مهندسی اجتماعی؛ کلاهبرداران چگونه قربانیان خود را فریب میدهند؟
امروزه دیگر فقط افراد سادهلوح قربانی کلاهبرداری و حملات فیشینگ نمیشوند؛ تقریباً هر فردی ممکن است هدف این حملات قرار گیرد.
مجرمان سایبری سالها روی روشهای خود کار میکنند تا بیشترین احتمال موفقیت را داشته باشند. آنها با استفاده از تکنیکهای پیچیده روانشناختی، قربانی را به تصمیماتی هدایت میکنند که تشخیص آنها اغلب آسان نیست.
در دنیای امنیت سایبری، این روشهای فریب با نام مهندسی اجتماعی (Social Engineering) شناخته میشوند.
در این مقاله، مهمترین ترفندهای روانشناختی مورد استفاده کلاهبرداران، نشانههایی که باید به آنها توجه کنید و اقداماتی که در صورت گرفتار شدن در این دام باید انجام دهید را بررسی میکنیم.
کلاهبرداران از چه احساساتی سوءاستفاده میکنند؟
مهندسی اجتماعی دقیقاً به این دلیل مؤثر است که احساسات انسان را هدف قرار میدهد.
زمانی که فرد دچار اضطراب، ترس یا هیجان شدید میشود، معمولاً بدون فکر کردن به پیامدها تصمیمگیری میکند؛ دقیقاً همان چیزی که مهاجمان به دنبال آن هستند.
به همین دلیل، هر زمان هنگام تماس تلفنی یا گفتوگو در پیامرسانها احساس کردید طرف مقابل شما را برای انجام کاری تحت فشار قرار میدهد، چند لحظه مکث کنید و از خود بپرسید:
- الان دقیقاً چه احساسی دارم؟
- چند لحظه قبل چه احساسی داشتم؟
- آیا طرف مقابل سعی دارد از احساسات من سوءاستفاده کند؟
کلاهبرداران معمولاً روی این احساسات تمرکز میکنند:
- ترس و اضطراب
- هیجان
- شرم و احساس گناه
- غافلگیری و شوک
قبل از هر چیز، مطمئن شوید با چه کسی صحبت میکنید
پیش از آنکه به دنبال نشانههای کلاهبرداری باشید، ابتدا یک سؤال ساده از خود بپرسید:
واقعاً با چه کسی در ارتباط هستید؟
برای مثال، اگر شخصی خود را «کارمند بانک» معرفی میکند، به اطلاعاتی که خودش ارائه میدهد اعتماد نکنید.
شماره تلفن و آدرس ایمیل رسمی بانک را از وبسایت اصلی آن پیدا کنید و مستقیماً با همان راههای ارتباطی تماس بگیرید.
همیشه اطمینان داشتن بهتر از پشیمان شدن است.
همچنین اگر فردی از طریق پیامرسانها یا شبکههای اجتماعی با شما تماس گرفت، احتیاط بیشتری داشته باشید؛ زیرا شرکتهای معتبر معمولاً از این روش برای ارتباط با مشتریان استفاده نمیکنند.
نشانههایی که نشان میدهد با یک کلاهبردار روبهرو هستید
شما را وارد یک بازی احساسی میکنند
فرض کنید ایمیلی از «تیم پشتیبانی» سرویس پخش آنلاین مورد استفاده خود دریافت میکنید.
در ابتدای پیام نوشته شده است:
شخصی از کشوری دیگر تلاش کرده وارد حساب شما شود.
طبیعی است که دچار نگرانی شوید.
اما بلافاصله پیام ادامه میدهد:
نگران نباشید؛ ما این تلاش مشکوک را بهموقع متوقف کردیم و حساب شما در امنیت کامل قرار دارد.
در همین لحظه احساس آرامش میکنید.
اما چند خط بعد دوباره شرایط تغییر میکند:
در بررسیهای امنیتی متوجه شدیم اطلاعات پرداخت شما ممکن است در معرض خطر قرار گرفته باشد.
و در پایان نیز راهحل خود را ارائه میکنند:
برای رفع این مشکل، کافی است روی این لینک کلیک کرده و هویت خود را تأیید کنید.
در کمتر از یک دقیقه، احساسات شما بارها بین نگرانی و آرامش جابهجا شده است.
هدف از این بازی روانی، از بین بردن قدرت تصمیمگیری منطقی شماست؛ بهگونهای که دیگر فرصت تحلیل شرایط را نداشته باشید و صرفاً واکنش نشان دهید.
در این شرایط، وقتی کلاهبردار راهحل خود را پیشنهاد میدهد، احتمال اینکه بدون فکر آن را بپذیرید بسیار زیاد است.
اطلاعات زیادی درباره شما میدانند
کلاهبرداران معمولاً عمداً اطلاعات شخصی شما را مطرح میکنند تا این تصور را ایجاد کنند که واقعاً به اطلاعات محرمانه شما دسترسی دارند.
اما صرف اینکه فردی اطلاعاتی درباره هویت، وضعیت مالی یا قراردادهای شما میداند، به معنای معتبر بودن او نیست.
در نتیجه نشتهای گسترده اطلاعات در سالهای اخیر، حجم عظیمی از اطلاعات شخصی کاربران در اینترنت منتشر شده است.
به همین دلیل، برای یک مهاجم چندان دشوار نیست که اطلاعاتی مانند موارد زیر را به دست آورد:
- میزان خریدهای آنلاین شما
- اپراتور تلفن همراه
- آدرس ایمیل متصل به حساب بانکی
و بسیاری از اطلاعات شخصی دیگر.
با ایجاد ترس شما را تحت فشار قرار میدهند
یکی از سادهترین روشهای کنترل قربانی، ایجاد ترس و اضطراب است.
زمانی که وعدههای وسوسهکننده دیگر کارایی نداشته باشند، کلاهبرداران به سراغ تهدید میروند.
برای مثال ممکن است پیامهایی مانند موارد زیر دریافت کنید:
- «حساب کاربری شما هک شده است.»
- «اگر عبارت بازیابی کیف پول رمزارز خود را ارائه نکنید، به فرار مالیاتی متهم خواهید شد.»
- «اگر همین حالا تماس نگیرید، دسترسی شما به خدمات ما قطع میشود.»
- «نام شما در فهرست مجرمان جنسی ثبت شده است. اگر با ما تماس نگیرید، علیه شما شکایت میکنیم و اطلاعاتتان را در رسانهها منتشر خواهیم کرد.»
نمونههای این نوع پیامها بسیار زیاد هستند.
گاهی این پیامها کاملاً رسمی و بدون احساس نوشته شدهاند و حتی شباهت زیادی به ایمیلهای واقعی واحد پشتیبانی دارند.
اما اگر لحن پیام بیش از حد اضطراری باشد و احساس کنید تحت فشار قرار گرفتهاید، احتمال اینکه با یک کلاهبردار روبهرو باشید تقریباً 99.9 درصد است.
و اگر از شما بخواهند برای جلوگیری از تهدیدهای مطرحشده:
- مبلغی را به حسابی واریز کنید،
- اطلاعات محرمانه خود را ارائه دهید،
- یا هر اقدام فوری دیگری انجام دهید،
تقریباً میتوان با اطمینان 100 درصدی گفت که هدف یک کلاهبرداری قرار گرفتهاید.
فردی بسیار مهم با شما تماس گرفته است!
برای افزایش فشار روانی، کلاهبرداران گاهی پیامهای خود را به نام افراد یا مقامهای بلندپایه ارسال میکنند.
در چنین شرایطی، لحظهای مکث کنید و از خود بپرسید:
آیا واقعاً رئیس اداره مالیات یا فرمانده پلیس شخصاً با شما تماس میگیرد یا برایتان پیام ارسال میکند؟
مقامهای ارشد و مسئولان قضایی معمولاً مسائل مهمتری برای رسیدگی دارند.
اگر هم پیامی دریافت کردید که در آن به ارتکاب جرم سنگینی متهم شدهاید و امضای آن متعلق به دادستان یا یکی از مقامهای ارشد است، به احتمال زیاد با یک سناریوی کلاهبرداری روبهرو هستید.
پیشنهادی بیش از حد وسوسهانگیز به شما میدهند
اگر ناگهان با هدیهای غیرمنتظره یا پیشنهادی فوقالعاده روبهرو شدید، با احتیاط برخورد کنید. در ادامه چند نمونه از رایجترین سناریوهای کلاهبرداری را میبینید:
- بستهای دریافت میکنید که روی آن یک QR Code چاپ شده است. از شما میخواهند آن را اسکن کنید تا فرستنده را بشناسید، یک کد تخفیف دریافت کنید یا تحویل بسته را تأیید کنید تا هزینه ارسال از شما دریافت نشود. اما این QR Code در واقع شما را به یک وبسایت فیشینگ هدایت میکند. در آنجا ممکن است اطلاعات کارت بانکی شما سرقت شود، از شما خواسته شود یک بدافزار را نصب کنید یا کد تأیید برنامه بانکی خود را در اختیار مهاجمان قرار دهید.
- تماسی با شما گرفته میشود: «سلام، از مرکز توزیع تماس میگیرم. یک بسته یا دستهگل برای شما ارسال شده است. لطفاً کد تأییدی که برایتان پیامک شده را اعلام کنید تا هدیه را تحویل بگیرید.» دریافت هدیه همیشه خوشایند است، اما همین هیجان میتواند باعث شود ناخواسته کد دسترسی به حسابهای مهم خود، مانند حساب خدمات دولتی، را در اختیار کلاهبرداران قرار دهید.
- یک فرد مشهور وعده دریافت رایگان NFT میدهد. برای دریافت این دارایی دیجیتال کافی است وارد یک Mini App شوید و اطلاعات خود را وارد کنید. چند لحظه بعد متوجه میشوید حساب Telegram شما به سرقت رفته است و تازه آن زمان به یاد میآورید که صفحه آن فرد مشهور هم کمی مشکوک به نظر میرسید.
شما را تحت فشار قرار میدهند و از دیگران جدا میکنند
«تماس را قطع نکنید! این آخرین فرصت شما برای بازیابی حسابتان است.»
«اگر ظرف هشت ساعت به این ایمیل پاسخ ندهید، علیه شما شکایت کیفری ثبت خواهد شد.»
«همین حالا به بانک بروید و موجودی خود را به یک حساب امن منتقل کنید.»
اگر چنین جملاتی را شنیدید، لحظهای مکث کنید. هدف کلاهبرداران ایجاد احساس فوریت و وادار کردن شما به تصمیمگیری عجولانه است.
یکی از سناریوهای رایج به این شکل است:
فردی با شما تماس میگیرد و خود را کارمند بانک یا یکی از سازمانهای دولتی معرفی میکند. او ادعا میکند حساب بانکی شما هک شده است و برای بازگرداندن پولتان باید یک «توافقنامه محرمانگی» را رعایت کنید. سپس هشدار میدهد که نباید موضوع را حتی با اعضای خانواده خود در میان بگذارید، زیرا پرونده بسیار حساس است و همکاری با نهادهای دولتی باید کاملاً محرمانه باقی بماند.
به خاطر داشته باشید:
هیچ شرکت یا نهاد دولتی معتبر از شما نمیخواهد موضوعی را از خانواده یا اطرافیانتان مخفی نگه دارید؛ مگر اینکه با اطلاعات طبقهبندیشده دولتی سروکار داشته باشید یا واقعاً توافقنامه محرمانگی امضا کرده باشید.
کلاهبرداران عمداً قربانی را از هرگونه مشورت، کمک یا دریافت نظر دوم محروم میکنند. آنها حتی اجازه نمیدهند فرصت جستجو در اینترنت یا بررسی اطلاعات را داشته باشید و معمولاً با تماسهای طولانی یا ارسال مداوم پیامهای اضطراری، شما را تحت فشار نگه میدارند.
در شرایطی که دچار استرس و اضطراب هستید، احتمال تصمیمگیری اشتباه بسیار بیشتر میشود.
اگر احساس کردید شرایط غیرعادی است، از دیگران کمک بگیرید. دریافت نظر یک فرد قابل اعتماد، یکی از بهترین راههای جلوگیری از کلاهبرداری است.
سعی میکنند شما را مقصر جلوه دهند
فرض کنید پیامی دریافت میکنید که حساب کاربری شما به خطر افتاده و باید با واحد پشتیبانی تماس بگیرید.
اما در طول گفتوگو، فرد مقابل شروع به سرزنش شما میکند:
«آخرین بار چه زمانی رمز عبورتان را تغییر دادید؟»
«مگر هشدارهای امنیتی ما را ندیدید که گفته بودیم رمز عبورتان را بهروزرسانی کنید؟»
یا حتی:
«در پیامک نوشته بود این کد را در اختیار هیچکس قرار ندهید؛ پس چرا آن را اعلام کردید؟»
هدف این رفتار، ایجاد احساس گناه است تا تصور کنید کنترل شرایط را از دست دادهاید و تنها راهحل، اعتماد کردن به همان فرد است.
حتی اگر واقعاً اشتباهی مرتکب شده باشید، خودتان را سرزنش نکنید.
فریب خوردن از کلاهبرداران بسیار سادهتر از چیزی است که تصور میکنید؛ گاهی فقط یک روز پراسترس یا یک تماس در زمان نامناسب کافی است.
ناگهان به شما هشدار میدهند که با یک کلاهبردار صحبت کردهاید!
کلاهبرداران معمولاً از سناریوهای چندمرحلهای استفاده میکنند.
برای مثال، ابتدا فردی با بهانه بهروزرسانی اطلاعات حساب، از شما کد ورود برنامه بانکی را دریافت میکند.
سپس تماس ناگهان قطع میشود یا پیام دیگری دریافت میکنید:
«شما با یک کلاهبردار صحبت کردهاید. حسابتان به خطر افتاده است. برای حفظ امنیت، فوراً با این شماره تماس بگیرید.»
گاهی حتی افرادی که خود را مأموران امنیتی یا پلیس معرفی میکنند نیز وارد این سناریو میشوند.
اما واقعیت این است که تمام این افراد عضو همان شبکه کلاهبرداری هستند.
آنها ادعا میکنند:
- تمام دارایی شما در معرض سرقت قرار دارد.
- باید پول خود را به یک «حساب امن» منتقل کنید.
- یا به نام شما وام دریافت شده است.
هرگز با شماره تلفن یا آدرس ایمیلی که در چنین پیامهایی ارسال میشود تماس نگیرید.
در عوض، وبسایت رسمی سازمان مربوطه را پیدا کنید و تنها از راههای ارتباطی رسمی استفاده کنید.
همچنین به خاطر داشته باشید:
هیچ نهاد دولتی یا شرکت خصوصی تماسهای تلفنی شما را شنود نمیکند تا بررسی کند با کلاهبرداران صحبت میکنید یا خیر.
اگر قربانی کلاهبرداری شدید چه باید بکنید؟
اول از همه، خودتان را سرزنش نکنید.
هر کسی ممکن است در شرایط نامناسب قربانی مهندسی اجتماعی شود.
آرامش خود را حفظ کنید و بررسی کنید دقیقاً چه اطلاعاتی را در اختیار مهاجمان قرار دادهاید.
اگر کد تأیید پیامکی یا رمز عبور خود را اعلام کردهاید
- بلافاصله رمز عبور آن حساب را تغییر دهید.
- اگر همان رمز را در سرویسهای دیگر نیز استفاده کردهاید، آنها را نیز تغییر دهید.
- احراز هویت دومرحلهای (2FA) را فعال کنید.
اگر اطلاعات کارت بانکی خود را ارائه کردهاید
- فوراً با بانک تماس بگیرید و درخواست مسدود شدن کارت را ثبت کنید.
- اگر وجهی از حساب شما برداشت شده است، درباره امکان پیگیری و بازگرداندن تراکنش سؤال کنید.
اگر روی لینک مشکوک کلیک کردهاید یا فایل ناشناسی دانلود کردهاید
- سیستم خود را با یک آنتیویروس معتبر اسکن کنید.
تشخیص آلودگی به بدافزار بدون ابزارهای امنیتی تقریباً غیرممکن است، زیرا بسیاری از بدافزارها بدون ایجاد هیچ نشانه ظاهری در سیستم باقی میمانند.
اجازه ندهید کلاهبرداران شما را فریب دهند
برای محافظت از حسابهای کاربری، اطلاعات و داراییهای خود، این توصیهها را رعایت کنید:
- برای تصمیمگیری عجله نکنید. اگر کسی از شما میخواهد فوراً اطلاعات، کد تأیید یا پولی را ارسال کنید، احتمالاً با یک مجرم سایبری روبهرو هستید. تماس را قطع کرده و از طریق شماره رسمی شرکت یا سازمان، موضوع را بررسی کنید.
- از Kaspersky Premium کمک بگیرید. برخلاف انسان، راهکار امنیتی کسپرسکی تحت تأثیر احساسات قرار نمیگیرد و میتواند ایمیلهای فیشینگ، فایلهای مخرب و وبسایتهای جعلی را شناسایی و مسدود کند، از آلوده شدن دستگاه جلوگیری کند، بدافزارها را حذف کند و از اطلاعات و داراییهای شما محافظت کند.
- احراز هویت دومرحلهای را برای حسابهای مهم خود فعال کنید. با استفاده از Kaspersky Password Manager میتوانید کدهای ورود یکبارمصرف تولید کنید که هر 30 ثانیه تغییر میکنند و نسبت به کدهای پیامکی یا ایمیلی امنیت بیشتری دارند.
- هرگز از یک رمز عبور در چند سرویس مختلف استفاده نکنید. اگر یک رمز عبور در چند حساب تکرار شود، مهاجم تنها با دسترسی به یکی از آنها میتواند به سایر حسابهای شما نیز دسترسی پیدا کند. همچنین تغییرات جزئی مانند افزودن یک عدد یا علامت به انتهای رمز عبور، امنیت قابل قبولی ایجاد نمیکند. به خاطر سپردن دهها رمز عبور متفاوت کار آسانی نیست؛ به همین دلیل، استفاده از Password Manager بهترین راهکار است. این ابزار اطلاعات شما را در یک مخزن رمزگذاریشده نگهداری کرده و برای هر سرویس، رمز عبوری قوی و منحصربهفرد ایجاد میکند.