مهندسی اجتماعی یکی از خطرناک ترین تکنیک های هک است که توسط مجرمان سایبری به کار گرفته می شود، عمدتا به این دلیل که به جای آسیب پذیری های فنی، به خطای انسانی متکی است. این امر این حملات را خطرناک تر می کند زیرا فریب دادن یک انسان بسیار آسان تر از نقض یک سیستم امنیتی است و واضح است که هکرها این را می دانند: بر اساس گزارش تحقیقات نقض داده های Verizon در سال 2023، 74 درصد از کل نقض داده ها شامل نوعی تعامل انسانی است و چیزی بین 75 تا 91 درصد از حملات سایبری هدفمند با یک ایمیل شروع می شود.
در سال 2023، تاکتیک های مهندسی اجتماعی یک روش کلیدی برای به دست آوردن داده ها و اعتبار کارکنان بود. در سال های اخیر، حملات مهندسی اجتماعی به دلیل پیشرفت های تکنولوژیکی مانند دیپ فیک و هوش مصنوعی مولد پیچیده تر و مضرتر شده است. شناسایی حملات دشوارتر می شود و شرکت های امنیت سایبری مجبور می شوند به سرعت سیستم های خود را بهبود بخشند.

انواع متداول مهندسی اجتماعی:

فیشینگ: مجرمان از طریق ایمیل، متن یا رسانه های اجتماعی پیام ارسال می کنند و وانمود می کنند که منبع معتبری هستند با هدف اینکه افراد را وادار به افشای اطلاعات و داده های حساس مانند اطلاعات حساب بانکی، شماره های تامین اجتماعی و رمزهای عبور کنند.

فیشینگ نیزه ای: در فیشینگ نیزه ای، مهاجمان ایمیل های هدفمند را برای افراد خاصی ارسال می کنند. مردم تمایل دارند به کسانی که به خوبی می شناسند اعتماد کنند. به عنوان مثال، یک کارمند یک شرکت ممکن است ایمیلی از رئیس خود دریافت کند که می گوید ترفیع گرفته است. اگر گیرنده ایمیل را باز کند، احتمالا روی پیوندی در پیام کلیک می کند. این می تواند او را به یک وب سایت فیشینگ حاوی بدافزار هدایت کند یا او را فریب دهد تا اطلاعات شخصی خود را ارائه دهد.

جعل: شبیه فیشینگ، اما مهاجم یک آدرس ایمیل یا حتی یک وب سایت کامل را برای فریب افراد “جعل” می کند. به عنوان مثال، آنها ممکن است یک حرف را در یک ایمیل تغییر دهند و یک صفحه فرود ایجاد کنند که تقریبا مشابه نسخه اصلی باشد.

صید نهنگ: یک حمله فیشینگ بسیار استراتژیک که شخصا مدیران و افسران عالی رتبه در یک شرکت را با هدف دسترسی به اطلاعات فوق العاده حساس یا ارسال مبالغ هنگفتی هدف قرار می دهد.

طعمه: کلاهبرداران افراد را فریب می دهند تا روی تبلیغات جعلی با پیشنهادات و تبلیغات جذاب مانند محصولات و تخفیف های رایگان کلیک کنند. این پیوندها ممکن است بدافزار را روی دستگاه نصب کنند یا از افراد بخواهند اطلاعات شخصی خود را وارد کنند.

بهانه سازی :بهانه سازی نوع دیگری از حمله است که اطلاعات مربوط به شبکه ها و سیستم ها را جمع آوری می کند. در بهانه گیری، مهاجمان خود را به عنوان کسی معرفی می کنند که به سیستمی که می خواهند به آن نفوذ کنند دسترسی دارد. آنها وانمود می کنند که برای چیزی به کمک نیاز دارند، سپس اطلاعاتی در مورد شبکه می خواهند. به عنوان مثال، اگر آنها می خواستند در مورد اقدامات امنیتی موجود در یک شرکت خاص اطلاعات بیشتری کسب کنند، با بخش فناوری اطلاعات تماس می گرفتند و خود را به عنوان مشتری معرفی می کردند.

:references

https://www.embroker.com

https://www.extnoc.com