کلاهبرداران سایبری چگونه ذهن قربانیان را هک میکنند؟
مجرمان سایبری دیگر فقط به هک کردن رایانهها فکر نمیکنند؛ آنها ابتدا ذهن قربانی را هک میکنند. کارشناسان امنیت سایبری میگویند موفقیت بسیاری از حملات فیشینگ و کلاهبرداریهای اینترنتی نه به فناوری، بلکه به شناخت دقیق احساسات و رفتار انسان وابسته است؛ روشی که در دنیای امنیت با عنوان «مهندسی اجتماعی» شناخته میشود.
دیگر دوران کلاهبرداریهای ساده اینترنتی به پایان رسیده است. امروزه قربانی شدن در یک حمله فیشینگ یا کلاهبرداری سایبری، لزوماً به معنای ناآگاهی یا بیتجربگی نیست. مجرمان سایبری طی سالها فعالیت، روشهای خود را بهگونهای تکامل دادهاند که بتوانند حتی کاربران آگاه را نیز فریب دهند.
کارشناسان امنیت سایبری معتقدند آنچه امروز بیش از هر آسیبپذیری نرمافزاری مورد سوءاستفاده قرار میگیرد، ذهن انسان است. هکرها با بهرهگیری از اصول روانشناسی، احساسات قربانی را هدف میگیرند تا او را به انجام اقداماتی وادار کنند که در شرایط عادی هرگز مرتکب آنها نمیشد.
مهندسی اجتماعی؛ حمله به ذهن به جای رایانه
در حملات مهندسی اجتماعی، مجرمان سایبری به جای نفوذ مستقیم به سیستمهای رایانهای، تلاش میکنند اعتماد، ترس، هیجان یا اضطراب قربانی را تحریک کنند. هنگامی که فرد تحت فشار روانی قرار میگیرد، قدرت تحلیل او کاهش مییابد و احتمال تصمیمگیریهای عجولانه افزایش پیدا میکند.
به همین دلیل، کارشناسان توصیه میکنند هر زمان در تماس تلفنی، پیامک یا شبکههای اجتماعی با درخواستی فوری، تهدیدآمیز یا غیرمنتظره مواجه شدید، پیش از هر اقدامی چند ثانیه مکث کنید و از خود بپرسید: «اکنون چه احساسی دارم؟ آیا طرف مقابل در حال سوءاستفاده از همین احساس است؟»
بررسیها نشان میدهد چهار احساس بیش از همه در حملات مهندسی اجتماعی مورد سوءاستفاده قرار میگیرند:
- ترس و اضطراب
- هیجان و خوشحالی
- احساس گناه یا شرمندگی
- شوک و غافلگیری
نخستین گام؛ مطمئن شوید با چه کسی صحبت میکنید
یکی از مهمترین توصیههای کارشناسان امنیت سایبری، بررسی هویت واقعی فرد یا سازمانی است که با شما تماس گرفته است.
اگر فردی خود را کارمند بانک، شرکت مخابرات، اداره مالیات یا هر سازمان دیگری معرفی کرد، نباید صرفاً به گفته او اعتماد کنید. بهترین راه این است که به وبسایت رسمی آن سازمان مراجعه کرده و از طریق شمارههای تماس منتشرشده در همان وبسایت ارتباط برقرار کنید.
همچنین دریافت تماس یا پیام از طریق پیامرسانها و شبکههای اجتماعی باید حساسیت بیشتری ایجاد کند؛ زیرا شرکتها و نهادهای معتبر معمولاً از این بسترها برای انجام امور حساس مالی یا امنیتی استفاده نمیکنند.
بازی با احساسات؛ مهمترین سلاح کلاهبرداران
یکی از رایجترین شگردهای مجرمان سایبری، ایجاد نوسان شدید احساسی در قربانی است.
برای مثال، ممکن است ایمیلی دریافت کنید که ظاهراً از سوی تیم پشتیبانی یک سرویس اینترنتی ارسال شده و در آن اعلام شود فردی از کشوری دیگر تلاش کرده است وارد حساب کاربری شما شود.
همین خبر کافی است تا احساس نگرانی در شما ایجاد شود.
اما بلافاصله در ادامه پیام نوشته میشود که این تلاش ناموفق بوده و حساب شما در امنیت کامل قرار دارد. در همین لحظه، احساس آرامش میکنید.
چند خط بعد، دوباره اعلام میشود که اطلاعات بانکی یا کارت پرداخت شما احتمالاً به خطر افتاده است و برای جلوگیری از سوءاستفاده، باید فوراً روی لینکی کلیک کنید یا اطلاعات خود را تأیید کنید.
کارشناسان میگویند این تغییر مداوم میان ترس و آرامش، نوعی «ترن هوایی احساسی» ایجاد میکند که قدرت تفکر منطقی را کاهش میدهد و احتمال تصمیمگیری نادرست را افزایش میدهد.
دانستن اطلاعات شخصی، نشانه معتبر بودن نیست
بسیاری از قربانیان تنها به این دلیل فریب میخورند که فرد تماسگیرنده اطلاعات دقیقی درباره آنها دارد.
نام کامل، شماره تلفن، نشانی ایمیل، نام بانک، اپراتور تلفن همراه، سوابق خرید اینترنتی یا حتی جزئیات قراردادهای مالی ممکن است در اختیار کلاهبرداران باشد.
اما کارشناسان هشدار میدهند این اطلاعات معمولاً از طریق نشتهای گسترده اطلاعاتی یا خریدوفروش دادههای کاربران در بازارهای زیرزمینی به دست آمدهاند و آگاهی از آنها به هیچ عنوان نشانه قانونی یا معتبر بودن تماس نیست.
ترس؛ قدرتمندترین ابزار مجرمان سایبری
وقتی وعدههای وسوسهکننده کارایی خود را از دست میدهد، نوبت به تهدید میرسد.
پیامهایی مانند:
- حساب شما هک شده است.
- به دلیل فرار مالیاتی تحت پیگرد قرار میگیرید.
- اگر همین حالا اقدام نکنید، دسترسی شما قطع خواهد شد.
- اطلاعات خصوصی شما منتشر میشود.
- علیه شما پرونده قضایی تشکیل شده است.
از جمله رایجترین سناریوهایی هستند که مجرمان سایبری برای ایجاد وحشت در قربانی به کار میگیرند.
کارشناسان تأکید میکنند اگر فردی همزمان با ایجاد ترس، از شما بخواهد پولی واریز کنید، اطلاعات محرمانهای در اختیارش قرار دهید یا رمزهای بانکی و کدهای تأیید را برای او ارسال کنید، تقریباً با اطمینان کامل میتوان گفت با یک کلاهبردار روبهرو هستید.
سواستفاده از نام مقامهای دولتی
یکی دیگر از ترفندهای رایج مجرمان سایبری، سوءاستفاده از نام مقامهای ارشد، مأموران پلیس، دادستانها یا مسئولان سازمانهای دولتی است.
در چنین شرایطی، مجرمان تلاش میکنند با القای قدرت و اقتدار، قربانی را وادار به اطاعت و تصمیمگیری عجولانه کنند.
کارشناسان یادآوری میکنند که مقامهای رسمی بهندرت بهطور مستقیم با شهروندان تماس میگیرند و از آنها نمیخواهند اطلاعات محرمانه، رمزهای بانکی، کدهای تأیید یا مبالغ مالی را در اختیارشان قرار دهند.
پیشنهادهای وسوسهکنندهای که نباید باور کنید
هدیهای غیرمنتظره، بسته پستی ناشناس، دستهگل رایگان، کوپن تخفیف یا حتی وعده دریافت رمزارز و NFT رایگان، همگی میتوانند بخشی از یک عملیات مهندسی اجتماعی باشند.
در برخی موارد، بستهای برای قربانی ارسال میشود که روی آن یک کد QR قرار دارد و از او خواسته میشود برای مشاهده مشخصات فرستنده یا دریافت هدیه آن را اسکن کند.
اما این کد در واقع کاربر را به یک صفحه فیشینگ هدایت میکند تا اطلاعات کارت بانکی، رمزهای عبور یا حتی نرمافزارهای مخرب روی تلفن همراه او نصب شود.
در سناریوی دیگری، فردی با عنوان مأمور شرکت پستی تماس میگیرد و برای تحویل هدیه یا بسته، کد پیامکی ارسالشده به تلفن همراه قربانی را درخواست میکند؛ کدی که در واقع کلید ورود به حساب بانکی یا خدمات دولتی اوست.
ایجاد حس فوریت؛ چرا کلاهبرداران به شما فرصت فکر کردن نمیدهند؟
یکی از شناختهشدهترین تاکتیکهای مهندسی اجتماعی، ایجاد حس اضطرار است. مجرمان سایبری تلاش میکنند قربانی تصور کند تنها چند دقیقه برای تصمیمگیری فرصت دارد و هرگونه تأخیر، خسارتی جبرانناپذیر به دنبال خواهد داشت. جملاتی مانند «تماس را قطع نکنید»، «اگر تا هشت ساعت آینده پاسخ ندهید، علیه شما پرونده قضایی تشکیل میشود»، «فوراً به بانک مراجعه کنید» یا «این آخرین فرصت شما برای جلوگیری از سرقت موجودی حساب است»، همگی با هدف از بین بردن فرصت تفکر منطقی بیان میشوند.
کارشناسان امنیت سایبری میگویند بسیاری از کلاهبرداران حتی قربانی را مجبور میکنند در تمام مدت تماس، تلفن را قطع نکند تا فرصت جستوجو در اینترنت، تماس با اعضای خانواده یا مشورت با فرد دیگری را نداشته باشد. در برخی سناریوها نیز به قربانی گفته میشود که موضوع «کاملاً محرمانه» است و نباید آن را با هیچ فرد دیگری، حتی نزدیکترین اعضای خانواده، در میان بگذارد.
گاهی نیز از قربانی خواسته میشود بهصورت شفاهی یک توافقنامه محرمانگی (NDA) را بپذیرد و به او هشدار داده میشود که افشای موضوع، روند تحقیقات را مختل خواهد کرد. در حالی که کارشناسان تأکید میکنند هیچ شرکت خصوصی یا نهاد دولتی برای رسیدگی به یک پرونده عادی، از شهروندان نمیخواهد موضوع را از خانواده یا اطرافیان خود پنهان کنند. این روش تنها با هدف منزوی کردن قربانی و جلوگیری از دریافت مشورت طراحی شده است.
احساس گناه؛ ابزاری برای کنترل قربانی
برخی کلاهبرداران پس از جلب اعتماد اولیه، تلاش میکنند قربانی را مقصر جلوه دهند. برای مثال، فردی که خود را کارشناس پشتیبانی معرفی کرده است، ممکن است بگوید: «آخرین بار چه زمانی رمز عبورتان را تغییر داده بودید؟ مگر هشدارهای امنیتی ما را ندیدید؟» یا «در پیامک بهوضوح نوشته بود این کد را در اختیار کسی قرار ندهید؛ چرا آن را برای دیگران ارسال کردید؟»
هدف از بیان این جملات، ایجاد احساس شرمندگی و ناتوانی در قربانی است؛ احساسی که باعث میشود تصور کند دیگر توان مدیریت شرایط را ندارد و تنها راه نجات، پیروی از دستورات همان فردی است که در واقع کلاهبردار است.
کارشناسان تأکید میکنند حتی اگر اشتباهی مرتکب شده باشید، نباید خود را سرزنش کنید. هر فردی ممکن است در یک روز پرتنش یا هنگام مواجهه با فشار روانی، تصمیمی عجولانه بگیرد.
کلاهبرداری چندمرحلهای؛ وقتی «منجی» هم عضو باند است
یکی از پیچیدهترین روشهای مهندسی اجتماعی، اجرای سناریوهای چندمرحلهای است. در این شیوه، ابتدا فردی با عنوان کارمند بانک یا شرکت خدماتی با قربانی تماس میگیرد و از او میخواهد برای بهروزرسانی اطلاعات حساب، کد تأیید یا اطلاعات بانکی خود را اعلام کند. اندکی بعد، تماس قطع میشود یا پیامکی برای قربانی ارسال میشود که در آن هشدار داده شده است: «شما همین حالا هدف کلاهبرداری قرار گرفتهاید» و باید فوراً با شمارهای دیگر تماس بگیرید.
در برخی موارد، حتی افرادی که خود را مأموران پلیس، نیروهای امنیتی یا مأموران فدرال معرفی میکنند، وارد ماجرا میشوند و ادعا میکنند در حال پیگیری پرونده هستند. واقعیت این است که همه این افراد اعضای یک شبکه کلاهبرداری هستند. در ادامه، آنها ادعا میکنند حساب بانکی قربانی در آستانه خالی شدن است و برای حفظ داراییها باید تمام موجودی به «حساب امن» منتقل شود؛ یا اینکه به نام او وامی دریافت شده و تنها راه جلوگیری از خسارت، اجرای دستورالعملهای آنان است.
کارشناسان هشدار میدهند هرگز با شماره تلفن یا نشانی ایمیلی که در چنین پیامهایی ارسال میشود تماس نگیرید. در صورت نیاز، اطلاعات تماس سازمان مربوطه را فقط از طریق وبسایت رسمی آن به دست آورده و از همان مسیر ارتباط برقرار کنید. همچنین هیچ نهاد دولتی یا شرکت خصوصی، تماسهای تلفنی شهروندان را برای تشخیص ارتباط با کلاهبرداران شنود نمیکند؛ ادعایی که گاهی از سوی مجرمان مطرح میشود.
اگر قربانی شدید، چه باید کرد؟
متخصصان امنیت سایبری تأکید میکنند نخستین اقدام پس از گرفتار شدن در دام کلاهبرداران، حفظ آرامش است. آنها توصیه میکنند ابتدا مشخص کنید دقیقاً چه اطلاعاتی در اختیار مجرمان قرار گرفته است؛ زیرا اقدامات بعدی به همین موضوع بستگی دارد. اگر رمز عبور یا کد تأیید پیامکی خود را در اختیار دیگران قرار دادهاید، باید بلافاصله رمز عبور آن حساب را تغییر دهید. اگر از همان رمز در سرویسهای دیگر نیز استفاده کردهاید، رمز عبور همه آن حسابها را نیز تغییر دهید.
همچنین، فعال کردن احراز هویت دومرحلهای میتواند امنیت حسابهای کاربری را افزایش دهد. اگر اطلاعات کارت بانکی خود را افشا کردهاید، باید بدون اتلاف وقت با بانک تماس بگیرید و درخواست مسدود شدن کارت را ثبت کنید. در صورتی که تراکنش غیرمجازی از حساب شما انجام شده باشد، لازم است درباره امکان پیگیری و اعتراض به آن تراکنش از بانک سؤال کنید.
چنانچه روی لینک مشکوکی کلیک کرده یا فایل ناشناسی را دانلود کردهاید، باید دستگاه خود را با یک آنتیویروس معتبر اسکن کنید؛ زیرا بسیاری از بدافزارها بدون ایجاد نشانههای ظاهری روی دستگاه باقی میمانند و شناسایی آنها بدون استفاده از ابزارهای امنیتی، تقریباً غیرممکن است.
بهترین راه مقابله، حفظ آرامش و راستیآزمایی است
بررسیهای کارشناسان نشان میدهد تقریباً همه حملات مهندسی اجتماعی یک ویژگی مشترک دارند: تلاش برای از بین بردن فرصت فکر کردن. مجرمان سایبری میخواهند قربانی پیش از آنکه بتواند صحت اطلاعات را بررسی کند، تصمیم بگیرد، پولی انتقال دهد، کد تأیید را اعلام کند یا روی لینکی کلیک کند. به همین دلیل، متخصصان امنیت سایبری توصیه میکنند در مواجهه با هر پیام یا تماس غیرمنتظره، ابتدا مکث کنید، هویت طرف مقابل را از طریق کانالهای رسمی بررسی کنید و از مشورت با خانواده، دوستان یا کارشناسان امنیت غافل نشوید.
واقعیت این است که در دنیای امروز، دیگر هدف اصلی هکرها رایانهها نیستند؛ بلکه ذهن انسانهاست. هرچه آگاهی کاربران درباره شگردهای مهندسی اجتماعی بیشتر باشد، احتمال موفقیت کلاهبرداران نیز کمتر خواهد بود.