جستجو در محصولات

گالری پروژه های افتر افکت
گالری پروژه های PSD
جستجو در محصولات


تبلیغ بانک ها در صفحات
ربات ساز تلگرام در صفحات
ایمن نیوز در صفحات
.. سیستم ارسال پیامک ..
حملات مبتني بر مهندسي اجتماعي
-(0 Body) 
حملات مبتني بر مهندسي اجتماعي
Visitor 182
Category: دنياي فن آوري
آيا شما از جمله افرادي مي باشيد که به ظاهر افراد و نحوه برخورد آنان بسيار اهميت داده و با طرح صرفا" يک سوال از حانب آنان، هر آنچه را که در ارتباط با يک موضوع خاص مي دانيد در اختيار آنان قرار مي دهيد ؟ رفتار فوق گرچه مي تواند در موارد زيادي دستاوردهاي مثبتي را براي شما بدنبال داشته باشد، ولي در برخي حالات نيز ممکن است چالش ها و يا مسائل خاصي را براي شما و يا سازمان شما، ايجاد نمايد. آيا وجود اينگونه افراد در يک سازمان مدرن اطلاعاتي ( خصوصا" سازماني که با داده هاي حساس و مهم سروکار دارد ) نمي تواند تهديدي در مقابل امنيت آن سازمان محسوب گردد ؟ به منظور ارائه اطلاعات حساس خود و يا سازمان خود از چه سياست ها و رويه هائي استفاده مي نمائيد ؟ آيا در چنين مواردي تابع مجموعه مقررات و سياست هاي خاصي مي باشيد ؟ صرفنظر از پاسخي که شما به هر يک از سوالات فوق خواهيد داد، يک اصل مهم در اين راستا وجود دارد که مي بايست همواره به آن اعتقاد داشت : " هرگز اطلاعات حساس خود و يا سازمان خود را در اختيار ديگران قرار نداده مگر اين که مطمئن شويد که آن فرد همان شخصي است که ادعا مي نمايد و مي بايست به آن اطلاعات نيز دستيابي داشته باشد ."

يک حمله مهندسي اجتماعي چيست ؟

به منظور تدارک و يا برنامه ريزي يک تهاجم از نوع حملات مهندسي اجتماعي ، يک مهاجم با برقراري ارتباط با کاربران و استفاده از مهارت هاي اجتماعي خاص ( روابط عمومي مناسب ، ظاهري آراسته و ... ) ، سعي مي نمايد به اطلاعات حساس يک سازمان و يا کامپيوتر شما دستيابي و يا به آنان آسيب رساند . يک مهاجم ممکن است خود را به عنوان فردي متواضع و قابل احترام نشان دهد . مثلا" وانمود نمايد که يک کارمند جديد است ، يک تعمير کار است و يا يک محقق و حتي اطلاعات حساس و شخصي خود را به منظور تائيد هويت خود به شما ارائه نمايد . يک مهاجم ، با طرح سوالات متعدد و برقراري يک ارتباط منطقي بين آنان،مي تواند به بخش هائي از اطلاعات مورد نياز خود به منظور نفوذ در شبکه سازمان شما دستيابي پيدا نمايد . در صورتي که يک مهاجم قادر به اخذ اطلاعات مورد نياز خود از يک منبع نگردد ، وي ممکن است با شخص ديگري از همان سازمان ارتباط برقرار نموده تا با کسب اطلاعات تکميلي و تلفيق آنان با اطلاعات اخذ شده از منبع اول ، توانمندي خود را افزايش دهد . ( يک قرباني ديگر ! ) .

يک حمله Phishing چيست ؟

اين نوع از حملات شکل خاصي از حملات مهندسي اجتماعي بوده که با هدف کلاهبرداري و شيادي سازماندهي مي شوند . در حملات فوق از آدرس هاي Email و يا وب سايت هاي مخرب به منظور جلب نظر کاربران و دريافت اطلاعات شخصي آنان نظير اطلاعات مالي استفاده مي گردد . مهاجمان ممکن است با ارسال يک Email با ظاهري قابل قبول و از يک شرکت معتبر کارت اعتباري و يا موسسات مالي ، از شما درخواست اطلاعات مالي را نموده و اغلب عنوان نمايند که يک مشکل خاص ايجاد شده است و ما در صدد رفع آن مي باشيم . پس از پاسخ کاربران به اطلاعات درخواستي ، مهاجمان از اطلاعات اخذ شده به منظور دستيابي به ساير اطلاعات مالي و بانکي استفاده مي نمايند.

نحوه پيشگيري از حملات مهندسي اجتماعي و کلاهبرداري

• به تلفن ها ، نامه هاي الکترونيکي و ملاقات هائي که عموما" ناخواسته بوده و در آنان از شما درخواست اطلاعاتي خاص در مورد کارکنان و يا ساير اطلاعات شخصي مي گردد ، مشکوک بوده و با ديده سوء ظن به آنان نگاه کنيد . در صورتي که يک فرد ناشناس ادعا مي نمايد که از يک سازمان معتبر است ، سعي نمائيد با سازمان مورد ادعاي وي تماس گرفته و نسبت به هويت وي کسب تکليف کنيد .
• هرگز اطلاعات شخصي و يا اطلاعات مربوط به سازمان خود را ( مثلا" ساختار و يا شبکه ها ) در اختيار ديگران قرار ندهيد ، مگر اين که اطمينان حاصل گردد که فرد متقاضي مجور لازم به منظور دستيابي به اطلاعات درخواستي را دارا مي باشد .
• هرگر اطلاعات شخصي و يا مالي خود را در يک email افشاء نکرده و به نامه هاي الکترونيکي ناخواسته اي که درخواست اين نوع اطلاعات را از شما مي نمايند ، پاسخ ندهيد( به لينک هاي موجود در اينگونه نامه هاي الکترونيکي ناخواسته نيز توجهي نداشته باشيد ) .
• هرگز اطلاعات حساس و مهم شخصي خود و يا سازمان خود را بر روي اينترنت ارسال ننمائيد . قبل از ارسال اينگونه اطلاعات حساس ، مي بايست Privacy وب سايت مورد نظر به دقت مطالعه شده تا مشخص گردد که اهداف آنان از جمع آوري اطلاعات شخصي شما چيست و نحوه برخورد آنان با اطلاعات به چه صورت است ؟
• دقت لازم در خصوص آدرس URL يک وب سايـت را داشته باشيد . وب سايت هاي مخرب ممکن است خود را مشابه يک وب سايت معتبر ارائه نموده که آدرس URL آنان داراي تفاوت اندکي با وب سايـت هاي شناخته شده باشد . وجود تفاوت اندک در حروف استفاده شده براي نام سايت و يا تفاوت در domain ، نمونه هائي در اين زمينه مي باشند ( مثلا" com . در مقابل net .) .
• در صورت عدم اطمينان از معتبر بودن يک Email دريافتي، سعي نمائيد با برقراري تماس مستقيم با شرکت مربوطه نسبت به هويت آن اطمينان حاصل نمائيد . از اطلاعات موجود بر روي يک سايت مخرب به منظور تماس با آنان استفاده نمائيد چراکه اين اطلاعات مي تواند شما را به مسيري ديگر هدايت نمايد که صرفا" اهداف مهاجمان را تامين نمايد . به منظور آگاهي از اين نوع حملات که تاکنون بوقوع پيوسته است ، مي توانيد به آدرس http://www.antiphishing.org/phishing_archive.html ، مراجعه نمائيد .
• با نصب و نگهداري نرم افزارهاي آنتي ويروس ، فايروال ها و فيلترينگ نامه هاي الکترونيکي ناخواسته ( spam ) ، سعي نمائيد يک سطح حفاظتي مناسب به منظور کاهش اين نوع حملات را ايجاد نمائيد .

اقدامات لازم در صورت بروز تهاجم

• در صورتي که فکر مي کنيد به هر دليلي اطلاعات حساس سازمان خود را در اختيار ديگران ( افراد غير مجاز ) قرار داده ايد ، بلافاصله موضوع را به اطلاع افراد ذيربط شاغل در سازمان خود ( مثلا" مديران شبکه ) برسانيد . آنان مي توانند در خصوص هر گونه فعاليت هاي غيرمعمول ويا مشکوک،هشدارهاي لازم را در اسرع وقت در اختيار ديگران قرار دهند .
• در صورتي که فکر مي کنيد اطلاعات مالي شما ممکن است در معرض تهديد قرار گرفته شده باشد ، بلافاصله با موسسه مالي خود تماس حاصل نموده و تمامي حساب هاي مالي در معرض تهديد را مسدود نمائيد. در اين رابطه لازم است دقت ، حساسيت و کنترل لازم در خصوص هر گونه برداشت از حساب هاي بانکي خود را داشته باشيد .
• گزارشي در خصوص نوع تهاجم را تهيه نموده و آن را در اختيار سازمان هاي ذيربط قانوني قرار دهيد .
Add Comments
Name:
Email:  
User Comments:
SecurityCode: Captcha ImageChange Image