انواع حملات مهندسی اجتماعی و هک

انواع حملات مهندسی اجتماعی و هک سالهاست ادامه دارد و هنوز هم هر روز آنها را از سر می گذرانیم. علت این مساله، فقدان آموزش های پایه ای در زمینه امنیت سایبری برای کارمندان سازمان های بزرگ و کوچک می باشد. در تلاش برای گسترش آگاهی از این تاکتیک و مبارزه با آن، در اینجا یک مرور سریع بر رایج ترین و مرگبار ترین کلاهبرداری های مهندسی اجتماعی و هک داریم. پس از آن، اگر همه یاد بگیرند که این حملات را شناسایی کنند، اجتناب از آنها ساده تر از آنچه فکر می کنیم خواهد بود.

 

۱- حملات فیشینگ Phishing

یکی از مهمترین و پیشروترین انواع حملات مهندسی اجتماعی فیشینگ است که معمولا به صورت ایمیل، چت، آگهی وب یا وب سایت ارائه می شود. این روش برای جعل هویت یک سیستم واقعی و سازمان طراحی شده است. پیام های فیشینگ برای القای یک مساله فوری یا ترس با هدف نهایی کسب اطلاعات حساس کاربر طراحی شده اند. یک پیام فیشینگ ممکن است از یک بانک، دولت یا یک شرکت بزرگ باشد. اعمال درخواست شده، متفاوت است. در این نوع مهندسی اجتماعی از کاربر درخواست می کنند اطلاعات ورود به حساب خود را “تأیید” کنند و شامل یک صفحه ورود با لوگو و علامت تجاری است تا به نظر، درست و قانونی باشد. بعضی ادعا می کنند که کاربر نهایی “برنده” یک جایزه یا بخت آزمایی بزرگ است و درخواست دسترسی به یک حساب بانکی را دارند تا جایزه را اهدا کنند. بعضی اهدای کمک های خیریه پس از یک فاجعه طبیعی را درخواست می کنند.

مرتبط : شش تکنیک مهندسی اجتماعی و فیشینگ محبوب در سال ۲۰۱۸

 

۲-   حملات آنلاین طعمه گذاری Baiting

یکی دیگر از انواع حملات مهندسی اجتماعی روش طعمه گذاری است که تقریبا مانند عملیات فیشینگ می باشد در این نوع از حمله با ارائه یک مورد جذاب به کاربر، از وی درخواست اطلاعات شخصی‌ یا اطلاعات ورود به حساب‌های کاربری‌اش را می‌کنند. طعمه به شکل‌های گوناگونی ارائه می‌شود: هم به صورت دیجیتال و هم در دنیای واقعی و به صورت فیزیکی. از طریق دنیای دیجیتال، مانند دانلود فیلم یا موزیک در سایت های همتا به همتا (peer-to-peer) و به صورت فیزیکی در دنیای واقعی، مانند جا گذاشتن USB روی میز کارمندان که شامل برچسب قابل توجه و جذابی مانند اطلاعات حقوق سه ماه اول می باشد. به محض اینکه موزیک دانلود شود یا USB به دستگاه کاربر متصل شود، نرم‌افزارهای مخرب وارد دستگاه کاربر می‌شوند و هکر کارش را آغاز می‌کند.

مرتبط : مهندسی اجتماعی چیست؟ تکنیک های ورود به سازمانها توسط مجرمین

 

۳- روش Quid Pro Quo

این نوع حمله نیز مانند طعمه گذاری است. در حمله Quid Pro Quo، هکر در ازای خدماتی که به کاربر ارائه می‌دهد از او تقاضای اطلاعات شخصی یا اطلاعات ورود حساب کاربری‌‌اش را دارد. مثلا هکری به شما تلفن کرده و خود را کارمند شرکت کاریابی معرفی می‌کند و برای پیدا کردن شغل برای شما اطلاعات شخصی‌تان شامل شماره‌ منزل، شماره تلفن همراه، آدرس منزل و … را می‌گیرد. مثال دیگر شخصی است که خود را کارشناس IT معرفی می‌کند، و در مقابل سرویس‌های رایگان IT، از کاربر اطلاعات کاربری‌‌‌اش را تقاضا می‌کند. اخیرا دیده شده که از یک سازمان به اصطلاح دولتی تماس با شرکت های می گیرند و از آنها درخواست شناسه ملی، شماره ثبت، نام مدیر عامل و اطلاعات دیگری را برای ثبت شرکت در سامانه ای به خصوص می کنند.

 

۴.  حمله Pretexting

این نوع حمله مهندسی اجتماعی هم مشابه فیشینگ است. در حمله Pretexting هکر تلاش می‌کند خودش را شخص دیگری معرفی کند، تا بتواند به اطلاعات حساس و شخصی کاربر دسترسی پیدا کند. در برخی موارد هکر مجبور است یک هویت جدید بسازد. در حمله Pretexting هکر سعی می‌کند با دروغگویی و فریب بسیار، خود را شخص دیگری معرفی کرده، و با ایجاد اعتماد بین خودش و قربانی، اطلاعات وی را بدست بیاورد. مثلا هکری با یک هویت جعلی در اینترنت شروع به گپ زدن با شما کرده و با دادن اطلاعات شخصی از خودش که اتفاقا اشتراک‌های زیادی با شما دارد، اعتماد شما را جلب می‌کند و بر اساس همین اعتماد و اشتراکات، شما هم اطلاعات شخصی‌تان را در اختیار او قرار می دهید. برای این نوع از حمله مهندسی اجتماعی ، هکر اطلاعات زیادی را از قربانی و همچنین شخصی که می‌خواهد خودش را به جای او معرفی کند بدست می‌آورد.

 

۵. حمله Piggybacking

حمله مهندسی اجتماعی Piggybacking که tailgating نیز نامیده می‌شود، حمله‌ای است که در آن، فرد غیر مجاز به صورت فیزیکی به دنبال فرد مجاز به یک سیستم یا منطقه با دسترسی‌ محدود شده وارد می‌شود. مثلا مجرم به کارمند موسسه یا شرکت تلفن میزند و از او می‌خواهد درب را برایش باز کند، زیرا فراموش کرده‌ است که کارت ورود خود را همراهش بیاورد.

کارشناسان امنیتی برای حصول اطمینان از امنیت سایبری شرکت‌ها و سازمان‌ها باید مطمئن شوند که تمامی کارمندان از انواع حملات مهندسی اجتماعی آگاهی کامل دارند. این نوع از آگاهی فقط شامل کارمندان سازمان‌ها وشرکت‌ها نیست. هر شخصی که با اینترنت سروکار دارد لازم است با انواع حملات سایبری از جمله مهندسی اجتماعی آشنایی داشته و آنها را بشناسد.

باید متذکر شد که یکی از پایه‌های اصلی حمله مهندسی اجتماعی، جمع آوری اطلاعات است. بنابراین مراقب اطلاعاتی که در اینترنت به اشتراک می‌گذارید باشید. اطلاعات منتشر شده توسط خودتان ممکن است علیه شما استفاده شود. یکی دیگر از پایه‌های مهندسی اجتماعی، جلب اعتماد است. هرگز به اشخاصی که در دنیای دیجیتال با آنها گفتگو می‌کنید، ولی آنها را رودررو ندیده‌اید و نمی‌شناسیدشان اعتماد نکنید. اگر ایمیل یا تلفنی از مدیر یا مسئول بخش دیگری داشتید که تقاضای اطلاعات و دسترسی‌های غیرمجاز را داشت، بدون حصول اطمینان از صحت هویت تماس گیرنده، هرگز اطلاعات را در دسترس وی قرار ندهید.

گاهی سازمان ها برای تست و شناسایی راههای نفوذ از هکر کلاه سفید استفاده می کنند. به این نوع هکرها ماموریت داده می شود تا به سازمان آنها حمله مهندسی اجتماعی کنند تا دریابند که راههای نفوذ سازمان آنها از کجاها است تا بتوانند جلوی این نوع حملات احتمالی را بگیرند. مانند گروه Red Team  کمپانی اف سکیور که واحد پیشگیری از انواع حملات مهندسی اجتماعی این کمپانی می باشد.

مرتبط : هکر کلاه سفید کیست و چگونه یک هکر کلاه سفید شویم ؟

 


پنج مورد مهم از انواع حملات مهندسی اجتماعی و هک


 

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *