ریشه بسیاری از حملات باج‌‌افزارها، حمله مهندسی اجتماعی است که شامل دستکاری شخص یا اشخاصی برای دسترسی به سیستم‌های کاربران، شرکت و اطلاعات آنهاست. وظیفه مهم مهندسی اجتماعی جلب اعتماد قربانی است. برای نمونه، مهاجم با استفاده از حمله مهندسی اجتماعی، به جای صرف کلی وقت برای پیدا کردن رمزعبور، کاری می‌کند که خود قربانی آن را تحویل وی بدهد.

در ادامه مطلب انواع حمله مهندسی اجتماعی را مرور می‌کنیم.

۱- فیشینگ – Phishing

رایج‌ترین حمله مهندسی اجتماعی ، فیشینگ است. در Phishing، حمله از طریق ایمیل، چت، وب‌سایت یا آگهی‌های تبلیغاتی انجام میشود، و مهاجم سعی می‌کند از طریق جعل هویت سازمان یا شرکت، اعتماد قربانی را جلب کند. پیغام‌های فیشینگ می‌تواند از طرف بانک، شرکت‌های بزرگ و حتی دولت باشد. رفتارهای فیشینگ بسیار متنوع هستند. برخی از آنها ازکاربر نهایی درخواست می‌کنند که اطلاعات ورود حساب کاربری‌‌اش را تائید کند، و برای این منظور فرم ورودی با لگو و ظاهر وب‌سایت مورد نظر آماده می‌کنند. برخی از آنها کاربر را برنده یک مسابقه یا قرعه ‌کشی اعلام می‌کنند و برای پرداخت جایزه، درخواست اجازه دسترسی به حساب بانکی کاربر را دارند. برخی از آنها با سو استفاده از حوادث طبیعی مانند سیل، زلرله و یا تاریخ‌‌های خاص شروع به جمع‌آوری کمک‌های مردمی می‌کنند.

۲- طعمه گذاری – Baiting

طعمه گذاری هم شبیه فیشینگ است. در این نوع از حمله با ارائه چیز قابل توجه و جذابی به کاربر، از وی درخواست اطلاعات شخصی‌ یا اطلاعات ورود به حساب‌های کاربری‌اش را می‌کنند. طعمه به شکل‌های مختلفی ارائه می‌شود. از طریق دنیای دیجیتال، مانند دانلود فیلم یا موزیک در سایت peer-to-peer، یا به صورت فیزیکی در دنیای واقعی، مانند جا گذاشتن حافظه USB با برچسب قابل توجه مانند اطلاعات حقوق سه ماه اول، روی میز کارمندان. به محض اینکه موزیک دانلود شد یا حافظه USB به دستگاه کاربر متصل شد، نرم‌افزارهای مخرب وارد دستگاه کاربر می‌شوند و خرابکار کار خودش را شروع می‌کند.

۳- Quid Pro Quo

این نوع حمله مانند طعمه گذاری است. در حمله Quid Pro Quo، هکر خرابکار در ازای سرویسی که به کاربر می‌دهد از او تقاضای اطلاعات شخصی یا اطلاعات ورود حساب کاربری‌‌اش را می‌کند. برای نمونه تماس تلفنی از هکری که خود را کارمند شرکت کاریابی معرفی می‌کند و در ازای پیدا کردن شغل برای شما اطلاعات شخصی‌تان شامل شماره‌ منزل، شماره تلفن همراه، آدرس منزل و … را می‌گیرد. مثال دیگر شخصی که خود را کارشناس IT معرفی می‌کند، و در مقابل سرویس‌های رایگان IT، از کاربر اطلاعات کاربری‌‌‌اش را تقاضا می‌کند.

۴-Pretexting

این نوع حمله مشابه فیشینگ است. در حمله Pretexting هکر خرابکار سعی می‌کند خودش را شخص دیگری معرفی کند، تا بتواند به اطلاعات حساس و شخصی قربانی دست پیدا کند. در برخی موارد هکر مجبور است یک هویت جدید نیز بسازد. در حمله Pretexting هکر خرابکار سعی می‌کند از طریق دروغ‌های زیاد، خود را شخص دیگری معرفی کند، و با به وجود آوردن حس اعتماد بین خودش و قربانی، اطلاعات وی را بدست بیاورد. برای نمونه هکری که با یک هویت جعلی در اینترنت شروع به گفتگو با شما می‌کند و در ازای دادن اطلاعات شخصی از خودش که اتفاقا اشتراک‌های زیادی با شما دارد، اعتماد شما را جلب می‌کند و بر اساس همین اعتماد و اشتراکات، شما هم اطلاعات شخصی‌تان را به او می‌دهید.برای این نوع از حمله مهندسی اجتماعی ، هکر اطلاعات زیادی را از قربانی و همچنین شخصی که می‌خواهد خودش را به جای او معرفی کند بدست می‌آورد.

۵-Piggybacking

Piggybacking که همچنین tailgating نیز نامیده می‌شود، حمله‌ایست که در آن، فرد غیر مجاز به دنبال فرد مجاز وارد یک سیستم یا منطقه با دسترسی‌ محدود شده می‌شود. برای نمونه هکری که با تماس تلفنی به کارمند موسسه یا شرکتی از او می‌خواهد درب را برای آنها باز کند، زیرا فراموش کرده‌اند کارت RFID شان را همراه خود بیاورند.

کارشناسان امنیتی برای حصول اطمینان از امنیت سایبری شرکت‌ها یا سازمان‌ها باید مطمئن شوند که تمام کارمندان از انواع حملات مهندسی اجتماعی آگاه هستند. این نوع از آگاهی فقط شامل کارمندان سازمان‌ها وشرکت‌ها نیست. هر شخصی که با اینترنت سروکار دارد لازم است با انواع حملات سایبری از جمله مهندسی اجتماعی آگاهی داشته باشد.

لازم به یادآوری است که یکی از پایه‌های اصلی حمله مهندسی اجتماعی، جمع آوری اطلاعات است. بنابراین مراقب اطلاعاتی که در اینترنت به اشتراک می‌گذارید باشید. اطلاعات منتشر شده توسط خود شما می‌تواند برای حمله به شما استفاده شود. یکی دیگر از پایه‌های مهندسی اجتماعی، جلب اعتماد است. هرگز به اشخاصی که در دنیای دیجیتال با آنها گفتگو می‌کنید، ولی آنها را رودررو ندیده‌اید و نمی‌شناسید اعتماد نکنید. اگر ایمیل یا تلفنی از مدیر یا مسئول بخش دیگر داشتید که تقاضای اطلاعات و دسترسی‌های غیرمجاز را داشت، تا حصول اطمینان از تماس گیرنده هرگز به او اطلاعات ندهید.

منبع : http://www.datto.com/blog/5-types-of-social-engineering-attacks