مهندسی اجتماعی درواقع محتوایی است که بازدیدکنندگان از یک سایت را فریب میدهد تا بدون اینکه خود متوجه باشند اقدام به انجام کاری خطرناک نمایند. کاری مانند افشای اطلاعات محرمانه یا دانلود نرمافزاری ناشناس که حاوی یک بدافزار است.
چنانچه گوگل تشخیص دهد که وبسایت شما حاوی محتوای مهندسی اجتماعی است، مرورگر کروم هنگام مشاهده سایت شما توسط کاربر، هشداری مبنی بر «سایت پیش رو حاوی محتوای فریبنده است» را به کاربر نشان میدهد.
شما با مراجعه به قسمت گزارش مسائل امنیتی میتوانید بررسی کنید که آیا صفحاتی در سایت شما مشکوک به این حملات هستند یا خیر.
با کانفیگ وردپرس همراه باشید تا امروز با مقاله ای دیگر از مقاله های امنیتی در باره هک مهندسی اجتماعی چیست و بررسی حملات فیشنیگ و مخرب در خدمت شما باشیم.
آنچه در این مقاله می خوانید :
مهندسی اجتماعی چیست؟
حملات مهندسی اجتماعی در مواقعی روی میدهد که یک کاربر وب، فریب خورده و بدون اینکه خود متوجه باشد، بهصورت آنلاین، اقدام به انجام کاری خطرناک میکند. این حملات انواع مختلفی دارند که در ادامه بررسی موضوعی داشته ایم.
فیشینگ
در این سری حملات، سایت موردنظر، کاربران را فریب میدهد تا اطلاعات شخصی مانند رمز عبور، شماره تلفن، شماره تأمین اجتماعی یا اطلاعات مربوط به کارت بانکی خود را فاش کنند.
در این مورد، محتوای سایت بهگونهای طراحی شده تا کاربر احساس کند که واقعاً این محتوا طبق روال همیشگی خود کار میکند. چنین محتواهایی میتوانند شامل مواردی مانند محتوای یک نهاد مورد اعتماد باشند.
برای مثال میتوانند کاملاً شبیه به یک مرورگر عمل کنند یا مانند یک سیستمعامل برای کامپیوتر یا حتی به شکل صفحاتی مانند صفحات رسمی یک بانک یا نهاد دولتی باشند.
پس بنابر این فیشینگ می تواند یکی از انواع هک مهندسی اجتماعی باشد.
محتوای فریبنده
محتوای فریبنده نیز از دیگر انواع هک مهندسی اجتماعی است. این نوع محتوا بهگونهای طراحی شده که شما را فریب دهد تا کاری را انجام دهید که فقط برای یک نهاد رسمی و مورد اعتماد انجام میدهید.
این کارها میتوانند شامل به اشتراک گذاشتن رمز عبور، تماس با پشتیبانی فنی یا دانلود یک نرمافزار باشند. این کار میتواند به شکلی دیگر نیز انجام شود. مثلاً محتوا حاوی تبلیغی است که به دروغ ادعا میکند که نرمافزار فعلی شما منسوخ شده و باید نسخه جدید آن را نصب کنید.
بهاینترتیب کاربران ترغیب به انجام این کار شده و با نصب نرمافزار جدید، ناخواسته در دام چنین حملاتی گرفتار خواهند شد.
خدمات شخص ثالث با علامتگذاری بهعنوان غیرقابل اعتماد
سرویس شخص ثالث، فردی است که یک سایت یا سرویس را از طرف نهاد دیگری اداره میکند.
اگر شما (بهعنوان شخص ثالث) سایتی را که متعلق به فرد دیگری (شخص اول) است، اداره میکنید درحالیکه دقیقاً رابطه خود را با او مشخص نکردهاید، ممکن است بهعنوان سایتی با هدف مهندسی اجتماعی، علامتگذاری شوید.
بهعنوان مثال، فرض کنید شما (شخص اول) مالک یک وبسایت خیریه هستید که از یک وبسایت مدیریت کمک مالی (شخص ثالث) برای مدیریت مجموعههای سایت خود استفاده میکنید.
در اینصورت سایت مدیریت کمک مالی باید بهوضوح نشان دهد که یک پلتفرم شخص ثالث است که از طرف وبسایت خیریه شما عمل میکند. در غیر اینصورت میتوان آن را سایتی برای اهداف فریبنده در نظر گرفت.
چه سایتهایی بهعنوان سایتی با اهداف مهندسی اجتماعی محسوب میشوند؟
مرورگر امن گوگل با هشدار دادن به کاربران قبل از بازدید از صفحاتی که بهطور مداوم اقدام به هک مهندسی اجتماعی میکنند، از کاربران وب محافظت میکند. بنابراین باتوجهبه مطالبی که گفته شد، صفحات وب در صورتی بهعنوان صفحاتی با اهداف فریبنده محسوب میشوند که:
- خود را بهگونهای نشان دهند که دستگاه یا مرورگر یا وبسایتی قابل اعتماد هستند اما در اصل هدف آنها گردآوری اطلاعات شخصی افراد باشد.
- سعی کنند شما را فریب دهند تا کاری را انجام دهید که فقط برای یک نهاد مورد اعتماد انجام میدهید.
مهندسی اجتماعی پنهانشده در محتوای صفحه
جالب است بدانید که گاهی کارهایی با هدف هک مهندسی اجتماعی در صفحات وبسایتها صورت میگیرد. درحالیکه وبسایت میزبان، سایتی معتبر است و خود از این موضوع خبر ندارد. چنین کارهایی معمولاً توسط تبلیغاتی صورت میگیرد که وبسایت میزبان از ناامن بودن آنها آگاه نیست.
حالت دیگری نیز وجود دارد که در آن سایت میزبان حاوی تبلیغاتی قابل مشاهده نیست، اما کاربران را از طریق پاپآپ، پاپآندر یا دیگر انواع چنین آیکونهایی، به صفحات دیگر هدایت میکند. در هر دو مورد، این نوع محتوای مهندسی اجتماعی پنهانشده، منجر به نقض خطمشی صفحه میزبان میشود و به اعتبار آن نیز صدمات جبرانناپذیری وارد میکند.
از کجا مطمئن شویم که سایت ما حاوی محتوای مهندسی اجتماعی است یا خیر؟
هکرها میتوانند کنترل سایتها را در دست بگیرند و از آنها برای پخش محتوای فریبنده استفاده کنند.
همچنین میتوانند محتوای سایت را تغییر دهد یا صفحات دیگری را به سایت اضافه کنند. چنین کارهایی اغلب به قصد فریب کاربران و دریافت اطلاعات شخصی آنها مانند اطلاعات مربوط به کارت بانکی، صورت میگیرد.
اما از کجا میتوان متوجه شد که سایتمان دارای چنین محتوای خطرناکی است یا خیر؟ اگر سایت شما به دلیل داشتن محتوای مهندسی اجتماعی توسط گوگل علامتگذاری شده است، ابتدا مطمئن شوید که سایتتان درگیر اقدامات تنبیهی از سوی گوگل نیست. سپس مراحل زیر را دنبال کنید تا مشکل حل شود:
چک کردن سرچ کنسول
- ابتدا بهسراغ بررسی مالکیت سایت بروید. باید مطمئن شوید که مالک سایت خودتان هستید و هیچ مالک مشکوک دیگری وجود ندارد.
- گزارش مسائل امنیتی را بررسی کنید تا ببینید آیا سایت شما حاوی محتوای فریبنده و مشکوک است یا خیر؟ برای این کار میتوانید از مالکین وبسایتهایی کمک بگیرید که سایتشان بهعنوان سایتی با محتوای هک مهندسی اجتماعی، علامتگذاری شده است.
برای این کار از رایانهای استفاده کنید که در داخل شبکهای نیست که به وبسایت شما سرویس میدهد. (هکرهای باهوش درصورتیکه بدانند شخصی که در حال مشاهده محتوای فریبنده است، مالک وبسایت است، حملات خود را غیرفعال میکنند تا شناسایی نشوند.)
ممکن است محتوای زیر نیز مورد توجه شما قرار گیرد.
محتوای فریبنده را حذف کنید
اطمینان حاصل کنید که هیچیک از صفحات سایت شما حاوی محتوای فریبنده نیست. چنانچه موتورهای جستجوی گوگل یکی از صفحات سایت شما را به اشتباه جزو محتوای مهندسی اجتماعی محسوب کردهاند، آن را به گوگل گزارش دهید.
منابع شخص ثالث موجود در سایت خود را بررسی کنید
مطمئن شوید که تبلیغات، تصاویر، یا سایر منابع مربوط به شخص ثالث که در سایت شما قرار دارند جزو محتوای فریبنده نیستند.
- توجه داشته باشید که سرویسهای تبلیغاتی ممکن است تبلیغات نشان داده شده در صفحات سایت شما را بهطور دائم تعویض کنند. بنابراین، برای یافتن تبلیغاتی که محتوای فریبنده دارند، ممکن است لازم باشد یک صفحه را چند بار بررسی نمایید.
- برخی از تبلیغات ممکن است به شکلهای مختلفی در موبایل و کامپیوتر دیده شوند. بنابراین شما نیز باید در هر دو حالت تبلیغات موجود در سایتتان را مشاهده کنید. برای این کار میتوانید از ابزار URL Inspection برای مشاهده سایت خود در دو نمایش موبایل و دسکتاپ استفاده نمایید.
- دستورالعملهای خدمات شخص ثالث را برای هرگونه خدماتی در این زمینه، مانند خدمات پرداخت، به شکلی ایمن و کامل اجرایی نمایید.
جهت آشنایی بیشتر با روش هک با URL Injection ، هک از طریق تزریق کد یا URL Injection و نحوه مقابله با آن بررسی نمایید.
درخواست بررسی دهید
پس از حذف تمام محتوای مهندسی اجتماعی از سایت خود، میتوانید در قسمت گزارش مسائل امنیتی، اقدام به درخواست بررسی امنیتی نمایید تا سایت شما بررسی گردد. لازم به ذکر است که تکمیل فرآیند بررسی ممکن است چند روز طول بکشد.
دستورالعملهای خدمات شخص ثالث
اگر از یک سرویس شخص ثالث در سایت خود استفاده میکنید، توصیه میکنیم برای جلوگیری از برچسب خوردن توسط گوگل بهعنوان سایتی با اهداف هک مهندسی اجتماعی، شرایط زیر را رعایت کنید:
- در هر صفحه، برند شخص ثالث باید کاملاً واضح نشان داده شود تا کاربران متوجه آن شوند. همچنین کاربران باید بدانند که چه کسی سایت را اداره میکند.
- در هر صفحهای از وبسایتتان که مربوط به خدمات شخص ثالث است، باید بهطور واضح نوع رابطه بین شخص اول و شخص ثالث بیان گردد. کاربران باید بدانند که رابطه شخص اول و شخص ثالث به چه شکلی است. برای این کار میتوانید لینکی ایجاد کنید که کاربر با ورود به آن لینک اطلاعات بیشتری را دراینباره بهدست خواهد آورد.
مانند این مثال: این سرویس توسط com از طرف Example.charities.com میزبانی میشود.
اما چطور از هک مهندسی اجتماعی و حملات فیشنیگ در امان باشیم؟
حتماً توصیه می شود از رفتار های عجیب و استفاده از رمز و نام کاربری های ساده در سایت برای جلو گیری از هک مهندسی اجتماعی استفاده نکنید. البته تاکید می شود توضیحات بالا را جدی بگیرید و منبع ما برای بیان هک مهندسی اجتماعی را هم مطاله نمایید.
بصورت خلاصه برای جلوگیری از هک شدن سایت به هر شکل، فارغ از نوع آن باید اقدام به افزایش امنیت سایت کرد. تجربه نشان داده است که در ابتدا استفاده از افزونه امنیتی وردپرس مناسب برای سایت است.
مهم ترین افزونه امنیتی که از نظر ما مناسب می تواند باشد افزونه وردفنس است که در مطلبی به بررسی کامل آن پرداخته ایم.
اگر تمایل دارید اقدام افزایش امنیت سایت شما توسط تیم کانفیگ وردپرس ارائه دهنده خدمات امنیت وردپرس انجام شود خدمات تخصصی افزایش امنیت وردپرس را بررسی نمایید.
اما اگر سایت شما به هر شکلی هک شد، حتی هک هایی مانند نمایش حروف ژاپنی یا چینی در نتایج جستجو گوگل می توانید در صورت تمایل از خدمات پاکسازی سایت هک شده و ویروسی بصورت تخصصی کانفیگ وردپرس استفاده نمایید.
منبع : support.google.com