مهندسی اجتماعی یا social engineering

سوءاستفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است که به کمک مجموعه‌ای از تکنیک‌ها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد می‌کند.  بسیاری از حملات مهندسی اجتماعی نیازی به اطلاعات فنی تخصصی ندارند و لازم نیست که یک متخصص رایانه و یک هکر حرفه‌ای به شما حمله کند، بلکه هر یک از افراد جامعه می‌تواند نقش یک مهاجم را ایفا کند، بنابراین باید همیشه نسبت به محیط اطراف آگاه بود.

در سیستم مهندسی اجتماعی، مهاجم به جای استفاده از روش‌های معمول و مستقیم نفوذ جمع‌آوری اطلاعات و عبور از دیواره آتش برای دسترسی به سیستم‌های سازمان و پایگاه داده‌های آن، از مسیر انسان‌هایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیک‌های فریفتن، به جمع‌آوری اطلاعات در راستای دستیابی به خواسته‌های خود اقدام می‌کند.

علی‌اصغر زارعی – کارشناس فناوری اطلاعات – درباره اینکه این تکنیک چیست و چگونه قربانی می‌گیرد،‌ بگفت: هکرها افراد خرابکار و ماموران امنیتی و سایبری، همیشه در کمین هستند تا اطلاعاتی که برای رسیدن به هدفشان لازم دارند را به دست بیاورند؛ یکی از راه‌های به‌دست آوردن اطلاعات شخصی و هویتی کاربران که از آن استفاده می‌کنند، مهندسی اجتماعی است.

ویشینگ (Vishing)

یکی از انواع فیشینگ است که در آن کلاهبرداران با استفاده از ترفندهای مهندسی اجتماعی و از طریق تماس صوتی (voice)، اقدام به جمع‌آوری اطلاعات شخصی و مالی شهروندان می‌کنند. در این نوع کلاهبرداری، کلاهبرداران عموما با استفاده از اعتماد مردم به تلفن‌های ثابت که به نام سازمان یا شخص ثبت شده است، اقدام به جلب اعتماد و کلاهبرداری از آن‌ها می‌کنند و مهم‌ترین هدف ویشینگ (Vishing) سرقت اطلاعات کارت بانکی و یا اطلاعات هویتی افراد است.

در روش ویشینگ، همچنین هکرهای تماس‌گیرنده با استفاده از روش‌های مهندسی اجتماعی کارمندان شرکت‌های خصوصی و موسسات دولتی را فریب می‌دهند و از آنها می‌خواهند تا با مراجعه به صفحات لاگین قلابی وی‌پی‌ان‌های شرکت‌های خود اطلاعات ورود آنها را وارد کنند. هکرها از این طریق می‌توانند وارد شبکه‌های وی‌پی‌ان شرکت‌ها و موسسات دولتی شوند و داده‌های خصوصی و حساس آنها را سرقت کنند.

حملات ویشینگ از اواسط ماه جولای شدت گرفته و هکرها با سایت دامنه‌های شبیه به صفحه لاگین وی‌پی‌ان شرکت‌های خصوصی تلاش می‌کنند تا کارمندان را به بازدید از این صفحات و ورود اطلاعاتشان ترغیب کنند. در جریان این حملات معمولاً کارکنان جدید شرکت‌ها و پرسنل تازه بخش آی‌تی آنها هدف قرار می‌گیرند. کارشناسان امنیتی هشدار می‌دهند تا زمانی که دورکاری گسترده به علت شیوع ویروس کرونا ادامه یابد، حملات ویشینگ نیز تداوم خواهد یافت و ناآگاهی و کم‌اطلاعی کارمندان منجر به سرقت اطلاعات خواهد شد.

پلیس فتا نیز در این زمینه هشدار می‌دهد که معمولا در این حملات مخاطب یک تماس تلفنی دریافت می‌کند. در این تماس مهاجم، مخاطب را فریب می‌دهد تا اطلاعات شخصی خود را افشا کند تا از این طریق آسیب و زیانی به وی وارد کند. به عنوان مثال، مشتری تماسی را در آخر هفته یا ساعات تعطیلی بانک دریافت می‌کند که وانمود می‌شود از طرف مرکز تماس بانکی است که در آن حساب دارد.

بنابراین کاربران نباید به تماس‌های مشکوک پاسخ داده و اطلاعات محرمانه و شخصی خود را که شامل رمزهای عبور و کد احراز هویت شبکه‌های اجتماعی است، در اختیار دیگران قرار دهند. همچنین باید از نصب برنامه‌ها از منابع نامعتبر و شبکه‌های اجتماعی، که از آن‌ها اطلاعات شخصی را می‌خواهد، خودداری کنند.

منبع: ایسنا