احسان امجدی
کارشناس امنیت اطلاعات و ارتباطات

حمله مهندسی اجتماعی چیست؟ تعریف مهندسی اجتماعی و انواع آن

حمله مهندسی اجتماعی ( Social Engineering ) چیست و چند نوع حمله مهندسی اجتماعی وجود دارد؟ انجام حملات مهندسی اجتماعی چند فاز دارد؟ تفاوت حملات مهندسی اجتماعی مبتنی بر انسان و حملات مهندسی اجتماعی مبتنی بر کامپیوتر در چیست؟ و ... امروز و در این مقاله ما بصورت جامع به بررسی پاسخ این سوال می پردازیم که حمله مهندسی اجتماعی چیست و انواع حملات مهندسی اجتماعی شامل چه چیزهایی هستند و در نهایت مهمترین روش پیشگیری از حملات مهندسی اجتماعی چیست؟

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
  1. پارامترها و مراحل انجام حمله مهندسی اجتماعی چیست؟
    1. مهندسی اجتماعی چیست؟ تعریف حمله Social Engineering
    2. مهندسی اجتماعی حمله ای مبتنی بر آسیب پذیری های رفتاری و شخصیتی
    3.  بررسی پارامترهای آسیب‌پذیری شرکت‌ها در برابر حملات مهندسی اجتماعی
    4. مراحل مختلف انجام حملات مهندسی اجتماعی چه چیزهایی هستند؟
    5. قربانیان مرسوم در حملات اجتماعی چه کسانی هستند؟
  2. 4 فاز مهم در حملات مهندسی اجتماعی
    1. فاز اول حمله مهندسی اجتماعی : پژوهش و تحقیق یا Research
    2. فاز دوم حمله مهندسی اجتماعی : به قلاب انداختن یا Hook
    3. فاز سوم حمله مهندسی اجتماعی : بازی کردن یا Play
    4. فاز چهارم حمله مهندسی اجتماعی : خارج شدن یا Exit
  3. معرفی انواع حمله مهندسی اجتماعی مبتنی بر انسان
    1. روش 1 : کولی گرفتن یا Piggybacking
    2. روش 2 : جعل هویت یا Impersonating
    3. روش 3 : استراق سمع یا Eavesdropping
    4. روش 4 : سطل زباله گردی یا Dumpster Diving
    5. روش 5 : نشان دادن خود به عنوان یک کاربر عادی
  4. انواع حمله مهندسی اجتماعی مبتنی بر کامپیوتر
    1. روش 1 : صفحات پاپ آپ Pop-up windows
    2. روش 2 : حملات داخلی یا Insider attack
    3. روش 3 : حملات فیشینگ یا Phishing
    4. کلاهبرداری به روش Nigerian 419
    5. حمله مهندسی اجتماعی از طریق SMS جعلی

مهندسی اجتماعی چیست

پارامترها و مراحل انجام حمله مهندسی اجتماعی چیست؟

در این مقاله سعی شده است تا در رابطه با یکی از مهمترین زمینه‌های سرقت اطلاعات و نفوذ به سیستم و اختلال در شبکه‌ی یک شرکت بحث شود. مطلبی که متاسفانه در دید افرادی که هک را بصورت تجربی دنبال می‌کنند معمولا جایی ندارد. شاید به‌جرات بتوان گفت یکی از کاراترین و موثرترین حملات، حملات مبتنی بر مهندسی اجتماعی هستند که بنا به زمینه اجتماعی کمتر به آن توجه می‌شود.امیدوارم این مطلب مورد استفاده عزیزان قرار بگیرد.

مهندسی اجتماعی چیست؟ تعریف حمله Social Engineering

اصطلاح مهندسی اجتماعی به روشی تاثیرگذار در ترغیب خواسته و یا ناخواسته مردم به فاش نمودن اطلاعات حساس به منظور انجام برخی اعمال خرابکارانه بر میگردد. با کمک روش های موجود در مهندسی اجتماعی، مهاجمان می‌توانند براحتی به اطلاعات محرمانه، جزئیات دسترسی‌ها و مجوزهای ورود کاربران دسترسی پیدا کنند.مهاجمان می‌توانند براحتی و با استفاده از مهندسی اجتماعی قوانین امنیتی یک شرکت را نقض کرده و با اعمال مجرمانه خود آن را بشکنند. تمام فشارها و سخت گیری‌های امنیتی به تصویب رسیده در غالب شرکت‌ها با اجرای مهندسی اجتماعی در مورد کارکنان، همه نقش بر آب خواهد شد. در دوره آموزش سکیوریتی پلاس و دوره آموزش CEH بصورت مفصل در خصوص حملات مهندسی اجتماعی صحبت می شود.

مهندسی اجتماعی چیست

به عنوان نمونه از مهندسی اجتماعی میتوان به پاسخ‌های ناخواسته به افراد غریبه از طرف کارمندان، پاسخ به ایمیل‌های اسپم و لاف زدن جلوی کارکنان شرکت اشاره کرد. نفوذگران از توسعه و گسترش مهارت‌های مهندسی اجتماعی سود زیادی عایدشان می‌شود و چنان مهارتی در انجام این کار از خودشان نشان می‌دهند که ممکن است قربانیان هرگز متوجه کلاهبرداری آن‌ها نشوند. با وجود قوانین امنیتی موجود، شرکت‌ها همچنان در معرض خطر هستند چرا که حملات طرح‌ریزی شده بر اساس مهندسی اجتماعی ضعیف‌ترین افراد در شرکت که اطلاعات زیادی را با خود دارند، نشانه می‌گیرند.

نفوذگران همواره بدنبال راه‌های جدید برای بدست آوردن اطلاعات هستند؛ آن‌ها از محیط مورد نفوذ و افرادی که در حلقه امنیتی آن محیط کار می‌کنند، همچنین از منشی‌ها و هلپ‌دسک‌ها به منظور سوء استفاده از خطاهای سهوی آن‌ها تا حد ممکن مطمئن شده و سپس با دیدی باز دست به مهندسی اجتماعی هدف می‌زنند. افرادی برای این کار کاندید خواهند شد که بیش از حد مشکوک و مرموز به نظر نرسند؛ رفتاری همراه با اعتماد به نفس و ظاهری با مشخصات افراد شناخته شده در محیط نفوذ داشته باشند.

مهندسی اجتماعی چیست

برای مثال دیدن فردی با لباس یونیفرم و درحال حمل کردن جعبه هایی برای تحویل، شما را متقاعد خواهد ساخت که او یک پیک است. علاوه بر این ممکن است شرکت آگهی‌ای مبنی بر استخدام فردی با تخصص بالا در زمینه دیتابیس های اوراکل و سرورهای یونیکس منتشر کرده باشد. همین اطلاعات به فرد نفوذگر کمک خواهد کرد تا متوجه شود که در محیط مورد نفوذ از چه سرورها و دیتابیس‌هایی استفاده می‌کنند. این اقدامات در فاز شناسایی بکار می‌رود.

مهندسی اجتماعی حمله ای مبتنی بر آسیب پذیری های رفتاری و شخصیتی

یک نفوذگر میتواند از رفتارها و ذات طبیعی مردم که در ادامه به آن‌ها پرداخته خواهد شد، با هدف اجرای یک حمله بر اساس مهندسی اجتماعی، نهایت استفاده را ببرد. این رفتارها ممکن است در حملات مهندسی اجتماعی، آسیب پذیری محسوب شوند:

  • خصوصیت اطمینان قلبی هرکس به خودش، اصلی ترین پایه در حملات مهندسی اجتماعی است. بنابراین خصوصیت هریک از کارمندان خود را عاری از هرگونه ضعف در برابر حملات مهندسی اجتماعی می‌داند و دقیقا همین بزرگترین نقطه ضعف است. شرکت‌ها باید در مورد راه‌ها و آسیب‌پذیری‌های مهندسی اجتماعی، کارکنان خود را کاملا آموزش دهند.

  • وقتی کارها با تهدید پیش نمی‌رود، نفوذگر طعمه خود را با مواردی مانند پول و یا دیگر مزیت‌ها تطمیع می‌کند. در چنین موقعیتی فرد طعمه، ممکن است فریب بخورد و اطلاعات حساس شرکت را لو دهد.

  • در چنین زمان‌هایی اهداف مورد نظر بر اساس تعهدی که با مهندسان اجتماعی بسته‌اند، اقدام به همکاری با آن‌ها می‌کنند.

  • عدم آگاهی‌دهی یک شرکت درمورد مهندسی اجتماعی و تاثیران آن بر نیروی کاری خود، آن شرکت را هدف آسانی در زمینه مهندسی اجتماعی قرار می‌دهد.

  • در مواردی ممکن است که یک فرد برای فرار از اتهام کم‌کاری و این که اطلاعات لازم را بسرعت در اختیار نگذاشته است و این کارش ممکن است بر کار شرکت اثر گذارد، بی‌فکر و بدون دقت لازم اطلاعات حساس را فاش می‌کند.

 بررسی پارامترهای آسیب‌پذیری شرکت‌ها در برابر حملات مهندسی اجتماعی

مهندسی اجتماعی می‌تواند تهدیدی بزرگ برای شرکت‌ها باشد. قابل پیش‌بینی نیست و فقط و فقط با اطلاع‌رسانی کارکنان درباره مهندسی اجتماعی و حملات مرتبط با آن قابل پیشگیری است.فاکتورهای زیادی وجود دارد که یک شرکت را در برابر مهندسی اجتماعی آسیب‌پذیر می‌کند. در زیر محتصرا به چند عامل اشاره شده است:

  • آموزش ناکافی در زمینه امنیت: حداقل وظیفه یک شرکت در این مورد، آموزش کارکنان خود درباره جنبه‌های مختلف امنیت به منظور کاهش هرچه بیشتر ضربات احتمالی، است. بجز کسانی که اطلاعاتی در زمینه مهندسی اجتماعی و فوت و فن‌های آن دارند، اکثرا حتی از این که مورد هدف واقع شده‌اند هم مطلع نمی‌شوند. بنابراین توصیه می‌شود که هر شرکت باید در این موارد کارکنان خود را بدقت آموزش دهد.

  • عدم وجود قوانین امنیتی مناسب: استاندارهای امنیتی بشدت باید توسط شرکت‌ها افزایش یابد تا بدین وسیله به کارکنان نیز آگاهی بخشی هم شده باشد. وضع سخت‌گیری‌های مفرط در مورد هرنوع احتمال حمله امنیتی یا آسیب‌پذیری. حتی رعایت ساده‌ترین قوانین مثل قانون تغیر پسوردها، محدودیت دسترسی‌ها، شناسه‌های کاربری منحصربفرد، امنیت مرکزی و مواردی از این دست نیز می‌تواند در جای خود مفید باشد. همچنین باید قانون به اشتراک گذاری را وضع و اجرا کنید.

  • دسترسی آسان به اطلاعات: برای هر شرکتی قطعا مهمترین دارایی آن، دیتابیس‌اش است. بنابراین باید با ایجاد امنیتی قوی از آن محافظت کنند.

کارکنان باید در دسترسی به آن محدود شود و افراد کلیدی که به اطلاعات حساس دسترسی دارند باید در بشدت آموزش دیده باشند.

  • وجود چندین دفتر یا شعبه: برای یک نفوذگر بسیار ساده است که بتواند اطلاعات شعبات مختلف یک شرکت که به منظور تبلیغات یا اهداف دیگر منتشر شده‌اند را از اینترنت بدست آورد.

مراحل انجام حمله مهندسی اجتماعی

مراحل مختلف انجام حملات مهندسی اجتماعی چه چیزهایی هستند؟

نفوذ گر یک حمله مهندسی اجتماعی را بترتیب مراحل زیر انجام میدهد:

  • تحقیق درباره شرکت هدف: نفوذگر در ابتدا درباره شرکت هدف تحقیق میکند تا اطلاعاتی نظیر نوع تجارت، محل شرکت، شماره داخلی‌ها و غیره را بدست آورد. در این مرحله نفوذگر حتی زباله‌دانی شرکت را نیز به منظور بدست آوردن اطلاعات دور ریخته شده، مورد جستجو قرار می‌دهد.

  • انتخاب قربانی: پس از بدست آوردن اطلاعات مورد نیاز در رابطه با شرکت، نفوذگر باید فرد قربانی خود را انتخاب کند. این فرد دو مشخصه اصلی باید داشته باشد. اول آن که بشود براحتی آن را فریب داد و دوم آن که بتوان با سوء استفاده از آن حداکثر اطلاعات لازم را بدست آورد.

  • افزایش رابطه دوستی با قربانی: طبیعی است که در وهله اول و به عنوان شخصی غریبه و یا حتی تظاهر به همکار بودن، نمی‌توان اطلاعات زیادی را از قربانی استخراج نمود و درست زمانی که رابطه دوستی با او افزایش داده شد، دست نفوذگر برای سوء استفاده از اعتماد او و نزدیک شدن به اطلاعات حساس و همچنین زیر زبان کشیدن غیر ملموس از وی بازترخواهد بود.

  • سوء استفاده از روابط دوستی: هنگامی که رابطه دوستی با قربانی گسترش پیدا کرد، نفوذگر سعی خواهد مرد تا با سوء استفاده از این رابطه، اطلاعات حساس مثل اطلاعات شناسه، اطلاعات مالی، فنآوری مورد استفاده، پروژه‌های شرکت و غیره، را بدست آورد.

قربانیان مرسوم در حملات اجتماعی چه کسانی هستند؟

پرسنل پذیرش به علت ارتباط مستقیم با افراد غریبه، پرسنل هلپ دسک(پشتیبانی کاربران) به علت ارتباط مستقیم با تمام پرسنل و داشتن اطلاعات آن‌ها، تکنیسین‌های اجرایی، مدیران و در نهایت کاربران شبکه از جمله مرسوم ترین اهداف مورد علاقه نفوذگران هستند.

4 فاز مهم در حملات مهندسی اجتماعی

Social Engineering از ترکیب دو کلمه بوجود آمده است؛ Social و Engineering. کلمه Social به زندگی روزمره ما اشاره دارد (که شامل زندگی فردی و حرفه ای ما میشود) و در کنار آن Engineering به این معنی است که برای آن که بطور قطعی به هدفمان برسیم باید طبق دستور العملی خاص و مرحله به مرحله عمل کنیم.مهندسی اجتماعی مفهومی است که به بررسی و نحوه نفوذ با استفاده از روش های غیر تکنیکال می پردازد. در مهندسی اجتماعی رسیدن به موفقیت بشدت بستگی به عکس العمل های انسانی دارد، حتی گاهی لازم است تا با فریب مردم، راه کارهای امنیتی معمول را دور زده و نقض کنیم.

مهندسی اجتماعی چیست

یک حمله بر اساس مهندسی اجتماعی، در واقع فرآیندی ادامه دار و مشمول زمان است که با جستجو و تحقیق درباره هدف و به عنوان فاز اول در مهندسی اجتماعی، آغاز میشود. این فرآیند تا زمانی ادامه خواهد داشت که مهاجم با هدف "ارتباط" خود را حفظ کند و به محض قطع ارتباط، فرآیند مهندسی اجتماعی نیز پایان میابد. منظور از ارتباط، فرآیندی شامل چهار فاز است که مهاجم با دنبال کردن آن ها یک حمله را انجام خواهد داد.

این فازها عبارتند از:

فاز اول حمله مهندسی اجتماعی : پژوهش و تحقیق یا Research

در فاز جستجو و تحقیق، مهاجم سعی میکند تا اطلاعات لازم را درمورد شرکت هدف گردآوری کند. این اطلاعات از منابع و مفاهیم مختلفی جمع آوری میشوند؛ به عنوان مثال جستجوی سطل زباله، وب سایت شرکت، فایل ها و اسناد غیر محرمانه، فعالیت های فیزیکی و نظایر آن. انجام این فاز زمانی ضروریست که هدف ما یک کاربر خاص باشد.

فاز دوم حمله مهندسی اجتماعی : به قلاب انداختن یا Hook

Hook به معنای قلاب انداختن است. در این مرحله با استفاده از اطلاعاتی که جمع کردیم، یک گام جلوتر میگذاریم و بقول معروف برای قربانی تور پهن میکنیم. در این مرحله با هدف مورد نظر ارتباط برقرار میکنیم.

فاز سوم حمله مهندسی اجتماعی : بازی کردن یا Play

در این مرحله باید نقش خود را آنقدر خوب بازی کنیم که رابطه ای که در مرحله پیش ایجاد کردیم، قوی شود و ادامه یابد. در این مرحله ارتباط باید آنقدر قوی و صمیمانه شود که مهاجم بتواند در لوای این ارتباط، سوء استفاده مورد نظر را انجام دهد و به اطلاعاتی که اساسا ارتباط برای رسیدن به ان ها شکل گرفته بود، برسد.

فاز چهارم حمله مهندسی اجتماعی : خارج شدن یا Exit

این مرحله آخرین فاز از حمله مهندسی اجتماعی است که مهاجم از صحنه جرم فرار کرده و یا ارتباط خود را با قربانی قطع میکند. این عمل باید طوری صورت پذیرد که شک قربانی را بدنبال نداشته باشد.

انواع حملات مهندسی اجتماعی | فیشینگ چیست

معرفی انواع حمله مهندسی اجتماعی مبتنی بر انسان

در بخش پیش یاد گرفتیم که مهندسی اجتماعی چیست و فرآیندی را که مهاجم برای آن طی میکند، شامل چه قواعدی است. اساسا مهندسی اجتماعی را میتوان به دو بخش تقسیم کرد: روش مبتنی بر انسان (Human-based) و روش مبتنی بر کامپیوتر (Computer-based).

مهندسی اجتماعی چیست

در این روش، مهاجم مستقیما با هدف وارد ارتباط میشود تا بتواند اطلاعات مورد نیاز خود را بدست آورد. به عبارتی در این روش، هنرهای فردی مهاجم در ارتباط با دیگران، حرف اول را در موفقیت میزند. برای مثال مهاجم با تظاهر به این که یک کاربر مجاز از شرکت است، از ادمین دیتابیس میخواهد تا پسورد اکانت او را ریست کرده و پسورد جدید را به او بدهد.این روش را میتوان در شاخه های زیر دسته بندی کرد:

روش 1 : کولی گرفتن یا Piggybacking

در این نوع حمله، مهاجم با استفاده از فریب دادن کاربران مجاز خواهد توانست به نقاط مورد نظر و حساس داخل شرکت مثل اتاق سرور، دسترسی پیدا کند. بطور مثال شخص X (مهاجم) برای مصاحبه وارد شرکت ABC میشود. اما به محض ورود به شرکت با بهانه های مختلف خود را به نقاط حساس شرکت رسانده و با فریب یکی از کارمندان شرکت، ادعا میکند که تازه در شرکت استخدام شده است و هنوز کارت شناسایی برایش صادر نشده است. بنابراین از او میخواهد تا از کارتش موقتا استفاده کند.

انواع حمله مهندسی اجتماعی

روش 2 : جعل هویت یا Impersonating

در این نوع حمله، مهاجم وانمود میکند که یکی از کارمندان شرکت است و بدین طریق دسترسی فیزیکی به نقاط شرکت پیدا میکند. در دنیای حقیقی این کار از طریق جعل کارت شناسایی و یا پوشیدن لباس فرم آن شرکت ممکن خواهد بود. وقتی مهاجم توانست وارد محل فیزیکی شرکت شود، میتواند اطلاعات مورد نظر خود را سر فرصت بدست اورد.

انواع حمله مهندسی اجتماعی

روش 3 : استراق سمع یا Eavesdropping

در این روش با استفاده از شنود غیرمجاز ارتباطاتی که بین دو نفر وجود دارد و یا خواندن پیام های شخصی کسی، اقدام به حمله میکنیم. این کار با استفاده کانال های ارتباطی مانند خطوط تلفن و یا ایمیل ها امکان پذیر است.

انواع حمله مهندسی اجتماعی

روش 4 : سطل زباله گردی یا Dumpster Diving

در این نوع حمله، سطل زیاله را برای پیدا کردن اطلاعات نوشته شده و یا تکه های کاغد و یا پرینت های کامپیوتری، میگردیم. در این روش هکر گاهی اوقات اطلاعاتی مانند پسوردهای نوشته شده روی کاغذ و یا تکه تکه های کاغذی که اطلاعاتی محرمانه رویش نوشته شده است، پیدا میکند.

انواع حملات مهندسی اجتماعی

روش 5 : نشان دادن خود به عنوان یک کاربر عادی

در این نوع از حمله، مهاجم اطلاعات مختصری از یکی از کاربران مجاز شرکت در دست دارد و با استفاده از آن ها سعی میکند تا اطلاعات مورد نظر خود را بدست آورد. برای مثال به هلپ دسک شرکت زنگ میزند و میگوید : "سلام. من احسان امجدی از واحد حسابداری هستم. پسورد اکانتم را فراموش کردم. لطفا منو کمک کنید." خوب دوستان تا اینجای کار موفق شدیم تا در رابطه با روش هایی از مهندسی اجتماعی صحبت کنیم که مبتنی بر هنرهای فردی و اجتماعی انسان است و در این میان کامپیوتر نقشی ندارد. در بخش بعد، در رابطه با روش های مبتنی بر کامپیوتر نیز صحبت خواهم کرد.

انواع حمله مهندسی اجتماعی مبتنی بر کامپیوتر

در بخش پیش یاد گرفتیم که مهندسی اجتماعی مبتنی بر هنرهای فردی انسان در برقراری رابطه مستقیم چیست و فرآیندی را که مهاجم برای آن طی میکند، شامل چه قواعدی است. همانطور که گفته شد، مهندسی اجتماعی را میتوان به دو بخش تقسیم کرد: روش مبتنی بر انسان (Human-based) و روش مبتنی بر کامپیوتر (Computer-based).

در قسمت پیش روش Human-Base گفته شد و در این بخش ادامه مطلب را با روش Computer-Base دنبال میکنیم. مهندسی اجتماعی بر پایه استفاده از کامپیوتر و ابزارهای مرتبط، به اتک هایی اتلاق میشود که با استفاده از نرم افزار کامپیوتری بتوانیم به اطلاعات مورد نظرمان دست پیدا کنیم. این نوع اتک نیز خود دارای انواع مختلفی است که در ادامه به مهترین آن ها اشاره میشود:

روش 1 : صفحات پاپ آپ Pop-up windows

در واقع پنجره هایی که بصورت پاپ آپ باز میشوند، کاربران را به کلیک بر روی لینکی که داخلشان است فریب میدهند. این لینک معمولا کاربران به صفحه مورد نظر اتکر redirect میکند و آنجا از کاربران با عناوین مختلف خواشته میشود که اطلاعات شخصی خود را وارد کنند و یا انکه از آن صفحه نرم افزاری را دانلود کنند که به ان ها ویروس و یا تروجان بایند شده است.

وب سایت توسینسو

روش 2 : حملات داخلی یا Insider attack

طراحی و اجرای موفقیت آمیز این نوع حمله بصورتی است که باید از داخل شبکه ای که هدف در آن قرار دارد، صورت بپذیرد. در اغلب موارد، چنین حملاتی با هماهنگی و همکاری کارمندان ناراضی که از موقعیت شغلی خود راضی نیستند و یا انکه با کارمند دیگری و یا رئیس خود مشکل شخصی دارند، رخ میدهد.

انواع حملات مهندسی اجتماعی

روش 3 : حملات فیشینگ یا Phishing

اسپمرها (اشخاصی که هرزنامه میفرستند) معمولا ایمیلی را بصورت انبوه به گروه بزرگی از اکانت های ایمیل ارسال میکنند. مثلا در ایمیل خود ادعا میکنند که شما در لاتاری برنده شده اید و صاحب 1 میلیون دلار هستید. در اغدامه از شما میخواهند که بر روی لینک داده شده کلیک کنید و و در صفحه مورد نظر مشخصات حساب بانکی و یا اطلاعات هویتی خود را وارد کنید. با استفاده از این روش، میتوانند اطلاعات هویتی شما و تعداد زیادی از اشخاص حقیقی را سرقت کنند.

انواع حملات مهندسی اجتماعی

کلاهبرداری به روش Nigerian 419

در روش کلاهبرداری نیجریه ای، اتکر با عناوین مختلف از قربانی میخواهد تا پولی را پرداخت کرده و یا با آن ها یک گردش مالی داشته باشد. به این خاطر به ان 419 گفته میشود که "9-1-4" بخشی از کد مجرمانه ای است که خلافکاران از آن برای انجام این عمل استفاده میکنند.اتکر ها معمولا ایمیل ها یا نامه هایی را برای اهداف خود ارسال میکنند که حاوی پیشنهاد هایی وسوسه کننده و سودآور است.

انواع حمله مهندسی اجتماعی

حمله مهندسی اجتماعی از طریق SMS جعلی

در این نوع حمله، اتکر به هدف خود SMS ای را ارسال کرده و ادعا میکند که این SMS از طرف بخش امنیت بانک است و هرچه زودتر با شماره مشخص شده باید تماس گرفته شود. اگر قربانی، شخص تکنیکالی نباشد، از طریق تماس تلفنی شخص مهاجم براحتی میتواند اطلاعات مورد نظر را از هدف بگیرد.

  • حمله مهندسی اجتماعی ( Social Enginnering ) چیست؟

    حمله مهندسی اجتماعی یک حمله به وسیله استفاده از آسیب پذیری های انسانی در هک و نفوذ می باشد. به زبان ساده تر از تکنیک های روانشناسی و ترفندهاییکه انسان در آن ضعف آموزشی دارد برای دریافت اطلاعات و سوء استفاده جهت هک و نفوذ استفاده می شود.
  • آیا حمله مهندسی اجتماعی واقعا موثر است؟

    بدون شک یکی از تاثیرگذارترین حملات هکری دنیا ، مهندسی اجتماعی است. در خصوص حمله مهندسی اجتماعی کتابهای مختلفی چاپ شده اند که حتی مرور زمان هم بر تاثیر انها بر دنیای واقعی ، تاثیر خاصی نداشته است و حتی تکنیک های قدیمی مهندسی اجتماعی همچنان کاربرد دارند.

احسان امجدی
احسان امجدی

کارشناس امنیت اطلاعات و ارتباطات

احسان امجدی ، مشاور امنیت اطلاعات و ارتباطات و تست نفوذ سنجی ، هکر کلاه سفید ، مدرس دوره های تخصصی امنیت اطلاعات و شبکه ، تخصص در حوزه های سرویس های مایکروسافت ، Routing و Switching ، مجازی سازی ، امنیت اطلاعات و تست نفوذ ، کشف جرائم رایانه ای و سیستم عامل لینوکس ، متخصص در حوزه SOC و ...

نظرات