حملات مهندسی اجتماعی (Social Engineering Attacks) نوعی حمله سایبری هستند که در آن مهاجم از طریق فریب و سوءاستفاده از احساسات و عواطف انسان، به اطلاعات یا سیستمهای قربانی نفوذ میکند. این حملات، یکی از رایجترین و موثرترین انواع حملات سایبری هستند، زیرا به دانش و مهارت فنی زیادی نیاز ندارند و از ضعفهای انسانی برای رسیدن به اهداف خود استفاده میکنند.
تاریخچه مهندسی اجتماعی
تاریخچه مهندسی اجتماعی را میتوان به دوران باستان بازگرداند. برای مثال، در اساطیر یونان، داستان اسب تروآ یکی از نمونههای اولیه مهندسی اجتماعی است. در این داستان، یونانیان برای نفوذ به شهر تروآ، اسبی چوبی را ساختند و آن را به عنوان هدیه برای مردم تروآ فرستادند. مردم تروآ که فریب خورده بودند، اسب را وارد شهر کردند و این امر باعث شد تا یونانیان بتوانند به شهر نفوذ کرده و آن را فتح کنند.

در دوران مدرن، مهندسی اجتماعی برای اولین بار در دهه ۱۹۷۰ میلادی به عنوان یک مفهوم امنیتی شناخته شد. در آن زمان، کوین میتنیک، یکی از معروفترین هکرهای تاریخ، با استفاده از مهندسی اجتماعی، به سیستمهای کامپیوتری مختلفی نفوذ کرد. میتنیک در کتاب خود با عنوان “هنر فریب” (The Art of Deception)، به تشریح تکنیکهای مهندسی اجتماعی پرداخت و باعث شد تا این مفهوم در حوزه امنیت سایبری شناخته شود.
در دهههای اخیر، با گسترش استفاده از فناوریهای دیجیتال، مهندسی اجتماعی نیز به یکی از رایجترین انواع حملات سایبری تبدیل شده است. مهاجمان از طریق مهندسی اجتماعی، میتوانند به اطلاعات حساس افراد و سازمانها دسترسی پیدا کرده و آسیبهای زیادی را به آنها وارد کنند.
تکنیک های حمله مهندسی اجتماعی
تکنیک های حمله مهندسی اجتماعی عبارتند از:
فیشینگ (Phishing)
در این نوع حمله، مهاجم از طریق ایمیل، پیامک یا سایر پیامهای الکترونیکی، قربانی را فریب میدهد تا اطلاعات حساسی مانند نام کاربری، رمز عبور، اطلاعات کارت اعتباری یا اطلاعات شخصی را در اختیار او قرار دهد. برای مثال، مهاجم ممکن است ایمیلی ارسال کند که ظاهراً از طرف بانک قربانی است و از او درخواست کند تا رمز عبور خود را برای تأیید مجدد تأیید کند.
حملات تلفنی (Vishing)
در این نوع حمله، مهاجم با قربانی تماس تلفنی برقرار میکند و با استفاده از ترفندهای مختلف، او را فریب میدهد تا اطلاعات حساسی را در اختیار او قرار دهد. برای مثال، مهاجم ممکن است خود را به عنوان کارمند بانک قربانی معرفی کند و از او درخواست کند تا رمز عبور خود را برای تأیید مجدد تأیید کند.
حملات مهندسی اجتماعی حضوری (Pretexting)
در این نوع حمله، مهاجم با حضور فیزیکی در محل کار یا منزل قربانی، او را فریب میدهد تا اطلاعات حساسی را در اختیار او قرار دهد. برای مثال، مهاجم ممکن است خود را به عنوان کارمند تعمیرات تجهیزات کامپیوتری معرفی کند و از قربانی بخواهد تا کامپیوتر خود را برای بررسی در اختیار او قرار دهد.
حملات مهندسی اجتماعی شبکههای اجتماعی (Social Engineering on Social Media)
در این نوع حمله، مهاجم از طریق شبکههای اجتماعی مانند فیسبوک، توییتر یا اینستاگرام، با قربانی ارتباط برقرار میکند و با استفاده از ترفندهای مختلف، او را فریب میدهد تا اطلاعات حساسی را در اختیار او قرار دهد. برای مثال، مهاجم ممکن است خود را به عنوان دوست قدیمی قربانی معرفی کند و از او درخواست کند تا اطلاعات شخصی خود را به او بدهد.
مراحل مختلف انجام حملات مهندسی اجتماعی چه چیزهایی هستند؟
حملات مهندسی اجتماعی معمولاً در چهار مرحله انجام میشوند:
- جمعآوری اطلاعات
در این مرحله، مهاجم اطلاعات لازم را در مورد قربانی جمعآوری میکند. این اطلاعات میتواند شامل نام، نام خانوادگی، شماره تلفن، آدرس ایمیل، اطلاعات کارت اعتباری، اطلاعات حساب بانکی و غیره باشد. مهاجم میتواند این اطلاعات را از طریق منابع مختلفی مانند شبکههای اجتماعی، وبسایتها، تبلیغات و غیره جمعآوری کند.
- پبرقراری ارتباط
در این مرحله، مهاجم با قربانی ارتباط برقرار میکند. این ارتباط میتواند از طریق ایمیل، تلفن، شبکههای اجتماعی یا حضوری باشد. مهاجم در این مرحله سعی میکند تا اعتماد قربانی را جلب کند و احساس اضطرار یا فوریت در او ایجاد کند.
- بهرهبرداری
در این مرحله، مهاجم از اطلاعات جمعآوری شده در مرحله اول و اعتماد ایجاد شده در مرحله دوم، برای فریب قربانی و دستیابی به اهداف خود استفاده میکند. مهاجم ممکن است از قربانی درخواست کند تا اطلاعات حساسی را در اختیار او قرار دهد، روی پیوندی کلیک کند یا نرمافزاری را دانلود کند.
- اجرا
در این مرحله، مهاجم از اطلاعات یا دسترسی به سیستمهای قربانی برای اجرای اهداف خود استفاده میکند. این اهداف میتواند شامل سرقت اطلاعات شخصی و مالی، انتشار اطلاعات محرمانه، آسیبرسانی به سیستمهای فناوری اطلاعات یا ایجاد اختلال در کسبوکار باشد.
حملات مهندسی اجتماعی میتوانند بسیار پیچیده باشند و مهاجمان از تکنیکهای مختلفی برای اجرای آنها استفاده میکنند. با این حال، مراحل کلی انجام این حملات معمولاً مشابه است.
پیشگیری از مهندسی اجتماعی
حملات مهندسی اجتماعی یکی از رایجترین و موثرترین انواع حملات سایبری هستند. این حملات از طریق فریب و سوءاستفاده از احساسات و عواطف انسان، به اطلاعات یا سیستمهای قربانی نفوذ میکنند.
برای پیشگیری از حملات مهندسی اجتماعی، کاربران باید موارد زیر را رعایت کنند:
- هوشیار باشند و در برابر درخواستهای غیرمعمول و مشکوک، مقاومت کنند.
این مهمترین نکته در پیشگیری از حملات مهندسی اجتماعی است. کاربران باید همیشه هوشیار باشند و در برابر درخواستهای غیرمعمول و مشکوک، مقاومت کنند. برای مثال، اگر ایمیلی دریافت کردید که ظاهراً از طرف بانک شما است و از شما درخواست میکند تا رمز عبور خود را برای تأیید مجدد تأیید کنید، باید ابتدا صحت این ایمیل را بررسی کنید.
- اطلاعات شخصی و مالی خود را در اختیار افراد ناشناس قرار ندهند.
مهاجمان اغلب با درخواست اطلاعات شخصی و مالی از قربانیان، آنها را فریب میدهند. کاربران باید هیچگاه اطلاعات شخصی و مالی خود را در اختیار افراد ناشناس قرار ندهند.
- از نرمافزارهای امنیتی مناسب برای محافظت از سیستمهای خود استفاده کنند.
نرمافزارهای امنیتی میتوانند تا حد زیادی از سیستمهای کاربران در برابر حملات سایبری، از جمله حملات مهندسی اجتماعی، محافظت کنند. کاربران باید از نرمافزارهای امنیتی مناسب برای محافظت از سیستمهای خود استفاده کنند.
- از آموزشهای مربوط به امنیت سایبری بهرهمند شوند.
آموزشهای مربوط به امنیت سایبری میتوانند به کاربران کمک کنند تا در برابر حملات مهندسی اجتماعی آگاهانهتر عمل کنند. کاربران باید از آموزشهای مربوط به امنیت سایبری بهرهمند شوند.
سازمانها نیز باید اقدامات زیر را برای پیشگیری از حملات مهندسی اجتماعی انجام دهند:
- آموزشهای مربوط به امنیت سایبری را برای کارکنان خود برگزار کنند.
سازمانها باید آموزشهای مربوط به امنیت سایبری را برای کارکنان خود برگزار کنند تا آنها را در برابر حملات مهندسی اجتماعی آگاه سازند.
- از نرمافزارهای امنیتی مناسب برای محافظت از شبکههای خود استفاده کنند.
سازمانها باید از نرمافزارهای امنیتی مناسب برای محافظت از شبکههای خود استفاده کنند تا از آنها در برابر حملات سایبری، از جمله حملات مهندسی اجتماعی، محافظت کنند.
- سیاستهای امنیتی مناسبی را برای مدیریت اطلاعات حساس تدوین کنند.
سازمانها باید سیاستهای امنیتی مناسبی را برای مدیریت اطلاعات حساس تدوین کنند تا از دسترسی غیرمجاز به این اطلاعات جلوگیری کنند.
با رعایت این نکات، میتوان تا حد زیادی از حملات مهندسی اجتماعی جلوگیری کرد یا آسیبهای ناشی از آن را کاهش داد.
چند فیلم معروف مهندسی اجتماعی
فیلمهای زیادی وجود دارند که به موضوع مهندسی اجتماعی میپردازند. در اینجا چند مورد از معروفترین آنها آورده شده است:
- The Conversation (1974): این فیلم داستان یک شنونده حرفهای را روایت میکند که به تدریج متوجه میشود که در یک توطئه سیاسی گرفتار شده است.
- The Net (1995): این فیلم داستان یک زن را روایت میکند که پس از اینکه هویت او توسط یک گروه هکر ربوده میشود، به دنبال انتقام میرود.
- The Social Network (2010): این فیلم داستان بن زاکربرگ، بنیانگذار فیسبوک را روایت میکند و به چگونگی استفاده او از مهندسی اجتماعی برای ایجاد یکی از محبوبترین شبکههای اجتماعی در جهان میپردازد.
- The Fifth Estate (2013): این فیلم داستان جولیان آسانژ، بنیانگذار ویکیلیکس را روایت میکند و به چگونگی استفاده او از مهندسی اجتماعی برای انتشار اسناد محرمانه دولتی میپردازد.
- Mr. Robot (2015-2019): این سریال تلویزیونی داستان الیوت آلدرسون، یک مهندس امنیت سایبری را روایت میکند که به یک گروه هکر میپیوندد تا با شرکتهای بزرگ مبارزه کند.
این فیلمها میتوانند به شما کمک کنند تا در برابر حملات مهندسی اجتماعی آگاهتر شوید. آنها نشان میدهند که چگونه مهاجمان از احساسات، عواطف و نقاط ضعف انسانی برای فریب قربانیان خود استفاده میکنند.