مهندسی اجتماعی و هک سازمانها با فریب کارکنان
آموزش
مطالعات نشان دادهاند که ۸۸ تا ۹۵ درصد از موارد هک سازمانها و نقض داده به دلیل اشتباهات سهوی یا عمدی کارکنان هستند. هکرها از تکنیکی به نام مهندسی اجتماعی (social engineering) برای کنترل کردن یا فریب دادن کارکنان سازمان شما یا اثرگذاری روی آنها استفاده میکنند تا به شبکه داخلی سازمان شما نفوذ کنند یا اطلاعات حساس را به سرقت ببرند.
در این مقاله به طور کامل برای شما توضیح میدهیم که مهندسی اجتماعی در امنیت سایبری چیست، چطور انجام میشود و چطور میتوانید از سازمان خود در مقابله با اینگونه تهدیدات سایبری، محافظت کنید. با ما همراه باشید.
آنچه در ادامه میخوانید:
مهمترین تکنیکهای social engineering
مقابله با مهندسی اجتماعی
تعریف مهندسی اجتماعی
مهندسی اجتماعی (Social Engineering) تکنیکی در حوزه امنیت اطلاعات است که به تلاش برای تأثیرگذاری بر افراد با تکنیکهای روانشناسی به منظور به دست آوردن اطلاعات حساس یا دسترسی به منابع اطلاعاتی میپردازد. در واقع، مهندسی اجتماعی بیشتر به فرآیندی اشاره دارد که هدف آن تغییر رفتار یا نگرش افراد، به جای استفاده از تکنیکها و ابزارهای رایانهای است تا بتوان از اشتباهات سهوی یا عمدی آنها برای هک کردن یا نقض داده استفاده کرد.
حملات مهندسی اجتماعی توسط فرد یا گروهی انجام میشوند که تلاش میکنند تا از طریق مخاطبان هدف خود در سازمان شما به اطلاعات یا منابع حساس دسترسی پیدا کنند. این حملات ممکن است از طریق تماس تلفنی، ارسال ایمیلهای فیشینگ یا حتی برقراری ارتباط مستقیم با فرد هدف انجام شوند.
سه مرحله اصلی مهندسی اجتماعی
اکثر حملات مهندسی اجتماعی شامل سه مرحله اصلی زیر هستند:
۱- انتخاب هدف
وقتی هکرها میخواهند با استفاده از تکنیکهای مهندسی اجتماعی، سازمانی را هک کنند یا اطلاعات آن را به سرقت ببرند، در گام اول، یک یا چندین نفر از کارکنان سازمان را به عنوان هدف انتخاب میکنند. اهداف هکرها برای اجرای حملات مهندسی اجتماعی شامل موارد زیر میشود:
- پرسنل دارای دسترسی سطح بالا به سیستمها و اطلاعات حساس
- پرسنل دارای پایینترین میزان آگاهی از تهدیدات سایبری
- پرسنل ناراضی و اخراج شده
معمولا، آن دسته از کارکنان سازمانها که بیشترین دسترسیها به سیستمها و اطلاعات حساس را دارند، از آگاهی خوبی نسبت به تهدیدات سایبری برخوردار هستند و به سادگی در دام مهندسی اجتماعی نمیافتند اما مهندسی اجتماعی چنین اهدافی میتواند دسترسیها و اطلاعات بسیار ارزشمندی را در اختیار هکرها قرار دهد و به همین دلیل، ممکن است که تیمهای هکری، مدت زمان و منابع زیادی را صرف اجرای تکنیکهای مهندسی اجتماعی بر روی چنین اهدافی کنند.
در مقابل، آن دسته از کارکنان سازمانها که آگاهی کمتری نسبت به تهدیدات سایبری دارند و راحتتر در دام هکرها میافتند، از دسترسیهای کمتری برخوردار هستند و بنابراین، هکرها زمان و هزینه زیادی به مهندسی اجتماعی آنها اختصاص نمیدهند.
پرسنل ناراضی و اخراج شده نیز میتوانند اهداف خوبی برای هکرها باشند زیرا به دلیل رضایت نداشتن از سازمان، انگیزه خوبی برای ضربه زدن به سازمان دارند و معمولا به راحتی میتوان آنها را ترغیب به همکاری برای هک کردن سازمان و نقض داده کرد.
۲- گردآوری اطلاعات
هکرها پس از انتخاب شخص هدف، گردآوری اطلاعات در رابطه با او را شروع میکنند. این مرحله میتواند به روشهای مختلفی مثل تماس تلفنی، جعل هویت یا بررسی شبکههای اجتماعی انجام شود تا بیشترین میزان اطلاعات ممکن در رابطه با هدف به دست بیاید. هدف هکرها از گردآوری اطلاعات، مهندسی اجتماعی هدفمند است. برای مثال، اگر هکرها متوجه شوند که یکی از کارکنان سازمان شما به بازیگر خاصی علاقه دارد، ممکن است با ارسال ایمیلهای حاوی لینکهای بدافزاری ولی با عنوان خبری مرتبط با آن بازیگر، برای ترغیب هدف به کلیک کردن روی لینک مخرب، تلاش کنند.
۳- اجرای حمله
پس از شناسایی هدف یا اهداف بالقوه، حمله مهندسی اجتماعی با تکنیکهایی که در ادامه توضیح میدهیم، اجرا میشود.
مهمترین تکنیکهای social engineering
در مهندسی اجتماعی از تکنیکهای متعددی استفاده میشود که در اینجا، بعضی از مهمترین تکنیکها را به شما معرفی میکنیم. در ادامه همراه سایبرنو باشید.
فیشینگ (Phishing)
در حملات فیشینگ، لینکهای دانلود بدافزار یا لینکهای صفحات جعلی ورود از طریق ایمیل، شبکههای اجتماعی یا پیامک برای شخص هدف ارسال میشوند. در این حملات سعی میکنند تا از علاقهمندیهای شخص هدف، برای ترغیب کردن او به کلیک کردن بر روی این لینکهای مخرب، استفاده کنند.
طعمهگذاری (Baiting)
در این تکنیک، هکرها سعی میکنند تا با وعده دادن، شخص هدف را فریب دهند و او را مرتکب اشتباهی امنیتی کنند. معمولا در این موارد، وعدههایی دروغین به شخص هدف داده میشود که میتواند مالی، عاطفی یا هر چیز دیگری باشد.
جعل هویت (Impersonating)
در این تکنیک، هکر تلاش میکند تا با جعل هویت (مثل جا زدن خودش به جای یکی از افراد رده بالای سازمان) به صورت تلفنی، آنلاین یا حتی حضوری، شخص هدف را تخلیه اطلاعاتی کند.
رهاسازی حافظههای USB در سازمان (USB Drops)
در این روش قدیمی، حافظههای USB حاوی بدافزار مثل فلش مموریها در محیط سازمان رها میشوند تا شاید کارکنانی که آگاهی کافی نسبت به این نوع تهدید نداشته باشند، USB را به یکی از سیستمهای سازمان متصل کند و بدافزار در شبکه سازمان منتشر شود و اقدامات مخرب را انجام دهد.
بهانه آوردن یا پریتکستینگ (pretexting)
در این تکنیک، هکر سناریویی برای فریب شخص هدف طراحی میکند تا او را فریب دهد و در اکثر موارد، شامل درخواست کمک است. برای مثال، اگر هکر بخواهد شماره تلفن همراه شخصی یکی از کارکنان سازمان را به دست بیاورد، میتواند با تظاهر به همراه نداشتن تلفن همراه و نیاز به تماس با شخصی دیگر، شخص هدف را ترغیب کند تا تلفن همراه خودش را برای تماس گرفتن در اختیارش بگذارد. تکنیک پریتکستینگ میتواند به گونهای انجام شود که شخص هدف را ترغیب به اولین تماس با هکر کند.
هدف اصلی پریتکستینگ، جلب اعتماد مخاطب هدف برای تخلیه اطلاعاتی اون یا فریب دادن او جهت انجام یک اشتباه امنیتی است.
مقابله با مهندسی اجتماعی
سازمانها باید برای دفع حملات مهندسی اجتماعی و به حداقل رساندن خسارتهای آنها سه اقدام زیر را انجام دهند:
- تقویت سیستمهای امنیتی و لایههای دفاعی: با افزایش لایههای دفاع سایبری، در صورتی که هکرها با مهندسی اجتماعی یکی از پرسنل سازمان شما، موفق به عبور از یک لایه دفاعی شوند، با لایه دفاعی دیگری برخورد خواهند کرد و بدین ترتیب، شانس نفوذ آنها کاهش پیدا خواهند کرد. برای مثال، اگر از احراز هویت چند عاملی (2FA) استفاده کنید، در صورتی که هکر بتواند با مهندسی اجتماعی، گذرواژه و نام کاربری یکی از کارکنان را به دست آورد، باید روش دوم احراز هویت را نیز دور بزند که معمولا، کار بسیار دشواری است. همچنین، با استفاده از راهکار امنیت ایمیل سایبرنو میتوان جلوی حملات مهندسی اجتماعی با ارسال ایمیلهای فیشینگ به کارکنان را گرفت.
- آموزش اصول امنیتی به کارکنان: همانطور که گفتیم، دلیل اصلی اکثر موارد هک سازمانها و نقض داده، اشتباهات سهوی و عمدی کارکنان است. بنابراین، سازمانها میتوانند با برگزاری دورههای آموزش اصول امنیت سایبری، آگاهی کارکنان را نسبت به تهدیداتی مثل مهندسی اجتماعی بالا ببرند و احتمال به دام افتادن کارکنان در چنین تلههایی را کاهش دهند. همچنین، تبعات چنین اشتباهاتی باید برای کارکنان مشخص شود.
- تست نفوذ مهندسی اجتماعی: تست نفوذ یکی از اصول امنیت سایبری است که هر سازمانی باید آن را به طور مرتب انجام دهد تا آسیبپذیریها و حفرات امنیتی مشخص برطرف شوند. یکی از انواع تست نفوذ که معمولا مورد غفلت واقع میشود، تست نفوذ مهندسی اجتماعی است که در این روش، هکرهای کلاه سفید یا قانونی دارای وابستگی سازمانی به یک شرکت امنیت سایبری، با مجوز شما تکنیکهای مهندسی اجتماعی را روی کارکنان سازمان شما اجرا میکنند تا آسیبپذیری کارکنان در مقابل چنین حملاتی مشخص شود.
سوالات پرتکرار
۱- منظور از مهندسی اجتماعی در امنیت سایبری چیست؟
استفاده از تکنیکهای روانشناسی برای تخلیه اطلاعاتی مخاطب هدف یا فریب دادن او برای انجام دادن اشتباهات امنیتی را مهندسی اجتماعی میگویند.
۲- انواع حملات مهندسی اجتماعی کدامند؟
از مهمترین انواع حملات مهندسی اجتماعی میتوان به پریتکستینگ، فیشینگ، طعمهگذاری، جعل هویت و رهاسازی USBهای بدافزاری در محیط سازمان اشاره کرد.
۳- تست نفوذ مهندسی اجتماعی چیست؟
در این روش، هکرهای قانونی وابسته به یک شرکت امنیت سایبری مثل سایبرنو، تکنیکهای مهندسی اجتماعی را روی کارکنان پیادهسازی میکنند تا میزان آسیبپذیری آنها در مقابل حملات مهندسی اجتماعی مشخص شود.
