خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

چگونه از خود در برابر این 8 حمله مهندسی اجتماعی محافظت کنیم؟

ارشیا یوسفی ادیب ۱۸ آبان, ۱۴۰۲ 9 min read

یک هکر از چه تکنیک های مهندسی اجتماعی استفاده می کند و چگونه از خود در برابر آنها محافظت می کنید؟ بیایید به برخی از رایج ترین روش های حمله نگاهی بیندازیم.

شما می توانید از رمزهای عبور خود محافظت کنید، نرم افزار آنتی ویروس نصب کنید و یک فایروال راه اندازی کنید، اما در نهایت، هکرها همیشه می توانند از یک پیوند ضعیف سوء استفاده کنند: انسان ها. یک نوع کامل از هک، معروف به مهندسی اجتماعی، پیرامون این آسیب‌پذیری ایجاد شده است. با استفاده از ترکیبی از هک فنی، مهارت های بین فردی و دستکاری، مهندس اجتماعی می تواند اطلاعات حساس را از یک هدف استخراج کند. با وجود حیله گری حملات مهندسی اجتماعی، می توان آنها را شناسایی کرد و از خود در برابر آنها محافظت کرد.

1. حملات فیشینگ

هنر دیواری از ماهی سبز در حال خوردن قلاب ماهی

فیشینگ عمل پنهان کردن ایمیل‌ها و سایر پیام‌ها به گونه‌ای است که گویی از منابع معتبر دریافت شده‌اند و هدف آن تحت تأثیر قرار دادن گیرنده برای افشای اطلاعات حساس است. عنوان و محتوای پیام‌ها معمولاً برای القای ترس، ایجاد حس فوریت یا برانگیختن علاقه شما با موارد مجانی بیان می‌شوند. به عنوان مثال، دریافت ایمیلی با عنوان «فوری: شما مستحق بازپرداخت مالیات هستید» ممکن است شما را وادار به تصمیم گیری عجولانه کند، با این فکر که یک پنجره محدود برای درخواست این بازپرداخت فرضی وجود دارد.

چگونه از خود در برابر فیشینگ محافظت کنیم

  • روی لینک های موجود در ایمیل ها کلیک نکنید. اگر در مورد امنیت ایمیل شک دارید، روی پیوندها کلیک نکنید، حتی اگر مشروع به نظر برسند. در عوض، ایمیل را روی دسکتاپ خود باز کنید و ماوس خود را روی پیوند قرار دهید تا URL را پیش‌نمایش ببینید. در موارد فیشینگ، معمولاً مشاهده می کنید که پیش نمایش به یک وب سایت مشکوک هدایت می شود. همچنین می توانید از سایت های دیگر برای بررسی ایمن بودن پیوند استفاده کنید.
  • پیوست ها را دانلود نکنید ساده‌ترین راه برای آلوده کردن دستگاهتان به بدافزار، دانلود فایل‌های پیوست است. اکثر سرویس گیرندگان ایمیل مبتنی بر وب، پیوست‌ها را اسکن می‌کنند تا به شما اطلاع دهند که ایمن هستند، اما آنها بی‌خطا نیستند. اگر پیوستی را دانلود کردید، قبل از باز کردن آن، آن را با یک آنتی ویروس اسکن کنید. همچنین پسوند فایل را بررسی کنید. مجرمان سایبری اغلب بدافزار را به عنوان چیزی مانند “document.pdf.exe” پنهان می کنند تا شما را فریب دهند تا پیوست را به عنوان یک سند PDF به جای یک برنامه اجرایی ببینید. برای حفظ امنیت، هرگز پیوست های “.exe” را باز نکنید (یا دانلود کنید).
  • آدرس فرستنده را بررسی کنید. آیا نام فرستنده با آدرس ایمیل آنها مطابقت دارد؟ ممکن است یک فرستنده به عنوان “PayPal” ظاهر شود، اما آدرس ممکن است شبیه “paypal@hotmail.com” یا “contact@paypalpay.com” باشد. اگر آدرس ایمیل غیرعادی به نظر می رسد، روی هیچ پیوندی کلیک نکنید یا پیوست را دانلود نکنید.

2. حملات Vishing

عکس زنی که از طریق گوشی هوشمند در حال استفاده از لپ تاپ صحبت می کند

Vishing شبیه فیشینگ است اما شخصیت بیشتری دارد. به جای ارسال پیامک یا ارسال ایمیل، عامل تهدید می تواند با هدف خود تماس بگیرد، وانمود کند که یک کارمند قانونی یک شرکت یا سازمان دولتی است و سعی در ایجاد رابطه داشته باشد. این حمله می تواند موثر باشد زیرا صحبت با یک انسان واقعی می تواند باعث شود افراد دفاع معمول خود را آسان کنند. یک مثال رایج، کلاهبرداری پشتیبانی فنی ویندوز است، که در آن یک عامل تهدید از شما می‌خواهد رمز عبور، OTP یا سایر اطلاعات محرمانه خود را تأیید کنید.

مطلب مرتبط:   آیا حریم خصوصی HIPAA یک قانون فدرال است؟

چگونه از خود در برابر Vishing محافظت کنیم

  • شناسه تماس گیرنده را تأیید کنید. اگر فردی ادعا می کند که از بانک شماست، یک بررسی امنیتی انجام دهید. نام کامل، بخش و شعبه را دریافت کنید. سپس، از وب سایت رسمی بانک خود دیدن کنید و با خدمات مشتری در خط جداگانه تماس بگیرید. مطمئن شوید که احساس می کنید آنها همان چیزی هستند که می گویند.
  • پین، رمز عبور یا OTP حساب خود را از طریق تلفن به اشتراک نگذارید. هیچکس نباید با شما تماس بگیرد تا اطلاعات کارت اعتباری، شماره تامین اجتماعی، رمز عبور حساب یا پین کارت شما را از طریق تلفن بپرسد. اگر کسی این جزئیات را بپرسد، به احتمال زیاد کلاهبرداری است. تماس را پایان دهید و حادثه را به مرکز امنیتی بانک خود گزارش دهید.
  • مراقب تماس گیرندگان با شخصیت باشید. در حالی که صحبت کردن با برخی افراد بسیار خوب است و واقعاً سرگرم کننده است، این می تواند بخشی از تاکتیک مهندس اجتماعی باشد تا شما را راحت کند و احتمال بیشتری برای افشای اطلاعات داشته باشید.

3. کلاهبرداری در رسانه های اجتماعی و گربه ماهیگیری

تصویری نزدیک از یک تلفن همراه با برنامه های رسانه های اجتماعی روی صفحه نمایش

اگر نام کامل خود را در گوگل جستجو کنید، به احتمال زیاد هویت دیجیتال و ردپای خود را خواهید دید. این شامل پیوندهایی به حساب های توییتر، لینکدین، فیس بوک یا اینستاگرام شما و همچنین تصاویر شما می شود. اکنون، در نظر بگیرید که چه اطلاعاتی از آن پیوندها به دست می آورید – مکان تقریبی (یا دقیق)، مکان هایی که بازدید می کنید، دوستان، محل کار و موارد دیگر. اینکه چقدر اطلاعات پست می کنید می تواند وحشتناک باشد، حتی اگر قصد ندارید.

مجرمان سایبری می توانند وب را برای این داده ها خراش دهند، از آن برای درک شما استفاده کنند، سپس یک حمله مهندسی اجتماعی موثر ایجاد کنند و راه اندازی کنند. آنها ممکن است وانمود کنند که همکلاسی های قدیمی، آشنایان سفری که مدت ها پیش رفته اید یا حتی یک تحسین پنهانی هستند.

چگونه از خود در برابر کلاهبرداری های رسانه های اجتماعی محافظت کنیم

  • آنچه را که پست می کنید در نظر بگیرید. از برچسب گذاری جغرافیایی عکس خود خودداری کنید یا از یک مکان عمومی مانند شهر یا کشور فقط استفاده کنید. اطلاعات حساس را در پس‌زمینه عکس جستجو و حذف یا محو کنید.
  • تنظیمات حریم خصوصی خود را تنظیم کنید. شبکه های اجتماعی دوست دارند همه چیز را با همه به اشتراک بگذاریم—به همین دلیل است که تنظیمات حریم خصوصی فیس بوک بسیار پیچیده است، اما همچنان می توانید با این تنظیمات کنترل حریم خصوصی خود را در دست بگیرید. برای مثال، می‌توانید افرادی را که می‌توانند فعالیت حساب شما را مشاهده کنند به دوستان محدود کنید یا حتی مخاطبینی را که می‌توانند پست شما را مشاهده کنند، انتخاب کنید.
  • دوستانی را که نمیشناسید بکشید اگر حساب خود را مدت‌ها پیش ایجاد کرده‌اید، احتمالاً دوستانی دارید که حتی نمی‌شناسید و هرگز با آنها تعامل نداشته‌اید. حذف افرادی که نمی‌شناسید از لیست دوستانتان می‌تواند به کاهش احتمال دیده شدن پست‌های شما توسط غریبه‌ها کمک کند.
  • جلوگیری از نمایه سازی موتورهای جستجو پلتفرم‌های رسانه‌های اجتماعی مانند پینترست، فیس‌بوک، ردیت و لینکدین تنظیماتی دارند که می‌توانید با فعال کردن آن‌ها از نمایش حساب خود در نتایج جستجو جلوگیری کنید. اکثر این پلتفرم‌ها این تنظیم را به عنوان «غیرفعال کردن فهرست‌بندی موتور جستجو» دارند.
  • خصوصی برو یک حساب خصوصی به این معنی است که فقط دنبال کنندگانی که شما آنها را تأیید می کنید می توانند پست های شما را ببینند. لازم نیست تمام حساب های رسانه های اجتماعی خود را خصوصی کنید. مواردی که بیشتر احتمال دارد چیزهای شخصی یا رویدادهای زندگی را فاش کنید، این کار را خواهند کرد.
  • قبل از پست کردن فکر کنید فقط به این دلیل که گزینه ارسال وجود دارد، به این معنی نیست که باید این کار را انجام دهید. فکر کردن در مورد آنچه پست می کنید می تواند به شما کمک کند از اشتراک گذاری بیش از حد عمومی خودداری کنید و رابطه سالم تری با فناوری ایجاد کنید.
مطلب مرتبط:   نحوه مشاهده پروفایل های خصوصی فیس بوک

4. Dumpster Diving

شما به احتمال زیاد هنوز اطلاعات محرمانه (سوابق پزشکی، صورت‌حساب‌های بانکی یا مکاتبات دولت) را در صندوق پستی فیزیکی خود دریافت می‌کنید. و اگر وسایل کاری را به خانه بیاورید، احتمال اینکه برخی از کاغذها در سطل زباله بیفتند، وجود دارد. زباله های شما می تواند صندوقچه ای برای مهاجمان مصمم باشد. غواصی Dumpster زمانی است که فردی با تفنگ از میان سطل زباله به امید یافتن اطلاعاتی درباره شما می‌تواند برای اهداف مخرب استفاده کند.

چگونه فایل های خصوصی خود را از Dumpster Divers نگه دارید

  • همه چیز را خرد کنید. صفحات منفرد ممکن است بی ضرر به نظر برسند و دیدن ضرر در دور انداختن رسید دشوار است. با این حال، هنگامی که اسناد سطل زباله در کنار سایر اسناد قرار می گیرند، ممکن است به مهاجمان زمینه کافی برای دانستن بیشتر از آنچه شما در نظر داشتید در مورد شما ارائه دهند. قبل از اینکه کاغذها را دور بیندازید، آن ها را تکه تکه یا کاملاً پاره کنید.
  • اگر می توانید به صورت آنلاین حرکت کنید. انجام کسب و کار خود در اینترنت، کاغذبازی کمتری را برای شما تولید می کند و مسلما راحت تر است. اکثر بانک ها و ارائه دهندگان خدمات به صورت آنلاین نقل مکان کرده اند. اگر ارائه‌دهنده خدمات شما اجازه می‌دهد بیانیه‌های آنلاین، به جای آن از آنها استفاده کنید.
  • اطلاعات محرمانه را ایمن نگه دارید. قدیمی به نظر می رسد، اما اگر می خواهید کپی کاغذی اسناد حاوی اطلاعات خصوصی یا محرمانه را نگه دارید، آنها را پشت قفل و کلید در گاوصندوق نگه دارید.

5. طعمه گذاری

عکس طعمه های رنگارنگ ماهی

توسل به کنجکاوی افراد (یا حس طمع) دلیلی است که این حمله انجام می شود. مهاجم یک USB، سی‌دی یا سایر رسانه‌های فیزیکی آلوده را ترک می‌کند و منتظر می‌ماند تا کسی آن را بردارد، آن را در دستگاه خود وارد کند و آلوده شود.

چگونه از خود در برابر حملات طعمه ای محافظت کنیم

  • از USB های تصادفی یا دستگاه های ذخیره سازی استفاده نکنید. اگر نمی دانید چیست، آن را به دستگاه خود وصل نکنید.
  • یک مجموعه آنتی ویروس نصب کنید. اگر دستگاه ناشناخته ای را به رایانه خود وصل می کنید، مطمئن شوید که بهترین محافظت را دارید. برخی از بدافزارها می‌توانند از نرم‌افزار آنتی‌ویروس فرار کرده و حتی آن را غیرفعال کنند، اما قفل درب بهتر از باز گذاشتن آن است.
مطلب مرتبط:   امنیت پروتکل اینترنت چیست و چرا مهم است؟

6. دم زنی

این حمله اغلب متوجه شرکت‌ها می‌شود، البته نه منحصراً. این زمانی است که مهاجم با دنبال کردن یا پشت سر گذاشتن یک فرد مجاز وارد یک ساختمان فیزیکی می شود.

چگونه از خود در برابر دم زنی محافظت کنیم

  • حواستان به اطرافیانتان باشد. یک مهاجم خوب متمایز نمی شود، اما اگر فردی که نمی شناسید تمام روز شما را دنبال کرده است، مراقب او باشید.
  • از سوال کردن نترسید در محل کار، جایی که مهاجم امیدوار است اطلاعاتی در مورد شرکت به دست آورد، بیشتر متداول است. اگر کسی شما را به ساختمان محل کارتان تعقیب کرد، از او بپرسید که کجا می‌رود، و آیا می‌توانید به او کمک کنید راهش را پیدا کند. انجام این کار ممکن است باعث شود مجرم از حمله خود دست بکشد.

7. تایپوسکوات

غلط املایی آدرس وب سایت بسیار آسان است. و این دقیقا همان چیزی است که مهندس اجتماعی می خواهد. این مهاجمان وب‌سایت‌هایی را ادعا می‌کنند که شبیه به مقاصد محبوب هستند (به جای «آمازون» به «Amozon» فکر کنید) و سپس از این صفحات برای تغییر مسیر کاربران یا گرفتن اطلاعات ورود به سایت واقعی استفاده می‌کنند. برخی از سایت‌های بزرگ‌تر در این زمینه به شما کمک می‌کنند و تغییرات غلط املایی URL خود را به آدرس صحیح هدایت می‌کنند.

چگونه از خود در برابر تایپوسکوات محافظت کنیم

  • هنگام تایپ آدرس وب سایت دقت کنید.
  • نرم افزار آنتی ویروس خوب نصب کنید. برخی از سایت‌های typosquatting سعی می‌کنند شما را به دانلود بدافزار وادار کنند. یک مجموعه آنتی ویروس خوب به شما در مورد فایل های مخرب و وب سایت ها قبل از اینکه آسیب واقعی وارد کند، هشدار می دهد.
  • سایت های پربازدید را نشانک گذاری کنید. به این ترتیب، شما همیشه می دانید که به وب سایت مناسبی می روید.

8. کلیک جک

نمای نزدیک مردی که دستش را روی یک ماوس و صفحه کلید کامپیوتر بی سیم گرفته است

Clickjacking تکنیکی است که برای فریب دادن کاربر به منظور کلیک کردن بر روی چیزی متفاوت از آنچه فکر می‌کرده است استفاده می‌شود.

نمونه ای از این امر می تواند این باشد که یک ویدیوی “lolcat” در فیس بوک پست شود که شبیه یک ویدیوی YouTube است. روی دکمه پخش کلیک می‌کنید، اما به جای تماشای چرخیدن چند گربه، در صفحه‌ای قرار می‌گیرید که از شما می‌خواهد نرم‌افزار یا هر چیزی غیر از تماشای آن ویدیوی گربه را دانلود کنید.

چگونه از خود در برابر کلیک جک محافظت کنیم

  • NoScript را نصب کنید. NoScript یک افزونه فایرفاکس است که به طور خودکار اسکریپت های اجرایی وب مانند Flash، Java و Javascript را مسدود می کند. NoScript دارای ویژگی به نام “ClearClick” برای جلوگیری از حملات کلیک جک است.
  • از مرورگرهای درون برنامه ای استفاده نکنید. مرورگرهای وب درون برنامه‌ای عملکردی مشابه مرورگرهای وب پیش‌فرض شما ندارند و ممکن است هنگام بازدید از سایت‌های مخرب به شما هشدار ندهند.

حملات مهندسی اجتماعی هوشمندانه هستند اما می توان از آنها اجتناب کرد

به عنوان یک فرد، شما «حریم خصوصی از طریق ابهام» دارید. بنابراین، مگر اینکه شما یک فرد مشهور یا کارمند یک شرکت باشید، بعید است که به طور خاص مورد هدف قرار بگیرید. صرف نظر از این، شما باید این عادات را در ذهن داشته باشید، اما اجازه ندهید که زندگی شما را کنترل کنند.

Tags: