کد QR مطلبدریافت صفحه با کد QR

چرا همچنان فریب می‌خوریم

مهندسی اجتماعی؛ درک عمیق از ذهن انسان

16 خرداد 1402 ساعت 15:10

در هر سطحی از سواد و تحصیلات، در هر موقعیت و جایگاه شغلی، ساکن شهر یا روستا، کلاهبرداران سایبری همچنان ما را فریب می‌دهند. چگونه کلاهبرداران سایبری برای ما دام می‌گسترند تا به حساب‌های بانکی و اطلاعات شخصی ‌ما برسند؟


در هر سطحی از سواد و تحصیلات، در هر موقعیت و جایگاه شغلی، ساکن شهر یا روستا، کلاهبرداران سایبری همچنان ما را فریب می‌دهند. چگونه کلاهبرداران سایبری برای ما دام می‌گسترند تا به حساب‌های بانکی و اطلاعات شخصی ‌ما برسند؟
 
آیا هنوز افرادی پیدا می‌شوند که فریب ایمیل‌های نیجریه‌ای، تماس‌های خارجی، پیامک‌های عامیانه و یا رسمی حاوی لینک مخرب و  برنده شدن در قرعه‌کشی‌های رادیویی را می‌خورند؟ دلیل آن چیست؟ آیا سطح آگاهی جامعه در این موارد افزایش پیدا نکرده‌است؟ آیا هشدارهای کافی به جامعه داده نمی‌شود؟ یا اینکه کلاهبرداران، شگردهای خوبی به کار می‌بندند و واکنش مردم را به خوبی پیش‌بینی می‌کنند؟
 
چرا از تجربیاتی که این روزها مخصوصا به لطف شبکه‌های اجتماعی به آسانی هم‌رسانی می‌شود، درس عبرت نمی‌گیریم و بازهم روی لینک‌های مخرب کلیک می‌کنیم و اطلاعات خود را در صفحات جعلی درج می‌کنیم و فایل‌های فاقد منبع معتبر را دانلود می‌کنیم؟ چرا به تماس‌های ناشناس و خارجی پاسخ می‌دهیم؟ چرا همچنان فریب کلاهبرداران سایبری را می‌خوریم؟
 
به گزارش افتانا، به گفته فعالان حوزه امنیت اطلاعات، موضوع تهدیدهایی که با شگرد مهندسی اجتماعی طرح‌ریزی می‌شوند، «انسان» است. یک سناریوی حمله مهندسی اجتماعی زمانی با موفقیت اجرا می‌شود که از آسیب‌پذیری‌های ذاتی انسان به خوبی سوءاستفاده کرده باشد. این آسیب‌پذیری‌ها لزوماً خصلت‌های بد انسانی نیستند.
 
با هر میزان آگاهی و بلوغ، همچنان ممکن است با قرار دادن فرد در موقعیت‌های اضطراری از عواطف و احساسات وی سوءاستفاده شود. مهندس امید توکلی، عضو کانون افتا و فعال حوزه امنیت اطلاعات، در گفت‌وگو با افتانا با اشاره به این موضوع از تجربه یکی از دوستانش در این مورد می‌گوید: «دوست روان‌شناس باسابقه‌ای دارم که پیامی در دایرکت اینستاگرام از خواهر خود دریافت کرده‌بود، مبنی بر اینکه با ماشین خود تصادف کرده و مقصر بوده اما مدارک ماشین همراهش نیست. زیان‌دیده بالای سر او ایستاده و گفته همین الان باید ده‌میلیون تومان به کارت او واریز کند تا موضوع قضایی نشود! موقعیت طوری برای شخص ترسیم شده که فرصت فکر کردن به اینکه چرا خواهرش به جای تماس تلفنی، باید در اینستاگرام به او پیام بدهد؛ داده نشود. اولویت داشتن خانواده و تلاش برای حل مشکل در لحظه، توان مدیریت صحیح موقعیت را از شخص گرفته و فرد، تلاشی برای اعتبارسنجی درخواست از طریق یک تماس تلفنی ساده نکرده است. بعد از واریز پول به شماره کارت اعلامی، با خواهرش تماس گرفته و متوجه شده که خواهرش از ماجرا بی‌خبر است و درخواست کمک از طرف هکری بوده که به اینستاگرام خواهرش دسترسی پیدا کرده بود...»
 

ترفندهایی که همه را فریب می‌دهند

نوعی کلاهبرداری اینترنتی هست که اصطلاحا به آن Scam  گفته می‌شود و انواع مختلفی دارد.«نامه نیجریه‌ای» مشهورترین نوع آن است. به نامه نیجریه‌ای، کلاهبرداری ۴۱۹ هم گفته می‌شود. ۴۱۹ به بندی از قانون جزایی نیجریه‌ای اشاره دارد که این جرم در آن تعریف شده است.  داستان نامه نیجریه‌ای به سال‌های اولیه دهه هشتاد میلادی برمی‌گردد که اقتصاد متکی به نفت نیجریه رو به افول بود. در این زمان چند دانشجوی نیجریه‌ای، شروع به فریب تجار برای سرمایه‌گذاری در مناطق نفتی نیجریه کردند. در آن سال‌ها البته خبری از ایمیل نبود و کارها با تلفن، فکس و نامه انجام می‌شد. ایمیل کار این فریبکاران اینترنتی را بسیار آسان و ارزان کرد. شاید شما هم که اکنون این مطلب را می‌خوانید بارها از این نوع ایمیل‌ها دریافت کرده‌باشید؛ البته امیدواریم جزو قربانیان این کلاهبرداری‌ها نباشید!
 
محمدحسین مشکینی، کارشناس ارشد رسیدگی به حوادث سایبریمحمدحسین مشکینی، کارشناس ارشد رسیدگی به حوادث سایبری، مهندسی اجتماعی را ازجمله تهدیداتی معرفی می‌کند که هرچند برخی راهکارهای مبتنی بر فناوری به کاهش احتمال وقوع آن کمک می‌کند، لیکن به‌طور کلی پیشگیری از آن دشوار است و می‌گوید: «من در بعضی مانورهای سایبری و عملیات تیم قرمز، حتی تجربه مهندسی اجتماعی موفق از مدیران امنیت شبکه را دارم. به‌عنوان مثال در یکی از حوادثی که مدیریت شد و از نوع کلاهبرداری نیجریه‌ای بود، دامنه مشابهی که نفوذگر ثبت کرده بود به لحاظ بصری بسیار نزدیک به دامنه اصلی بود، مثلا نفوذگر یک حرف m در دامنه را ln ثبت کرده بود که در یک نگاه حتی برای ما هم قابل تشخیص نبود. بنابراین باید بپذیریم که با تهدید پیچیده‌ای طرف هستیم که با جنبه‌های شناختی انسان نیز سروکار دارد.»
 
نوع مشهور دیگر Scam  به «زندانی اسپانیایی» مشهور است. در این ایمیل‌ها ادعا می‌شود که یک زندانی ثروتمند گرفتار در زندان، می‌خواهد ثروتش را به گیرنده ایمیل ببخشد، ولی نیاز به مبلغی پول برای رشوه دادن به زندان‌بان‌ها دارد. مشکینی در مورد سوءاستفاده کلاهبرداران از تمایلات انسان‌ها به دریافت آسان پول و ثروت، می‌گوید: «مهاجمان با سوءاستفاده از حس طمع و اشتیاق به‌دست آوردن موفقیت‌های زودهنگام، مثل برنده شدن در قرعه‌کشی یا دستیابی به سهیمه خاص در زمان مناسب نفوذ کرده و در فریب افراد موفق می‌شوند. موسسه جرم‌شناسی آمریکا 62 درصد از این حملات را موفقیت‌آمیز اعلام کرده است. در گزارش دیگری که توسط دپارتمان امنیت سیسکو منتشر شده منشاء بیش از 67 درصد حملات مهاجم ناآگاه یا آگاه داخلی است. در گزارش IDAGENT در سال 2021 اشاره شده که بیش از 2 میلیون وب‌سایت فیشینگ وجود دارد. همچنین در 96 درصد از حملات فیشینگ از ایمیل، 3 درصد از وب‌سایت و 1 درصد از موبایل استفاده می‌شود. چنین آمارهایی در آمریکا که برنامه مدون و مفصلی برای آگاهی‌بخشی جامعه در حوزه امنیت سایبری دارند،حیرت‌آور است. برنامه Cyber Security Awareness Month توسط DHS در آمریکا به‌طور گسترده اجرا می‌شود که به تفکیک برای تمام آحاد جامعه از کودکان تا افراد سالخورده و نیز کارکنان سازمان‌ها و ادارات، برنامه ویژه‌ای دارند.»
 
تحت تاثیر این محتواها قرار گرفتن ظاهرا چندان ربطی هم به میزان دانش و تحصیلات ندارد. طبق گفته رئیس پلیس فتای فراجا، جرایم مربوط به کلاهبرداری اینترنتی نسبت به سال ۱۴۰۰ حدود ۳۷ درصد افزایش داشته است. بیشتر قربانیان کلاهبرداری‌های سایبری، سالمندان هستند که با فضای مجازی و تکنولوژی آشنایی زیادی ندارند و در مقایسه با جوانان، کمتر به‌روز هستند، اما موارد و پرونده‌های زیادی نیز وجود دارد که نشان می‌دهد حتی جوانان و افراد تحصیلکرده نیز به راحتی در تله این کلاهبرداران می‌افتند و گاهی پول کلانی را هم از دست می‌دهند!
 
توکلی در این مورد می‌گوید: «برانگیختن کنجکاوی افراد با احتمال بالایی منجر به همکاری ایشان با سناریوهای مهندسی اجتماعی می‌شود. طمع شراکت در گرفتن سهمی از این دارایی‌های بی دردسر و نجات از اوضاع نابه‌سامان مالی حتی برای قشر متوسط و بالای جامعه دور از انتظار نیست. سناریوی نخ‌نمای پیدا کردن گنج سکه‌های قدیمی توسط یک چوپان در بیابان، هنوز برای بسیاری افراد باورپذیر است. از نزدیک با افراد تحصیل‌کرده‌ای برخورد داشته‌ام که صرفاً با قصد کنجکاوی، در دام تماس برنده‌شدن سفر حج در مسابقه رادیویی و حضور در پای دستگاه خودپرداز برای دریافت جایزه افتاده‌اند و زمانی به‌خود آمده‌اند که مبالغی از دارایی خود را از دست داده‌اند.»
 

چه باید کرد؟

امید توکلی، عضو کانون افتا و فعال حوزه امنیت اطلاعاتبه گفته مهندس امید توکلی «شکی نیست که متولیان ایجاد آگاهی در مردم، وظایف خود را به‌درستی انجام نداده‌اند؛ اما غلبه بر تکنیک‌های روان‌شناسانه‌ کارآمد در سناریوهای مهندسی اجتماعی مثل ایجاد ترس، ترغیب و همدلی، صرفاً با ایجاد آگاهی مثمرثمر نیست. واقعیت این است که آگاهی‌رسانی در این حوزه نیز یک چاقوی دو لبه است. پلیس فتا این نگرانی را دارد که انتشار جزئیات روش‌های جدید کلاهبرداری، به‌جای کاهش آثار این جرایم، نقش دوره‌ آموزشی برای بزهکاران و توسعه سناریوهای ایشان را داشته باشد! به‌نظر من تا زمانی که تنش‌های روانی و اقتصادی در جوامع کمترتوسعه‌یافته کاهش پیدا نکند؛ دردمندانه این سناریوهای کلاهبرداری -که لزوماً پیچیدگی زیادی هم ندارند- با موفقیت اجرا می‌شوند.»
 
همه این فریب خوردن‌ها در حالی اتفاق می‌افتد که پلیس فتا روزانه خبررسانی گسترده‌ای برای آگاهی‌سازی شهروندان و کاربران انجام می‌دهد. تقریبا روزی نیست که پیامکی از سوی پلیس فتا به گوشی‌های همراه مردم ارسال نشود و درباره در امان ماندن از کلاهبرداران اینترنتی هشدار ندهد. سوال این است که با وجود اطلاع‌رسانی و آگاهی‌سازی مداوم و روزانه پلیس فتا، عده زیادی از مردم همچنان فریب کلاهبرداران سایبری را می‌خورند. به گفته سرهنگ رامین پاشایی، معاون فرهنگی و اجتماعی پلیس فتا فراجا، یکی از دلایل اصلی که مردم و کاربران فضای مجازی حتی افراد جوان و تحصیلکرده، فریب کلاهبرداران اینترنتی را می‌خورند، این است که درک عمیقی از نوع آگاهی‌بخشی‌هایی که پلیس فتا انجام می‌دهد، ندارند و خیلی سرسری از این هشدارها رد می‌شوند.
 
مهندس مشکینی در گفت‌وگو با افتانا، نظرش را در این مورد بیان می‌کند: «مشخصاً راهکار اثربخش، آگاهی‌بخشی عمومی و اختصاصی است؛ اما آیا واقعا ارسال پیامک اطلاع‌رسانی، اثربخشی مناسبی دارد؟! بنده معتقدم باید یک برنامه جدی و مدون به‌صورت یک کلان‌پروژه ملی با صرف هزینه مناسب با الهام از تجارب موفق جهانی تدوین و به‌سرعت اجرایی شود. تمام ظرفیت متخصصان حوزه امنیت اطلاعات در کشور قابل به‌کارگیری در این کلان پروژه است. تمام سازمان‌ها و نهادهای مرتبط و ذی‌نفع باید در این خصوص درگیر شوند تا یک حرکت جهشی برای رفع کمبود آگاهی در حوزه امنیت سایبری انجام شود. همان‌طوری که در دنیای پزشکی با حرکت‌های جمعی مثلاً فلج اطفال ریشه‌کن شد در این زمینه نیز می‌توان اقدامات خوبی را با ظرفیت موجود انجام داد. این کار باعث توسعه ظرفیت در این حوزه هم خواهد شد.»
 

راهکار‌های در دسترس

با این اوصاف، هیچ راهکار قطعی وجود ندارد جز اینکه برای جلوگیری از سوءاستفاده احتمالی چند نکته امنیتی را در نظر داشته باشیم تا شاید کمتر اسیر چنگال این فریبکاران تبهکار فرصت‌طلب بشویم که تمرکزشان بر انسان بودن و خصلت‌های خوب و بد انسانی ما است:
 
1. ایمیل‌هایی را که از طرف افراد ناشناس ارسال می‌شوند و دارای فایل ضمیمه هستند و یا لینک‌های آلوده دارند از روی سرور حذف کنید و هرگز روی لینک مربوطه کلیک نکنید. همچنین ممکن است فایل‌های ضمیمه دارای پسوندهای اجرایی نظیر exe باشند که با باز کردن آن، کامپیوتر و یا شبکه شما را آلوده کنید.
 
2. در صورت دریافت ایمیلی از طرف دوست ، شرکت و … که در آن بر انجام کاری تاکید شده است، نظیر واریز وجه به حساب حتما از طریق تلفن با فرد مقابل هماهنگ کنید. همچنین بهتر است از راه های دیگری غیر از ایمیل را نظیر فکس و ... برای تبادل اطلاعات حساب های بانکی استفاده نمایید.
 
3. در صورتی که ایمیلی برای پرداخت صورت حساب دریافت کردید، به هنگام مراجعه به درگاه پرداخت آنلاین دقت کنید که در اول آدرس سایت درگاه https:// و یا نماد اعتماد الکترونیکی وجود داشته باشد و آدرس، حاوی غلط یا تفاوت املایی نباشد.
 
4. همیشه برای اکانت‌های ایمیل خود از پسوردهای قوی با ترکیبی شامل حروف بزرگ، حروف کوچک، اعداد و کاراکترهای خاص استفاده کنید.
 
5. به‌طور مرتب از آنتی‌ویروس‌های معتبر و به‌روز استفاده کنید.


کد مطلب: 20913

آدرس مطلب :
https://www.aftana.ir/news/20913/مهندسی-اجتماعی-درک-عمیق-ذهن-انسان

افتانا
  https://www.aftana.ir