مهران کیاء
متخصص تست نفوذ و امنیت

مهندسی اجتماعی ( Social Engineering ) چیست؟ بررسی کاربردهای حمله

تو این مقاله قصد داریم تا در رابطه با یک موضوع بسیار مهم بنام مهندسی اجتماعی (Social Engineering) و نحوه استفاده از اون صحبت کنیم. خب پس در اولین قدم بریم و خوده مفهوم مهندسی اجتماعی رو توضیح بدیم و ببینیم که دقیقا چیه :)

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

مهندسی اجتماعی (Social Engineering) چیست؟

مهندسی اجتماعی (Social Engineering) هنر فریب کاری یا دستکاری افراد است تا توسط آن اطلاعات محرمانه را کنار بگذارند. انواع اطلاعاتی که افراد سودجو به دنبال آن هستند می تواند متفاوت باشد ، اما وقتی افراد مورد هدف قرار می گیرند ، مجرمان و افراد سودجو معمولاً سعی می کنند شما را فریب دهند تا رمزهای عبور یا اطلاعات بانکی خود را به آنها بدهید یا به رایانه شما دسترسی داشته باشند تا به طور مخفیانه نرم افزارهای مخرب را نصب کنند که به آنها دسترسی شما را می دهد. از جمله گذرواژه ها و اطلاعات بانکی و همچنین کنترل رایانه شما و... افراد به این دلیل از تاکتیک های مهندسی اجتماعی استفاده می کنند که از تمایل طبیعی شما برای اعتماد آسان تر نسبت به اهداف آن ها از کشف راه هایی برای هک نرم افزار استفاده کنند. به عنوان مثال ، فریب دادن شخصی برای دادن رمز عبور به شما بسیار آسان تر از این است که بخواهید رمز عبور او را هک کنید (مگر اینکه رمز عبور واقعاً ضعیف باشد).

امنیت این است که بدانید به چه کسی و به چه چیزی اعتماد کنید. این مهم است که بدانید چه موقع و چه وقت کسی را به قول خود نپذیرید و چه زمانی فردی که با او ارتباط برقرار می کنید همان است که خودش می گوید. همین امر در مورد تعاملات آنلاین و استفاده از وب سایت نیز صدق میکند. چه زمانی اطمینان دارید که وب سایتی که استفاده می کنید مشکلی ندارد یا برای ارائه اطلاعات شما ایمن است؟ از هر متخصص امنیتی بپرسید به شما می گوید که ضعیف ترین حلقه در زنجیره امنیت خوده انسان ها هستند که شخص یا سناریویی را به ارزش واقعی می پذیرند. به عنوان مثال شما یک دژ بسیار پیشرفته دارید که تمام اجزا و تکنیک های امنیتی را درون آن پیاده سازی کردید اما برای پدیده مهندسی اجتماعی اصلا مهم نیست چند قفل و بست یا در و پنجره در دژ شما وجود داشته باشد یا  چند سگ نگهبان یا سیستم های هشدار دهنده ، نورافکن ، نرده هایی با سیم خاردار و پرسنل امنیتی مسلح داشته باشید. اگر به شخصی که در اولین مرحله این دژ قرار دارد و قصد ورود به دژ را داشته باشد صحبت کنید و اگر بگوید من یک تحویل دهنده پیتزا هستم و به او اعتماد کنید و بدون بررسی اولیه اجازه دهید که وارد دژ شود شما کاملاً در معرض هر گونه ریسکی هستید به همین راحتی.

مهندسی اجتماعی ( Social Engineering ) چیست؟ بررسی کاربردهای حمله

1-حمله مهندسی اجتماعی چگونه است ؟ (ایمیل یک دوست)

اگر مجرم بتواند رمز ایمیل یک نفر را هک یا مهندسی اجتماعی کند ، به لیست مخاطبین آن شخص دسترسی دارد و چون اکثر مردم در همه جا از یک رمز عبور استفاده می کنند ، احتمالاً به مخاطبین شبکه های اجتماعی آن شخص نیز دسترسی پیدا خواه کرد. زمانی که فرد سودجو آن حساب ایمیل را تحت کنترل خود دارد ، به همه مخاطبین فرد ایمیل می فرستد یا در تمام صفحات اجتماعی دوست خود و احتمالاً در صفحات دوستان شخص پیام می دهد. با استفاده از اعتماد و کنجکاوی شما ، پیامها به شکل های مختلف ارسال میشوند:

  • یا حاوی پیوندی (لینک) است که فقط باید آن را بررسی کنید و چون پیوند از یک دوست است و شما کنجکاو هستید ، به لینک اعتماد کرده و کلیک میکنید و  زمانی که به عنوان مثال به بدافزار آلوده شده اید فرد سود جو دستگاه شما را هک کرده و اطلاعات دستگاه شما را جمع آوری میکند.
  • فریب از طریق اطلاعات: این تکنیک شامل بارگیری اطلاعاتی از جمله تصاویر ، موسیقی ، فیلم ، سند و غیره میباشد که درون آن ها نرم افزارهای مخرب تعبیه شده است. زمانی که آن ها را دانلود میکنید دستگاه شما هک خواهد شد و احتمالاً از آنجایی که فکر می کنید از طرف دوست شماست اینکار را انجام می دهید و آلوده می شوید.و بعد از آن  فرد سودجو به دستگاه ، حساب ایمیل ، حساب های شبکه اجتماعی و مخاطبین شما دسترسی دارد و حمله به همه کسانی که می شناسید گسترش می یابد.

2-حملات مهندسی اجتماعی از طریق فیشینگ (Phishing):

حملات فیشینگ زیرمجموعه ای از استراتژی مهندسی اجتماعی است که از یک منبع معتبر تقلید می کند و یک سناریوی به ظاهر منطقی برای واگذاری اعتبار ورود یا سایر داده های حساس شخصی ایجاد می کند.حملات مهندسی اجتماعی شامل فیشینگ و بهانه گیری معمولا با استفاده از یک داستان یا بهانه جذاب اتفاق می افتد ، این پیام ها ممکن است به این شکل باشد:

  • فوراً از شما کمک بخواهند. فرضا یک پیام به ایمل شما فرستاده میشود که: دوست شما در کشور X گیر کرده است ، و مورد سرقت ، ضرب و شتم قرار گرفته و در بیمارستان است. او به شما نیاز دارد که پول ارسال کنید تا بتواند به خانه برسد و به شما می گویند که چگونه پول را برای همان فرد سود جو ارسال کنید.به طور معمول ، فیشر یک ایمیل ، پیام کوتاه ، نظر یا پیام متنی ارسال می کند که به نظر می رسد از طرف یک شرکت ، بانک ، مدرسه یا موسسه معتبر و محبوب است.
  • مشکلی را ارائه میدهند که از شما می خواهند اطلاعات خود را با کلیک روی لینک نمایش داده شده و ارائه اطلاعات به شکلی که خودشان میخواهند تایید کنید. ممکن است ادرس لینک با تمام لوگوها و محتوا های مناسب بسیار مشروع به نظر برسد (در واقع ، افراد سودجو ممکن است قالب و محتوای دقیق سایت قانونی را کپی کرده باشند). از آنجا که همه چیز مشروع و بدون مشکل به نظر می رسد ، شما به ایمیل و سایت جعلی اعتماد کرده و هرگونه اطلاعاتی که کلاهبردار درخواست می کند را ارائه می دهید. این نوع کلاهبرداری های فیشینگ اغلب شامل هشدار در مورد آنچه در صورت کوتاهی در انجام این کار اتفاق می افتد هستند ، زیرا جنایتکاران می دانند که اگر بتوانند شما را مجبور به عملی کنند که قبل از آن بتوانید فکر کنید ، به احتمال زیاد فیشینگ خودشان را انجام خواهند داد.
  • به شما اطلاع میدهند که شما یک برنده هستید. شاید در این ایمیل ادعا شود که از یک قرعه کشی ، یا میلیونمین نفری هستید که روی سایت خود کلیک می کند و غیره. اطلاعاتی در مورد مسیریابی بانک خودتان را دارند تا آنها بدانند چگونه آن را برای شما ارسال کنند یا آدرس و شماره تلفن شما را بگیرند تا بتوانند جایزه را ارسال کنند ، سپس هویت آنها را به سرقت میبرند و حساب بانکی را خالی می کنند.

3-حملات مهندسی اجتماعی (ایجاد بی اعتمادی):

ایجاد بی اعتمادی روشی از مهندسی اجتماعی است که در مورد ایجاد بی اعتمادی یا شروع درگیری ها است. این کارها اغلب توسط افرادی که می شناسید و از شما عصبانی هستند انجام می شود همچنین توسط افراد تند و زننده ای انجام می شود که سعی می کنند ویرانی ایجاد کنند ، افرادی که می خواهند ابتدا بی اعتمادی را در ذهن شما نسبت به دیگران ایجاد کنند تا بتوانند بعداً وارد عمل شوند. قهرمان شوید و اعتماد شما را جلب کنید یا باج گیرانی که می خواهند اطلاعات را دستکاری کرده و سپس شما را تهدید به افشای اطلاعات کنند.

هزاران تنوع در حملات مهندسی اجتماعی وجود دارد. تنها محدودیت در تعداد روش هایی که می توانند کاربران را از طریق این نوع سوء استفاده مهندسی اجتماعی کنند ، تخیل جنایتکار است. و ممکن است چندین شکل سوء استفاده را در یک حمله تجربه کنید.جنایتکار به احتمال زیاد اطلاعات شما را به دیگران می فروشد تا آنها نیز بتوانند سوء استفاده خود را علیه شما ، دوستان شما ، و غیره انجام دهند.

مهندسی اجتماعی ( Social Engineering ) چیست؟ بررسی کاربردهای حمله

چگونه در برابر حملات مهندسی اجتماعی در امان باشیم؟

  • هرگونه درخواست اطلاعات مالی یا گذرواژه ها را حذف کنید. اگر از شما خواسته شد به پیامی با اطلاعات شخصی پاسخ دهید ، این یک کلاهبرداری است.
  • درخواست کمک یا پیشنهادات کمک را رد کنید. شرکتها و سازمانهای قانونی برای ارائه کمک با شما تماس نمی گیرند.
  • دستگاه های خود را ایمن کنید. نرم افزار ضد ویروس ، فایروال ، فیلترهای ایمیل را نصب کرده و این موارد را به روز نگه دارید. سیستم عامل خود را طوری تنظیم کنید که به طور خودکار به روز شود و اگر تلفن هوشمند شما به طور خودکار به روز نمی شود ، هر زمان که اعلانی برای انجام این کار دریافت کردید ، آن را به صورت دستی به روز کنید. از یک ابزار ضد فیشینگ که توسط مرورگر وب ارائه شده است برای هشدار دادن به خطرات استفاده کنید.
  • روی لینک ها و پیوند های ناشناسی که در ایمیل یا مکان های دیگر برای شما ارسال میشود به هیچ وجه کلیک نکنید.

امیدوارم لذت برده باشید :)

کانال تلگرام : MehranKiyaNET@


مهران کیاء
مهران کیاء

متخصص تست نفوذ و امنیت

مهران کیاء , هکر کلاه خاکستری , فعال در حوزه تست نفوذ و امنیت , علاقه مند به مباحث شبکه و برنامه نویسی عاشق یادگیری و آموزش دادن. دوستان عزیز جهت مطرح کردن سوالات و مشکلات خودشون در دوره های آموزشی بنده میتونن از طریق کانال تلگرام اقدام کنند. https://t.me/MehranKiyaNET

07 مهر 1400 این مطلب را ارسال کرده

نظرات