علل قربانی شدن کارمندان در جرایم اینترنتی

بر اساس مطالعات جدید، استفاده از راهکارهای مقابله با ایمیلهای فیشینگ، احتمال قربانی شدن کارمندان در برابر کلاهبرداری های اینترنتی را افزایش می دهد. نتایج تحقیقات صورت گرفته توسط دانشگاه ساسکس نشان می دهد کنترلهای پیشگیرانه مثل پروکسی ایمیل، فناوریهای ضدبدافزار و ضدفیشینگ میتوانند باعث ایجاد حس کاذب امنیت در کارمندان شده و موجب غفلت آنها از رعایت کنترل های امنیتی شوند؛ زیرا کارمندان چنین تصور میکنند که با به کارگیری این راهکارها همه پیامها قبل از ورود به صندوق ورودی ایمیل آنها از لحاظ وجود بدافزارها بررسی می شوند.
بر مبنای این تحقیق، حس خجالت و ترس از عدم تأیید همکاران مهمترین عوامل بازدارنده برای مقابله با کلاهبرداریهای فیشینگ به شمار می روند. کارشناسان دانشگاه های ساسکس و اوکلند به شرکتها توصیه میکنند برای حفاظت از خودشان در برابر کلاهبرداریهای پرهزینه می بایست تمامی کارمندان شان را به صورت مستمر آموزش دهند.
راهکارهای امنیتی در تقابل با رخنه های اطلاعاتی
از هر 3 حادثه رخنه اطلاعاتی، معمولاً یک مورد از آنها مربوط به کلاهبرداریهای فیشینگ است و برآورد میشود هزینه حملات باج افزاری برای کسب و کارها در سطح جهان بیش از 8 میلیارد دلار باشد. دکتر مونا رشیدی راد، استاد راهبرد و بازاریابی دانشکده کسب و کار دانشگاه ساسکس میگوید: «راهکارهای امنیتی نمی توانند به تنهایی از شرکتها در برابر کلاهبرداریهای فیشینگ محافظت کنند. اشخاص و سازمانها سرمایه گذاری قابل توجهی برای پیادهسازی راهکارهای امنیتی جهت حفاظت از جامعیت، دسترس پذیری و محرمانگی اطلاعات خودشان انجام میدهند اما یافتههای ما، نتایج مطالعات اخیر مبنی بر اینکه این راهکارها برای محافظت از اطلاعات حساس و محرمانه کافی نیستند را تأیید میکند».
وی همچنین بیان کرده که: «ابزارهای تشخیصی و حفاظتی؛ از یادگیری ماشینی، تشخیص ناهنجاری، متن کاوی و تطبیق پروفایل برای مقابله با تهدید ایمیلهای فیشینگ استفاده میکنند اما مجرمان سایبری به نحوی طرحهای کلاهبرداری خودشان را طراحی میکنند که از کنترلهای مبتنی بر فناوری عبور کرده و از جهت گرایی شناختی انسان سوءاستفاده میکنند … راهکارهای فنی مثل ابزارهای ضدفیشینگ و ضدهرزنامه، ابزارهای تشخیص بدافزارهای ایمیلی و ابزارهای مقابله با نشت داده ها معمولاً برای تحلیل و تشخیص ایمیلهای فیشینگ، نیاز به مداخله انسان دارند».
دکتر رشیدی راد معتقد است: «برای پیشگیری از حملات فیشینگ باید یک طرح آموزشی مستمر طراحی شود که در آن از تمرینهای شبیه سازی، استفاده شده و شامل آموزشهای ویژه برای کارمندان آسیبپذیر باشد».
نقش عامل انسانی در مقابله با حملات فیشینگ
محققان پس از نظرسنجی از کارمندان، یک مدل نظری از عوامل تأثیرگذار بر کلیک روی ایمیلهای فیشینگ از دیدگاه اجتماعی – فنی طراحی کرده اند که واکنش کارمندان در برابر چنین ایمیلهایی را مورد بررسی قرار میدهد.
این تیم تحقیقاتی با استفاده از نظریه رفتار برنامه ریزی شده (TPB[1]) به این نتیجه رسیده است که قصد کاربران از کلیک بر روی ایمیلهای فیشینگ، بیشتر از هر چیزی به واکنش مدیران و همکاران شان به عملکرد آنها، ارزیابی کارمند از این که چگونه میتواند با تهدید مقابله کند و همچنین نگرش شخصی آنها نسبت به پیروی از قوانین و استانداردها بستگی دارد.
محققان، مجموعهای از عوامل فردی، سازمانی و فنی را شناسایی کرده اند که میتوانند بر عدم پیروی از خط مشیهای امنیتی ایمیل و مقابله با قربانی شدن در برابر حملات فیشینگ اثرگذار باشند. بر اساس این مطالعه، میزان آسیبپذیری در برابر کلاهبرداریهای فیشینگ با در نظر گرفتن سن، جنسیت یا تحصیلات تغییر چندانی نمیکند. کلیک روی ایمیلهای فیشینگ توسط کارمندان، معمولاً یک رفتار غیرعمدی و ناشی از عادت و تمایلات رفتاری خودکار است که در اثر استفاده هر روزه از ایمیل در ذهن انسان شکل میگیرد.
جایگاه آموزش و آگاهی بخشی در کاهش مخاطره
محققان دریافته اند که اطلاع رسانی به کارمندان در خصوص راهکارهای مقابله با کلاهبرداری از جمله استانداردها، خط مشیها و سیاستهای امنیت اطلاعات باعث افزایش آگاهی آنها میشود اما به تنهایی برای تغییر رفتار کارمندان در مقابل ایمیلهای فیشینگ کافی نیست. آموزشهای کارآمد به کارمندان یاد می دهد که کارفرمایان آنها چه راهکارها و سیاستهایی را پیادهسازی نموده و این که چه مخاطرات امنیتی باقی مانده است که مهاجمان سایبری میتوانند همچنان از آنها سوءاستفاده کنند.
حمیدرضا شهبازنژاد، محقق ارشد داده در دانشگاه اوکلند در این باره میگوید: «هر چند راهکارهای فنی مثل ابزارهای ضدفیشینگ و مقابله با هرزنامه، ابزارهای تشخیص بدافزارهای ایمیلی و ابزارهای مقابله با نشت دادهها برای کاهش مخاطره حملات فیشینگ پیادهسازی شدهاند اما استفاده درست از این فناوریها برای تشخیص حملات فیشینگ هنوز هم یک مسأله چالش برانگیز است. چون این ابزارها برای تمایز قایل شدن بین ایمیلهای فیشینگ و ایمیلهای سالم باز هم نیاز به مداخله انسانی دارند».
به گفته فرزان کولینی دانشجوی دکترای دانشگاه اوکلند، «با پیچیدهتر شدن حملات فیشینگ و دور زدن راهکارهای امنیتی توسط آنها اهمیت راهکارهایی مثل ابزارهای ضدفیشینگ و پروکسی ایمیل برای تشخیص ایمیلهای فیشینگ بیشتر شده اما همچنان خود کارمندان نقش اصلی را در تشخیص ایمیلهای مشکوک بر عهده دارند».
[1] theory of planned behavior
منبع: techxplore