مهندسی اجتماعی (Social Engineering) یک روش مجرمانه است که در آن تلاش میشود تا به طور غیرمستقیم و با استفاده از تاثیرگذاری بر روی عواطف، روانشناسی و رفتار افراد، اطلاعات محرمانه را به دست آورد، دسترسی به سیستمها و منابع محدود را کسب کند یا فعالیتهای غیرقانونی را انجام دهد. در واقع، مهندسی اجتماعی به معنای بهرهبرداری از ضعفها و نقاط ضعف روانی و اجتماعی افراد به منظور دستیابی به اهداف خود است.
روشهای مهندسی اجتماعی شامل تکنیکها و فنون متنوعی است که استفاده از آنها میتواند شامل تهدیدات دروغین، مراحل تست نفوذ (penetration testing) یا هرگونه فعالیت مجرمانهای باشد که به منظور دسترسی به شبکههای سازمانی انجام میشود. این روشها میتوانند شامل تقلید هویت، تکنیکهای مهندسی اجتماعی، استفاده از تکنیکهای جعلی و تلاش برای متقاعد کردن افراد به ارائه اطلاعات محرمانه، کلمات عبور یا دسترسی به سیستمها باشند. اهداف مهندسی اجتماعی میتواند شامل دستیابی به اطلاعات حساس، سرقت هویت، دسترسی غیرمجاز به سیستمها و شبکهها، به دست آوردن رمزهای عبور، انجام تقلب مالی یا بهرهبرداری از اعتماد و هویت افراد باشد.
برای مقابله با مهندسی اجتماعی، آگاهی و آموزش افراد درباره روشها و تکنیکهای مهندسی اجتماعی بسیار مهم است. همچنین، اعمال سیاستها و فرآیندهای امنیتی، استفاده از سیستمهای شناسایی و پیشگیری از تهدیدات امنیتی نیز میتواند مؤثر باشد.
مهندسی اجتماعی از کجا شروع شد؟
مهندسی اجتماعی به عنوان یک روش برای تاثیرگذاری بر رفتار افراد و دستیابی به اطلاعات محرمانه، ریشه تاریجی دارد و تاریخچه آن به قبل از ظهور رایانهها میرسد. در واقع، این روش بر اساس بهرهبرداری از ضعفها و نقاط ضعف انسانی به منظور دستیابی به اهداف مدنظر افراد مورد استفاده قرار میگرفتند.
به عنوان مثال، مهندسی اجتماعی در قرن نوزدهم و قرن بیستم، در حوزه امنیت فیزیکی به کار گرفته میشد. افراد با استفاده از ترفندها و تکنیکهای روانشناختی، سعی میکردند به ساختمانها نفوذ کنند که به طور عادی دسترسی به آنها امکانپذیر نبو.د. در این موارد، مهندسی اجتماعی به معنای تاثیرگذاری بر روی افراد از طریق نشان داده خود به عنوان یک فرد مهم، دروغگویی یا تزویر هویت برای عبور از سیستمهای امنیتی بود.
با پیشرفت فناوری و گسترش رایانهها و اینترنت، مهندسی اجتماعی به طور گستردهتر در فضای سایبری نیز به کار گرفته شد. هکرها و نفوذگران با استفاده از روشهای مهندسی اجتماعی، سعی میکنند از طریق فریب و تقلب افراد، اطلاعات حساس را بدست آورند، به سیستمها و شبکههای کامپیوتری نفوذ کنند و فعالیتهای مخرب انجام دهند.
به همین دلیل، مهندسی اجتماعی امروزه به عنوان یک تهدید جدی در حوزه امنیت سایبری شناخته میشود و تقریبا در هر صنعت و سازمانی که از فناوری استفاده میکند، رخدادهای مربوط به مهندسی اجتماعی ممکن است رخ دهد.
مهندسی اجتماعی در زیرمجموعه چه علمی قرار میگیرد؟
مهندسی اجتماعی در زیرمجموعه چه علمی قرار میگیرد؟مهندسی اجتماعی در واقع یک زیرشاخه از علوم اجتماعی محسوب میشود. این حوزه علمی در تلاش است تا با استفاده از دانش اجتماعی، روانشناسی اجتماعی و تحلیل رفتار انسانی، به درک عملکرد اجتماعی افراد و گروهها بپردازد. هدف اصلی مهندسی اجتماعی، درک و تحلیل رفتار اجتماعی افراد و بهرهگیری از آن در طراحی سیستمها، فرآیندها و راهبردهایی است که بتواند رفتار و تصمیمگیری افراد را تحت تأثیر قرار دهد.
با توجه به ماهیت ترکیبی علوم اجتماعی، روانشناسی و فناوری اطلاعات، مهندسی اجتماعی پیوندی بین علوم انسانی و فناوری محسوب میشود. این علم به طور گسترده در حوزههای امنیت اطلاعات، امنیت سایبری، مدیریت ریسک، طراحی رابط کاربری و همچنین در سازمانها و سیستمهای اجتماعی کاربرد دارد.
روشهای مهندسی اجتماعی چگونه میتوانند در حملات تست نفوذ مورد استفاده قرار بگیرند؟
روشهای مهندسی اجتماعی در حملات تست نفوذ به عنوان یک ابزار مؤثر برای نفوذ به سیستمها و شبکهها استفاده میشوند. این روشها به طور خلاصه بر اساس تقلب و تاثیرگذاری بر رفتار انسانی، تلاش میکنند تا اطلاعات حساس را به دست آورده و دسترسی غیرمجاز به منابع را فراهم کنند. در زیر تعدادی از روشهای مهندسی اجتماعی که در حملات تست نفوذ مورد استفاده قرار میگیرند را بررسی میکنیم:
فریب و فریبکاری (Phishing): در این روش، حملهکننده با استفاده از ایمیلها، پیامکها یا صفحات وب جعلی، سعی میکند به طور مشابه با یک سازمان یا خدمات معروف، افراد را فریب دهد و اطلاعات حساس مانند نام کاربری و رمز عبور را دریافت کند.
سوء استفاده تلفنی (Vishing): در این روش، حملهکننده با تماس تلفنی با قربانی، تلاش میکند خود را یکی از کارمندان سازمان نشان دهد که از یک تلفن معتبر تماس گرفته و نیازمند اطلاعات است.
روش دوست یا دشمن مشترک (Friend or Foe): در این روش، حملهکننده با تعامل و برقراری رابطه با افراد درون یک سازمان یا شبکه، سعی میکند اعتماد و همکاری آنها را جلب کند و سپس درخواستهای خود را برای دسترسی به منابع محدود یا اطلاعات حساس از آنها مطرح کند.
جعل هویت (Impersonation): در این روش، حملهکننده به نمایندگی از یک شخصیت یا سازمان مورد اعتماد، سعی میکند افراد را فریب دهد و اطلاعات حساس را به دست آورد. به طور مثال، با استفاده از ساخت یک اکانت ایمیل جعلی منتصب به مدیر عامل یک سازمان سعی میکند از کارمندان بخش مالی اطلاعاتی در ارتباط با میزان فروش یا شماره حسابها به دست آورد.
جمعآوری اطلاعات (Information Gathering): در این روش، حملهکننده با استفاده از منابع عمومی و اطلاعات در دسترس، اطلاعاتی درباره هدف خود (مانند شرکت، سازمان یاشخص) جمعآوری میکند. این دادهها میتوانند شامل اطلاعات افراد، ساختار سازمانی، نقاط ضعف امنیتی و غیره باشند. این اطلاعات به حملهکننده کمک میکنند تا در مراحل بعدی حمله بهتر برنامهریزی کند.
مهندسی اجتماعی در حملات تست نفوذ به عنوان یک روش مؤثر برای به دست آوردن دسترسی غیرمجاز و اطلاعات حساس استفاده میشود. با توجه به اینکه مهندسی اجتماعی بر روی عوامل انسانی تمرکز دارد و ضعفها و آسیبپذیریهای انسانی را بهرهبرداری میکند، آگاهی و آموزش افراد درباره روشهای مهندسی اجتماعی و رفتارهای مورد توجه در برابر آنها میتواند بهبود قابل توجهی در امنیت سازمانها و سیستمها به همراه داشته باشد.
اساس کار مهندسان اجتماعی چیست؟
مهندسی اجتماعی فرایندی است که در آن حملهکنندگان سعی میکنند به طور غیرمجاز به اطلاعات حساس و محرمانه دسترسی پیدا کنند یا افراد را به اقداماتی ناخواسته تحریک کنند. این روش، بر خلاف روشهای سنتی نفوذ به سیستمها که معمولا از طریق شکافها و ضعفهای فنی بهره میبرند، بر روی انسان و عوامل اجتماعی تمرکز دارد.
مهندسان اجتماعی با استفاده از تکنیکها و روشهای مختلف، سعی در فریب و تحت فشار قرار دادن افراد دارند تا به اطلاعات محرمانه دسترسی پیدا کنند یا اقداماتی را انجام دهند که به ضرر فرد یا سازمان مورد نظر است. این تکنیکها ممکن است شامل موارد زیر باشند:
فریب: مهندسان اجتماعی اغلب با استفاده از شخصیتپردازی و تیترهای جذاب، سعی میکنند فرد را به اعمالی نادرست تشویق کنند. به طور مثال، با ارسال ایمیلهای جعلی از نام یک سازمان معتبر، درخواست ارائه اطلاعات حساب بانکی یا رمز عبور را میکنند.
تهدید و فشار: مهندسان اجتماعی ممکن است از تهدید، ترس و فشار برای متقاعد کردن فرد به انجام اقدامات خاص استفاده کنند. به طور مثال، با تهدید انتشار اطلاعات شخصی، فرد را مجبور به ارائه اطلاعات حساس میکنند.
ایجاد اعتماد غیرمجاز: مهندسان اجتماعی ممکن است با شناختن جزئیاتی از فرد یا سازمان، اعتماد او را جلب کنند و در نتیجه به اطلاعات محرمانه دسترسی پیدا کنند. به طور مثال، با استفاده از تماس تلفنی در نقش یک کارمند داخلی سازمان، اعتماد فرد را جلب کرده و اطلاعات محرمانه را دریافت میکنند.
جمعآوری اطلاعات: مهندسان اجتماعی ممکن است از روشهای جمعآوری اطلاعات متنوع مانند تحقیقات آنلاین، مطالعه پروفایلهای شبکههای اجتماعی، بررسی زبالهها و مستندات موجود برای دستیابی به اهداف خود از ترکیب مهارتهای فنی و دانش روانشناختی استفاده میکنند. آنها معمولا تحقیقات جامعی درباره هدف خود انجام میدهند، از جمله مطالعه رفتارها، عادات، ترجیحات و الگوهای رفتاری فرد یا سازمانی که قصد دستیابی به آن را دارند. سپس، با استفاده از اطلاعات به دست آمده، تکنیکهای اجتماعی و روانشناختی را به کار میبرند تا فرد را متقاعد کنند تا اقدامات مورد نظر را انجام دهد یا اطلاعات حساس را فاش کند.
اهداف مهندسان اجتماعی میتواند متنوع باشد، از جمله دسترسی غیرمجاز به سیستمها و شبکههای کامپیوتری، سرقت هویت، دستیابی به اطلاعات مالی یا حساس، و یا تحت تأثیر قرار دادن افراد برای کسب منافع شخصی یا سیاسی.
از آنجایی که مهندسی اجتماعی بر روی عوامل انسانی تمرکز دارد و در بسیاری از موارد با استفاده از فریب و تلاش برای ایجاد اعتماد غیرمجاز عمل میکند، آگاهی و آموزش درباره تهدیدات امنیتی و تکنیکهای مهندسی اجتماعی میتواند به شناسایی و پیشگیری از این نوع حملات کمک کند.
فرایند حمله مهندسان اجتماعی چگونه است؟
فرایند حمله مهندسان اجتماعی ممکن است به شکل زیر انجام شود:
جمعآوری اطلاعات: مهندسان اجتماعی در ابتدا اطلاعات لازم را درباره فرد یا سازمان هدف جمعآوری میکنند. این موضوع شامل مطالعه پروفایلهای شبکههای اجتماعی، تحقیقات آنلاین، بررسی زبالهها و مستندات، مصاحبه با افراد مرتبط و کسب اطلاعات روانشناختی است. هدف این مرحله، به دست آوردن اطلاعاتی است که در مراحل بعدی برای فریب و تحت فشار قرار دادن فرد مورد نظر مورد استفاده قرار میگیرد.
برقراری رابطه: مهندسان اجتماعی برای برقراری ارتباط با فرد هدف از روشهای مختلفی استفاده میکنند. این روشها شامل تماس تلفنی، ارسال ایمیل، ارسال پیامک یا استفاده از رسانههای اجتماعی است. آنها معمولا با استفاده از تیترها و جملات جذاب، تلاش میکنند اعتماد فرد را جلب کنند و در راستای اهداف خود حرکت کنند.
فشار و ترغیب: مهندسان اجتماعی برای به دست آوردن اطلاعات حساس یا تحریک فرد به اقدامات ناخواسته از تهدید و فشار استفاده میکنند. آنها ممکن است با تهدید انتشار اطلاعات شخصی، فرد را مجبور به ارائه اطلاعات محرمانه کنند یا تلاش کنند تا با ایجاد ترس و نگرانی، فرد را به اقدامات مورد نظر تحریک کنند.
بهرهبرداری از ضعفها و اشتباهات: مهندسان اجتماعی ممکن است با بررسی ضعفها و اشتباهات در رفتار و روند کاری فرد یا سازمان، از آنها بهره ببرند. آنها میتوانند با استفاده از این ضعفها و اشتباهات، اطلاعات محرمانه را سرقت کنند یا اقدامات خاصی را انجام دهند.
استفاده از تکنیکهای روانشناختی: مهندسان اجتماعی از تکنیکهای روانشناختی برای متقاعد کردن فرد به انجام اقدامات خاص استفاده میکنند. این تکنیکها شامل استفاده از ترس، دعوت به مهمانیها، پیشنهادهای مالی و غیره است.
استفاده از فناوری: مهندسان اجتماعی در برخی موارد ممکن است از تکنیکهای فنی و فناوری برای حمله استفاده کنند. این موضوع شامل ارسال ایمیلهای فیشینگ (Phishing)، ایجاد صفحات وب تقلبی، استفاده از برنامههای مخرب (مانند نرمافزارهای جاسوسی یا بدافزارها) و سایر روشهای مشابه است.
دسترسی به هدف: پس از به دست آوردن اطلاعات مورد نیاز یا محرک کافی، مهندسان اجتماعی سعی میکنند به هدف نفوذ کنند. این موضوع میتواند شامل دسترسی به سیستمهای کامپیوتری، حسابهای آنلاین، شبکههای اجتماعی یا سایر منابع مرتبط باشد.
استفاده و غربالگری اطلاعات: پس از دسترسی به هدف، مهندسان اجتماعی از اطلاعات به دست آمده بهرهبرداری میکنند. آنها ممکن است اطلاعات محرمانه را دزدیده و استفاده کنند، اطلاعات را تغییر دهند یا آنها را برای اهداف خود غربالگری کنند.
نکته مهمی که باید به آن توجه کنید این است که حملات مهندسی اجتماعی بسیار پیچیده و متنوع هستند و روشهایی که در بالا ذکر شده، تنها چند مثال از آنها هستند. همچنین، آگاهی و محافظت از اطلاعات شخصی و آموزش درباره روشهای مهندسی اجتماعی میتواند به شما کمک کند تا از خودتان در برابر این نوع حملات محافظت کنید.
انواع روشهای مهندسی اجتماعی
روشهای مهندسی اجتماعی متنوع هستند و به توانایی مهندسان اجتماعی در فریب و تحت فشار قرار دادن افراد و سازمانها بستگی دارد. در زیر به برخی از روشهای مهندسی اجتماعی پرکاربرد اشاره میکنم:
فیشینگ (Phishing): در این روش، مهندسان اجتماعی با ارسال ایمیلها، پیامکها یا پیامهای ناخواسته با هدف جلب توجه فرد، اطلاعات شخصی و حساس از جمله رمز عبور، اطلاعات بانکی یا اطلاعات کاربری را جمعآوری میکنند. این ایمیلها معمولا به ظاهر شکل رسمی دارند و از طرف سازمانها یا خدمات آنلاین برای قربانی ارسال میشوند و فرد را به مشارکت تشویق میکنند.
مهندسی اجتماعی (Social Engineering): در این روش، مهندسان اجتماعی از رویکردهای اجتماعی برای تحت فشار قرار دادن افراد استفاده میکنند. آنها ممکن است با تلاش برای ایجاد اعتماد، دوستی یا رابطه حرفهای با فرد هدف، اطلاعات محرمانه را دریافت کنند یا اقدامات خاصی را از فرد تحریک کنند.
تماس تلفنی (Vishing): در این روش، مهندسان اجتماعی با تماس تلفنی با هدف، تلاش میکنند او را متقاعد کنند که اطلاعات شخصی، مالی یا حساب کاربری خود را ارائه دهد. آنها ممکن است به عنوان نمایندگان بانک، شرکتهای خدمات مالی یا سازمانهای دولتی خود را معرفی کنند.
تروجان اجتماعی (Social Trojan): در این روش، مهندسان اجتماعی با استفاده از برنامهها و فایلهای مخرب، فرد را تشویق میکنند تا آنها را دانلود و نصب کند. این برنامهها معمولا به عنوان نرمافزارهای مفید یا مورد نیاز به نظر میرسند، اما در واقع، اطلاعات شخصی را جمعآوری و برای هکرها ارسال میکنند.
تهدید و فشار: مهندسان اجتماعی ممکن است با تهدید انتشار اطلاعات شخصی یا حرفهای مهم شوند یا با ایجاد فشار و ترس، افراد را مجبور به انجام اقدامات خاصی کنند. این موضوع میتواند شامل تهدید به افشای اطلاعات حساس، تهدید به آسیب رساندن به شخص یا همکارانش، یا تهدید به خرابکاری سیستمها و شبکههای مورد استفاده فرد هدف باشد.
موارد یاد شده تنها چند نمونه از روشهای مهندسی اجتماعی هستند. مهندسان اجتماعی همواره روشهای جدیدی را برای تحت فشار قرار دادن افراد و سازمانها پیدا میکنند. برای مقابله با این نوع حملات، آگاهی و آموزش در مورد روشهای مهندسی اجتماعی بسیار مهم است.
روشهای مقابله با مهندسی اجتماعی
برای مقابله با مهندسی اجتماعی، روشها و اقدامات زیر میتوانند مفید باشند:
آموزش و آگاهی: آموزش کارکنان و کاربران درباره روشهای مهندسی اجتماعی، شناسایی نشانهها و رفتارهای مشکوک میتواند بسیار مؤثر باشد. افراد باید در مورد حملات مهندسی اجتماعی آگاه شوند و در صورت شک و تردید، به تیم امنیت سازمان گزارش دهند.
استفاده از فناوری: پیادهسازی فناوریهای امنیتی مانند فیلترینگ ایمیل، عدم ورود به سایتهای جعلی و استفاده از راهکارهای رمزنگاری و دسترسی محدود میتواند در کاهش اثرات مهندسی اجتماعی مؤثر باشد.
ارتقاء سیاستها و راهکارهای امنیتی: سازمانها باید سیاستها و راهکارهای امنیتی قوی را پیادهسازی کنند. این موضوع شامل استفاده از پسوردهای قوی و تغییر دورهای آنها، اعتبارسنجی دو عاملی (2FA)، مدیریت دسترسی، رمزنگاری اطلاعات حساس و مانیتورینگ فعالیتهای ناشناس است.
ارزیابی امنیتی و آزمون نفوذ: انجام بررسیهای امنیتی منظم و آزمون نفوذ در سازمان میتواند به شناسایی ضعفها و نقاط ضعف امنیتی کمک کند. با شناسایی نقاط ضعف موجود در سیستمها و فرآیندهای امنیتی، میتوان اقدام به تقویت این نقاط نمود و از آسیبپذیریها در برابر حملات مهندسی اجتماعی پیشگیری کرد.
افزایش آگاهی در مورد اطلاعات عمومی: سازمانها و افراد باید اطلاعات عمومی درباره خود را محدود نگه دارند. اطلاعاتی مانند اطلاعات تماس، جزئیات شغلی، وضعیت اجتماعی و غیره میتوانند توسط حملهکنندگان برای پیادهسازی فرایندهای مهندسی اجتماعی مورد استفاده قرار گیرند
ارتباط مستقیم و اعتمادسازی: در صورت بروز شک و تردید درباره هویت یک کاربر، مهم است که ارتباط مستقیم با شخص مورد نظر زیرنظر قرار بگیرد. برای اطمینان حاصل کردن از اعتبار هویت یک فرد، میتوانید از روشهای اعتمادسازی مانند تماس تلفنی مستقیم، استفاده از آدرس ایمیل رسمی و موارد مشابه استفاده کنید.
مراقبت از اطلاعات شخصی: بهتر است از اشتراک گذاری اطلاعات شخصی در شبکههای اجتماعی و سایر پلتفرمهای آنلاین پرهیز کنید. اطلاعات شخصی مانند تاریخ تولد، شغل، محل زندگی و اطلاعات مالی میتوانند توسط حملهکنندگان به منظور مهندسی اجتماعی به کار گرفته شوند.
آگاهی از روشهای حمله: با شناخت روشهای مهندسی اجتماعی رایج مانند پیامک جذاب، پیامهای ایمیل جعلی، تماسهای تلفنی تقلبی و غیره، میتوانید از خود در برابر این نوع حملات محافظت کنید. همچنین، به روز بودن در مورد مهمترین روشهای حمله و الگوهای جدید اهمیت دارد.
تحلیل و بررسی حملات گذشته: بررسی حملات مهندسی اجتماعی گذشته و شناسایی الگوها و موارد مشابه میتواند به شما کمک کند تا از تکنیکهای استفاده شده توسط حملهکنندگان آگاه شوید و اقدامات پیشگیرانه مناسب را اتخاذ کنید.
استفاده از نرمافزارهای امنیتی: استفاده از نرمافزارهای ضد ویروس، فایروال و آنتیاسپم میتواند به شما در تشخیص و جلوگیری از حملات مهندسی اجتماعی کمک کند.
مهمترین نکته این است که در مقابله با مهندسی اجتماعی باید همواره مطلع و آگاه باشید، برنامههای امنیتی قوی را پیادهسازی کنید و با هوشیاری و دقت بیشتری تعاملات آنلاین و آفلاین را انجام دهید.
