مطالعه ای بر روانشناسی حملات سایبری مبتنی بر مهندسی اجتماعی و تدابیر مقابله موجود

آخرین به روز رسانی: 09/08/1404
مشاهده این خبر 110 دقیقه زمان لازم دارد

در حال حاضر، دنیای دیجیتال با سرعتی نمایی در حال رشد است. مردم اینترنت را به عنوان روشی جدید برای ارتباط، تجارت، دانش و سرگرمی پذیرفته اند. با این حال، این تغییر پارادایم نگرانی های جدی در مورد امنیت و حریم خصوصی آنلاین کاربران به همراه دارد. با وجود تدابیر امنیتی سخت گیرانه، تعداد زیادی از حملات اینترنتی با بهره برداری از آسیب پذیری های طراحی برنامه ها، کلاهبرداری یا روش های فنی پیشرفته انجام می شود.

 در میان این روش های حمله، کلاهبرداری حتی قبل از وجود کامپیوترها و اینترنت وجود داشته است. از نظر امنیت سایبری، کلاهبرداری یا فیشینگ به عنوان حملات مهندسی اجتماعی (SE) طبقه بندی می شوند. حملات هایی که در آن ها از آسیب پذیری های انسانی بهره برداری می شود، به عنوان حملات SE شناخته می شوند. حملات SE با بهره برداری از آسیب پذیری های انسانی، مانند فریب، اقناع، دستکاری یا تأثیرگذاری انجام می شود.

این آسیب پذیری ها برای دستیابی به اطلاعات محرمانه، دسترسی غیرمجاز، آگاهی از تدابیر امنیتی سایبری، روش های هک و غیره مورد بهره برداری قرار می گیرند. نگرانی اصلی برای کارشناسان امنیت در مقابله با حملات مبتنی بر SE، عدم وجود الگو یا روش شناسی خاص است. در برخی موارد، حتی هدف نیز از اینکه در حال دستکاری یا تأثیرگذاری توسط مرتکب است، بی خبر است. به دلیل چنین ویژگی های مبهم حملات مبتنی بر SE، تدابیر مقابله ای موجود نمی توانند این حملات را متوقف کنند. اخیراً، چندین نقض امنیتی بزرگ انجام شده است که عامل انسانی آسیب پذیر را هدف قرار داده است.

با وجود پیشرفت های فناوری، انسان ها نقشی اساسی در عملکرد سازمان ها ایفا می کنند. این عنصر انسانی در زنجیره امنیت سازمانی به طور اجتناب ناپذیری هدف قرار گرفته و توسط هکرها مورد بهره برداری قرار می گیرد. شکل 1 برخی از رایج ترین ابزارها و جریان پایه حملات سایبری مبتنی بر SE را نشان می دهد.

حملات مهندسی اجتماعی

در دو سال گذشته، مهم ترین وسایل مورد استفاده برای انجام حملات مهندسی اجتماعی، رسانه های اجتماعی و حملات اسمیشینگ بودند. اکثریت حملات سایبری مبتنی بر مهندسی اجتماعی به تعاملات واقعی میان مهاجم و قربانی وابسته اند. در برخی موارد، حملات مهندسی اجتماعی می توانند شامل یک تماس تلفنی ساده باشند، که در آن فردی خود را به عنوان یک کارمند معرفی کرده و اطلاعاتی مانند رمز عبور یا کد PIN را جمع آوری می کند. در سال 2020، آمریکایی ها تقریباً 29.8 میلیارد دلار در نتیجه کلاهبرداری های تلفنی از دست دادند.

جدول 1 نمای کلی از حملات مبتنی بر روش های مهندسی اجتماعی ارائه می دهد. حملات برجسته در جدول 1 برخی از مهم ترین نقض های امنیتی در سال های اخیر هستند. این نقض ها به دلیل ترکیبی از خطاهای انسانی و حملات مهندسی اجتماعی رخ داده اند. بر اساس جدول 1، می توان دید که خطای انسانی می تواند نقش کلیدی در انجام حملات مهندسی اجتماعی ایفا کند. برای انجام حملات مهندسی اجتماعی، هکرها حتی می توانند قربانی را به ارتکاب یک اشتباه ترغیب کنند.

روش های متداول استفاده شده برای تأثیرگذاری بر اهداف، در ادامه مقاله مورد بحث قرار می گیرند. علاوه بر هزینه های مالی، نقض های داده ای می توانند منجر به از دست دادن مشتریان به دلیل نگرانی های امنیتی شوند. این حملات بسیار تأثیرگذار و آسان برای انجام هستند. بر اساس مطالعات انجام شده برای این کار و همچنین درک ما، تدابیر مقابله ای برای حملات مبتنی بر مهندسی اجتماعی فاقد درک کافی از رفتار انسان هستند. تعداد کمی از آثار منتشرشده به ارتباط میان آسیب پذیری های انسانی و حملات مهندسی اجتماعی پرداخته اند.

این مطالعه دانش موجود در زمینه آسیب پذیری های رفتاری انسانی و چگونگی بهره برداری هکرها از آن ها را بیشتر می کند. پس از برجسته کردن اهمیت و تأثیر حملات سایبری مبتنی بر مهندسی اجتماعی، باقی مقاله به شرح زیر سازمان دهی شده است. بخش 2 نمای کلی از حملات معروف مبتنی بر مهندسی اجتماعی و نحوه انجام آن ها ارائه می دهد. بخش 3 دیدگاهی در مورد احساسات یا خطاهای انسانی معمولی که می توانند برای انجام حملات مهندسی اجتماعی مورد بهره برداری قرار گیرند، ارائه می دهد.

این بخش همچنین وضعیت فعلی و نگرانی ها در مورد یادگیری ماشین (ML) و تدابیر مقابله ای موجود در برابر حملات سایبری مبتنی بر مهندسی اجتماعی را مطرح می کند.

جست وجوی در سطل زباله (Dumpster Diving)

حمله جست وجوی در سطل زباله روشی کم تکنولوژیک است که برای به دست آوردن اطلاعات هدف مورد استفاده قرار می گیرد. این فرایند شامل جست وجو در زباله ها و یافتن اسناد پاره شده، رسیدها و دیگر انواع کاغذهایی است که ممکن است اطلاعاتی درباره هدف در خود داشته باشند. فردی ممکن است تکه ای کاغذ را دور بیندازد که حاوی اطلاعاتی مانند رمز عبور، فیش حقوقی، صورتحساب، اطلاعات کارت اعتباری یا هر چیزی که حاوی اطلاعات حیاتی باشد، باشد.

چنین اطلاعاتی می تواند به هکرها در انجام حملات مهندسی اجتماعی کمک کند. جست وجوی در سطل زباله همچنین یکی از رایج ترین روش های سرقت هویت است. معمولاً این اسناد یا کاغذها پاره شده و به زباله انداخته می شوند. یک مهاجم بدخواه می تواند از طریق جست وجو در سطل زباله اطلاعاتی را جمع آوری کرده و از آن ها برای انجام حملات مبتنی بر مهندسی اجتماعی استفاده کند.

اسکرویر (Scareware)

اسکرویر را می توان به عنوان نوعی حمله مهندسی اجتماعی تعریف کرد که بر پایه احساسات انسانی، مانند اضطراب، شوک، دستکاری و غیره استوار است. این حمله از احساسات انسانی برای دستکاری کاربر به نصب نرم افزارهای مخرب استفاده می کند. پس از کلیک کردن هدف بر روی پاپ آپ، او با اطلاعات نادرست هدف قرار می گیرد. هدف از این اطلاعات نادرست، تحت تأثیر قرار دادن هدف است تا اقدامی از روی وحشت انجام دهد. این اقدام ممکن است درخواست اطلاعات حساس از هدف یا خرید محصولی برای حل مشکل جعلی باشد.

در حمله اسکرویر، هکر تنها نیاز دارد تا قربانی را متقاعد به کلیک بر روی یک لینک کند. برای این متقاعدسازی، مهاجم می تواند از تکنیک های متعددی استفاده کند تا قربانی را به نصب بدافزار اسکرویر وادار کند. رابط گرافیکی اسکرویر به طور قابل توجهی بخشی جدایی ناپذیر از فریب دادن قربانیان است. نمایش بصری اسکرویر (مانند پاپ آپ یا گزارش اسکن) به طور ماهرانه ای یک اپلیکیشن معتبر و قابل اعتماد را نشان می دهد. اکثر انواع بدافزارهای اسکرویر از طرح های رنگی، سبک های فونت و آرم هایی استفاده می کنند که مشابه برندهای معروف نرم افزارهای آنتی ویروس یا محصولات نرم افزاری هستند، مانند مایکروسافت، آنتی ویروس نورتون و غیره .

 حمله چاه آب (Water Hole)

حمله چاه آب یا آبشخور یک حمله مهندسی اجتماعی است که از روش شکار شکارچیان در جنگل الهام گرفته شده است. در دنیای واقعی، شکارچیان در جنگل نزدیک به یک آبشخور منتظر می مانند تا به شکار خود حمله کنند. شکل 5 نمای کلی از نحوه انجام معمول این نوع حمله را ارائه می دهد .

در مرحله اول، مهاجم سازمان هدف را شناسایی کرده و سپس از نظرسنجی ها و سایر روش ها برای شناسایی عادات مرورگری کارکنان استفاده می کند. بر اساس این اطلاعات، هکرها وب سایت هایی را که به طور مکرر توسط کارکنان بازدید می شوند شناسایی می کنند. در مرحله دوم، مهاجم وب سایت معتبر را مورد نفوذ قرار می دهد. نفوذ به یک سایت امن ممکن است تقریباً غیرممکن باشد، بنابراین هکرها باید وب سایتی را شناسایی کنند که قابل نفوذ باشد (وب سایتی که کارکنان به طور مکرر از آن بازدید می کنند).

در مرحله سوم، هکرها کارمند را از وب سایت اصلی به یک وب سایت مخرب هدایت می کنند. این وب سایت مخرب تلاش می کند آسیب پذیری های سیستم قربانی را شناسایی کند. برای شناسایی این آسیب پذیری ها، هکرها از روش های مختلفی مانند اثر انگشت سیستم عامل، تجزیه و تحلیل رشته کاربر-عامل و غیره استفاده می کنند. در مرحله چهارم، هکر آسیب پذیری شناسایی شده را مورد بهره برداری قرار می دهد. پس از نفوذ به سیستم، مهاجم می تواند حمله را با آلوده کردن سایر سیستم ها در شبکه گسترش دهد و به هدف خود برسد.

مهندسی اجتماعی معکوس (Reverse Social Engineering)

حملات مهندسی اجتماعی معکوس از ساده ترین، اما در عین حال مؤثرترین روش های حمله در حملات مهندسی اجتماعی هستند. این حملات در دو مرحله انجام می شوند. ابتدا، عامل مخرب برای هدف یک مشکل ایجاد می کند. ایده اصلی پشت ایجاد این مشکل، آغاز یک تعامل با هدف است.

سپس، عامل مخرب با راه حل آن مشکل به قربانی نزدیک می شود. به عنوان مثال، مهاجم یک هدف بالقوه را در یک سازمان شناسایی کرده و عمداً مشکلی مرتبط با بخش فناوری اطلاعات (IT) ایجاد می کند. پس از آن، مهاجم خود را به عنوان فردی از بخش IT یا یک شخص خیرخواه معرفی کرده و کمک پیشنهاد می دهد. این اقدامات برای جلب اعتماد هدف استفاده می شود. با گذشت زمان، عامل مخرب اعتماد بیشتری کسب کرده و از این اعتماد برای به دست آوردن اطلاعات حساس یا دستکاری قربانی استفاده می کند. حملات مهندسی اجتماعی معکوس حملات بسیار رایجی در سطح سازمانی هستند.

دیپ فیک (Deepfake)

دیپ فیک تکنیک جدید و بسیار متقاعدکننده ای است که برای انجام حملات مهندسی اجتماعی استفاده می شود. مجرمان سایبری از دیپ فیک برای جعل تصاویر، صداها و ویدئوها به منظور دستیابی به اهداف خاص استفاده می کنند. در امنیت سایبری، دیپ فیک به تهدیدی روزافزون تبدیل شده است. یکی از معروف ترین الگوریتم ها برای تولید محتوای دیپ فیک، شبکه های رقابتی مولد (GANs) هستند . GANها ترکیبی از دو شبکه عصبی مصنوعی (ANNs) هستند.

این شبکه های عصبی به نام های تشخیص دهنده و مولد شناخته می شوند. این شبکه ها با استفاده از مجموعه داده های بزرگ تصاویر، صداها و ویدئوهای واقعی آموزش داده می شوند. سپس، شبکه مولد محتویات دیپ فیک را تولید کرده و شبکه تشخیص دهنده تلاش می کند اصالت محتوای تولیدی را تشخیص دهد. چرخه تولید محتوای دیپ فیک ادامه می یابد تا زمانی که شبکه تشخیص دهنده دیگر قادر به شناسایی محتوای جعلی به عنوان محتوای جعلی نباشد.

به دلیل این فرایند دقیق تولید و اعتبارسنجی، محتوای جعلی تولید شده توسط GAN بسیار دشوار است که به عنوان جعلی شناسایی شود. شکل 6 نمای کلی از فرایند ایجاد محتوای دیپ فیک را نشان می دهد. در شکل 6، می توان دید که از دو صورت مختلف، یعنی صورت A و صورت B، برای آموزش یک شبکه استفاده می شود. سپس شبکه برای تولید صورت A با عبارات یا صدای صورت B به کار می رود.

در این حمله، از صدای دیپ فیک برای کلاهبرداری از مدیرعامل شرکت استفاده شد. علاوه بر کلاهبرداری، دیپ فیک در چندین فعالیت مجرمانه دیگر نیز مورد استفاده قرار گرفته است، از جمله: اخاذی، آسیب به اعتبار، اخبار جعلی، اطلاعات نادرست، پانیک جمعی و غیره.

روش های تأثیرگذاری

برای آغاز یک حمله مهندسی اجتماعی، مهاجم نیاز به نوعی تأثیرگذاری بر هدف دارد. این بخش به بررسی روش های مختلف تأثیرگذاری و نفوذ بر قربانی می پردازد. جنبه های برجسته رفتاری انسانی که برای آغاز یک حمله مهندسی اجتماعی مورد استفاده قرار می گیرند شامل تأثیر اجتماعی، اقناع، نگرش و رفتار، اعتماد، کلاهبرداری، تصمیم گیری، احساسات، زبان، استدلال و غیره هستند.

این جنبه های رفتاری در حملات سایبری مبتنی بر مهندسی اجتماعی نیز به کار می روند. بر اساس ویژگی های قربانی، مهاجمان از آسیب پذیری های انسانی مناسب ترین بهره برداری را می کنند. همچنین مهاجمان می توانند در مراحل مختلف یک حمله از چندین آسیب پذیری استفاده کنند.

تأثیر اجتماعی

تأثیر اجتماعی شامل تلاش های عمدی و غیرعمدی برای تغییر رفتار یا نگرش فرد دیگری است. معمولاً تأثیر اجتماعی از طریق پردازش حاشیه ای عمل می کند. در این رویکرد، قربانی ممکن است از تلاش مهاجم برای تأثیرگذاری آگاه نباشد. به طور کلی، تأثیرات اجتماعی به سه نوع تقسیم می شوند: مفید، بیان گرانه، و اطلاعاتی .

تأثیر اطلاعاتی به تأثیر فردی بر یک گروه خاص اشاره دارد. به عنوان مثال، در هنگام خرید، یکی از اعضای گروه پیشنهاد می کند که چه چیزی خریداری شود بر اساس اطلاعات “تجربه” قبلی. تأثیر مفید به تأثیرگذاری بر فرد یا گروهی اشاره دارد که بر اساس پاداش یا چیزی مشابه باشد. تأثیر بیان گرانه تأثیر ناشی از علایق یا باورها است. برای مثال، در شبکه های اجتماعی، افراد گروه هایی را بر اساس علایق و سرگرمی های خود می سازند.

اقناع

مهندسی اجتماعی بر روش های اقناع برای دستکاری قربانیان به منظور انجام اقدامات خاص یا فاش کردن اطلاعات محرمانه تکیه دارد. اقناع یک روش شناخته شده است که در حوزه های مختلفی مانند فروش، بازاریابی، بیمه و غیره استفاده می شود. طبق نظر رابرت سیالدینی، شش اصل اصلی برای اقناع وجود دارد: متقابلیت، تعهد و سازگاری، اثبات اجتماعی، اقتدار، دوست داشتن و کمبود.

متقابلیت به رفتاری اشاره دارد که در آن فردی به لطف و محبت دیگران با محبت پاسخ می دهد. به عنوان مثال، اگر یکی از همکاران برای شما ناهار بخرد، شما احساس خواهید کرد که باید دفعه بعد ناهار را برای او خریداری کنید. تعهد و سازگاری به تمایل فرد به پایبندی به رفتارهای پیشین اشاره دارد. این رفتارها می توانند شامل ارزش های اخلاقی، موسیقی، غذاهای مورد علاقه و غیره باشند. اثبات اجتماعی به فشار گروهی اشاره دارد. این به اعمال عمدی یا غیرعمدی انجام کاری که همه دیگران انجام می دهند، اطلاق می شود؛ مثلاً اگر گروهی از مردم از پنجره نگاه کنند، هر فردی که آن ها را ببیند، نیز نگاه خواهد کرد.

اصل دوست داشتن به سادگی به موافقت با افرادی اشاره دارد که ما دوست داریم. به طور مشابه، اصل اقتدار به تمایل یا گرایش افراد برای پیروی از مقامات اشاره دارد. اصل کمبود به روشی برای اقناع با استفاده از محدودیت های زمانی اشاره دارد. به عنوان مثال، فروش های محدود به زمان برای متقاعد کردن خریداران بالقوه به خرید محصولات قبل از تمام شدن زمان یا افزایش قیمت محصول استفاده می شود. این شش اصل نقش کلیدی در حملات مهندسی اجتماعی دارند که به اقناع وابسته هستند.

نگرش و رفتار

نظریه رفتار برنامه ریزی شده (TPB) یک مدل روانشناختی است که برای پیش بینی رفتار استفاده می شود. “نگرش نسبت به رفتار” عواملی را که انگیزه فرد را تعریف می کنند، یعنی تلاشی که فرد آماده است برای نشان دادن رفتار خاصی انجام دهد، تعیین می کند. به عنوان مثال، یک فرد در شبکه های اجتماعی ممکن است تمایلی به اشتراک گذاری اطلاعات شخصی نداشته باشد، اما ممکن است در فعالیت آنلاین ای شرکت کند که حریم خصوصی او در معرض خطرات قابل توجهی قرار گیرد.

“هنجارهای ذهنی” به رفتار فردی اشاره دارد که تحت تأثیر دایره اجتماعی او قرار دارد. یک شخص ممکن است رفتار خود را برای هم راستایی با گروهی خاص تطبیق دهد. “کنترل ادراک شده رفتار” سطح کنترلی را که فرد بر رفتار خاصی دارد، نشان می دهد.

این سه شاخه از TPB می توانند برای ترغیب یک قربانی به فاش کردن اطلاعات بر اساس محرک های رفتاری استفاده شوند.

 اعتماد و فریب

در شبکه های اجتماعی و محیط های شبکه سازی مجازی، کاربران سطوح مختلفی از اعتماد را بر اساس تعاملات خود در این پلتفرم ها نشان می دهند. هرچه تعاملات در این پلتفرم ها بیشتر باشد، سطح اعتماد به آن ها نیز بالاتر خواهد بود. این سطح از تعامل می تواند به روش های مختلفی اندازه گیری شود، مانند تعداد دوستان یا ارتباطات، پست ها، گروه های دنبال شده و غیره. کاربران که سطح بالایی از تعامل اجتماعی یا شبکه مجازی را نشان می دهند، بیشتر در معرض حملات مهندسی اجتماعی قرار دارند.

مطالب پرطرفدار سایت:

  1. طاهری: در چندماه اخیر به سایت‌های زیادی حملات سایبری شده است
  2. پشت صحنه حملات سایبری – باراناخبر
  3. آمریکا درباره حملات سایبری به سیستم‌های آب هشدار داد
  4. ایران آمادگی خوبی برای مقابله حملات احتمالی آمریکا و «اسرائیل» دارد
دسته بندی خبرهای باراناخبر
آخرین به روز رسانی: 09/08/1404
مشاهده این خبر 110 دقیقه زمان لازم دارد
دکمه بازگشت به بالا