در یک مفهوم گستردهتر، هر نوع دخل و تصرف در روانشناسی رفتاری را میتوان مهندسی اجتماعی در نظر گرفت. با این حال، این مفهوم همیشه با فعالیتهای جنایی یا متقلبانه مرتبط نیست. در حقیقت، مهندسی اجتماعی بهشکل گسترده در رشتههای گوناگونی همچون علوم اجتماعی، روانشناسی و بازاریابی مورد استفاده و مطالعه قرار میگیرد.
در بحث امنیت سایبری، مهندسی اجتماعی با انگیزههای پنهانی انجام میشود و به مجموعهای از فعالیتهای مخربی اشاره دارد که درصدد است افراد را به انجام اقدامات ناخوشایندی همچون دادن اطلاعات شخصی یا محرمانهای تشویق کند که بعدها میتواند علیه خود آنها یا شرکتشان مورد سوءاستفاده قرار بگیرد. جعل هویت، نتیجهی شایع این نوع حملات است و در بسیاری از موارد منجر به خسارتهای مالی قابلتوجهی میشود.
مهندسی اجتماعی غالباً بهعنوان تهدید سایبری معرفی میشود، اما این مفهوم برای مدت زمان طولانی وجود داشته و همچنین این واژه ممکن است در رابطه با کلاهبرداریهای دنیای حقیقی استفاده شود که معمولاً شامل جعل هویت مقامات یا متخصصان فنآوری اطلاعات است. با این حال، ظهور اینترنت، انجام حملات خلافکارانه را در مقیاسی گستردهتر برای هکرها آسان ساخته و متاسفانه، این فعالیتهای مخرب در حوزهی رمزارزها نیز انجام میشود.
مهندسی اجتماعی چگونه کار میکند؟
همهی انواع تکنیکهای مهندسی اجتماعی به نقاط ضعف روانشناسی انسان وابسته هستند. جاعلان و کلاهبردارها با استفاده از احساسات انسانی، قربانیان خود را هدف قرار داده و فریب میدهند. ترس، طمع، کنجکاوی و حتی تمایل به کمک به دیگران با روشهای گوناگون، بر ضد خود افراد مورد استفاده قرار میگیرد. در میان انواع گوناگون مهندسیهای مخرب اجتماعی، فیشینگ قطعاً یکی از متداولترین و شناختهشدهترین آنهاست.
فیشینگ
ایمیلهای فیشینگ غالباً مکاتبات یک شرکت قانونی همچون یک زنجیرهی بانک ملی، یک فروشگاه آنلاین معتبر یا یک ارائهدهندهی ایمیل را جعل میکند. در برخی موارد، این ایمیلها به کاربر هشدار میدهد که حساب آنها یا باید بهروز شود یا چون حساب آنها فعالیت غیرعادی از خود نشان داده، از او میخواهد اطلاعات شخصیاش را برای تائید هویت خویش و منظمسازی حسابهایش ارائه دهد. از روی ترس، برخی افراد بلافاصله روی لینکها کلیک کرده و وارد یک وبسایت جعلی میشوند تا دادههای مورد نیاز جاعلان را ارائه دهند. در این مرحله، اطلاعات در دست هکرها خواهد افتاد.
Scareware
از دیگر تکنیکهای مهندسی اجتماعی میتوان به Scareware اشاره کرد. همانطور که از نامش پیداست، Scareware نوعی بدافزار است که برای ترساندن و شوکه کردن کاربر طراحی شده و معمولاً شامل ایجاد هشدارهای دروغینی است که درصدد فریب قربانیان به نصب نرمافزاری جعلی است که ظاهراً قانونی میباشد یا درصدد فریب کاربر برای وارد شدن به وبسایتی است که سیستم آنها را آلوده میسازد. چنین تکنیکی غالباً به ترس کاربر از بهخطر افتادن سیستمش متکی است و او را متقاعد میکند که روی یک بنر یا Popup وب کلیک کند. پیامها معمولاً چیزی همچون این است: 'سیستم شما آلوده است، برای پاک کردن آن، اینجا را کلیک کنید.'
طعمهگذاری
طعمهگذاری یکی دیگر از روشهای مهندسی اجتماعی است که بسیاری از کاربران ناآگاه را دچار مشکل میسازد و شامل استفاده از طعمهها برای فریب قربانیان بر اساس طمع یا کنجکاوی آنهاست. برای مثال، کلاهبردار ممکن است وبسایتی ایجاد کند که فایلهای موسیقی، فیلمها یا کتابها را رایگان بهاشتراک بگذارد. اما برای دسترسی به این فایلها، کاربر ملزم به ایجاد یک حساب کاربری و ارائهی اطلاعات شخصی خود است. در برخی موارد، حتی نیازی به ایجاد حساب هم نیست، چون فایلها مستقیماً با بدافزار آلوده شده و به سیستم کامپیوتر قربانی نفوذ میکنند و اطلاعات حساس آنها را جمعآوری میکنند.
طرحهای طعمهگذاری ممکن است در دنیای حقیقی با استفاده از استیکهای USB و درایوهای هارد خارجی نیز رخ دهد. کلاهبردار عامدانه دستگاههای آلوده را در یک مکان عمومی قرار میدهد و در نتیجه، هر فرد کنجکاوی که آن را برمیدارد تا به بررسی محتوایش بپردازد، کامپیوتر شخصیاش آلوده میشود.
مهندسی اجتماعی و رمزارزها
در بازارهای مالی، داشتن یک ذهن طمعکارانه میتواند کاملاً خطرناک باشد و تاجران و سرمایهگذاران را بهویژه در برابر حملات فیشینگ، کلاهبرداریهای پونزی یا هرمی و انواع دیگر کلاهبرداریها آسیبپذیر سازد. در صنعت بلاکچین، هیجانی که رمزارزها ایجاد میکند، در مدت زمان نسبتاً کوتاهی (بهویژه در بازارهای Bull)، بسیاری از تازهواردها را به خود جذب میکند.
حتی اگر افراد از چگونگی عملکرد رمزارزها آگاهی نداشته باشند، اما غالباً بدون تحقیق درست، در مورد پتانسیل این بازارها برای سودآوری و در نهایت، سرمایهگذاری چیزهایی شنیدهاند. مهندسی اجتماعی بهویژه برای تازهکارها بسیار نگرانکننده است، چون غالباً بر اثر طمع یا ترس خود، بهدام جاعلان میافتند.
از یک طرف، افراد علاقهمند به کسب سود سریع و درآمد آسان، تازهواردها را بهسمت وعدههای دروغین کلاهبردارها میکشاند. از طرف دیگر، ترس از بهخطر افتادن فایلهای خصوصی ممکن است کاربر را به پرداخت باج بکشاند. در برخی موارد، هیچ آلودگی حقیقی وجود ندارد و هشدار یا پیام دروغین ایجاد شده توسط هکرها کاربر را فریب میدهد.
چگونه میتوان از حملات مهندسی اجتماعی جلوگیری کرد؟
همانطور که پیشتر گفته شد، کلاهبرداریهای ناشی از مهندسی اجتماعی به این دلیل جواب میدهد، چون به ذات انسانی چنگ میزند. این نوع کلاهبرداریها معمولاً از ترس بهعنوان محرک استفاده میکنند و از افراد میخواهند که بلافاصله برای محافظت از خود (یا سیستمشان) در برابر تهدیدهای دروغین و غیرحقیقی اقدام کنند. این حملات به طمع انسانی متکی هستند و قربانیان را به انواع کلاهبرداریهای مالی میکشانند. در نتیجه، مهم است که بهیاد داشته باشید که اگر پیشنهادی آنقدر خوب است که واقعی بهنظر نمیرسد، پس احتمالاً غیرحقیقی است و مشکلی در آن وجود دارد.
اگرچه برخی کلاهبردارها بسیار زبده و حرفهای هستند، اما برخی دیگر اشتباهات قابلتوجهی مرتکب میشوند. برخی ایمیلهای فیشینگ و حتی بنرهای Scareware، غالباً دارای اشتباهات گرامری یا کلمات غلط املایی هستند و فقط در مورد کسانی عمل میکند که به گرامر و هجی توجه کافی ندارند- بنابراین، چشمان خود را باز نگه دارید.
برای جلوگیری از قربانی شدن در برابر حملات مهندسی اجتماعی، باید اقدامات امنیتی زیر را انجام دهید:
- به خود، خانواده و دوستانتان آموزش دهید. کلاهبرداریهای شایع ناشی از مهندسی اجتماعی را به آنها بیاموزید و اصول اولیهی امنیت عمومی را به اطلاع آنها برسانید.
- مراقب پیوستها و لینکهای ایمیلهای خود باشید. از کلیک کردن روی تبلیغات و وبسایتهایی با منبع ناشناخته خودداری کنید.
- یک آنتیویروس قابلاعتماد نصب کنید و برنامههای نرمافزاری و سیستمعامل خود را بهروز نگه دارید.
- هر زمان که توانستید، برای محافظت از اطلاعات حساس ایمیل و سایر اطلاعات شخصی خود، از راهحلهای احراز هویت چند مرحلهای استفاده کنید. احراز هویت دوعاملی (2FA) را در حساب بایننس خود ایجاد کنید.
- برای کسب و کارها و مشاغل: آمادهسازی کارمندانتان برای شناسایی و جلوگیری از حملات فیشینگ و برنامههای مهندسی اجتماعی را در نظر بگیرید.
سخن پایانی
کلاهبردارهای سایبری همیشه بهدنبال روشهای جدیدی برای فریب کاربران و سرقت پول و اطلاعات حساس آنها هستند. در نتیجه، آموزش خود و اطرافیانتان بسیار مهم است. اینترنت، مامن این نوع کلاهبرداریهاست و بهویژه در فضای رمزارزها زیاد رخ میدهد. مواظب و هوشیار باشید تا از افتادن در دام مهندسیهای اجتماعی پیشگیری کنید.
علاوه بر این، هر کسی که تصمیم به تجارت یا سرمایهگذاری در حوزهی رمزارزها را دارد، باید از قبل تحقیقات لازم را انجام دهد و مطمئن شود که درک خوبی هم از بازارها و هم از مکانیسمهای عملکرد فنآوری بلاکچین دارد.