استفاده ایمن از اینترنت، تجهیزات رایانه‌ای، و گوشی‌های هوشمند به تدریج تبدیل به یکی از دغدغه‌های روزمره کاربران شده است. این حساسیت به ویژه در مواردی که کاربران در معرض انواع محدودیت‌ها و تهدیدات هستند، شکلی بسیار حیاتی می‌یابد. پیش‌تر از این در خلال مطالب عرضه شده، توصیه‌هایی ایمنی متعددی به صورت فهرست‌های عملی ذکر کرده یا در برخی موارد آموزش‌هایی برای اجرای یک یا چند توصیه ارائه نموده‌ایم.

در همین زمینه:

سیاهه باید و نبایدهای امنیتی کاربران اینترنت

شناسایی منابع معتبر امنیت در فضای اینترنت

در این مجموعه با عنوان چالش‌های امنیتی تلاش می‌کنیم که ضمن برشمردن دوباره این موارد، جزئیات بیشتری را در چارچوب کاربردی و با ذکر نمونه‌ها با شما درمیان بگذاریم.


social_engineerin_

چالش نخست : مهندسی اجتماعی

برخی از انواع شیوه‌هایی که منجر به مخدوش شدن امنیت شما در فضای مجازی می‌شود را با عنوان شیوه‌های مهندسی اجتماعی نام‌گذاری کرده‌اند؛ این دسته اقدامات بر جلب اعتماد شما و دریافت تمام یا بخشی از اطلاعات حیاتی از خودتان با اهداف خرابکارانه و مجرمانه پایه‌ریزی شده است. در این روش چه با گفت‌وگوی مستقیم، تماس تلفنی، ارسال ایمیل یا پیامک، و چه با استفاده از گروه‌ها و کانال‌های موجود در شبکه‌های اجتماعی، فرد مورد نظر اعتماد شما را جلب کرده و اقدام به دریافت اطلاعات می‌نماید. پس از کسب اطلاعات کار نفوذ به شبکه، رایانه، گوشی هوشمند، حساب کاربری،… شما شروع می‌شود.

به عنوان نمونه:



یکی از مال باختگان…  در گفت‌وگو با خبرنگار ایرنا اظهار کرد: حدود ساعت ۱۴ روز پنجشنبه تماسی با من گرفته شد که خود را از رادیو معارف معرفی کرد و گفت که شما برنده ۵۰ میلیون ریال جایزه کمک هزینه سفر به عتبات عالیات شده‌اید. برای گرفتن این جایزه لطفاً شماره کارت خود را بفرمایید که این مبلغ به حساب شما واریز شود.
وی افزود: با خواندن شماره کارت گفتند که این شماره کافی نیست و همکار من اشاره می‌کند که باید تاریخ انقضای کارت و شماره CVV2 را نیز بفرمایید که بتوان این مبلغ را واریز کرد.
این مالباخته گفت: پس از آن شماره رمز دوم را با زبان بازی و نیرنگ از من خواستند و گفتند که همه مبلغ قابل انتقال به یک کارت نیست، لطفاً شماره کارت دیگری بفرمایید که بتوان بقیه مبلغ را به آن واریز کرد.
وی ادامه داد: اما چون کارتم رمز دوم نداشت از من خواستند که به خودپرداز بانک تجارت بروم که آنجا عملیات واریز مبلغ انجام شود.
این مالباخته اضافه کرد: در پایان نیز پس از گفت‌وگوی پیچیده‌ای در کنار خودپرداز که تقریباً من را گیج کرد متوجه شدم که ۳۰ میلیون ریال از حسابم برداشته شده است.”


منبع: خبرگزاری ایرنا –  خالی کردن حساب، جایزه یک مسابقه رادیویی



در واقع کلاه‌برداران با استفاده از ابزارهای مختلف (در اینجا تماس تلفنی در ساعت پخش یک مسابقه رادیویی) و به قول معروف با چرب زبانی و ضمن دادن برخی اطلاعات مبهم سعی در جلب اعتماد قربانی داشته و اطلاعات لازم را از او دریافت کرده و برای اهداف خود استفاده می‌نماید.

socialengineering

در نمونه دیگر کلاه‌برداران با استفاده از جاذبه‌های جنسی سعی در به دام انداختن طعمه خود و اخاذی دارند، توجه به این نمونه از آن جهت اهمیت دارد که در بسیاری از موارد سیاسی و امنیتی نیز قربانیان به روش‌های مشابهی فریفته شده، تحت فشار قرار گرفته و خود یا نزدیکانشان را دچار مخاطرات بزرگ‌تری کرده‌اند.



یک مرد جوان فلسطینی که در خارج زندگی می‌کند، یک شب با دیدن زنی جذاب و نیمه برهنه و فیلم‌برداری از رابطه جنسی دیجیتال به دام یک کلاه‌برداری آنلاین افتاد…. در خانه تنها بودم. دختری به صفحه فیسبوک من پیوست. به نظرم عجیب نیامد چون موارد زیادی پیش آمده بود که دوستان و همکلاسی‌های قدیمی که آنها را خوب نمی‌شناسم به صفحه فیسبوک من پیوسته بودند. روز بعد پیامی برایم فرستاد:”سلام، چطوری؟ پروفایلت را دیدم، از تو خوشم می‌آید.” بعد به صفحه فیسبوک و عکس‌های او دقت کردم. خیلی جذاب و سکسی بود. همان شب از طریق اسکایپ شروع کرد به فرستادن پیام”


منبع: بی بی سی فارسی – کلاهبرداری سکسی در اسکایپ، ثروتی محصول شرمسار کردن دیگران



در ادامه این ماجرا فرد یاد شده گرفتار دام افرادی می‌شود که پشت پرده این ارتباط بوده و فیلم ارسال شده توسط وی را در اختیار دارند!

به بیان دیگر آنچه که از آن به عنوان شیوه مهندسی اجتماعی نام برده می‌شود شامل همه روش‌هایی است که با استفاده از غفلت، ساده اندیشی، کم اطلاعی،… قادر به جلب اعتماد قربانی شده و قبل از انجام عمل مجرمانه، همه اطلاعات لازم را از خود قربانی به دست آورده یا او را ابزار انجام اعمال خود می‌سازند. هکری که با شیوه مهندسی اجتماعی قصد دسترسی به اطلاعات رایانه، ایمیل، حساب بانکی،…  شما را دارد به جای صرف مقدار زیادی وقت برای یافتن رمز عبور، کاری می‌کند که شما آن را به وی تحویل دهید.

social_engineer

روشن است که با استفاده از این روش‌ها امکان گستردن دام‌های بسیاری برای کاربران فضای مجازی وجود دارد، اما برای پرهیز از آنها می‌توان به این چند راهنمایی ساده توجه کرد:

۱-     شک کنید؛ هر چیزی که با ظاهر متعارف برای شما ارسال می‌شود را به‌سرعت و سهولت نپذیرید.

۲-     به تماس، پیامک، ایمیل مشکوک توجه نکنید. بهترین راه برای گرفتار نشدن در این نوع حملات، باز نکردن ایمیل‌های مشکوک است؛ آنها را پاک کنید.

۳-     منبع تماس را بررسی کنید. به‌سادگی و برمبنای اطلاعاتی که تماس گیرنده تلاش می‌کند به شما بدهد، اعتماد نکنید. اگر تماس از طریق تلفن، پیامک، ایمیل بوده، به ویژه آنکه تماس با عنوان یک موسسه یا سازمان است، به مشخصه‌های مربوطه توجه کنید.

·         تماس با شماره تلفن همراه، ولی به نام یک سازمان حتماً مشکوک است

·         پیامک با عنوان یک سازمان، از طریق یک شماره شخصی حتماً باید مورد تردید قرار گیرد

·         ایمیل از طرف یک موسسه اما با استفاده از خدمات رایگان مانند Gmail یا استفاده از دامنه‌هایی که در سایت آن موسسه معرفی نشده، حتماً مشکوک است.

phishing-scam-lrg


۴-     به تماس‌هایی که شما را ترغیب به انجام فوری برخی کارها می‌کند، شک کنید.

·         پیامک، تماس تلفنی، ایمیلی که ادعای هدیه دادن، و یا هشدار فوری برای از دست دادن حساب کاربری، یا لو رفتن رمز عبورتان را کرده و شما را تشویق به اقدام فوری می‌کند، ابتدا بررسی کرده و در پاسخ دادن عجله نکنید.

·         به سایت موسسه مربوطه مراجعه کرده، یا تلاش کنید با تماس تلفنی (نه با جایی که در پیام‌ها شما را به آن ارجاع داده‌اند، بلکه با شماره‌هایی که از منابع معتبر به دست می‌آورید) از صحت ادعاهای مطرح شده اطمینان کسب کنید.

·         بهتر است که ایمیل، یا پیامک، یا مشخصه‌های تماس دریافتی را به بخش‌های مرتبط در موسسه مربوطه ارسال کرده و تا دریافت پاسخ از آنها دست نگه دارید.

۵-     هر درخواستی که با رفتار شناخته شده قبلی آن موسسه یا فرد تماس گیرنده سازگاری ندارد را به عنوان یک نشانه برای تردید تلقی کنید.

به عنوان نمونه بانک هرگز از شما درخواست نمی‌کند، رمز عبور یا اطلاعات دیگرتان را از طریق ایمیل برای آنها ارسال کنید، پس هر درخواست به نام بانک با چنین محتوایی مشکوک است.

۶-     سارقین فقط به دنبال اطلاعات حساب‌های بانکی شما نیستند، اینکه بگویید “مشخصات من به چه دردی می‌خورد” برداشتی اشتباه است. هر نوع اطلاعات خصوصی شما می‌تواند بخشی از ابزار اقدامات خرابکارانه علیه شما باشد. قبل از به اشتراک گذاشتن اطلاعات، مشخصات فردی، تصاویر، خاطرات،… درباره سوءاستفاده‌های احتمالی از آنها فکر کنید، اما مهم‌تر اینکه: پیام، تماس تلفنی، ایمیل،… را که درخواست اطلاعاتی چون نشانی، مشخصات کارت بانکی، مشخصات فردی،… شما را می‌کند، به عنوان یک زنگ خطر در نظر بگیرید. این بدان معناست که خطر به شما نزدیک شده و لازم است تلاش بیشتری برای حفاظت از اطلاعات خود بکنید.

۷-     پیامک، تماس، ایمیل مشکوک ممکن است به هر زبانی برای شما ارسال شود، به ویژه آنکه اگر حاوی پیشنهاد یا امتیاز خاصی برای شما باشد که برای آن اقدامی نکرده‌اید و یا خارج از روند متعارف است.
احتمال دارد ایمیلی به زبان انگلیسی از شرکتی دریافت کنید که مدعی شده به تخصص شما نیاز دارد و برای طی مراحل بعدی باید اطلاعات سایر حساب‌های کاربری‌تان را در اختیار بگذارید، و به این منظور لینک‌هایی را نیز در ایمیل ذکر کرده باشد. قبل از آزمودن لینک‌های ناشناس، منبع را بررسی کنید.

social_engineering_logo-1

۸-     دنبال کردن لینک‌های پیام‌های دریافت شده از منابع ناشناس، مانند دنبال کردن مسیر یک فرد ناشناس در یک محله ناشناس است. برای پیشگیری از بروز مخاطرات امنیتی لینک‌های پیام‌ها ناشناس را دنبال نکنید، همچنین هرگز از طریق لینک‌های فرستاده شده در ایمیل وارد حساب‌های کاربری، حساب بانکی،… خود نشوید.

·         اطلاعات خود به ویژه اطلاعات حساس بانکی را تنها در وب سایت‌های شناخته شده وارد کنید. نشانی وب سایت‌های ایمن با کلمه HTTPS مشخص شده و عموماً یک نشان سبز رنگ در کنار آن قرار دارد.

·         هر تغییر در ظاهر و مشخصه‌های وب سایت‌های مهم چون خدمات دهنده ایمیل، بانک،… را با وسواس بررسی کنید.

۹-     امنیت کامپیوتر خود را با نصب نرم‌افزارهای امنیتی و دیواره‌های آتش افزایش دهید، و به پیغام‌هایی که مرورگر یا نرم‌افزار امنیتی درباره سایت‌های مشکوک و با محتوای غیر ایمن می‌دهند توجه کرده و آنها را جدی بگیرید.

۱۰-       اگر از جعلی بودن درخواست‌ها یقین کردید آن را برای اطلاع دیگران نشر دهید و سازمان‌های مسئول را نیز مطلع سازید. افزایش آگاهی دیگران موجب ناکامی طرح‌های خرابکارانه می‌شود.

۱۱-       حساب‌های کاربری خود در سایت‌های مختلف را به صورت منظم بررسی کنید. هیچ ضرری ندارد که شما حساب‌های آنلاین به خصوص حساب‌های بانکی‌تان را به صورت منظم بررسی کنید، تا اگر اتفاق عجیبی در آن افتاده باشد، به موقع از آن با خبر شوید. این اتفاقات شامل تراکنش‌های مالی، تغییرات در خدمات و مشخصه‌های ظاهری سایت، و پیام‌های دیده نشده، و… است.

two_persons_sitting_image

اما برای حفظ آمادگی و ایمنی خود در مقابل چالش‌های امنیتی لازم است که خبرهای مربوط به امنیت دیجیتال را دنبال کنید.

منابع مفید در این زمینه:


ویدیوهای آموزشی امن گذر را از اینـجـا ببینید.


برای دسترسی به آرشیو بخش امن گذر، اینـجا و همینطور اینـجا را کلیک کنید.