در مفهومی گسترده تر هر گونه استفاده مرتبط با روانشناسی رفتاری را می توان مهندسی اجتماعی در نظر گرفت. اما این مفهوم همیشه مرتبط به فعالیت های مجرمانه یا کلاهبردارانه نیست. در حقیقت مهندسی اجتماعی به طور گسترده در زمینه های متنوع مانند علوم اجتماعی، روانشناسی و بازاریابی مورد استفاده قرار می گیرد.
وقتی که صحبت از امنیت سایبری می شود، مهندسی اجتماعی با انگیزه های نهانی انجام می گیرد و به مجموعه ای از فعالیت های بدخواهانه اشاره دارد که قصد دارند از افراد برای حرکت های بدی مانند دادن اطلاعات خصوصی یا شخصی استفاده کنند و بعد از این اطلاعات بر ضد خود این افراد و یا شرکت آنها استفاده کنند. کلاه برداری هویت از عواقب رایج این نوع حملات می باشد و در بسیاری از موارد منجر به ضرر های مالی برجسته ای می شود.
مهندسی اجتماعی اغلب به عنوان یک تهدید سایبری معرفی می شود اما این مفهوم مدت زمانی طولانی است که وجود دارد و این اصطلاح ممکن است در ارتباط با طرح های کلاهبردارانه جهان واقع نیز مورد استفاده قرار بگیرد که معمولا شامل جعل هویت مقامات یا متخصصان آی تی است. اما ظهور اینترنت باعث شد که هکر ها آسان تر بتوانند چنین حملاتی را در مقیاس گسترده تر اجرا کنند و متاسفانه این فعالیت های شرورانه در فضای ارز های دیجیتال هم در حال انجام شدن است.
مهندسی اجتماعی چگونه کار می کند؟
همه انواع فنون مهندسی اجتماعی متکی بر ضعف روانشناختی بشر هستند. متقلبان از احساسات افراد برای سوء استفاده و فریب دادن آنها استفاده می کنند. ترس، طمع، کنجکاوی و حتی علاقه به کمک به دیگران به شیوه های مختلف در مقابل افراد قرار می گیرد. در میان انواع مختلف مهندسی اجتماعی بدخواهانه فیشینگ (phishing) یکی از رایج ترین و معروف ترین مثال هاست.
فیشینگ
ایمیل های فیشینگ اغلب تقلیدی از مکاتبات شرکت های معتبر است مانند یک زنجیره بانکی ملی، یک فروشگاه آنلاین معتبر یا یک فراهم کننده ایمیل. در بعضی از موارد، این ایمیل های مشابه به کاربران هشدار می دهند که اکانت آنها نیاز به آپدیت دارد و یا فعالیت غیر معمولی را نشان داده است و لازم است که آنها اطلاعات شخصی خود را فراهم آورند تا هویت خود را تایید کرده و اکانت خود را به حالت معمول برگردانند. بعضی افراد بدون هیچ واهمه ای فورا بر روی لینک ها کلیک می کنند و به یک وبسایت جعلی می روند تا داده های مورد نیاز را فراهم کنند. در این زمان است که اطلاعات در دستان هکر ها قرار می گیرد.
ترس افزار (Scareware)
فنون مهندسی اجتماعی همچنین در زمینه انتشار ترس افزار نیز اعمال می شود. ترس افزار همچنان که از نامش برمی آید، نوعی بدافزار است که برای ترساندن و شوکه کردن کاربران مورد استفاده قرار می گیرد. آنها معمولا شامل ایجاد هشدار های دروغینی هستند که تلاش می کنند قربانیان را فریب دهند تا یک نرم افزار متقلب را که در ظاهر مشروع به نظر می رسد، نصب کنند و یا وارد وبسایتی شوند که سیستم آنها را آلوده کند. چنین تکنیکی اغلب متکی بر ترس کاربر از به مخاطره افتادن سیستمش می باشد و کاربر را متقاعد می کند که بر روی یک بنر یا پاپ آپ در شبکه کلیک کند. این پیام ها معمولا چیز هایی مانند “سیستم شما آلوده است، برای تمیز کردن آن اینجا را کلیک کنید.” می باشند.
طعمه کردن (Baiting)
طعمه کردن روش دیگری از مهندسی اجتماعی است که برای بسیاری از کاربران بی توجه سبب دردسر می شود. آن شامل استفاده از طعمه هایی برای جلب قربانیان بر اساس طمع و کنجکاوی آنها می باشد. به عنوان مثال، متقلبان ممکن است وبسایتی ایجاد کنند که چیزی را به صورت رایگان ارائه دهد مثلا فایل های موسیقی، ویدیو یا کتاب رایگان ارائه دهد. اما به منظور دسترسی به این فایل ها، کاربران باید اکانت ایجاد کنند و اطلاعات شخصی خود را فراهم آورند. در بعضی از موارد، احتیاجی به اکانت نیست زیرا فایل ها مستقیما با بدافزار آلوده هستند و به سیستم کامپیوتری قربانی نفوذ می کنند و داده های حساس او را جمع آوری می کنند.
طرح های طعمه کردن ممکن است در جهان واقعی نیز از طریق استفاده از یو اس بی و درایو های هارد خارجی صورت گیرد. متقلبان تعمدا ابزار های آلوده را در فضا های عمومی جا می گذارند و بنابراین هر فرد کنجکاوی که آن را بدست آورد و در صدد بررسی محتوای آن برآید، کامپیوتر شخصیش آلوده خواهد شد.
مهندسی اجتماعی و ارز های دیجیتال
وقتی که صحبت از بازار های مالی می شود، یک ذهنیت پر طمع می تواند کاملا خطرناک باشد و تریدر ها و سرمایه گذاران را به طور خاصی در معرض حملات فیشینگ، طرح های هرمی یا پونزی و دیگر انواع کلاه برداری قرار دهد. در صنعت بلاک چین، هیجانی که ارز های دیجیتال ایجاد می کند، بسیاری از تازه واردان را در مدت نسبتا کوتاهی به این فضا جذب می کند. (مخصوصا در خلال بازار های صعودی)
اگرچه بسیاری از افراد درک کاملی از نحوه عملکرد ارز دیجیتال ندارند اما اغلب در مورد پتانسیل این بازار ها برای ایجاد سود می شنوند و بدون انجام تحقیق مناسب اقدام به سرمایه گذاری می کنند. مهندسی اجتماعی تهدیدی جدی برای تازه کاران می باشد زیرا آنها اغلب توسط ترس یا طمع خود به دام می افتند.
از یک طرف علاقه به سود سریع و کسب پول آسان نهایتا باعث می شود که تازه واردان وعده های دروغین بخشش و ایردراپ را دنبال کنند. از طرف دیگر، ترس به مخاطره افتادن فایل های شخصی ممکن است باعث شود که این کاربران به پرداخت باج بپردازند. در بعضی از موارد هیچ گونه آلودگی باج افزار واقعی وجود ندارد اما کاربران با یک هشدار دروغین یا پیامی که توسط هکر ها ایجاد شده، فریب می خورند.
چگونه از حملات مهندسی اجتماعی جلوگیری کنیم؟
همچنان که قبلا ذکر شد، کلاه برداری های مهندسی اجتماعی به این دلیل کار می کنند که ماهیت بشر را مخاطب قرار می دهند. آنها معمولا از ترس به عنوان یک انگیزه دهنده استفاده می کنند و مردم را وادار می کنند که فورا به منظور محافظت از خود در برابر تهدیدی غیر واقعی واکنش نشان دهند. این حملات همچنین بر طمع بشر متکی هستند و قربانیان را برای انواع سرمایه گذاری های کلاه بردارانه تطمیع می کنند. بنابراین مهم است توجه داشته باشید که اگر پیشنهادی بسیار عالی و غیر قابل باور باشد، احتمالا کلاه برداری است.
اگرچه تعدادی از کلاه برداران حرفه ای هستند اما مهاجمان دیگر اشتباهات قابل توجه ای می کنند. تعدادی از ایمیل های فیشینگ و حتی بنر های ترس افزار اغلب شامل خطا های نحوی یا املایی هستند و تنها افرادی را به دام می اندازد که توجه کافی به املا و دستور زبان نمی کنند، پس چشم و گوش خود را باز کنید.
به منظور جلوگیری از قربانی حملات مهندسی اجتماعی شدن، شما باید اقدامات امنیتی زیر را مورد توجه قرار دهید:
به آموزش خود، خانواده و دوستان بپردازید. آنها را در مورد موارد رایج مهندسی اجتماعی بدخواهانه آموزش دهید و آنها را در مورد اصول امنیتی عمومی تعلیم دهید.
به نسبت پیوست های ایمیل ها و لینک ها محتاط باشید. از کلیک بر روی آگهی ها و وبسایت هایی با منبع ناشناس خودداری کنید.
یک آنتی ویروس قابل اعتماد را نصب کنید و برنامه های نرم افزاری و سیستم عامل خود را به روز نگه دارید.
برای محافظت از گواهی نامه ها و دیگر داده های شخصی از تایید هویت چند عاملی استفاده کنید.
در مورد کسب و کار ها نیز باید گفت که آنها باید کارمندان خود را برای شناسایی و جلوگیری از حملات فیشینگ و طرح های مهندسی اجتماعی آماده کنند.
افکار پایانی
مجرمان سایبری همیشه در جستجوی روش هایی جدید برای فریب کاربران هستند و هدف آنها دزدیدن وجوه و اطلاعات حساس می باشد. پس خیلی مهم است که به آموزش خود و افراد اطراف خود بپردازید. اینترنت تبدیل به بهشتی برای این گونه تقلب ها شده است و این تقلب ها به طور خاصی در فضای ارز های دیجیتال نیز رایج هستند. احتیاط را رعایت کنید و از افتادن در دام مهندسان اجتماعی برحذر باشید.
علاوه بر این، هر کس که می خواهد به ترید و سرمایه گذاری در ارز دیجیتال بپردازد باید تحقیق قبلی انجام دهد و باید اطمینان حاصل کند که به درک خوبی از بازار ها و مکانیسم های عملکرد فناوری بلاک چین رسیده است.
