هکرها چطور با مهندسی اجتماعی به کاربران حمله می‌کنند؟ بازی با اطلاعات لورفته

به گزارش پیوست، هک پلتفرم‌ها هر روز کاربران را به حمله‌های مهندسی اجتماعی نزدیک‌‌تر می‌کند. چون هر قدر داده‌‌های هکرها بیشتر شود، دیتاهای آنها کامل‌تر می‌شود و هکرها می‌توانند تعداد بیشتری از مردم را در حمله‌های بعدی، مورد سوءاستفاده قرار دهند. تصور کنید یک پیامک دریافت کرده‌اید که اطلاعات شخصی شما در آن به شکل صحیح درج شده است، شما قاعدتاً اعتماد بیشتری به این پیامک‌ها می‌کنید و احتمالاً روی لینک آن پیامک کلیک می‌کنید یا کسی پس از تماس با شما و دادن آدرس‌تان ارسال رمزی که به گوشی‌تان پیامک شده را درخواست می‌کند. اینها نمونه‌‌هایی از مهندسی اجتماعی است که بنا بر نیازهای جامعه و مسائل روز هر جامعه تغییر می‌کند.

مهندسی اجتماعی چیست؟

علیرضا قهرود مشاور و مدرس امنیت سایبری می‌گوید: مهندسی اجتماعی در ساده‌‌ترین تعریف هنر فریب دادن است، حالا این فریب می‌تواند برای کاربران معمولی، سازمانی یا شرکتی باشد.

مهندسی اجتماعی یکی از تکنیک‌های کاربردی هکرهاست و هرساله تعداد کلانی از پرونده‌های کلاهبرداری مربوط به مهندسی اجتماعی است، فیشینگ هم زیر مجموعه مهندسی اجتماعی است. پیامک‌ها یا تماس‌هایی با مضامینی مثل اینکه در مسابقه‌ای برنده شده‌اید، بسته پستی دارید، در سامانه عدل ایران پرونده دارید یا اطلاعات کارت‌تان را برای سهام عدالت تکمیل کنید، نمونه‌ای از این کلاهبرداری‌هاست و افراد با یک کلیک روی لینک‌های نامعتبر قربانی این ترفندها می‌شوند.

پیامک‌های فیشینگ نمونه‌ای از مهندسی اجتماعی است

قهرود ادامه می‌دهد: در سال‌های اخیر چندین ارگان وظیفه امنیت فضای مجازی را بر عهده گرفته‌اند که در رأس آنها شورای عالی مجازی است که تصمیم‌گیری کلان حوزه فناورانه و اینترنت بر عهده این سازمان است. سپس زیر مجموعه آن یعنی مرکز ملی فضای مجازی است.
در چارت متولیان امنیت ۴ سازمان رسمی نقش پر رنگی دارند،نهاد اول سازمان پدافند غیرعامل، متولی امنیت در نهادهای حیاتی مثل سازمان بنادر است که امنیت ملی را تحت‌الشعاع قرار می‌دهد.نهاد دوم مرکز راهبردی افتای ریاست جمهوری است که متولی امنیت در بخش‌های دولتی با درجه حساس مثل بانک مرکزی و بانک‌های کشور است.

نهاد سوم مرکز ماهر است که زیرمجموعه سازمان فناوری اطلاعات و متولی امنیت در بخش‌های دولتی است و نهاد چهارم پلیس فتا است که متولی امنیت در شرکت‌های استارت‌آپی، پیشگیری و احراز جرم در فضای مجازی است. وظیفه نهادها و دستگاهی مرتبط طبق مصوبات شورای عالی مجازی  این است که محتوای برخط و مناسبی برای تمام افراد جامعه فراهم کنند.محتوای استاندارد جهانی متناسب با نیاز جامعه روز کشور نیست و باید سفارشی سازی شود. محتوای سفارشی سازی شده یعنی حتی افراد بی‌سواد و کم‌سواد هم بتوانند متوجه منظور بشوند و طعمه فریبکاران قرار نگیرند.

چطور قربانی مهندسی اجتماعی نشویم؟

قهرود معتقد است اینترنت مثل یک چاقوی دولبه است و به اندازه بعد مفید و اثرگذارش می‌تواند افراد را دچار چالش‌های جبران‌ناپذیر کند. او می‌گوید: تحریم‌ها کار ما را سخت کرده است و ما در بسیاری مواقع به مراجع قانونی برای دانلود دسترسی نداریم. اما در برخی جاها نیز ضعف از خودمان است. برای مثال مرورگر کروم و فایرفاکس را که می‌توانیم از منابع اصلی دانلود کنیم، اما این فرآیند را انجام نمی دهیم و از هر منبع در دسترسی اقدام به دانلود می‌کنیم. تاکید می‌کنم کاربران در هیچ لپ‌تاپ یا کامپیوتر عمومی‌ پسوردهای شخصی خود را وارد نکنند و به خاطر یک موضوع وسوسه‌انگیز وارد وب سایت‌های غیرمعتبر نشوند. بخشی از این موضوع هم به سازمان‌‌ها مرتبط است که باید برای داده‌های کاربران ارزش بیشتری قائل  شوند و از همه مهمتر تصویب قانونی همچون GDPR برای صیانت از اطلاعات کاربران، مشتریان سازمان ها و بخش خصوصی است که امیدواریم زودتر این موضوع نهایی شود.

لطفاً وسوسه نشوید

قهرود ضعف‌های اجتماعی و نبود اطلاعات را یکی دیگر از عوامل بیشتر شدن قربانیان مهندسی اجتماعی می‌داند و می‌افزاید: خبر دستگیری یک سلبریتی یا فیلم شخصی یک نماینده مجلس گاهی باعث می‌شود با عجله و از سر وسوسه روی یک لینک کلیک کنیم و هکرها به اطلاعات ما دست پیدا کنند. مهندسی اجتماعی در واقع مهندسی ذهن انسان‌ها و دستکاری با آن است.

او ادامه می‌دهد: هر روز با بیشتر شدن هک احتمال حملات مهندسی اجتماعی هم برای ما کاربران عادی و هم سازمانی بیشتر می‌شود. مهندسی اجتماعی فقط در فضای سایبری اتفاق نمی‌افتد، ممکن است شما پای تلفن و پیامک و با هزار تکنیک قربانی شوید.

مهندسی اجتماعی بازی با ذهن افراد است

رویا دهبسته مدیرعامل باگدشت هم در این باره می‌گوید: مهندسی اجتماعی یکی از روش‌های حمله‌های امنیتی است که در آن از نقطه‌ضعف افراد برای سوءاستفاده و سرقت داده‌ها و دارایی‌های آنها استفاده می‌شود. حمله مهندسی اجتماعی بنا بر سبک زندگی افراد هر جامعه و کشور تغییر می‌کند. پایه مهندسی اجتماعی سوءاستفاده از اعتماد افراد است و هر قدر دانش و تجربه فرد در این زمینه بیشتر باشد تعداد قربانی‌ها کم می‌شود. بحث آموزش و فرهنگ‌سازی مهم‌ترین نکته‌ای است که این آسیب‌ها را کاهش می‌دهد.

او ادامه می‌دهد: در حال حاضر پلیس فتا کارهایی کرده است اما اینها نظام‌مند نشده‌اند. تا زمزمه‌های بحث واریز سود سهام عدالت پیش می‌آید کلاهبرداران شروع می‌کنند و پیامک‌ها و اطلاع‌رسانی‌های تلویزیونی باید در این مدت انجام شود تا تعداد قربانی‌ها کمتر شود. بسیاری از افراد سواد کافی یا حوصله خواندن پیامک ندارند اما با ساخت ویدئوهایی در این زمینه می‌توان تعداد قربانیان را کاهش داد.

مسئولیت‌پذیری در برابر دیتا و داده‌های کاربران

دهبسته توضیح می‌دهد: حفاظت از دیتا در ایران به قدر کافی و با حساسیت لازم انجام نمی‌شود اما خوشبختانه برخی از سازمان‌‌ها برای برند خود احترام بیشتری قائل شده‌اند و در این زمینه بهتر عمل کرده‌اند. سازمان‌ها هم می‌توانند در راستای مسئولیت اجتماعی خود ویدئوها و محتواهایی در این زمینه تولید کنند. یکی از کارهایی که مدیران امنیت باید انجام دهند این است که خودشان را جای هکرها قرار بدهند و نقاط ضعف سازمان خود را بیابند. مهندسی اجتماعی راحت‌ترین راه برای حمله به کاربران است چون دسترسی به نقاط ضعف انسان‌ها راحت‌تر از مسائل فنی است. به همین خاطر تمرکز باید روی دانش کارکنان و آگاهی‌بخشی به مشتریان باشد.

مختصات حمله‌های مهندسی اجتماعی

فرشید فرح‌خان کارشناس امنیت حوزه سایبری نیز در این باره می‌گوید: مهندسی اجتماعی تهدیدی است که می‌تواند وضعیت، اعتبار، شرایطی و دارایی ما یا سازمان‌مان را به مخاطره بیندازد. خیلی از مواقع مجرمان سایبری آدم‌هایی با دانش فنی نیستند بلکه برای سوءاستفاده از کاربران از روش سنتی و فریب‌کاری‌های عامیانه استفاده می‌کنند. حملات مهندسی اجتماعی فقط در فضای سایبری نیست و در هر مکانی قابلیت اجرا دارد.

او ادامه می‌دهد: تصور کنید با یک تماس شماره کارت خود را به کلاهبردار می‌دهید! در واقع اینجا شما قربانی دانش فنی هکر نشده‌اید بلکه قربانی ناآگاهی خودتان و سوءاستفاده‌گری طرف مقابل شده‌اید. مهندسی اجتماعی چهار مرحله دارد: مرحله آماده‌سازی، ایجاد اطمینان در قربانی، متقاعدسازی قربانی و سپس قطع ارتباط کامل با قربانی؛ یعنی هکرها و کلاهبرداران هیچ ردپایی از خود به جای نمی‌گذارند و اکانت و هر نوع اطلاعات را پس از رسیدن به هدف از همه جا حذف می‌کنند.

فرح‌خان در پایان توضیح می‌دهد: متداول‌ترین حملات مهندسی اجتماعی با هدف‌های خاص صورت می‌گیرد و هکرها مجموعه‌ای از تکنیک‌ها را برای رسیدن به اهداف خود استفاده می‌کنند.
پاسخی برای حملات مهندسی اجتماعی وجود ندارد اما اطلاع‌رسانی و اعتماد نکردن بهترین راه‌حل است. سازمان‌های متولی باید اطلاع‌رسانی کنند و آگاهی‌رسانی باید از مدارس شروع شود. همه باید همت کنیم که مهندسی اجتماعی کمتر قربانی بگیرد.