هرگز تا از هویت واقعی شخص مقابل خود و صلاحیت برای دریافت اطلاعات مطمئن نشده‌اید، اطلاعاتی به او ندهید! در حمله‌های مهندسی اجتماعی، مهاجم با استفاده از توانایی‌های ارتباطی خود (قدرت تکلم، جذب مخاطب و …) سعی در دسترسی به اطلاعات حساس یک سیستم کامپیوتری و یا یک شرکت را دارد.

مهندسی اجتماعی چیست؟

در حمله‌های مهندسی اجتماعی، مهاجم با استفاده از توانایی‌های ارتباطی خود (قدرت تکلم، جذب مخاطب و …) سعی در دسترسی به اطلاعات حساس یک سیستم کامپیوتری و یا یک شرکت را دارد. یک مهندس اجتماعی معمولا خود را شخصی محترم و معقول نشان داده و یا خود را به‌عنوان کارمند جدید، تعمیرکار و یا حتی محققی که در صورت نیاز اقدام به نمایش کارت شناسایی هم می‌کند نمایش می‌دهد. پس از کسب اعتماد، مهاجم با پرسش چند سوال، پازل اطلاعاتی خود را تکمیل کرده و دست به دزدی اطلاعات می‌زند. معمولا هنگامی که مهاجم ننواند اطلاعات کافی را از یک منبع کسب کند با مراجعه به شخص دیگری در همان سازمان و استفاده از خرده اطلاعاتی که از منبع اول کسب کرده اقدام به نفوذ می‌کند.

فیشینگ چیست؟

فیشینگ (ماهی‌گیری) نوعی از حمله‌ی مهندسی اجتماعی هست که با استفاده از پخش ایمیل و یا ساخت صفحه‌های وب‌سایت تقلبی اقدام به جلب اعتماد قربانیان خود می‌کنند. برای مثال یک مهاجم ممکن است ایمیلی را از سمت بانک برای شما ارسال کرده و درخواست اطلاعات هویتی شما را کند. معمولا این ایمیل‌ها با مضامینی که گواه از بروز مشکلی در سیستم بانکی هست ساخته و ارسال می‌شوند و کاربران نیز با دادن اطلاعات به خیال خود به بانک، مهاجم را موفق کرده‌اند.

حمله‌های فیشینگ همیشه از نوع بانک نیست بلکه در بسیاری موارد خود را بجای خیریه‌ها جای می‌زنند. وقایع طبیعی‌ای که در همان زمان اتفاق افتاده در اکثر مواقع مورد سوءاستفاده‌ی مهاجمان قرار می‌گیرد.

چگونه قربانی نشویم؟

به تماس‌هایی که از منابع ناشناس با شما برقرار می‌شوند و در کل به هر تماسی (تلفن، اسمس و …) که از شما درخواست دریافت اطلاعات را دارد همیشه مشکوک باشید. همیشه وقتی شخصی از شما اطلاعاتی خواست با استناد به منبع اصلی ابتدا از اصالت و هویتش مطمئن شوید.

هرگز اطلاعات شخصی و یا شرکتی شامل ساختار شبکه، نوع سیستم عامل و … خود را مگر در شرایط اطمینان کامل از تماس گیرنده بروز ندهید.

هرگز اطلاعات شخصی و مالی خود را در ایمیل ارسال نکرده و هیچ‌گاه به چنین ایمیل‌هایی پاسخ ندهید. این قانون شامل کلیک بر روی لینک‌های موجود در یک ایمیل نیز می‌باشد.

هرگز اطلاعات حساس خود را پیش از اطمینان از اصالت وب سایت و امنیتش ارسال نکنید. (برای اطلاعات بیشتر به اینجا مراجعه کنید.)

به آدرس وب‌سایت‌ها توجه کنید! آدرس یک وب سایت تقلبی ممکن است شباهت زیادی به آدرس وب سایت اصلی داشته باشد و از حروف اضافه و یا پسوند دیگری را انتخاب کرده باشند.

اگر از اصالت ایمیل ارسال شده به خود اطمینان ندارید حتمن با مراجعه به وب سایت و یافتن اطلاعات تماس اصلی، از اصالت ایمیل مطلع شوید. هرگز از اطلاعات تماس موجود داخل ایمیل مشکوک استفاده نکنید. اطلاعات کامل در مورد انواع حمله‌های فیشینگ را می‌توانید از اینجا بخوانید.

هیچ‌گاه سیستم خود را بی آنتی‌ویروس رها نکنید، با استفاده از دیواره‌های آتش به‌جا مقداری از حجم حمله‌ها را کم کنید.

از سیستم اسپمینگ موجود در ایمیل‌ها استفاده کنید.

اگر قربانی حمله شده بودیم چه کنیم؟

اگر اطلاعات مهم شرکتی‌ای را بدون اطمینان از اصالت گیرنده پخش کرده‌اید، هرچه سریعتر موضوع را به مدیر شبکه‌ی شرکت خود اطلاع دهید. در بسیاری موارد اگر بدانیم که ممکن است در معرض حمله قرار بگیریم، دفاع بهتری انجام خواهیم داد. اگر اطلاعات مالی شرکت را سهوا منتشر کرده‌اید، به سرعت با اطلاع‌رسانی به بخش مالی، حساب‌هایی را که ممکن است در معرض خطر قرار داده باشید را ببندید. به دنبال تغییرات ناگهانی در حساب خود باشید. هر رمز عبوری را که احساس می‌کنید در دسترس دیگران قرار داده‌اید را به‌سرعت تغییر دهید. اگر از یک رمز عبور برای همه حساب‌های خود استفاده می‌کنید، مطمئن شوید که تک تک آن‌ها را به رمزعبوری قوی و مجزا مجهز کنید و در آینده هرگز از یک رمز عبور برای تمام حساب‌های کاربری خود استفاده نکنید.

به دنبال نشانه‌هایی از دزدیده شدن هویت خود باشید، در صورت مشاهده هر نشانه‌ای موضوع را به پلیس اطلاع دهید.

نظر دهید

234x60