رایجترین تکنیک مهندسی اجتماعی، فیشینگ، از ایمیلهایی که وانمود میکنند از منابع معتبر ارسال شدهاند، برای فریب قربانیان استفاده میکند. روشهای معمول شامل لینکهایی به صفحات ورود جعلی برای سرقت اطلاعات کاربری یا پیوستهای آلوده به بدافزار است. با پیشرفت هوش مصنوعی پردازش زبان طبیعی، ایمیلهای فیشینگ هدفمند (Spear Phishing) واقعیتر شده و تشخیص آنها برای کاربران دشوارتر شده است.
ویشینگ – فریب از طریق تماس تلفنی
ترکیب تلفن و فیشینگ، ویشینگ (Vishing)، از تماسهای تلفنی جعلی استفاده میکند که خود را بانک، پشتیبانی فنی و غیره معرفی کرده و سعی دارند از طریق مکالمه، اطلاعات حساس کاربران را استخراج کنند. ازآنجاکه تماسهای تلفنی فاقد نشانههای بصری هستند، ویشینگ چالشی منحصربهفرد در مهندسی اجتماعی ایجاد میکند.
طعمهگذاری – سوءاستفاده از حس کنجکاوی انسان
در طعمهگذاری (Baiting)، مهاجم از وسایل ذخیرهسازی آلوده مانند فلش USB استفاده کرده و با تحریک حس کنجکاوی یا وسوسهی انسانها، قربانی را به اتصال آن به سیستمهای سازمانی ترغیب میکند. این بدافزار سپس شبکهها و دادهها را آلوده میکند، بهطوریکه حتی ابزارهای امنیتی نیز ممکن است نتوانند آن را شناسایی کنند.
پیشزمینهسازی – ایجاد زمینهی جعلی
Pretexting تکنیکی است که در آن مهاجم یک هویت، داستان یا موقعیت جعلی را ایجاد میکند تا یک مکالمهی طبیعی با قربانی شکل بگیرد. سپس از طریق این مکالمه، اطلاعات حساس را از کارمندان فریبخورده استخراج میکند. مهاجمان اغلب خود را بهعنوان مشاوران خارجی، بازرسان یا حسابرسان جا میزنند تا دلیلی قانعکننده برای درخواست اطلاعات محرمانه داشته باشند.
معاملهی پایاپای – فریب با پیشنهاد خدمات یا امتیاز
در روش Quid Pro Quo، مهاجم در ازای دریافت اطلاعات حساس، یک خدمت، محصول یا امتیاز فریبنده به قربانی پیشنهاد میدهد. بهعنوانمثال، سازمانهای کلاهبردار ممکن است بهعنوان مراکز درمانی جعلی، وعدهی "درمان" بیمار را داده و در عوض، اطلاعات بیمهای یا سوابق پزشکی وی را دریافت کنند.
نفوذ فیزیکی – سوءاستفاده از فضاهای امنیتی
Tailgating (دنبالروی فیزیکی) روشی است که مهاجم بدون داشتن مدارک معتبر ورود، همراه با یک فرد مجاز از دربهای امنیتی عبور میکند. این روش برخلاف سایر تکنیکها نیازی به فریب دیجیتالی ندارد، بلکه بر بیمیلی طبیعی انسانها به زیر سؤال بردن افرادی که از قبل مجوز ورود دارند، متکی است.
محافظت در برابر مهندسی اجتماعی
بروزرسانی نرمافزارها
بروزرسانی مداوم نرمافزارها، آسیبپذیریهای امنیتی سیستمهای سازمانی را کاهش میدهد و حتی در صورت موفقیت اولیه یک حملهی مهندسی اجتماعی، فرصت سوءاستفادهی بیشتر را محدود میکند. سیستمعاملهای مدرن دارای ویژگیهایی هستند که بردارهای رایج حملات مهندسی اجتماعی را مسدود کرده و سطح حفاظت را افزایش میدهند.
اجرای اصل حداقل دسترسی (Least Privilege Principle)
محدود کردن دسترسی غیرضروری کارکنان به دادههای محرمانه و سیستمهای حیاتی از شدت خسارات در صورت فریب خوردن یک کارمند جلوگیری میکند. اگر اطلاعات ورود کارکنان از طریق مهندسی اجتماعی لو برود، مهاجم در مقایسه با کارکنانی که دسترسیهای گسترده دارند، خسارت کمتری میتواند وارد کند.
برگزاری تمرینهای آموزشی
اجرای آزمایشهای فیشینگ شبیهسازیشده و کلاهبرداریهای تلفنی، آگاهی کارکنان را افزایش داده و آنها را در برابر تاکتیکهای واقعی مقاومتر میکند. نمایش مثالهای واقعی از فریبکاری، غرایز دفاعی کارکنان را تقویت میکند.
تدوین دستورالعملهای ارتباطی
ایجاد سیاستهای رسمی برای ارتباطات از طریق تلفن، ایمیل و پیامرسانها، احتیاط را در برابر درخواستهای غیرعادی یا اضطراری برای اشتراکگذاری اطلاعات یا انجام تراکنشها تقویت میکند. داشتن دستورالعملهای مشخص، به تصمیمگیری در موقعیتهای پرخطر و مبهم کمک میکند.
ترویج فرهنگ هوشیاری
فراتر از سیاستها و فرآیندهای رسمی، ایجاد فرهنگی که کارکنان را به دقت در رفتارها و ارتباطات مشکوک تشویق کند، حیاتی است. آگاهی کارکنان نسبت به نشانههای فریبکاری مهندسی اجتماعی، تأثیر چشمگیری در جلوگیری از حملات دارد.
فعالسازی احراز هویت چندمرحلهای (MFA)
افزودن عوامل امنیتی مانند اثر انگشت، توکنهای سختافزاری یا کدهای موقتی باعث میشود که حتی اگر مهاجمان اطلاعات ورود را از طریق مهندسی اجتماعی بهدست آورند، نتوانند به سیستمها دسترسی پیدا کنند. احراز هویت چندمرحلهای، اجرای حملات را برای مهاجمان دشوار میکند.
محدود کردن دسترسی به اطلاعات شخصی
کاهش دسترسی کارکنان به اطلاعات مشتریان، شرکا و دادههای سازمانی مانند آدرسها و اطلاعات حساس، توانایی مجرمان سایبری را برای سوءاستفاده از طریق مهندسی اجتماعی کاهش میدهد.
ممیزی و برخورد با نقض امنیتی
انجام ممیزیهای دورهای جهت بررسی رعایت دستورالعملهای امنیتی کارکنان در ارتباطات، دسترسی به دادهها و مجوزهای سیستمی، باعث بهبود پایبندی به قوانین امنیتی میشود. همچنین، همراه کردن اقدامات انضباطی مانند اخطار یا اخراج کارکنان متخلف، از رفتارهای ناایمن جلوگیری میکند.
شخصیتهای کلیدی در مهندسی اجتماعی
فرانک ابگنیل (Frank Abagnale)
تجربهی اولیهی فرانک ابگنیل بهعنوان یک کلاهبردار حرفهای، الهامبخش مسیر کنونی او در مشاورهی مؤسسات برای پیشگیری از تقلب شده است. بسیاری از تاکتیکهای قدیمی او امروزه در حملات مهندسی اجتماعی مورد استفاده قرار میگیرند.
کریستوفر هدنَگی (Christopher Hadnagy)
هدنگی چندین کتاب در مورد مهندسی اجتماعی تألیف کرده، بنیانگذار گواهینامهی حرفهای Social-Engineer است و به دولتها و شرکتها در دفاع در برابر هک انسانی مشاوره میدهد.
کوین میتنیک (Kevin Mitnick)
کوین میتنیک که پیشتر بهعنوان یک هکر معروف در استفاده از مهندسی اجتماعی برای نفوذ به شبکههای شرکتی شناخته میشد، بعدها یک شرکت امنیت سایبری تأسیس کرد و تا زمان درگذشتش در ژوئیه ۲۰۲۳، در مورد روشهای دفاع در برابر همین تکنیکها سخنرانی میکرد.
چشمانداز آیندهی مهندسی اجتماعی
حملات مبتنی بر هوش مصنوعی
پیشرفتهایی مانند مدلهای هوش مصنوعی تولید متن برای ساخت ایمیلهای فیشینگ دقیقتر و تقلید صدا برای خودکارسازی تماسهای ویشینگ، نشاندهندهی افزایش پیچیدگی مهندسی اجتماعی در آینده هستند.
کاهش چرخهی عمر حملات سایبری
کاهش موانع ورود به حوزهی جرایم سایبری، سرعت نوآوری در تکنیکهای حمله را افزایش داده و زمان سازمانها را برای آمادگی در برابر بردارهای جدید حمله، به شدت کاهش داده است.
شکافهای مداوم در آسیبپذیری انسانی
در حالی که فناوری و افزایش آگاهی میتوانند برخی از تاکتیکهای خاص را محدود کنند، آسیبپذیریهای روانشناختی و احساسی انسانها پایدار هستند و نیاز به اقدامات مستمر برای ارتقای بهداشت سایبری دارند.
حال که با مهندسی اجتماعی آشنا شدید، می توانید از دیگر مقالات سایت ایوولرن دیدن کنید.