نوین ترین حملات مهندسی اجتماعی (2024)

حملات مهندسی اجتماعی چگونه کار می‌کنند؟

حملات مهندسی اجتماعی نسبتاً ساده هستند. تنها چیزی که یک هکر نیاز دارد، قانع کردن فردی کم‌اطلاع، تحت فشار یا اعتمادکننده است تا کاری را که می‌خواهد انجام دهد. این حملات به طرز شگفت‌انگیزی آسان هستند و همگی از الگوی مشابهی پیروی می‌کنند. به عنوان نمونه، در یکی از برجسته‌ترین حملات مهندسی اجتماعی تاریخ، هکرها کارکنان توییتر را فریب دادند تا به آن‌ها دسترسی به ابزارهای داخلی بدهند. سپس، هکرها حساب‌های افرادی مانند جو بایدن، ایلان ماسک و کانیه وست را هک کردند و از طرفداران آن‌ها درخواست بیت‌کوین کردند.
اصلی‌ترین اهداف حملات مهندسی اجتماعی چه کسانی هستند؟

هدف اصلی در حملات مهندسی اجتماعی دسترسی به اطلاعات حساس می باشد. پس در نتیجه نیاز به امنیت اطلاعات درهر  سازمانی حس میشود .که اگر  سازمان ها  سیاست های امنیت اطلاعات را در پیش بگیرند امنیت آنها مانند حساب‌های بانکی، داده‌های شرکتی یا شماره‌های تأمین اجتماعی و ...  تامین شود. هرچه فردی دسترسی بیشتری به داده‌های ارزشمند داشته باشد، جذابیت بیشتری برای مجرمان سایبری خواهد داشت. برخی از قربانیان اصلی این حملات عبارتند از:

• افراد با ارزش بالا، کارمندان با پروفایل بالا و رهبران سطح بالا:  مجرمان به دنبال افرادی با سطوح بالای دسترسی به داده‌ها و اطلاعات حساس هستند. در نتیجه امنیت کارمندان و رهبران حائز اهمیت است.
• شخصیت‌های محبوب آنلاین:  افرادی که اطلاعات شخصی بیشتری به‌صورت آنلاین به اشتراک می‌گذارند، بیشتر در معرض هدف قرار می‌گیرند.
• نسل‌های جوان‌تر و کارمندان ناآگاه از تهدیدات امنیت سایبری:  براساس یک مطالعه، ۴۵ درصد از کارمندان نسل هزاره نمی‌دانند فیشینگ چیست، با اینکه این نوع حمله از مهم‌ترین انواع حملات مهندسی اجتماعی است. همچنین تنها ۲۷ درصد از شرکت‌ها آموزش‌های آگاهی از مهندسی اجتماعی ارائه می‌دهند. این گروه‌ها تنها افرادی نیستند که در معرض هدف قرار دارند. حقیقت این است که هر کسی می‌تواند قربانی یک حمله مهندسی اجتماعی شود.

یک حمله مهندسی اجتماعی معمولاً شامل چهار مرحله است:

1. کشف و بررسی: کلاهبرداران با شناسایی اهدافی که دارای منابع موردنظرشان هستند، شروع می‌کنند. این منابع می‌تواند شامل مدارک، داده‌ها، دسترسی غیرمجاز، پول، اطلاعات محرمانه و غیره باشد.
2. بررسی آنلاین قربانیان بالقوه: کلاهبرداران به سراغ ردپای آنلاین شما می‌روند و اطلاعاتی مانند شغل، محل کار و فعالیت‌های شما در شبکه‌های اجتماعی را بررسی می‌کنند.
3. فریب و تله‌گذاری: وقتی کلاهبرداران اطلاعات بیشتری درباره شما به دست آوردند، به دنبال نقاط ورودی بالقوه می‌گردند؛ از جمله آدرس ایمیل، شماره تلفن و حساب‌های شبکه‌های اجتماعی شما. این راه‌ها دروازه‌های احتمالی برای شروع حمله هستند.
4. جذب و حمله: کلاهبرداران با استفاده از تله‌ای طراحی‌شده سعی می‌کنند توجه شما را جلب کنند. به عنوان مثال، اگر به تازگی عنوان شغلی جدیدی کسب کرده و آن را در لینکدین منتشر کرده باشید، ممکن است ایمیلی جعلی از یک وب‌سایت معروف صنعت دریافت کنید که شما را به مصاحبه دعوت می‌کند.

از جدیدترین حملات مهندسی اجتماعی می توان به موارد زیر اشاره کرد:

• حملات فیشینگ
• فیشینگ هدفمند (Spear phishing)
• فیشینگ نهنگ (Whaling)
• اسمی‌اشینگ (Smishing) و وی‌شینگ (Vishing)
• طعمه‌گذاری (Baiting)
• سوار شدن (Piggybacking/Tailgating)
• پیش‌متن‌سازی (Pretexting)
• نقض ایمیل تجاری (BEC)
• تبادل متقابل (Quid Pro Quo)
• تله‌های عاطفی (Honeytraps)
• ترس‌افزایی (Scareware)
• حملات حوضچه آب (Watering hole attacks)

راهکارهایی برای مقابله با حملات مهندسی اجتماعی:

1. بررسی دقیق ایمیل‌ها
   به دقت نام‌ها، آدرس‌ها و متن ایمیل را بررسی کنید. اگر ایمیل مشکوکی دریافت کردید، به دنبال اشتباهات املایی و گرامری بگردید. به آدرس ایمیل نیز توجه کنید؛ ممکن است شباهت زیادی به یکی از آدرس‌های موجود در لیست تماس شما داشته باشد، اما کمی متفاوت باشد. برای مثال، "vwong@example.com" با "vVVong@example.com" یکسان نیست.
2. شناسایی خطوط موضوع رایج در ایمیل‌های فیشینگ
   -  هر ایمیل فیشینگ معمولاً از یک خط موضوع احساسی و جذاب برای جلب توجه قربانیان استفاده می‌کند.
3. از باز کردن ایمیل‌های مشکوک اجتناب کردن
   - هیچ‌گاه ایمیل‌های فرستندگانی که نمی‌شناسید را باز نکنید. همچنین از باز کردن ایمیل‌های موجود در پوشه اسپم خودداری کنید.
4. ارزیابی احساسات برانگیخته‌شده توسط پیام
   حملات مهندسی اجتماعی از غرایز انسانی مانند اعتماد، هیجان، ترس، طمع و کنجکاوی سوءاستفاده می‌کنند. اگر نسبت به یک ایمیل یا پیشنهاد آنلاین واکنش احساسی شدیدی نشان دادید، یک لحظه مکث کرده و به صورت منطقی شرایط را بررسی کنید.
5. تأیید هویت افرادی که نمی‌شناسید
   - اگر کسی از طریق تلفن تماس گرفت و خود را نماینده بانک یا سازمانی معرفی کرد، به شک و تردید خود عمل کنید. نمایندگان معتبر هرگز از شما نمی‌خواهند اطلاعات حساس خود را از طریق تلفن یا ایمیل ارائه دهید. همیشه می‌توانید با تماس مستقیم به سازمان مورد نظر، از صحت تماس اطمینان حاصل کنید.
6. از پرداخت وجه به هکرها اجتناب کرده و حملات باج‌افزار را گزارش دادن
   اگر پولی به هکرها پرداخت کنید، آن‌ها به استفاده از این حملات ادامه خواهند داد. اگر فکر می‌کنید قربانی باج‌افزار شده‌اید، باید:
   • با پلیس تماس بگیرید و درخواست کمک کنید یا یک گزارش به‌صورت آنلاین ثبت کنید.
   • گزارشی به مرکز شکایات جرایم اینترنتی ارسال کنید.
   • اگر هویت شما سرقت شده است، ممکن است لازم باشد برای سرقت هویت گزارشی به پلیس ارائه دهید.

چگونه از خود در برابر حملات مهندسی اجتماعی محافظت کنیم؟

بیشتر حملات مهندسی اجتماعی به خطاهای انسانی وابسته‌اند. با توجه به آخرین نکات پیشگیری از کلاهبرداری و آگاهی از تهدیدات سایبری، می‌توان از این حملات جلوگیری کرد. در ادامه به برخی راهکارها برای حفاظت از خود و خانواده‌تان اشاره می‌کنیم:

• رد پای آنلاین خود را کاهش دهید:  هرچه اطلاعات کمتری در شبکه‌های اجتماعی و به‌صورت آنلاین به اشتراک بگذارید، هدف‌گیری شما برای هکرها سخت‌تر می‌شود.
• نرم‌افزار آنتی‌ویروس نصب کنید:  باج‌افزار، بدافزار و نرم‌افزارهای جاسوسی به‌طور گسترده‌ای استفاده می‌شوند و نصب آنتی‌ویروس می‌تواند حریم خصوصی شما را از این تهدیدات محافظت کند.
• به‌طور منظم گزارش اعتبار و صورت‌حساب‌های بانکی خود را بررسی کنید:  به دنبال علائم هشداردهنده سرقت هویت باشید، مانند هزینه‌های عجیب و غریب در صورت‌حساب بانکی یا حساب‌هایی که نمی‌شناسید.
• هنگام مرور و خرید آنلاین از VPN استفاده کنید.
• همیشه از احراز هویت دو یا چند مرحله‌ای (2FA/MFA) استفاده کنید: این یک لایه امنیتی اضافی برای تمام حساب‌های شما ایجاد می‌کند. برای امنیت بهتر، به جای 2FA از طریق پیامک، از یک برنامه احراز هویت استفاده کنید.
• وضعیت داده‌های خود را در دارک وب نظارت کنید:  هکرها اغلب داده‌های شخصی را در دارک وب می‌فروشند. نظارت بر این فضا به شما کمک می‌کند از سرقت اطلاعات خود مطلع شوید.

چگونه از کسب و کار خود در برابر حملات مهندسی اجتماعی محافظت کنیم؟

حملات مهندسی اجتماعی تنها به اطلاعات شخصی افراد توجه ندارند؛ در بسیاری از موارد، هدف آنها کسب‌وکار یا کارفرمای شماست تا به اطلاعات و داده‌های حساس دسترسی پیدا کنند. در اینجا چند راهکار برای ایمن نگه‌داشتن تیم و شرکت شما در برابر حملات مهندسی اجتماعی آورده شده است:

• ایجاد فرهنگ امنیتی مثبت:  تنها ۳٪ از قربانیان، ایمیل‌های مخرب را به مدیریت گزارش می‌دهند و در اغلب موارد، پس از گزارش آسیب‌های جدی به سیستم وارد شده است. کارکنان را تشویق کنید که بدون ترس از عواقب، حوادث سایبری احتمالی را گزارش دهند. هر چه مشکلات سریع‌تر شناسایی و حل شوند، از آسیب‌های بیشتر جلوگیری خواهد شد.
• تعهد به آموزش مداوم آگاهی امنیتی:  بیش از ۶۰٪ از متخصصان IT معتقدند که استخدام‌های جدید بیشترین آسیب‌پذیری را در برابر حملات مهندسی اجتماعی دارند. بنابراین آموزش آگاهی امنیتی باید در مراحل اولیه ورود به کار الزامی باشد.
• تیم خود را به‌طور منظم آزمایش کنید:  به دنبال خدمات خارجی باشید که حملات مهندسی اجتماعی شبیه‌سازی‌شده ارائه می‌دهند. چند آزمایش نفوذ سازمان‌دهی کنید تا ببینید کدام کارکنان فریب می‌خورند. این آزمایش‌ها نه برای شرمنده‌کردن کارکنان بلکه برای نشان دادن آسیب‌پذیری‌ها و اهمیت دقت است.
• سایت، برنامه و سخت‌افزار خود را به‌روزرسانی کنید:  هنگامی که هکرها نقصی را در یک وب‌سایت مشاهده می‌کنند، می‌توانند آن را با بدافزار آلوده کنند. این مسئله به‌سرعت تمام کاربران را در معرض حمله آبشخور (watering hole attack) قرار می‌دهد. از به‌روز بودن ابزارهای ضد بدافزار، فیلترهای اسپم ایمیل و فایروال‌های خود اطمینان حاصل کنید.
• نظارت بر داده‌ها را راه‌اندازی کنید:  تجزیه و تحلیل داده‌های شرکت باید شامل نظارت بر فایل‌های حساس باشد. سوابق دسترسی، دانلود و به اشتراک‌گذاری فایل‌ها را بررسی کنید و به رفتارهای غیرعادی مانند دانلود اطلاعات حساس در ساعات غیرکاری توجه داشته باشید.

نکته پایانی: هک انسانی قابل اجتناب است

بیشتر افراد از حملات مهندسی اجتماعی آگاهی دارند، اما درک تأثیر این حملات بر شهرت، خانواده و کسب‌وکار خود دشوار است. هر کسی می‌تواند قربانی تکنیک‌های مهندسی اجتماعی طراحی‌شده شود و خطاهای ساده انسانی می‌توانند آسیب جدی وارد کنند. یادگیری نحوه شناسایی انواع حملات مهندسی اجتماعی اولین قدم است. برای محافظت بیشتر، می‌توانید به ابزارهای حفاظت از سرقت هویت

نتیجه‌گیری

حملات مهندسی اجتماعی با پیچیدگی و خلاقیت بیشتری نسبت به گذشته انجام می‌شوند و می‌توانند آسیب‌های جدی به افراد و سازمان‌ها وارد کنند. آگاهی از این تهدیدات و پیاده‌سازی اقدامات امنیتی به‌روز می‌تواند به ‌طور مؤثری از اطلاعات و دارایی‌های حساس محافظت کند. به همین دلیل، نیاز به آموزش و ارتقای امنیت سایبری  و همچنین تست نفوز مهندسی اجتماعی که بیشتر از همیشه احساس می‌شود و از خدمات تخصصی در شرکت امن افزار گستر آپادانا می باشد.