مهندسی اجتماعی، تکنیک های مهندسی اجتماعی چیست؟

مهندسی اجتماعی چیست
Category: مقالات Tags: Post Date: 18 شهریور 1402

مهندسی اجتماعی (Social Engineering) یک روش مجرمانه است که در آن تلاش می‌شود تا به طور غیرمستقیم و با استفاده از تاثیرگذاری بر روی عواطف، روان‌شناسی و رفتار افراد، اطلاعات محرمانه را به دست آورد، دسترسی به سیستم‌ها و منابع محدود را کسب کند یا فعالیت‌های غیرقانونی را انجام دهد. در واقع، مهندسی اجتماعی به معنای بهره‌برداری از ضعف‌ها و نقاط ضعف روانی و اجتماعی افراد به منظور دستیابی به اهداف خود است.

روش‌های مهندسی اجتماعی شامل تکنیک‌ها و فنون متنوعی است که استفاده از آن‌ها می‌تواند شامل تهدیدات دروغین، مراحل تست نفوذ (penetration testing) یا هرگونه فعالیت مجرمانه‌ای باشد که به منظور دسترسی به شبکه‌های سازمانی انجام می‌شود. این روش‌ها می‌توانند شامل تقلید هویت، تکنیک‌های مهندسی اجتماعی، استفاده از تکنیک‌های جعلی و تلاش برای متقاعد کردن افراد به ارائه اطلاعات محرمانه، کلمات عبور یا دسترسی به سیستم‌ها باشند. اهداف مهندسی اجتماعی می‌تواند شامل دستیابی به اطلاعات حساس، سرقت هویت، دسترسی غیرمجاز به سیستم‌ها و شبکه‌ها، به دست آوردن رمزهای عبور، انجام تقلب مالی یا بهره‌برداری از اعتماد و هویت افراد باشد.

برای مقابله با مهندسی اجتماعی، آگاهی و آموزش افراد درباره روش‌ها و تکنیک‌های مهندسی اجتماعی بسیار مهم است. همچنین، اعمال سیاست‌ها و فرآیندهای امنیتی، استفاده از سیستم‌های شناسایی و پیشگیری از تهدیدات امنیتی نیز می‌تواند مؤثر باشد.

مهندسی اجتماعی از کجا شروع شد؟

مهندسی اجتماعی به عنوان یک روش برای تاثیرگذاری بر رفتار افراد و دستیابی به اطلاعات محرمانه، ریشه تاریجی دارد و تاریخچه‌ آن به قبل  از ظهور رایانه‌ها می‌رسد. در واقع، این روش بر اساس بهره‌برداری از ضعف‌ها و نقاط ضعف انسانی به منظور دستیابی به اهداف مدنظر افراد مورد استفاده قرار می‌گرفتند.

به عنوان مثال، مهندسی اجتماعی در قرن نوزدهم و قرن بیستم، در حوزه امنیت فیزیکی به کار گرفته می‌شد. افراد با استفاده از ترفندها و تکنیک‌های روان‌شناختی، سعی می‌کردند به ساختمان‌ها نفوذ کنند که به طور عادی دسترسی به آن‌ها امکان‌پذیر نبو.د. در این موارد، مهندسی اجتماعی به معنای تاثیرگذاری بر روی افراد از طریق نشان داده خود به عنوان یک فرد مهم، دروغ‌گویی یا تزویر هویت برای عبور از سیستم‌های امنیتی بود.

با پیشرفت فناوری و گسترش رایانه‌ها و اینترنت، مهندسی اجتماعی به طور گسترده‌تر در فضای سایبری نیز به کار گرفته شد. هکرها و نفوذگران با استفاده از روش‌های مهندسی اجتماعی، سعی می‌کنند از طریق فریب و تقلب افراد، اطلاعات حساس را بدست آورند، به سیستم‌ها و شبکه‌های کامپیوتری نفوذ کنند و فعالیت‌های مخرب انجام دهند.

به همین دلیل، مهندسی اجتماعی امروزه به عنوان یک تهدید جدی در حوزه امنیت سایبری شناخته می‌شود و تقریبا در هر صنعت و سازمانی که از فناوری استفاده می‌کند، رخدادهای مربوط به مهندسی اجتماعی ممکن است رخ دهد.

روش‌های مهندسی اجتماعیمهندسی اجتماعی در زیرمجموعه چه علمی قرار می‌گیرد؟

مهندسی اجتماعی در واقع یک زیرشاخه از علوم اجتماعی محسوب می‌شود. این حوزه علمی در تلاش است تا با استفاده از دانش اجتماعی، روانشناسی اجتماعی و تحلیل رفتار انسانی، به درک عملکرد اجتماعی افراد و گروه‌ها بپردازد. هدف اصلی مهندسی اجتماعی، درک و تحلیل رفتار اجتماعی افراد و بهره‌گیری از آن در طراحی سیستم‌ها، فرآیندها و راهبردهایی است که بتواند رفتار و تصمیم‌گیری افراد را تحت تأثیر قرار دهد.

با توجه به ماهیت ترکیبی علوم اجتماعی، روانشناسی و فناوری اطلاعات، مهندسی اجتماعی پیوندی بین علوم انسانی و فناوری محسوب می‌شود. این علم به طور گسترده در حوزه‌های امنیت اطلاعات، امنیت سایبری، مدیریت ریسک، طراحی رابط کاربری و همچنین در سازمان‌ها و سیستم‌های اجتماعی کاربرد دارد.

تکنیک های مهندسی اجتماعی چگونه می‌توانند در حملات تست نفوذ مورد استفاده قرار بگیرند؟

روش‌های مهندسی اجتماعی در حملات تست نفوذ به عنوان یک ابزار مؤثر برای نفوذ به سیستم‌ها و شبکه‌ها استفاده می‌شوند. این روش‌ها به طور خلاصه بر اساس تقلب و تاثیرگذاری بر رفتار انسانی، تلاش می‌کنند تا اطلاعات حساس را به دست آورده و دسترسی غیرمجاز به منابع را فراهم کنند. در زیر تعدادی از روش‌های مهندسی اجتماعی که در حملات تست نفوذ مورد استفاده قرار می‌گیرند را بررسی می‌کنیم:

فریب و فریبکاری (Phishing): در این روش، حمله‌کننده با استفاده از ایمیل‌ها، پیامک‌ها یا صفحات وب جعلی، سعی می‌کند به طور مشابه با یک سازمان یا خدمات معروف، افراد را فریب دهد و اطلاعات حساس مانند نام کاربری و رمز عبور را دریافت کند.

سوء استفاده تلفنی (Vishing): در این روش، حمله‌کننده با تماس تلفنی با قربانی، تلاش می‌کند خود را یکی از کارمندان سازمان نشان دهد که از یک تلفن معتبر تماس گرفته و نیازمند اطلاعات است.

روش دوست یا دشمن مشترک (Friend or Foe): در این روش، حمله‌کننده با تعامل و برقراری رابطه با افراد درون یک سازمان یا شبکه، سعی می‌کند اعتماد و همکاری آن‌ها را جلب کند و سپس درخواست‌های خود را برای دسترسی به منابع محدود یا اطلاعات حساس از آن‌ها مطرح کند.

جعل هویت (Impersonation): در این روش، حمله‌کننده به نمایندگی از یک شخصیت یا سازمان مورد اعتماد، سعی می‌کند افراد را فریب دهد و اطلاعات حساس را به دست آورد. به طور مثال، با استفاده از ساخت یک اکانت ایمیل جعلی منتصب به مدیر عامل یک سازمان سعی می‌کند از کارمندان بخش مالی اطلاعاتی در ارتباط با میزان فروش یا شماره حساب‌ها به دست آورد.

جمع‌آوری اطلاعات (Information Gathering): در این روش، حمله‌کننده با استفاده از منابع عمومی و اطلاعات در دسترس، اطلاعاتی درباره هدف خود (مانند شرکت، سازمان یاشخص) جمع‌آوری می‌کند. این داده‌ها می‌توانند شامل اطلاعات افراد، ساختار سازمانی، نقاط ضعف امنیتی و غیره باشند. این اطلاعات به حمله‌کننده کمک می‌کنند تا در مراحل بعدی حمله بهتر برنامه‌ریزی کند.

مهندسی اجتماعی در حملات تست نفوذ به عنوان یک روش مؤثر برای به دست آوردن دسترسی غیرمجاز و اطلاعات حساس استفاده می‌شود. با توجه به اینکه مهندسی اجتماعی بر روی عوامل انسانی تمرکز دارد و ضعف‌ها و آسیب‌پذیری‌های انسانی را بهره‌برداری می‌کند، آگاهی و آموزش افراد درباره روش‌های مهندسی اجتماعی و رفتارهای مورد توجه در برابر آنها می‌تواند بهبود قابل توجهی در امنیت سازمان‌ها و سیستم‌ها به همراه داشته باشد.

اساس کار مهندسان اجتماعی چیست؟

مهندسی اجتماعی فرایندی است که در آن حمله‌کنندگان سعی می‌کنند به طور غیرمجاز به اطلاعات حساس و محرمانه دسترسی پیدا کنند یا افراد را به اقداماتی ناخواسته تحریک کنند. این روش، بر خلاف روش‌های سنتی نفوذ به سیستم‌ها که معمولا از طریق شکاف‌ها و ضعف‌های فنی بهره می‌برند، بر روی انسان و عوامل اجتماعی تمرکز دارد.

مهندسان اجتماعی با استفاده از تکنیک‌ها و روش‌های مختلف، سعی در فریب و تحت فشار قرار دادن افراد دارند تا به اطلاعات محرمانه دسترسی پیدا کنند یا اقداماتی را انجام دهند که به ضرر فرد یا سازمان مورد نظر است. این تکنیک‌ها ممکن است شامل موارد زیر باشند:

فریب: مهندسان اجتماعی اغلب با استفاده از شخصیت‌پردازی و تیترهای جذاب، سعی می‌کنند فرد را به اعمالی نادرست تشویق کنند. به طور مثال، با ارسال ایمیل‌های جعلی از نام یک سازمان معتبر، درخواست ارائه اطلاعات حساب بانکی یا رمز عبور را می‌کنند.

تهدید و فشار: مهندسان اجتماعی ممکن است از تهدید، ترس و فشار برای متقاعد کردن فرد به انجام اقدامات خاص استفاده کنند. به طور مثال، با تهدید انتشار اطلاعات شخصی، فرد را مجبور به ارائه اطلاعات حساس می‌کنند.

ایجاد اعتماد غیرمجاز: مهندسان اجتماعی ممکن است با شناختن جزئیاتی از فرد یا سازمان، اعتماد او را جلب کنند و در نتیجه به اطلاعات محرمانه دسترسی پیدا کنند. به طور مثال، با استفاده از تماس تلفنی در نقش یک کارمند داخلی سازمان، اعتماد فرد را جلب کرده و اطلاعات محرمانه را دریافت می‌کنند.

جمع‌آوری اطلاعات: مهندسان اجتماعی ممکن است از روش‌های جمع‌آوری اطلاعات متنوع مانند تحقیقات آنلاین، مطالعه پروفایل‌های شبکه‌های اجتماعی، بررسی زباله‌ها و مستندات موجود برای دستیابی به اهداف خود از ترکیب مهارت‌های فنی و دانش روانشناختی استفاده می‌کنند. آن‌ها معمولا تحقیقات جامعی درباره هدف خود انجام می‌دهند، از جمله مطالعه رفتارها، عادات، ترجیحات و الگوهای رفتاری فرد یا سازمانی که قصد دستیابی به آن را دارند. سپس، با استفاده از اطلاعات به دست آمده، تکنیک‌های اجتماعی و روانشناختی را به کار می‌برند تا فرد را متقاعد کنند تا اقدامات مورد نظر را انجام دهد یا اطلاعات حساس را فاش کند.

اهداف مهندسان اجتماعی می‌تواند متنوع باشد، از جمله دسترسی غیرمجاز به سیستم‌ها و شبکه‌های کامپیوتری، سرقت هویت، دستیابی به اطلاعات مالی یا حساس، و یا تحت تأثیر قرار دادن افراد برای کسب منافع شخصی یا سیاسی.

از آنجایی که مهندسی اجتماعی بر روی عوامل انسانی تمرکز دارد و در بسیاری از موارد با استفاده از فریب و تلاش برای ایجاد اعتماد غیرمجاز عمل می‌کند، آگاهی و آموزش درباره تهدیدات امنیتی و تکنیک‌های مهندسی اجتماعی می‌تواند به شناسایی و پیشگیری از این نوع حملات کمک کند.

فرایند حمله مهندسان اجتماعی چگونه است؟

فرایند حمله مهندسان اجتماعی ممکن است به شکل زیر انجام شود:

جمع‌آوری اطلاعات: مهندسان اجتماعی در ابتدا اطلاعات لازم را درباره فرد یا سازمان هدف جمع‌آوری می‌کنند. این موضوع شامل مطالعه پروفایل‌های شبکه‌های اجتماعی، تحقیقات آنلاین، بررسی زباله‌ها و مستندات، مصاحبه با افراد مرتبط و کسب اطلاعات روان‌شناختی است. هدف این مرحله، به دست آوردن اطلاعاتی است که در مراحل بعدی برای فریب و تحت فشار قرار دادن فرد مورد نظر مورد استفاده قرار می‌گیرد.

برقراری رابطه: مهندسان اجتماعی برای برقراری ارتباط با فرد هدف از روش‌های مختلفی استفاده می‌کنند. این روش‌ها شامل تماس تلفنی، ارسال ایمیل، ارسال پیامک یا استفاده از رسانه‌های اجتماعی است. آن‌ها معمولا با استفاده از تیترها و جملات جذاب، تلاش می‌کنند اعتماد فرد را جلب کنند و در راستای اهداف خود حرکت کنند.

فشار و ترغیب: مهندسان اجتماعی برای به دست آوردن اطلاعات حساس یا تحریک فرد به اقدامات ناخواسته از تهدید و فشار استفاده می‌کنند. آن‌ها ممکن است با تهدید انتشار اطلاعات شخصی، فرد را مجبور به ارائه اطلاعات محرمانه کنند یا تلاش کنند تا با ایجاد ترس و نگرانی، فرد را به اقدامات مورد نظر تحریک کنند.

بهره‌برداری از ضعف‌ها و اشتباهات: مهندسان اجتماعی ممکن است با بررسی ضعف‌ها و اشتباهات در رفتار و روند کاری فرد یا سازمان، از آن‌ها بهره ببرند. آن‌ها می‌توانند با استفاده از این ضعف‌ها و اشتباهات، اطلاعات محرمانه را سرقت کنند یا اقدامات خاصی را انجام دهند.

استفاده از تکنیک‌های روانشناختی: مهندسان اجتماعی از تکنیک‌های روانشناختی برای متقاعد کردن فرد به انجام اقدامات خاص استفاده می‌کنند. این تکنیک‌ها شامل استفاده از ترس، دعوت به مهمانی‌ها، پیشنهادهای مالی و غیره است.

استفاده از فناوری: مهندسان اجتماعی در برخی موارد ممکن است از تکنیک‌های فنی و فناوری برای حمله استفاده کنند. این موضوع شامل ارسال ایمیل‌های فیشینگ (Phishing)، ایجاد صفحات وب تقلبی، استفاده از برنامه‌های مخرب (مانند نرم‌افزارهای جاسوسی یا بدافزارها) و سایر روش‌های مشابه است.

دسترسی به هدف: پس از به دست آوردن اطلاعات مورد نیاز یا محرک کافی، مهندسان اجتماعی سعی می‌کنند به هدف نفوذ کنند. این موضوع می‌تواند شامل دسترسی به سیستم‌های کامپیوتری، حساب‌های آنلاین، شبکه‌های اجتماعی یا سایر منابع مرتبط باشد.

استفاده و غربالگری اطلاعات: پس از دسترسی به هدف، مهندسان اجتماعی از اطلاعات به دست آمده بهره‌برداری می‌کنند. آن‌ها ممکن است اطلاعات محرمانه را دزدیده و استفاده کنند، اطلاعات را تغییر دهند یا آن‌ها را برای اهداف خود غربالگری کنند.

نکته مهمی که باید به آن توجه کنید این است که حملات مهندسی اجتماعی بسیار پیچیده و متنوع هستند و روش‌هایی که در بالا ذکر شده، تنها چند مثال از آن‌ها هستند. همچنین، آگاهی و محافظت از اطلاعات شخصی و آموزش درباره روش‌های مهندسی اجتماعی می‌تواند به شما کمک کند تا از خودتان در برابر این نوع حملات محافظت کنید.

انواع تکنیک های مهندسی اجتماعی 

روش‌های مهندسی اجتماعی متنوع هستند و به توانایی مهندسان اجتماعی در فریب و تحت فشار قرار دادن افراد و سازمان‌ها بستگی دارد. در زیر به برخی از روش‌های مهندسی اجتماعی پرکاربرد اشاره می‌کنم:

فیشینگ (Phishing): در این روش، مهندسان اجتماعی با ارسال ایمیل‌ها، پیامک‌ها یا پیام‌های ناخواسته با هدف جلب توجه فرد، اطلاعات شخصی و حساس از جمله رمز عبور، اطلاعات بانکی یا اطلاعات کاربری را جمع‌آوری می‌کنند. این ایمیل‌ها معمولا به ظاهر شکل رسمی دارند و از طرف سازمان‌ها یا خدمات آنلاین برای قربانی ارسال می‌شوند و فرد را به مشارکت تشویق می‌کنند.

مهندسی اجتماعی (Social Engineering): در این روش، مهندسان اجتماعی از رویکردهای اجتماعی برای تحت فشار قرار دادن افراد استفاده می‌کنند. آن‌ها ممکن است با تلاش برای ایجاد اعتماد، دوستی یا رابطه حرفه‌ای با فرد هدف، اطلاعات محرمانه را دریافت کنند یا اقدامات خاصی را از فرد تحریک کنند.

تماس تلفنی (Vishing): در این روش، مهندسان اجتماعی با تماس تلفنی با هدف، تلاش می‌کنند او را متقاعد کنند که اطلاعات شخصی، مالی یا حساب کاربری خود را ارائه دهد. آن‌ها ممکن است به عنوان نمایندگان بانک، شرکت‌های خدمات مالی یا سازمان‌های دولتی خود را معرفی کنند.

تروجان اجتماعی (Social Trojan): در این روش، مهندسان اجتماعی با استفاده از برنامه‌ها و فایل‌های مخرب، فرد را تشویق می‌کنند تا آن‌ها را دانلود و نصب کند. این برنامه‌ها معمولا به عنوان نرم‌افزارهای مفید یا مورد نیاز به نظر می‌رسند، اما در واقع، اطلاعات شخصی را جمع‌آوری و برای هکرها ارسال می‌کنند.

تهدید و فشار: مهندسان اجتماعی ممکن است با تهدید انتشار اطلاعات شخصی یا حرفه‌ای مهم شوند یا با ایجاد فشار و ترس، افراد را مجبور به انجام اقدامات خاصی کنند. این موضوع می‌تواند شامل تهدید به افشای اطلاعات حساس، تهدید به آسیب رساندن به شخص یا همکارانش، یا تهدید به خرابکاری سیستم‌ها و شبکه‌های مورد استفاده فرد هدف باشد.

موارد یاد شده تنها چند نمونه از روش‌های مهندسی اجتماعی هستند. مهندسان اجتماعی همواره روش‌های جدیدی را برای تحت فشار قرار دادن افراد و سازمان‌ها پیدا می‌کنند. برای مقابله با این نوع حملات، آگاهی و آموزش در مورد روش‌های مهندسی اجتماعی بسیار مهم است.

روش‌های مقابله با مهندسی اجتماعی 

روش های مقابله با مهندسی اجتماعیبرای مقابله با مهندسی اجتماعی، روش‌ها و اقدامات زیر می‌توانند مفید باشند:

آموزش و آگاهی: آموزش کارکنان و کاربران درباره روش‌های مهندسی اجتماعی، شناسایی نشانه‌ها و رفتارهای مشکوک می‌تواند بسیار مؤثر باشد. افراد باید در مورد حملات مهندسی اجتماعی آگاه شوند و در صورت شک و تردید، به تیم امنیت سازمان گزارش دهند.

استفاده از فناوری: پیاده‌سازی فناوری‌های امنیتی مانند فیلترینگ ایمیل، عدم ورود به سایت‌های جعلی و استفاده از راهکارهای رمزنگاری و دسترسی محدود می‌تواند در کاهش اثرات مهندسی اجتماعی مؤثر باشد.

ارتقاء سیاست‌ها و راهکارهای امنیتی: سازمان‌ها باید سیاست‌ها و راهکارهای امنیتی قوی را پیاده‌سازی کنند. این موضوع شامل استفاده از پسوردهای قوی و تغییر دوره‌ای آن‌ها، اعتبارسنجی دو عاملی (2FA)، مدیریت دسترسی، رمزنگاری اطلاعات حساس و مانیتورینگ فعالیت‌های ناشناس است.

ارزیابی امنیتی و آزمون نفوذ: انجام بررسی‌های امنیتی منظم و آزمون نفوذ در سازمان می‌تواند به شناسایی ضعف‌ها و نقاط ضعف امنیتی کمک کند. با شناسایی نقاط ضعف موجود در سیستم‌ها و فرآیندهای امنیتی، می‌توان اقدام به تقویت این نقاط نمود و از آسیب‌پذیری‌ها در برابر حملات مهندسی اجتماعی پیشگیری کرد.

افزایش آگاهی در مورد اطلاعات عمومی: سازمان‌ها و افراد باید اطلاعات عمومی درباره خود را محدود نگه دارند. اطلاعاتی مانند اطلاعات تماس، جزئیات شغلی، وضعیت اجتماعی و غیره می‌توانند توسط حمله‌کنندگان برای پیاده‌سازی فرایندهای مهندسی اجتماعی مورد استفاده قرار گیرند

ارتباط مستقیم و اعتمادسازی: در صورت بروز شک و تردید درباره هویت یک کاربر، مهم است که ارتباط مستقیم با شخص مورد نظر زیرنظر قرار بگیرد. برای اطمینان حاصل کردن از اعتبار هویت یک فرد، می‌توانید از روش‌های اعتمادسازی مانند تماس تلفنی مستقیم، استفاده از آدرس ایمیل رسمی و موارد مشابه استفاده کنید.

مراقبت از اطلاعات شخصی: بهتر است از اشتراک گذاری اطلاعات شخصی در شبکه‌های اجتماعی و سایر پلتفرم‌های آنلاین پرهیز کنید. اطلاعات شخصی مانند تاریخ تولد، شغل، محل زندگی و اطلاعات مالی می‌توانند توسط حمله‌کنندگان به منظور مهندسی اجتماعی به کار گرفته شوند.

آگاهی از روش‌های حمله: با شناخت روش‌های مهندسی اجتماعی رایج مانند پیامک جذاب، پیام‌های ایمیل جعلی، تماس‌های تلفنی تقلبی و غیره، می‌توانید از خود در برابر این نوع حملات محافظت کنید. همچنین، به روز بودن در مورد مهم‌ترین روش‌های حمله و الگوهای جدید اهمیت دارد.

تحلیل و بررسی حملات گذشته: بررسی حملات مهندسی اجتماعی گذشته و شناسایی الگوها و موارد مشابه می‌تواند به شما کمک کند تا از تکنیک‌های استفاده شده توسط حمله‌کنندگان آگاه شوید و اقدامات پیشگیرانه مناسب را اتخاذ کنید.

استفاده از نرم‌افزارهای امنیتی: استفاده از نرم‌افزارهای ضد ویروس، فایروال و آنتی‌اسپم می‌تواند به شما در تشخیص و جلوگیری از حملات مهندسی اجتماعی کمک کند.

مهم‌ترین نکته این است که در مقابله با مهندسی اجتماعی باید همواره مطلع و آگاه باشید، برنامه‌های امنیتی قوی را پیاده‌سازی کنید و با هوشیاری و دقت بیشتری تعاملات آنلاین و آفلاین را انجام دهید.

مطالب مرتبط

تفاوت بین آنتی ویروس و فایروال

تفاوت بین آنتی ویروس و فایروال

9 بهمن 1400 | مقالات

آنتی ویروس و فایروال به نرم افزارهای امنیتی معروف هستند. فایروال یک... Read More

siem چیست

آشنایی کامل با SIEM از دوره تکامل تا معرفی بهترین ابزارهای SIEM

27 مرداد 1403 | مقالات |

توضیح مختصری درباره SIEM (Security Information and Event Management) SIEM یک راه‌حل نرم‌افزاری... Read More

حفظ کارایی فایروال

حفظ کارایی فایروال با 5 روش

26 بهمن 1401 | مقالات |

آیا از فایروال (Firewall) سازمان خود ناراضی هستید؟ شما تنها نیستید. بسیاری از... Read More