حملات مهندسی اجتماعی و دسترسی به اطلاعات فردی میتواند توسط افراد معمولی صورت بگیرد، بنابراین کاربر باید همیشه نسبت به محیط اطراف آگاه باشد.
به گزارش پایداری ملی، مهندسی اجتماعی یا social engineering، سوءاستفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است که به کمک مجموعهای از تکنیکها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد میکند.
در سیستم مهندسی اجتماعی، مهاجم به جای استفاده از روشهای معمول و مستقیم نفوذ جمعآوری اطلاعات و عبور از دیواره آتش برای دسترسی به سیستمهای سازمان و پایگاه دادههای آن، از مسیر انسانهایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیکهای فریفتن، به جمعآوری اطلاعات در راستای دستیابی به خواستههای خود اقدام میکند.
دفاع در مقابل حملات مهندسی اجتماعی سختتر از دفاع در برابر سایر مخاطرات امنیتی است، زیرا رفتارها و واکنش های افراد بسیار پیچیده و غیرقابل پیشبینی است؛ بنابراین برای دفاع در مقابل حملات مهندسی اجتماعی، به شناسایی محرکهای روانشناسی متقاعدسازی و سپس تکنیکهای مورد استفاده در حملات نیاز است.
با توجه به اطلاعات سایت مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر)، بسیاری از حملات مهندسی اجتماعی نیازی به اطلاعات فنی تخصصی ندارند و لازم نیست که یک متخصص رایانه و یک هکر حرفهای به شما حمله کند، بلکه هر یک از افراد جامعه میتواند نقش یک مهاجم را ایفا کند، بنابراین باید همیشه نسبت به محیط اطراف آگاه بود.
حالتهای خاص روانی و فریبندگی
حملات مهندسی اجتماعی شما را در حالتهایی نظیر اضطراب، هیجان، ترس و به صورت کلی حالات خاص روانی قرار میدهند تا تمرکز و توان تصمیمگیری شما را کاهش دهند، لذا باید از تصمیمگیریهای شتابزده پرهیز کرد.
در اکثر حملات مهندسی اجتماعی پیشنهاداتی به شما ارائه میشود که در نگاه اول بسیار پرسود و جذاب به نظر میآیند، اما باید بر وسوسه پاسخگویی به این دسته از پیشنهادات غلبه کرد، زیرا برخی از آنها طعمههایی برای حملات مهندسی اجتماعی هستند.
حملات صیادی و هرزنامه
در یک حمله صیادی، ابتدا مهاجم طعمه خود را که معمولا پیامی جعلی با ظاهری مشابه پیام های یک نهاد معتبر (نظیر بانک) است، برای تعداد زیادی از کاربران ارسال میکند. در گام بعد مهاجم منتظر می ماند؛ به این امید که افراد هدف حمله، فریب خورده و خود را در دام وی گرفتار کنند. حال ممکن است این کار با کلیک بر روی یک پیوند صورت گیرد یا ارسال مشخصات فردی.
طعمهگذاری
طعمهگذاری با استفاده از ابزارهای فیزیکی انجام میشود. مهاجم وسایلی نظیر لوح فشرده و فلش دیسک که حاوی بدافزار هستند را به عناوین مختلفی نظیر هدایای تبلیغاتی و مطالب مفید و جذاب در اختیار قربانیان قرار میدهد. قربانیان، این وسایل را به رایانههای خود متصل کرده و با این کار بدافزارهای مهاجم را اجرا میکنند. به این ترتیب مسیر دسترسی مهاجم به اطلاعات موجود روی این رایانهها فراهم میشود.
دستاویزسازی
در حملات دستاویزسازی، اولین گام مهاجم، هدف قرار دادن افراد خاص و کسب اطلاعات در مورد آنهاست. گام بعد ارتباط با قربانی است. مهاجم با بازگویی اطلاعاتی که از قربانی به دست آورده، اعتماد وی را جلب کرده و به او تلقین میکند که دارای اشتراکات زیادی با یکدیگر هستند. در نهایت اعتماد جلب شده از قربانی سبب میشود تا وی اطلاعاتی که در اختیار افراد غریبه قرار نمیدهد را به سادگی در اختیار مهاجم بگذارد.
اصل مهم آموزش
سادهترین و کارآمدترین راهکار برای مقابله با حملات مهندسی اجتماعی، آموزش افراد و افزایش آگاهی آنهاست. در صورتی که تکتک افراد نسبت به محیط خود آگاهی داشته باشند، در لحظات حساس به درستی و بر اساس اصول تصمیمگیری کنند و فریب وسوسههای مهاجمان را نخورند، دیگر هیچ حمله مهندسی اجتماعی موفقی رخ نمیدهد.
از آنچه منتشر میکنید و داشتههای خود آگاه باشید
مهمترین منبع اطلاعاتی مهاجمان در حملات مهندسی اجتماعی مطالبی است که در مورد افراد در منابعی نظیر اینترنت قرار دارد و به سادگی قابل دسترس است. به ویژه اطلاعاتی که خود فرد در شبکههای اجتماعی منتشر میکند. در صورتی که افراد با مطالب شخصی خود آگاهانه رفتار کرده و آنها را در معرض دید عموم قرار ندهند، امکان استفاده از این اطلاعات در حملات مهندسی اجتماعی نیز کاهش خواهد یافت.
نکته مهمی که برای مقابله با حملات مهندسی اجتماعی باید به آن توجه داشت، شناخت اطلاعات ارزشمند و داشتههای فردی و سازمانی است. در صورتی که هر فرد بداند کدام یک از اطلاعات وی میتواند چه ارزشی برای مهاجمان داشته باشد، در زمان ارائه این اطلاعات به دیگران با احتیاط بیشتری عمل کرده و در نتیجه احتمال موفقیت حملات مهندسی اجتماعی کاهش مییابد.
سیاستهای امنیتی تعیین کنید
یکی از راهکارهای موثر که برای افزایش قدرت تصمیمگیری افراد وجود دارد، این است که اعضای یک مجموعه همگی از سیاستهای مشخص و مدونی پیروی کنند. برای مثال، اگر یک سازمان سیاستهای امنیتی مشخصی را به کارمندان خود ارائه کند، اشتباهات فردی کاهش یافته و کل مجموعه در برابر حملات مهندسی اجتماعی امنتر میشود.