Kevin Townsend روزنامه نگاری است که گزارشی در مورد تحلیل انواع مختلف باج افزارها از دانشگاه de Montfort تهیه کرده و نظر کارشناسان ESET را در مورد گزارش خود خواسته است. او ادعا می کند که با وجود تفاوت گسترده در ساخت پیغام هایی که باج افزارها نمایش می دهند، در عین حال، از لحاظ ساختاری و استفاده از جنبه های کلیدی مهندسی اجتماعی که منجر به متقاعد کردن قربانی برای پرداخت می شود، همبستگی خوبی وجود دارد.
از نظر این روزنامه نگار، مهندسی اجتماعی در این مورد پیچیده و مشکل نیست، یک سوال وجود دارد که : آیا اطلاعات آنقدر برای شما مهم هستند که برای برگرداندن آنها حاضر به پرداخت باج شوید و یا نه راحت از آنها بدون پرداخت هیچ باجی می گذرید؟ در حالیکه بنظر می رسید، تکنیک های زیادی از مهندسی اجتماعی را می توان برای این مورد به کار برد، اما لازم است چگونگی موفقیت تکنیک و میزان ارتباط آنها با این موضوع ارزیابی گردد.
عملا معیارهای روشن و خاصی برای تعیین چگونگی موفقیت مهندسی اجتماعی وجود ندارد. چنانچه اطلاعات ما از دسترس خارج شود احتمالا همه ما میخواهیم بدانیم چطور می توانیم اطلاعات خود را برگردانیم.
البته مهندسی اجتماعی نقش بسیار مهمی در متقاعد کردن قربانی برای باز کردن فایل اجرایی مخرب و یا وب سایت آلوده دارد تا مجرمان سایبری از این طریق بتوانند به سیستم قربانی دسترسی پیدا کنند.
اهمیت مهندسی اجتماعی در اطلاعیه های کاذبی که در این حملات وجود دارد، قابل مشاهده است، از جمله:
- فشار آوردن به قربانی برای انجام عملیات مورد نظر مهاجم، که بلافاصله قبل از بررسی سایر گزینه های موجود باج را پرداخت کنند. چنانچه هکر کلاه سفید یا خاکستری باشد محققان راهی برای بازیابی اطلاعات بدون پرداخت پیدا خواهند کرد. بنابراین مهاجم نباید زمانی به قربانی بدهد که نتواند به چنین راه حلها و کمکی از طریق وب سایت ها یا انجمن های کامپیوتری دسترسی پیدا کند.
- فشار به قربانیان برای پرداخت باج که بتوانند اطلاعات خود را بازیابی کنند، که در واقع شاید به راحتی بتوان اطلاعات را بازگردانی کرد و نیازی به این کار نباشد.
- فشار آوردن به قربانی برای پرداخت باج بایت بازگردانی فایل ها درحالی که ممکن است حتی خود مهاجم هم مکانیزم بازگردانی را نداشته باشد، قبل از بررسی محققان امنیتی پرداختن باج هیچ کمکی نخواهد کرد.
اطمینان از اینکه روش پرداخت برای قربانی ساده باشد، برای مهاجمان مهم است، اما الزاما نیاز به مهندسی اجتماعی ندارد. احتمالا بیشتر مهاجمان برای مثال به جای نحوه استفاده از بیت کوین،روی قربانیان مورد نظر و اطلاعاتی از آنها که لازم دارند تمرکز می کنند درحالیکه برخی از مهاجمان کمتر به این مسئله توجه دارند.
اما در مورد اطلاعیه ها، برخی از آنها بیشتر از یک فایل متنی ساده که روی صفحه نمایش، نشان داده می شوند هستند، گاهی می توانند تقاضایی با جعل هویت یک سازمان اجرایی قانون باشند. این جعل هویت چه مزیتی می تواند داشته باشد؟ در صورتی که قربانی بداند اطلاعاتش مجرمانه و خلاف قانون است، ممکن است میزان موفقیت مهاجمان برای نفوذ به سیستم او را بالاتر ببرد، در واقع تلاش می کنند تا قربانیانی که مرتکب جرمی شده اند را وادار به پرداخت باج کنند.
