RaazNet

رازنتبتا

دانشنامه
در این صفحه

مقابله با مهندسی اجتماعی، فیشینگ و کلاهبرداری

راهنمای جامع شناسایی و خنثی‌سازی حملات مهندسی اجتماعی، کمپین‌های فیشینگ و کلاهبرداری‌های دیجیتال، با تمرکز ویژه بر تهدیدات رایج در ایران.

Time15 minutes

مقابله با مهندسی اجتماعی، فیشینگ و کلاهبرداری‌ها

مهندسی اجتماعی هنر به دام انداختن افراد برای افشای اطلاعات محرمانه یا انجام کارهایی است که امنیت آن‌ها را به خطر می‌اندازد. برخلاف هک فنی که به آسیب‌پذیری‌های نرم‌افزاری حمله می‌کند، مهندسی اجتماعی "عامل انسانی" را هدف قرار می‌دهد. برای کاربران ایرانی، این تهدید به دلیل کمپین‌های نظارتی تحت حمایت دولت، نوسانات اقتصادی و استفاده گسترده از ابزارهای دور زدن فیلترینگ (VPNها) تشدید می‌شود.

این راهنما تاکتیک‌های رایج، کلاهبرداری‌های خاص که شهروندان ایرانی را هدف قرار می‌دهند و راهکارهای دفاعی عملی را پوشش می‌دهد.

۱. درک مهندسی اجتماعی

مهاجمان از دستکاری‌های روانی—مانند ترس، فوریت، کنجکاوی یا تمایل به کمک—برای فریب شما استفاده می‌کنند.

تاکتیک‌های رایج

  • فیشینگ (Phishing): ارسال ایمیل‌ها یا پیام‌های جعلی (پیامک/Smishing) که به نظر می‌رسد از یک منبع معتبر (مانند بانک‌ها یا دولت) هستند تا داده‌های حساس را به سرقت ببرند.
  • بهانه‌سازی (Pretexting): ایجاد یک سناریوی ساختگی (یک "بهانه") برای به دست آوردن اطلاعات.
  • طعمه‌گذاری (Baiting): پیشنهاد چیزی وسوسه‌انگیز برای استخراج اطلاعات یا آلوده کردن دستگاه.
  • بده‌بستان (Quid Pro Quo): ارائه خدمات در ازای اطلاعات. مثال: "من می‌توانم کامپیوتر/اینترنت شما را تعمیر کنم اگر رمز عبور خود را به من بدهید."

۲. کلاهبرداری‌های پرخطر در بستر ایران

کاربران ایرانی به دلیل پلتفرم‌های بومی، شرایط اقتصادی و نظارت دولتی با تهدیدهای منحصر به فردی روبرو هستند.

الف. کلاهبرداری‌های پیامکی قوه قضاییه و دولت (سامانه‌های "سنا" و "ثنا")

یکی از گسترده‌ترین کمپین‌های فیشینگ در ایران شامل اعلان‌های پیامکی جعلی است.

  • قلاب (The Hook): پیامکی دریافت می‌کنید که ادعا می‌کند شکایتی علیه شما ثبت شده، حکم جلب صادر شده یا باید ابلاغیه‌ای را در سامانه "سنا" یا "ثنا" مشاهده کنید.
  • دام (The Trap): پیامک حاوی لینکی به یک وب‌سایت جعلی است که ظاهر سایت رسمی قوه قضاییه (ADLIRAN) را تقلید می‌کند.
  • حمله (The Attack): سایت از شما کد ملی و شماره موبایل می‌خواهد، سپس درخواست پرداخت مبلغی ناچیز (مثلاً ۲۰,۰۰۰ تومان) برای مشاهده "شکواییه" می‌کند.
  • آسیب (The Damage): وارد کردن اطلاعات کارت بانکی باعث سرقت موجودی شما می‌شود. اغلب، سایت همچنین از شما می‌خواهد اپلیکیشنی (بدافزار) را برای "مشاهده پرونده" دانلود کنید که سپس مخاطبین و پیامک‌های شما را می‌دزدد تا کلاهبرداری را گسترش دهد.
  • دفاع:
    • ابلاغیه‌های رسمی معمولاً با نام‌هایی مانند ADLIRAN یا Police ارسال می‌شوند، نه با شماره‌های موبایل شخصی (09xxxxxxxxx).
    • هرگز برای مسائل حقوقی روی لینک‌های موجود در پیامک کلیک نکنید. به صورت دستی به پورتال رسمی (adliran.ir) مراجعه کنید.

ب. کلاهبرداری‌های یارانه و "سجام"

کلاهبرداران با سوءاستفاده از نگرانی‌های اقتصادی، پیام‌هایی درباره یارانه نقدی یا سهام عدالت ارسال می‌کنند.

  • کلاهبرداری: "یارانه شما قطع شده است. برای برقراری مجدد اینجا ثبت نام کنید" یا "سود سهام عدالت خود را از اینجا دریافت کنید."
  • دام: لینک‌ها به صفحات فیشینگی منتهی می‌شوند که برای سرقت اطلاعات بانکی یا نصب جاسوس‌افزار طراحی شده‌اند.

ج. VPNها و ابزارهای دور زدن فیلترینگ جعلی

از آنجا که کاربران ایرانی برای دسترسی به اینترنت به VPN نیاز دارند، مهاجمان (از جمله گروه‌های وابسته به دولت با نام‌هایی مانند "20Speed VPN" یا نسخه‌های کلون شده "سایفون") اپلیکیشن‌های VPN آلوده به بدافزار را توزیع می‌کنند.

  • خطر: این اپلیکیشن‌ها ممکن است فیلترینگ را دور بزنند، اما همزمان ضرب‌آهنگ کلیدهای شما (Keystrokes) را ثبت، فایل‌ها را سرقت یا از صفحه نمایش عکس‌برداری می‌کنند.
  • دفاع: VPNها را فقط از منابع معتبر (وب‌سایت‌های رسمی، گیت‌هاب، گوگل پلی/اپ استور) یا از طریق کانال‌های توزیع مورد اعتماد (مانند دریافت بریج از بات‌های رسمی) دانلود کنید. از نصب VPNهای "کرک شده" یا "ماد شده" که در کانال‌های تلگرامی ارسال می‌شوند، خودداری کنید.

د. تعویض سیم‌کارت (همراه اول، ایرانسل، رایتل)

مهاجمان با فریب پشتیبانی اپراتور موبایل، شماره تلفن شما را به یک سیم‌کارت جدید که در کنترل خودشان است منتقل می‌کنند.

  • پیامدها: آن‌ها کدهای تایید دو مرحله‌ای (2FA) پیامکی شما را دریافت می‌کنند که به آن‌ها اجازه می‌دهد اکانت‌های تلگرام، اینستاگرام و حساب‌های بانکی شما را هک کنند.
  • دفاع:
    • تنظیم پین کد: با اپراتور خود تماس بگیرید و درخواست کنید یک پین/رمز عبور روی پرونده شما قرار دهند که برای هرگونه تغییر سیم‌کارت الزامی باشد.
    • استفاده از اپلیکیشن‌های 2FA: تا حد امکان از تایید دو مرحله‌ای پیامکی به سمت اپلیکیشن‌هایی مانند Google Authenticator یا Raaz (در صورت امن/آفلاین بودن) کوچ کنید.

۳. کلاهبرداری‌های مخصوص پلتفرم‌ها

واتس‌اپ و تلگرام

  • "مامان/بابا، گوشیم رو گم کردم": کلاهبرداران وانمود می‌کنند فرزند خانواده هستند و با استفاده از یک گوشی "قرضی"، ادعای شرایط اضطراری کرده و درخواست پول می‌کنند. با تماس با شماره قدیمی یا پرسیدن یک سوال شخصی هویت را تایید کنید.
  • سرقت کد تایید: "من اشتباهی کد رو برات فرستادم، لطفا برام بفرستش." هرگز کد تایید ۶ رقمی را با هیچ‌کس به اشتراک نگذارید.
  • ربات‌های جعلی "پیام‌های ذخیره شده": ربات‌های تلگرامی که وعده "ذخیره" فایل‌های شما را می‌دهند اما در واقع داده‌های شما را جمع‌آوری می‌کنند.

سیگنال (Signal)

  • پشتیبانی جعلی: ممکن است پیام‌هایی از حساب‌هایی دریافت کنید که ادعا می‌کنند "پشتیبانی سیگنال" هستند و پین یا کد تایید شما را می‌خواهند. سیگنال هرگز از طریق پیام چنین درخواستی نمی‌کند.

اسپم تقویم گوگل (Google Calendar)

  • کلاهبرداری: اسپمرها دعوت‌نامه‌های تقویمی ارسال می‌کنند که به طور خودکار رویدادهایی حاوی لینک‌های فیشینگ (مثلاً "شما برنده آیفون شدید") را در برنامه شما قرار می‌دهند.
  • دفاع: به تنظیمات تقویم گوگل (Settings) > تنظیمات رویداد (Event Settings) بروید و در بخش "Automatically add invitations"، گزینه "No, only show invitations to which I have responded" را انتخاب کنید.

خرید آنلاین

  • اینماد جعلی: سایت‌های کلاهبردار ممکن است یک نماد "E-namad" (نماد اعتماد الکترونیکی) جعلی را نمایش دهند. روی نماد کلیک کنید تا مطمئن شوید واقعاً به دامنه رسمی enamad.ir لینک شده و مشخصات با فروشگاه مطابقت دارد.
  • قیمت‌گذاری فریبنده/کالای تقلبی: مراقب قیمت‌هایی باشید که به طور قابل توجهی پایین‌تر از نرخ بازار هستند، به خصوص در فروشگاه‌های اینستاگرامی یا وب‌سایت‌های ناشناس.

۴. کلاهبرداری‌های تقویت‌شده با هوش مصنوعی (AI)

هوش مصنوعی تشخیص کلاهبرداری‌ها را دشوارتر کرده است.

  • دیپ‌فیک صوتی/ویدئویی (Deepfake): مهاجمان می‌توانند صدای یکی از اعضای خانواده را از یک کلیپ صوتی کوتاه (که اغلب از شبکه‌های اجتماعی برداشته شده) شبیه‌سازی کنند تا با شما تماس گرفته و با پریشانی درخواست پول کنند.
  • دفاع: یک کلمه رمز خانوادگی تعیین کنید. اگر یکی از اعضای خانواده در شرایط اضطراری تماس گرفت و درخواست پول کرد، کلمه رمز را بپرسید.
  • چت‌بات‌های هوش مصنوعی: کلاهبرداران عاطفی و پشتیبان‌های جعلی اکنون از هوش مصنوعی برای نوشتن پیام‌های سلیس و متقاعدکننده به زبان فارسی یا انگلیسی استفاده می‌کنند و از اشتباهات دستوری که قبلاً نشانه خطر بود، پرهیز می‌کنند.

۵. چک‌لیست تشخیص و پیشگیری

چگونه کلاهبرداری را تشخیص دهیم

۱. بررسی آدرس اینترنتی (URL): به دنبال غلط‌های املایی باشید (مثلاً adliran-gov.com به جای adliran.ir). قبل از کلیک کردن، از ابزارهایی مانند URLCheck یا VirusTotal برای اسکن لینک‌ها استفاده کنید. ۲. تایید فرستنده: اگر ایمیل/پیامکی از یک سرویس دریافت کردید، به جای کلیک روی لینک، مستقیماً اپلیکیشن یا وب‌سایت رسمی آن را باز کنید. ۳. تحلیل فوریت: کلاهبرداران می‌خواهند شما سریع عمل کنید ("حساب شما تا ۱ ساعت دیگر حذف می‌شود"). مکث کنید و فکر کنید. ۴. بررسی فایل‌ها: مراقب پسوندهای دوگانه باشید (مثلاً invoice.pdf.exe). گزینه "Show file extensions" را در تنظیمات سیستم عامل خود فعال کنید.

تقویت لایه‌های دفاعی

  • فعال‌سازی احراز هویت دو مرحله‌ای (2FA): از یک اپلیکیشن احراز هویت (Google Auth، Authy و غیره) یا کلید سخت‌افزاری (YubiKey) استفاده کنید. در صورت امکان از 2FA پیامکی اجتناب کنید.
  • تنظیمات حریم خصوصی: شبکه‌های اجتماعی خود را محدود (Private) کنید. اگر صدا و تصویر شما عمومی باشد، می‌توان از آن‌ها برای آموزش هوش مصنوعی جهت ساخت دیپ‌فیک استفاده کرد.
  • امنیت مرورگر: افزونه uBlock Origin را برای مسدود کردن تبلیغات مخرب و پاپ‌آپ‌ها نصب کنید.
  • بهداشت دستگاه: سیستم عامل و برنامه‌های خود را به‌روز نگه دارید. گوشی خود را به طور هفتگی ریستارت کنید تا بدافزارهای غیرپایدار (Non-persistent) مختل شوند.

۶. واکنش به حادثه: اگر کلیک کردید چه باید کرد؟

۱. قطع اتصال: فوراً وای‌فای و اینترنت موبایل را خاموش کنید تا سرقت داده‌ها متوقف شود. ۲. تغییر رمزهای عبور: از طریق یک دستگاه متفاوت و پاک، رمز عبور حساب‌های حیاتی (ایمیل، بانکی، شبکه‌های اجتماعی) را تغییر دهید. ۳. لغو نشست‌ها (Revoke Sessions): به تنظیمات امنیتی اپلیکیشن‌های خود (تلگرام، واتس‌اپ، گوگل) بروید و گزینه "Log out of all other sessions" (خروج از سایر نشست‌ها) را بزنید. ۴. اسکن بدافزار: یک اسکن با آنتی‌ویروس معتبر انجام دهید. در موبایل، اپلیکیشن‌های ناشناسی که ممکن است دسترسی ادمین داشته باشند را بررسی کنید. ۵. تماس با بانک: اگر اطلاعات مالی را وارد کرده‌اید، فوراً کارت‌های خود را مسدود کنید.

منابع مرتبط

  • [[Malware_and_Social_Engineering_Fundamentals]]
  • [[Mobile_Security_Spyware_and_Advanced_Protections]]
  • [[Identity_and_Access_Management]]
منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.