گفتیم که مهندسی اجتماعی یعنی بازی با افکار یک فرد (شستشوی مغزی) برای ارایه اطلاعات به مهندس اجتماعی یا هکر. این روش نسبت به بسیاری دیگری از روش‌های هک قدرتمندتر است، از این جهت که می‌توان با استفاده از آن حتی به ایمن‌ترین سیستم‌ها رخنه کرد، زیرا خود کاربران آسیب‌پذیرترین بخش سیستم هستند در بخش اول مطلب مهندسی اجتماعی یا Social Engineering و انواع حملات آن به معرفی ساختار مهندسی اجتماعی پرداخته و دو مورد از طبقه‌بندی حملات مهندسی اجتماعی را بیان کردیم. در قسمت دوم مطلب به بررسی انواع حملات مهندسی اجتماعی پرداختیم و در این قسمت مثال‌هایی از این نوع حملات را مرور خواهیم کرد.

مثال‌هایی از حملات مهندسی اجتماعی

در این بخش چند مورد از انواع حملات مهندسی اجتماعی معمول در سطح فردی و سازمانی بیشتر شرح داده خواهد شد:

فیشینگ (Phishing)

رایج‌ترین حمله مهندسی اجتماعی، فیشینگ است. در فیشینگ، حمله از طریق ایمیل، چت، وب‌سایت یا آگهی‌های تبلیغاتی انجام می‌شود و مهاجم سعی می‌کند از طریق جعل هویت سازمان یا شرکت، اعتماد قربانی را جلب کند. پیغام‌های فیشینگ می‌تواند از طرف بانک، شرکت‌های بزرگ و حتی دولت باشد. رفتارهای فیشینگ بسیار متنوع هستند. برخی از آنها از کاربر نهایی درخواست می‌کنند که اطلاعات ورود حساب کاربری‌‌اش را تائید کند و برای این منظور فرم ورودی با لوگو و ظاهر وب‌سایت مورد نظر آماده می‌کنند. برخی از آنها کاربر را برنده یک مسابقه یا قرعه‌‌کشی اعلام می‌کنند و برای پرداخت جایزه، درخواست اجازه دسترسی به حساب بانکی کاربر را دارند. برخی از آنها با سواستفاده از حوادث طبیعی مانند سیل، زلرله و یا تاریخ‌‌های خاص شروع به جمع‌آوری کمک‌های مردمی می‌کنند. فیشینگ انواع مختلفی دارد که مهمترین انواع آن در شکل زیر بیان شده است.

 انواع اصلی حمله فیشینگ

 به عنوان مثال، نمونه یک حمله فیشینگ می‌تواند ترکیبی از مراحل زیر باشد:

• ایمیل فیشینگ و جعلی: ارسال لینک صفحه جعلی با درج عناوین جذاب برای کاربر
• کلیک کاربر: هدایت کاربر به یک سایت و درگاه جعلی بانک یا سازمانی خاص
• اشتباه کاربر: ورود به سایت فیشینگ و پرداخت الکترونیکی یا فرم درخواست اطلاعات خاص
• هدایت کاربر: هشدار سوری به کاربر با این عنوان که یک فعالیت مشکوک در حساب یا ورود اطلاعات شما مشاهده گردیده است.
• درخواست از کاربر: ورود اطلاعات مانند نام و نام خانوادگی، آدرس و شماره تماس جهت تأیید
• درخواست از کاربر: وارد کردن اطلاعات و مشخصات کارت بانکی یا اطلاعات سازمانی کاربر طعمه
• درخواست از کاربر: درخواست جعلی جهت آپلود کارت ملی، شناسنامه، گذرنامه یا گواهینامه رانندگی در راستای تأیید صحت اطلاعات کاربر
• هدایت کاربر: به صفحه‌ای جعلی و مشروع جلوه دادن عملیات انجام شده توسط کاربر
• موارد از دست رفته: کلیه مشخصات حساب بانکی و سایر اطلاعات شخصی و سازمانی که به مراتب مهمتر از اطلاعات بانکی است.

طعمه‌گذاری (Baiting)

طعمه‌‌گذاری شبیه فیشینگ است. در این نوع از حمله با ارائه موارد قابل توجه و جذاب به کاربر، از وی درخواست اطلاعات شخصی‌ یا اطلاعات ورود به حساب‌های کاربری‌اش را می‌کنند. طعمه به شکل‌های مختلفی ارائه می‌شود: از طریق دنیای دیجیتال، مانند دانلود فیلم یا موزیک در سایت peer-to-peer، یا به صورت فیزیکی در دنیای واقعی، مانند جا گذاشتن حافظه USB با برچسب قابل توجه مانند اطلاعات حقوق سه ماه اول، روی میز کارمندان. به محض اینکه موزیک دانلود شد یا حافظه USB به دستگاه کاربر متصل شد، نرم‌افزارهای مخرب وارد دستگاه کاربر می‌شوند و خرابکار کار خودش را شروع می‌کند.

جبران‌کردن (Quid Pro Quo)

این نوع حمله مانند طعمه‌گذاری است. در این حمله، خرابکار در ازای محصول یا خدمتی که به کاربر می‌دهد از او تقاضای اطلاعات شخصی یا اطلاعات ورود حساب کاربری‌‌اش را می‌کند. برای نمونه تماس تلفنی از هکری که خود را کارمند شرکت کاریابی معرفی می‌کند و در ازای پیدا کردن شغل برای شما اطلاعات شخصی‌تان شامل شماره‌ منزل، شماره تلفن همراه، آدرس منزل و مواردی از این دست را می‌گیرد. مثال دیگر شخصی که خود را کارشناس IT معرفی می‌کند و در مقابل سرویس‌های رایگان IT، از کاربر اطلاعات کاربری‌‌‌اش را تقاضا می‌کند. یک روش دیگر، ارسال این‌گونه وسایل فیزیکی به صورت مجانی و به عنوان هدیه برای طعمه است. به این شکل که مثلا در یک شبکه‌ اجتماعی یا ایمیل، پیغامی حاوی این جمله برای وی ارسال می‌کنند: «شما برنده یک دستگاه پخش‌کننده دیجیتال‌ شده‌اید!» سپس از طعمه آدرس پستی وی را جهت ارسال دستگاه درخواست می‌نمایند. کاربر پس از واردکردن آدرس پستی خود، واقعا دستگاه را دریافت می‌کند؛ اما به محض استفاده از آن، بدافزار نصب‌شده بر روی دستگاه اطلاعات شخصی وی را دزدیده و برای مهاجم ارسال می‌نماید.

 دستاویزسازی (Pretexting)

این نوع حمله مشابه فیشینگ است. در این نوع حمله هکر خرابکار سعی می‌کند خودش را شخص دیگری معرفی کند، تا بتواند به اطلاعات حساس و شخصی قربانی دست پیدا کند. در برخی موارد هکر مجبور است یک هویت جدید نیز بسازد. در این حمله هکر خرابکار سعی می‌کند از طریق دروغ‌های زیاد، خود را شخص دیگری معرفی کند، و با به وجود آوردن حس اعتماد بین خودش و قربانی، اطلاعات وی را بدست بیاورد. برای نمونه هکری که با یک هویت جعلی در اینترنت شروع به گفتگو با شما می‌کند و در ازای دادن اطلاعات شخصی از خودش که اتفاقا اشتراک‌های زیادی با شما دارد، اعتماد شما را جلب می‌کند و بر اساس همین اعتماد و اشتراکات، شما هم اطلاعات شخصی‌تان را به او می‌دهید. برای این نوع از حمله مهندسی اجتماعی، هکر اطلاعات زیادی را از قربانی و همچنین شخصی که می‌خواهد خودش را به جای او معرفی کند بدست می‌آورد.

کولی‌گرفتن (Piggybacking)

این نوع حمله که همچنین دنباله‌روی (Tailgating) نیز نامیده می‌شود، حمله‌ای است که در آن، فرد غیرمجاز به دنبال فرد مجاز وارد یک سیستم یا منطقه با دسترسی‌ محدود شده می‌شود. برای نمونه هکری که با تماس تلفنی به کارمند موسسه یا شرکتی از او می‌خواهد درب را برای آنها باز کند، زیرا فراموش کرده‌اند کارتشان را همراه خود بیاورند. یا در نمونه‌ای دیگر ابتدا فرد مهاجم یک فرد مجاز را شناسایی کرده، وی را تعقیب می‌کند و به محض اینکه شخص مورد نظر از درب ورود مورد نظر عبور کرد از فاصله زمانی که بین رد شدن فرد تا بسته شدن درب وجود دارد استفاده کرده و وارد محدوده غیر مجاز می‌شود. این روش را دزدهای ساختمان هم استفاده می‌کنند، اگر توجه کرده باشید همیشه پیشنهاد می شود که در هنگام استفاده از درب های پارکینگ اتوماتیک حتما منتظر بمانید تا درب بصورت کامل بسته شود.

هوکس (Hoax)

اینگونه مهندسی اجتماعی را بیشتر در رده آزار و اذیت قرار می‌دهند تا انتشار کدهای مخرب و تخریب سیستم‌ها. در این نوع از حملات معمولا برای شما نامه‌ای ارسال می‌شود که در خصوص موضوعی جعلی اطلاع رسانی کرده است و از شما می‌خواهد که این موضوع را به دیگران و تمام کسانی که می شناسید اطلاع‌رسانی کنید. در برخی موارد ممکن است از هوکس‌ها برای انجام مراحل اولیه حملات هکری استفاده شود، اما اینکار چندان مرسوم نیست. برای مثال برای شما ایمیلی می آید که شخصی در فلان کشور قصد دارد تمامی ثروت خود را به متخصصان شبکه اختصاص دهد و از شما می خواهد که این پیام را به تمامی دوستان خود که متخصص شبکه هستند ارسال کنید، یا اینکه نامه‌ای می‌فرستد که سرو ته آن مشخص نیست و فقط در آن عنوان می شود که این نامه را به دوستانتان ارسال کنید. اما هدف کسانی که هوکس ارسال می‌کنند، بیشتر ایجاد ترافیک بی‌هدف برای سرویس‌های ایمیل است. فراموش نکنید پیام‌های بی هویت را به دوستان خود فوروارد نکنید. اگر در ایمیلی، نامه‌ای یا پیامکی، پیامی مبنی بر مشکلات نامعلومی از شخص نامعلومی دریافت کردید و به شما گفته شده بود که در صورت ارسال این پیامک یا ایمیل به ده نفر مشکلات فرد حل می‌شود، یا اگر بی توجهی کنید بلای آسمانی بر سر شما فرود می آید، به اینگونه موارد توجه نکنید.

جعل هویت (Impersonation)

در این نوع حمله مهاجم هویت شخصی که شما از وی شناخت دارید را جعل کرده و خود را به جای وی جا می‌زند. موارد بسیاری از این نوع را می توان در فعالیت های روزمره کاربران مشاهده کرد ، کسانی که خود را به عنوان پشتیبان شبکه سازمان معرفی می‌کنند و از شما می‌خواهند که نام کاربری و رمز عبورتان را در اختیارشان قرار دهید تا آن را برای شما ریست کنند، کسانی که خود را به عنوان تعمیرکار ساختمان یا سیستم معرفی می کنند و با این روش می توانند از بسیاری از پارامترهای امنیتی شما عبور کنند، کسانی که خود را از دوستان شخصی معرفی می‌کنند که شما وی را می شناسید یا به او اعتماد دارید و بسیاری دیگر از موارد مشابه. در این مواقع، تا در خصوص فرد مورد نظر اطلاعات دقیق بدست نیاورده‌اید، اطلاعاتی در اختیار آنها قرار نداده و یا اینکه به درخواست‌های آنها توجه نکنید.

 جستجو در زباله‌های سازمانی (Dumpster Diving)

در این نوع حمله مهاجم با جستجو در زباله‌های سازمانی شما سعی در بدست آوردن اطلاعات مفید در خصوص هدف حمله می‌کند. در بسیاری از مواقع کاربران و پرسنل شرکت‌ها و سازمان‌ها برگه‌هایی را به درون سطل زباله می اندازند که دارای اطلاعات سازمان است، برگه های رسید، فاکتورها، رمزهای عبور، آدرس‌های IP و نامه‌ها و… ممکن است در این سطح ها وجود داشته باشد به همین دلیل است که در سازمان های دولتی مدارک و مستنداتی که بلا استفاده می مانند بایستی با استفاده از دستگاه خردکن از بین بروند.

توصیه‌هایی برای پیش‌گیری از حملات مهندسی اجتماعی

به طور کلی برای پیشگیری از حملات مهندسی اجتماعی می‌توان توصیه‌های زیر را بیان کرد:

• به تلفن‌ها، ایمیل‌ها و ملاقات‌هایی که عموما ناخواسته بوده و در آنها از شما درخواست اطلاعاتی خاص در مورد کارکنان و یا سایر اطلاعات شخصی می‌گردد، مشکوک بوده و با دید سوء ظن نگاه کنید. در صورتی‌که یک فرد ناشناس ادعا می‌کند که از یک سازمان معتبر است، سعی کنید با سازمان مورد ادعای وی تماس گرفته و نسبت به هویت وی کسب تکلیف کنید.
• هرگز اطلاعات شخصی و یا اطلاعات مربوط به سازمان خود را (مثلا ساختار و یا شبکه‌ها) در اختیار دیگران قرار ندهید، مگر این که اطمینان حاصل کنید که فرد متقاضی مجور لازم به منظور دستیابی به اطلاعات درخواستی را داراست.
• هرگر اطلاعات شخصی و یا مالی خود را در یک ایمیل افشا نکرده و به ایمیل‌های ناخواسته‌ای که درخواست این نوع اطلاعات را از شما می نمایند، پاسخ ندهید. به لینک‌های موجود در اینگونه نامه‌های الکترونیکی ناخواسته نیز توجهی نداشته باشید.
• هرگز اطلاعات حساس و مهم شخصی خود و یا سازمان خود را بر روی اینترنت ارسال نکنید. قبل از ارسال اینگونه اطلاعات حساس، باید حریم خصوصی وب سایت مورد نظر به دقت مطالعه شده تا مشخص گردد که اهداف آنان از جمع آوری اطلاعات شخصی شما چیست و نحوه برخورد آنان با اطلاعات به چه صورت است.
• دقت لازم در خصوص آدرس یک وب‌سایـت را داشته باشید. وب‌سایت‌های مخرب ممکن است خود را مشابه یک وب‌سایت معتبر ارائه نمایند که آدرس آنان دارای تفاوت اندکی با وب‌سایـت‌های شناخته شده باشد. وجود تفاوت اندک در حروف استفاده شده برای نام سایت و یا تفاوت در دامنه، نمونه‌هایی در این زمینه هستند.
• در صورت عدم اطمینان از معتبر بودن یک ایمیل دریافتی، سعی کنید با برقراری تماس مستقیم با شرکت مربوطه نسبت به هویت آن اطمینان حاصل نمائید. از اطلاعات موجود بر روی یک سایت مخرب به منظور تماس با آنها استفاده نکنید، چرا که این اطلاعات می تواند شما را به مسیری دیگر هدایت نماید که صرفا اهداف مهاجمان را تامین نماید.
• با نصب و نگهداری نرم افزارهای آنتی ویروس ، فایروال ها و فیلترینگ ایمیل‌های ناخواسته (Spam)، سعی کنید یک سطح حفاظتی مناسب به منظور کاهش این نوع حملات ایجاد نمائید.
• از ساده‌ترین روش‌های مقابله با فیشینگ، دقت به آدرس وب سایت یا ایمیل دریافت شده است. در زمان ورود به حساب‌های حساس مانند ایمیل و یا بانک، قبل از وارد کردن نام کاربری و گذرواژه، دقت به آدرس وب سایت حیاتی است. به عنوان نمونه دقت کنید که اول آدرس، حتما https باشد و نه http.
• هرگز به تقاضاهایی که از طریق ایمیل یا پنجره‌های pop-up اطلاعات شخصی شما را می خواهند، پاسخ ندهید. اگر شک دارید، با موسسه ای که مدعی ارسال ایمیل یا پنجره pop-up است، تماس بگیرید.
• وب‌سایت‌ها را با تایپ آدرس آنها در آدرس بار ببینید.
• بررسی کنید تا مطمئن شوید که وب‌سایت از رمزگذاری استفاده می‌کند. (به عنوان نمونه از SSL)
• در صورتی‌که فکر می‌کنید به هر دلیلی اطلاعات حساس سازمان خود را در اختیار دیگران (افراد غیرمجاز) قرار داده‌اید، بلافاصله موضوع را به اطلاع افراد ذیربط شاغل در سازمان خود (مثلا مدیران شبکه) برسانید. آنها می‌توانند در خصوص هرگونه فعالیت‌های غیرمعمول ویا مشکوک، هشدارهای لازم را در اسرع وقت در اختیار دیگران قرار دهند.
• در صورتی که فکر می‌کنید اطلاعات مالی شما ممکن است در معرض تهدید قرار گرفته باشد، بلافاصله با موسسه مالی خود تماس حاصل نموده و تمامی حساب‌های مالی در معرض تهدید را مسدود نمائید. در این رابطه لازم است دقت، حساسیت و کنترل لازم در خصوص هرگونه برداشت از حساب‌های بانکی خود را داشته باشید. برای پرداخت آنلاین نیز فقط از درگاه‌های مخصوص بانک‌ها استفاده کنید.
• گزارشی در خصوص نوع تهاجم را تهیه نموده و  آن را در اختیار سازمان های ذیربط قانونی قرار دهید.

منابع

Krombholz, K., Hobel, H., Huber, M., & Weippl, E. (2015). Advanced social engineering attacks. Journal of Information Security and applications, ۲۲, ۱۱۳-۱۲۲.

Hadnagy, C. (2010). Social engineering: The art of human hacking. John Wiley & Sons.

Mouton, F., Leenen, L., Malan, M. M., & Venter, H. S. (2014, July). Towards an ontological model defining the social engineering domain. In IFIP International Conference on Human Choice and Computers (pp. 266-279). Springer, Berlin, Heidelberg.

Chhikara, J., Dahiya, R., Garg, N., & Rani, M. (2013). Phishing & anti-phishing techniques: Case study. International journal of advanced research in computer science and software engineering, ۳(۵).