کارکنان باید اهمیت محافظت از خود و سازمانشان دربرابر انواع حملات مهندسی اجتماعی را درک کنند تا اولین خط دفاعی باشند و گامهای پیشگیرانه برای محافظت از اطلاعات شخصی، دستگاهها و شبکههای سازمان را بردارند. عنصر اساسی در این زمینه، مشارکت دادن کارکنان به هر طریقی در پذیرش و انجام مسئولیتهای امنیتی است.
توصیه میکنیم تنظیمات رسانههای اجتماعی خود را به «Friends only» تبدیل کنید و مراقب آنچه به اشتراک میگذارید باشید. لازم نیست بسیار حساس و بدگمان باشید، فقط مراقب باشید.
حملات طعمهگذاری لزوماً در دنیای فیزیکی رخ نمیدهد. بلکه به شکل آنلاین نیز ممکن است اتفاق بیفتد. در این صورت به شکل تبلیغات فریبندهای است که کاربر را تشویق به ورود به سایتهای مخرب کرده یا کاربران را به دانلود یک برنامه آلوده به بدافزار ترغیب میکند.
پایان رپورتاژ آگهی/.
وقتی به امنیت سایبری فکر میکنیم، بیشتر سوءاستفاده هکرها از ضعفهای امنیتی و مقابله با آنها به ذهنمان خطور میکند اما راه دیگری برای نفوذ به سازمانها و شبکهها وجود دارد و آن بهرهجویی از ضعف انسانی است که اغلب بهعنوان مهندسی اجتماعی (Social Engineering) شناخته میشود و شامل فریب دادن کاربران به منظور افشای اطلاعات یا فراهم کردن امکان دسترسی به دادههای شبکه است.
بهانهسازی
بستههای امنیتی بیتدیفندر برای سازمانها
به زبان ساده، مهندسی اجتماعی فریب دادن افراد جهت فراهم کردن امکان دستکاری و نفوذ مهاجمان به شبکه یا افشای اطلاعات یا دادههای آن است.
انواع حملات مهندسی اجتماعی
اگر درخصوص منبع ارسال ایمیل یا پیامی شک دارید، میتوانید به سایت رسمی بروید و با نماینده رسمی تماس بگیرید؛ آنها میتوانند تأیید کنند که ایمیل/پیام رسمی یا جعلی است.
آنها چه اطلاعاتی از شما میدانند؟
اگر راهکار امنیت ایمیل شما به اندازه کافی هرزنامه (Spam) را فیلتر نمیکند یا ایمیلها را بهعنوان ایمیل مشکوک علامتگذاری نمیکند، ممکن است لازم باشد تنظیمات آن را تغییر دهید. فیلترهای هرزنامه مناسب در راهکارهای امنیتی، از انواع مختلفی از اطلاعات برای تعیین اینکه کدام ایمیلها احتمالاً اسپم هستند استفاده میکنند. آنها ممکن است فایلها یا پیوندهای مشکوک را شناسایی کرده و ممکن است فهرست از نشانیهای IP مشکوک یا شناسههای فرستنده این نوع پیامها را در اختیار داشته باشند، یا ممکن است محتوای پیامها را تحلیل کنند تا تشخیص دهند که کدام یک احتمالاً جعلی هستند.
آیا این واقع بینانه است؟
انواع مختلفی از حملات مهندسی اجتماعی وجود دارد. بنابراین درک تعریف مهندسی اجتماعی و همچنین نحوه کارکرد آن حائز اهمیت است. به محض درک روشهای اساسی این تکنیک، تشخیص حملات مهندسی اجتماعی بسیار آسانتر خواهد بود.
طعمهگذاری
اعتقاد بر این است که «در یک مبادله عادلانه سرقتی در کار نیست»، اما در این مورد چنین است. بسیاری از حملات مهندسی اجتماعی باعث میشوند که قربانیان این باور را داشته باشند که در ازای دادهها یا دسترسیهایی که ارائه میکنند چیزی دریافت میکنند.Scareware با ادعای اینکه سیستم کاربر به بدافزار آلوده است او را ترغیب به نصب یک نرمافزار میکند.Scareware به کاربران در ازای دریافت داده، نوید یک بهروزرسانی جهت مقابله با یک مشکل امنیتی فوری را میدهد. درحالیکه درواقع، scareware هیچ منفعتی (به جزء برای مجرم) ندارد و صرفاً یک تهدید امنیتی مخرب است.
ارسال هرزنامه و هک ایمیل
ویشینگ و اسمیشینگ (Vishing Smishing,) نوعی دیگر از حملات مهندسی اجتماعی و انواعی دیگر از حملات فیشینگ هستند. «ماهیگیری صوتی» یا فیشینگ صوتی (Vishing) به معنای برقراری تماس تلفنی از سوی مهاجم و درخواست داده است. اینگونه تماسها معمولاً در زمانهای پراسترس اتفاق میافتد تا احساس فوریت ایجاد کنند و گیرنده تماس فریب خورده و اطلاعات شخصی و مهم درخواست شده را در اختیار آنها قرار دهد. مهاجم ممکن است بهعنوان یک همکار ظاهر شود و تظاهر کند که از بخش فناوری اطلاعات تماس گرفته و اطلاعات ورود به سیستم را از او درخواست کند. Smishing هم از پیامهای SMS که حاوی پیوند است جهت دستیابی به اطلاعات قربانی یا نصب بدافزار روی دستگاه کاربر استفاده میکند.
ترسافزار
بهجای ارائه اطلاعات در تلفن یا کلیک کردن روی یک پیوند، با شماره رسمی و معتبر آن مرجع تماس بگیرید یا ازطریق URL رسمی سایت وارد شوید. برای بررسی اعتبار منبع از روش ارتباطی متفاوتی استفاده کنید. بهعنوان مثال، اگر از دوستی ایمیلی دریافت کردید که از شما میخواهد پول ارسال کنید، ازطریق تلفن همراه به او پیامک ارسال کنید یا با او تماس بگیرید تا مطمئن شوید که آیا واقعاً اوست یا خیر.
درخواست کردن مدرک شناسایی معتبر
حملات فیشینگ (Phishing) یعنی ارسال یک ایمیل یا پیام متنی که در ظاهر از یک منبع قابل اعتماد ارسال شده است. بهعنوان مثال ایمیلی ظاهراً از سوی یک بانک ارسال میشود که از مشتریان درخواست میکند که اطلاعات امنیتی خود را تأیید کنند و آنها را به یک سایت جعلی هدایت میکند که در آن نام کاربری و رمز عبور خود را ثبت میکنند. در «فیشینگ نیزهای» (Spear Phishing) نیز مهاجمان، شخصی را در یک شرکت خاص مورد هدف قرار میدهند و ایمیلی را ارسال میکنند که ظاهراً از سوی یک مدیر سطح بالاتر در شرکت میآید و اطلاعات محرمانه را درخواست میکنند.
ویشینگ و اسمیشینگ
تعریف مهندسی اجتماعی
بنابراین مهم است که ضمن بکارگیری راهکارها و استراتژیهای امنیتی، از قربانی شدن جلوگیری کنید. ازاینرو هوشیار بودن و بکارگیری نکات زیر میتواند به شناسایی حملات مهندسی اجتماعی کمک کند:
بررسی منبع ارسال کننده ایمیل
با دانلود رایگان بیتدیفندر و استفاده از ابزارهای امنیتی آن برای کاربران خانگی میتوانید بدافزارها، شبکههای بیسیم نا ایمن ، ویروسها و سایتهای مشکوک را تشخیص داده و قبل از وقوع حمله از آن جلوگیری به عمل آورید.
فیشینگ اغلب میتواند بخشی از استراتژی اولیه حمله مهاجمان جهت دسترسی و نفوذ به یک شبکه باشد. ازاینرو توصیه میشود که سازمانها جهت آگاهیبخشی و هوشیاری کاربران دربرابر تهدیدات فیشینگ از سرویسهای شبیهسازی فیشینگ استفاده کنند. همچنین آموزش کاربران در خصوص شیوهها و واکنش مناسب هنگام مواجه با حملات فیشینگ هدفمند نیز در دستور کار قرار گیرد.
شکستن حلقه مهندسی اجتماعی
همچنین میتوان با استفاده از ابزارهای امنیتی احتمال وقوع این حملات را کاهش داد. ابزارهایی مانند آنتیویروسها، افزونههای امنیتی مرورگرها و اسکن شبکههای بیسیم با مشخص کردن وبسایتها ایمن یا مشکوک در زمان و منابع شما برای بررسی آنها صرفهجویی میکنند.
زمانیکه احساس فوریت در یک مکالمه میکنید و تماسی اضطراری با شما گرفته میشود، بسیار محتاط باشید. این روش متداول تبهکاران سایبری است تا مانع فکر کردن قربانیان به این موضوع شوند. اگر احساس عدم اطمینان و امنیت میکنید، سرعت کار را کم کنید. بگویید که برای ارائه اطلاعات به زمان نیاز دارید، باید از مدیر خود بپرسید، در حال حاضر جزئیات صحیح را در اختیار ندارید؛ یا هر چیز دیگری که سرعت کار را کاهش دهد و به خودتان فرصت فکر کردن بدهید.
همچنین آنتیویروسها با شناسایی بدافزارها، حملات فیشینگ را قبل از اینکه شما را فریبدهند شناسایی و مسدود میکنند.
لذا آموزش مفاهیم امنیتی به کارکنان و آگاهیرسانی در خصوص چگونگی شناسایی تهدیدات سایبری منجر به حفظ امنیت سایبری سازمان میشود. این آموزش میتواند اطلاعات مفیدی در زمینه سناریوها و تکنیکهای جدید حمله به کارکنان ارائه دهد.
آموزش کاربران در خصوص شناسایی حملات فیشینگ
این حمله از بهانهسازی (Pretexting) جهت جلب توجه و جذب قربانی به ارائه اطلاعات استفاده میکند. بهعنوان مثال، یک نظرسنجی اینترنتی ممکن است کاملاً بیخطر به نظر برسد اما سپس جزئیات حساب بانکی را بپرسد. در حملات Pretexting ممکن است مهاجم با جعل هویت همکاران، پلیس، مقامات بانکی و مالیاتی یا سایر افراد، سوالاتی را مطرح کند که ظاهراً برای تائید هویت قربانی لازم است و ازطریق آن اطلاعات حساس و حیاتی او نظیر شمارههای تأمین اجتماعی، آدرسهای شخصی و شماره تلفنها، سوابق تلفن، تاریخ تعطیلات کارکنان، سوابق بانکی و … را جمعآوری میکند.
فیشینگ
آنتیویروس بیتدیفندر ارائهدهنده بهترین راهکارهای پیشگیری، تشخیص و پاسخ به تهدیدات در سطح جهان است. بیتدیفندر میتواند سازمان شما را دربرابر هر نوع تهداد مداخله جویانه ایمن نگهدارد.
حملات مهندسی اجتماعی بسیار خطرناک است زیرا از موقعیتهای کاملاً عادی سوءاستفاده میکند و آنها را برای اهداف مخرب بکار میگیرد. بااینحال، با آگاهی کامل از نحوه کارکرد آن و انجام اقدامات احتیاطی اولیه، احتمال اینکه قربانی مهندسی اجتماعی شوید، بسیار کمتر خواهد بود.
همین امر در مورد سایر رویکردها نیز صدق میکند. بررسی نام و شماره هر کسی که با شما تماس میگیرد را مدنظر داشته باشید؛ به چه کسی گزارش میدهید؟ سادهترین پاسخی که میدهید سؤال درخصوص نام آن شخص است درخواستکننده اطلاعات باشد. سپس بهسادگی فهرست تلفن آن سازمان را قبل از ارائه هرگونه اطلاعات خصوصی یا دادههای شخصی بررسی کنید. اگر فرد درخواستکننده اطلاعات را نمیشناسید و هنوز اعتماد نمیکنید که اطلاعات مطالبه شده را در اختیار او قرار دهید، به او بگویید که باید با شخص دیگری چک کنید و با او تماس خواهید گرفت.
بکارگیری راهکار امنیتی جهت پالایش و فیلتر هرزنامه
مقابله با حملات مهندسی اجتماعی بسیار دشوار است، زیرا اینگونه حملات به صراحت با سوءاستفاده از احساسات انسانی نظیر کنجکاوی، ترس و تمایل به کمک به دوستان طراحی شدهاند و از این طریق قربانی را به دام میکشند. مهاجمان در اینگونه حملات تلاش میکنند تا اعتماد و احساس فوریت را به حداکثر برسانند تا کاربران را متقاعد کنند تا اطلاعات اصالتسنجی خود را وارد کنند.
برخی از حملات مهندسی اجتماعی با فریب دادن شما به اینکه نیازی به بررسی دقیقتر نیست، عمل میکنند و وانمود میکنند که ایمیل ارسالی کاملاً واقعی است. مثلا:
- آیا این احتمال وجود دارد که یک شاهزاده نیجریهای یک میلیون دلار در وصیتنامه خود برای شما باقی گذاشته باشد؟
- آیا بانک زنگ میزند و جزئیات حساب شما را میپرسد؟ درواقع، بسیاری از بانکها زمان برقراری تماس یا ارسال ایمیل با مشتریان خود را نیز یادداشت میکنند. بنابراین اگر مطمئن نیستید، صحت تماس یا پیام/ایمیل ارسالی از بانک را سؤال و بررسی بفرمائید.
خیلی تند نرو
نوع دیگری از حملات مهندسی اجتماعی شامل هک ایمیل یا حسابهای مربوطبه رسانههای اجتماعی افراد جهت دسترسی به مخاطبان آنها است. در اینگونه حملات پس از هک حساب کاربری افراد، ممکن است به مخاطبان آنها گفته شود که مدارک فرد و تمام کارتهای اعتباری او مورد سرقت قرار گرفته و از آنها خواسته شود تا پول را به حساب دیگری واریز کنند. یا ممکن است اقدام به ارسال ویدیویی کنند که درواقع لینکی به یک بدافزار یا یک تروجان (Keylogging Trojan) است.
کشاورزی در مقابل شکار
تکنیکهای مهندسی اجتماعی اغلب احساس فوریت را به کاربران القاء میکند. مهاجمان امیدوارند که قربانیان در مورد آنچه در حال وقوع است فکر نکنند. بنابراین فقط یک لحظه فکر کردن میتواند از این حملات جلوگیری کند یا تقلبی بودن آنها را نشان دهند.
درنهایت، آگاه باشید که برخی از حملات مهندسی اجتماعی بسیار پیشرفتهتر هستند. بیشتر رویکردهای سادهای که تاکنون شرح دادیم، نوعی «شکار» (Hunting) هستند. اساساً مهاجمان در این حملات نفوذ میکنند، اطلاعات را دریافت کرده و خارج میشوند.
آیا آن منبع ارسال کننده پیام/ایمیل، اطلاعاتی نظیر نام کامل شما و غیره را که شما انتظار نمیرود در اختیار داشته باشند، دارند؟ به یاد داشته باشید، اگر بانکی با شما تماس میگیرد، باید همه آن دادهها را در اختیار داشته باشد و همیشه قبل از اینکه به شما اجازه ایجاد تغییرات در حسابتان را بدهد، سؤالات امنیتی میپرسد. اگر این کار را نکنند، احتمال اینکه ایمیل/تماس/پیام جعلی باشد به میزان قابل توجهی بیشتر است و باید مراقب باشید.
آموزش امنیت سایبری و در اولویت قرار دادن آگاهیرسانی به کارکنان
بااینحال، در برخی از انواع حملات مهندسی اجتماعی، مهاجمان اقدام به برقراری ارتباط با هدف مورد نظر در یک بازه زمانی طولانیتر میکنند که این تکنیک اغلب بهعنوان «کشاورزی» (Farming) شناخته میشود. این ترفند برای مهاجم خطرناکتر است و احتمال بیشتری وجود دارد که شناسایی شوند اما، اگر نفوذ مهاجمان موفقیتآمیز باشد، میتوانند اطلاعات بسیار بیشتری را استخراج کنند.
پیشگیری از حملات مهندسی اجتماعی
همچنین کمی به ردپای دیجیتالی خود فکر کنید. اشتراکگذاری بیش از حد اطلاعات شخصی بهصورت آنلاین، مانند رسانههای اجتماعی، میتواند به مهاجمان کمک کند. بهعنوان مثال، بسیاری از بانکها «نام اولین حیوان خانگی شما» را بهعنوان یک سؤال امنیتی احتمالی میپرسند. آیا آن را در فیسبوک (Facebook) به اشتراک گذاشتهاید؟ اگر چنین است، ممکن است آسیبپذیر باشید! علاوهبر این، برخی از حملات مهندسی اجتماعی با اشاره به رویدادهای اخیری که ممکن است در شبکههای اجتماعی به اشتراک گذاشته باشید، سعی در دستیابی به اطلاعات اصالتسنجی شما دارند.
یکی از سادهترین حملات مهندسی اجتماعی دور زدن ماموران امنیتی و حفاظتی ساختمانها جهت ورود به یک ساختمان و حمل یک جعبه بزرگ یا دستهای پرونده توسط یک فرد است. در این حالت، فرد دیگری در ورودی را باز نگه میدارد. فریب این را نخورید و همیشه کارت شناسایی معتبر از آنها درخواست کنید.
این مطلب صرفا جنبه تبلیغاتی داشته و یک گیمر هیچ مسئولیتی را در رابطه با آن نمیپذیرد.
طعمهگذاری (Baiting) شامل ایجاد یک عامل تحریککننده یا بکارگیری یک تله نظیر یک USB حاوی بدافزار در مکانهایی است که احتمال دیدن آن توسط قربانی زیاد است. درواقع Baiting، استفاده از رسانههای فیزیکی جهت انتقال بدافزار است. این طعمه، ظاهری بسیار فریبنده دارد، مثلاً روی آن نوشته شده فهرست حقوق و دستمزد کارکنان شرکت. قربانی آن را از روی کنجکاوی برداشته و به سیستم خانه یا محل کار خود میزند و بدافزار اتوماتیک، شروع به نصب روی سیستم میکند.
راهبران امنیتی در سازمان با آموزش، بکارگیری راهکارهای مناسب و پروسههای مؤثر میتوانند به همه کمک کنند تا امنیت سایبری را جدی بگیرند.
ابزارهای رایگان بیتدیفندر
تمامی دستگاههای خود را ایمن کنید تا چنانچه یک حمله مهندسی اجتماعی، موفقیتآمیز باشد، مهاجمان به اطلاعات محدودی دست یابند. اصول اولیه امنیت چه در تلفن هوشمند، یک شبکه خانگی یا یک سیستم بزرگ سازمانی یکسان است.
- نرمافزارهای ضدبدافزار و ضدویروس خود را همواره بهروز نگه دارید. این میتواند به جلوگیری از نصب بدافزارهایی که ازطریق ایمیلهای فیشینگ ارسال میشوند، کمک کند. از راهکارهایی نظیر آنتیویروس بیتدیفندر برای ایمن نگه داشتن شبکه و دادههای خود استفاده کنید.
- تمامی نرمافزارها و سیستمعامل را بهطور منظم بهروز نگه دارید و وصلههای امنیتی را در اسرع وقت اعمال کنید.
- گوشی را در حالت Root یا شبکه یا کامپیوتر شخصی خود را در حالت Administrator اجرا نکنید. در این صورت، حتی در صورت وقوع یک حمله مهندسی اجتماعی و دستیابی مهاجم به رمزهای عبور و نام کاربری حساب شما، به قادر به پیکربندی مجدد سیستم یا نصب نرمافزار روی آن نمیباشند.
- از یک رمز عبور برای حسابهای مختلف استفاده نکنید. در صورت داشتن رمز عبور مشابه برای تمامی حسابهای کاربری، اگر در یک حمله مهندسی اجتماعی، مهاجمان به رمز عبور یکی از حسابهای شما دسترسی پیدا کنند، با آنها میتوانند به تمامی حسابهای دیگر شما نیز نفوذ کنند.
- برای حسابهای مهم، از احراز هویت دو مرحلهای (Two-factor Authentication) استفاده کنید تا مهاجم فقط با داشتن رمز عبور قادر به دستیابی به حساب کاربری نباشد. رمز دوم، ممکن است تشخیص صدا، استفاده از دستگاه امنیتی، اثر انگشت یا کد تأیید پیامکی باشد.
- اگر رمز عبور را به یک حساب کاربری تخصیص دادهاید و فکر میکنید ممکن است مورد حمله مهندسی اجتماعی قرار گرفتهاید، بلافاصله رمز عبور را تغییر دهید.
- بهطور دائمی اخبار مربوطبه تهدیدات سایبری را مطالعه کنید. در این صورت از ترفندهای جدید مهاجمان جهت حمله به سیستمها و سازمانها آشنا خواهید شد و راهکار مقابله و پیشگیری از حملات نوظهور را خواهید یافت؛ در این صورت احتمال قربانی شدن شما بسیار کمتر میشود.
در نظرگرفتن ردپای دیجیتالی خود
قبل از کلیک روی سایت، از ایمن بودن آن مطمئن شوید.
اغلب اوقات، مهندسان اجتماعی اگر متوجه شوند که مزیت غافلگیری را از دست دادهاند، قربانی خود را تحت فشار قرار نمیدهند.
ایمن کردن تمامی دستگاههای شبکه
بهعنوان مثال، یک مهاجم میتواند خود را کارمند Helpdesk معرفی کرده و از کاربران بخواهد اطلاعاتی مانند نام کاربری و رمز عبور خود را ارائه دهند. جای تعجب است که بسیاری از کاربران در این مورد تامل نمیکنند و گمان میکنند که این اطلاعات توسط یکی از کارمندان بخش فناوری اطلاعات درخواست شده است.
با خرید بستههای امنیتی بیتدیفندر از سایت bitav.ir برای کسب و کارهای کوچک تا سازمانهای بزرگ از خدمات پشتیبانی ویژه و تخفیف در تمدید سالانه بهرهمند شوید.
به سایر جنبههای زندگی خود که بهصورت آنلاین به اشتراک میگذارید فکر کنید. بهعنوان مثال، اگر یک رزومه آنلاین دارید، باید نشانی، شماره تلفن و تاریخ تولد خود را ویرایش کنید؛ تمام اطلاعات مفید برای هر کسی که قصد اجرای یک حمله از نوع مهندسی اجتماعی را دارد. با اینکه برخی از حملات مهندسی اجتماعی قربانی را عمیقاً درگیر نمیکند، برخی دیگر به دقت آماده دستیابی به اطلاعات شما هستند، اطلاعات کمتری در اختیار این مجرمان قرار بدهید.
ابزار پیشگیری از حملات مهندسی اجتماعی
لحظهای به منبع ارسالکننده پیام فکر کنید. کورکورانه به هیچ پیام یا ایمیلی اعتماد نکنید. یک USB روی میز خود مشاهده میکنید ولی نمیدانید چیست؟ یک تماس تلفنی غیر منتظره دریافت میکنید که ادعا میکند شما برنده 5 میلیون دلار شدهاید؟ ایمیلی از مدیرعامل خود دریافت میکنید که در آن اطلاعات زیادی در خصوص کارکنان از شما درخواست میکند. همه این موارد مشکوک به نظر میرسند و باید با آنها با احتیاط و هشیاری برخورد کرد.
متأسفانه، شانس اغلب به نفع مهاجمان است، زیرا آنها برای دسترسی به شبکه یک سازمان تنها به یک فرد ناآگاه نیاز دارند تا روی یک پیوند مخرب کلیک کند یا اطلاعات اصالتسنجی خود را وارد کند. مهاجمان بهطور مستمر در حال توسعه تکنیکهای خود هستند تا شبکههای بیشتری را شناسایی و به آنها نفوذ کنند. حتی همکاران یا شرکای تجاری نیز میتوانند اهداف غیرمستقیمی برای مهاجمان جهت دستیابی به اطلاعات یا بهبود شانس نفوذ آنها به شبکه مورد نظر باشند.
البته بررسی منبع ارسال پیام کار چندان دشواری نیست. بهعنوان مثال، هنگام دریافت یک ایمیل مشکوک، به هدر (Header) ایمیل نگاه کنید و ایمیلهای معتبر قبلی از همان فرستنده را بررسی کنید. به نشانی که پیوندها شما را هدایت میکنند، با دقت نگاه کنید؛ هایپرلینکهای جعلی را بهراحتی میتوان با نگه داشتن مکاننما روی آنها تشخیص داد (هر چند روی پیوند کلیک نکنید!) املای آن را بررسی کنید: بانکها تیمهای اختصاصی از افراد واجد شرایط جهت ارتباط با مشتریان دارند، بنابراین یک ایمیل با خطاهای آشکار املایی، احتمالاً جعلی است.
تحریریه مجله بازی یک گیمر