کد خبر: ۳۸۰

کلاهبرداران سایبری چگونه ذهن قربانیان را هک می‌کنند؟

مهندسی اجتماعی

مجرمان سایبری دیگر فقط به هک کردن رایانه‌ها فکر نمی‌کنند؛ آن‌ها ابتدا ذهن قربانی را هک می‌کنند. کارشناسان امنیت سایبری می‌گویند موفقیت بسیاری از حملات فیشینگ و کلاهبرداری‌های اینترنتی نه به فناوری، بلکه به شناخت دقیق احساسات و رفتار انسان وابسته است؛ روشی که در دنیای امنیت با عنوان «مهندسی اجتماعی» شناخته می‌شود.

هانا حیدری
خبرنگار:
هانا حیدری

دیگر دوران کلاهبرداری‌های ساده اینترنتی به پایان رسیده است. امروزه قربانی شدن در یک حمله فیشینگ یا کلاهبرداری سایبری، لزوماً به معنای ناآگاهی یا بی‌تجربگی نیست. مجرمان سایبری طی سال‌ها فعالیت، روش‌های خود را به‌گونه‌ای تکامل داده‌اند که بتوانند حتی کاربران آگاه را نیز فریب دهند.

کارشناسان امنیت سایبری معتقدند آنچه امروز بیش از هر آسیب‌پذیری نرم‌افزاری مورد سوءاستفاده قرار می‌گیرد، ذهن انسان است. هکرها با بهره‌گیری از اصول روان‌شناسی، احساسات قربانی را هدف می‌گیرند تا او را به انجام اقداماتی وادار کنند که در شرایط عادی هرگز مرتکب آن‌ها نمی‌شد.

مهندسی اجتماعی؛ حمله به ذهن به جای رایانه

در حملات مهندسی اجتماعی، مجرمان سایبری به جای نفوذ مستقیم به سیستم‌های رایانه‌ای، تلاش می‌کنند اعتماد، ترس، هیجان یا اضطراب قربانی را تحریک کنند. هنگامی که فرد تحت فشار روانی قرار می‌گیرد، قدرت تحلیل او کاهش می‌یابد و احتمال تصمیم‌گیری‌های عجولانه افزایش پیدا می‌کند.

به همین دلیل، کارشناسان توصیه می‌کنند هر زمان در تماس تلفنی، پیامک یا شبکه‌های اجتماعی با درخواستی فوری، تهدیدآمیز یا غیرمنتظره مواجه شدید، پیش از هر اقدامی چند ثانیه مکث کنید و از خود بپرسید: «اکنون چه احساسی دارم؟ آیا طرف مقابل در حال سوءاستفاده از همین احساس است؟»

بررسی‌ها نشان می‌دهد چهار احساس بیش از همه در حملات مهندسی اجتماعی مورد سوءاستفاده قرار می‌گیرند:

  • ترس و اضطراب
  • هیجان و خوشحالی
  • احساس گناه یا شرمندگی
  • شوک و غافلگیری

نخستین گام؛ مطمئن شوید با چه کسی صحبت می‌کنید

یکی از مهم‌ترین توصیه‌های کارشناسان امنیت سایبری، بررسی هویت واقعی فرد یا سازمانی است که با شما تماس گرفته است.

اگر فردی خود را کارمند بانک، شرکت مخابرات، اداره مالیات یا هر سازمان دیگری معرفی کرد، نباید صرفاً به گفته او اعتماد کنید. بهترین راه این است که به وب‌سایت رسمی آن سازمان مراجعه کرده و از طریق شماره‌های تماس منتشرشده در همان وب‌سایت ارتباط برقرار کنید.

همچنین دریافت تماس یا پیام از طریق پیام‌رسان‌ها و شبکه‌های اجتماعی باید حساسیت بیشتری ایجاد کند؛ زیرا شرکت‌ها و نهادهای معتبر معمولاً از این بسترها برای انجام امور حساس مالی یا امنیتی استفاده نمی‌کنند.

بازی با احساسات؛ مهم‌ترین سلاح کلاهبرداران

یکی از رایج‌ترین شگردهای مجرمان سایبری، ایجاد نوسان شدید احساسی در قربانی است.

برای مثال، ممکن است ایمیلی دریافت کنید که ظاهراً از سوی تیم پشتیبانی یک سرویس اینترنتی ارسال شده و در آن اعلام شود فردی از کشوری دیگر تلاش کرده است وارد حساب کاربری شما شود.

همین خبر کافی است تا احساس نگرانی در شما ایجاد شود.

اما بلافاصله در ادامه پیام نوشته می‌شود که این تلاش ناموفق بوده و حساب شما در امنیت کامل قرار دارد. در همین لحظه، احساس آرامش می‌کنید.

چند خط بعد، دوباره اعلام می‌شود که اطلاعات بانکی یا کارت پرداخت شما احتمالاً به خطر افتاده است و برای جلوگیری از سوءاستفاده، باید فوراً روی لینکی کلیک کنید یا اطلاعات خود را تأیید کنید.

کارشناسان می‌گویند این تغییر مداوم میان ترس و آرامش، نوعی «ترن هوایی احساسی» ایجاد می‌کند که قدرت تفکر منطقی را کاهش می‌دهد و احتمال تصمیم‌گیری نادرست را افزایش می‌دهد.

دانستن اطلاعات شخصی، نشانه معتبر بودن نیست

بسیاری از قربانیان تنها به این دلیل فریب می‌خورند که فرد تماس‌گیرنده اطلاعات دقیقی درباره آن‌ها دارد.

نام کامل، شماره تلفن، نشانی ایمیل، نام بانک، اپراتور تلفن همراه، سوابق خرید اینترنتی یا حتی جزئیات قراردادهای مالی ممکن است در اختیار کلاهبرداران باشد.

اما کارشناسان هشدار می‌دهند این اطلاعات معمولاً از طریق نشت‌های گسترده اطلاعاتی یا خریدوفروش داده‌های کاربران در بازارهای زیرزمینی به دست آمده‌اند و آگاهی از آن‌ها به هیچ عنوان نشانه قانونی یا معتبر بودن تماس نیست.

ترس؛ قدرتمندترین ابزار مجرمان سایبری

وقتی وعده‌های وسوسه‌کننده کارایی خود را از دست می‌دهد، نوبت به تهدید می‌رسد.

پیام‌هایی مانند:

  • حساب شما هک شده است.
  • به دلیل فرار مالیاتی تحت پیگرد قرار می‌گیرید.
  • اگر همین حالا اقدام نکنید، دسترسی شما قطع خواهد شد.
  • اطلاعات خصوصی شما منتشر می‌شود.
  • علیه شما پرونده قضایی تشکیل شده است.

 از جمله رایج‌ترین سناریوهایی هستند که مجرمان سایبری برای ایجاد وحشت در قربانی به کار می‌گیرند.

کارشناسان تأکید می‌کنند اگر فردی همزمان با ایجاد ترس، از شما بخواهد پولی واریز کنید، اطلاعات محرمانه‌ای در اختیارش قرار دهید یا رمزهای بانکی و کدهای تأیید را برای او ارسال کنید، تقریباً با اطمینان کامل می‌توان گفت با یک کلاهبردار روبه‌رو هستید.

سواستفاده از نام مقام‌های دولتی

یکی دیگر از ترفندهای رایج مجرمان سایبری، سوءاستفاده از نام مقام‌های ارشد، مأموران پلیس، دادستان‌ها یا مسئولان سازمان‌های دولتی است.

در چنین شرایطی، مجرمان تلاش می‌کنند با القای قدرت و اقتدار، قربانی را وادار به اطاعت و تصمیم‌گیری عجولانه کنند.

کارشناسان یادآوری می‌کنند که مقام‌های رسمی به‌ندرت به‌طور مستقیم با شهروندان تماس می‌گیرند و از آن‌ها نمی‌خواهند اطلاعات محرمانه، رمزهای بانکی، کدهای تأیید یا مبالغ مالی را در اختیارشان قرار دهند.

پیشنهادهای وسوسه‌کننده‌ای که نباید باور کنید

هدیه‌ای غیرمنتظره، بسته پستی ناشناس، دسته‌گل رایگان، کوپن تخفیف یا حتی وعده دریافت رمزارز و NFT رایگان، همگی می‌توانند بخشی از یک عملیات مهندسی اجتماعی باشند.

در برخی موارد، بسته‌ای برای قربانی ارسال می‌شود که روی آن یک کد QR قرار دارد و از او خواسته می‌شود برای مشاهده مشخصات فرستنده یا دریافت هدیه آن را اسکن کند.

اما این کد در واقع کاربر را به یک صفحه فیشینگ هدایت می‌کند تا اطلاعات کارت بانکی، رمزهای عبور یا حتی نرم‌افزارهای مخرب روی تلفن همراه او نصب شود.

در سناریوی دیگری، فردی با عنوان مأمور شرکت پستی تماس می‌گیرد و برای تحویل هدیه یا بسته، کد پیامکی ارسال‌شده به تلفن همراه قربانی را درخواست می‌کند؛ کدی که در واقع کلید ورود به حساب بانکی یا خدمات دولتی اوست.

ایجاد حس فوریت؛ چرا کلاهبرداران به شما فرصت فکر کردن نمی‌دهند؟

یکی از شناخته‌شده‌ترین تاکتیک‌های مهندسی اجتماعی، ایجاد حس اضطرار است. مجرمان سایبری تلاش می‌کنند قربانی تصور کند تنها چند دقیقه برای تصمیم‌گیری فرصت دارد و هرگونه تأخیر، خسارتی جبران‌ناپذیر به دنبال خواهد داشت. جملاتی مانند «تماس را قطع نکنید»، «اگر تا هشت ساعت آینده پاسخ ندهید، علیه شما پرونده قضایی تشکیل می‌شود»، «فوراً به بانک مراجعه کنید» یا «این آخرین فرصت شما برای جلوگیری از سرقت موجودی حساب است»، همگی با هدف از بین بردن فرصت تفکر منطقی بیان می‌شوند.

کارشناسان امنیت سایبری می‌گویند بسیاری از کلاهبرداران حتی قربانی را مجبور می‌کنند در تمام مدت تماس، تلفن را قطع نکند تا فرصت جست‌وجو در اینترنت، تماس با اعضای خانواده یا مشورت با فرد دیگری را نداشته باشد. در برخی سناریوها نیز به قربانی گفته می‌شود که موضوع «کاملاً محرمانه» است و نباید آن را با هیچ فرد دیگری، حتی نزدیک‌ترین اعضای خانواده، در میان بگذارد.

گاهی نیز از قربانی خواسته می‌شود به‌صورت شفاهی یک توافق‌نامه محرمانگی (NDA) را بپذیرد و به او هشدار داده می‌شود که افشای موضوع، روند تحقیقات را مختل خواهد کرد. در حالی که کارشناسان تأکید می‌کنند هیچ شرکت خصوصی یا نهاد دولتی برای رسیدگی به یک پرونده عادی، از شهروندان نمی‌خواهد موضوع را از خانواده یا اطرافیان خود پنهان کنند. این روش تنها با هدف منزوی کردن قربانی و جلوگیری از دریافت مشورت طراحی شده است.

احساس گناه؛ ابزاری برای کنترل قربانی

برخی کلاهبرداران پس از جلب اعتماد اولیه، تلاش می‌کنند قربانی را مقصر جلوه دهند. برای مثال، فردی که خود را کارشناس پشتیبانی معرفی کرده است، ممکن است بگوید: «آخرین بار چه زمانی رمز عبورتان را تغییر داده بودید؟ مگر هشدارهای امنیتی ما را ندیدید؟» یا «در پیامک به‌وضوح نوشته بود این کد را در اختیار کسی قرار ندهید؛ چرا آن را برای دیگران ارسال کردید؟»

هدف از بیان این جملات، ایجاد احساس شرمندگی و ناتوانی در قربانی است؛ احساسی که باعث می‌شود تصور کند دیگر توان مدیریت شرایط را ندارد و تنها راه نجات، پیروی از دستورات همان فردی است که در واقع کلاهبردار است.

کارشناسان تأکید می‌کنند حتی اگر اشتباهی مرتکب شده باشید، نباید خود را سرزنش کنید. هر فردی ممکن است در یک روز پرتنش یا هنگام مواجهه با فشار روانی، تصمیمی عجولانه بگیرد.

 کلاهبرداری چندمرحله‌ای؛ وقتی «منجی» هم عضو باند است

یکی از پیچیده‌ترین روش‌های مهندسی اجتماعی، اجرای سناریوهای چندمرحله‌ای است. در این شیوه، ابتدا فردی با عنوان کارمند بانک یا شرکت خدماتی با قربانی تماس می‌گیرد و از او می‌خواهد برای به‌روزرسانی اطلاعات حساب، کد تأیید یا اطلاعات بانکی خود را اعلام کند. اندکی بعد، تماس قطع می‌شود یا پیامکی برای قربانی ارسال می‌شود که در آن هشدار داده شده است: «شما همین حالا هدف کلاهبرداری قرار گرفته‌اید» و باید فوراً با شماره‌ای دیگر تماس بگیرید.

در برخی موارد، حتی افرادی که خود را مأموران پلیس، نیروهای امنیتی یا مأموران فدرال معرفی می‌کنند، وارد ماجرا می‌شوند و ادعا می‌کنند در حال پیگیری پرونده هستند. واقعیت این است که همه این افراد اعضای یک شبکه کلاهبرداری هستند. در ادامه، آن‌ها ادعا می‌کنند حساب بانکی قربانی در آستانه خالی شدن است و برای حفظ دارایی‌ها باید تمام موجودی به «حساب امن» منتقل شود؛ یا اینکه به نام او وامی دریافت شده و تنها راه جلوگیری از خسارت، اجرای دستورالعمل‌های آنان است.

کارشناسان هشدار می‌دهند هرگز با شماره تلفن یا نشانی ایمیلی که در چنین پیام‌هایی ارسال می‌شود تماس نگیرید. در صورت نیاز، اطلاعات تماس سازمان مربوطه را فقط از طریق وب‌سایت رسمی آن به دست آورده و از همان مسیر ارتباط برقرار کنید. همچنین هیچ نهاد دولتی یا شرکت خصوصی، تماس‌های تلفنی شهروندان را برای تشخیص ارتباط با کلاهبرداران شنود نمی‌کند؛ ادعایی که گاهی از سوی مجرمان مطرح می‌شود.

اگر قربانی شدید، چه باید کرد؟

متخصصان امنیت سایبری تأکید می‌کنند نخستین اقدام پس از گرفتار شدن در دام کلاهبرداران، حفظ آرامش است. آن‌ها توصیه می‌کنند ابتدا مشخص کنید دقیقاً چه اطلاعاتی در اختیار مجرمان قرار گرفته است؛ زیرا اقدامات بعدی به همین موضوع بستگی دارد. اگر رمز عبور یا کد تأیید پیامکی خود را در اختیار دیگران قرار داده‌اید، باید بلافاصله رمز عبور آن حساب را تغییر دهید. اگر از همان رمز در سرویس‌های دیگر نیز استفاده کرده‌اید، رمز عبور همه آن حساب‌ها را نیز تغییر دهید.

همچنین، فعال کردن احراز هویت دومرحله‌ای می‌تواند امنیت حساب‌های کاربری را افزایش دهد. اگر اطلاعات کارت بانکی خود را افشا کرده‌اید، باید بدون اتلاف وقت با بانک تماس بگیرید و درخواست مسدود شدن کارت را ثبت کنید. در صورتی که تراکنش غیرمجازی از حساب شما انجام شده باشد، لازم است درباره امکان پیگیری و اعتراض به آن تراکنش از بانک سؤال کنید.

چنانچه روی لینک مشکوکی کلیک کرده یا فایل ناشناسی را دانلود کرده‌اید، باید دستگاه خود را با یک آنتی‌ویروس معتبر اسکن کنید؛ زیرا بسیاری از بدافزارها بدون ایجاد نشانه‌های ظاهری روی دستگاه باقی می‌مانند و شناسایی آن‌ها بدون استفاده از ابزارهای امنیتی، تقریباً غیرممکن است.

بهترین راه مقابله، حفظ آرامش و راستی‌آزمایی است

بررسی‌های کارشناسان نشان می‌دهد تقریباً همه حملات مهندسی اجتماعی یک ویژگی مشترک دارند: تلاش برای از بین بردن فرصت فکر کردن. مجرمان سایبری می‌خواهند قربانی پیش از آنکه بتواند صحت اطلاعات را بررسی کند، تصمیم بگیرد، پولی انتقال دهد، کد تأیید را اعلام کند یا روی لینکی کلیک کند. به همین دلیل، متخصصان امنیت سایبری توصیه می‌کنند در مواجهه با هر پیام یا تماس غیرمنتظره، ابتدا مکث کنید، هویت طرف مقابل را از طریق کانال‌های رسمی بررسی کنید و از مشورت با خانواده، دوستان یا کارشناسان امنیت غافل نشوید.

واقعیت این است که در دنیای امروز، دیگر هدف اصلی هکرها رایانه‌ها نیستند؛ بلکه ذهن انسان‌هاست. هرچه آگاهی کاربران درباره شگردهای مهندسی اجتماعی بیشتر باشد، احتمال موفقیت کلاهبرداران نیز کمتر خواهد بود.

 

گزارش خطا
ارسال پیام
captcha
پیشنهاد سردبیر بیشتر
آخرین اخبار
پربازدید
خانه پربازدید پربحث