حملات مهندسی اجتماعی (Social Engineering) چیست؟| تاریخچه، تکنیک ها و پیشگیری

زمان مطالعه : ۵ دقیقه

حملات مهندسی اجتماعی (Social Engineering Attacks) نوعی حمله سایبری هستند که در آن مهاجم از طریق فریب و سوءاستفاده از احساسات و عواطف انسان، به اطلاعات یا سیستم‌های قربانی نفوذ می‌کند. این حملات، یکی از رایج‌ترین و موثرترین انواع حملات سایبری هستند، زیرا به دانش و مهارت فنی زیادی نیاز ندارند و از ضعف‌های انسانی برای رسیدن به اهداف خود استفاده می‌کنند.

تاریخچه مهندسی اجتماعی

تاریخچه مهندسی اجتماعی را می‌توان به دوران باستان بازگرداند. برای مثال، در اساطیر یونان، داستان اسب تروآ یکی از نمونه‌های اولیه مهندسی اجتماعی است. در این داستان، یونانیان برای نفوذ به شهر تروآ، اسبی چوبی را ساختند و آن را به عنوان هدیه برای مردم تروآ فرستادند. مردم تروآ که فریب خورده بودند، اسب را وارد شهر کردند و این امر باعث شد تا یونانیان بتوانند به شهر نفوذ کرده و آن را فتح کنند.

در دوران مدرن، مهندسی اجتماعی برای اولین بار در دهه ۱۹۷۰ میلادی به عنوان یک مفهوم امنیتی شناخته شد. در آن زمان، کوین میتنیک، یکی از معروف‌ترین هکرهای تاریخ، با استفاده از مهندسی اجتماعی، به سیستم‌های کامپیوتری مختلفی نفوذ کرد. میتنیک در کتاب خود با عنوان “هنر فریب” (The Art of Deception)، به تشریح تکنیک‌های مهندسی اجتماعی پرداخت و باعث شد تا این مفهوم در حوزه امنیت سایبری شناخته شود.

در دهه‌های اخیر، با گسترش استفاده از فناوری‌های دیجیتال، مهندسی اجتماعی نیز به یکی از رایج‌ترین انواع حملات سایبری تبدیل شده است. مهاجمان از طریق مهندسی اجتماعی، می‌توانند به اطلاعات حساس افراد و سازمان‌ها دسترسی پیدا کرده و آسیب‌های زیادی را به آنها وارد کنند.

تکنیک های حمله مهندسی اجتماعی

تکنیک های حمله مهندسی اجتماعی عبارتند از:

فیشینگ (Phishing)

در این نوع حمله، مهاجم از طریق ایمیل، پیامک یا سایر پیام‌های الکترونیکی، قربانی را فریب می‌دهد تا اطلاعات حساسی مانند نام کاربری، رمز عبور، اطلاعات کارت اعتباری یا اطلاعات شخصی را در اختیار او قرار دهد. برای مثال، مهاجم ممکن است ایمیلی ارسال کند که ظاهراً از طرف بانک قربانی است و از او درخواست کند تا رمز عبور خود را برای تأیید مجدد تأیید کند.

حملات تلفنی (Vishing)

در این نوع حمله، مهاجم با قربانی تماس تلفنی برقرار می‌کند و با استفاده از ترفندهای مختلف، او را فریب می‌دهد تا اطلاعات حساسی را در اختیار او قرار دهد. برای مثال، مهاجم ممکن است خود را به عنوان کارمند بانک قربانی معرفی کند و از او درخواست کند تا رمز عبور خود را برای تأیید مجدد تأیید کند.

حملات مهندسی اجتماعی حضوری (Pretexting)

در این نوع حمله، مهاجم با حضور فیزیکی در محل کار یا منزل قربانی، او را فریب می‌دهد تا اطلاعات حساسی را در اختیار او قرار دهد. برای مثال، مهاجم ممکن است خود را به عنوان کارمند تعمیرات تجهیزات کامپیوتری معرفی کند و از قربانی بخواهد تا کامپیوتر خود را برای بررسی در اختیار او قرار دهد.

حملات مهندسی اجتماعی شبکه‌های اجتماعی (Social Engineering on Social Media)

در این نوع حمله، مهاجم از طریق شبکه‌های اجتماعی مانند فیس‌بوک، توییتر یا اینستاگرام، با قربانی ارتباط برقرار می‌کند و با استفاده از ترفندهای مختلف، او را فریب می‌دهد تا اطلاعات حساسی را در اختیار او قرار دهد. برای مثال، مهاجم ممکن است خود را به عنوان دوست قدیمی قربانی معرفی کند و از او درخواست کند تا اطلاعات شخصی خود را به او بدهد.

مراحل مختلف انجام حملات مهندسی اجتماعی چه چیزهایی هستند؟

حملات مهندسی اجتماعی معمولاً در چهار مرحله انجام می‌شوند:

• جمع‌آوری اطلاعات

در این مرحله، مهاجم اطلاعات لازم را در مورد قربانی جمع‌آوری می‌کند. این اطلاعات می‌تواند شامل نام، نام خانوادگی، شماره تلفن، آدرس ایمیل، اطلاعات کارت اعتباری، اطلاعات حساب بانکی و غیره باشد. مهاجم می‌تواند این اطلاعات را از طریق منابع مختلفی مانند شبکه‌های اجتماعی، وب‌سایت‌ها، تبلیغات و غیره جمع‌آوری کند.

• پبرقراری ارتباط

در این مرحله، مهاجم با قربانی ارتباط برقرار می‌کند. این ارتباط می‌تواند از طریق ایمیل، تلفن، شبکه‌های اجتماعی یا حضوری باشد. مهاجم در این مرحله سعی می‌کند تا اعتماد قربانی را جلب کند و احساس اضطرار یا فوریت در او ایجاد کند.

• بهره‌برداری

در این مرحله، مهاجم از اطلاعات جمع‌آوری شده در مرحله اول و اعتماد ایجاد شده در مرحله دوم، برای فریب قربانی و دستیابی به اهداف خود استفاده می‌کند. مهاجم ممکن است از قربانی درخواست کند تا اطلاعات حساسی را در اختیار او قرار دهد، روی پیوندی کلیک کند یا نرم‌افزاری را دانلود کند.

• اجرا

در این مرحله، مهاجم از اطلاعات یا دسترسی به سیستم‌های قربانی برای اجرای اهداف خود استفاده می‌کند. این اهداف می‌تواند شامل سرقت اطلاعات شخصی و مالی، انتشار اطلاعات محرمانه، آسیب‌رسانی به سیستم‌های فناوری اطلاعات یا ایجاد اختلال در کسب‌وکار باشد.

حملات مهندسی اجتماعی می‌توانند بسیار پیچیده باشند و مهاجمان از تکنیک‌های مختلفی برای اجرای آنها استفاده می‌کنند. با این حال، مراحل کلی انجام این حملات معمولاً مشابه است.

پیشگیری از مهندسی اجتماعی

حملات مهندسی اجتماعی یکی از رایج‌ترین و موثرترین انواع حملات سایبری هستند. این حملات از طریق فریب و سوءاستفاده از احساسات و عواطف انسان، به اطلاعات یا سیستم‌های قربانی نفوذ می‌کنند.

برای پیشگیری از حملات مهندسی اجتماعی، کاربران باید موارد زیر را رعایت کنند:

• هوشیار باشند و در برابر درخواست‌های غیرمعمول و مشکوک، مقاومت کنند.

این مهم‌ترین نکته در پیشگیری از حملات مهندسی اجتماعی است. کاربران باید همیشه هوشیار باشند و در برابر درخواست‌های غیرمعمول و مشکوک، مقاومت کنند. برای مثال، اگر ایمیلی دریافت کردید که ظاهراً از طرف بانک شما است و از شما درخواست می‌کند تا رمز عبور خود را برای تأیید مجدد تأیید کنید، باید ابتدا صحت این ایمیل را بررسی کنید.

• اطلاعات شخصی و مالی خود را در اختیار افراد ناشناس قرار ندهند.

مهاجمان اغلب با درخواست اطلاعات شخصی و مالی از قربانیان، آنها را فریب می‌دهند. کاربران باید هیچ‌گاه اطلاعات شخصی و مالی خود را در اختیار افراد ناشناس قرار ندهند.

• از نرم‌افزارهای امنیتی مناسب برای محافظت از سیستم‌های خود استفاده کنند.

نرم‌افزارهای امنیتی می‌توانند تا حد زیادی از سیستم‌های کاربران در برابر حملات سایبری، از جمله حملات مهندسی اجتماعی، محافظت کنند. کاربران باید از نرم‌افزارهای امنیتی مناسب برای محافظت از سیستم‌های خود استفاده کنند.

• از آموزش‌های مربوط به امنیت سایبری بهره‌مند شوند.

آموزش‌های مربوط به امنیت سایبری می‌توانند به کاربران کمک کنند تا در برابر حملات مهندسی اجتماعی آگاهانه‌تر عمل کنند. کاربران باید از آموزش‌های مربوط به امنیت سایبری بهره‌مند شوند.

سازمان‌ها نیز باید اقدامات زیر را برای پیشگیری از حملات مهندسی اجتماعی انجام دهند:

• آموزش‌های مربوط به امنیت سایبری را برای کارکنان خود برگزار کنند.

سازمان‌ها باید آموزش‌های مربوط به امنیت سایبری را برای کارکنان خود برگزار کنند تا آنها را در برابر حملات مهندسی اجتماعی آگاه سازند.

• از نرم‌افزارهای امنیتی مناسب برای محافظت از شبکه‌های خود استفاده کنند.

سازمان‌ها باید از نرم‌افزارهای امنیتی مناسب برای محافظت از شبکه‌های خود استفاده کنند تا از آنها در برابر حملات سایبری، از جمله حملات مهندسی اجتماعی، محافظت کنند.

• سیاست‌های امنیتی مناسبی را برای مدیریت اطلاعات حساس تدوین کنند.

سازمان‌ها باید سیاست‌های امنیتی مناسبی را برای مدیریت اطلاعات حساس تدوین کنند تا از دسترسی غیرمجاز به این اطلاعات جلوگیری کنند.

با رعایت این نکات، می‌توان تا حد زیادی از حملات مهندسی اجتماعی جلوگیری کرد یا آسیب‌های ناشی از آن را کاهش داد.

چند فیلم معروف مهندسی اجتماعی

فیلم‌های زیادی وجود دارند که به موضوع مهندسی اجتماعی می‌پردازند. در اینجا چند مورد از معروف‌ترین آنها آورده شده است:

• The Conversation (1974): این فیلم داستان یک شنونده حرفه‌ای را روایت می‌کند که به تدریج متوجه می‌شود که در یک توطئه سیاسی گرفتار شده است.

• The Net (1995): این فیلم داستان یک زن را روایت می‌کند که پس از اینکه هویت او توسط یک گروه هکر ربوده می‌شود، به دنبال انتقام می‌رود.
• The Social Network (2010): این فیلم داستان بن زاکربرگ، بنیانگذار فیس‌بوک را روایت می‌کند و به چگونگی استفاده او از مهندسی اجتماعی برای ایجاد یکی از محبوب‌ترین شبکه‌های اجتماعی در جهان می‌پردازد.
• The Fifth Estate (2013): این فیلم داستان جولیان آسانژ، بنیانگذار ویکی‌لیکس را روایت می‌کند و به چگونگی استفاده او از مهندسی اجتماعی برای انتشار اسناد محرمانه دولتی می‌پردازد.
• Mr. Robot (2015-2019): این سریال تلویزیونی داستان الیوت آلدرسون، یک مهندس امنیت سایبری را روایت می‌کند که به یک گروه هکر می‌پیوندد تا با شرکت‌های بزرگ مبارزه کند.

این فیلم‌ها می‌توانند به شما کمک کنند تا در برابر حملات مهندسی اجتماعی آگاه‌تر شوید. آنها نشان می‌دهند که چگونه مهاجمان از احساسات، عواطف و نقاط ضعف انسانی برای فریب قربانیان خود استفاده می‌کنند.