قسمت 1 (به دلیل حجم مقاله به چند قسمت تقسیم شده است. به محض اینکه 50 بازدید کردم، دومی را ارسال می کنم).

بسیاری از هکرهای واقعی که دائماً درگیر هک هستند، همیشه چند ترفند SI در انبار دارند، زیرا در جایی که یافتن یک آسیب‌پذیری در کد غیرممکن است، اغلب می‌توان آن را در ذهن خدمات پشتیبانی یا صاحب یک e. -پست، ICQ یا وب سایت...

از تئوری تا عمل
شما قبلاً در یکی از شماره های قبلی مجله مورد علاقه خود خوانده اید که مهندسی اجتماعی چیست، بنابراین می توانیم با اطمینان بگوییم که سخت افزار با موفقیت تسلط یافته است. اکنون پیشنهاد می کنم یک سواری تمرینی داشته باشید.

مهندسان اجتماعی افرادی بسیار خوشایند هستند که می توان با آنها صحبت کرد: با فرهنگ، دوستانه، با حس شوخ طبعی. آنها ذهنی فوق العاده انعطاف پذیر، تفکر نوآورانه و ایده های زیادی در مورد چگونگی دستیابی موثرتر به اهداف خود دارند. برای تهیه مطالب به آنها کمک کردم. مشاوران ما خواهند بود: GoodGod - خالق یکی از محبوب ترین پروژه های روسی زبان در مورد مهندسی اجتماعی socialware.ru. آیومی (spylabs.org); ایوان یکی دیگر از استادان هک است مغز انسان، که می خواست ناشناس بماند.

برو!

ربودن شماره ICQ (بدون ایمیل اولیه)
برای ربودن ICQ به موارد زیر نیاز دارید:

• لیستی از دامنه ها با ایمیل های ثبت شده در آنها (نحوه دریافت آنها - در شماره دسامبر ][ برای سال 2009، ویدیوی "ربایش دسته جمعی دامنه ها" از GoodGod بخوانید).
• شماره ICQ که از آن حمله اولیه رخ خواهد داد.
• شماره ICQ صادر شده تحت متخصص سئو(با اطلاعات و جزئیات مربوطه در اطلاعات).

اگر نمی‌خواهید فوراً با هم آشنا شوید، این گفتگو را برای مدتی متوقف کنید، زیرا اگر خیلی فشار دهید، ممکن است اثر معکوس باشد. بهتر است کمی بعد به بهانه ای دیگر به این موضوع برگردیم.

به هر حال، اگر قربانی به طور طبیعی خجالتی است، او را مجبور به برقراری ارتباط با یک غریبه نمی کنید، بنابراین مجبور خواهید بود که به «دلال بازی» بپردازید تا آشنایی انجام شود. و بنابراین، مشتری به یک دوست SEO (یعنی به شما) مراجعه می کند. بی اعتمادی سالم را در ابتدا با پرسیدن سوالاتی مانند «از کجا در مورد پروژه شنیدید؟ از ساشا؟ آهان ساشا... آره یادمه. خوب، حالا اصل کار را به شما می گویم.» بعد، در مورد پروژه جستجوی ICQ، ارتقاء وب سایت به ما بگویید، گزینه های پرداخت را شرح دهید (200 روبل در روز یا 1400 در هفته - به او اجازه دهید گزینه ای را که برای او مناسب است انتخاب کند). توجه "مشتری" را به طور مداوم بر روی جزئیات واقعی متمرکز کنید، بنابراین او را از افکار غیر ضروری منحرف خواهید کرد. هر چه حمله شدیدتر و بیشتر باشد اطلاعات جدید، زمان کمتری برای فکر کردن در مورد آنچه اتفاق می افتد دارد. در نهایت، طرح کسب درآمد را شرح دهید: به او اجازه دهید از لیستی که در ابتدا آماده شده بود، سایتی را انتخاب کند، از طریق whois به ایمیلی که سایت به آن لینک شده است نگاه کند (اجازه دهید خودش این کار را انجام دهد) و آن را در "ایمیل" وارد کنید. ” در نمایه ICQ خود. حتما توضیح دهید که اگر همان ایمیل در ICQ و داده های دامنه نشان داده شده باشد، هر چه بیشتر ICQ در جستجو جستجو شود، رتبه سایت در موتور جستجو بالاتر خواهد بود. به محض اینکه قربانی اتصال را کامل کرد، رمز عبور را به ایمیل مشخص شده بازیابی می کنید و UIN متعلق به شماست!

اگر رمز عبور از طریق ایمیل دریافت نشود، به این معنی است که شماره از قبل یک ایمیل اصلی دارد و ربودن باید به روش دیگری سازماندهی شود.

هک ایمیل
پاسخ سوال مخفی را پیدا کنید
سوالات برای سرورهای پست الکترونیکی، به عنوان یک قاعده، کاملا مشابه هستند:

• نام دختر مادر;
• غذای مورد علاقه؛
• نام حیوان خانگی؛
• گذرنامه ID؛
• سوال شخصی (نام معلم اول، نمایه، فیلم مورد علاقه، مجری مورد علاقه).

چه طرح هایی کار می کنند؟ نام دختر مادر - موضوعی را در مورد شجره نامه شروع کنید یا اینکه مادر شما قبل از ازدواج چه نام خانوادگی خنده داری داشته است. غذای مورد علاقه - اینجا همه چیز واضح است. نام حیوان - صحبت در مورد حیوانات خانگی: گذشته، حال و آینده، زیرا کلمه رمز می تواند نام اولین همستر اهدایی باشد. با شماره گذرنامه مشکل تر خواهد بود. در اینجا می توانید وسوسه شوید که یک محصول ارزان و کمیاب بخرید، به عنوان مثال، که با پرداخت هزینه در هنگام تحویل تحویل داده می شود، اما برای سفارش دادن به جزئیات پاسپورت و کد شناسایی. می توانید نام اولین معلم را از همکلاسی های قربانی بیابید یا مستقیماً در مورد معلمان مورد علاقه اش با او صحبت کنید. دریافت ایندکس با دانلود پایگاه داده شهر آسانتر است و به سادگی می توانید از قربانی در کدام منطقه زندگی می کند. نکته اصلی در اینجا نبوغ، تخیل و صبر است.

یک نکته کوچک اما مهم وجود دارد. گاهی اوقات، هنگامی که از "غذای مورد علاقه" پرسیده می شود، ممکن است پاسخ، برای مثال، یک شماره تلفن باشد، یعنی مغایرت کامل بین سوال و پاسخ. در اینجا باید صحبتی را در مورد ترکیب های مضحک و بی معنی بودن سؤالات امنیتی شروع کنید و سپس همه چیز را از اول شروع کنید، ترجیحاً با حساب دیگری.

تماس با پشتیبانی مشتری
این روش سخت‌تر و ترسناک‌تر است، اما اگر قربانی نمی‌خواهد "تزریق" کند، یا اگر جعبه "مرده" باشد، یعنی صاحب مدت طولانی از آن بازدید نکرده است، لازم است. برای انجام این کار، به صفحه پشتیبانی سرویس ایمیل مورد نظر بروید و نامه ای بنویسید تا رمز عبور سرقت شده را بازیابی کنید. به احتمال زیاد، نام، نام خانوادگی (یا اطلاعاتی که در هنگام ثبت نام مشخص شده است)، تاریخ تولد و تاریخ تقریبی ثبت جعبه (حداقل یک سال) از شما خواسته می شود. بنابراین، سعی کنید تا حد امکان اطلاعات بیشتری در مورد قربانی و جعبه او پیدا کنید. آنها به شما در این امر کمک خواهند کرد موتورهای جستجو, رسانه های اجتماعیو وبلاگ ها

فیشینگ
یکی از مهمترین راه های موثربه دست آوردن رمز عبور، و مالک حتی در مورد آن نمی داند. به قربانی پیوندی پیشنهاد می‌شود که دنبال کند و نام کاربری و رمز عبور خود را وارد کند. این داده ها به یک فایل گزارش، پایگاه داده (اگر سرقت گسترده باشد) یا ایمیل ارسال می شود. ترفند اصلی این است که قربانی را مجبور کنید روی این لینک کلیک کند. فرم می تواند هر چیزی باشد:

• یک پیام "از طرف مدیریت" (بخوانید: از یک سرویس پستی با آدرس جعلی) درباره هرزنامه از این صندوق پستی. مثال: «کاربر عزیز، (نام کاربری)! حساب شما شکایاتی در مورد هرزنامه دریافت کرده است و بنابراین مدیریت این حق را دارد که به طور موقت عملیات آن را تعلیق یا مسدود کند. کاملاً ممکن است که مهاجمان به آن دسترسی داشته باشند. برای تأیید مالکیت حساب خود، با استفاده از این پیوند (هیپرلینک به جعلی) مجدداً مجوز دهید. اگر ظرف مدت 5 روز تایید نشد، حساب ایمیل مسدود خواهد شد. با احترام، خدمات پشتیبانی (نام سرویس پست الکترونیکی)." بازی با ترس از دست دادن جعبه.
• با دانستن سرگرمی های قربانی، می توانید علاقه مند شوید. به عنوان مثال نامه ای با موضوع مورد علاقه که در آن فقط بخشی از اطلاعات پوشش داده شده است، بقیه با کلیک روی لینک پوشش داده می شود. این لینک به یک صفحه شبه ورود منتهی می شود و شما می توانید بقیه اطلاعات را تنها پس از ورود به سیستم بخوانید.

کشاورزی
همچنین اتفاق می افتد که قربانی به اندازه کافی باهوش (یا بی تفاوت) است که روی پیوندها کلیک نمی کند. در این مورد، برای دستکاری باید به استفاده از Trojans/joiners/scripts متوسل شوید فایل HOSTS، یا سرور DNS یا DHCP ارائه دهنده آن را هک کنید. در همان زمان، زمانی که کاربر برای بررسی ایمیل به سایت مراجعه می‌کند، یک تغییر مسیر دقیقاً به همان ایمیل اتفاق می‌افتد، فقط یک فیشینگ. کاربر بدون شک اطلاعات خود را وارد می کند و با استفاده از یک اسکریپت مجوز داخلی، وارد ایمیل "بومی" خود می شود و ورود و رمز عبور به ایمیل شما ارسال می شود. زیبایی این است که قربانی حتی نمی داند چه اتفاقی افتاده است.

مهندسی اجتماعی- روشی برای دسترسی به اطلاعات محرمانه، رمزهای عبور، بانکداری و سایر داده ها و سیستم های محافظت شده.
مجرمان سایبری از مهندسی اجتماعی برای انجام حملات هدفمند (حمله به زیرساخت های شرکت ها یا سازمان های دولتی) استفاده می کنند. آنها دفاعیات سازمان را از قبل به دقت مطالعه می کنند.

انتشار این مقاله در پورتال www.. نه سردبیران سایت و نه نویسنده مقاله مسئولیت استفاده نادرست از اطلاعات به دست آمده از مقاله را ندارند!

مهندسی اجتماعی

مهندسی اجتماعی خطرناک ترین و مخرب ترین نوع حمله به سازمان ها محسوب می شود. اما متاسفانه در کنفرانس ها در امنیت اطلاعاتاین موضوع عملاً مورد توجه قرار نمی گیرد.

در عین حال، بیشتر موارد در بخش روسی زبان اینترنت از منابع و کتاب های خارجی ارائه شده است. من نمی گویم که چنین مواردی در RuNet کم است، آنها فقط به دلایلی در مورد آنها صحبت نمی کنند. تصمیم گرفتم بفهمم مهندسی اجتماعی واقعا چقدر خطرناک است و تخمین بزنم که استفاده انبوه از آن چه پیامدهایی می تواند داشته باشد.

مهندسی اجتماعی در امنیت اطلاعات و پنستینگ معمولاً با یک حمله هدفمند به یک سازمان خاص همراه است. در این مجموعه از موارد، من می خواهم به چندین نمونه از استفاده از مهندسی اجتماعی نگاه کنم، زمانی که "حملات" به صورت انبوه (بی رویه) یا با هدف انبوه (بر سازمان ها در یک منطقه خاص) انجام می شد.

بیایید مفاهیم را تعریف کنیم تا همه متوجه منظور من شوند. در مقاله من از اصطلاح "مهندسی اجتماعی" به معنای زیر استفاده خواهم کرد: "مجموعه ای از روش ها برای دستیابی به یک هدف مبتنی بر استفاده از ضعف های انسانی". این همیشه چیزی مجرمانه نیست، اما قطعاً بار منفی دارد و با کلاهبرداری، دستکاری و مواردی از این دست همراه است. اما انواع ترفندهای روانشناختی برای تخفیف در فروشگاه مهندسی اجتماعی نیستند.

در این زمینه، من فقط به عنوان یک محقق عمل می کنم؛ هیچ سایت یا فایل مخربی ایجاد نکرده ام. اگر شخصی از من ایمیلی با پیوند به یک سایت دریافت کرد، آن سایت امن بود. بدترین چیزی که ممکن است در آنجا اتفاق بیفتد این است که کاربر توسط شمارنده Yandex.Metrica ردیابی شود.

نمونه هایی از مهندسی اجتماعی

احتمالاً در مورد هرزنامه هایی با "گواهینامه های انجام کار" یا قراردادهایی با تروجان های تعبیه شده در آنها شنیده اید. شما حسابداران را با چنین نامه هایی شگفت زده نخواهید کرد. یا پنجره های پاپ آپ با "توصیه ها" برای بارگیری یک افزونه برای تماشای فیلم - این در حال حاضر خسته کننده است. من چندین سناریوی کمتر بدیهی ایجاد کرده ام و آنها را در اینجا به عنوان خوراکی برای فکر ارائه می کنم. امیدوارم که آنها راهنمای عمل نشوند، بلکه برعکس، به ایمن تر شدن Runet کمک کنند.

فرستنده تایید شده

گاهی اوقات مدیران سایت، از طریق یک نظارت، فیلتر کردن فیلد "نام" را در فرم ثبت نام فعال نمی کنند (به عنوان مثال، هنگام عضویت در یک خبرنامه یا هنگام ارسال برنامه). به جای نام، می توانید متن (گاهی اوقات کیلوبایت متن) و پیوندی به یک سایت مخرب وارد کنید. در قسمت ایمیل، آدرس قربانی را وارد کنید. پس از ثبت نام، این شخص نامه ای از سرویس دریافت می کند: "سلام، عزیزم..." و سپس - متن و پیوند ما. پیام سرویس در پایین صفحه خواهد بود.

چگونه می توان این را به یک سلاح کشتار جمعی تبدیل کرد؟

ابتدایی. در اینجا یک مورد از تمرین من است. در دسامبر 2017، یکی از موتورهای جستجو توانایی ارسال پیام از طریق فرم پیوند ایمیل پشتیبان را کشف کرد. قبل از اینکه من گزارشی را تحت برنامه پاداش باگ ارسال کنم، امکان ارسال 150 هزار پیام در روز وجود داشت - فقط باید کمی فرم را خودکار کنید.

این ترفند به شما امکان می دهد ایمیل های جعلی را از یک آدرس پشتیبانی فنی وب سایت واقعی با همه ارسال کنید امضای دیجیتال، رمزگذاری و غیره. اما معلوم می شود که کل قسمت بالایی توسط یک مهاجم نوشته شده است. من هم چنین نامه هایی را نه تنها از شرکت های بزرگ مانند booking.com یا paypal.com، بلکه از سایت های کمتر معروف دریافت کردم.

و در اینجا "روند" آوریل 2018 است.

ایمیل های گوگل آنالیتیکس

من در مورد یک مورد کاملاً جدید به شما خواهم گفت - از آوریل 2018. از پست تجزیه و تحلیل ترافیک گوگلهرزنامه شروع به رسیدن به چندین آدرس من کرد. بعد از کمی تحقیق متوجه نحوه ارسال آن شدم.

"چگونه این را اعمال کنیم؟" - فکر کردم و این چیزی است که به ذهنم خطور کرد: یک کلاهبردار می تواند، برای مثال، چنین متنی بسازد.

این مجموعه از رمزهای عبور را می توان نه تنها هدفمند، بلکه به صورت انبوه نیز انجام داد؛ فقط باید فرآیند جمع آوری دامنه ها از Google Analytics و تجزیه ایمیل های این سایت ها را کمی خودکار کنید.

کنجکاوی

این روش برای واداشتن شخص به کلیک بر روی یک پیوند نیاز به آمادگی دارد. یک وب سایت برای یک شرکت جعلی با یک نام منحصر به فرد ایجاد می شود که بلافاصله جلب توجه می کند. خوب، به عنوان مثال، LLC "ZagibaliVigibali". ما منتظر موتورهای جستجو هستیم تا آن را فهرست کنند.

اکنون ما دلایلی برای ارسال تبریک از طرف این شرکت ارائه می دهیم. گیرندگان بلافاصله شروع به گوگل کردن آن می کنند و وب سایت ما را پیدا می کنند. البته، بهتر است که خود تبریک غیرعادی باشد تا گیرندگان نامه را در پوشه اسپم قرار ندهند. بعد از انجام یک تست کوچک، به راحتی بیش از هزار تبدیل به دست آوردم.

اشتراک خبرنامه جعلی

اونجا چی نوشته؟

برای فریب دادن افراد از برخی انجمن ها یا سایت ها با نظرات باز، نیازی به اختراع متون وسوسه انگیز ندارید - فقط یک عکس ارسال کنید. فقط چیزی جذاب تر (نوعی میم) انتخاب کنید و آن را فشار دهید تا تشخیص متن غیرممکن باشد. کنجکاوی همیشه باعث می شود که کاربران روی یک عکس کلیک کنند. در تحقیقاتم، آزمایشی انجام دادم و حدود 10 هزار انتقال به این روش ابتدایی به دست آوردم. زمانی از همین روش مخرب برای تحویل تروجان ها از طریق LJ (Live Journal) استفاده شد.

اسم شما چیست؟

واداشتن کاربر به باز کردن یک فایل یا حتی یک سند با ماکرو چندان دشوار نیست، حتی اگر بسیاری در مورد خطرات موجود شنیده باشند. هنگام ارسال پیام های انبوه، حتی دانستن نام یک فرد به طور جدی شانس موفقیت را افزایش می دهد.

به عنوان مثال، می توانیم ایمیلی با متن "آیا این ایمیل هنوز فعال است؟" ارسال کنیم. یا "لطفا آدرس وب سایت خود را بنویسید." در حداقل 10 تا 20 درصد موارد، پاسخ حاوی نام فرستنده خواهد بود (این مورد در شرکت های بزرگ رایج تر است). و بعد از مدتی می نویسیم "آلنا، سلام. چه مشکلی در وب سایت شما وجود دارد (عکس پیوست شده)؟» یا «بوریس، ظهر بخیر. من نمی توانم لیست قیمت را بفهمم. من به جایگاه 24 نیاز دارم. قیمت را ضمیمه می کنم." خوب، در لیست قیمت یک عبارت پیش پا افتاده وجود دارد "برای مشاهده محتویات، ماکروها را فعال کنید..."، با تمام عواقب بعدی.

به طور کلی، پیام‌هایی که شخصاً آدرس‌دهی می‌شوند، بیشتر باز شده و به ترتیب بزرگی پردازش می‌شوند.

هوش جمعی

این سناریو نه آنقدر که یک حمله است، بلکه آمادگی برای آن است. فرض کنید ما می خواهیم نام چند کارمند مهم را پیدا کنیم - به عنوان مثال، یک حسابدار یا رئیس سرویس امنیتی. اگر به یکی از کارمندانی که ممکن است این اطلاعات را داشته باشد نامه ای با محتوای زیر بفرستید، انجام این کار آسان است: «لطفاً نام و نام خانوادگی مدیر و برنامه کاری دفتر را به من بگویید. ما باید یک پیک بفرستیم."

ما برای پوشاندن چشم‌هایمان ساعت‌های کاری می‌خواهیم، ​​اما درخواست نام میانی ترفندی است که به ما امکان می‌دهد نام و نام خانوادگی خود را ندانیم. هر دو به احتمال زیاد در پاسخ قربانی وجود دارند: نام کامل اغلب به طور کامل نوشته می شود. در جریان تحقیقاتم توانستم نام بیش از دو هزار کارگردان را از این طریق جمع آوری کنم.

اگر می خواهید ایمیل رئیس خود را بدانید، می توانید با خیال راحت به منشی بنویسید: «سلام. من مدت زیادی است که با آندری بوریسوویچ صحبت نکرده ام، آیا آدرس او هنوز کار می کند؟ و بعد جوابی از او نگرفتم. رومن گنادیویچ." منشی ایمیلی را می بیند که بر اساس نام واقعی کارگردان و حاوی وب سایت شرکت ساخته شده است و آدرس واقعی آندری بوریسویچ را می دهد.

در این مقاله به مفهوم "مهندسی اجتماعی" خواهیم پرداخت. در اینجا به کلیات آن می پردازیم و همچنین با بنیانگذار این مفهوم آشنا می شویم. بیایید به طور جداگانه در مورد روش های اصلی مهندسی اجتماعی که توسط مهاجمان استفاده می شود صحبت کنیم.

معرفی

روش هایی که اصلاح رفتار انسان و مدیریت فعالیت های او را بدون استفاده از مجموعه ای از ابزارهای فنی ممکن می سازد مفهوم کلیمهندسی اجتماعی. همه روش ها بر این اساس استوار است که عامل انسانی مخرب ترین نقطه ضعف هر سیستمی است. غالبا این مفهومدر سطح فعالیت غیرقانونی در نظر گرفته می شوند که از طریق آن مجرم مرتکب عملی می شود که هدف آن به دست آوردن اطلاعات از سوژه قربانی از طریق غیر صادقانه است. به عنوان مثال می تواند باشد نوع خاصیدستکاری - اعمال نفوذ. با این حال، مهندسی اجتماعی نیز توسط انسان ها در فعالیت های مشروع استفاده می شود. امروزه بیشتر برای دسترسی به منابعی با اطلاعات طبقه بندی شده یا ارزشمند استفاده می شود.

موسس

بنیانگذار مهندسی اجتماعی کوین میتنیک است. با این حال، خود این مفهوم از جامعه شناسی به ما رسید. مجموعه ای کلی از رویکردهای مورد استفاده توسط رسانه های اجتماعی کاربردی را نشان می دهد. تمرکز علوم بر تغییر ساختار سازمانی است که قادر به تعیین رفتار انسان و اعمال کنترل بر آن است. کوین میتنیک را می توان پایه گذار این علم دانست، زیرا او بود که رسانه های اجتماعی را محبوب کرد. مهندسی در دهه اول قرن بیست و یکم خود کوین قبلاً یک هکر بود و طیف گسترده ای از پایگاه های داده را هدف قرار می داد. او استدلال کرد که عامل انسانی آسیب پذیرترین نقطه یک سیستم با هر سطح از پیچیدگی و سازمان است.

اگر در مورد روش های مهندسی اجتماعی به عنوان راهی برای به دست آوردن حقوق (معمولا غیرقانونی) برای استفاده از داده های محرمانه صحبت کنیم، می توان گفت که آنها برای مدت طولانی شناخته شده اند. با این حال، این K. Mitnik بود که توانست اهمیت معنی و ویژگی های کاربرد آنها را منتقل کند.

فیشینگ و پیوندهای موجود نیست

هر تکنیک مهندسی اجتماعی مبتنی بر وجود تحریفات شناختی است. خطاهای رفتاری تبدیل به یک "سلاح" در دستان یک مهندس ماهر می شود که در آینده می تواند حمله ای را با هدف به دست آوردن داده های مهم ایجاد کند. روش های مهندسی اجتماعی شامل فیشینگ و لینک های غیر موجود می باشد.

فیشینگ یک کلاهبرداری اینترنتی است که برای به دست آوردن اطلاعات شخصی، به عنوان مثال، ورود و رمز عبور طراحی شده است.

پیوند ناموجود - استفاده از پیوندی که گیرنده را با مزایای خاصی جذب می کند که می توان با کلیک بر روی آن و بازدید از یک سایت خاص به دست آورد. اغلب اسامی استفاده می شود شرکت های بزرگ، تنظیمات ظریفی در نام آنها ایجاد می کند. قربانی با کلیک بر روی پیوند، اطلاعات شخصی خود را "داوطلبانه" به مهاجم منتقل می کند.

روش های استفاده از مارک ها، آنتی ویروس های معیوب و قرعه کشی های تقلبی

مهندسی اجتماعی همچنین از روش های تقلب با استفاده از مارک های معروف، آنتی ویروس های معیوب و قرعه کشی های جعلی استفاده می کند.

«کلاهبرداری و برندها» یک روش فریب است که به بخش فیشینگ نیز تعلق دارد. این شامل ایمیل ها و وب سایت هایی می شود که حاوی نام یک شرکت بزرگ و/یا «تبلیغ شده» است. پیام هایی از صفحات آنها ارسال می شود که شما را از پیروزی شما در یک رقابت خاص مطلع می کند. در مرحله بعد باید داده های مهم را وارد کنید حسابو سرقت آنها همچنین این فرمکلاهبرداری را می توان از طریق تلفن انجام داد.

قرعه کشی جعلی روشی است که در آن پیامی با متنی مبنی بر برنده شدن در قرعه کشی به قربانی ارسال می شود. اغلب، این اعلان با استفاده از نام شرکت های بزرگ پنهان می شود.

آنتی ویروس های دروغین کلاهبرداری نرم افزاری هستند. از برنامه هایی استفاده می کند که شبیه آنتی ویروس هستند. با این حال، در واقعیت، آنها منجر به تولید اعلان‌های نادرست در مورد یک تهدید خاص می‌شوند. آنها همچنین سعی می کنند کاربران را به حوزه معاملات جذب کنند.

ویشینگ، فحش دادن و بهانه جویی

هنگامی که در مورد مهندسی اجتماعی برای مبتدیان صحبت می شود، لازم به ذکر است که ویشینگ، phreaking و بهانه سازی نیز وجود دارد.

Vishing نوعی فریب است که استفاده می کند شبکه های تلفن. این از از پیش ضبط شده استفاده می کند پیام های صوتی، که هدف آن بازآفرینی "تماس رسمی" یک ساختار بانکی یا هر سیستم تلفن گویا دیگری است. اغلب از شما خواسته می شود که برای تایید هر گونه اطلاعات، یک لاگین و/یا رمز عبور وارد کنید. به عبارت دیگر، سیستم از کاربر می خواهد که با استفاده از کدهای پین یا رمزهای عبور احراز هویت کند.

Phreaking شکل دیگری از فریب تلفنی است. این یک سیستم هک با استفاده از دستکاری صدا و شماره گیری صدا است.

بهانه سازی حمله ای است با استفاده از یک طرح از پیش اندیشیده شده که ماهیت آن ارائه آن به موضوع دیگری است. یک روش بسیار دشوار برای فریب، زیرا نیاز به آماده سازی دقیق دارد.

Quid-pro-quo و روش "سیب جاده".

تئوری مهندسی اجتماعی یک پایگاه داده چند وجهی است که هم روش های فریب و دستکاری و هم راه های مبارزه با آنها را در بر می گیرد. وظیفه اصلی مهاجمان، به عنوان یک قاعده، استخراج اطلاعات ارزشمند است.

انواع دیگر کلاهبرداری ها عبارتند از: quid-pro-quo، روش «سیب جاده ای»، گشت و گذار در شانه، استفاده از منابع باز و رسانه های اجتماعی معکوس. مهندسی.

Quid-pro-quo (از لاتین - "این برای این") تلاشی برای استخراج اطلاعات از یک شرکت یا شرکت است. این از طریق تماس تلفنی با او یا ارسال پیام از طریق ایمیل اتفاق می افتد. اغلب مهاجمان خود را کادر فنی معرفی می کنند. پشتیبانی که وجود یک مشکل خاص در محل کار کارمند را گزارش می کند. آنها در ادامه راه هایی را برای از بین بردن آن پیشنهاد می کنند، مثلاً با ایجاد نرم افزار. معلوم می شود که نرم افزار معیوب است و به پیشبرد جرم کمک می کند.

سیب جاده ای یک روش حمله است که بر اساس ایده اسب تروا است. ماهیت آن در استفاده از رسانه های فیزیکی و جایگزینی اطلاعات نهفته است. به عنوان مثال، آنها می توانند یک کارت حافظه با یک "خوب" خاص ارائه کنند که توجه قربانی را به خود جلب کند، آنها را وادار به باز کردن و استفاده از فایل یا دنبال کردن پیوندهای مشخص شده در اسناد درایو فلش کند. شی «سیب جاده» در مکان‌های اجتماعی رها می‌شود و منتظر می‌ماند تا یک نهاد نقشه مهاجم را اجرا کند.

جمع آوری و جستجوی اطلاعات از منابع باز کلاهبرداری است که در آن به دست آوردن داده ها بر اساس روش های روانشناختی، توانایی توجه به چیزهای کوچک و تجزیه و تحلیل داده های موجود، به عنوان مثال، صفحات از یک شبکه اجتماعی است. این کافی است راه جدیدمهندسی اجتماعی.

موج سواری شانه و معکوس اجتماعی. مهندسی

مفهوم "سرفینگ شانه" خود را به معنای واقعی تماشای یک سوژه به صورت زنده تعریف می کند. با این نوع داده کاوی، مهاجم به مکان های عمومی، به عنوان مثال، یک کافه، فرودگاه، ایستگاه قطار می رود و افراد را زیر نظر می گیرد.

این روش را نباید دست کم گرفت، زیرا بسیاری از بررسی ها و مطالعات نشان می دهد که یک فرد با دقت می تواند اطلاعات محرمانه زیادی را صرفاً با رعایت نکات به دست آورد.

مهندسی اجتماعی (به عنوان سطحی از دانش جامعه شناختی) وسیله ای برای "گرفتن" داده ها است. راه هایی برای به دست آوردن داده ها وجود دارد که در آن خود قربانی اطلاعات لازم را به مهاجم ارائه می دهد. با این حال، می تواند به نفع جامعه نیز باشد.

اجتماعی معکوس مهندسی یکی دیگر از روش های این علم است. استفاده از این اصطلاح در موردی که در بالا ذکر کردیم مناسب می شود: خود قربانی اطلاعات لازم را به مهاجم ارائه می دهد. این بیانیه را نباید پوچ تلقی کرد. واقعیت این است که افراد دارای اقتدار در زمینه های خاصی از فعالیت اغلب به صلاحدید خود سوژه به داده های شناسایی دسترسی پیدا می کنند. اساس در اینجا اعتماد است.

مهم به یاد داشته باشید! به عنوان مثال، کارکنان پشتیبانی هرگز از کاربر رمز عبور نمی خواهند.

آگاهی و حفاظت

آموزش مهندسی اجتماعی می تواند توسط یک فرد هم بر اساس ابتکار شخصی و هم بر اساس دستورالعمل هایی که در برنامه های آموزشی ویژه استفاده می شود انجام شود.

مجرمان می توانند از انواع مختلفی از فریب استفاده کنند، از دستکاری گرفته تا تنبلی، زودباوری، مهربانی کاربر و غیره. محافظت از خود در برابر این نوع حمله بسیار دشوار است، که به دلیل عدم آگاهی قربانی از اینکه او (او) ) فریب خورده است. برای محافظت از داده های خود در این سطح از خطر، شرکت ها و شرکت های مختلف اغلب ارزیابی می کنند اطلاعات کلی. در مرحله بعد، اقدامات حفاظتی لازم در سیاست امنیتی ادغام می شود.

مثال ها

نمونه ای از مهندسی اجتماعی (عمل آن) در زمینه پست های فیشینگ جهانی رویدادی است که در سال 2003 رخ داد. به عنوان بخشی از این کلاهبرداری، به کاربران eBay ایمیل هایی ارسال شد: آدرس ایمیل. آنها ادعا کردند که حساب های متعلق به آنها مسدود شده است. برای لغو مسدود کردن، باید اطلاعات حساب خود را دوباره وارد کنید. با این حال، نامه ها جعلی بود. آنها به صفحه ای مشابه با صفحه رسمی، اما جعلی هدایت شدند. بر اساس برآوردهای کارشناسان، ضرر چندان قابل توجهی نبود (کمتر از یک میلیون دلار).

تعریف مسئولیت

مهندسی اجتماعی ممکن است در برخی موارد مجازات شود. در تعدادی از کشورها مانند ایالات متحده آمریکا، بهانه جویی (فریب با جعل هویت شخص دیگری) با تجاوز به حریم خصوصی تلقی می شود. با این حال، در صورتی که اطلاعات به دست آمده در حین بهانه سازی از نظر موضوع یا سازمان محرمانه باشد، ممکن است مجازات قانونی داشته باشد. رکورد مکالمه تلفنی(به عنوان یک روش مهندسی اجتماعی) نیز توسط قانون پیش بینی شده است و مستلزم پرداخت جریمه 250000 دلاری یا حبس تا ده سال برای افراد است. افراد نهادها ملزم به پرداخت 500000 دلار هستند. مهلت یکسان باقی می ماند

مهندسی اجتماعی - دسترسی غیرمجاز به اطلاعات محرمانه از طریق دستکاری آگاهی فرد. روش های مهندسی اجتماعی مبتنی بر ویژگی های روانشناسی است و با هدف بهره برداری از ضعف های انسانی (ساده لوحی، بی توجهی، کنجکاوی، منافع تجاری) است. آنها به طور فعال توسط هکرهای اجتماعی هم در اینترنت و هم در خارج از آن استفاده می شوند.

با این حال، در مورد فناوری های دیجیتال، منابع وب، رایانه ها، تلفن های هوشمند - "مه مغزی" کاربران شبکه به روشی کمی متفاوت رخ می دهد. کلاهبرداران در هر کجا و هر کجا، در شبکه‌های اجتماعی، در پورتال‌های بازی، الکترونیک، «تله»، «تله» و دیگر ترفندها را قرار می‌دهند. صندوق های پستیو خدمات آنلاین در اینجا فقط چند نمونه از روش های مهندسی اجتماعی آورده شده است:

به عنوان هدیه تعطیلات ... اسب تروا

صرف نظر از شخصیت، حرفه، توانایی مالی، هر فرد مشتاقانه منتظر تعطیلات است: سال نو، 1 می، 8 مارس، روز ولنتاین و غیره، البته برای جشن گرفتن آنها، استراحت کنید، هاله معنوی خود را پر از مثبت کنید و در عین حال با دوستان و رفقای خود تبریک بگویید.

در این لحظه، هکرهای اجتماعی به ویژه فعال هستند. در روزهای قبل از تعطیلات و تعطیلات رسمی آنها به حساب ها ارسال می کنند خدمات پستیکارت پستال: روشن، رنگارنگ، همراه با موسیقی و... ویروس خطرناکتروجان قربانی، بدون دانستن چیزی در مورد چنین فریبکاری، در سرخوشی سرگرمی یا، به سادگی، کنجکاوی، روی کارت پستال کلیک می کند. در همان لحظه، بدافزار سیستم عامل را آلوده می کند و سپس منتظر لحظه مناسب برای سرقت اطلاعات ثبت نام، شماره تلفن می شود. کارت پرداختیا صفحه وب فروشگاه آنلاین را در مرورگر خود با صفحه جعلی جایگزین کنید و از حساب شما پول بدزدید.

تخفیف مطلوب و ویروس "بارگذاری شده"

یک نمونه عالی از مهندسی اجتماعی. تمایل به "پس انداز" پولی که به سختی به دست آورده اید کاملاً موجه و قابل درک است، اما در محدوده معقول و تحت شرایط خاص. این در مورد "هر چیزی که می درخشد طلا نیست."

کلاهبرداران در پوشش بزرگترین برندها، فروشگاه ها و خدمات آنلاین، در طراحی مناسب، پیشنهاد خرید کالا با تخفیف باورنکردنی را می دهند و علاوه بر خرید، هدیه دریافت می کنند... خبرنامه جعلی می سازند، در شبکه های اجتماعی گروه ایجاد می کنند. و "موضوعات" موضوعی در انجمن ها.

مردم عادی ساده لوح، همانطور که می گویند، توسط این پوستر تجاری درخشان "رهبری" می شوند: با عجله در سر خود حساب می کنند که چقدر از حقوق، پیش پرداخت باقی مانده است و روی پیوند "خرید" کلیک می کنند، "به سایت بروید تا خرید» و غیره پس از آن، در 99 مورد از 100 مورد، به جای خرید سودآور، ویروس را در رایانه شخصی خود دریافت می کنند یا به صورت رایگان برای هکرهای اجتماعی پول ارسال می کنند.

اهدای گیمر + 300٪ به مهارت های سرقت

در بازی های آنلاین و به طور کلی در بازی های چند نفره، به استثنای موارد نادر، قوی ترین ها زنده می مانند: کسانی که زره قوی تر، آسیب، جادوی قوی تر، سلامتی بیشتر، مانا و غیره دارند.

و البته، هر گیمری به هر قیمتی می‌خواهد این مصنوعات ارزشمند را برای شخصیت، تانک، هواپیما و چه کسی می‌داند. در مبارزات یا کمپین ها، با دستان خود یا برای پول واقعی (عملکرد اهدا) در فروشگاه مجازی بازی. برای بهترین بودن، اولین... برای رسیدن به آخرین سطح توسعه.

کلاهبرداران در مورد این "نقاط ضعف گیمر" می دانند و به هر طریق ممکن بازیکنان را وسوسه می کنند تا مصنوعات و مهارت های ارزشمند را به دست آورند. گاهی به خاطر پول، گاهی مجانی، اما این تغییری در ماهیت و هدف این طرح شرورانه ایجاد نمی کند. پیشنهادات وسوسه انگیز در سایت های جعلی چیزی شبیه به این است: "این برنامه را دانلود کنید"، "پچ را نصب کنید"، "برای دریافت یک آیتم، به بازی بروید".

در ازای پاداش مدت‌ها انتظار، حساب گیمر به سرقت می‌رود. اگر به خوبی پمپ شود، سارقان آن را می فروشند یا اطلاعات پرداخت را از آن استخراج می کنند (در صورت وجود).

بدافزار + مهندسی اجتماعی = ترکیبی انفجاری از فریب

نمادهای احتیاط!

بسیاری از کاربران ماوس را در سیستم عامل بر روی "اتواپیلوت" کار می کنند: اینجا را کلیک کنید. این، آن، آن را کشف کرد. به ندرت هر یک از آنها نگاه دقیق تری به نوع فایل ها، حجم و ویژگی های آنها می اندازد. اما بیهوده. هکرها فایل های اجرایی بدافزار را به عنوان فایل های معمولی پنهان می کنند پوشه های ویندوز، تصاویر یا برنامه های قابل اعتماد، یعنی از نظر خارجی، بصری، نمی توانید آنها را تشخیص دهید. کاربر روی پوشه کلیک می کند، محتویات آن به طور طبیعی باز نمی شود، زیرا این پوشه اصلا پوشه نیست، بلکه یک نصب کننده ویروس با پسوند exe است. و بدافزار "بی سر و صدا" به سیستم عامل نفوذ می کند.

"پادزهر" مطمئن برای چنین ترفندهایی است مدیر فایل فرمانده کل. بر خلاف یکپارچه Windows Explorer، تمام جزئیات فایل را نمایش می دهد: نوع، حجم، تاریخ ایجاد. بزرگترین خطر احتمالی برای سیستم فایل های ناشناخته با پسوندهای: ".scr"، ".vbs"، ".bat"، ".exe" هستند.

ترس اعتماد را تقویت می کند

1. کاربر یک "سایت داستان ترسناک" را باز می کند و بلافاصله ناخوشایندترین اخبار یا حتی اخبار به او گفته می شود: "کامپیوتر شما به یک تروجان خطرناک آلوده شده است"، "10، 20... 30 ویروس در سیستم عامل شما شناسایی شده است". "هرزنامه از رایانه شما ارسال می شود" و غیره.
2. و آنها بلافاصله پیشنهاد می کنند (نشان دادن "نگرانی") یک آنتی ویروس نصب کنند و بنابراین مشکل امنیتی بیان شده در سایت را حل کنند. و مهمتر از همه، کاملا رایگان.
3. اگر یک بازدیدکننده از ترس رایانه شخصی خود غلبه کند، پیوند را دنبال می کند و دانلود می کند... نه یک آنتی ویروس، بلکه یک آنتی ویروس کاذب - یک جعلی پر از ویروس. نصب و راه اندازی - عواقب آن مناسب است.

• اولاً، یک وب سایت نمی تواند فوراً رایانه شخصی بازدیدکننده را اسکن کند و بدافزار را شناسایی کند.
• ثانیاً، توسعه دهندگان آنتی ویروس های خود را، چه پولی یا رایگان، از طریق وب سایت های خود، یعنی رسمی، توزیع می کنند.
• و در نهایت، ثالثا، اگر شک و ترسی در مورد "تمیز" بودن یا نبودن سیستم عامل وجود دارد، بهتر است بررسی کنید پارتیشن سیستم، با آنچه در دسترس است، یعنی آنتی ویروس نصب شده.

جمع بندی

امروزه روانشناسی و هک دست به دست هم داده اند - مجموعه ای از سوء استفاده از ضعف های انسانی و آسیب پذیری های نرم افزاری. وقتی در اینترنت هستید، در تعطیلات و روزهای هفته، روز یا شب، و صرف نظر از خلق و خویتان، باید هوشیار باشید، ساده لوحی را سرکوب کنید، و انگیزه های سود تجاری و چیزی «رایگان» را از خود دور کنید. زیرا همانطور که می دانید فقط پنیر بدون هزینه و فقط در تله موش داده می شود. فقط رمزهای عبور ایجاد کنید، آنها را در مکان هایی ذخیره کنید و با ما بمانید، زیرا همانطور که می دانیم چیزی به نام امنیت بیش از حد وجود ندارد.

مجرمان سایبری که از تکنیک های مهندسی اجتماعی استفاده می کنند در سال های اخیر روش های پیشرفته تری را اتخاذ کرده اند که احتمال دسترسی به آن را افزایش می دهد. اطلاعات لازم، با استفاده از روانشناسی مدرن کارکنان شرکت و افراد به طور کلی. اولین قدم در مقابله با این نوع ترفندها، درک تاکتیک های مهاجمان است. بیایید به هشت رویکرد اصلی در مهندسی اجتماعی نگاه کنیم.

معرفی

در دهه 90، مفهوم "مهندسی اجتماعی" توسط کوین میتنیک، یک چهره نمادین در زمینه امنیت اطلاعات، یک هکر جدی سابق، ابداع شد. با این حال، مهاجمان مدت ها قبل از ظهور خود این اصطلاح از چنین روش هایی استفاده می کردند. کارشناسان متقاعد شده اند که تاکتیک های مجرمان سایبری مدرن به دنبال دو هدف است: سرقت رمز عبور و نصب بدافزار.

مهاجمان سعی می کنند با استفاده از تلفن، ایمیل و اینترنت از مهندسی اجتماعی استفاده کنند. بیایید با روش های اصلی که به مجرمان کمک می کند تا آنچه را که نیاز دارند آشنا شویم. اطلاعات محرمانه.

تاکتیک 1. نظریه ده دست دادن

هدف اصلی مهاجمی که از تلفن برای مهندسی اجتماعی استفاده می کند این است که قربانی خود را به یکی از دو چیز متقاعد کند:

1. قربانی یک تماس از یک کارمند شرکت دریافت می کند.
2. نماینده یک نهاد مجاز (مثلاً یک افسر مجری قانون یا یک حسابرس) تماس می گیرد.

اگر مجرمی وظیفه جمع آوری داده های مربوط به یک کارمند خاص را بر عهده خود قرار دهد، می تواند ابتدا با همکاران خود تماس بگیرد و از هر طریق ممکن سعی کند داده های مورد نیاز خود را استخراج کند.

تئوری قدیمی شش دست دادن را به خاطر دارید؟ خب، کارشناسان امنیتی می‌گویند که فقط ده «دست دادن» بین یک مجرم سایبری و قربانیش وجود دارد. کارشناسان معتقدند که شرایط مدرنشما همیشه باید کمی پارانویا داشته باشید، زیرا نمی دانید این یا آن کارمند از شما چه می خواهد.

مهاجمان معمولاً یک منشی (یا شخصی که موقعیت مشابهی دارد) را هدف قرار می دهند تا اطلاعات افراد بالاتر از سلسله مراتب را جمع آوری کنند. کارشناسان خاطرنشان می کنند که لحن دوستانه به کلاهبرداران کمک زیادی می کند. به آهستگی اما مطمئنا، مجرمان کلید شما را می گیرند، که به زودی منجر به به اشتراک گذاشتن اطلاعاتی می شود که قبلا هرگز فاش نمی کردید.

تاکتیک 2. یادگیری زبان شرکتی

همانطور که می دانید هر صنعتی فرمولاسیون خاص خود را دارد. وظیفه مهاجمی که تلاش می کند اطلاعات لازم را به دست آورد، مطالعه ویژگی های چنین زبانی برای استفاده ماهرانه تر از تکنیک های مهندسی اجتماعی است.

تمام مشخصات در مطالعه زبان شرکت، شرایط و ویژگی های آن نهفته است. اگر یک مجرم سایبری برای اهداف خود به زبانی آشنا، آشنا و قابل فهم صحبت کند، راحت تر اعتماد پیدا می کند و می تواند به سرعت اطلاعات مورد نیاز خود را به دست آورد.

تاکتیک 3: برای نگه داشتن تماس ها در حین تماس، موسیقی قرض بگیرید

برای انجام یک حمله موفق، کلاهبرداران به سه جزء نیاز دارند: زمان، پشتکار و صبر. اغلب حملات سایبری با استفاده از مهندسی اجتماعی به آرامی و روش انجام می شود - نه تنها داده های افراد مناسب، بلکه به اصطلاح "سیگنال های اجتماعی" را نیز جمع آوری می کند. این کار به منظور جلب اعتماد و فریب دادن هدف انجام می شود. به عنوان مثال، مهاجمان می توانند فردی را که با او در ارتباط هستند متقاعد کنند که همکار هستند.

یکی از ویژگی های این رویکرد، ضبط موسیقی است که شرکت در حین تماس از آن استفاده می کند، در حالی که تماس گیرنده منتظر پاسخ است. مجرم ابتدا منتظر چنین موسیقی می ماند، سپس آن را ضبط می کند و سپس از آن به نفع خود استفاده می کند.

بنابراین، هنگامی که گفتگوی مستقیم با قربانی انجام می شود، مهاجمان در نقطه ای می گویند: "یک دقیقه صبر کنید، یک تماس در خط دیگر وجود دارد." سپس قربانی موسیقی آشنا را می شنود و هیچ شکی نمی کند که تماس گیرنده نماینده یک شرکت خاص است. در اصل، این فقط یک ترفند روانشناختی هوشمندانه است.

تاکتیک 4. جعل (تعویض) شماره تلفن

مجرمان اغلب از جعل استفاده می کنند شماره های تلفن، که به آنها کمک می کند شماره تماس گیرنده را جعل کنند. به عنوان مثال، مهاجم ممکن است در آپارتمان خود نشسته باشد و با شخص مورد علاقه تماس بگیرد، اما شناسه تماس گیرنده یک شماره متعلق به شرکت را نشان می دهد و این توهم را ایجاد می کند که کلاهبردار با استفاده از یک شماره شرکتی تماس می گیرد.

البته، اگر شناسه تماس گیرنده متعلق به شرکت آنها باشد، در بیشتر موارد، کارمندان ناآگاه اطلاعات حساس از جمله رمز عبور را در اختیار تماس گیرنده قرار می دهند. این رویکرد همچنین به مجرمان کمک می کند تا از ردیابی خودداری کنند زیرا اگر با این شماره تماس بگیرید، به خط داخلی شرکت هدایت می شوید.

تاکتیک 5: استفاده از اخبار علیه شما

عناوین خبری فعلی هرچه که باشد، مهاجمان از این اطلاعات به عنوان طعمه برای هرزنامه، فیشینگ و سایر فعالیت های کلاهبرداری استفاده می کنند. جای تعجب نیست که کارشناسان اخیراً به افزایش تعداد ایمیل‌های اسپم اشاره کرده‌اند که موضوعات مربوط به کمپین‌های ریاست‌جمهوری و بحران‌های اقتصادی است.

یک مثال می تواند حمله فیشینگ به یک بانک باشد. ایمیل چیزی شبیه این می گوید:

«بانک دیگری [نام بانک] در حال خرید بانک شما [نام بانک] است. این پیوند را کلیک کنید تا مطمئن شوید اطلاعات بانکی شما تا زمان بسته شدن معامله به روز شده است."

به طور طبیعی، این تلاشی برای به دست آوردن اطلاعاتی است که با آن کلاهبرداران می توانند به حساب شما وارد شوند، پول شما را سرقت کنند یا اطلاعات شما را به شخص ثالث بفروشند.

تاکتیک 6: اهرم اعتماد در بسترهای اجتماعی

بر کسی پوشیده نیست که فیس بوک، مای اسپیس و لینکدین سایت های شبکه اجتماعی بسیار محبوبی هستند. طبق تحقیقات کارشناسان، مردم تمایل دارند به چنین پلتفرم هایی اعتماد کنند. یک حادثه اخیر فیشینگ نیزه ای که کاربران لینکدین را هدف قرار داده است، از این نظریه پشتیبانی می کند.

بنابراین، بسیاری از کاربران به ایمیلی که ادعا می کنند از فیس بوک است اعتماد خواهند کرد. یک تکنیک رایج این است که ادعا کنیم شبکه اجتماعی در حال هدایت است نگهداری، برای به روز رسانی اطلاعات باید "اینجا را کلیک کنید". به همین دلیل است که کارشناسان توصیه می کنند که کارمندان شرکت آدرس های وب را به صورت دستی وارد کنند تا از لینک های فیشینگ جلوگیری کنند.

همچنین شایان ذکر است که در موارد بسیار نادر، سایت ها از کاربران می خواهند رمز عبور خود را تغییر دهند یا حساب خود را به روز کنند.

تاکتیک 7. Typesquatting

این تکنیک مخرب برای این واقعیت قابل توجه است که مهاجمان از عامل انسانی استفاده می کنند، یعنی خطاهایی که هنگام وارد کردن URL به نوار آدرس. بنابراین، با انجام یک اشتباه فقط یک حرف، کاربر می تواند به وب سایتی که به طور خاص برای این منظور توسط مهاجمان ایجاد شده است، قرار گیرد.

مجرمان سایبری با دقت زمینه را برای typosquatting آماده می‌کنند، بنابراین وب‌سایت آنها دقیقاً مانند وب‌سایت قانونی خواهد بود که در ابتدا می‌خواستید از آن بازدید کنید. بنابراین، اگر آدرس وب خود را غلط املایی کنید، در نهایت به یک کپی از یک سایت قانونی می رسید که هدف آن یا فروش چیزی، یا سرقت داده ها، یا توزیع بدافزار است.

تاکتیک 8. استفاده از FUD برای تأثیرگذاری بر بازار سهام

FUD تاکتیکی از دستکاری روانشناختی است که در بازاریابی و تبلیغات به طور کلی استفاده می شود که شامل ارائه اطلاعات در مورد چیزی (به ویژه یک محصول یا سازمان) به گونه ای است که باعث ایجاد عدم اطمینان و شک در مخاطبان در مورد کیفیت آن شود و در نتیجه باعث شود. ترس از آن

طبق آخرین تحقیقات شرکت Avert، امنیت و آسیب پذیری محصولات و حتی کل شرکت ها می تواند بر بازار سهام تأثیر بگذارد. به عنوان مثال، محققان تأثیر رویدادهایی مانند Microsoft Patch Tuesday را بر سهام این شرکت مطالعه کرده‌اند و هر ماه پس از انتشار اطلاعات در مورد آسیب‌پذیری‌ها، نوسانات قابل‌توجهی پیدا کرده‌اند.

همچنین می‌توانید به یاد داشته باشید که چگونه در سال 2008، مهاجمان اطلاعات نادرستی در مورد سلامت استیو جابز منتشر کردند که منجر به کاهش شدید سهام اپل شد. این نمونه معمولی از FUD است که برای اهداف مخرب استفاده می شود.

علاوه بر این، شایان ذکر است استفاده است پست الکترونیکبرای پیاده سازی تکنیک "پمپ و تخلیه" (طرحی برای دستکاری نرخ ارز در بازار سهام یا در بازار ارزهای دیجیتال با سقوط بعدی). در این مورد، مهاجمان می توانند ارسال کنند ایمیل ها، پتانسیل شگفت انگیز سهام هایی را که از قبل خریداری کرده اند توصیف می کنند.

بنابراین، بسیاری تلاش خواهند کرد تا در اسرع وقت این سهام را خریداری کنند و قیمت آنها افزایش یابد.

نتیجه گیری

مجرمان سایبری اغلب در استفاده از مهندسی اجتماعی بسیار خلاق هستند. با آشنایی با روش های آنها، می توان نتیجه گرفت که ترفندهای روانی مختلف به مهاجمان کمک زیادی می کند تا به اهداف خود برسند. بر این اساس، باید به هر چیز کوچکی که می‌تواند ناخواسته یک کلاهبردار را فاش کند، توجه کنید، اطلاعات افرادی که با شما تماس می‌گیرند را بررسی و دوباره بررسی کنید، به خصوص اگر اطلاعات محرمانه مورد بحث قرار می‌گیرد.