همه‌چیز درباره «مهندسی اجتماعی»: نفوذ به گوشی و کامپیوتر با زبان چرب و نرم!

آزاده رمضانی در سایت نوش‌دارو نوشت: «در سال‌های اخیر، بسیاری از کلاهبرداری‌ها و سوءاستفاده‌های دیجیتال، نه با رخنه فنی به سیستم‌ها، بلکه با یک پیام ساده، یک تماس تلفنی یا حتی یک گفتگوی کوتاه آغاز شده‌‌اند. در واقع مهاجمان خیلی از اوقات به‌جای شکستن قفل‌های دیجیتال، سراغ ساده‌ترین مسیر می‌روند: «متقاعد‌سازی انسان». مهندسی اجتماعی دقیقاً بر همین اصل استوار است و به همین دلیل یکی از خطرناک‌ترین تهدیدهای دنیای دیجیتال به شمار می‌رود.

در اینجا، مهندسی اجتماعی را نه صرفاً به‌عنوان یک اصطلاح فنی، بلکه به‌ عنوان یک «رفتار فریبکارانه‌ی انسانی» بررسی می‌کنیم؛ رفتاری که همه‌ی ما فارغ از سن، تحصیلات یا سطح سواد دیجیتال، ممکن است در دام آن بیفتیم.
مهندسی اجتماعی دقیقاً یعنی چه؟

مهندسی اجتماعی هنرِ دستکاری روان انسان‌هاست. در این روش، کلاهبردار با ترفندهای روانی شما را قانع می‌کند کاری انجام دهید که به ضررتان است؛ مثلاً رمز عبورتان را لو بدهید، روی یک لینک آلوده کلیک کنید یا پولی را انتقال دهید.

نکته ترسناک ماجرا اینجاست که قربانی معمولاً تصور می‌کند در حال انجام کاری درست، منطقی یا خیرخواهانه است. این روش به جای ضعف سیستم‌ها، از «اعتماد و احساسات» شما سوء استفاده می‌کند.
چرا مهندسی اجتماعی از سایر حملات سایبری خطرناک‌تر است؟

بیشتر ویروس‌ها و حملات سایبری با یک آنتی‌ویروس یا به‌روزرسانی سیستم مهار می‌شوند. اما مهندسی اجتماعی به نقطه‌ای حمله می‌کند که هیچ آپدیتی برای آن وجود ندارد: «رفتار انسان».

خستگی، استرس، عجله یا طمع باعث می‌شود حتی باهوش‌ترین افراد هم لحظه‌ای گارد خود را پایین بیاورند. و از آن‌جا که در این حملات، خودِ کاربر با دستان خودش در را برای دزد باز می‌کند، پیگیری و بازگرداندن اموال از دست‌رفته هم بسیار دشوار می‌شود.

مهندسی اجتماعی چگونه عمل می‌کند؟

اکثر این حملات یک سناریوی مشخص دارند:

جمع‌آوری اطلاعات: مهاجم درباره قربانیان خود تحقیق می‌کند (از طریق اینستاگرام، لینکدین، رزومه‌های آنلاین و حتی گفتگوهای عادی در سایت‌های عمومی).

جلب اعتماد: بعد با جعل هویت یک سازمان معتبر (مثلاً پشتیبانی فنی، بانک یا قوه قضاییه) یا حتی یک دوست، با شما ارتباط می‌گیرد.

اجرای حمله: با تحریک احساسات (کنجکاوی، ترس، طمع، هیجان و…)، شما را وادار به انجام کار اشتباه می‌کند.
پایان و فرار: پس از رسیدن به هدف، ارتباط قطع می‌شود و شما می‌مانید و حساب خالی.

این فرایند ممکن است در بطن یک پلتفرم پیام‌رسان و یا در طول چند ماه و از طریق مجموعه‌ای از گفت‌وگوها در شبکه‌های اجتماعی رخ دهد. حتی می‌تواند به‌ صورت حضوری انجام شود. پایان ماجرا هم معمولاً با اقدامی از طرف شخص رقم می‌خورد: مثلاً افشای اطلاعات یا آلوده شدن سیستم به بدافزار.

در بسیاری از موارد، قربانی تازه بعد از گذشت مدتی متوجه می‌شود که اطلاعات یا دارایی خود را از دست داده است.
احساسات؛ سلاح اصلی

مهاجمان دقیقاً می‌دانند روی کدام احساسات دست بگذارند و کدام بخش از عقل و منطق را خاموش کنند:

ترس: «حکم جلب شما صادر شد» یا «حساب شما مسدود می‌شود».
عجله: «فقط ۱۰ دقیقه فرصت دارید».
طمع: «شما برنده جایزه نقدی یا اینترنت رایگان شده‌اید».
کنجکاوی: «عکس‌های خصوصی فلان بازیگر» یا «فایل محرمانه حقوق مدیران».

انواع حملات مهندسی اجتماعی

تقریباً هر نوعی از حمله‌ی امنیت سایبری، به‌نوعی از مهندسی اجتماعی استفاده می‌کند. برای نمونه، کلاهبرداری‌های پیامکی و ایمیلی سرشار از ترفندهای روانی و اجتماعی هستند. ضمناً تهدید همیشه دیجیتال نیست؛ مهاجم می‌تواند به‌ صورت حضوری هم اقدام کند.

بسیاری از این حملات با هم ادغام می‌شوند و لایه‌لایه پیش می‌روند تا کلاهبرداری را شکل دهند. در ادامه، با چند نوع از حملات مهندسی اجتماعی آشنا می‌شویم.
۱. فیشینگ

در «فیشینگ» (Phishing)، مهاجم با ارسال پیام یا ایمیل، خود را جای یک نهاد معتبر جا می‌زند. این پیام‌ها معمولاً ظاهری رسمی دارند و قربانی را به وارد کردن اطلاعات حساس ترغیب می‌کنند.

مثال: پیامک جعلی «شکواییه علیه شما» که از شما می‌خواهد برای مشاهده ابلاغیه، مبلغی پرداخت کنید. لینک داخل پیامک شما را به یک صفحه پرداخت جعلی می‌برد و اطلاعات کارت‌تان را می‌دزدد.

۲. فیشینگ هدفمند

«اسپیر فیشینگ» (Spear phishing) نسخه‌ی هدفمند فیشینگ است. مهاجم از قبل درباره‌ی قربانی تحقیق می‌کند و پیام را دقیقاً متناسب با شرایط او طراحی می‌کند.

مثال: ایمیلی که به نظر می‌رسد از طرف مدیرتان آمده، خطاب به خود شما نوشته شده و از شما می‌خواهد فوراً یک فایل اکسل را باز کنید (که حاوی ویروس و بدافزار است).

۳. طعمه‌گذاری

در «طعمه‌گذاری» (Baiting)، مهاجم از کنجکاوی یا طمع قربانی استفاده می‌کند. پیشنهادهای جذاب، فایل‌های رایگان یا ابزارهای به‌ظاهر مفید، رایج‌ترین طعمه‌ها هستند.

مثال: تبلیغ «دانلود فیلترشکن پرسرعت و رایگان» یا پیدا کردن یک فلش‌مموری در پارکینگ. به محض نصب این وی‌پی‌ان‌ها یا وصل کردن فلش به لپ‌تاپ، بدافزار وارد سیستم می‌شود.

۴. ترس‌افزار

در این روش، برنامه‌ای که با هدف ترساندن کاربر ساخته شده (Scareware)، او را به نصب نرم‌افزار یا پرداخت هزینه تشویق می‌کند.

مثال: پنجره‌ای ناگهانی در مرورگر ظاهر می‌شود که هشدار می‌دهد «سیستم شما آلوده است» و از شما می‌خواهد فوراً فلان نرم‌افزار به‌خصوص را نصب کنید.

۵. جعل هویت و سناریوسازی

مهاجم با ساختن هویت و «سناریوی جعلی» (Pretexting)، بهانه‌ای برای برقراری ارتباط و جلب اعتماد قربانی ایجاد می‌کند. او ممکن است خود را فروشنده، نیروی پشتیبانی، کارمند یک مجموعه و یا حتی عاشق و شیدای شما معرفی کند!

این روش معمولاً بر تعامل مستقیم و هدفمند با فرد تکیه دارد. زمانی که قربانی هویت ساختگی را باور می‌کند، مسیر برای سوء استفاده و دریافت اطلاعات یا دسترسی‌های حساس هموار می‌شود.

مثال: تماسی تلفنی با شما گرفته می‌شود و فرد خودش را کارمند پشتیبانی یک سرویس آنلاین معرفی می‌کند و برای «تایید هویت» چند سوالِ به‌ظاهر ساده می‌پرسد.

یک تصور اشتباه اما رایج این است که مهندسی اجتماعی فقط به اینترنت محدود می‌شود. در حالی که تماس تلفنی، مراجعه حضوری یا حتی گفت‌وگوی ساده و روزمره هم می‌تواند ابزار فریب باشد. هر جا تعامل انسانی وجود دارد، امکان سوء استفاده هم هست.

مقاله‌ی «هشدار به مهاجران و خانواده‌ها: فریب کلاه‌برداریِ «تماس با آشنایان» را نخورید» را بخوانید تا با یکی از انواع کلاهبرداری‌های تلفنی آشنا شوید.

چگونه حملات مهندسی اجتماعی را تشخیص دهیم؟

تشخیص مهندسی اجتماعی بیش از هر چیز به آگاهی شخص بستگی دارد. مهاجمان سعی می‌کنند قربانی را از حالت فکر کردن خارج و وارد حالت واکنش سریع کنند. بنابراین اولین و مهم‌ترین اصل در مواجهه با پیام‌ها و درخواست‌های مشکوک، «مکث کردن» است. اگر با موارد زیر روبه‌رو شدید، ترمز بگیرید:

ایجاد حس اضطرار: هر پیامی که می‌گوید «فوری» یا «همین حالا اقدام کنید!».

فرستنده ناشناس: اگر پیام‌ها و پیامک‌هایی از شماره‌های ناشناس دریافت کردید نباید به سادگی اعتماد کنید. حساب‌ها، شماره‌ها و ایمیل‌ها را به دقت بررسی کنید (مثلاً سازمان‌های رسمی با شماره شخصی تماس نمی‌گیرند).

درخواست‌های نامتعارف و عجیب: کلاه‌بردار از شما می‌خواهند کد ملی، نام کامل، شماره حساب و حتی رمزهای حساب‌های مهم را به راحتی اعلام کنید، انگار که هیچ ایرادی ندارد! اما هیچ سازمان معتبری نداریم که این اطلاعات را به صورت تلفنی، در پیام‌رسان و یا هر روش مشابهی از شما درخواست کنند. به‌جای تمرکز بر ظاهر پیام، به خودِ درخواست فکر کنید. اگر غیرمنطقی بود، احتمال فریب را جدی بگیرید.

لینک‌ها و فایل‌های مشکوک (به ویژه از طرف دوستان و آشنایان): به عنوان یک قاعده کلی نباید روی هیچ لینک یا فایلی که در پیامک، پیام‌رسان یا شبکه‌های اجتماعی به دست‌مان می‌رسد کلیک کنیم، مگر اینکه از امنیت آن‌ها ۱۰۰ درصد مطمئن باشیم. لینک‌هایی که با دامنه‌های عجیب (مثلاً nooshdaroo.xyz) به دست‌تان می‌رسند را نادیده بگیرید و حتی به لینک‌های در ظاهر معتبر هم مشکوک باشید. خیلی اوقات دوست شما هک شده و هکر خودش را به جای او جا می‌زند.

پیشگیری از مهندسی اجتماعی

پیشگیری از مهندسی اجتماعی بیش از هر چیز به «اصلاح عادت‌های رفتاری در فضای دیجیتال» وابسته است. برخلاف بسیاری از تهدیدهای فنی، در اینجا نقش تصمیم‌های روزمره‌ی کاربران بسیار پررنگ‌تر از ابزارهای امنیتی است.

احراز هویت دو مرحله‌ای (2FA): قبلاً در نوشدارو همه‌چیز را راجع به احراز هویت دو مرحله‌ای گفته‌ایم. این قابلیت را برای اینستاگرام، تلگرام، واتساپ و ایمیل خود فعال کنید. حتی اگر رمزتان لو برود، هکر پشت درِ دوم می‌ماند. بهترین انتخاب، اپلیکیشن Google Authenticator است.

پس‌کی (Passkey): پس‌کی تکنولوژی نسبتاً جدیدی است که یک کلید دو بخشی برای امنیت حساب‌های شما می‌سازد. یک بخش از کلید روی موبایل یا لپ‌تاپ شما ذخیره می‌شود و بخش دیگر، روی سرورها. به این ترتیب ورود به حساب‌های آنلاین بدون کلیدی که فقط روی دستگاه شماست، غیرممکن خواهد بود.

شک به درخواست‌های مالی: اگر دوستی در تلگرام یا واتساپ به بهانه‌ی رخدادهای ناگهانی مانند حادثه، تصادف، گیر کردن در یک شرایط اورژانس و… درخواست پول کرد، حتماً قبل از واریز با او تماس بگیرید. ممکن است اکانتش هک شده باشد. این نوع فریب را جدی بگیرید که به وفور اتفاق می‌افتد!

عدم اشتراک‌گذاری اطلاعات حساس: اطلاعات حساس شخصی (مثل تاریخ دقیق تولد، کد ملی، رمزها و…) را در شبکه‌های اجتماعی عمومی نکنید؛ این‌ها کلید خانه دیجیتال شما هستند.

صبوری: مهاجم تقریباً همیشه سعی می‌کند شما را در حالت عجله، ترس یا هیجان قرار دهد تا فرصت فکر کردن نداشته باشید. اما اگر اندکی صبور باشید و از احساسات اولیه عبور کنید، می‌توانید جلوی خسارت‌های بیشتر را بگیرید.
ورود دستی به آدرس‌ها: اگر پیامکی به دست‌تان رسید که به ظاهر از بانک یا هر نهاد مشابهی بود، روی لینک کلیک نکنید. خودتان آدرس معتبر سایت بانک را دستی در مرورگر بنویسید.

یادگیری مستمر: دانستن روش‌های جدید کلاهبرداری و مطالعه‌ی «سایت نوشدارو»، بهترین نوشدارو است!

سخن پایانی

مهندسی اجتماعی فقط یک مشکل فردی نیست. وقتی یک نفر فریب می‌خورد، ممکن است اطلاعات یا دسترسی‌هایی را به خطر بیندازد که دیگران را هم در معرض آسیب قرار می‌دهد. آگاهی دادن، هشدار دادن به اطرافیان و صحبت کردن درباره‌ی این تهدیدها، نقش مهمی در کاهش موفقیت حملات مهندسی اجتماعی دارد. هر کاربر آگاه، بخشی از زنجیره‌ی امنیت دیجیتال جامعه است»

انتهای پیام