراد برای سواستفاده و سرقت دادهها و داراییهای افراد استفاده میشود. حمله مهندسی اجتماعی بنا به سبک زندگی افراد هر جامعه و کشور تغییر میکند.
پایه مهندسی اجتماعی سواستفاده از اعتماد افراد است و هر قدر دانش و تجربه فرد در این زمینه بیشتر باشد تعداد قربانیها کم میشود. بحث آموزش و فرهنگسازی مهمترین نکتهای است که این آسیبها را کاهش میدهد.
در حال حاضر پلیس فتا کارهایی کرده است اما اینها نظاممند نشدهاند. تا زمزمههای بحث واریز سود سهام عدالت پیش میآید کلاهبرداران شروع میکنند و پیامکها و اطلاعرسانیهای تلویزیونی باید در این مدت انجام شود تا تعداد قربانیها کمتر شود. بسیاری از افراد سواد کافی یا حوصله خواندن پیامک ندارند، اما با ساخت ویدیوهایی در این زمینه میتوان تعداد قربانیان را کاهش داد.
مسؤلیت پذیری در برابر دیتا و دادههای کاربران
دهبسته ادامه میدهد: حفاظت از دیتا در ایران به قدر کافی و با حساسیت لازمه نیست، اما خوشبختانه برخی سازمانها برای برند خود احترام بیشتری قائل شدهاند و در این زمینه بهتر عمل کردهاند. سازمانها هم میتوانند در راستای مسئولیت اجتماعی خود ویدیوها و محتواهایی در این زمینه تولید کنند. یکی از کارهایی که مدیران امنیت باید انجام دهند این است که خود را جای هکرها قرار بدهند و نقاط ضعف سازمان خود را بیابند.
مهندسی اجتماعی راحتترین راه برای حمله به کاربران است چون دسترسی به نقاط ضعف انسانها راحتتر از مسائل فنی است. به همین خاطر تمرکز باید روی دانش کارکنان و آگاهی بخشی به مشتریان باشد.
مختصات حملههای مهندسی اجتماعی
فرشید فرحخان، کارشناس امنیت حوزه سایبری هم در این باره میگوید: مهندسی اجتماعی تهدیدی است که میتواند وضعیت، اعتبار، شرایطی و دارایی ما یا سازمانمان را به مخاطره بیندازد. خیلی از مواقع مجرمان سایبری آدمهایی با دانش فنی نیستند، بلکه برای سوءاستفاده از کاربران از روش سنتی و فریبکاریهای عامیانه استفاده میکنند. حملات مهندسی اجتماعی فقط در فضای سایبری نیست و در هر مکانی قابلیت اجرا دارد.
تصور کنید با یک تماس شماره کارت خود را به کلاهبردار میدهید! در واقع اینجا شما قربانی دانش فنی هکر نشدهاید بلکه قربانی ناآگاهی خودتان و سواستفادهگری طرف مقابل شدهاید.
مهندسی اجتماعی چهار مرحله دارد، مرحله آمادهسازی، ایجاد اطمینان در قربانی، متقاعدسازی قربانی و سپس قطع ارتباط کامل با قربانی یعنی هکرها و کلاهبرداران هیچ ردپایی از خود به جای نمیگذارند و اکانت و هر نوع اطلاعات را پس از رسیدن به هدف از همه جا حذف میکنند.
متداولترین حملات مهندسی اجتماعی با هدفهای خاص صورت میگیرد و هکرها مجموعهای از تکنیکها را برای رسیدن به اهداف خود استفاده میکنند.
پاسخی برای حملات مهندسی اجتماعی وجود ندارد اما اطلاعرسانی است و اعتماد نکردن بهترین راه حل است.
سازمانهای متولی باید اطلاعرسانی کنند و آگاهیرسانی باید از مدارس شروع شود همه باید همت کنیم که مهندسی اجتماعی کمتر قربانی بگیرند.
منبع: پیوست