ما کجای زنجیره امنیت سایبری هستیم؟

در مهندسی اجتماعی این ذهن افراد است که هک می‌شود، نه کامپیوتر. در حمله مهندسی اجتماعی، اطلاعاتی را که فرد قصد فاش کردن آن را نداشته، بدون آنکه متوجه شود، دراختیار مهاجم قرار می‌دهد. آرام رضایی در این مطلب می‌گوید که برای مقابله با این نوع حمله‌ها چه باید کرد.

آرام رضایی

مشخصات تصویر مشخصات تصویر

منبع: شاتراستاک

۳۱ فروردین ۱۴۰۳

۴ دقیقه

انسان‌ها ضعیف‌ترین حلقه زنجیره امنیت سایبری هستند و این اساس حمله «مهندسی اجتماعی» است. مهندسی اجتماعی اگرچه اصطلاح نسبتاً مدرنی است، پدیده‌ای است که از دیرباز و زمانی که انسان‌ها با یکدیگر شروع به تعامل کرده‌اند، وجود داشته است. فلسفه مهندسی اجتماعی از این قرار است: تو چیزی داری که من می‌خواهم و من می‌خواهم تو را به هر طریقی قانع کنم آن را به من بدهی یا کاری را که من می‌خواهم انجام دهی، حتی اگر به ضررت تمام شود.

اصطلاح مهندسی اجتماعی توسط کوین میتنیک که خود یکی از معروف‌ترین مهندسان اجتماعی عصر حاضر است (اما دیگر توبه کرده و اکنون به‌عنوان متخصص امنیت سایبری فعالیت می‌کند)، سر زبان‌ها افتاد. مهندسی اجتماعی در دوران مدرن و در حوزه امنیت سایبری، هنر فریب دادن، سواستفاده از نقطه‌ضعف‌ها و تحت تأثیر قرار دادن فرد برای انجام کاری که به ضرر او است یا دسترسی به داده‌های شخصی و حساس در سیستم‌های کامپیوتری است. هکر یا مهندس اجتماعی ازطریق تلفن، پیامک، ایمیل، درایو USB آلوده یا تعامل حضوری و به کمک ترفندهای زیرکانه‌ای موفق می‌شود آنچه را که به دنبالش است، نه به کمک بدافزار و حملات سایبری، بلکه تنها از طریق پرسیدن از فردی که به این اطلاعات دسترسی دارد، به دست آورد.

به همین خاطر است که گفته می‌شود در مهندسی اجتماعی این ذهن افراد است که هک می‌شود، نه کامپیوتر. در حمله مهندسی اجتماعی، اطلاعاتی را که فرد قصد فاش کردن آن را نداشته، بدون آنکه متوجه شود، دراختیار مهاجم قرار می‌دهد یا تحت تأثیر آنچه دستکاری روانشناختی نامیده می‌شود، تشویق یا وادار به انجام کاری می‌شود که از انجام آن پشیمان خواهد شد. به بیان ساده‌تر، انسان‌ها خود نوعی تهدید امنیتی محسوب می‌شوند و به قول هکرها، ضعیف‌ترین و آسیب‌پذیرترین حلقه در زنجیره امنیت سایبری هستند. ما انسان‌ها تقریباً ۸۰ درصد تصمیمات خود را بر پایه احساسات می‌گیریم و از آنجا که منطق سهم بسیار ناچیزی در این تصمیم‌گیری‌ها دارد، می‌توان دلیل موفقیت چشمگیر حملات مهندسی اجتماعی را به خوبی درک کرد.

تعریف مهندسی اجتماعی این‌گونه است:

مهندسی اجتماعی نوعی کلاهبرداری و سوءاستفاده از اطمینان و یا فریب عوامل انسانی به روش هایی فریبکارانه و با کمک علم روانشناسی جهت دسترسی به اطلاعات محرمانه و در مرحله بعد سوءاستفاده از این اطلاعات است. در مهندسی اجتماعی، مهاجم به جای اینکه به سراغ روش‌های سخت و فنی که نیاز به سطح بالای دانش دارد یا غیر ممکن است برود، از تکنیک‌های مهندسی اجتماعی مانند تحقیقات دقیق درباره قربانی، جلب اعتماد، و بهره‌گیری از روابط دوستانه با قربانی‌ها استفاده می‌کند و از طریق این روش، می‌توانند به سیستم‌ها و اطلاعاتی دسترسی پیدا کنند که با روش‌های فنی معمول ممکن نبوده‌است.

مراحل عمده در یک حمله مهندسی اجتماعی

شناسایی و تحقیق (Research):در این مرحله، مهاجم اطلاعات لازم را در مورد هدف خود به دست می‌آورد. این شامل شناخت بهتر از هدف، ساختار سازمانی، کارکنان و هرگونه اطلاعات مورد نیاز برای دستیابی به اهدافش می‌شود. این اطلاعات از منابع مختلفی جمع آوری می‌شوند؛ به عنوان مثال جستجوی سطل زباله، وب‌سایت شرکت، فایل‌ها و اسناد غیر محرمانه، فعالیت‌های فیزیکی و نظایر آن.
جلب اطمینان (Hook):مهاجم سعی می‌کند اعتماد و اطمینان هدف را جلب کند. این ممکن است از طریق تحول به یک نقش معتبر در سازمان، ارائه اطلاعات و تحلیل‌هایی که به نظر می‌آید مفید باشند یا حتی ارائه خدمات به شکلی که به هدف به نظر می‌رسد کمک می‌کند.
دریافت اطلاعات مورد نیاز (Play):در این مرحله، مهاجم اطلاعات حساس یا دسترسی به سیستم‌ها را به دست می‌آورد. این ممکن است از طریق گمانه‌زنی، پرسش‌های فریبنده، ایجاد فشار روانی یا حتی تشویق هدف به انجام اقدامات مشخصی باشد. در این مرحله ارتباط باید آنقدر قوی و صمیمانه شود که مهاجم بتواند در سایه این ارتباط، سوءاستفاده مورد نظر را انجام داده و به اطلاعاتی که اساساً ارتباط برای رسیدن به آن‌ها شکل گرفته بود، برسد. همچنین، این اطلاعات ممکن است برای حملات بعدی استفاده شود، از جمله نفوذ به سیستم‌های کامپیوتری، دزدیدن اطلاعات حساس، یا حتی تغییرات روی رفتار و تصمیم‌گیری‌های فرد هدف.
خارج شدن (Exit):این مرحله آخرین فاز از حمله مهندسی اجتماعی است که مهاجم از صحنه جرم فرار می‌کند و یا ارتباط خود را با قربانی قطع می‌کند. پس از دست‌یابی به هدف مورد نظر، این عمل باید به گونه‌ای انجام پذیرد که شک قربانی را بدنبال نداشته باشد.

انواع تکنیک‌های مهندسی اجتماعی

فریب و تقلب:در این روش، مهندسین اجتماعی با استفاده از ترفندها و فریب‌های مختلف، افراد را متقاعد به ارائه اطلاعات حساس می‌کنند. این می‌تواند شامل جعل به عنوان یک فرد معتبر، جعل به عنوان یک مأمور امنیتی، یا حتی بهره‌گیری از اطلاعات شخصی یافته شده از طریق شبکه‌های اجتماعی باشد.
حملات فیزیکی:در این روش، مهندسین اجتماعی به صورت مستقیم به محیط فیزیکی هدف مراجعه کرده و با استفاده از ابزارهای اجتماعی و فنی موجود، سعی در نفوذ و به دست آوردن اطلاعات دارند.

برای مقابله با این نوع حملات چه کنیم؟

کنترل دسترسی:اعمال محدودیت‌های دسترسی به اماکن حساس و محدود کردن دسترسی‌ها.
نظارت و پایش:استفاده از سیستم‌های نظارت و پایش برای شناسایی فعالیت‌های مشکوک در محیط‌های فیزیکی.

۳. حملات آنلاین:
شامل ارسال ایمیل‌های فریبنده، سوءاستفاده از شبکه‌های اجتماعی و فریب افراد برای ارائه اطلاعات حساس به مهندسین اجتماعی است.

برای مقابله با این نوع حملات چه کنیم؟

فیلترینگ ایمیل:استفاده از سیستم‌های فیلترینگ ایمیل برای تشخیص و مسدود کردن ایمیل‌های فریبنده.
آموزش افراد:آموزش به افراد در مورد شناسایی و جلوگیری از حملات فیشینگ و ایمیل‌های فریبنده.
استفاده از فناوری:اجرای فایروال، ضد ویروس، و سیستم‌های تشخیص نفوذ به عنوان راهکارهای تکنولوژیکی برای مقابله با مهندسی اجتماعی.

در پایان، برای جلوگیری از حملات مهندسی اجتماعی، ضروری است که افراد به طور مداوم آموزش داده شوند تا بتوانند تشخیص دهند که هنگامی که با چنین حملاتی مواجه می‌شوند، چطور عمل کنند. علاوه بر این، ایجاد سیاست‌ها و راهکارهای امنیتی مناسب در سازمان‌ها و استفاده از فن‌آوری‌های امنیتی جدید می‌تواند به شدت کمک کند تا حملات مهندسی اجتماعی به حداقل برسند و آسیبی به سازمان‌ها و افراد وارد نشود. همچنین در صورت مواجهه با چنین حملاتی، اطلاع‌رسانی به دیگر افراد می‌تواند آنان را حساس‌تر کرده و از آسیب‌پذیری آن‌ها جلوگیری کند.