مهندسی اجتماعی در اصل یک حمله‌ی مجازی نیست بلکه کاملاً مبتنی بر روان‌شناسی متقاعدسازی است: درست مانند کلاهبرداران و کلّاشان قدیمی، ذهن را هدف قرار می‌دهد. هدف جلب اعتماد افراد است تا سپر خود را پایین آورند، سپس آنان را تشویق به انجام اقدامات ناامن می‌کنند، مانند افشای اطلاعات شخصی یا کلیک کردن روی پیوندهای وب یا بازکردن پیوست‌هایی که می‌توانند مخرب باشند.

مهندسی اجتماعی چگونه عمل می‌کند؟

در حملات مهندسی اجتماعی، معمولاً مجرم مجازی با بیان این‌که از سازمانی مورد اعتماد تماس می‌گیرد، با قربانی مورد نظر ارتباط برقرار می‌کند. حتی در برخی موارد، خود را به جای اشخاصی معرفی می‌کند که قربانی آنان را می‌‌شناسد.

اگر جعل هویت جواب دهد (یعنی قربانی بپذیرد که مهاجم همان فرد ادعایی است)، مهاجم قربانی را تشویق به انجام اقدامات بعدی می‌کند. ممکن است از قربانی بخواهند اطلاعات حساسی مانند رمز عبور، تاریخ تولد یا جزئیات حساب بانکی را در اختیارشان قرار دهند یا تشویقشان کنند از وب‌سایتی بازدید کنند که در آن بدافزار نصب شده است که می‌تواند باعث اختلال در رایانه‌ی قربانی شود. در موارد بدتر، ممکن است اطلاعات حساس را از دستگاه قربانی تخلیه کنند یا آن را کاملاً تحت اختیار خود دربیاورند.

چرا مهندسی اجتماعی آن‌قدر خطرناک است؟

یکی از بزرگ‌ترین خطرات مهندسی اجتماعی این است که نیازی نیست به همه حمله کنند: کافی است تنها یک قربانی فریب بخورد تا مهاجمان اطلاعات کافی به دست آورند و حمله‌ای را ترتیب دهند که کل سازمان را تحت تأثیر قرار می‌دهد.

در طی زمان، حملات مهندسی اجتماعی به طور فزاینده‌ای پیچیده‌تر شده‌اند. وب‌سایت‌ها یا ایمیل‌های جعلی به اندازه‌ی کافی واقعی به نظر می‌رسند که قربانیان فریب بخورند و داده‌هایی را در اختیار مهاجمان قرار دهند که می‌توان از آن‌ها برای سرقت هویت استفاده کرد. علاوه بر آن، مهندسی اجتماعی به یکی از رایج‌ترین راه‌ها برای مهاجمان تبدیل شده است تا به اولین لایه‌های دفاعی سازمان نفوذ کنند و بتوانند اقدامات مخرب و آسیب‌های بعدی را انجام دهند.

چگونه می‌توانیم از خود و سازمانمان در برابر مهندسی اجتماعی محافظت کنیم؟

درست است که حملات روان‌شناختی می‌توانند استحکام بهترین سیستم‌های امنیتی را هم آزمایش کنند اما شرکت‌ها می‌توانند با آموزش و افزایش آگاهی، خطرات مهندسی اجتماعی را کاهش دهند.

توصیه می‌شود آموزش مداوم متناسب با نوع سازمان خود را در دستور کارتان قرار دهید. باید روش‌های مختلفی را که ممکن است مهاجمان برای مهندسی اجتماعی کارمندانتان به کار ببرند، نشانشان دهید. به عنوان مثال، وضعیتی را شبیه‌سازی کنید که در آن مهاجم خود را کارمند بانک جا می‌زند و از هدف موردنظر می‌خواهد اطلاعات حسابش را تأیید کند. در وضعیتی دیگر ممکن است خود را مدیر ارشد جا بزنند (با نشانی ایمیل جعلی یا کپی‌شده) و از هدف بخواهند مبلغی را به یک حساب خاص واریز کند.

به این ترتیب کارکنان می‌آموزند چگونه در برابر چنین حملاتی دفاع کنند و به اهمیت حیاتی نقش خود در فرهنگ امنیتی سازمان پی می‌برند.

علاوه بر آن، سازمان‌ها باید مجموعه سیاست‌های امنیتی روشنی تدوین کنند و از این طریق، به کارکنانشان کمک کنند در مواجهه با اقدامات مهندسی اجتماعی، بهترین تصمیم‌ها را بگیرند. برخی رویه‌های مفید که می‌توان در این سیاست‌ها گنجاند، عبارت هستند از:

- مدیریت رمز عبور

ارائه‌ی دستورالعمل‌هایی در مورد تعداد و نوع کاراکترهایی که باید در رمز عبور استفاده شوند، این‌که هر چند وقت یکبار باید رمز عبور را تغییر داد و حتی تذکر این قانون ساده که کارمندان (صرف‌نظر از موقعیتشان) نباید رمز عبور را برای کسی فاش کنند، می‌تواند برای حفظ دارایی‌های اطلاعاتی مفید باشد. 

- احراز هویت چند عاملی

احراز هویت خدمات شبکه‌ای پرخطر مانند سیستم‌های چند مودمی (modem pools) و وی‌پی‌ان‌ها نباید به رمز عبور بسنده کند و باید از احراز هویت چند عاملی بهره بگیرد.

- امنیت ایمیل با سیستم دفاعی ضدفیشینگ

 امنیت ایمیل می‌تواند چندین لایه محافظ داشته باشد تا خطر فیشینگ و سایر حملات مهندسی اجتماعی را به حداقل برساند. در برخی ابزارهای امنیتی ایمیل، اقدامات ضدفیشینگ گنجانده شده است.

انواع حملات مهندسی اجتماعی

فیشینگ

کلاهبرداری فیشینگ رایج‌ترین نوع حملات مهندسی اجتماعی است. معمولاً در قالب ایمیلی ظاهر می‌شوند که به نظر می‌رسد از مرجعی قانونی فرستاده شده است. گاه مهاجمان سعی می‌کنند قربانی را وادار به ارائه‌ی اطلاعات کارت اعتباری یا سایر داده‌های شخصی خود کنند. در سایر مواقع، از ایمیل‌های فیشینگ برای دستیابی به اطلاعات ورود به سیستم کارمندان یا سایر جزئیاتی استفاده می‌شود که می‌توان آن‌ها را برای حمله‌ی پیشرفته علیه شرکت به کار گرفت. حملات جرایم سایبری مانند تهدیدات مستمر پیشرفته (APT) و باج افزارها اغلب با اقدامات فیشینگ شروع می‌شوند.

از نمونه‌های دیگر فیشینگ که ممکن است با آن‌ها روبه‌رو شوید، فیشینگ هدفمند است که به جای طیف وسیعی از افراد، اشخاص خاصی را هدف قرار می‌دهند. نوع دیگر فیشینگ، شکار نهنگ است که مدیران اجرایی سطح بالا یا مدیران ارشد را هدف قرار می‌دهد.

اخیراً مهاجمان از گسترش نرم‌افزارهای خدمات‌رسان مانند مایکروسافت 365 استفاده کرده‌اند. این اقدامات فیشینگ معمولاً در قالب ارسال ایمیلی جعلی انجام می‌شوند که ادعا می‌شود از مایکروسافت است. این ایمیل حاوی درخواستی است که از کاربر می‌خواهد وارد سیستم شود و رمز عبور خود را عوض کند، زیرا اخیراً وارد سیستم نشده یا ادعا می‌کند مشکلی در حساب وجود دارد که نیاز به بررسی دارد. URL هم نشان داده می‌شود که کاربر را به کلیک و رفع مشکل ترغیب می‌کند.

حملات گودال آب

حملات گودال آب از انواع بسیار هدفمند مهندسی اجتماعی هستند. مهاجم به جای هدف قرار دادن مستقیم یک گروه خاص، چندین تله در وب‌سایتی ایجاد می‌کند که احتمال می‌دهد آن افراد از آن بازدید کنند؛ مثل وب‌سایت‌های صنعتی که اغلب کارکنان یک بخش خاص، مانند انرژی یا خدمات عمومی، از آن‌ها بازدید می‌کنند. عاملان پشت صحنه‌ی حمله‌ی گودال آب، آن وب‌سایت را واسطه‌ای برای به دام انداختن اعضای گروه هدف قرار می‌دهند. زمانی‌که داد‌ه‌های فرد یا دستگاه مورد نظر در اختیارشان قرار گرفت، احتمالاً حملات بعدی را انجام می‌دهند.

حملات ایمیل تجاری گمراه‌کننده

حملات ایمیل تجاری گمراه‌کننده نوعی کلاهبرداری ایمیلی هستند که مهاجم خود را مدیر ارشد جا می‌زند و سعی می‌کند دریافت‌کننده را ترغیب به انجام اقدامات تجاری مورد نظر خود کند که هدفی غیرقانونی را دنبال می‌کند، مانند انتقال وجه. گاه تا آن‌جا پیش می‌روند که به فرد مورد نظر تلفن می‌زنند و خود را مدیر معرفی می‌کنند.

مهندسی اجتماعی فیزیکی

وقتی درباره‌ی امنیت مجازی صحبت می‌کنیم، باید جنبه‌های فیزیکی حفاظت از داده‌ها و دارایی‌ها را هم در نظر بگیریم. برخی از افراد در سازمان هستند که ممکن است بیشتر در معرض حمله‌ی فیزیکی مهندسی اجتماعی قرار داشته باشند، مثل کارمندان بخش پشتیبانی، مسئولین پذیرش و آن‌هایی که بیشتر سفر می‌کنند.

سازمانتان باید کنترل‌های امنیتی فیزیکی کارآمدی داشته باشد مانند ثبت، مشایعت و بررسی سابقه‌ی بازدیدکنندگان. کارمندانی که به دلیل جایگاهی که دارند، بیشتر در معرض خطر حملات مهندسی اجتماعی قرار دارند باید آموزش‌های تخصصی حملات مهندسی اجتماعی فیزیکی ببینند.

طعمه قرار دادن یو‌اس‌بی

ممکن است طعمه قرار دادن یواس‌بی کمی غیرواقعی به نظر برسد، اما بیشتر از آنچه فکر می‌کنید، اتفاق می‌افتد. اساساً این‌گونه است که مجرمان مجازی بدافزار را روی حافظه‌های یواس‌بی نصب می‌کنند و آن‌ها را در مکان‌های راهبردی رها می‌کنند، به این امید که کسی آن را برداشته و به محیط شرکت وصل کند و به این ترتیب، ناخواسته برنامه‌های مخرب را در سازمانش منتشر کند.