ساختار مهندسی اجتماعی یا Social Engineering و انواع حملات آن

در این دنیای ارتباطات مردم در ابزارهای همکاری و ارتباطی آنلاین مثل سرویس‌های ابری و شبکه‌های اجتماعی، آزادانه اطلاعات را منتشر می‌کنند؛ بدون این که به امنیت و حریم خصوصی فکر کنند. افراد اطلاعات و اسناد بسیار حساس را از طریق سرویس‌های ابری با سایر کاربران مجازی در سراسر جهان به اشتراک می‌گذارند. در اکثر مواقع، کاربران فرد مقابل را قابل اطمینان در نظر می‌گیرند، حتی اگر تنها آیتم‌های شناسایی و تعیین هویتی که از آنها دارند یک ایمیل یا یک پروفایل مجازی باشد.

در سال‌های اخیر، از آسیب‌پذیری‌های امنیتی کانال‌های اشتراک داده و ارتباط آنلاین برای نشت اطلاعات حساس سوء استفاده شده است. امکان رفع این آسیب‌پذیری‌ها و تقویت امنیت این کانال‌ها وجود دارد. اما در مواقعی که مهندسین اجتماعی با افکار کاربران بازی می‌کنند، قدرت روش‌های تقویت امنیت از بین می‌رود. اصطلاح کارمندان اطلاعاتی بیش از ۵۰ سال پیش توسط Peter Drucker ابداع شد و هنوز هم از آن برای توصیف کارمندانی که سرمایه اصلی آنها دانش است، مورد استفاده قرار می‌گیرد. قدرتمندترین ابزاری که یک مهاجم می‌تواند از آن جهت دستیابی به این دانش استفاده کند، مهندسی اجتماعی است. مهندسی اجتماعی یعنی بازی با افکار یک فرد (شستشوی مغزی) برای ارایه اطلاعات به مهندس اجتماعی یا هکر. این روش نسبت به بسیاری دیگری از روش‌های هک قدرتمندتر است، از این جهت که می‌توان با استفاده از آن حتی به ایمن‌ترین سیستم‌ها رخنه کرد، زیرا خود کاربران آسیب‌پذیرترین بخش سیستم هستند.

تحقیقات نشان داده که در بسیاری از مواقع می‌توان مهندسی اجتماعی را به آسانی خودکار کرد و به این ترتیب می‌توان آن را در مقیاس بزرگ انجام داد. مهندسی اجتماعی تبدیل به خطری رو به رشد در جوامع مجازی شده است. شرکت‌های چند ملیتی و آژانس‌های خبری هم قربانی حملات هدفمند پیچیده‌ای شده‌اند که علیه سیستم‌های اطلاعاتی آنها اجرا شده است. با توجه افزایش گزارشات رسانه‌ای درباره حوادث امنیتی جدی، سطح آگاهی افراد نسبت به مسائل امنیتی و روش‌های محافظت از حریم خصوصی افزایش یافته است. هدف این نوشته، ارائه یک بررسی جامع و کامل از حملات مهندسی اجتماعی علیه پرسنل سازمانها، طبقه بندی این حملات، ارائه مثال‌هایی در این خصوص و بیان راهکارهای پیشگیری از آن است.

مهندسی اجتماعی یا Social Engineering چیست؟

مهندسی اجتماعی، هنر متقاعد کردن کاربران برای نفوذ به سیستم‌های اطلاعاتی است. مهندسین اجتماعی به جای استفاده از حملات فنی علیه سیستم‌ها، انسان‌هایی را که به اطلاعاتی خاص دسترسی دارند، مورد هدف قرار داده و آنها را تشویق به افشای اطلاعات حساس می‌کنند و یا حتی حملات مخربشان را از طریق نفوذ به افراد و متقاعد کردن آنها اجرا می‌کنند. در حالی که مردم تصور می‌کنند که در شناسایی چنین حملاتی مهارت دارند، تحقیقات نشان می‌دهند که مردم در شناسایی دروغ و فریب عملکرد ضعیفی دارند.

طبقه بندی حملات مهندسی اجتماعی

در این قسمت طبقه‌بندی انواع حملات مهندسی اجتماعی ارائه می‌شود. شکل۱ ساختار این طبقه‌بندی و سناریوهای حمله را نشان می‌دهد که در ادامه این بخش آنها را شرح خواهیم داد. به طور کلی حملات مهندسی اجتماعی را بر اساس سه معیارکانال، گرداننده و نوع می‌توان دسته‌بندی کرد. در ادامه به تشریح انواع این حملات بر اساس هر کدام از این سه معیار خواهیم پرداخت.

طبقه بندی حملات مهندسی اجتماعی: کانال

امکان اجرای حملات مهندسی اجتماعی یا Social Engineering از طریق کانال‌های زیر وجود دارد:

• ایمیل متداول‌ترین کانال مورد استفاده برای اجرای حملات فیشینگ (Phishing) و مهندسی اجتماعی معکوس است.
• اپلیکیشن‌های پیام رسانی فوری به عنوان ابزارهایی برای اجرای حملات فیشینگ و مهندسی اجتماعی معکوس، روزبه‌روز بین هکرهای مهندسی اجتماعی محبوبیت بیشتری پیدا می‌کنند. می‌توان به راحتی از آنها برای سرقت هویت استفاده کرده و از یک رابطه قابل اعتماد سوء استفاده کرد.
• کانال‌های تلفنی و مبتنی بر پروتکل صدا روی IP هم جزء کانال‌های محبوب مهندسین اجتماعی محسوب می‌شوند که از آنها جهت دریافت اطلاعات حساس از قربانیان استفاده می‌شود.
• شبکه‌های اجتماعی، فرصت‌های مختلفی برای اجرای حملات مهندسی اجتماعی فراهم می‌کنند. با توجه به پتانسیل این شبکه‌ها برای ایجاد هویت‌های جعلی و پیچیدگی مدل به اشتراک‌گذاری اطلاعات در این شبکه‌ها، این محیط‌ها باعث می‌شوند مخفی کردن هویت و بهره‌برداری از اطلاعات حساس برای مهاجمین آسان‌تر شود.
• می‌توان از سرویس‌های ابری برای رسیدن به آگاهی وضعیتی درباره یک سناریوی مشارکتی استفاده کرد. ممکن است مهاجمین یک فایل یا نرم‌افزار را در یک دایرکتوری مشارکتی قرار دهند تا باعث شوند قربانی اطلاعات را از این طریق افشا کند و یا بدافزاری را روی سیستم خود نصب کند..
• وب‌سایت‌ها بیشتر جهت اجرای حملات waterholing مورد استفاده قرار می‌گیرند. به علاوه می‌توان از آنها به همراه ایمیل برای اجرای حملات فیشینگ استفاده کرد (مثل ارسال ایمیل به مشتری بالقوه یک بانک که حاوی لینکی به سایت مخرب و آلوده‌ای است که شبیه سایت اصلی به نظر می‌رسد).

طبقه بندی حملات مهندسی اجتماعی: گرداننده

حملات مهندسی اجتماعی را با توجه به گرداننده و عامل آن نیز می‌توان طبقه‌بندی کرد. ممکن است اجرا کننده حمله مهندسی اجتماعی یکی از موارد زیر باشد:

• انسان: حمله‌ای که مستقیماً توسط یک فرد انجام می‌شود. با توجه محدودیت تعداد نفرات، این حمله سایبری توسط انسان کمتر صورت می‌گیرد.
• نرم‌افزار: می‌توان برخی از انواع حملات را با استفاده از نرم‌افزار، اتوماسیون کرد. نمونه بارز این جعبه ابزار مهندسی اجتماعی، SET است که می‌توان از آن برای ساختن ایمیل‌های فیشینگ هدفمند استفاده کرد. تفاوت اصلی حملات خودکار نسبت به حملاتی که توسط انسان انجام می‌شوند، بالا بودن تعداد قربانیان بالقوه‌ای است که می‌توان در یک بازه زمانی محدود به آنها دست پیدا کرد.

گفتیم که مهندسی اجتماعی یعنی بازی با افکار یک فرد (شستشوی مغزی) برای ارایه اطلاعات به مهندس اجتماعی یا هکر. این روش نسبت به بسیاری دیگری از روش‌های هک قدرتمندتر است، از این جهت که می‌توان با استفاده از آن حتی به ایمن‌ترین سیستم‌ها رخنه کرد، زیرا خود کاربران آسیب‌پذیرترین بخش سیستم هستند در بخش اول مطلب مهندسی اجتماعی یا Social Engineering و انواع حملات آن به معرفی ساختار مهندسی اجتماعی پرداخته و دو مورد از طبقه‌بندی حملات مهندسی اجتماعی را بیان کردیم. دراین قسمت به بررسی آخرین طبقه از حملات مهندسی اجتماعی یعنی انواع آن می‌پردازیم.

طبقه‌بندی حملات مهندسی اجتماعی

حملات مهندسی اجتماعی جنبه‌های مختلفی دارند که شامل جنبه‌های فیزیکی، اجتماعی و فنی می‌شوند و در مراحل مختلف حمله از آنها استفاده می‌شود. در این بخش روش‌های مختلف مورد استفاده مهاجمین را توضیح می‌دهیم:

• روش‌های فیزیکی: همانطور که از نام این روش‌ها پیداست در این روش‌ها مهاجم به نوعی یک اقدام فیزیکی را انجام می‌دهد تا اطلاعاتی را درباره قربانی جمع‌آوری کند. این اطلاعات می‌تواند شامل اطلاعات شخصی (مثل شماره تامین اجتماعی و تاریخ تولد) یا اطلاعات لاگین و ورود به یک سیستم کامپیوتری باشد. یکی از روش‌های پر کاربرد، شیرجه در زباله یعنی جستجوی زباله‌های یک سازمان (کاغذهای پاره شده) است. چنین حمله‌ای می‌تواند یک منبع اطلاعاتی ارزشمند برای مهاجمین باشد و از این طریق به اطلاعات شخصی مربوط به کارمندان، دفترچه‌های راهنما، یادداشت‌ها و حتی نسخه‌های چاپی اطلاعات حساس مثل اطلاعات لاگین کاربران، دست پیدا کنند. اگر مهاجمی بتواند به دفاتر سازمان مورد هدف دسترسی پیدا کند، ممکن است اطلاعاتی مثل پسوردها را به صورت نوشته شده روی برگه‌های یادداشت پیدا کند. حملات فیزیکی با پیچیدگی کمتر شامل سرقت اطلاعات یا اخاذی برای دستیابی به اطلاعات هستند.
• روش‌های اجتماعی: مهم‌ترین جنبه حملات مهندسی اجتماعی موفق، جنبه اجتماعی آنهاست. از این مرحله به بعد، مهاجم بر تکنیک‌های روانشناسی مثل اصول متقاعدکردن برای شستشوی مغزی قربانی متکی است. یک نمونه از روش‌های متقاعد کردن استفاده از قدرت (ادعایی) است. یکی از روش‌ها، کنجکاوی است که از آن در حملات فیشینگ هدفمند و طعمه گذاشتن (baiting) استفاده می‌شود. برای افزایش احتمال موفقیت چنین حملاتی، مجرمان اغلب سعی می‌کنند یک رابطه با قربانیان آینده‌شان برقرار کنند. جدیدترین نوع حملات مهندسی اجتماعی، حملاتی هستند که از طریق تلفن اجرا می‌شوند. جاگذاری فلش در سازمان برای توسعه بد‌افزار روش دوم این افراد است.
• مهندسی اجتماعی معکوس: در این روش به جای برقراری تماس مستقیم با قربانی، مهاجم سعی می‌کند قربانی را به این باور برساند که وی یک شخص یا موجودیت قابل اطمینان است. هدف این است که قربانی سعی کند به مهاجم نزدیک شود، مثلاً از او تقاضای کمک کند. به این روش غیرمستقیم، مهندسی اجتماعی معکوس هم گفته می‌شود که از سه مرحله تشکیل شده است: خرابکاری عمدی، تبلیغ و کمک رسانی. اولین مرحله در این حمله، خرابکاری در سیستم کامپیوتری سازمان است. این خرابکاری‌ها بسیار متنوع هستند و از موارد ساده‌ای مثل قطع کردن ارتباط فرد با شبکه سازمان تا موارد پیچیده‌ای مثل دستکاری اپلیکیشن‌های قربانی هستند. سپس مهاجمین تبلیغاتی می‌کنند مبنی بر این که قادر به حل مشکل هستند. وقتی قربانی از آنها تقاضای کمک می‌کند، مهندس اجتماعی مشکلی را که قبلاً خودش ایجاد کرده رفع می‌کند و همزمان پسورد قربانی را از او درخواست می‌کند (تا بتواند مشکل را حل کند) یا به وی می‌گوید نرم‌افزار خاصی را نصب کند.
• روش‌های فنی: روش‌های فنی عمدتاً از طریق اینترنت انجام می‌شوند. با توجه به این که کاربران در بسیاری موارد از رمز عبور یکسان (و ضعیف) برای حساب‌های کاربری مختلف استفاده می‌کنند، اینترنت برای مهندسین اجتماعی ابزاری جذاب جهت دستیابی به گذرواژه‌ها است. اکثر افراد توجه ندارند که آزادانه اطلاعات شخصی بسیاری را در اختیار مهاجمین (یا هر کسی که آن را جستجو می‌کند) قرار می‌دهند. مهاجمین در اغلب اوقات از موتورهای جستجو برای جمع‌آوری اطلاعات شخصی درباره قربانیان آینده‌شان استفاده می‌کنند. همچنین، ابزارهایی وجود دارند که قادر به جمع‌آوری و تجمیع اطلاعات از منابع اینترنتی مختلف هستند.
• روش‌های فنی- اجتماعی: در حملات اجتماعی موفق اغلب موارد ترکیبی از روش‌های مختلفی که در بالا مورد بررسی قرار گرفتند، استفاده می‌شوند. اما روش‌های فنی– اجتماعی منجر به ایجاد قوی‌ترین سلاح‌ها برای مهندسین اجتماعی شده‌اند. یک نمونه از این روش‌ها، به نام حمله طعمه‌گذاری شناخته می‌شود که در آن مهاجمین یک رسانه ذخیره اطلاعات آلوده به بدافزار را در محلی قرار می‌دهند که احتمال پیدا کردن آن توسط قربانی وجود دارد. ممکن است یک درایو USB آلوده به تروجان باشند. به‌علاوه، مهاجمین سعی می‌کنند با استفاده از برچسب‌های وسوسه انگیزی مثل “محرمانه” یا “کارمندان اخراجی ۱۳۹۸” از حس کنجکاوی افراد استفاده کنند. فیشینگ یکی دیگر از ترکیبات متداول روش‌های اجتماعی و فنی است. معمولاً فیشینگ از طریق ایمیل و یا پیام‌رسان‌های فوری انجام می‌شود و مثل اسپم گروه بزرگ‌تری از کاربران را مورد هدف قرار می‌دهد. اما در مقابل، مهندسی اجتماعی معمولاً افراد خاص یا گروه‌های کوچکتری از افراد را مورد هدف قرار می‌دهد. تبهکاران امیدوارند که با ارسال پیام به تعداد زیادی از کاربران بتوانند عده زیادی را فریب دهند تا حمله آنها سودآور باشد. حملات فیشینگ هدفمند، متشکل از پیام‌های به‌شدت هدفمندی هستند که پس از یک داده کاوی اولیه انجام می‌شوند. در برخی از موارد از وب‌سایت‌های شبکه‌های اجتماعی برای استخراج اطلاعات درباره افراد استفاده کرده و سپس پیامی به آنها ارسال کردند که به نظر می‌رسید توسط یکی از دوستان ارسال شده است. بنابراین، فیشینگ هدفمند ترکیبی از روش‌های تکنولوژیکی و مهندسی اجتماعی محسوب می‌شود.

APKSWAP، سامانه مرورگر امن

سامانه‌های مرورگر امن، فناوری‌ای است که با جدا کردن فرآیندها و پردازش­‌های صفحات وب از سیستم­‌های کاربران فقط تصاویر پردازش شده را نمایش داده و فعالیت مرور را ایمن نگه می­‌دارد.

مشاهده محصول

مثال‌هایی از حملات مهندسی اجتماعی

در این بخش چند مورد از انواع حملات مهندسی اجتماعی معمول در سطح فردی و سازمانی بیشتر شرح داده خواهد شد:

فیشینگ (Phishing)

رایج‌ترین حمله مهندسی اجتماعی، فیشینگ است. در فیشینگ، حمله از طریق ایمیل، چت، وب‌سایت یا آگهی‌های تبلیغاتی انجام می‌شود و مهاجم سعی می‌کند از طریق جعل هویت سازمان یا شرکت، اعتماد قربانی را جلب کند. پیغام‌های فیشینگ می‌تواند از طرف بانک، شرکت‌های بزرگ و حتی دولت باشد. رفتارهای فیشینگ بسیار متنوع هستند. برخی از آنها از کاربر نهایی درخواست می‌کنند که اطلاعات ورود حساب کاربری‌‌اش را تائید کند و برای این منظور فرم ورودی با لوگو و ظاهر وب‌سایت مورد نظر آماده می‌کنند. برخی از آنها کاربر را برنده یک مسابقه یا قرعه‌‌کشی اعلام می‌کنند و برای پرداخت جایزه، درخواست اجازه دسترسی به حساب بانکی کاربر را دارند. برخی از آنها با سواستفاده از حوادث طبیعی مانند سیل، زلرله و یا تاریخ‌‌های خاص شروع به جمع‌آوری کمک‌های مردمی می‌کنند. فیشینگ انواع مختلفی دارد که مهمترین انواع آن در شکل زیر بیان شده است.

 انواع اصلی حمله فیشینگ

 به عنوان مثال، نمونه یک حمله فیشینگ می‌تواند ترکیبی از مراحل زیر باشد:

• ایمیل فیشینگ و جعلی: ارسال لینک صفحه جعلی با درج عناوین جذاب برای کاربر
• کلیک کاربر: هدایت کاربر به یک سایت و درگاه جعلی بانک یا سازمانی خاص
• اشتباه کاربر: ورود به سایت فیشینگ و پرداخت الکترونیکی یا فرم درخواست اطلاعات خاص
• هدایت کاربر: هشدار سوری به کاربر با این عنوان که یک فعالیت مشکوک در حساب یا ورود اطلاعات شما مشاهده گردیده است.
• درخواست از کاربر: ورود اطلاعات مانند نام و نام خانوادگی، آدرس و شماره تماس جهت تأیید
• درخواست از کاربر: وارد کردن اطلاعات و مشخصات کارت بانکی یا اطلاعات سازمانی کاربر طعمه
• درخواست از کاربر: درخواست جعلی جهت آپلود کارت ملی، شناسنامه، گذرنامه یا گواهینامه رانندگی در راستای تأیید صحت اطلاعات کاربر
• هدایت کاربر: به صفحه‌ای جعلی و مشروع جلوه دادن عملیات انجام شده توسط کاربر
• موارد از دست رفته: کلیه مشخصات حساب بانکی و سایر اطلاعات شخصی و سازمانی که به مراتب مهمتر از اطلاعات بانکی است.

طعمه‌گذاری (Baiting)

طعمه‌‌گذاری شبیه فیشینگ است. در این نوع از حمله با ارائه موارد قابل توجه و جذاب به کاربر، از وی درخواست اطلاعات شخصی‌ یا اطلاعات ورود به حساب‌های کاربری‌اش را می‌کنند. طعمه به شکل‌های مختلفی ارائه می‌شود: از طریق دنیای دیجیتال، مانند دانلود فیلم یا موزیک در سایت peer-to-peer، یا به صورت فیزیکی در دنیای واقعی، مانند جا گذاشتن حافظه USB با برچسب قابل توجه مانند اطلاعات حقوق سه ماه اول، روی میز کارمندان. به محض اینکه موزیک دانلود شد یا حافظه USB به دستگاه کاربر متصل شد، نرم‌افزارهای مخرب وارد دستگاه کاربر می‌شوند و خرابکار کار خودش را شروع می‌کند.

جبران‌کردن (Quid Pro Quo)

این نوع حمله مانند طعمه‌گذاری است. در این حمله، خرابکار در ازای محصول یا خدمتی که به کاربر می‌دهد از او تقاضای اطلاعات شخصی یا اطلاعات ورود حساب کاربری‌‌اش را می‌کند. برای نمونه تماس تلفنی از هکری که خود را کارمند شرکت کاریابی معرفی می‌کند و در ازای پیدا کردن شغل برای شما اطلاعات شخصی‌تان شامل شماره‌ منزل، شماره تلفن همراه، آدرس منزل و مواردی از این دست را می‌گیرد. مثال دیگر شخصی که خود را کارشناس IT معرفی می‌کند و در مقابل سرویس‌های رایگان IT، از کاربر اطلاعات کاربری‌‌‌اش را تقاضا می‌کند. یک روش دیگر، ارسال این‌گونه وسایل فیزیکی به صورت مجانی و به عنوان هدیه برای طعمه است. به این شکل که مثلا در یک شبکه‌ اجتماعی یا ایمیل، پیغامی حاوی این جمله برای وی ارسال می‌کنند: «شما برنده یک دستگاه پخش‌کننده دیجیتال‌ شده‌اید!» سپس از طعمه آدرس پستی وی را جهت ارسال دستگاه درخواست می‌نمایند. کاربر پس از واردکردن آدرس پستی خود، واقعا دستگاه را دریافت می‌کند؛ اما به محض استفاده از آن، بدافزار نصب‌شده بر روی دستگاه اطلاعات شخصی وی را دزدیده و برای مهاجم ارسال می‌نماید.

 دستاویزسازی (Pretexting)

این نوع حمله مشابه فیشینگ است. در این نوع حمله هکر خرابکار سعی می‌کند خودش را شخص دیگری معرفی کند، تا بتواند به اطلاعات حساس و شخصی قربانی دست پیدا کند. در برخی موارد هکر مجبور است یک هویت جدید نیز بسازد. در این حمله هکر خرابکار سعی می‌کند از طریق دروغ‌های زیاد، خود را شخص دیگری معرفی کند، و با به وجود آوردن حس اعتماد بین خودش و قربانی، اطلاعات وی را بدست بیاورد. برای نمونه هکری که با یک هویت جعلی در اینترنت شروع به گفتگو با شما می‌کند و در ازای دادن اطلاعات شخصی از خودش که اتفاقا اشتراک‌های زیادی با شما دارد، اعتماد شما را جلب می‌کند و بر اساس همین اعتماد و اشتراکات، شما هم اطلاعات شخصی‌تان را به او می‌دهید. برای این نوع از حمله مهندسی اجتماعی، هکر اطلاعات زیادی را از قربانی و همچنین شخصی که می‌خواهد خودش را به جای او معرفی کند بدست می‌آورد.

کولی‌گرفتن (Piggybacking)

این نوع حمله که همچنین دنباله‌روی (Tailgating) نیز نامیده می‌شود، حمله‌ای است که در آن، فرد غیرمجاز به دنبال فرد مجاز وارد یک سیستم یا منطقه با دسترسی‌ محدود شده می‌شود. برای نمونه هکری که با تماس تلفنی به کارمند موسسه یا شرکتی از او می‌خواهد درب را برای آنها باز کند، زیرا فراموش کرده‌اند کارتشان را همراه خود بیاورند. یا در نمونه‌ای دیگر ابتدا فرد مهاجم یک فرد مجاز را شناسایی کرده، وی را تعقیب می‌کند و به محض اینکه شخص مورد نظر از درب ورود مورد نظر عبور کرد از فاصله زمانی که بین رد شدن فرد تا بسته شدن درب وجود دارد استفاده کرده و وارد محدوده غیر مجاز می‌شود. این روش را دزدهای ساختمان هم استفاده می‌کنند، اگر توجه کرده باشید همیشه پیشنهاد می شود که در هنگام استفاده از درب های پارکینگ اتوماتیک حتما منتظر بمانید تا درب بصورت کامل بسته شود.

هوکس (Hoax)

اینگونه مهندسی اجتماعی را بیشتر در رده آزار و اذیت قرار می‌دهند تا انتشار کدهای مخرب و تخریب سیستم‌ها. در این نوع از حملات معمولا برای شما نامه‌ای ارسال می‌شود که در خصوص موضوعی جعلی اطلاع رسانی کرده است و از شما می‌خواهد که این موضوع را به دیگران و تمام کسانی که می شناسید اطلاع‌رسانی کنید. در برخی موارد ممکن است از هوکس‌ها برای انجام مراحل اولیه حملات هکری استفاده شود، اما اینکار چندان مرسوم نیست. برای مثال برای شما ایمیلی می آید که شخصی در فلان کشور قصد دارد تمامی ثروت خود را به متخصصان شبکه اختصاص دهد و از شما می خواهد که این پیام را به تمامی دوستان خود که متخصص شبکه هستند ارسال کنید، یا اینکه نامه‌ای می‌فرستد که سرو ته آن مشخص نیست و فقط در آن عنوان می شود که این نامه را به دوستانتان ارسال کنید. اما هدف کسانی که هوکس ارسال می‌کنند، بیشتر ایجاد ترافیک بی‌هدف برای سرویس‌های ایمیل است. فراموش نکنید پیام‌های بی هویت را به دوستان خود فوروارد نکنید. اگر در ایمیلی، نامه‌ای یا پیامکی، پیامی مبنی بر مشکلات نامعلومی از شخص نامعلومی دریافت کردید و به شما گفته شده بود که در صورت ارسال این پیامک یا ایمیل به ده نفر مشکلات فرد حل می‌شود، یا اگر بی توجهی کنید بلای آسمانی بر سر شما فرود می آید، به اینگونه موارد توجه نکنید.

جعل هویت (Impersonation)

در این نوع حمله مهاجم هویت شخصی که شما از وی شناخت دارید را جعل کرده و خود را به جای وی جا می‌زند. موارد بسیاری از این نوع را می توان در فعالیت های روزمره کاربران مشاهده کرد ، کسانی که خود را به عنوان پشتیبان شبکه سازمان معرفی می‌کنند و از شما می‌خواهند که نام کاربری و رمز عبورتان را در اختیارشان قرار دهید تا آن را برای شما ریست کنند، کسانی که خود را به عنوان تعمیرکار ساختمان یا سیستم معرفی می کنند و با این روش می توانند از بسیاری از پارامترهای امنیتی شما عبور کنند، کسانی که خود را از دوستان شخصی معرفی می‌کنند که شما وی را می شناسید یا به او اعتماد دارید و بسیاری دیگر از موارد مشابه. در این مواقع، تا در خصوص فرد مورد نظر اطلاعات دقیق بدست نیاورده‌اید، اطلاعاتی در اختیار آنها قرار نداده و یا اینکه به درخواست‌های آنها توجه نکنید.

 جستجو در زباله‌های سازمانی (Dumpster Diving)

در این نوع حمله مهاجم با جستجو در زباله‌های سازمانی شما سعی در بدست آوردن اطلاعات مفید در خصوص هدف حمله می‌کند. در بسیاری از مواقع کاربران و پرسنل شرکت‌ها و سازمان‌ها برگه‌هایی را به درون سطل زباله می اندازند که دارای اطلاعات سازمان است، برگه های رسید، فاکتورها، رمزهای عبور، آدرس‌های IP و نامه‌ها و… ممکن است در این سطح ها وجود داشته باشد به همین دلیل است که در سازمان های دولتی مدارک و مستنداتی که بلا استفاده می مانند بایستی با استفاده از دستگاه خردکن از بین بروند.

توصیه‌هایی برای پیش‌گیری از حملات مهندسی اجتماعی

به طور کلی برای پیشگیری از حملات مهندسی اجتماعی می‌توان توصیه‌های زیر را بیان کرد:

• به تلفن‌ها، ایمیل‌ها و ملاقات‌هایی که عموما ناخواسته بوده و در آنها از شما درخواست اطلاعاتی خاص در مورد کارکنان و یا سایر اطلاعات شخصی می‌گردد، مشکوک بوده و با دید سوء ظن نگاه کنید. در صورتی‌که یک فرد ناشناس ادعا می‌کند که از یک سازمان معتبر است، سعی کنید با سازمان مورد ادعای وی تماس گرفته و نسبت به هویت وی کسب تکلیف کنید.
• هرگز اطلاعات شخصی و یا اطلاعات مربوط به سازمان خود را (مثلا ساختار و یا شبکه‌ها) در اختیار دیگران قرار ندهید، مگر این که اطمینان حاصل کنید که فرد متقاضی مجور لازم به منظور دستیابی به اطلاعات درخواستی را داراست.
• هرگر اطلاعات شخصی و یا مالی خود را در یک ایمیل افشا نکرده و به ایمیل‌های ناخواسته‌ای که درخواست این نوع اطلاعات را از شما می نمایند، پاسخ ندهید. به لینک‌های موجود در اینگونه نامه‌های الکترونیکی ناخواسته نیز توجهی نداشته باشید.
• هرگز اطلاعات حساس و مهم شخصی خود و یا سازمان خود را بر روی اینترنت ارسال نکنید. قبل از ارسال اینگونه اطلاعات حساس، باید حریم خصوصی وب سایت مورد نظر به دقت مطالعه شده تا مشخص گردد که اهداف آنان از جمع آوری اطلاعات شخصی شما چیست و نحوه برخورد آنان با اطلاعات به چه صورت است.
• دقت لازم در خصوص آدرس یک وب‌سایـت را داشته باشید. وب‌سایت‌های مخرب ممکن است خود را مشابه یک وب‌سایت معتبر ارائه نمایند که آدرس آنان دارای تفاوت اندکی با وب‌سایـت‌های شناخته شده باشد. وجود تفاوت اندک در حروف استفاده شده برای نام سایت و یا تفاوت در دامنه، نمونه‌هایی در این زمینه هستند.
• در صورت عدم اطمینان از معتبر بودن یک ایمیل دریافتی، سعی کنید با برقراری تماس مستقیم با شرکت مربوطه نسبت به هویت آن اطمینان حاصل نمائید. از اطلاعات موجود بر روی یک سایت مخرب به منظور تماس با آنها استفاده نکنید، چرا که این اطلاعات می تواند شما را به مسیری دیگر هدایت نماید که صرفا اهداف مهاجمان را تامین نماید.
• با نصب و نگهداری نرم افزارهای آنتی ویروس ، فایروال ها و فیلترینگ ایمیل‌های ناخواسته (Spam)، سعی کنید یک سطح حفاظتی مناسب به منظور کاهش این نوع حملات ایجاد نمائید.
• از ساده‌ترین روش‌های مقابله با فیشینگ، دقت به آدرس وب سایت یا ایمیل دریافت شده است. در زمان ورود به حساب‌های حساس مانند ایمیل و یا بانک، قبل از وارد کردن نام کاربری و گذرواژه، دقت به آدرس وب سایت حیاتی است. به عنوان نمونه دقت کنید که اول آدرس، حتما https باشد و نه http.
• هرگز به تقاضاهایی که از طریق ایمیل یا پنجره‌های pop-up اطلاعات شخصی شما را می خواهند، پاسخ ندهید. اگر شک دارید، با موسسه ای که مدعی ارسال ایمیل یا پنجره pop-up است، تماس بگیرید.
• وب‌سایت‌ها را با تایپ آدرس آنها در آدرس بار ببینید.
• بررسی کنید تا مطمئن شوید که وب‌سایت از رمزگذاری استفاده می‌کند. (به عنوان نمونه از SSL)
• در صورتی‌که فکر می‌کنید به هر دلیلی اطلاعات حساس سازمان خود را در اختیار دیگران (افراد غیرمجاز) قرار داده‌اید، بلافاصله موضوع را به اطلاع افراد ذیربط شاغل در سازمان خود (مثلا مدیران شبکه) برسانید. آنها می‌توانند در خصوص هرگونه فعالیت‌های غیرمعمول ویا مشکوک، هشدارهای لازم را در اسرع وقت در اختیار دیگران قرار دهند.
• در صورتی که فکر می‌کنید اطلاعات مالی شما ممکن است در معرض تهدید قرار گرفته باشد، بلافاصله با موسسه مالی خود تماس حاصل نموده و تمامی حساب‌های مالی در معرض تهدید را مسدود نمائید. در این رابطه لازم است دقت، حساسیت و کنترل لازم در خصوص هرگونه برداشت از حساب‌های بانکی خود را داشته باشید. برای پرداخت آنلاین نیز فقط از درگاه‌های مخصوص بانک‌ها استفاده کنید.
• گزارشی در خصوص نوع تهاجم را تهیه نموده و  آن را در اختیار سازمان های ذیربط قانونی قرار دهید.