محمدجواد آذری جهرمی -وزیر ارتباطات و فناوری اطلاعات- در صفحه شبکه اجتماعی اینستاگرام نوشت: امروز سه تماس داشتم، همه قربانی کلاهبرداری تلفنی. پنج میلیون تومان از آنها دزدی شده بود. دزدها خود را مجری رادیو جا زده و گفتهاند با حضور وزیر جوان قرعهکشی شده و جایزهای بردهاید. شماره کارت بانکی گرفته و حسابشان را خالی کردهاند. لطفا دیگران را هم آگاه کنید تا کلاه سرشان نرود.
موضوعی که وزیر ارتباطات به آن اشاره کرده، استفاده از مهندسی اجتماعی برای کلاهبرداری است. مهندسی اجتماعی یا social engineering، سوءاستفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است که به کمک مجموعهای از تکنیکها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد میکند.
در سیستم مهندسی اجتماعی، مهاجم بهجای استفاده از روشهای معمول و مستقیم نفوذ جمعآوری اطلاعات و عبور از دیواره آتش برای دسترسی به سیستمهای سازمان و پایگاه دادههای آن، از مسیر انسانهایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیکهای فریفتن، به جمعآوری اطلاعات در راستای دستیابی به خواستههای خود اقدام میکند. برای دفاع در مقابل حملات مهندسی اجتماعی، به شناسایی محرکهای روانشناسی متقاعدسازی و سپس تکنیکهای مورد استفاده در حملات نیاز است.
در اکثر حملات مهندسی اجتماعی پیشنهاداتی به شما ارائه میشود که در نگاه اول بسیار پرسود و جذاب به نظر میآیند، اما باید بر وسوسه پاسخگویی به این دسته از پیشنهادات غلبه کرد، زیرا برخی از آنها طعمههایی برای حملات مهندسی اجتماعی هستند. بسیاری از حملات مهندسی اجتماعی نیازی به اطلاعات فنی تخصصی ندارند و لازم نیست که یک متخصص رایانه و یک هکر حرفهای به شما حمله کند، بلکه هر یک از افراد جامعه میتواند نقش یک مهاجم را ایفا کند، بنابراین باید همیشه نسبت به محیط اطراف آگاه بود.
مهمترین منبع اطلاعاتی مهاجمان در حملات مهندسی اجتماعی مطالبی است که در مورد افراد در منابعی نظیر اینترنت قرار دارد و به سادگی قابل دسترس است. به ویژه اطلاعاتی که خود فرد در شبکههای اجتماعی منتشر میکند. در صورتی که افراد با مطالب شخصی خود آگاهانه رفتار کرده و آنها را در معرض دید عموم قرار ندهند، امکان استفاده از این اطلاعات در حملات مهندسی اجتماعی نیز کاهش خواهد یافت.
نکته مهمی که برای مقابله با حملات مهندسی اجتماعی باید به آن توجه داشت، شناخت اطلاعات ارزشمند و داشتههای فردی و سازمانی است. در صورتی که هر فرد بداند کدام یک از اطلاعات وی میتواند چه ارزشی برای مهاجمان داشته باشد، در زمان ارائه این اطلاعات به دیگران با احتیاط بیشتری عمل کرده و در نتیجه احتمال موفقیت حملات مهندسی اجتماعی کاهش مییابد.
سادهترین و کارآمدترین راهکار برای مقابله با حملات مهندسی اجتماعی، آموزش افراد و افزایش آگاهی آنهاست. در صورتی که تکتک افراد نسبت به محیط خود آگاهی داشته باشند، در لحظات حساس به درستی و بر اساس اصول تصمیمگیری کنند و فریب وسوسههای مهاجمان را نخورند، دیگر هیچ حمله مهندسی اجتماعی موفقی رخ نمیدهد.