تکنیک‌های نوین مهندسی اجتماعی و سناریوهای واقعی

مهندسی اجتماعی شامل تکنیک‌های متنوعی است که مهاجمان برای دستکاری افراد و دستیابی به اطلاعات حساس از آنها استفاده می‌کنند. در اینجا به بررسی تکنیک‌های نوین.....

انتشار: , زمان مطالعه: 7 دقیقه
تکنیک‌های نوین مهندسی اجتماعی و سناریوهای واقعی
دسته بندی: امنیت سایبری تعداد بازدید: 133

تکنیک‌های نوین مهندسی اجتماعی و سناریوهای واقعی

مهندسی اجتماعی شامل تکنیک‌های متنوعی است که مهاجمان برای دستکاری افراد و دستیابی به اطلاعات حساس از آنها استفاده می‌کنند. در اینجا به بررسی تکنیک‌های نوین مهندسی اجتماعی و سناریوهای واقعی پرداخته می‌شود:

1. فیشینگ (Phishing)

  • توضیح: مهاجم تلاش می‌کند با ارسال ایمیل‌های جعلی و جذاب، قربانی را ترغیب به کلیک روی لینک‌های مخرب یا افشای اطلاعات حساس کند.
  • سناریو: یک کارمند ایمیلی از طرف شرکت IT دریافت می‌کند که در آن از او خواسته شده روی لینکی کلیک کند تا رمز عبور خود را به‌روزرسانی کند. لینک به صفحه‌ای جعلی هدایت می‌شود که اطلاعات ورود کارمند را سرقت می‌کند.

2. ویشینگ (Vishing)

  • توضیح: مهاجم با تماس تلفنی و جعل هویت، تلاش می‌کند تا اطلاعات حساس را از قربانی استخراج کند.
  • سناریو: فردی با کارمند بانک تماس می‌گیرد و خود را نماینده امنیتی بانک معرفی می‌کند و ادعا می‌کند که فعالیت مشکوکی در حساب بانکی کارمند مشاهده شده است. او از کارمند می‌خواهد برای تایید هویت، شماره حساب و رمز عبور خود را ارائه دهد.

3. اسپیر فیشینگ (Spear Phishing)

  • توضیح: نوعی فیشینگ هدفمند که با استفاده از اطلاعات جمع‌آوری شده در مورد قربانی خاص، ایمیل‌های جعلی و مخصو‌ص‌تر ارسال می‌شود.
  • سناریو: مدیر یک شرکت ایمیلی از یکی از همکارانش دریافت می‌کند که حاوی یک فایل پیوست است. فایل پیوست شامل بدافزار است که پس از باز کردن، اطلاعات حساس شرکت را سرقت می‌کند.

4. ویتینگ (Whaling)

  • توضیح: نوعی اسپیر فیشینگ که مدیران ارشد و مدیران اجرایی را هدف قرار می‌دهد.
  • سناریو: مدیر مالی شرکت ایمیلی از طرف مدیرعامل دریافت می‌کند که در آن درخواست انتقال فوری مبلغ زیادی به یک حساب بانکی می‌شود. ایمیل شامل جزئیات واقعی شرکت و تعاملات اخیر بین مدیرعامل و مدیر مالی است.

5. بیتینگ (Baiting)

  • توضیح: مهاجم با ارائه جاذبه‌هایی مانند پیشنهادات رایگان یا تخفیف‌های ویژه، قربانی را ترغیب به افشای اطلاعات یا دانلود نرم‌افزارهای مخرب می‌کند.
  • سناریو: یک USB فلش مموری حاوی برچسب «حقوق کارمندان» در محل کار گذاشته می‌شود. یکی از کارمندان فلش را پیدا کرده و به کامپیوتر خود متصل می‌کند، بدون اینکه بداند فلش حاوی بدافزار است.

6. سناریو سازی ، بهانه سازی(Pretexting)

  • توضیح: مهاجم با ساختن یک سناریوی جعلی، قربانی را ترغیب به فاش کردن اطلاعات حساس می‌کند. این سناریوها معمولاً شامل شخصیت‌سازی (Impersonation) یک فرد معتبر می‌شوند.در این روش مهاجم قربانی را فریب می‌دهد تا ابتدا با مهاجم تماس بگیرد.یکی از دلایل شیوع این روش در میان حملات مهندسی اجتماعی، تکیه بر دستکاری ذهن انسان برای دسترسی به اطلاعات مورد نظر مهاجم است، برخلاف دستکاری یک سیستم فناوری. هنگام جستجو برای قربانیان، مهاجمان می‌توانند به مجموعه‌ای از ویژگی‌ها توجه کنند، مانند توانایی اعتماد، ادراک پایین از تهدید، پاسخ به اقتدار، و حساسیت به واکنش با ترس یا هیجان در موقعیت‌های مختلف. در طول تاریخ، حملات  Pretexting در پیچیدگی افزایش یافته‌اند، از دستکاری اپراتورها بر روی تلفن در دهه 1900 تا رسوایی هیولت پاکارد در دهه 2000 که شامل استفاده از شماره‌های تأمین اجتماعی، تلفن‌ها و بانک‌ها بود. چارچوب‌های آموزشی کنونی در زمینه مهندسی اجتماعی در سازمان‌ها مورد استفاده قرار می‌گیرند، اگرچه محققان در دانشگاه‌ها پیشنهادات ممکن برای بهبود آن چارچوب‌ها را ارائه داده‌اند.
  • سناریو: فردی تماس می‌گیرد و خود را نماینده شرکت مخابرات معرفی می‌کند و ادعا می‌کند که برای به‌روزرسانی سیستم نیاز به تایید برخی اطلاعات حساس دارد. قربانی، با این باور که تماس معتبر است، اطلاعات مورد نظر را فاش می‌کند.

7. تله‌گذاری (Tailgating)

  • توضیح: مهاجم بدون داشتن مجوز، با دنبال کردن یک فرد مجاز وارد مناطق امن می‌شود.
  • سناریو: مهاجم منتظر می‌ماند تا یک کارمند وارد ساختمان شود و سپس بدون نشان دادن کارت شناسایی، پشت سر او وارد شود. مهاجم از این فرصت برای دسترسی به مناطق حساس استفاده می‌کند.

8. حمله آبشخور (Watering Hole Attack)

  • توضیح: مهاجم یک وبسایت معتبر که مورد بازدید قربانیان قرار می‌گیرد را با بدافزار آلوده می‌کند.
  • سناریو: مهاجم یک وبسایت محبوب که توسط کارکنان یک شرکت خاص به طور مرتب بازدید می‌شود را هک کرده و بدافزاری را در آن قرار می‌دهد. وقتی کارکنان به سایت مراجعه می‌کنند، سیستم‌های آنها به بدافزار آلوده می‌شود.

9. اسمیشینگ (Smishing)

  • توضیح: ارسال پیامک‌های حاوی لینک‌های مخرب یا درخواست اطلاعات حساس.
  • سناریو: قربانی پیامی دریافت می‌کند که ادعا می‌کند از طرف بانک او است و از او می‌خواهد برای رفع یک مشکل امنیتی روی لینک کلیک کند. لینک به یک سایت جعلی هدایت می‌شود که اطلاعات ورود او را سرقت می‌کند.

10. مهندسی اجتماعی معکوس (Reverse Social Engineering)

  • توضیح: مهاجم به گونه‌ای رفتار می‌کند که قربانیان خودشان برای دریافت کمک به او مراجعه کنند.
  • سناریو: مهاجم یک مشکل مصنوعی در سیستم ایجاد می‌کند و سپس به عنوان تکنسین IT ظاهر می‌شود و به کارمندان کمک می‌کند مشکل را رفع کنند. در این فرآیند، او به اطلاعات حساس دسترسی پیدا می‌کند.

11. دامپستر دایوینگ (Dumpster Diving)

  • توضیح: مهاجم به دنبال اطلاعات حساس در زباله‌ها و سطل‌های زباله است.
  • سناریو: مهاجم در سطل زباله شرکت به دنبال اسناد دور ریخته شده‌ای می‌گردد که حاوی اطلاعات حساس هستند، مانند گزارش‌های مالی یا لیست‌های مشتریان.

12. شانه‌نگاری (Shoulder Surfing)

  • توضیح: مهاجم از طریق مشاهده‌ی مستقیم، مانند نگاه کردن به صفحه‌نمایش یا صفحه‌کلید فرد دیگر، اطلاعات حساس را سرقت می‌کند.
  • سناریو: مهاجم در کافه‌تریا یا محل عمومی دیگر کنار قربانی می‌نشیند و هنگام ورود رمز عبور به صفحه‌کلید او نگاه می‌کند و اطلاعات را یادداشت می‌کند.

13. فیشینگ از طریق شبکه‌های اجتماعی (Social Media Phishing)

  • توضیح: مهاجم از طریق شبکه‌های اجتماعی تلاش می‌کند تا اطلاعات حساس را از قربانیان به دست آورد.
  • سناریو: کارمند از طریق شبکه اجتماعی لینک مشکوکی دریافت می‌کند که به نظر می‌رسد از طرف همکاران است. کلیک روی لینک به یک سایت جعلی هدایت می‌شود که اطلاعات ورود او را سرقت می‌کند.

14. کلاه‌برداری تلفنی (Telephone Fraud)

  • توضیح: مهاجم از طریق تماس تلفنی تلاش می‌کند تا اطلاعات حساس را از قربانیان استخراج کند.
  • سناریو: مهاجم به عنوان نماینده‌ی بانک با قربانی تماس می‌گیرد و ادعا می‌کند که فعالیت مشکوکی در حساب بانکی مشاهده شده است و برای تایید هویت، اطلاعات حساس قربانی را می‌پرسد.

15. مهندسی اجتماعی ترکیبی (Combination Social Engineering)

  • توضیح: مهاجم از ترکیبی از تکنیک‌های مختلف مهندسی اجتماعی برای رسیدن به هدف خود استفاده می‌کند.
  • سناریو: مهاجم ابتدا از طریق فیشینگ اطلاعات اولیه را به دست می‌آورد، سپس با استفاده از پیش‌متاسفانه تماس می‌گیرد و با جعل هویت نماینده‌ی بانک، اطلاعات بیشتری را از قربانی دریافت می‌کند.

16. کلاهبرداری کارت‌های پرداخت (Payment Card Fraud)

  • توضیح: مهاجم اطلاعات کارت‌های پرداخت قربانیان را با روش‌های مختلف به سرقت می‌برد.
  • سناریو: مهاجم در یک فروشگاه دستگاه کارتخوان مخرب نصب می‌کند و اطلاعات کارت‌های پرداخت مشتریان را سرقت می‌کند.

17. حملات فیزیکی (Physical Attacks)

  • توضیح: مهاجم به صورت فیزیکی به تجهیزات یا سیستم‌های کامپیوتری دسترسی پیدا می‌کند.
  • سناریو: مهاجم وارد ساختمان شرکت می‌شود و به دستگاه‌های کامپیوتری دسترسی پیدا می‌کند و اطلاعات حساس را استخراج می‌کند.

18. حملات مهندسی اجتماعی از طریق نرم‌افزار (Software-Based Social Engineering Attacks)

  • توضیح: مهاجم از نرم‌افزارهای مخرب برای دسترسی به اطلاعات حساس استفاده می‌کند.
  • سناریو: مهاجم از طریق ارسال ایمیل‌های فیشینگ نرم‌افزار مخربی را به سیستم قربانی وارد می‌کند که اطلاعات حساس را جمع‌آوری و به مهاجم ارسال می‌کند.

19. جعل هویت (Impersonation)

  • توضیح: مهاجم خود را به عنوان یک فرد معتبر معرفی می‌کند تا اطلاعات حساس را به دست آورد.
  • سناریو: مهاجم با کارمند تماس می‌گیرد و خود را به عنوان مدیر شرکت معرفی می‌کند و از او درخواست اطلاعات حساس می‌کند.

20. جعل ایمیل (Email Spoofing)

  • توضیح: مهاجم ایمیلی جعلی ارسال می‌کند که به نظر می‌رسد از یک منبع معتبر است.
  • سناریو: مهاجم ایمیلی جعلی به کارمندان شرکت ارسال می‌کند که به نظر می‌رسد از طرف مدیرعامل است و درخواست اطلاعات حساس می‌کند.

21. Whaling (حمله به نهنگ‌ها)

  • توضیح: نوعی فیشینگ هدفمند که مدیران ارشد و مدیران اجرایی را هدف قرار می‌دهد. این حملات معمولاً پیچیده‌تر و دقیق‌تر از حملات فیشینگ عمومی هستند.
  • سناریو: یک مهاجم ایمیلی از طرف CEO شرکت به CFO ارسال می‌کند و درخواست انتقال فوری مبلغ زیادی به یک حساب بانکی می‌کند. ایمیل شامل جزئیات واقعی شرکت و تعاملات اخیر بین CEO و CFO است.

اقدامات پیشگیرانه

برای مقابله با این تهدیدات، سازمان‌ها می‌توانند اقدامات زیر را انجام دهند:

  1. آموزش مداوم کارکنان: برگزاری دوره‌های آموزشی و کارگاه‌های عملی برای افزایش آگاهی کارکنان از تکنیک‌های مهندسی اجتماعی و روش‌های مقابله با آنها.
  2. استفاده از ابزارهای امنیتی: نصب و پیکربندی صحیح ابزارهای امنیتی مانند فایروال‌ها، نرم‌افزارهای ضد بدافزار و سیستم‌های تشخیص نفوذ.
  3. سیاست‌های امنیتی: تدوین و اجرای سیاست‌های امنیتی جامع برای کنترل دسترسی و محافظت از اطلاعات حساس.
  4. ارزیابی‌های امنیتی منظم: انجام تست‌های نفوذ و ارزیابی‌های امنیتی منظم برای شناسایی و رفع نقاط ضعف.

این اقدامات به سازمان‌ها کمک می‌کند تا از حملات مهندسی اجتماعی جلوگیری کنند و امنیت سیستم‌ها و اطلاعات خود را بهبود بخشند.


دیدگاه های مربوط به این مقاله (برای ارسال دیدگاه در سایت حتما باید عضو باشید و پروفایل کاربری شما تکمیل شده باشد)

تعداد 1 دیدگاه ثبت شده
فرشاد عباسی می گه: زمان ثبت: 2 ماه پیش

بسیار عالی و کارامد. یک جا این مطالب رو اینجا خیلی مفید با مثال خوندم خیلی خوب بود. خسته نباشید🤩