مهندسی اجتماعی و راه های مقابله با آن

گیل نگاه/ سید آرمین سروسر *

مهندسی اجتماعی (Social engineering) به معنی عملی است که از طریق فریب افراد با انجام اقدامات خاص، منجر به افشای اطلاعات شخصی، مالی و … می شود یا به تعبیری دیگر شیوه و ترفندی فریبکارانه برای جلب اطمینان افراد، برای دریافت اطلاعات از آن ها می باشد.

شیوه ها و ترفند ها

– بسیاری از حملات مهندسی اجتماعی، نیازی به اطلاعات فنی و تخصصی ندارند و لازم نیست تا یک متخصص رایانه و یا یک هکر حرفه ای به شما حمله کند . باید نسبت به محیط اطراف آگاه بود چرا که هر یک از افراد جامعه می توانند، نقش یک مهاجم را ایفا کنند .

– در اکثر حملات مهندسی اجتماعی، پیشنهاداتی به شما ارائه می شود که در نگاه اول، بسیار پر سود و جذاب به نظر می رسد باید تلاش کرد تا تا بر وسوسه پاسخگویی به این دسته از پیشنهادات غلبه کرد چرا که برخی از آن ها، طعمه هایی برای حملات مهندسی اجتماعی هستند.

– مهندسین اجتماعی می توانند اطلاعات را به شیوه های مختلفی از قربانیان خود به دست آورند آنها غالبا ماهرانه صحبت می کنند و بر روی پیشرفت مکالمات خود تمرکز می کنند به نحوی که وقت زیادی به قربانیان خود نمی دهند تا در مورد آن چه که می گویند فکر کنند.

– حملات مهندسی اجتماعی شما را در حالت هایی نظیر اضطراب، هیجان، ترس و به طور کلی حالات خاص روانی قرار می دهد تا تمرکز و توان تصمیمی گیری شما را کاهش دهد. لذا باید از تصمیم گیری های شتاب زده پرهیز کنید.

روش های تهاجم مهندسین اجتماعی

طعمه گذاری مهندسین اجتماعی معمولا با ابزار های فیزیکی انجام می شود و مهاجم وسایلی نظیر لوح فشرده یا فلش دیسک که حاوی بدافزار هستند را به عناوین مختلفی نظیر هدایای تبلیغاتی و مطالب مفید و جذاب در اختیار قربانیان قرار می دهد که در نهایت با استفاده قربانی از این وسایل و فعال کردن بدافزار در سیستم شخصی خود، باعث می شود که مسیر دسترسی مهاجم به اطلاعات شخصی او فراهم شود.

– در نوع دیگری از حملات، ابتدا مهاجم طعمه خود را که معمولا پیامی جعلی با ظاهری مشابه پیام های یک نهاد معتبر (نظیر بانک) است را برای تعداد زیادی از کاربران ارسال می کند و سپس منتظر می ماند به این امید که افراد هدف حمله، فریب خورده و خود را در دام وی گرفتار نمایند. حال ممکن است این کار با کلیک بر روی یک پیوند باشد یا ارسال مشخصات فردی.

– یک مهاجم ممکن است خود را به عنوان فردی متواضع و قابل احترام نشان دهد . مثلا در یک سازمان یا شرکت وانمود کند که کارمند جدید است، یک تعمیرکار است و یا یک محقق و حتی اطلاعات حساس و شخصی خود را به منظور تعیین هویت خود به شما ارایه دهد. یک مهاجم با طرح سوالات متعدد و  برقراری یک ارتباط منطقی بین آن ها می تواند به بخش هایی از اطلاعات مورد نیاز خود به منظور نفوذ در شبکه سازمان شما، دستیابی پیدا نماید.

چگونگی مصون ماندن از حملات مهندسین اجتماعی

– ساده ترین و کارآمد ترین راه برای مقابله با حملات مهندسی اجتماعی، آموزش افراد و افزایش آگاهی آنهاست. اگر تک تک افراد، آگاهی کافی نسبت به محیط خود داشته باشند، در لحظات حساس، به درستی و  بر اساس اصول، تصمیمی گیری می کنند که در این صورت هیچ حمله مهندسی اجتماعی موفقی، رخ نخواهد داد.

– مهمترین منبع اطلاعاتی مهاجمان در حملات مهندسی اجتماعی، مطالبی است که در مورد افراد در منابعی نظیر اینترنت قرار دارد و به سادگی قابل دسترس است به ویژه اطلاعاتی که خود فرد در شبکه های اجتماعی منتشر می کند . در صورتی که افراد با مطالب شخصی خود آگاهانه رفتار کرده و آن ها را در معرض دید عموم قرار ندهند، امکان استفاده از این اطلاعات در حملات مهندسی اجتماعی نیز کاهش خواهد یافت.

– رسانه های اجتماعی، خود نیز یکی از مشکلات عمده بحساب می آیند. شما باید دسترسی به شبکه های اجتماعی خود را ایمن سازید و همواره مراقب باشید که در حال برقراری ارتباط با چه کسی می باشید. شبکه های اجتماعی همواره، منبع اطلاعاتی خوبی برای حملات مبتنی بر مهندسی اجتماعی به شمار می آیند چرا که پر است از اطلاعات شخصی حقیقی.

– همیشه و در همه جا حتی در مکان های عمومی چون داخل تاکسی یا مترو در حال تعامل با دیگران، مراقب واکشی اطلاعات و تخلیه اطلاعاتی از سوی دیگران باشید هیچگاه اطلاعات اضافی در اختیار سایر افراد قرار ندهید و توجه داشته باشید که هر مکالمه به ظاهر بی ضرر می تواند در واقع اطلاعات ارزشمندی را برای مهاجمان با تجربه، به همراه داشته باشد.

اقدامات لازم در صورت بروز تهاجم

– در صورتی که فکر می کنید به هر دلیلی اطلاعات حساس سازمان خود را در اختیار دیگران (افراد غیرمجاز) قرار داده اید، بلافاصله موضوع را به قید فوریت به رئیس حراست و مسئول حفاظت فناوری اطلاعات یا سایر مسئولین مربوطه اطلاع دهید. آنان می توانند در خصوص هر گونه فعاليت های غيرمعمول و يا مشکوک، هشدارهای لازم را در اسرع وقت در اختيار ديگران قرار دهند.

– در صورتی که فکر می کنید اطلاعات مالی شما ممکن است در معرض تهدید قرار گرفته شده باشد بلافاصله با موسسه مالی خود تماس حاصل نموده و تمامی حساب های مالی در معرض تهدید را مسدود نمائید.

– گزارشی در خصوص نوع تهاجم تهیه نموده و آن را در اختیار سازمان های ذیربط قانونی قرار دهید.

منابع

– نشریه بزرگراه رایانه

– گاهنامه حفاظت فناوری اطلاعات و انتشار، حراست شرکت پالایش نفت شیراز

– وب سایت مرکز ماهر(www.certcc.ir)

– وب سایت شرکت سخا روش(www.srco.ir )

– وبگاه اخبار امنیتی فن آوری اطلاعات و ارتباطات (news.asis.io )

*کارشناس ارشد مهندسی عمران

محقق و پژوهشگر در حوزه های عمران، پدافند غیرعامل، رسانه و فضای مجازی

عضو انجمن علمی آموزش و توسعه منابع انسانی ایران

گيل نگاه: انتشار اخبار و يادداشت های دريافتی به معنای تاييد محتوای آن نيست و صرفا جهت انجام رسالت مطبوعاتی و احترام به مخاطبان منتشر می‌شو

(۰)(۰)



کد مطلب: 88426
تاریخ: ۲۲ دی ۱۳۹۵

۱) نظراتی که موجب توهین، هتاکی و افترا نسبت به اشخاص حقیقی و حقوقی است منتشر نخواهد شد.
۲) لطفا از نوشتن نظرات خود به صورت حروف لاتین (فینگلیش) خودداری کنید.

گزارش تصویری

گزارش تصویری نمایش «گفتگوی فراریان» در رشت

گیل نگاه/ آیسان حقیقت: نمایش «گفتگوی فراریان» به نویسندگی محمد زارع و به کارگردانی میلاد شجره از 2 الی 9 خرداد در تماشاخانه هامون رشت به روی صحنه می رود.  

از دریچه دوربین «گیل نگاه»؛

مجموعه‌ای از عکس‌های منتخب اردیبهشت‌ماه ۹۷

گیل نگاه/گروه عکس: این گزارش شامل مجموعه‌ای از عکس‌های منتخب رویدادهای خبری ماه گذشته (اول تا ۲۹ اردیبهشت‌ماه ۹۷) از دریچه دوربین عکاسان گیل نگاه است. در ادامه عکس‌هایی از پویا بازارگرد، رضا احمدپور، بابک جدی، آیسان حقیقت، آدینه صالح نژاد، احسان حسن‌پور، مائده سیدی، سائده محمدی، مطهر منفرد و امیرصالحغنجی را مشاهده می‌کنید.      …

به روایت تصویر؛

گذری به دوشنبه بازار شفت

گیل نگاه/ اشکان شعبانی: بازارهای هفتگی با افزایش راهها و گسترش شبکه های ارتباطی هنوز درعرصه اقتصادی و اجتماعی جاذبه های سنتی خود را حفظ کرده اند به طوری که می توان آنها را از جمله جاذبه های توریستی…