تکنیکهای نوین مهندسی اجتماعی و سناریوهای واقعی
مهندسی اجتماعی شامل تکنیکهای متنوعی است که مهاجمان برای دستکاری افراد و دستیابی به اطلاعات حساس از آنها استفاده میکنند. در اینجا به بررسی تکنیکهای نوین.....
ابراهیم شفیعی
انتشار: , زمان مطالعه: 7 دقیقه
تکنیکهای نوین مهندسی اجتماعی و سناریوهای واقعی
مهندسی اجتماعی شامل تکنیکهای متنوعی است که مهاجمان برای دستکاری افراد و دستیابی به اطلاعات حساس از آنها استفاده میکنند. در اینجا به بررسی تکنیکهای نوین مهندسی اجتماعی و سناریوهای واقعی پرداخته میشود:
1. فیشینگ (Phishing)
- توضیح: مهاجم تلاش میکند با ارسال ایمیلهای جعلی و جذاب، قربانی را ترغیب به کلیک روی لینکهای مخرب یا افشای اطلاعات حساس کند.
- سناریو: یک کارمند ایمیلی از طرف شرکت IT دریافت میکند که در آن از او خواسته شده روی لینکی کلیک کند تا رمز عبور خود را بهروزرسانی کند. لینک به صفحهای جعلی هدایت میشود که اطلاعات ورود کارمند را سرقت میکند.
2. ویشینگ (Vishing)
- توضیح: مهاجم با تماس تلفنی و جعل هویت، تلاش میکند تا اطلاعات حساس را از قربانی استخراج کند.
- سناریو: فردی با کارمند بانک تماس میگیرد و خود را نماینده امنیتی بانک معرفی میکند و ادعا میکند که فعالیت مشکوکی در حساب بانکی کارمند مشاهده شده است. او از کارمند میخواهد برای تایید هویت، شماره حساب و رمز عبور خود را ارائه دهد.
3. اسپیر فیشینگ (Spear Phishing)
- توضیح: نوعی فیشینگ هدفمند که با استفاده از اطلاعات جمعآوری شده در مورد قربانی خاص، ایمیلهای جعلی و مخصوصتر ارسال میشود.
- سناریو: مدیر یک شرکت ایمیلی از یکی از همکارانش دریافت میکند که حاوی یک فایل پیوست است. فایل پیوست شامل بدافزار است که پس از باز کردن، اطلاعات حساس شرکت را سرقت میکند.
4. ویتینگ (Whaling)
- توضیح: نوعی اسپیر فیشینگ که مدیران ارشد و مدیران اجرایی را هدف قرار میدهد.
- سناریو: مدیر مالی شرکت ایمیلی از طرف مدیرعامل دریافت میکند که در آن درخواست انتقال فوری مبلغ زیادی به یک حساب بانکی میشود. ایمیل شامل جزئیات واقعی شرکت و تعاملات اخیر بین مدیرعامل و مدیر مالی است.
5. بیتینگ (Baiting)
- توضیح: مهاجم با ارائه جاذبههایی مانند پیشنهادات رایگان یا تخفیفهای ویژه، قربانی را ترغیب به افشای اطلاعات یا دانلود نرمافزارهای مخرب میکند.
- سناریو: یک USB فلش مموری حاوی برچسب «حقوق کارمندان» در محل کار گذاشته میشود. یکی از کارمندان فلش را پیدا کرده و به کامپیوتر خود متصل میکند، بدون اینکه بداند فلش حاوی بدافزار است.
6. سناریو سازی ، بهانه سازی(Pretexting)
- توضیح: مهاجم با ساختن یک سناریوی جعلی، قربانی را ترغیب به فاش کردن اطلاعات حساس میکند. این سناریوها معمولاً شامل شخصیتسازی (Impersonation) یک فرد معتبر میشوند.در این روش مهاجم قربانی را فریب میدهد تا ابتدا با مهاجم تماس بگیرد.یکی از دلایل شیوع این روش در میان حملات مهندسی اجتماعی، تکیه بر دستکاری ذهن انسان برای دسترسی به اطلاعات مورد نظر مهاجم است، برخلاف دستکاری یک سیستم فناوری. هنگام جستجو برای قربانیان، مهاجمان میتوانند به مجموعهای از ویژگیها توجه کنند، مانند توانایی اعتماد، ادراک پایین از تهدید، پاسخ به اقتدار، و حساسیت به واکنش با ترس یا هیجان در موقعیتهای مختلف. در طول تاریخ، حملات Pretexting در پیچیدگی افزایش یافتهاند، از دستکاری اپراتورها بر روی تلفن در دهه 1900 تا رسوایی هیولت پاکارد در دهه 2000 که شامل استفاده از شمارههای تأمین اجتماعی، تلفنها و بانکها بود. چارچوبهای آموزشی کنونی در زمینه مهندسی اجتماعی در سازمانها مورد استفاده قرار میگیرند، اگرچه محققان در دانشگاهها پیشنهادات ممکن برای بهبود آن چارچوبها را ارائه دادهاند.
- سناریو: فردی تماس میگیرد و خود را نماینده شرکت مخابرات معرفی میکند و ادعا میکند که برای بهروزرسانی سیستم نیاز به تایید برخی اطلاعات حساس دارد. قربانی، با این باور که تماس معتبر است، اطلاعات مورد نظر را فاش میکند.
7. تلهگذاری (Tailgating)
- توضیح: مهاجم بدون داشتن مجوز، با دنبال کردن یک فرد مجاز وارد مناطق امن میشود.
- سناریو: مهاجم منتظر میماند تا یک کارمند وارد ساختمان شود و سپس بدون نشان دادن کارت شناسایی، پشت سر او وارد شود. مهاجم از این فرصت برای دسترسی به مناطق حساس استفاده میکند.
8. حمله آبشخور (Watering Hole Attack)
- توضیح: مهاجم یک وبسایت معتبر که مورد بازدید قربانیان قرار میگیرد را با بدافزار آلوده میکند.
- سناریو: مهاجم یک وبسایت محبوب که توسط کارکنان یک شرکت خاص به طور مرتب بازدید میشود را هک کرده و بدافزاری را در آن قرار میدهد. وقتی کارکنان به سایت مراجعه میکنند، سیستمهای آنها به بدافزار آلوده میشود.
9. اسمیشینگ (Smishing)
- توضیح: ارسال پیامکهای حاوی لینکهای مخرب یا درخواست اطلاعات حساس.
- سناریو: قربانی پیامی دریافت میکند که ادعا میکند از طرف بانک او است و از او میخواهد برای رفع یک مشکل امنیتی روی لینک کلیک کند. لینک به یک سایت جعلی هدایت میشود که اطلاعات ورود او را سرقت میکند.
10. مهندسی اجتماعی معکوس (Reverse Social Engineering)
- توضیح: مهاجم به گونهای رفتار میکند که قربانیان خودشان برای دریافت کمک به او مراجعه کنند.
- سناریو: مهاجم یک مشکل مصنوعی در سیستم ایجاد میکند و سپس به عنوان تکنسین IT ظاهر میشود و به کارمندان کمک میکند مشکل را رفع کنند. در این فرآیند، او به اطلاعات حساس دسترسی پیدا میکند.
11. دامپستر دایوینگ (Dumpster Diving)
- توضیح: مهاجم به دنبال اطلاعات حساس در زبالهها و سطلهای زباله است.
- سناریو: مهاجم در سطل زباله شرکت به دنبال اسناد دور ریخته شدهای میگردد که حاوی اطلاعات حساس هستند، مانند گزارشهای مالی یا لیستهای مشتریان.
12. شانهنگاری (Shoulder Surfing)
- توضیح: مهاجم از طریق مشاهدهی مستقیم، مانند نگاه کردن به صفحهنمایش یا صفحهکلید فرد دیگر، اطلاعات حساس را سرقت میکند.
- سناریو: مهاجم در کافهتریا یا محل عمومی دیگر کنار قربانی مینشیند و هنگام ورود رمز عبور به صفحهکلید او نگاه میکند و اطلاعات را یادداشت میکند.
13. فیشینگ از طریق شبکههای اجتماعی (Social Media Phishing)
- توضیح: مهاجم از طریق شبکههای اجتماعی تلاش میکند تا اطلاعات حساس را از قربانیان به دست آورد.
- سناریو: کارمند از طریق شبکه اجتماعی لینک مشکوکی دریافت میکند که به نظر میرسد از طرف همکاران است. کلیک روی لینک به یک سایت جعلی هدایت میشود که اطلاعات ورود او را سرقت میکند.
14. کلاهبرداری تلفنی (Telephone Fraud)
- توضیح: مهاجم از طریق تماس تلفنی تلاش میکند تا اطلاعات حساس را از قربانیان استخراج کند.
- سناریو: مهاجم به عنوان نمایندهی بانک با قربانی تماس میگیرد و ادعا میکند که فعالیت مشکوکی در حساب بانکی مشاهده شده است و برای تایید هویت، اطلاعات حساس قربانی را میپرسد.
15. مهندسی اجتماعی ترکیبی (Combination Social Engineering)
- توضیح: مهاجم از ترکیبی از تکنیکهای مختلف مهندسی اجتماعی برای رسیدن به هدف خود استفاده میکند.
- سناریو: مهاجم ابتدا از طریق فیشینگ اطلاعات اولیه را به دست میآورد، سپس با استفاده از پیشمتاسفانه تماس میگیرد و با جعل هویت نمایندهی بانک، اطلاعات بیشتری را از قربانی دریافت میکند.
16. کلاهبرداری کارتهای پرداخت (Payment Card Fraud)
- توضیح: مهاجم اطلاعات کارتهای پرداخت قربانیان را با روشهای مختلف به سرقت میبرد.
- سناریو: مهاجم در یک فروشگاه دستگاه کارتخوان مخرب نصب میکند و اطلاعات کارتهای پرداخت مشتریان را سرقت میکند.
17. حملات فیزیکی (Physical Attacks)
- توضیح: مهاجم به صورت فیزیکی به تجهیزات یا سیستمهای کامپیوتری دسترسی پیدا میکند.
- سناریو: مهاجم وارد ساختمان شرکت میشود و به دستگاههای کامپیوتری دسترسی پیدا میکند و اطلاعات حساس را استخراج میکند.
18. حملات مهندسی اجتماعی از طریق نرمافزار (Software-Based Social Engineering Attacks)
- توضیح: مهاجم از نرمافزارهای مخرب برای دسترسی به اطلاعات حساس استفاده میکند.
- سناریو: مهاجم از طریق ارسال ایمیلهای فیشینگ نرمافزار مخربی را به سیستم قربانی وارد میکند که اطلاعات حساس را جمعآوری و به مهاجم ارسال میکند.
19. جعل هویت (Impersonation)
- توضیح: مهاجم خود را به عنوان یک فرد معتبر معرفی میکند تا اطلاعات حساس را به دست آورد.
- سناریو: مهاجم با کارمند تماس میگیرد و خود را به عنوان مدیر شرکت معرفی میکند و از او درخواست اطلاعات حساس میکند.
20. جعل ایمیل (Email Spoofing)
- توضیح: مهاجم ایمیلی جعلی ارسال میکند که به نظر میرسد از یک منبع معتبر است.
- سناریو: مهاجم ایمیلی جعلی به کارمندان شرکت ارسال میکند که به نظر میرسد از طرف مدیرعامل است و درخواست اطلاعات حساس میکند.
21. Whaling (حمله به نهنگها)
- توضیح: نوعی فیشینگ هدفمند که مدیران ارشد و مدیران اجرایی را هدف قرار میدهد. این حملات معمولاً پیچیدهتر و دقیقتر از حملات فیشینگ عمومی هستند.
- سناریو: یک مهاجم ایمیلی از طرف CEO شرکت به CFO ارسال میکند و درخواست انتقال فوری مبلغ زیادی به یک حساب بانکی میکند. ایمیل شامل جزئیات واقعی شرکت و تعاملات اخیر بین CEO و CFO است.
اقدامات پیشگیرانه
برای مقابله با این تهدیدات، سازمانها میتوانند اقدامات زیر را انجام دهند:
- آموزش مداوم کارکنان: برگزاری دورههای آموزشی و کارگاههای عملی برای افزایش آگاهی کارکنان از تکنیکهای مهندسی اجتماعی و روشهای مقابله با آنها.
- استفاده از ابزارهای امنیتی: نصب و پیکربندی صحیح ابزارهای امنیتی مانند فایروالها، نرمافزارهای ضد بدافزار و سیستمهای تشخیص نفوذ.
- سیاستهای امنیتی: تدوین و اجرای سیاستهای امنیتی جامع برای کنترل دسترسی و محافظت از اطلاعات حساس.
- ارزیابیهای امنیتی منظم: انجام تستهای نفوذ و ارزیابیهای امنیتی منظم برای شناسایی و رفع نقاط ضعف.
این اقدامات به سازمانها کمک میکند تا از حملات مهندسی اجتماعی جلوگیری کنند و امنیت سیستمها و اطلاعات خود را بهبود بخشند.
دیدگاه های مربوط به این مقاله (برای ارسال دیدگاه در سایت حتما باید عضو باشید و پروفایل کاربری شما تکمیل شده باشد)
تعداد 1 دیدگاه ثبت شده
بسیار عالی و کارامد. یک جا این مطالب رو اینجا خیلی مفید با مثال خوندم خیلی خوب بود. خسته نباشید🤩
پاسخ