هکرها چطور با مهندسی اجتماعی به کاربران حمله می‌کنند؟ بازی با اطلاعات لورفته

 هک‌های پی‌در‌پی پلتفرم‌ها و انتشار اطلاعات و داده‌های افراد، هر روز هکرها را برای مهندسی اجتماعی (فریب دادن و بازی با ذهن افراد) آماده‌تر کرده است. هکرها هر روزه با تجمیع داده‌ها کاربران بیشتری را در معرض حملات اجتماعی قرار می‌دهند به خصوص این روزها که شماره کارت بانکی، سفرهای دورن‌شهری و آدرس منزل بسیاری از کاربران نیز لو رفته است. کلاهبرداران با تماس تلفنی و پیامک و دادن اطلاعات صحیح کاربران، راحت‌تر آنها را طعمه هدف‌های بعدی خود قرار می‌دهند. تماس به منظور دریافت اطلاعات برای واریز سود سهام عدالت و ارسال بسته‌های جایزه نمونه‌ای از مهندسی اجتماعی هستند. در واقع ساده‌ترین راه برای اینکه یکی از قربانیان حملات مهندسی اجتماعی هکرها نباشید این است که به سادگی وسوسه نشوید و به همه چیز شک کنید!

به گزارش پیوست، هک پلتفرم‌هاهر روز کاربران را به حمله‌های مهندسی اجتماعی نزدیک‌‌تر می‌کند. چون هر قدر داده‌‌های هکرها بیشتر شود، دیتاهای آنها کامل‌تر می‌شود و هکرها می‌توانند تعداد بیشتری از مردم را در حمله‌های بعدی، مورد سوءاستفاده قرار دهند. تصور کنید یک پیامک دریافت کرده‌اید که اطلاعات شخصی شما در آن به شکل صحیح درج شده است، شما قاعدتاً اعتماد بیشتری به این پیامک‌ها می‌کنید و احتمالاً روی لینک آن پیامک کلیک می‌کنید یا کسی پس از تماس با شما و دادن آدرس‌تان ارسال رمزی که به گوشی‌تان پیامک شده را درخواست می‌کند. اینها نمونه‌‌هایی از مهندسی اجتماعی است که بنا بر نیازهای جامعه و مسائل روز هر جامعه تغییر می‌کند.

مهندسی اجتماعی چیست؟

علیرضا قهرود مشاور و مدرس امنیت سایبری می‌گوید: مهندسی اجتماعی در ساده‌‌ترین تعریف هنر فریب دادن است، حالا این فریب می‌تواند برای کاربران معمولی، سازمانی یا شرکتی باشد.

مهندسی اجتماعی یکی از تکنیک‌های کاربردی هکرهاست و هرساله تعداد کلانی از پرونده‌های کلاهبرداری مربوط به مهندسی اجتماعی است، فیشینگ هم زیر مجموعه مهندسی اجتماعی است. پیامک‌ها یا تماس‌هایی با مضامینی مثل اینکه در مسابقه‌ای برنده شده‌اید، بسته پستی دارید، در سامانه عدل ایران پرونده دارید یا اطلاعات کارت‌تان را برای سهام عدالت تکمیل کنید، نمونه‌ای از این کلاهبرداری‌هاست و افراد با یک کلیک روی لینک‌های نامعتبر قربانی این ترفندها می‌شوند.

پیامک‌های فیشینگ نمونه‌ای از مهندسی اجتماعی است

قهرود ادامه می‌دهد: در سال‌های اخیر چندین ارگان وظیفه امنیت فضای مجازی را بر عهده گرفته‌اند که در رأس آنها شورای عالی مجازی است که تصمیم‌گیری کلان حوزه فناوری بر عهده این سازمان است. سپس دبیرخانه این مجموعه یعنی مرکز ملی فضای مجازی است که سازمان پدافند غیرعامل زیرمجموعه آن شناخته می‌شود. پدافند غیرعامل متولی امنیت در نهادهای حیاتی مثل سازمان بنادر است که امنیت ملی را تحت‌الشعاع قرار می‌دهد.
نهاد دوم مرکز راهبردی افتای ریاست جمهوری است که متولی امنیت در بخش‌های دولتی مثل بانک مرکزی و بانک‌های کشور است.
سازمان سوم مرکز ماهر است که زیرمجموعه سازمان فناوری اطلاعات او متولی امنیت در بخش‌های دولتی است و سازمان چهارم پلیس فتا است که متولی امنیت در بحث استارت‌آپی و پیشگیری در فضای مجازی است. مسائل فیشینگ به پلیس فتا مرتبط است و وظیفه پلیس فتا این است که محتوای درستی برای تمام افراد جامعه فراهم کند. محتوای درست یعنی حتی افراد بی‌سواد و کم‌سواد هم بتوانند متوجه منظور بشوند و طعمه فریبکاران قرار نگیرند.

چطور قربانی مهندسی اجتماعی نشویم؟

قهرود معتقد است اینترنت مثل یک چاقوی دولبه است و به اندازه بعد مفید و اثرگذارش می‌تواند افراد را دچار چالش‌های جبران‌ناپذیر کند. تحریم‌ها کار ما را سخت کرده است و ما در بسیاری مواقع به مراجع قانونی برای دانلود دسترسی نداریم. اما در برخی جاها نیز ضعف از خودمان است. برای مثال کروم و فایرفاکس را که می‌توانیم از منابع مستقیم‌شان دانلود کنیم. تاکید می‌کنم کاربران در هیچ لپ‌تاپ یا کامپیوتر عمومی‌ای رمزهای شخصی خود را وارد نکنند و به خاطر یک موضوع وسوسه‌انگیز وارد سایت‌های غیرمعتبر نشوند. بخشی از این موضوع هم به سازمان‌‌ها مرتبط است که باید برای داده‌های کاربران ارزش بیشتری قائل شوند.

لطفاً وسوسه نشوید

قهرود ضعف‌های اجتماعی و نبود اطلاعات را یکی دیگر از عوامل بیشتر شدن قربانیان مهندسی اجتماعی می‌داند و می‌افزاید: خبر دستگیری یک سلبریتی یا فیلم شخصی یک نماینده مجلس گاهی باعث می‌شود با عجله و از سر وسوسه روی یک لینک کلیک کنیم و هکرها به اطلاعات ما دست پیدا کنند. مهندسی اجتماعی در واقع مهندسی ذهن انسان‌ها و دستکاری با آن است.

او ادامه می‌دهد: هر روز با بیشتر شدن هک احتمال حملات مهندسی اجتماعی هم برای ما کاربران عادی و هم سازمانی بیشتر می‌شود. مهندسی اجتماعی فقط در فضای سایبری اتفاق نمی‌افتد، ممکن است شما پای تلفن و پیامک و با هزار تکنیک قربانی شوید.

مهندسی اجتماعی بازی با ذهن افراد است

رویا دهبسته مدیرعامل باگدشت هم در این باره می‌گوید: مهندسی اجتماعی یکی از روش‌های حمله‌های امنیتی است که در آن از نقطه‌ضعف افراد برای سوءاستفاده و سرقت داده‌ها و دارایی‌های آنها استفاده می‌شود. حمله مهندسی اجتماعی بنا بر سبک زندگی افراد هر جامعه و کشور تغییر می‌کند. پایه مهندسی اجتماعی سوءاستفاده از اعتماد افراد است و هر قدر دانش و تجربه فرد در این زمینه بیشتر باشد تعداد قربانی‌ها کم می‌شود. بحث آموزش و فرهنگ‌سازی مهم‌ترین نکته‌ای است که این آسیب‌ها را کاهش می‌دهد.

او ادامه می‌دهد: در حال حاضر پلیس فتا کارهایی کرده است اما اینها نظام‌مند نشده‌اند. تا زمزمه‌های بحث واریز سود سهام عدالت پیش می‌آید کلاهبرداران شروع می‌کنند و پیامک‌ها و اطلاع‌رسانی‌های تلویزیونی باید در این مدت انجام شود تا تعداد قربانی‌ها کمتر شود. بسیاری از افراد سواد کافی یا حوصله خواندن پیامک ندارند اما با ساخت ویدئوهایی در این زمینه می‌توان تعداد قربانیان را کاهش داد.

مسئولیت‌پذیری در برابر دیتا و داده‌های کاربران

دهبسته توضیح می‌دهد: حفاظت از دیتا در ایران به قدر کافی و با حساسیت لازم انجام نمی‌شود اما خوشبختانه برخی از سازمان‌‌ها برای برند خود احترام بیشتری قائل شده‌اند و در این زمینه بهتر عمل کرده‌اند. سازمان‌ها هم می‌توانند در راستای مسئولیت اجتماعی خود ویدئوها و محتواهایی در این زمینه تولید کنند. یکی از کارهایی که مدیران امنیت باید انجام دهند این است که خودشان را جای هکرها قرار بدهند و نقاط ضعف سازمان خود را بیابند. مهندسی اجتماعی راحت‌ترین راه برای حمله به کاربران است چون دسترسی به نقاط ضعف انسان‌ها راحت‌تر از مسائل فنی است. به همین خاطر تمرکز باید روی دانش کارکنان و آگاهی‌بخشی به مشتریان باشد.

مختصات حمله‌های مهندسی اجتماعی

فرشید فرح‌خان کارشناس امنیت حوزه سایبری نیز در این باره می‌گوید: مهندسی اجتماعی تهدیدی است که می‌تواند وضعیت، اعتبار، شرایطی و دارایی ما یا سازمان‌مان را به مخاطره بیندازد. خیلی از مواقع مجرمان سایبری آدم‌هایی با دانش فنی نیستند بلکه برای سوءاستفاده از کاربران از روش سنتی و فریب‌کاری‌های عامیانه استفاده می‌کنند. حملات مهندسی اجتماعی فقط در فضای سایبری نیست و در هر مکانی قابلیت اجرا دارد.

او ادامه می‌دهد: تصور کنید با یک تماس شماره کارت خود را به کلاهبردار می‌دهید! در واقع اینجا شما قربانی دانش فنی هکر نشده‌اید بلکه قربانی ناآگاهی خودتان و سوءاستفاده‌گری طرف مقابل شده‌اید. مهندسی اجتماعی چهار مرحله دارد: مرحله آماده‌سازی، ایجاد اطمینان در قربانی، متقاعدسازی قربانی و سپس قطع ارتباط کامل با قربانی؛ یعنی هکرها و کلاهبرداران هیچ ردپایی از خود به جای نمی‌گذارند و اکانت و هر نوع اطلاعات را پس از رسیدن به هدف از همه جا حذف می‌کنند.

فرح‌خان در پایان توضیح می‌دهد: متداول‌ترین حملات مهندسی اجتماعی با هدف‌های خاص صورت می‌گیرد و هکرها مجموعه‌ای از تکنیک‌ها را برای رسیدن به اهداف خود استفاده می‌کنند.
پاسخی برای حملات مهندسی اجتماعی وجود ندارد اما اطلاع‌رسانی و اعتماد نکردن بهترین راه‌حل است. سازمان‌های متولی باید اطلاع‌رسانی کنند و آگاهی‌رسانی باید از مدارس شروع شود. همه باید همت کنیم که مهندسی اجتماعی کمتر قربانی بگیرد.