مهندسی اجتماعی (Social Engineering) چیست؟ مفهوم مهندسی اجتماعی در دنیای هک و امنیت سایبری

0 134

فهرست

مهندسی اجتماعی چیست؟

مهندسی اجتماعی به نوعی دستکاری روانشناختی افراد گفته می‌شود که بوسیله آن قربانی متقاعد می‌شود تا کاری که مهاجم در نظر دارد را انجام دهد. در دنیای هک و امنیت، عموما هکرها برای رسیدن به اهداف مخرب خود از این تکنیک‌ها استفاده می‌کنند. برای مثال، هکر به کمک تکنیک‌های مهندسی اجتماعی، اطلاعات مهمی مثل رمز عبور را از قربانی بدست می‌آورد. یا به نحوی قربانی را متقاعد می‌کند تا یک فایل به ظاهر سالم را برروی سیستم خود اجرا کند درحالیکه این فایل در واقع یک بدافزار است.

در دنیای امنیت اطلاعات، مهندسی اجتماعی نوعی از حملات سایبری است که در آن بجای استفاده از مهارت‌های فنی، سعی می‌شود با استفاده از حقه و نیزنگ و به کمک خطاهای انسانی، حمله انجام شود. در این حملات، از احساسات، اعتماد و اخلاقیات افراد سواستفاده می‌شود تا هکر به هدف خود برسد.

شاید در نگاه اول حملات مهندسی اجتماعی غیرپیچیده و بی‌اثر بنظر برسند، اما در بسیاری از حملات بزرگ سایبری گام‌های ابتدایی حمله با یک حمله مهندسی اجتماعی قدرتمند شروع می‌شود. در واقع مهندسی اجتماعی را می‌توان آغازگر یک حمله دانست. تجربه و مهارت هکر در این فاز می‌تواند حمله را به مراتب گسترده‌تر کند و کار را برای هکر راحت‌تر کند.

مهندسی اجتماعی چگونه انجام می‌شود؟

برخلاف یک تروجان، ویروس یا بدافزار که یک عملیات فنی و تکنیکال است، مهندسی اجتماعی کاملا یک مساله روانشناسی است. استفاده اصولی از آن، می‌تواند منجر به گرفتن دسترسی به داده‌ها و سیستم‌ها شود. یعنی در این روش بجای اینکه هکر ماه‌ها برروی توسعه یک نوع جدید از بدافزار تمرکز کند، برروی فریب دادن کارمندان سازمان هدف تمرکز می‌کند. برای مثال با ایجاد یک رابطه دوستی با یکی از کارمندان، موفق می‌شود رمز عبور او و بقیه کارمندان را بدست بیاورد. یا به عنوان یک تکنسین شبکه، قربانی را متقاعد کند تا برای لحظاتی لپ تاپ یا تلفن همراه خود را در اختیار هکر بگذارد.

معروف ترین حملات مهندسی اجتماعی

تکنیک‌های مهندسی با حملات مختلفی همراه می‌شوند. در اینجا قصد داریم برخی از معروف‌ترین انواع حملات مهندسی اجتماعی را بیان کنیم. در این حملات استفاده از تکنیک‌های مهندسی اجتماعی اهمیت زیادی دارد.

حملات فیشینگ

در حملات فیشینگ مهاجم سعی می‌کند قربانی را به دام بندازد بطوری که خواسته مهاجم را انجام دهد. این روش عموما شامل ارسال ایمیل‌های مخرب به تعداد زیادی ایمیل یا ساخت صفحات جعلی می‌باشد که افراد زیادی روزانه به آن‌ها سر می‌زنند. کاربران با باز کردن این ایمیل‌ها یا کلیک کردن برروی این لینک‌ها مهاجم را به اهداف خود می‌رسانند. در این حملات هکر با فریب دادن کاربر او را متقاعد می‌کند. برای مثال، یک وعده دروغین همانند برنده شدن یک جایزه بزرگ را درون ایمیل خود قرار می‌دهد.

حمله اسپیرفیشینگ

بر خلاف فیشینگ که گستره بزرگی از افراد را هدف قرار می‌دهد، اسپیرفیشینگ یک شخص یا سازمان بخصوص را هدف قرار می‌دهد. برای مثال در این روش ممکن است مهاجم آدرس ایمیل رییس یک سازمان را جعل کند و از این طریق از کارمندان خود بخواهد کار بخصوصی را انجام دهند. مثلا از کارمندان بخش مالی بخواهد مبلغی را به حساب مهاجم انتقال دهند!

Pretexting

در این روش که یکی از مرسوم‌ترین روش‌های مهندسی اجتماعی می‌باشد، هکر سعی می‌کند برای احراز دروغین قربانی، اطلاعات مهم او را بدست آورد. برای مثال، خود را بجای کارمند بانک جا می‌زند و از قربانی می‌خواهد تا با دادن اطلاعات شخصی خود، یکی از خدمات بانکی را برای او انجام دهد.

ترس افزار

در حملاتی که بوسیله ترس افزارها، شکل می‌گیرد، مهاجم احساسات افراد، خصوصا “ترس” را هدف قرار می‌دهد. در این حملات، به قربانی گفته می‌شود که سیستم او در خطر است و یا ویروسی شده است تا او را بترسانند. سپس به قربانی پیشنهاد یک آنتی‌ویروس دروغین داده می‌شود تا آن را نصب کند. آنتی ویروس شامل بدافزار است و قربانی با نصب آن، سیستم خود را به خطر می‌اندازد.

درباره ما

ترجنس | thregence.ir
آکادمی ترجنس | edu.thregence.ir
اینستاگرام | instagram.com/thregence
تلگرام | t.me/thregence
یوتوب | https://bit.ly/30mGowo
آپارات | aparat.com/thregence 

ارسال یک پاسخ