مهندسی اجتماعی چیست؟ آشنایی با روش های یکی از خطرناک‌ترین روش‌های هک

5 خرداد 1404
امنیت و شبکه
مهندسی اجتماعی چیست؟

شاید پیش آمده باشد که با یک تماس، ایمیل یا پیام، از شما اطلاعات مهم خواسته شده باشد. اگر این شرایط با یک منبع جعلی برای شما اتفاق افتاده باشد و شما اطلاعات خواسته شده را در اختیار آن‌ها قرار داده باشید، ممکن است قربانی مهندسی اجتماعی شده باشید.
در این مقاله از سایت آموزش رایگان لایت کالج بررسی می‌کنیم که مهندسی اجتماعی چیست، چگونه عمل می‌کند، انواع روش‌های آن چیست، چه خطراتی دارد و چطور می‌توان از آن جلوگیری کرد.

تعریف مهندسی اجتماعی

مهندسی اجتماعی (Social Engineering) به مجموعه‌ای از روش‌های فریبکاری گفته می‌شود که هکرها و مهاجمان سایبری از طریق روان ‌شناسی انسان و فریب، اطلاعات امنیتی و مهمی را در جهت سواستفاده به‌دست می‌آورند. برخلاف حملات تکنیکی که متکی به نرم‌افزار و کد هستند، این نوع حمله بیشتر به رفتار، احساسات و اشتباهات انسانی تکیه دارد.

مهندسی اجتماعی در امنیت شبکه

در حوزه امنیت شبکه، مهندسی اجتماعی به عنوان یکی از حیاتی‌ترین تهدیدات شناخته می‌شود. حتی اگر شبکه‌ها به‌خوبی پیکربندی شده باشند و از دیواره‌های آتش، سیستم‌های شناسایی نفوذ (IDS) و رمزنگاری استفاده کنند، ضعف امنیتی از طرف انسان می‌تواند همه‌چیز را به خطر بیندازد.  یک حمله موفق مهندسی اجتماعی می‌تواند اطلاعات ورود به سیستم، دسترسی به شبکه داخلی یا حتی نفوذ فیزیکی به سرورهای سازمانی را بدون نیاز به استفاده از روش‌های فنی هک، در اختیار هکر قرار دهد. بنابراین، آموزش کارمندان و ایجاد سیاست‌های امنیتی دقیق نقش کلیدی در جلوگیری از این نوع تهدیدها دارد. در این حوزه، تیم فنی ما، آموزش هک و امنیت شبکه را در قالب یک دوره آموزشی در یک فضای آزمایشی تهیه کردند و شما می‌توانید با شرکت در این دوره با کمترین هزینه، امنیت شبکه و سیستم اطلاعاتی خود را حفظ کنید.

اهمیت مهندسی اجتماعی در دنیای امروز

در کنار گسترش فناوری، روش‌های حفظ امنیت نیز پیشرفت داشته و موجب شده هکرها با روش‌های قدیمی نتوانند به سیستم‌ها نفوذ کنند. در این زمان برخی هکرها به جای حمله مستقیم به سیستم، از روش‌هایی برای هک از طریق انسان‌ها استفاده می‌کنند. مهاجم دیگر نیازی به هک فایروال یا رمزنگاری ندارد؛ کافی است فردی را قانع کند که رمز عبورش را خودش در اختیار او بگذارد. این فرایند با ارسال پیام، ایمیل یا یک تماس و فریب با یک سناریو ساختگی می‌تواند انجام شود.

انواع حملات مهندسی اجتماعی

  1. فیشینگ (Phishing): یکی از رایج‌ترین روش‌ها. ارسال ایمیل جعلی با ظاهری شبیه به بانک، سرویس ایمیل یا حتی شبکه اجتماعی برای سرقت رمز عبور یا اطلاعات کارت بانکی.

مثال: ایمیلی از “گوگل” دریافت می‌کنید که می‌گوید اکانت شما در خطر است. لینکی برای ورود داده شده، اما در واقع یک سایت جعلی است.

  1. ویشینگ  (Vishing): فیشینگ صوتی است. تماس تلفنی از طرف افراد جعلی که خود را پلیس، بانک یا پشتیبان معرفی می‌کنند.
  2. اسمیشینگ (Smishing): نسخه پیامکی فیشینگ. پیامی که می‌گوید جایزه برده‌اید یا پرداخت معوق دارید و لینک تقلبی ارسال می‌کند.
  3. بیتینگ (Baiting) : طعمه‌گذاری با فایل یا وسیله فیزیکی مانند فلش‌مموری آلوده که در محیط کار رها می‌شود.
  4. پری‌تکستینگ  (Pretexting): ساختن سناریویی جعلی (مثل بازرس، کارمند IT، یا مدیر پروژه) برای جلب اعتماد قربانی و دریافت اطلاعات مهم.
  5. تیل‌گیتینگ  (Tailgating): دنبال کردن یک کارمند واقعی هنگام ورود به ساختمان‌های حساس بدون داشتن مجوز.

تفاوت مهندسی اجتماعی با هک فنی

ویژگی مهندسی اجتماعی هک فنی
ابزار اصلی روان‌شناسی و فریب نرم‌افزار و کد
نیاز به تخصص فنی پایین بالا
نقطه هدف انسان سیستم/سرور
شناسایی توسط آنتی‌ویروس دشوار قابل‌تشخیص

 

تکنیک‌ های مهندسی اجتماعی

هکرها برای اجرای موفق حملات مهندسی اجتماعی، از مجموعه‌ای از تکنیک‌های روان‌شناسی و اجتماعی پیچیده استفاده می‌کنند. برخی از پرکاربردترین تکنیک‌ها شامل ایجاد حس فوریت (Urgency)، تحریک احساس ترس یا طمع، جعل هویت افراد معتبر، اعتمادسازی تدریجی، و استفاده از اطلاعات عمومی قربانی برای شخصی‌سازی حمله هستند. برای مثال، ارسال ایمیلی از طرف “مدیر منابع انسانی” شرکت، یا پیامکی از طرف “بانک مرکزی” با محتوای اخطار، از تکنیک‌های رایج هستند. شناخت این روش‌ها می‌تواند اولین گام مؤثر برای جلوگیری از قربانی شدن باشد.

تکنیک‌های روان ‌شناسی در مهندسی اجتماعی

مهاجمان از چند اصل روانی برای فریب افراد استفاده می‌کنند:

  • اعتمادسازی سریع
  • ترس‌آفرینی (مثلاً مسدود شدن حساب)
  • ایجاد حس فوریت (“باید همین الان پاسخ دهید”)
  • تملق یا وعده جایزه

چه کسانی بیشتر در معرض حملات مهندسی اجتماعی هستند؟

  • کارکنان تازه‌کار یا آموزش‌ندیده
  • مدیرانی که اطلاعات مهمی دارند
  • افراد سالخورده یا کم‌اطلاع
  • افرادی که بیش از حد اعتماد می‌کنند
  • کاربران شبکه‌های اجتماعی

چه کسانی بیشتر در معرض حملات مهندسی اجتماعی هستند؟

مهندسی اجتماعی در شبکه‌های اجتماعی

هکرها اغلب با بررسی پروفایل‌های عمومی مثل اینستاگرام، لینکدین یا توییتر اطلاعات اولیه مثل نام، شغل، علایق و روابط را پیدا می‌کنند و از آن‌ها در ساختن سناریوهای فریبنده استفاده می‌کنند.

چگونه از حملات مهندسی اجتماعی جلوگیری کنیم؟

  1. آموزش پرسنل و کاربران

آگاهی، اولین خط دفاعی در برابر مهندسی اجتماعی است. باید بدانیم که هکرها چگونه فریب می‌دهند.

  1. عدم کلیک روی لینک‌های مشکوک

به هیچ‌وجه روی لینک‌هایی که از طریق ایمیل یا پیامک دریافت می‌کنید کلیک نکنید، مگر اینکه مطمئن باشید.

  1. تایید مجدد هویت تماس ‌گیرنده

اگر کسی با شما تماس گرفت و خواست اطلاعات بدهید، حتماً از منابع رسمی صحت آن را بررسی کنید.

  1. استفاده از احراز هویت چند مرحله‌ای (2FA)  

حتی اگر رمز شما لو رفت، بدون تأیید مرحله دوم، دسترسی غیرممکن می‌شود.

  1. گزارش دادن تلاش‌های مشکوک

اگر تماسی مشکوک دریافت کردید یا ایمیلی جعلی دیدید، آن را گزارش دهید.

مهندسی اجتماعی در ایران

با افزایش نفوذ اینترنت و دیجیتال ‌سازی خدمات در ایران، حملات مهندسی اجتماعی نیز رشد قابل توجهی داشته‌اند. مهاجمان از طریق ایمیل‌های فیشینگ فارسی‌زبان، تماس‌های تلفنی جعلی با هویت سازمان‌های دولتی یا بانکی، و پیامک‌های حاوی لینک‌های مشکوک اقدام به فریب کاربران ایرانی می‌کنند. حتی برخی حملات پیشرفته‌تر با استفاده از اطلاعات شخصی کاربران در شبکه‌های اجتماعی طراحی می‌شوند. متأسفانه نبود آگاهی عمومی کافی درباره امنیت سایبری در بین کاربران و کسب‌وکارهای کوچک، این حملات را مؤثرتر کرده است. آموزش، رسانه‌سازی و ایجاد سامانه‌های هشداردهی می‌توانند در کاهش این تهدید مؤثر باشند.

  • مهندسی اجتماعی نه تنها به دانش فنی نیاز ندارد، بلکه بر اساس رفتار انسانی طراحی شده است.
  • هکرها از فریب، دروغ و سناریوهای قانع‌کننده استفاده می‌کنند تا قربانی را وادار به اشتباه کنند.
  • با آموزش، آگاهی و مراقبت بیشتر می‌توانیم در برابر این تهدید نامرئی ایستادگی کنیم.

دیدگاهتان را بنویسید