مقالات

مهندسی اجتماعی؛ از آموزش تا شناسایی

هر روزه حملات مهندسی اجتماعی با بهره گیری از روش های خلاقانه به نحوی سازمان دهی و انجام می‌شوند که گویا هرگز نمی توان پایانی را بر آنها متصور شد. حملات فیشینگ و مهندسی اجتماعی بهانه جویی (Pretexting) همواره در صدر لیست حملات سایبری قرار داشته و اطلاعات محرمانه سرقت شده با استفاده از این حملات، نقطه شروع مرسومی برای خرابکاران سایبری محسوب می شوند.

لازم به ذکر است مهندسی اجتماعی بهانه‌جویی روشی برای سناریوسازی (بهانه‌جویی) جهت به دست آوردن اطلاعات یا انجام عملی ناخواسته توسط فرد مورد هدف است که عمدتاً هم از طریق تلفن انجام می شود. در این روش تهاجمی، بهانه‌جویی چیزی بیش از یک دروغ ساده است و می‌تواند با ادعای قانونی بودن تقاضای مورد نظر، فرد را به دادن اطلاعاتی همچون تاریخ تولد، شماره و رمز حساب های کاربری یا بانکی ترغیب کند.

با گسترش ترفندهای مهندسی اجتماعی که به عنوان عاملی برای برانگیختن وسوسه انسانی شناخته می‌شوند، پیدا کردن علت ریشه‌ای این حملات می‌تواند مانعی برای به دام افتادن افراد توسط نفوذگران باشد. محققان امنیت سایبری معمولاً استفاده از راهکارهای آموزشی اثربخش کارمندان توسط سازمان‌ها و افزایش مهارت های شخصی را جهت شناسایی و مقابله با حملات مهندسی اجتماعی از جمله عوامل بازدارنده چنین حملاتی می دانند.

راهکارهای آموزش افراد در معرض خطر حمله مهندسی اجتماعی

 

مهاجمان سایبری می توانند از طریق اوسینت (OSINT) یا منبع هوش آزاد، هر اطلاعاتی را که می خواهند در مورد افراد اطلاعات به دست آورند، آنها را ثبت و پالایش کرده و در نهایت نیز گزارش کاملی را از آن فرد داشته باشند. این اطلاعات که با جمع آوری داده های به اشتراک گذاشته شده خود کاربران در شبکه های اجتماعی و وب‌سایت‌های مختلف گردآوری می شوند می توانند تمام آنچه که یک مهاجم می خواهد را در اختیار وی قرار دهند.

بنابراین افراد به نوعی به ارزیابی و تشخیص مخاطره از طریق OSINT نیاز داشته و می بایست آموزش‌هایی را در خصوص آنچه که با دیگران به اشتراک می گذارند ببینند.

 

آیا حملات مهندسی اجتماعی از بین خواهند رفت؟

 

با توجه به آنچه که گفته شد، حملات مهندسی نه تنها در طول سال های اخیر کاهش نیافته اند بلکه با بهره گیری از راهکارهای فناورانه، پیچیده تر نیز شده اند. از این رو، تمامی افراد باید آموزش های لازم را در خصوص نحوه مقابله با این حملات دیده تا احتمال این مخاطره را تا کمترین حد ممکن کاهش دهند.

آیا فقط افراد مسن تر در دام حملات مهندسی اجتماعی می افتند؟

 

قاعدتاً افراد بر اساس آموزش هایی که دیده اند و هوش اجتماعی شان، عکس‌العمل‌های متفاوتی را در برابر حمله مهندسی از خود نشان خواهند داد. البته این را نیز می‌دانیم که افراد مسن‌تر و نسل‌های پیشین نسبت به مخاطرات اورژانسی، مثل مواردی نظیر «باید این کار را انجام بدی یا همین الان اخراج می‌شی» واکنش شدیدتری دارند. در حالی که افراد جوان‌تر، بیشتر مستعد انجام اقدام های احساسی و پاداش گونه هستند؛ برای مثال، «برای دریافت شارژ رایگان ایرانسل بر روی این لینک کلیک کنید» یا «برای دریافت یک سفر رایگان به مشهد مقدس روی این قسمت کلیک کنید» یا مواردی از این قبیل می تواند برای بعضی از اشخاص، وسوسه کننده بوده و آنها را دچار حملات مهندسی اجتماعی کند.

بنابراین با توجه به نسلی که با آن سروکار داریم، روش‌های متفاوتی باید اتخاذ شود. با این وجود باید گفت که تاکنون هیچ نسلی وجود نداشته که اصلاً به دام این حملات گرفتار نشده باشد و تمامی نسل‌ها به نوعی دچار آن شده اند.

 

چگونه می‌توان دانش افراد را برای مقابله با مهندسی اجتماعی افزایش داد؟

برای مقابله اثربخش با حملات مهندسی اجتماعی چیزی که واقعاً اهمیت دارد این است که باید آن را برای افراد ساده‌سازی کرد. بیشتر اشخاص دوست ندارند چیزهایی در خصوص ترس،‌ عدم قطعیت، شک و تردید بشنوند. همچنین علاقه‌ای هم به گوش دادن به مطالب فنی ندارند. آنها فقط می‌خواهند به زندگی‌شان رسیده و بتوانند با خیال راحت مطالب شان را در اینستاگرام و سایر شبکه های اجتماعی پست کنند.

در نتیجه اگر بتوانیم این آموزش‌ها را در بالاترین سطح ساده‌سازی به افراد ارایه کرده، جزییات غیرضروری را حذف کرده و هر سه ماه یک‌بار نیز یک به‌روز رسانی ۱۵ دقیقه‌ای در حوزه کسب‌وکاری شان به آنها ارایه دهیم، وضعیت امنیتی بسیار بهتر از زمانی خواهد بود که آموزش‌های سالیانه اندکی فنی‌تر و با جزییات بیشتر فاقد مشخصه‌های مربوط به کسب و کار را برای آنها برگزار کنیم. هر چه این آموزش‌ها بیشتر با حوزه کاری آنها تناسب داشته باشد، ‌در ذهن افراد ماندگارتر خواهند بود.

 

پیوسته، خلاصه و مستمر …

 

آموزش روش های شناخت و مقابله با حملات مهندسی اجتماعی باید کاملاً شخصی و متناسب با حوزه شغلی افراد باشد. بنابراین اگر فقط بگوییم «قضیه به این صورت است و به این شکل به دام مهاجمان گرفتار می‌شوید» آنها هم با خودشان می‌گویند «خب این اتفاق هرگز برای من رخ نمی‌دهد».

اما اگر بگوییم «اجازه بده نگاهی به اینستاگرامت بندازم. خب، این چیزی هست که می تونه برای تو مخاطره ایجاد کنه» آنها می‌گویند «اوه، فهمیدم. من نباید اجازه مشاهده چنین اطلاعاتی رو به سایر افراد بدم».

 

وظیفه سازمان ها برای آموزش کارکنان

بهترین کاری که یک سازمان می‌تواند به منظور مقابله با حملات مهندسی اجتماعی کارکنانش انجام دهد، ایجاد فرهنگ گزارش‌دهی حوادث است. چرا که اغلب زمان‌ها افراد وقتی کاری را «اشتباه» انجام می‌دهند، از بیان آن احساس شرمساری می‌کنند. آنها ممکن است بر روی یک لینک مخرب کلیک کرده،‌ اطلاعات سازمانی را لو داده و در اختیار افراد غیرمجاز قرار دهند یا موجب ایجاد یک رخنه اطلاعاتی در شبکه های اجتماعی و پیام رسان های ارتباطی شوند. به همین دلیل نسبت به بیان آن اندکی خجالت زده و معذب خواهند شد.

همواره باید کاری کنیم که افراد از این که پیشگام شده و نزد ما بیایند، احساس راحتی کنند. بنابراین بهتر است به آنها بگوییم: «‌ما متوجه این هستیم که شما نسبت به این قضیه احساس بدی دارید. ممنون که ما را در جریان گذاشتید» یا چیزی شبیه این. اگر شما در مورد فعالیت های خرابکارانه ای که  کارکنان شما انجام داده اند آگاهی لازم را داشته باشید بهتر می توانید از اطلاعات سازمان تان محافظت کنید اما اگر در مورد آن اطلاعی نداشته باشید بالطبع مشکل نیز بزرگ‌تر خواهد شد.

بنابراین اولین گام، ترویج فرهنگ گزارش‌دهی رخدادها در سازمان است. این مورد اهمیت زیادی دارد. دومین گام هم این است که شما باید آموزش‌های مناسبی را در جهت ایجاد هوشیاری و افزایش دانش کارکنان تان برگزار کنید. این آموزش‌ها باید مستمر بوده، به صورت شخصی انجام شده و ترجیحاً نیز طولانی و خسته کننده نباشند.

 

آیا این نکته که اگر شما یک بار بر روی لینک مخربی کلیک کرده باشید، احتمالاً دوباره هم این کار را انجام می‌دهید درست است؟

 

ممکن است چنین اتفاقی بیافتد و شما هرگز نمی‌توانید نرخ کلیک های مخرب را به صفر برسانید. این موضوع کلیه مشکلات شما را برطرف نخواهد کرد اما کاری که انجام می دهد این است که یک فرهنگ امنیتی برای شما ایجاد می کند که در نتیجه آن افراد نزد شما آمده و تشویق ‌شوند که رخدادها را با شما در میان بگذارند. این همان چیزی است که می تواند بازی را به نفع شما تغییر دهد.

اگر بتوانید افراد را به نقطه‌ای برسانید که در صحبت کردن در خصوص این مسایل یا مواردی نظیر فیشینگ و حملات مهندسی اجتماعی با شما راحت بوده و ترسی از بیان آنها نداشته باشند می‌توانید میزان مخاطره ای که برای سازمان شما وجود دارد را تغییر داده و آن را به شدت کم کنید.

 

پیامدهای گسترده حملات مهندسی اجتماعی حتی در حوزه سیاست

عبارت «مهندسی اجتماعی» که بارها و بارها آن را شنیده اید و به وفور هم در اینترنت راجع به آن مطلب وجود دارد، نه فقط در متون مربوط به امنیت اطلاعات بلکه در حوزه سیاست نیز کاربرد دارد. اگر این عبارت را در توئیتر جستجو کنید، کلاً با بحث‌های مربوط به مهندسی اجتماعی در حوزه سیاست رو به رو می‌شوید. انسان ها کلمات را در حوزه‌های مختلف، به صورت‌های متفاوتی به کار می‌برند،‌ در نتیجه هرگز نمی‌توانیم در خصوص این که چه کلماتی چه معنی خاصی را می‌دهند صحبت کنیم.

وسوسه انسانی عبارتی است که شاید شخصی که در حوزه امنیت اطلاعات هم فعالیت نمی کند آن را برای توصیف مهندسی اجتماعی به کار برد. بنابراین در خصوص یک چیز صحبت می‌کنیم. موضوع فقط به این مطلب برمی‌گردد که برخی از ما نسبت به سایرین اطلاعات بیشتری در خصوص موضوع مورد بحث داریم.

در سیاست، از این عبارت گاهی برای انتشار خبرها و اطلاعات غلط نیز استفاده می کنند. البته این مفهوم چیزی فراتر از ارسال یک ایمیل فیشینگ یا فیشینگ تلفنی (ویشینگ) بوده و بیشتر مرتبط با این مطلب است که عملکرد سیاستمداران به چه صورت است، چگونه اطلاعات را منتشر می‌کنند و مردم چه تفسیری از آن اطلاعات خواهند داشت.

 

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

3 × پنج =

دکمه بازگشت به بالا