شیوه های مهندسی اجتماعی برای کلاهبرداری از کارمندان سازمان شما
بر اساس آمار و اطلاعات موجود در وبسایت Proofpoint اجرای طرحها و حملات مهندسی اجتماعی در سال 2021 میلادی نسبت به سال پیش از آن با موفقیت بیشتری مواجه شد. خستگی ناشی از شیوع و همهگیری ویروس کرونا، دورکاری و نیاز به مدیریت انبوهی از اطلاعات منجر به غفلت کارمندان در شناسایی ترفندهای مهندسی اجتماعی شده است. با توجه به نتایج نظرسنجی صورت گرفته، بیش از 80 درصد از سازمانها در سال 2021 حداقل یکبار حمله فیشینگ ایمیلی موفق را تجربه کردهاند. این رقم نشاندهنده رشد 46 درصدی نسبت به سال 2020 میلادی است.
بنا به گفته Kevin Beaver مشاور ارشد در شرکت امنیتی Principle Logic: «با توجه به عوامل مختلف برهم زننده تمرکز در دنیای امروزی، کاربران معمولاً در حالت خلبان خودکار قرار گرفته و بدون تمرکز و توجه در حال حرکت هستند. ضمیر ناخودآگاه این افراد انجام تصمیمگیریهای حیاتی را برعهده گرفته است. مهاجمان نیز میدانند که چنین شرایطی به نفع آنها بوده و همواره در حال سوءاستفاده هستند».
مطالعه محققان دانشگاه استنفورد نشان داد که حدود 88 درصد رخنههای اطلاعاتی ناشی از خطای کارمندان میباشند. حدود نیمی از کارمندان علت اصلی طعمه شدن در برابر کلاهبرداریهای فیشینگ را پرت شدن حواس و عدم توجه و تمرکز کافی اعلام کردند. همچنین حدود 60 درصد از کارمندان دورکار معتقدند که وقتی از منزل کار میکنند، تمرکز کمتری دارند. از طرفی این تصور که ایمیلهای فیشینگ معتبر هستند یا توسط یکی از مدیران ارشد یا برندهای شناخته شده ارسال شدهاند، جزو دلایل اصلی کلیک بر روی چنین ایمیلهایی میباشند.
امروزه حجم پیامدهای نفوذهای امنیتی ناشی از خطاهای انسانی نسبت به گذشته افزایش چشمگیری داشته است. Proofpoint در سال 2021 حدود 15 میلیون پیام فیشینگ با پیلودهای بدافزار شناسایی کرده که به صورت مستقیم به یک باجافزار ارجاع داشتهاند. بنا به گفته Sophos: «میانگین کل هزینههای بازیابی از یک حمله باجافزاری در سال 2021 میلادی به 1.85 میلیون دلار رسیده است».
چرا همچنان کارمندان فریب ترفندهای قدیمی را میخورند؟ Stu Sjouwerman مدیرعامل KnowBe4 در سال 2016 کنجکاوی، ادب، زودباوری، طمع، بیفکری، کمرویی و بیتفاوتی را از جمله دلایل مهمی دانست که کارمندان را درگیر کرده و منجر به طعمه شدنشان در برابر حملات مهندسی اجتماعی میشود. موارد بالا همچنان جزو عوامل اصلی در وقوع نفوذهای سایبری از طریق روشهای مهندسی اجتماعی هستند.
5 ترفند مهندسی اجتماعی قدیمی
کارشناسان آگاهی امنیتی معتقدند که کارمندان همچنان فریب 5 ترفند قدیمی مهندسی اجتماعی را میخورند. آنها همچنین درباره 4 تکنیک کلاهبرداری جدید که شامل تغییراتی در همان فنون قدیمی کارآمد هستند هشدارهای امنیتی بسیار زیادی را میدهند.
1. ایمیلهای تقلبی که ظاهراً رسمی هستند!
کارمندان معمولاً نمیتوانند در برابر ایمیلهایی که از طرف مدیرعامل ارسال شده یا پیامهایی که دلالت بر میزان ترفیع آنها یا افزایش حقوقشان دارد مقاومت کنند. بنا به گفته John Wilson، کارشناس امنیت سایبری در شرکت Agari: «کارمندان همچنان فریب ایمیلهای به ظاهر رسمی را میخورند که از سمت یک منبع مجاز یا یک فرد آشنا ارسال شده باشد». به تازگی Wilson هم ایمیل فیشینگ مشابهی دریافت کرده اما او با چنین طعمههایی آشنا است.
Wilson میگوید: «در چنین حملاتی مهاجمان سعی میکنند اعتبارنامههای کاربری را شکار کنند. سپس برای مثال جهت باز کردن مدرک از کاربران درخواست میشود که دوباره با نام کاربری و رمز عبور آفیس 365 وارد حساب خودشان شوند».
صرف نظر از طعمه مورد استفاده، کاربران باید آگاه باشند که برای باز کردن مدرک ملزم به ورود مجدد به حسابتان نیستید. همچنین Wilson استفاده از یک ابزار مدیریت رمز عبور را توصیه میکند. چنین ابزاری اعتبارنامههای شما را فقط در وبسایتهای معتبر و درست اعمال میکند.
2. کلاهبرداری از طریق کارت هدیه اداری
کلاهبرداری کارت هدیه همچنان جزو فنون سودآور مهندسی اجتماعی است. در این روش ایمیلی از طرف یکی از مقامات اجرایی یک شرکت با مضمون درخواست کمک از دریافت کننده پیام ارسال میشود. بنا به گفته Wilson: «در این ایمیلها معمولاً مقام اجرایی درخواست کارت هدیه جهت پاداش به سایر کارمندان میکند. وی همچنین با تأکید بر غافلگیر نمودن کارمندان از شخص دریافت کننده میخواهد که به هیچ وجه موضوع را با سایرین در میان نگذارد». هدف مهاجم از ارسال این ایمیلها این است که کارمند کارتها را خریده و کد روی آنها را از طریق ایمیل برای وی ارسال کند.
Wilson میگوید: «اگرچه مشخص نیست که آیا کسی این درخواست را قبول میکند یا خیر ولی تیم امنیتی ما از سال 2019 میلادی تاکنون حدود 10300 حمله موفق را ثبت نموده و روزانه نیز شاهد بیش از هزاران نوع تلاشهای مجرمان برای حملات فیشینگ هستند. متأسفانه در نهایت یک نفر طعمه میشود».
3. فلش مموری رایگان
به تازگی FBI درباره نامههای جعلی هشدار داد که از طریق اداره پست آمریکا ارسال شده و در بعضی موارد از نام اداره خدمات انسانی و سلامت این کشور استفاده کرده بودند تا ظاهراً اطلاعات مربوط به بیماری کرونا را منتشر نمایند. در بعضی موارد هم از نام شرکت آمازون استفاده شده بود. در کلیه پاکتهای ارسالی یک حافظه USB که حاوی نرمافزار مخرب بود وجود داشت.
در صورت اتصال این حافظه آلوده به یک کامپیوتر سازمانی، هکرها به کل شبکه سازمان دسترسی یافته و به راحتی بدافزار و باجافزار مدنظرشان را بر روی آن نصب میکردند. اگرچه همچنان مشخص نشده که آیا کسبوکاری قربانی چنین حملاتی شده یا خیر ولی این طرحها یادآور یکی از تکنیکهای قدیمی مهندسی اجتماعی هستند.
4. پیام صوتی
در ماههای اخیر پیامهای صوتی آلوده به بدافزار بسیار زیادی به شرکتهای مختلف ارسال شده و همچنان بعضی از کارمندان فریب آنها را میخورند. بنا به گفته Wilson: «از گذشته تاکنون این ترفند همواره وجود داشته زیرا افراد معمولاً مایل به شنیدن پیامهای صوتی دریافتی هستند». البته کارایی این روش بستگی به این دارد که چه شخصی و در چه حوزهای این پیام صوتی را دریافت میکند. یک مهندس معمولاً به پیام صوتی پاسخ نمیدهد اما کارمندان بخش فروش ممکن است تصور کنند که این پیام مربوط به یک سفارش است یا توسط یکی از مشتریان بالقوه ارسال شده بنابراین احتمال باز کردن پیام توسط آنها بسیار زیاد است».
دریافت کنندگان چنین پیامهایی باید از خودشان بپرسند که آیا شرکت آنها از سیستمی استفاده میکند که از طریق ایمیل، پیام صوتی ارسال کند؟ حتی در این صورت نیز باید اشارهگر را بر روی آدرس ایمیل ببرند تا اطمینان یابند که از سمت یک فرد آشنا ارسال شده است.
5. «مشکلی برای تحویل بسته شما پیش آمده است»
براساس گفته Chester Wisniewski از محققان ارشد Sophos: «بیش از 15 سال است که اعلامیههای جعلی تحویل بسته وجود دارند و همواره پیشرفتهتر و فراگیرتر میشوند». این تلاشهای فیشینگ که دارای انواع مختلفی هستند بهگونهای طراحی شدهاند که به بهانه انجام یکسری کار خاص، از شما کارمزد کمی دریافت کنند؛ به صورت کلی مهاجمان سایبری در کلیه حملات فیشینگ سعی میکنند تا کاربر را تشویق به ورود به حساب کاربری برای پیگیری بسته نموده و اعتبارنامههای کاربری را سرقت کنند. او میگوید: «این پیامها معمولاً بر حسب موقعیت جغرافیایی کاربر شخصیسازی میشوند و نام شرکتهای پست مختلف را جعل میکنند».
4 ترفند مهندسی اجتماعی جدید
کلاهبرداریهای جدید همواره در کمین کاربران و سوءاستفاده از آنها هستند. در ادامه تعدادی از تکنیکهای جدید رایج و بسیار خطرناک را مورد بررسی قرار میدهیم.
1. درخواست امضای دیجیتال مدارک قانونی
یکی از تکنیکهای مهندسی اجتماعی جدید که بهویژه با شیوع بیماری کرونا مورد استفاده گسترده توسط هکرها قرار گرفت بدافزاری بود که برای درخواست امضای مدارک قانونی از طریق شرکت آمریکایی DocuSign (که شرایط گرفتن امضا به صورت خودکار و آنلاین را برای کاربران مهیا میکند) طراحی شده بود. Wisniewski میگوید: «امروزه فرمهای حقوقی معمولاً به صورت دیجیتال امضا میشوند. مجرمان سایبری در پیامهای جعلیشان از کاربران درخواست میکنند که برای مشاهده مدارک یک افزونه خاص را که در اصل یک بدافزار کامپیوتری است نصب کنند».
2. گزارش حسابهای قدیمی
در این کلاهبرداری، کارمندی که معمولاً در بخش حسابداری است یک ایمیل که ظاهراً از طرف مدیر اجرایی شرکت ارسال شده دریافت میکند. در این پیام اعلام میشود که این مدیر میخواهد درباره حسابهای دریافتی معوقه تحقیق کند و از کارمند میخواهد جدیدترین گزارش حسابهای معوقه از جمله فهرست همه مشتریانی که تسهیلات گرفتهاند و مدت زمانی که از مهلت تحویل بدهی گذشته را برای وی ارسال کند. بنا به گفته Wilson: «سپس مهاجمان یک دامنه مشابه ثبت کرده و با همه اشخاص این فهرست تماس میگیرند».
او میگوید: «مهاجمان در جریان هستند که هر شخص چه مبغلی را و چه موقع قرض گرفته، شرایط پرداخت به چه صورت است و در نهایت به آنها اعلام میکنند که از این به بعد اقساط را به شماره حسابی که متعلق به خود مهاجمان است واریز نمایند. متأسفانه از آنجا که کلیه اطلاعات صحیح هستند مشتری این درخواست را قبول میکند. این کلاهبرداری بسیار خطرناک است چون نه تنها به شرکت شما بلکه به همه مشتریانتان آسیب بسیار جدی وارد میکنند».
3. «مشکلی برای حساب بانکی شما پیش آمده است. برای حل مشکل بر روی این لینک کلیک کنید».
مجرمان سایبری از یک ایمیل فیشینگ استفاده میکنند تا کاربر را متقاعد نمایند که مشکلی برای حساب بانکی، حساب ایمیل یا هر حساب با ارزش دیگر آنها ایجاد شده است. این ایمیل حاوی لینکی است که ظاهراً کاربر را برای حل مشکل راهنمایی میکند. کلیک بر روی این لینک منجر به باز شدن صفحه ورود به آن حساب میشود. قربانی نام کاربری، رمز عبور و همچنین کد احراز هویت پیامکی را در این صفحه وارد میکند. در این مرحله کاربر هیچ مشکلی در حساب خودش مشاهده نکرده و چنین تصور میکند که این پیام به اشتباه برای او ارسال شده و صفحه مرورگر یا Tabی که باز کرده بود را میبندد.
براساس گفته Erich Kron حامی آگاهیرسانی امنیتی در شرکت KnowBe4: «این یک روش جدید برای دور زدن کنترلهای امنیتی (مثل احراز هویت چند مرحلهای) است». سازمانها معمولاً قابلیت تشخیص سرورهای پراکسی معکوس[1] مورد استفاده در حملات فیشینگ را پیدا کرده و این موضوع کار مهاجمان سایبری را سختتر نموده اما به گفته Kron: «مجرمان سایبری با ترفندهای جدید برگشتهاند».
4. فیشینگ تلفنی
به تازگی شاهد کلاهبرداریهایی هستیم که از طریق تلفن اجرا میشوند. بدافزاری موسوم به BazarLoader برندهای شناخته شدهای مثل آمازون را جعل میکند تا کاربر را متقاعد نماید که باید هزاران دلار برای عضویت در این پلتفرمها پرداخت کند و اگر قصد لغو عضویت را دارد باید با یک شماره تلفن تماس گرفته و با نماینده شرکت صحبت کند. مجرمان یکسری مراکز تماس واقعی راهاندازی نموده و وقتی کاربر با آنها تماس میگیرد، او را راهنمایی میکنند تا یک بدافزار را دانلود و نصب نماید. در طرحهای دیگر هم از ترفندهای مشابه برای لغو عضویت در مجلات الکترونیک یا سرویسهای ویدیویی استفاده میشود.
جمعبندی
Wisniewski میگوید: «حملات مهندسی اجتماعی هرگز از بین نمیروند. باید سعی کنیم هوشیار بمانیم و پس از شناسایی تکنیکهای کلاهبرداری جدید، هشدارهای لازم را درباره آن به افراد بدهیم. تیمهای امنیت سایبری باید گزارشدهی این کلاهبرداریها توسط کارمندان را راحت کنند. کارمندان باید بدانند که گزارش حمله نه تنها دردسری برای کارمندان ایجاد نمیکند بلکه از پیامدهای منفی بسیار زیادی جلوگیری مینماید».
[1] در پراکسی معکوس یا Reverse Proxy درخواست کاربر (کلاینت) به چند سرور ارسال میشود.
برای مطالعه سایر مقالات در حوزه امنیت سایبری اینجا کلیک کنید.
منبع: csoonline