چگونه قربانی مهندسی اجتماعی نشویم

چگونه قربانی مهندسی اجتماعی نشویم

انسان‌ها موجوداتی عاطفی هستند و مهندسی اجتماعی راه بسیار موثری برای استفاده از آن است. علاوه بر این، حملات مهندسی اجتماعی معمولاً به مهارت‌های فنی بسیار خاصی از طرف مهاجم نیاز ندارند. اجبار هزاران کاربر به چشم پوشی از اطلاعات حساس یا انجام اقدامات مضر تاکنون ثابت شده است که بسیار آسان است! گول نخورید – حتی زمانی که کسب و کار شما کوچک است، ممکن است همچنان به یک هدف تبدیل شوید.

احتمالاً درباره هرزنامه یا فیشینگ شنیده اید – دو نمونه از نحوه سوء استفاده از واکنش های احساسی کاربران. اسپم بیشتر از طریق ایمیل ارسال می شود، اما می تواند از طریق پیام های فوری، پیام کوتاه و رسانه های اجتماعی نیز ارسال شود. هرزنامه به خودی خود یک روش مهندسی اجتماعی به معنای واقعی کلمه نیست، اما ممکن است شامل فیشینگ، فیشینگ نیزه‌ای، ویزینگ و همچنین روش‌های ضربه زدن، یا انتشار پیوست‌ها یا پیوندهای مخرب باشد.

 

چرا SMB ها باید به مهندسی اجتماعی اهمیت دهند

SMBها به طور فزاینده ای آگاه هستند که هدف آنها هستند. بر اساس یک نظرسنجی در سال 2019 که توسط مجرمان سایبری انجام شد،Zogby Analytics به نمایندگی از امنیت سایبری ملی ایالات متحده، تقریباً نیمی (44٪) از شرکت ها با 251 تا 500 کارمندان گفتند که با نقض اطلاعات رسمی مواجه شده اند.

در 12 ماه گذشته این نظرسنجی نشان داد که 88 درصد از کسب و کارهای کوچک معتقدند که حداقل یک هدف “تا حدودی محتمل” برای مجرمان سایبری هستند، از جمله تقریباً نیمی (46%) که معتقدند یک هدف “بسیار محتمل” هستند.
آسیب واقعی و گسترده است، نکته ای که به خوبی نشان داده شده است.

گزارش سالانه مرکز جرایم اینترنتی FBI (IC3) تخمین می زند که تنها در سال 2018، شرکت های آمریکایی بیش از 2.7 میلیارد دلار به علت حملات سایبری ضرر کرده اند.

فیشینگ یکی از پرکاربردترین اشکال مهندسی اجتماعی است. در این مورد، مهاجم وانمود می کند که یک نهاد قابل اعتماد است و اطلاعات حساسی را از قربانی درخواست می کند. اما چیزهای بیشتری وجود دارد که باید مراقب آنها بود. دنیای مهندسی اجتماعی نسبتاً متنوع است – بیایید نگاهی به انواع دیگر حملات بیندازیم.

 

نیزه فیشینگ

شکلی هدفمند از فیشینگ به سمت یک فرد، سازمان یا تجارت خاص. کمپین های فیشینگ معمولی قربانیان را به صورت جداگانه هدف قرار نمی دهند – آنها برای صدها یا هزاران گیرنده ارسال می شوند.

 

ویشینگ

روشی شبیه به فیشینگ اما با استفاده از تماس های تلفنی جعلی به جای ایمیل. مجرمان سایبری اغلب خود را به عنوان نماینده بانک یا شرکت بیمه در می آورند.

 

Smishing

تلاش برای مهندسی اجتماعی از طریق پیامک. اغلب، تلاش‌های smishing با هدف هدایت گیرندگان به وب‌سایتی که داده‌های آنها در آنجا جمع‌آوری می‌شود، انجام می‌شود. با این حال، ممکن است کمپین هایی نیز وجود داشته باشد که در آنها از قربانیان خواسته می شود که داده های حساس را در یک پاسخ مستقیم پیامکی ارسال کنند.

 

ابزار ترسناک

نرم افزاری که از تکنیک های مختلف اضطراب آور استفاده می کند تا قربانیان را مجبور به نصب کدهای مخرب بیشتر بر روی دستگاه های خود کند. به عنوان مثال، محصولات آنتی ویروس جعلی کاربران را فریب می دهند تا نرم افزار خاصی را برای «حذف مشکل» نصب کنند، اما این برنامه معمولاً مضر است.

 

جعل هویت

تکنیک جعل هویت همانند دنیای فیزیکی است. مجرمان سایبری با کارمندان تماس می گیرند، که معمولاً خود را به عنوان مدیر عامل خود نشان می دهند و سعی می کنند قربانیان را برای انجام اقداماتی دستکاری کنند – برای مثال، تراکنش های متقلبانه را سفارش داده و تأیید می کنند.

 

کلاهبرداری های پشتیبانی فنی

مهاجمان تلاش می‌کنند خدمات جعلی را بفروشند و مشکلات موجود را حذف کنند، یا راه‌حل دسترسی از راه دور را در دستگاه‌های قربانیان نصب کنند و به داده‌های آن‌ها دسترسی غیرمجاز پیدا کنند – این عمل از زمان شروع همه‌گیری بسیار رایج‌تر شده است.

 

اخاذی

Sextortion یک طرح کلاهبرداری ایمیلی طولانی مدت است که سعی می کند با ادعاها و اتهامات بی اساس از قربانیان باج گیری کند. در مورد نحوه عملکرد و نحوه ایمن ماندن بیشتر بخوانید.

 

کلاهبرداری های (سایبری).

کلاهبرداری های سایبری ترکیبی از تکنیک های مختلفی هستند که قبلا ذکر شد.

 

چگونه از کسب و کار خود در برابر مهندسی اجتماعی محافظت کنیم؟

اکنون که تکنیک های مهندسی اجتماعی را می دانید، چگونه می توانید آنها را تشخیص دهید؟ چند سیگنال وجود دارد که می تواند کمک کند. آیا متن حاوی اشتباهات، دستور زبان نادرست و احساس فوریت است؟ آیا چیز عجیبی در مورد آدرس فرستنده وجود دارد؟ آیا شخصی که نمی شناسید اطلاعات شخصی یا رمز عبور شما را می خواهد؟ آیا احساس می کنید که پیام سعی دارد شما را وادار کند که بی چون و چرا عمل کنید؟ آیا پیشنهاد در ایمیل خیلی خوب به نظر می رسد که درست باشد؟ چون احتمالا همینطوره به یاد داشته باشید، هر درخواستی برای داده های حساس مشکوک است.

به هر حال، شما می توانید کارهای بیشتری برای محافظت از کسب و کار خود در برابر مهندسی اجتماعی انجام دهید. در اینجا چندین نکته در مورد اینکه چگونه یک قدم جلوتر از مهاجمان بمانید آورده شده است.

 

1. کارمندان خود را آموزش دهید

از آنجایی که تکنیک‌های مهندسی اجتماعی بر آگاهی کم امنیت سایبری از اهداف خود متکی هستند، آموزش‌های منظم امنیت سایبری برای کل شرکت مهم است – چه برای مدیریت ارشد، IT، یا سایر بخش‌ها. در طول آموزش، سعی کنید سناریوهای واقعی را نیز در نظر بگیرید. تنها در این صورت است که کارمندان شما می توانند موقعیت های خاص را تصور کنند و از آنها درس بگیرند. کارمندان شما باید از یک خط مشی امنیتی قابل درک آگاه باشند و بدانند در هنگام تماس با مهندسی اجتماعی چه اقداماتی را انجام دهند.

 

2. رمزهای عبور خود را تحت کنترل داشته باشید

داشتن سیاست رمز عبور قوی یک امر ضروری است. گذرواژه‌های ضعیفی را که ممکن است توسط مهاجمان مورد سوء استفاده قرار گیرند، جستجو کنید. همچنین، استفاده از یک لایه امنیتی دیگر را با اجرای احراز هویت چند عاملی در نظر بگیرید.

 

3. از راهکارهای امنیتی مناسب استفاده کنید

یکی دیگر از راه‌های بهبود امنیت می‌تواند با پیاده‌سازی راه‌حل‌های فنی برای مقابله با ارتباطات کلاهبرداری باشد. سپس هرزنامه ها یا پیام های فیشینگ می توانند شناسایی، قرنطینه، خنثی و حذف شوند. با استفاده از ابزارهایی که به مدیران فناوری اطلاعات امکان مشاهده کامل و توانایی شناسایی و کاهش تهدیدات احتمالی در شبکه را می دهد، حفاظت خود را افزایش دهید.

به خاطر داشته باشید که هرچه بیشتر در مورد خطرات سایبری بدانید، از پیشگیری های لازم بیشتر آگاه خواهید شد. به لطف آن، داده های شما محافظت می شود و همچنین از کسب و کار شما محافظت می شود.

پیام بگذارید

آدرس ایمیل شما منتشر نخواهد شد.