مهندسی اجتماعی چیست؟

در یک مفهوم گسترده‌تر، هر نوع دخل و تصرف در روان‌شناسی رفتاری را می‌توان مهندسی اجتماعی در نظر گرفت. با این حال، این مفهوم همیشه با فعالیت‌های جنایی یا متقلبانه مرتبط نیست. در حقیقت، مهندسی اجتماعی به‌شکل گسترده در رشته‌های گوناگونی همچون علوم اجتماعی، روان‌شناسی و بازاریابی مورد استفاده و مطالعه قرار می‌گیرد.

در بحث امنیت سایبری، مهندسی اجتماعی با انگیزه‌های پنهانی انجام می‌شود و به مجموعه‌ای از فعالیت‌های مخربی اشاره دارد که درصدد است افراد را به انجام اقدامات ناخوشایندی همچون دادن اطلاعات شخصی یا محرمانه‌ای تشویق کند که بعدها می‌تواند علیه خود آن‌ها یا شرکت‌شان مورد سوءاستفاده قرار بگیرد. جعل هویت، نتیجه‌ی شایع این نوع حملات است و در بسیاری از موارد منجر به خسارت‌های مالی قابل‌توجهی می‌شود.

مهندسی اجتماعی غالباً به‌عنوان تهدید سایبری معرفی می‌شود، اما این مفهوم برای مدت زمان طولانی وجود داشته و همچنین این واژه ممکن است در رابطه با کلاهبرداری‌های دنیای حقیقی استفاده شود که معمولاً شامل جعل هویت مقامات یا متخصصان فن‌آوری اطلاعات است. با این حال، ظهور اینترنت، انجام حملات خلافکارانه را در مقیاسی گسترده‌تر برای هکرها آسان ساخته و متاسفانه، این فعالیت‌های مخرب در حوزه‌‌ی رمزارزها نیز انجام می‌شود.

مهندسی اجتماعی چگونه کار می‌کند؟

همه‌ی انواع تکنیک‌های مهندسی اجتماعی به نقاط ضعف روان‌شناسی انسان وابسته هستند. جاعلان و کلاهبردارها با استفاده از احساسات انسانی، قربانیان خود را هدف قرار داده و فریب می‌دهند. ترس، طمع، کنجکاوی و حتی تمایل به کمک به دیگران با روش‌های گوناگون، بر ضد خود افراد مورد استفاده قرار می‌گیرد. در میان انواع گوناگون مهندسی‌های مخرب اجتماعی، فیشینگ قطعاً یکی از متداول‌ترین و شناخته‌شده‌ترین آن‌‌هاست.

فیشینگ

ایمیل‌های فیشینگ غالباً مکاتبات یک شرکت قانونی همچون یک زنجیره‌ی بانک ملی، یک فروشگاه آنلاین معتبر یا یک ارائه‌دهنده‌ی ایمیل را جعل می‌کند. در برخی موارد، این ایمیل‌ها به کاربر هشدار می‌دهد که حساب آن‌ها یا باید به‌روز شود یا چون حساب آن‌ها فعالیت غیرعادی از خود نشان داده، از او می‌خواهد اطلاعات شخصی‌اش را برای تائید هویت خویش و منظم‌سازی حساب‌هایش ارائه دهد. از روی ترس، برخی افراد بلافاصله روی لینک‌ها کلیک کرده و وارد یک وب‌سایت جعلی می‌شوند تا داده‌های مورد نیاز جاعلان را ارائه دهند. در این مرحله، اطلاعات در دست هکرها خواهد افتاد.

Scareware

از دیگر تکنیک‌های مهندسی اجتماعی می‌توان به Scareware اشاره کرد. همانطور که از نامش پیداست، Scareware نوعی بدافزار است که برای ترساندن و شوکه کردن کاربر طراحی شده و معمولاً شامل ایجاد هشدارهای دروغینی است که درصدد فریب قربانیان به نصب نرم‌افزاری جعلی است که ظاهراً قانونی می‌باشد یا درصدد فریب کاربر برای وارد شدن به وب‌سایتی است که سیستم آن‌ها را آلوده می‌سازد. چنین تکنیکی غالباً به ترس کاربر از به‌خطر افتادن سیستمش متکی است و او را متقاعد می‌کند که روی یک بنر یا Popup وب کلیک کند. پیام‌ها معمولاً چیزی همچون این است: 'سیستم شما آلوده است، برای پاک کردن آن، اینجا را کلیک کنید.'

طعمه‌گذاری

طعمه‌گذاری یکی دیگر از روش‌های مهندسی اجتماعی است که بسیاری از کاربران ناآگاه را دچار مشکل می‌سازد و شامل استفاده از طعمه‌ها برای فریب قربانیان بر اساس طمع یا کنجکاوی آن‌هاست. برای مثال، کلاهبردار ممکن است وب‌سایتی ایجاد کند که فایل‌های موسیقی، فیلم‌ها یا کتاب‌ها را رایگان به‌اشتراک بگذارد. اما برای دسترسی به این فایل‌ها، کاربر ملزم به ایجاد یک حساب کاربری و ارائه‌ی اطلاعات شخصی خود است. در برخی موارد، حتی نیازی به ایجاد حساب هم نیست، چون فایل‌‌ها مستقیماً با بدافزار آلوده شده و به سیستم کامپیوتر قربانی نفوذ می‌کنند و اطلاعات حساس آن‌ها را جمع‌آوری می‌کنند.

طرح‌های طعمه‌گذاری ممکن است در دنیای حقیقی با استفاده از استیک‌‌های USB و درایوهای هارد خارجی نیز رخ دهد. کلاهبردار عامدانه دستگاه‌های آلوده را در یک مکان عمومی قرار می‌دهد و در نتیجه، هر فرد کنجکاوی که آن را برمی‌دارد تا به بررسی محتوایش بپردازد، کامپیوتر شخصی‌اش آلوده می‌شود.

مهندسی اجتماعی و رمزارزها

در بازارهای مالی، داشتن یک ذهن طمع‌کارانه می‌تواند کاملاً خطرناک باشد و تاجران و سرمایه‌گذاران را به‌ویژه در برابر حملات فیشینگ، کلاهبرداری‌های پونزی یا هرمی و انواع دیگر کلاهبرداری‌ها آسیب‌پذیر سازد. در صنعت بلاک‌چین، هیجانی که رمزارزها ایجاد می‌کند، در مدت زمان نسبتاً کوتاهی (به‌ویژه در بازارهای Bull)، بسیاری از تازه‌واردها را به خود جذب می‌کند.

حتی اگر افراد از چگونگی عملکرد رمزارزها آگاهی نداشته باشند، اما غالباً بدون تحقیق درست، در مورد پتانسیل این بازارها برای سودآوری و در نهایت، سرمایه‌گذاری چیزهایی شنیده‌اند. مهندسی اجتماعی به‌ویژه برای تازه‌کارها بسیار نگران‌کننده است، چون غالباً بر اثر طمع یا ترس خود، به‌دام جاعلان می‌افتند.

از یک طرف، افراد علاقه‌مند به کسب سود سریع و درآمد آسان، تازه‌واردها را به‌سمت وعده‌های دروغین کلاهبردارها می‌کشاند. از طرف دیگر، ترس از به‌خطر افتادن فایل‌‌های خصوصی ممکن است کاربر را به پرداخت باج بکشاند. در برخی موارد، هیچ آلودگی حقیقی وجود ندارد و هشدار یا پیام دروغین ایجاد شده توسط هکرها کاربر را فریب می‌دهد.

چگونه می‌توان از حملات مهندسی اجتماعی جلوگیری کرد؟

همانطور که پیشتر گفته شد، کلاهبرداری‌های ناشی از مهندسی اجتماعی به این دلیل جواب می‌دهد، چون به ذات انسانی چنگ می‌زند. این نوع کلاهبرداری‌‌ها معمولاً از ترس به‌عنوان محرک استفاده می‌کنند و از افراد می‌خواهند که بلافاصله برای محافظت از خود (یا سیستم‌شان) در برابر تهدیدهای دروغین و غیرحقیقی اقدام کنند. این حملات به طمع انسانی متکی هستند و قربانیان را به انواع کلاهبرداری‌های مالی می‌کشانند. در نتیجه، مهم است که به‌یاد داشته باشید که اگر پیشنهادی آنقدر خوب است که واقعی به‌نظر نمی‌رسد، پس احتمالاً غیرحقیقی است و مشکلی در آن وجود دارد.

اگرچه برخی کلاهبردارها بسیار زبده و حرفه‌ای هستند، اما برخی دیگر اشتباهات قابل‌توجهی مرتکب می‌شوند. برخی ایمیل‌های فیشینگ و حتی بنرهای Scareware، غالباً دارای اشتباهات گرامری یا کلمات غلط املایی هستند و فقط در مورد کسانی عمل می‌کند که به گرامر و هجی توجه کافی ندارند- بنابراین، چشمان خود را باز نگه دارید.

برای جلوگیری از قربانی شدن در برابر حملات مهندسی اجتماعی، باید اقدامات امنیتی زیر را انجام دهید:

• به خود، خانواده و دوستان‌تان آموزش دهید. کلاهبرداری‌های شایع ناشی از مهندسی اجتماعی را به آن‌ها بیاموزید و اصول اولیه‌ی امنیت عمومی را به اطلاع آن‌ها برسانید.
• مراقب پیوست‌ها و لینک‌های ایمیل‌های خود باشید. از کلیک کردن روی تبلیغات و وب‌سایت‌هایی با منبع ناشناخته خودداری کنید.
• یک آنتی‌ویروس قابل‌اعتماد نصب کنید و برنامه‌های نرم‌افزاری و سیستم‌عامل خود را به‌روز نگه دارید.
• هر زمان که توانستید، برای محافظت از اطلاعات حساس ایمیل و سایر اطلاعات شخصی خود، از راه‌حل‌های احراز هویت چند مرحله‌ای استفاده کنید. احراز هویت دوعاملی (2FA) را در حساب بایننس خود ایجاد کنید.
• برای کسب و کارها و مشاغل: آماده‌سازی کارمندان‌تان برای شناسایی و جلوگیری از حملات فیشینگ و برنامه‌های مهندسی اجتماعی را در نظر بگیرید.

سخن پایانی

کلاهبردارهای سایبری همیشه به‌دنبال روش‌های جدیدی برای فریب کاربران و سرقت پول و اطلاعات حساس آن‌ها هستند. در نتیجه، آموزش خود و اطرافیان‌تان بسیار مهم است. اینترنت، مامن این نوع کلاهبرداری‌هاست و به‌ویژه در فضای رمزارزها زیاد رخ می‌دهد. مواظب و هوشیار باشید تا از افتادن در دام مهندسی‌های اجتماعی پیشگیری کنید.

علاوه بر این، هر کسی که تصمیم به تجارت یا سرمایه‌گذاری در حوزه‌ی رمزارزها را دارد، باید از قبل تحقیقات لازم را انجام دهد و مطمئن شود که درک خوبی هم از بازارها و هم از مکانیسم‌های عملکرد فن‌آوری بلاک‌چین دارد.