تخفیف ویژه پکیج خدمات سرعت و امنیت

بیش‌از 40 درصـد تخفیف برای دو خدمات
(امنیت وردپرس و افزایش سرعت سایت )
قیمت اصلی : 1,587,000 میلیون تومان

قیمت پکیج امنیت و سرعت ویژه ایام نوروز 1403 : فـقـط 990 تومان

نمونه هایی از اجرای خدمات سرعت بر روی سایت کانفیگ وردپرس (بررسی شده در سایت معتبر gtmetrix)

تست سرعت لود سایت کانفیگ وردپرس در جی تی متریکس (GTmetrix)
خرید پکیج افزایش سرعت سایت + افزایش امنیت وردپرس

هک مهندسی اجتماعی چیست؟ بررسی حملات فیشنیگ و مخرب

دسته بندی:
عمومیمقالات امنیت وردپرسمقالات هک وردپرس
بدون دیدگاه
میثم حیدری (مدیر)
هک مهندسی اجتماعی چیست؟ بررسی حملات فیشنیگ و مخرب

مهندسی اجتماعی درواقع محتوایی است که بازدیدکنندگان از یک سایت را فریب می‌دهد تا بدون اینکه خود متوجه باشند اقدام به انجام کاری خطرناک نمایند. کاری مانند افشای اطلاعات محرمانه یا دانلود نرم‌افزاری ناشناس که حاوی یک بدافزار است.

چنانچه گوگل تشخیص دهد که وب‌سایت شما حاوی محتوای مهندسی اجتماعی است، مرورگر کروم هنگام مشاهده سایت شما توسط کاربر، هشداری مبنی بر «سایت پیش ‌رو حاوی محتوای فریبنده است» را به کاربر نشان می‌دهد.

شما با مراجعه به قسمت گزارش مسائل امنیتی می‌توانید بررسی کنید که آیا صفحاتی در سایت شما مشکوک به این حملات هستند یا خیر.

با کانفیگ وردپرس همراه باشید تا امروز با مقاله ای دیگر از مقاله های امنیتی در باره هک مهندسی اجتماعی چیست و بررسی حملات فیشنیگ و مخرب در خدمت شما باشیم.

مهندسی اجتماعی چیست؟

حملات مهندسی اجتماعی در مواقعی روی می‌دهد که یک کاربر وب، فریب خورده و بدون اینکه خود متوجه باشد، به‌صورت آنلاین، اقدام به انجام کاری خطرناک می‌کند. این حملات انواع مختلفی دارند که در ادامه بررسی موضوعی داشته ایم.

فیشینگ

در این سری حملات، سایت موردنظر، کاربران را فریب می‌دهد تا اطلاعات شخصی مانند رمز عبور، شماره تلفن، شماره تأمین اجتماعی یا اطلاعات مربوط به کارت بانکی خود را فاش کنند.

در این مورد، محتوای سایت به‌گونه‌ای طراحی شده تا کاربر احساس کند که واقعاً این محتوا طبق روال همیشگی خود کار می‌کند. چنین محتواهایی می‌توانند شامل مواردی مانند محتوای یک نهاد مورد اعتماد باشند.

هک مهندسی اجتماعی - بررسی حملات فیشنیگ
هک مهندسی اجتماعی – بررسی حملات فیشنیگ

برای مثال می‌توانند کاملاً شبیه به یک مرورگر عمل کنند یا مانند یک سیستم‌عامل برای کامپیوتر یا حتی به‌ شکل صفحاتی مانند صفحات رسمی یک بانک یا نهاد دولتی باشند.

پس بنابر این فیشینگ می تواند یکی از انواع هک مهندسی اجتماعی باشد.

محتوای فریبنده

محتوای فریبنده نیز از دیگر انواع هک مهندسی اجتماعی است. این نوع محتوا به‌گونه‌ای طراحی شده که شما را فریب دهد تا کاری را انجام دهید که فقط برای یک نهاد رسمی و مورد اعتماد انجام می‌دهید.

این کارها می‌توانند شامل به اشتراک گذاشتن رمز عبور، تماس با پشتیبانی فنی یا دانلود یک نرم‌افزار باشند. این کار می‌تواند به ‌شکلی دیگر نیز انجام شود. مثلاً محتوا حاوی تبلیغی است که به دروغ ادعا می‌کند که نرم‌افزار فعلی شما منسوخ شده و باید نسخه جدید آن را نصب کنید.

به‌این‌ترتیب کاربران ترغیب به انجام این کار شده  و با نصب نرم‌افزار جدید، ناخواسته در دام چنین حملاتی گرفتار خواهند شد.

خدمات شخص ثالث با علامت‌گذاری به‌عنوان غیرقابل اعتماد

سرویس شخص ثالث، فردی است که یک سایت یا سرویس را از طرف نهاد دیگری اداره می‌کند.

اگر شما (به‌عنوان شخص ثالث) سایتی را که متعلق به فرد دیگری (شخص اول) است، اداره می‌کنید درحالی‌که دقیقاً رابطه خود را با او مشخص نکرده‌اید، ممکن است به‌عنوان سایتی با هدف مهندسی اجتماعی، علامت‌گذاری شوید.

به‌عنوان مثال، فرض کنید شما (شخص اول) مالک یک وب‌سایت خیریه هستید که از یک وب‌سایت مدیریت کمک مالی (شخص ثالث) برای مدیریت مجموعه‌های سایت خود استفاده می‌کنید.

در این‌صورت سایت مدیریت کمک مالی باید به‌وضوح نشان دهد که یک پلتفرم شخص ثالث است که از طرف وب‌سایت خیریه شما عمل می‌کند. در غیر این‌صورت می‌توان آن را سایتی برای اهداف فریبنده در نظر گرفت.

چه سایت‌هایی به‌عنوان سایتی با اهداف مهندسی اجتماعی محسوب می‌شوند؟

مرورگر امن گوگل با هشدار دادن به کاربران قبل‌ از بازدید از صفحاتی که به‌طور مداوم اقدام به هک مهندسی اجتماعی می‌کنند، از کاربران وب محافظت می‌کند. بنابراین باتوجه‌به مطالبی که گفته شد، صفحات وب در صورتی به‌عنوان صفحاتی با اهداف فریبنده محسوب می‌شوند که:

  • خود را به‌گونه‌ای نشان دهند که دستگاه یا مرورگر یا وب‌سایتی قابل اعتماد هستند اما در اصل هدف آن‌ها گردآوری اطلاعات شخصی افراد باشد.
  • سعی کنند شما را فریب دهند تا کاری را انجام دهید که فقط برای یک نهاد مورد اعتماد انجام می‌دهید.

مهندسی اجتماعی پنهان‌شده در محتوای صفحه

جالب است بدانید که گاهی کارهایی با هدف هک مهندسی اجتماعی در صفحات وب‌سایت‌ها صورت می‌گیرد. درحالی‌که وب‌سایت میزبان، سایتی معتبر است و خود از این موضوع خبر ندارد. چنین کارهایی معمولاً توسط تبلیغاتی صورت می‌گیرد که وب‌سایت میزبان از ناامن بودن آن‌ها آگاه نیست.

حالت دیگری نیز وجود دارد که در آن سایت میزبان حاوی تبلیغاتی قابل مشاهده نیست، اما کاربران را از طریق پاپ‌آپ، پاپ‌آندر یا دیگر انواع چنین آیکون‌هایی، به صفحات دیگر هدایت می‌کند. در هر دو مورد، این نوع محتوای مهندسی اجتماعی پنهان‌شده، منجر به نقض خط‌مشی صفحه میزبان می‌شود و به اعتبار آن نیز صدمات جبران‌ناپذیری وارد می‌کند.

از کجا مطمئن شویم که سایت ما حاوی محتوای مهندسی اجتماعی است یا خیر؟

هکرها می‌توانند کنترل سایت‌ها را در دست بگیرند و از آن‌ها برای پخش محتوای فریبنده استفاده کنند.

همچنین می‌توانند محتوای سایت را تغییر دهد یا صفحات دیگری را به سایت اضافه کنند. چنین کارهایی  اغلب به قصد فریب کاربران و دریافت اطلاعات شخصی آن‌ها مانند اطلاعات مربوط به کارت بانکی، صورت می‌گیرد.

اما از کجا می‌توان متوجه شد که سایتمان دارای چنین محتوای خطرناکی است یا خیر؟ اگر سایت شما به دلیل داشتن محتوای مهندسی اجتماعی توسط گوگل علامت‌گذاری شده است، ابتدا مطمئن شوید که سایتتان درگیر اقدامات تنبیهی از سوی گوگل نیست. سپس مراحل زیر را دنبال کنید تا مشکل حل شود:

چک کردن سرچ کنسول

  • ابتدا به‌سراغ بررسی مالکیت سایت بروید. باید مطمئن شوید که مالک سایت خودتان هستید و هیچ مالک مشکوک دیگری وجود ندارد.
  • گزارش مسائل امنیتی را بررسی کنید تا ببینید آیا سایت شما حاوی محتوای فریبنده و مشکوک است یا خیر؟ برای این ‌کار می‌توانید از مالکین وب‌سایت‌هایی کمک بگیرید که سایتشان به‌عنوان سایتی با محتوای هک مهندسی اجتماعی، علامت‌گذاری شده است.
    برای این کار از رایانه‌ای استفاده کنید که در داخل شبکه‌ای نیست که به وب‌سایت شما سرویس می‌دهد. (هکرهای باهوش درصورتی‌که بدانند شخصی که در حال مشاهده محتوای فریبنده است، مالک وب‌سایت است، حملات خود را غیرفعال می‌کنند تا شناسایی نشوند.)
مشکل امنیتی در گوگل کنسول
مشکل امنیتی در گوگل کنسول

ممکن است محتوای زیر نیز مورد توجه شما قرار گیرد.

محتوای فریبنده را حذف کنید

اطمینان حاصل کنید که هیچ‌یک از صفحات سایت شما حاوی محتوای فریبنده نیست. چنانچه موتورهای جستجوی گوگل یکی ‌از صفحات سایت شما را به اشتباه جزو محتوای مهندسی اجتماعی محسوب کرده‌اند، آن را به گوگل گزارش دهید.

 منابع شخص ثالث موجود در سایت خود را بررسی کنید

مطمئن شوید که تبلیغات، تصاویر، یا سایر منابع مربوط به شخص ثالث که در سایت شما قرار دارند جزو محتوای فریبنده نیستند.

  • توجه داشته باشید که سرویس‌های تبلیغاتی ممکن است تبلیغات نشان داده شده در صفحات سایت شما را به‌طور دائم تعویض کنند. بنابراین، برای یافتن تبلیغاتی که محتوای فریبنده دارند، ممکن است لازم باشد یک صفحه را چند بار بررسی نمایید.
  • برخی از تبلیغات ممکن است به شکل‌های مختلفی در موبایل و کامپیوتر دیده شوند. بنابراین شما نیز باید در هر دو حالت تبلیغات موجود در سایتتان را مشاهده کنید. برای این‌ کار می‌توانید از ابزار URL Inspection برای مشاهده سایت خود در دو نمایش موبایل و دسکتاپ استفاده نمایید.
  • دستورالعمل‌های خدمات شخص ثالث را برای هرگونه خدماتی در این زمینه، مانند خدمات پرداخت، به ‌شکلی ایمن و کامل اجرایی نمایید.

جهت آشنایی بیشتر با روش هک با URL Injection ، هک از طریق تزریق کد یا URL Injection و نحوه مقابله با آن بررسی نمایید.

درخواست بررسی دهید

پس از حذف تمام محتوای مهندسی اجتماعی از سایت خود، می‌توانید در قسمت گزارش مسائل امنیتی، اقدام به درخواست بررسی امنیتی نمایید تا سایت ‌شما بررسی گردد. لازم ‌به ذکر است که تکمیل فرآیند بررسی ممکن است چند روز طول بکشد.

دستورالعمل‌های خدمات شخص ثالث

اگر از یک سرویس شخص ثالث در سایت خود استفاده می‌کنید، توصیه می‌کنیم برای جلوگیری از برچسب خوردن توسط گوگل به‌عنوان سایتی با اهداف هک مهندسی اجتماعی، شرایط زیر را رعایت کنید:

  • در هر صفحه، برند شخص ثالث باید کاملاً واضح نشان داده شود تا کاربران متوجه آن شوند. همچنین کاربران باید بدانند که چه کسی سایت را اداره می‌کند.
  • در هر صفحه‌ای از وب‌سایتتان که مربوط به خدمات شخص ثالث است، باید به‌طور واضح نوع رابطه بین شخص اول و شخص ثالث بیان گردد. کاربران باید بدانند که رابطه شخص اول و شخص ثالث به ‌چه شکلی است. برای این‌ کار می‌توانید لینکی ایجاد کنید که کاربر با ورود به آن لینک اطلاعات بیشتری را دراین‌باره به‌دست خواهد آورد.
    مانند این مثال: این سرویس توسط com از طرف Example.charities.com میزبانی می‌شود.

اما چطور از هک مهندسی اجتماعی و حملات فیشنیگ در امان باشیم؟

حتماً توصیه می شود از رفتار های عجیب و استفاده از رمز و نام کاربری های ساده در سایت برای جلو گیری از هک مهندسی اجتماعی استفاده نکنید. البته تاکید می شود توضیحات بالا را جدی بگیرید و منبع ما برای بیان هک مهندسی اجتماعی را هم مطاله نمایید.

بصورت خلاصه برای جلوگیری از هک شدن سایت به هر شکل، فارغ از نوع آن باید اقدام به افزایش امنیت سایت کرد. تجربه نشان داده است که در ابتدا استفاده از افزونه امنیتی وردپرس مناسب برای سایت است.

مهم ترین افزونه امنیتی که از نظر ما مناسب می تواند باشد افزونه وردفنس است که در مطلبی به بررسی کامل آن پرداخته ایم.

اگر تمایل دارید اقدام افزایش امنیت سایت شما توسط تیم کانفیگ وردپرس ارائه دهنده خدمات امنیت وردپرس انجام شود خدمات تخصصی افزایش امنیت وردپرس را بررسی نمایید.

اما اگر سایت شما به هر شکلی هک شد، حتی هک هایی مانند نمایش حروف ژاپنی یا چینی در نتایج جستجو گوگل می توانید در صورت تمایل از خدمات پاکسازی سایت هک شده و ویروسی بصورت تخصصی کانفیگ وردپرس استفاده نمایید.

منبع : support.google.com

مقالاتی که می تواند مفید باشد

پاکسازی هک شده و ویروسی
افزایش سرعت سایت وردپرس
خرید اس اس ال (گواهینامه ssl)
افزایش امنیت سایت وردپرس

دسته بندی مقالات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
برای ادامه، شما باید با قوانین موافقت کنید

keyboard_arrow_up