مهندسی اجتماعی و راه های مقابله با آن

گیل نگاه/ سید آرمین سروسر *

مهندسی اجتماعی (Social engineering) به معنی عملی است که از طریق فریب افراد با انجام اقدامات خاص، منجر به افشای اطلاعات شخصی، مالی و … می شود یا به تعبیری دیگر شیوه و ترفندی فریبکارانه برای جلب اطمینان افراد، برای دریافت اطلاعات از آن ها می باشد.

شیوه ها و ترفند ها

– بسیاری از حملات مهندسی اجتماعی، نیازی به اطلاعات فنی و تخصصی ندارند و لازم نیست تا یک متخصص رایانه و یا یک هکر حرفه ای به شما حمله کند . باید نسبت به محیط اطراف آگاه بود چرا که هر یک از افراد جامعه می توانند، نقش یک مهاجم را ایفا کنند .

– در اکثر حملات مهندسی اجتماعی، پیشنهاداتی به شما ارائه می شود که در نگاه اول، بسیار پر سود و جذاب به نظر می رسد باید تلاش کرد تا تا بر وسوسه پاسخگویی به این دسته از پیشنهادات غلبه کرد چرا که برخی از آن ها، طعمه هایی برای حملات مهندسی اجتماعی هستند.

– مهندسین اجتماعی می توانند اطلاعات را به شیوه های مختلفی از قربانیان خود به دست آورند آنها غالبا ماهرانه صحبت می کنند و بر روی پیشرفت مکالمات خود تمرکز می کنند به نحوی که وقت زیادی به قربانیان خود نمی دهند تا در مورد آن چه که می گویند فکر کنند.

– حملات مهندسی اجتماعی شما را در حالت هایی نظیر اضطراب، هیجان، ترس و به طور کلی حالات خاص روانی قرار می دهد تا تمرکز و توان تصمیمی گیری شما را کاهش دهد. لذا باید از تصمیم گیری های شتاب زده پرهیز کنید.

روش های تهاجم مهندسین اجتماعی

طعمه گذاری مهندسین اجتماعی معمولا با ابزار های فیزیکی انجام می شود و مهاجم وسایلی نظیر لوح فشرده یا فلش دیسک که حاوی بدافزار هستند را به عناوین مختلفی نظیر هدایای تبلیغاتی و مطالب مفید و جذاب در اختیار قربانیان قرار می دهد که در نهایت با استفاده قربانی از این وسایل و فعال کردن بدافزار در سیستم شخصی خود، باعث می شود که مسیر دسترسی مهاجم به اطلاعات شخصی او فراهم شود.

– در نوع دیگری از حملات، ابتدا مهاجم طعمه خود را که معمولا پیامی جعلی با ظاهری مشابه پیام های یک نهاد معتبر (نظیر بانک) است را برای تعداد زیادی از کاربران ارسال می کند و سپس منتظر می ماند به این امید که افراد هدف حمله، فریب خورده و خود را در دام وی گرفتار نمایند. حال ممکن است این کار با کلیک بر روی یک پیوند باشد یا ارسال مشخصات فردی.

– یک مهاجم ممکن است خود را به عنوان فردی متواضع و قابل احترام نشان دهد . مثلا در یک سازمان یا شرکت وانمود کند که کارمند جدید است، یک تعمیرکار است و یا یک محقق و حتی اطلاعات حساس و شخصی خود را به منظور تعیین هویت خود به شما ارایه دهد. یک مهاجم با طرح سوالات متعدد و  برقراری یک ارتباط منطقی بین آن ها می تواند به بخش هایی از اطلاعات مورد نیاز خود به منظور نفوذ در شبکه سازمان شما، دستیابی پیدا نماید.

چگونگی مصون ماندن از حملات مهندسین اجتماعی

– ساده ترین و کارآمد ترین راه برای مقابله با حملات مهندسی اجتماعی، آموزش افراد و افزایش آگاهی آنهاست. اگر تک تک افراد، آگاهی کافی نسبت به محیط خود داشته باشند، در لحظات حساس، به درستی و  بر اساس اصول، تصمیمی گیری می کنند که در این صورت هیچ حمله مهندسی اجتماعی موفقی، رخ نخواهد داد.

– مهمترین منبع اطلاعاتی مهاجمان در حملات مهندسی اجتماعی، مطالبی است که در مورد افراد در منابعی نظیر اینترنت قرار دارد و به سادگی قابل دسترس است به ویژه اطلاعاتی که خود فرد در شبکه های اجتماعی منتشر می کند . در صورتی که افراد با مطالب شخصی خود آگاهانه رفتار کرده و آن ها را در معرض دید عموم قرار ندهند، امکان استفاده از این اطلاعات در حملات مهندسی اجتماعی نیز کاهش خواهد یافت.

– رسانه های اجتماعی، خود نیز یکی از مشکلات عمده بحساب می آیند. شما باید دسترسی به شبکه های اجتماعی خود را ایمن سازید و همواره مراقب باشید که در حال برقراری ارتباط با چه کسی می باشید. شبکه های اجتماعی همواره، منبع اطلاعاتی خوبی برای حملات مبتنی بر مهندسی اجتماعی به شمار می آیند چرا که پر است از اطلاعات شخصی حقیقی.

– همیشه و در همه جا حتی در مکان های عمومی چون داخل تاکسی یا مترو در حال تعامل با دیگران، مراقب واکشی اطلاعات و تخلیه اطلاعاتی از سوی دیگران باشید هیچگاه اطلاعات اضافی در اختیار سایر افراد قرار ندهید و توجه داشته باشید که هر مکالمه به ظاهر بی ضرر می تواند در واقع اطلاعات ارزشمندی را برای مهاجمان با تجربه، به همراه داشته باشد.

اقدامات لازم در صورت بروز تهاجم

– در صورتی که فکر می کنید به هر دلیلی اطلاعات حساس سازمان خود را در اختیار دیگران (افراد غیرمجاز) قرار داده اید، بلافاصله موضوع را به قید فوریت به رئیس حراست و مسئول حفاظت فناوری اطلاعات یا سایر مسئولین مربوطه اطلاع دهید. آنان می توانند در خصوص هر گونه فعاليت های غيرمعمول و يا مشکوک، هشدارهای لازم را در اسرع وقت در اختيار ديگران قرار دهند.

– در صورتی که فکر می کنید اطلاعات مالی شما ممکن است در معرض تهدید قرار گرفته شده باشد بلافاصله با موسسه مالی خود تماس حاصل نموده و تمامی حساب های مالی در معرض تهدید را مسدود نمائید.

– گزارشی در خصوص نوع تهاجم تهیه نموده و آن را در اختیار سازمان های ذیربط قانونی قرار دهید.

منابع

– نشریه بزرگراه رایانه

– گاهنامه حفاظت فناوری اطلاعات و انتشار، حراست شرکت پالایش نفت شیراز

– وب سایت مرکز ماهر(www.certcc.ir)

– وب سایت شرکت سخا روش(www.srco.ir )

– وبگاه اخبار امنیتی فن آوری اطلاعات و ارتباطات (news.asis.io )

*کارشناس ارشد مهندسی عمران

محقق و پژوهشگر در حوزه های عمران، پدافند غیرعامل، رسانه و فضای مجازی

عضو انجمن علمی آموزش و توسعه منابع انسانی ایران

گيل نگاه: انتشار اخبار و يادداشت های دريافتی به معنای تاييد محتوای آن نيست و صرفا جهت انجام رسالت مطبوعاتی و احترام به مخاطبان منتشر می‌شو

(۰)(۰)



کد مطلب: 88426
تاریخ: ۲۲ دی ۱۳۹۵

۱) نظراتی که موجب توهین، هتاکی و افترا نسبت به اشخاص حقیقی و حقوقی است منتشر نخواهد شد.
۲) لطفا از نوشتن نظرات خود به صورت حروف لاتین (فینگلیش) خودداری کنید.

گزارش تصویری

گزارش تصویری سفر یک روزه استاندار گیلان به بندرآستارا

گیل نگاه/مانی پوراحمد:استاندار گیلان امروز (سه شنبه 2خرداد) به آستارا رفت و علاوه بر بازدید از مراحل اجرایی خط ریلی آستارا-آستارا، از 7 پروژه‌ی گردشگری، گاز رسانی به 4 روستای حیران و  طرح آبرسانی به 6 روستا را افتتاح و در همایش گفتمان سازی…

به روایت تصویر؛جشن «حماسه حضور» در ورزشگاه عضدی

گیل نگاه/گروه اجتماعی: ورزشگاه عضدی رشت عصر امروز یکی از روزهای ویژه‌ی خود را سپری کرد. روزی که به میمنت پیروزی دکتر حسن روحانی در انتخابات ریاست جمهوری ایران، خانواده‌های رشتی این امکان را پیدا کردند کنار همدیگر…

گزارش تصویری جشن پیروزی حامیان روحانی در لاهیجان

گیل نگاه/احسان حسن پور: جشن پیروزی ستاد انتخاباتی دکتر حسن روحانی در لاهیجان از ساعت 18 عصر امروز (یک شنبه 31اردیبهشت) در سالن ورزشی 4هزار نفری شهدا لاهیجان با حضور پرشور اقشار مختلف مردم، فعالین ستادهای انتخاباتی شهرستان و…