ریشه بسیاری از حملات باجافزارها، حمله مهندسی اجتماعی است که شامل دستکاری شخص یا اشخاصی برای دسترسی به سیستمهای کاربران، شرکت و اطلاعات آنهاست. وظیفه مهم مهندسی اجتماعی جلب اعتماد قربانی است. برای نمونه، مهاجم با استفاده از حمله مهندسی اجتماعی، به جای صرف کلی وقت برای پیدا کردن رمزعبور، کاری میکند که خود قربانی آن را تحویل وی بدهد.
در ادامه مطلب انواع حمله مهندسی اجتماعی را مرور میکنیم.
۱- فیشینگ – Phishing
رایجترین حمله مهندسی اجتماعی ، فیشینگ است. در Phishing، حمله از طریق ایمیل، چت، وبسایت یا آگهیهای تبلیغاتی انجام میشود، و مهاجم سعی میکند از طریق جعل هویت سازمان یا شرکت، اعتماد قربانی را جلب کند. پیغامهای فیشینگ میتواند از طرف بانک، شرکتهای بزرگ و حتی دولت باشد. رفتارهای فیشینگ بسیار متنوع هستند. برخی از آنها ازکاربر نهایی درخواست میکنند که اطلاعات ورود حساب کاربریاش را تائید کند، و برای این منظور فرم ورودی با لگو و ظاهر وبسایت مورد نظر آماده میکنند. برخی از آنها کاربر را برنده یک مسابقه یا قرعه کشی اعلام میکنند و برای پرداخت جایزه، درخواست اجازه دسترسی به حساب بانکی کاربر را دارند. برخی از آنها با سو استفاده از حوادث طبیعی مانند سیل، زلرله و یا تاریخهای خاص شروع به جمعآوری کمکهای مردمی میکنند.
۲- طعمه گذاری – Baiting
طعمه گذاری هم شبیه فیشینگ است. در این نوع از حمله با ارائه چیز قابل توجه و جذابی به کاربر، از وی درخواست اطلاعات شخصی یا اطلاعات ورود به حسابهای کاربریاش را میکنند. طعمه به شکلهای مختلفی ارائه میشود. از طریق دنیای دیجیتال، مانند دانلود فیلم یا موزیک در سایت peer-to-peer، یا به صورت فیزیکی در دنیای واقعی، مانند جا گذاشتن حافظه USB با برچسب قابل توجه مانند اطلاعات حقوق سه ماه اول، روی میز کارمندان. به محض اینکه موزیک دانلود شد یا حافظه USB به دستگاه کاربر متصل شد، نرمافزارهای مخرب وارد دستگاه کاربر میشوند و خرابکار کار خودش را شروع میکند.
۳- Quid Pro Quo
این نوع حمله مانند طعمه گذاری است. در حمله Quid Pro Quo، هکر خرابکار در ازای سرویسی که به کاربر میدهد از او تقاضای اطلاعات شخصی یا اطلاعات ورود حساب کاربریاش را میکند. برای نمونه تماس تلفنی از هکری که خود را کارمند شرکت کاریابی معرفی میکند و در ازای پیدا کردن شغل برای شما اطلاعات شخصیتان شامل شماره منزل، شماره تلفن همراه، آدرس منزل و … را میگیرد. مثال دیگر شخصی که خود را کارشناس IT معرفی میکند، و در مقابل سرویسهای رایگان IT، از کاربر اطلاعات کاربریاش را تقاضا میکند.
۴-Pretexting
این نوع حمله مشابه فیشینگ است. در حمله Pretexting هکر خرابکار سعی میکند خودش را شخص دیگری معرفی کند، تا بتواند به اطلاعات حساس و شخصی قربانی دست پیدا کند. در برخی موارد هکر مجبور است یک هویت جدید نیز بسازد. در حمله Pretexting هکر خرابکار سعی میکند از طریق دروغهای زیاد، خود را شخص دیگری معرفی کند، و با به وجود آوردن حس اعتماد بین خودش و قربانی، اطلاعات وی را بدست بیاورد. برای نمونه هکری که با یک هویت جعلی در اینترنت شروع به گفتگو با شما میکند و در ازای دادن اطلاعات شخصی از خودش که اتفاقا اشتراکهای زیادی با شما دارد، اعتماد شما را جلب میکند و بر اساس همین اعتماد و اشتراکات، شما هم اطلاعات شخصیتان را به او میدهید.برای این نوع از حمله مهندسی اجتماعی ، هکر اطلاعات زیادی را از قربانی و همچنین شخصی که میخواهد خودش را به جای او معرفی کند بدست میآورد.
۵-Piggybacking
Piggybacking که همچنین tailgating نیز نامیده میشود، حملهایست که در آن، فرد غیر مجاز به دنبال فرد مجاز وارد یک سیستم یا منطقه با دسترسی محدود شده میشود. برای نمونه هکری که با تماس تلفنی به کارمند موسسه یا شرکتی از او میخواهد درب را برای آنها باز کند، زیرا فراموش کردهاند کارت RFID شان را همراه خود بیاورند.
کارشناسان امنیتی برای حصول اطمینان از امنیت سایبری شرکتها یا سازمانها باید مطمئن شوند که تمام کارمندان از انواع حملات مهندسی اجتماعی آگاه هستند. این نوع از آگاهی فقط شامل کارمندان سازمانها وشرکتها نیست. هر شخصی که با اینترنت سروکار دارد لازم است با انواع حملات سایبری از جمله مهندسی اجتماعی آگاهی داشته باشد.
لازم به یادآوری است که یکی از پایههای اصلی حمله مهندسی اجتماعی، جمع آوری اطلاعات است. بنابراین مراقب اطلاعاتی که در اینترنت به اشتراک میگذارید باشید. اطلاعات منتشر شده توسط خود شما میتواند برای حمله به شما استفاده شود. یکی دیگر از پایههای مهندسی اجتماعی، جلب اعتماد است. هرگز به اشخاصی که در دنیای دیجیتال با آنها گفتگو میکنید، ولی آنها را رودررو ندیدهاید و نمیشناسید اعتماد نکنید. اگر ایمیل یا تلفنی از مدیر یا مسئول بخش دیگر داشتید که تقاضای اطلاعات و دسترسیهای غیرمجاز را داشت، تا حصول اطمینان از تماس گیرنده هرگز به او اطلاعات ندهید.
منبع : http://www.datto.com/blog/5-types-of-social-engineering-attacks
[…] اجتماعی به اشتراک میگذارید، باید انتظار سرقت هویت یا حملات مهندسی اجتماعی را داشته باشید. مطمئنا نمیتوان به یقین گفت شما هم […]
[…] راهها برای بدست آوردن اطلاعات از جمله رمزعبور، مهندسی اجتماعی است. این روش بر اساس جلب اعتماد قربانی است. و متاسفانه […]
[…] مخرب بین کاربران، بدافزارها را پخش و همچنین از روشهای مهندسی اجتماعی در جهت رسیدن به اهدافشان استفاده […]
[…] را با هیچ کدام از روشهای کرک کردن رمزعبور یا روش های مهندسی اجتماعی نتوانستند پیدا کنند به سراغ Brute Force میآیند. همانطور […]
[…] اینفوگرافیک امنیت اینترنت این هفته کنشتک به انواع حمله مهندسی اجتماعی میپردازیم. اگر از دنبال کنندگان وبسایت کنشتک […]
[…] نفوذ دیگری به اطلاعات دسترسی پیدا میکنند. میتوانید انواع مهندسی اجتماعی را در این پست بخوانید و همچنین اینفوگرافیک انواع حمله […]
[…] کنشتک درباره مهندسی اجتماعی پستهایی از چیستی تا انواع آن نوشتهایم. مهندسان اجتماعی با ترفندهای خود، […]
[…] از تهدیدهای بزرگ امنیت دیجیتال مهندسی اجتماعی است. این اشخاص با تکیه بر نقاط ضعف و قوت دیگران سعی […]
مطلب بسیار خوبی بود.ممنونم
[…] پیش از حمله، از طریق مهندسی اجتماعی شروع به جمع آوری اطلاعات از قربانیان خود میکنند. به […]
[…] میتواند آسیبپذیر هم باشد. هکرهای خرابکار از طریق مهندسی اجتماعی، حمله بروت فورس و فیشینگ و غیره میتوانند این فاکتور […]
[…] آنلاین این هفته کنشتک به موضوع تاکتیکها و روشهای مهندسان اجتماعی برای گردآوری اطلاعات مهم از کاربران دیگر است. با آگاهی […]
[…] انسانی است. رفتارهایی مانند کنجکاوی، ترس و اعتماد. مهندسان اجتماعی در حملات فیشینگ از این رفتارهای انسان استفاده […]
[…] پیدا کنند. از تهدیدهای سایبری در کافیشاپ میتوان به مهندسی اجتماعی و تهدیدهای WiFi عمومی اشاره […]
[…] اینفوگرافیک این هفته کنشتک «مهندسی اجتماعی» است. اشخاص معمولا ضعیفترین نقطه برای بدست آوردن […]