مهندسی اجتماعی چیست؟

مهندسی اجتماعی : او زیبا و مجرد است و پیام هایش مانند موهای بلوندش جذاب است. قبل از اینکه او از درخواست دوستش در فیس بوک مطلع شود، آنها در حال نوشتن پیام کوتاه و تحریک کننده و ایمیل های طولانی و بسیار صمیمی برای یکدیگر هستند.  به طور معمول آشنایی تصادفی آنلاین آن‌ها دیوانگی تلقی می‌شود. گرچه آنها هرگز با یکدیگر ملاقات نکرده اند اما پس از سال ها برای اولین بار احساس امنیت می کنند. سرنوشت برخی از افراد را به هم نزدیک می کند و برخی دیگر ممکن است توسط یک کلاهبردار جذب شوند. این همان چیزی است که مهندسی اجتماعی نامیده می شود.

در حقیقت مهندسی اجتماعی عبارت است از بدست آوردن اطلاعات حساس توسط یک شخص بیگانه بر اساس بنای نامناسب اعتماد در روابط، قربانیان اطلاعات محرمانه مربوط به کار خود را فاش می کنند یا پولشان را به افرادی که نمی شناسند انتقال می دهند. مهندسی اجتماعی این افراد را به سمت انجام کارهایی سوق می‌دهد که بدون آن هرگز انجام نمی‌دادند. برخلاف انتظار، مهندسی اجتماعی یک روش انگیزشی نیست بلکه یک نوع تقلب است. ما به شما توضیح می دهیم مهندسی اجتماعی چیست، بر چه کسانی می تواند تأثیر بگذارد و افراد چگونه می توانند از خود در برابر آن محافظت کنند.

 

مهندسی اجتماعی چگونه بوجود آمده است؟

ایده مهندسی اجتماعی در اصل از فلسفه بر انگیخته شد. ابتدا کارل پوپر با اشاره به عناصر جامعه شناختی و روانشناختی برای بهبود ساختارهای اجتماعی این اصطلاح را در سال 1945 ابداع کرد. اساسا روش پوپر بر این فرض بود که مردم می توانند مانند ماشین آلات بهینه شوند. در دهه 1970 جانشینان پوپر نظریه وی را گسترش دادند که انواع خاصی از حیله‌های روانشناختی را در بر گرفت. هدف اولیه آنها سرقت اطلاعات نبود، آنها می خواستند مردم را به سمت تعامل بهتر و آگاهی بیشتر ترغیب کنند. در حقیقت این یک حیله اما با هدفی متفاوت بود. امروزه ما می‌توانیم از مهندسی اجتماعی به عنوان یک برنامه ریزی حیله گرانه برای دستکاری روانشناختی یاد می کنیم.

 

برخی از هکرها بیشتر از اینکه به روشهای کاملاً سیستمی تکیه کنند، بر روی دستکاری روانشناختی هدفمند تمرکز می کنند. اگرچه این روش ها به ریشه های فلسفی خود وفادار مانده اند اما انگیزه مهندسان اجتماعی به میزان قابل توجهی تغییر کرده است. هرکسی که عوامل و راه فریب افراد را بداند، با کمی غریزه و قصد جنایتکارانه می تواند آنها را فریب دهد. اغلب کلاهبرداران نقش یک آشنا یا بازرگان مورد اعتماد را بازی می‌کنند، یا وانمود می کنند از طرف یک بانک یا حتی یکی از نیروهای آتش نشانی هستند. عاملان از این طریق  جلب اعتماد می کنند.

 

به طور خلاصه، مهندسان اجتماعی سعی می کنند از مردم برای اهداف خود سوء استفاده کنند. یکی از مشهورترین مهندسان اجتماعی  هکر کوین میتنیک است. او به دلیل نفوذ بیش از حد به کامپیوترهای دیگران خیلی زود به یکی از افراد تحت تعقیب در ایالات متحده تبدیل شد. گفته می شود که او صدها بار بهترین شبکه های امن ایالات متحده نفوذ کرده است. وی همچنین ادعا کرد که از وزارت دفاع و حتی NSA جاسوسی کرده است. میتنیک در کتاب خود با عنوان “هنر فریب” می نویسد که مهندسی اجتماعی نسبت روشهای فنی راهی سریعتر برای دستیابی به اطلاعات مورد نظر شما است. میتنیک به جای توسعه نرم افزارهای جاسوسی ، بر روی اراده و احساسات هم نوعان خود برنامه ریزی کرد.

 

مهندسی اجتماعی در اینترنت به چه شکل است؟

در عصر دیجیتال، کلاهبرداران نیز از این حربه در اینترنت استفاده می کنند. معمولاً همه چیز با یک ایمیل و گاهی با یک پیام در یک شبکه اجتماعی شروع می شود. فیشینگ یک روش کلاسیک است که مردم را به سمت یک وب سایت کامل جعلی هدایت می‌کند. هرکسی که اطلاعات خود را در آنجا وارد کند، مستقیم به مجرمان منتقل می‌شود. گاهی اوقات مجرمان اینترنتی با حس کنجکاوی قربانیان خود بازی کرده و ایمیل هایی همراه با یک لینک ارسال می کنند. بنابراین کاربر پس از کلیک به جای پیام خوب، یک بدافزار بارگیری می‌کند.

 

مثال: رابین سیج

یکی از مثال‌های برجسته در زمینه مهندسی اجتماعی، رابین سیج است. رابین جوان و جذاب کاملاً اختراع شده ذهن انسان بود. در سال 2010 توماس ریان، متخصص فناوری اطلاعات ایالات متحده، در شبکه های اجتماعی یک پروفایل جعلی با عکس و مشخصات یک زن جوان جذاب به نام رابین سیج ایجاد کرد. این شخصیت خیالی با برنامی ریزی قبلی، چهره های نظامی، صنعتگران و سیاستمداران را شیفته خود می‌کند و اطلاعات محرمانه و بسیار حساسی را از آنها به دست می‌آورد. در روند انجام این کار، هیچ یک از قربانیان شخصاً با سیج ملاقات نکردند. رایان فقط در رسانه های اجتماعی پیام های باورپذیر و فریبنده‌ای را به آن‌ها ارسال می کرد و قربانیانش بدون هیچ شکی با خیالی آسوده با او چت می کردند. هدف رایان اثبات عملکرد مردم به عنوان یک شکاف امنیتی بود، که به طرز چشمگیری موفق به انجام آن شد.

 

هک کردن انسان به چه معناست؟

از زمانی که مهندسان اجتماعی تشخیص داده اند که توانایی تأثیرگذاری بر انسان خود به تنهایی یک شیوه ضعف امنیتی است، کارشناسان فناوری اطلاعات از هک شدن انسان صحبت می کنند.  انسان‌ها اطلاعات محرمانه خود را بدون اینکه متوجه شوند افشا می‌کنند. این بدان معناست که خطر هک شدن ذهن انسان‌ها نسبت به رایانه ها بیشتر است. به زبان ساده، مردم یک خطر امنیتی هستند که باید جدی گرفته شود. ویروس یاب‌ها می توانند به خوبی از سیستم‌ها محافظت کنند در حالی که کاربران همچنان مورد سوء استفاده ذهنی قرار می‌گیرند. 

اداره جنایی پلیس فدرال آلمان  در رابطه با “آسیب پذیری انسان” بیان کرد: یک رایانه کاملاً منطقی عمل می کند، اما افراد فعالیت های خود را تحت تأثیر احساسات خود انجام می‌دهند. بسیاری از محققان تصور می کنند که انسان‌ها تقریباً 80 درصد از کل تصمیماتی که می گیرند براساس احساسات است. این بدان معناست که در بیشتر موارد استدلال ما در مقایسه با احساساتمان حرف کمتری دارد. و این دقیقاً همان چیزی است که در هک کردن انسان از آن سو استفاده می‌شود.

 

مهندسی اجتماعی چه کسی را تهدید می کند؟

در هر جایی که پول و اطلاعات محرمانه وجود داشته باشد مهندسی اجتماعی نیز ظاهر می شود و از نهادها، مقامات ملی و مشاغل و یا افراد جاسوسی میشود. طبق تحقیقات انجمن صنعت IT Bitkom ، جاسوسی صنعتی دیجیتال، خرابکاری و سرقت داده، هر ساله حدود 51 میلیارد یورو به شرکت های آلمانی ضرر می‌رساند. طی این تحقیقات آن‌ها در 19 درصد از شرکت های مورد بررسی، مهندسی اجتماعی را به عنوان یک تهدید مشترک گزارش کرده اند. علاوه بر دریافت پول علت دیگر این جاسوسی و خرابکاری‌ها افشای ایده ها و داده های محرمانه می‌باشد. 

 

چرا مردم توسط افراد متقلب جذب می شوند؟

با توجه به مبالغ سرسام آوری که کلاهبرداران با فریب مردم به دست می‌آورند، لازم است یک سوال پرسیده و پاسخ داده شود: چه عواملی باعث می شود مردم به راحتی از این راه فریب بخورند؟ برای شروع، فقط کافی است ساده لوح نباشید تا قربانی مهندسی اجتماعی نشوید. در سال 2015 ، یك دانش آموز آمریكایی با فریب چندین مأمور CIA آن‌ها را بر این باور رساند كه او یك متخصص IT است و اطلاعات مهمی را از این طریق بدست آورد. وی به مدت سه روز به عنوان مدیر حساب ایمیل CIA به تمامی اطلاعات دسترسی داشت. نکته جالب این است که برخلاف آژانس امنیت ملی (NSA)، یکی از نقاط مرکزی CIA کسب اطلاعات از مردم است به همین دلیل  ماموران CIA با قوانین مهندسی اجتماعی بسیار آشنا هستند.

 

چه مکانیسم های روانشناختی در پس این امر نهفته است؟

درصد موفقیت مهندسی اجتماعی به پیش بینی نسبی تفکر و رفتار انسان بستگی دارد. عمدتا مهندسی اجتماعی از ویژگیهای رفتاری اساسی و خاص بهره می برد. در یک مطالعه، روانشناسان با تجربه ای مانند Myles Jordan  و Heather Goudey 12 نمونه از مهمترین و موفق ترین موارد مهندسی اجتماعی را بین سالهای 2001 و 2004 فیلتر کردند، بررسی‌ها نشان داد که این فریب‌ها حاصل بی تجربگی، کنجکاوی، طمع و نیاز به عشق بوده است. این موارد، عواطف و ویژگی های شخصی بسیار مهمی هستند که حتی گاهی می توانند یکدیگر را تقویت کنند. این امر کار را برای مرتکبان آسان می کند. در نتیجه مبنای مهم مهندسی اجتماعی این است که افراد تحت تأثیر احساسات خود قرار می گیرند و عقل در تصمیم گیری آنها سهیم نیست.

 

مثال: کلاهبرداری عروس روسی 

این مثال مربوط به کلاهبرداری عروس روسی و مورد هدف قرار دادن مردان مجرد در اروپای غربی و مرکزی می‌شود. دختران جوان روسی که معمولاً بسیار جذاب هستند، مردان را به امید یک رابطه عاشقانه بزرگ یا حداقل یک سفر کوتاه فریب می‌دهند تا برای آنها کالا و پول خارجی ارسال کنند. بسیاری از این مردان ناخواسته متهم به  پولشویی و قاچاق کالا شدند و همه پول خود را از این طریق از دست داده اند.

درخواست هایی مانند “فقط در صورت داشتن ویزای مناسب می‌توانم با شما دیدارکنم و در ادامه درخواست پول برای اسناد و وکلا فقط یک حقه است که توسط مجرمان برای رسیدن به حساب بانکی قربانیان مورد استفاده قرار می گیرد. بعد از آن،  آنها برای سفر یا لباس جدید پول می خواهند و تا زمانی که به آن‌ها مشکوک شوند از دارایی قربانیان خود سوء استفاده می کنند. در نتیجه اغلب نه تنها تصاویر زنان جوان، بلکه موجودیت آنها تقلبی است و به جای یک دختر روسی که می خواهد ازدواج کند، فرستنده پیام های جذاب اغلب مردان در هر سنی  و از کشوری هستند.

 

چگونه مجرمان اطلاعات مربوط به قربانیان خود را پیدا می کنند؟

ترکیبی از تلاش های آفلاین و آنلاین در این زمینه “dumpster diving” نام دارد. کلاهبرداران برای اطلاع از عادات، علایق و وضعیت زندگی اشخاص مورد نظر حتی در بین مسائل بی ارش زندگی آن‌ها جستجو و کنجکاوی می‌کنند. مهندسان اجتماعی می توانند اطلاعات مهمی را از پوشک بچه ها، جعبه های دارویی، جعبه های پیتزا، کاغذبازی های دور انداخته شده بدست آورند. قطعا بررسی افراد در سیستم عامل های رسانه های اجتماعی بسیار دلپذیرتر از زیر و رو کردن انبوه زباله ها است. کاربران بدون فکر، هویت خود را در یک بشقاب نقره ای، در پست های عمومی به مجرمان ارائه می‌دهند و به این ترتیب کلاهبرداران می‌توانند خود را از طریق وجه اشتراکات جعلی مورد لطف و توجه قربانیان قرار دهند.

 

چگونه می توانم از خود در برابر مهندسی اجتماعی محافظت کنم؟

رسانه های اجتماعی: فکر کردن در مورد اینکه چه نوع محتوای خصوصی برای به اشتراک گذاشتن مناسب است و چه چیزهایی برای به اشتراک گذاشتن مناسب نیست اولین و مهمترین قدم است.

 

ایمیل: با احتیاط می توانید خود را از خطر دستکاری محافظت کنید. به عنوان مثال، اگر شما فرستنده ایمیل را نمی شناسید و نمی‌دانید فرستنده، آدرس ایمیل شما را چگونه به دست آوره است، این یک خط قرمز است. در صورت تردید، از طریق تلفن با فرستنده تماس بگیرید و از او در مورد پیامی که دریافت کرده اید سوال کنید.

 

تلفن: این مورد در رابطه با افرادی که با شما تماس می گیرند نیز صدق می کند: اگر آن شخص را نمی شناسید ، اطلاعات حساس خود را از طریق تلفن در اختیار او نگذارید.

 

لینک‌ها: لینک‌هایی را که ادعا می کنند شما را برای ورود به وب سایت هدایت می کنند، باز نکنید. به طور ایدآل بهتر است، شما وب سایت های مهم مانند درگاه های بانکی و خرید خود را نشانه گذاری کنید و از نشان‌ها برای باز کردن صفحه ورود استفاده کنید. با این راه، تلاش های کلاهبرداران خیلی سریع آشکار می شود.

“تبریک می گویم ، شما برنده شده اید!”: اگر به شما جایزه یا مبالغ هنگفتی وعده داده شد، از عقل سلیم خود استفاده کنید معمولاً افراد به غریبه‌ها چیزی نمی دهند. لطفاً به هیچ پیام کوتاه ، ایمیل یا تماس تلفنی مشکوک واکنش نشان ندهید.

 

نرم افزار امنیتی: با فیلتر کردن هرزنامه و استفاده از نرم افزار محافظتی قابل اعتماد می توانید خطر قربانی شدن هر یک از این کلاهبرداری ها را به حداقل برسانید. نرم‌افزارها امنیتی ( آنتی ویروس‌ها ) می‌توانند از بروز این گونه مشکلات جلوگیری کنند یکی از آنتی ویروس‌های مطرح در این زمینه برند معروف G Data می‌باشد.

 

منبع: G Data

لطفا جهت مشاوره در انتخاب محصول امنیتی مناسب خود با این شماره 09224971053 تماس بگیرید.

 مارو در شبکه های اجتماعی خودتان به اشتراک بگذارید.