اهمیت مهندسی اجتماعی ، راه های شناخت و مقابله با آن
مقدمه
امروزه اطلاعات یکی از مهم ترین و ارزشمنمد ترین دارایی هر انسان است که به صورت خیلی گسترده میتواند در زندگی انسان تاثیر گذار باشد. اهمیت این موضوع به گونه ای است که برای دستیابی به هر گونه اطلاعات ارزشمندی، افراد سودجو حاضر به انجام هر کاری هستند. در کنار دنیای سایبری یک مفهوم بسیار مهمی با نام مهندسی اجتماعی به وجود آمده است که همانند امنیت سایبری میتواند حائز اهمیت باشد.
مهندسی اجتماعی
تا حالا، آیا این اتفاق برای شما افتاده است که به صورت ناخواسته و سهوا اطلاعات ارزشمندی را به کسی انتقال دهید؟ طریقه انتقال آن زیاد مهم نیست ولی عمل انتقال آن میتواند ماهیت امنیت را به طرز بسیار جدی به چالش بکشد. در مهندسی اجتماعی، افراد ماهر در مکالمه و گفتگو به شیوه بسیار ماهرانه ای با هدف (انسان) خود وارد رابطه و گفتگو میشوند. آنها در مدت زمان کوتاهی با شیوه ها و روش های متعددی به طور کاملا عادی اطلاعات ارزشمندی که به دنبالش هستند را از هدف خود استخراج میکنند.
برای مثال ممکن است شخصی با ظاهری کاملا آراسته وارد بانک شود و با یکی از کارمندان بانک گفتگویی را آغاز بکند و خود را به عنوان یکی از خویشاوندان نزدیک رئیس بانک جا بزند و پس از مدت بسیار کوتاهی سوالاتی را در خصوص شخص رئیس بانک بپرسد. در یک مثال دیگر ممکن است با تلفن شما تماس بگیرند و خود را از طرف ارگان ها و سازمان هایی مانند صدا و سیما، رادیو، بانک ها و دیگر ارگان ها جا بزنند و به شما بگویند که برنده یک جایزه چندین میلیونی شدید و برای اینکه این هزینه را بتوانیم انتقال بدهیم شماره کارت بانکی خود را بخواهند.
خطرات مهندسی اجتماعی
مهندسی اجتماعی در جایگاه خود به قدری مهم است که در ارگان ها و سازمان ها، کلاس های آموزشی و تمرینی برای کارکنان خود برگزار میکنند تا در خصوص حفظ حریم اطلاعات خصوصی خود و سازمان کوشا باشند. در این خصوص حتی کتاب هایی نظیر Social Engineering: The art of human hacking منتشر گردیده است که معرفی آن در این مقاله خالی از لطف نیست. خطرات مهندسی اجتماعی را میتوان به دسته های زیر تقسیم بندی کرد:
- افشاء اطلاعات خصوصی کارکنان و مدیران ارشد ارگان ها و سازمان ها
- افشاء اطلاعات عمومی و محرمانه ارگان ها و سازمان ها
- افشاء اطلاعات غیر مهم ارگان ها و سازمان ها
لازم به ذکر است که هرگونه اطلاعات مهم، عمومی، ساده و یا پیش پا افتاده ای برای افراد سودجو میتواند آنها را یک قدم به هدف خود نزدیک کند. ولی در خصوص مقابله با چنین حملاتی باید چه اقداماتی انجام داد؟
مقابله با مهندسی اجتماعی
یکی از راحت ترین اقداماتی که میتوان در این خصوص انجام داد توجه به این نکته است که همیشه ( مراقب این موضوع باشیم که با چه کسانی در حال گفتگو هستیم و آیا موضوعی که در حال گفتگوی آن هستیم چه اهمیتی برای شخص مقابل دارد؟ ) اگر روزانه طی گفتگو های خود با افراد متعدد به این موضوع توجه داشته باشیم، از افشاء طیف وسیعی از اطلاعات به صورت عمدا و سهوا جلوگیری خواهیم کرد.
یکی دیگر از راه حل های مقابله با مهندسی اجتماعی که در بالا به آن اشاره نمودیم ایجاد کلاس های آموزشی برای کارکنان و کارمندان شرکت ها و سازمان ها میباشد. در این کلاس ها به موضوعات مختلفی جهت آگاه سازی و ارتقاء دانش افراد در مهندسی اجتماعی پرداخته میشود.
چرا باید به مهندسی اجتماعی توجه کرد ؟
خیلی از هکر ها و افراد سودجو برای آسیب رسانی و اقدامات جرایم سایبری علیه سازمان های دولتی و یا بزرگ، به صورت برنامه ریزی شده شروع به جمع آوری هرگونه اطلاعات از آن سازمان ها مینمایند. ممکن است آنها به صورت خیلی عادی و یا در پوشش یک شخص معتمد وارد شوند و به گونه ای خیلی حرفه ای شروع به فعالیت نمایند.
جمع بندی
مهندسی اجتماعی یک تهدید جدی برای امنیت اطلاعات است. این روش شامل فریب و دستکاری افراد برای افشای اطلاعات حساس یا انجام اقداماتی است که به نفع مهاجم است. خطرات مهندسی اجتماعی شامل افشای اطلاعات خصوصی، عمومی و محرمانه، سرقت اطلاعات مالی، و آسیب به شهرت افراد و سازمان ها است.
برای مقابله با مهندسی اجتماعی، باید به نکات زیر توجه کرد:
- مراقب باشید با چه کسانی گفتگو میکنید و چه اطلاعاتی را به اشتراک میگذارید.
- به تماسها، ایمیلها و پیامهای مشکوک با دیده تردید نگاه کنید.
- در مورد مهندسی اجتماعی آموزش ببینید و آگاهی خود را در این زمینه افزایش دهید.
- از سیاستها و روشهای امنیتی مناسب برای محافظت از اطلاعات خود استفاده کنید.
در مورد مرکز عملیات امنیت چه میدانید؟