آگاهی بخشی به کارکنان در مواجهه با حملات فیشینگ سازمانی
حمله فیشینگ برای تمامی کارکنان سازمان ها نوعی تهدید سایبری جدی به شمار می رود. معمولاً با وجود تمام آموزش هایی که در این خصوص وجود دارد باز هم نیمی از کارکنان هر سازمان، با فیشینگ و مفاهیم مرتبط با آن آشنایی لازم و کافی را ندارند.
امروزه ارتباط میان افراد از طریق شبکه های اجتماعی بسیار آسان شده است و نکته جالب توجه اینجاست که در فضای سایبر، خیلی از تهدیدها نیز از همین نقطه شروع می شوند. بنابراین اگر دایماً به صورت زبانی یا با استفاده از ابزارهای مختلف برای آگاهی بخشی نسبت به حملات فیشینگ تلاش نکنیم، هشدارها در رابطه با این حملات آن چنان که باید، توسط کارکنان جدی گرفته نخواهند شد.
فیشینگ را می شناسید اما نمیدانید که هنگام مواجهه با آن چه عکسالعملی را نشان دهید!
آگاهیبخشی کاربران از وجود تهدیدها، با مقوله آموزش آنها جهت تشخیص و نحوه واکنش در مقابل تهدیدها متفاوت است. اطلاعرسانی در مورد امکان وقوع حملات فیشینگ در سازمان کار درستی است اما برای موفقیت در این زمینه میبایست با بهرهگیری از ابزارهای آموزشی ضدفیشینگ، همه کارکنان را با انواع متفاوت فنون مهندسی اجتماعی که برای فریب افراد مورد استفاده قرار میگیرند، آشنا کرد.
در خصوص فیشینگ چنین می توان گفت که آموزش، مهمترین قسمت مربوط به مدیریت مخاطره کاربر نهایی به حساب میآید.
خطای انسانی
نیروهای انسانی و خطای مربوط به آنها همواره موضوع بسیار مهمی در حوزه امنیت سایبری به شمار می رود. از قدیم گفته اند که انسان جایزالخطا است و این ضرب المثل نمایانگر حقیقتی است که میگوید تمام انسانها دچار اشتباه میشوند، حتی مدیران و اشخاصی که به ظاهر آگاهتر از سایر افراد سازمان هستند. همه ما میدانیم که حرارت اجاق گاز خطرناک است، با این حال گهگاهی خودمان را با آن میسوزانیم. همگی ما از خطر رانندگی با سرعت بالا آگاه هستیم اما باز هم در جاده تند میرانیم. آگاهی و اقدام در مورد تهدیدها و مخاطرات حملات سایبری نیز به همین صورت است؛ یعنی ممکن است که شما از مخاطرات آگاه باشید اما با این حال، جانب احتیاط را به طور کامل رعایت نکنید.
آموزش امنیتی به کاربران این امکان را برای سازمان ها ایجاد می کند که عملکرد کارکنان خود را در مواجهه با تهدیدها بهبود دهند. کاربرانی که کاملاً ناآگاه هستند، ممکن است بر روی هر لینکی کلیک کنند ولی کاربران آموزش دیده، خیلی بهتر و عاقلانهتر از گروه اول تصمیمگیری کرده و خطای کمتری را هم مرتکب میشوند.
یکی از چیزهایی که در طول این سال ها آموختهایم این است که آسیبپذیرترین بخش امنیتی یک سازمان، اغلب نیروی انسانی آن است. فریبدهی افراد، سادهتر از هک کردن یک سیستم است و پول بیشتری را نصیب مجرمان سایبری میکند. هرزنامههایی که افراد معمولی در داخل صندوق پست الکترونیکی خود دارند، سود چندانی برای مجرمان ندارد ولی در عوض، فیشینگ نیزه ای (یا همان اسپیر فیشینگ) میتواند گزینه مناسب و پرسودی برای آنها باشد.
اسپیر فیشینگ، نوعی از حملات مهندسی اجتماعی است که به طور خاص، کاربران سازمان ها را مورد هدف قرار می دهد. در واقع این تهدید، حمله ای هدفمند است که برای گروهی ویژه انجام می شود. به بیان دیگر، فیشینگ نیزه ای را میتوان نوع خطرناک تری از حملات فیشینگ دانست که در آن مهاجم از طریق نام کاربری شخصی که با قربانی در ارتباط است، او را تخلیه اطلاعاتی می کند. این نام کاربری آشنا می تواند شناسه دوست یا حتی افراد خانواده قربانی باشد.
برای شروع کار باید چکار کرد؟
1- ایمیل های ورودی را بررسی کرده و آدرس فرستنده را به دقت کنترل کنید.
2- اطلاعات مربوط به حساب های کاربری خود را در تماس های تلفنی بازگو نکنید.
3- در گفتگوهای روزمره و در اماکن عمومی، حواس تان به اطلاعاتی که می گویید باشد. بسیاری از کلمه های عبور حساب های کاربری، از همین اطلاعات به دست می آیند.
4- در مکالمه های تلفنی، حواس تان به مخاطب تان باشد؛ چرا که با پیشرفت فناوری و هوش مصنوعی، تقلید صدا و ایجاد صدایی مشابه با صدای دوست و همکار شما کار نسبتاً سادهای است.
5- پس از ترک میزکار، صفحه نمایش رایانه خود را قفل کنید. استفاده از کلیدهای ترکیبی Windows+L، کار شما را ساده تر می کند. همچنین می توانید کلیدهای Ctrl+Alt+Delete را به صورت همزمان فشرده و سپس گزینه Lock را انتخاب کنید.
6- در زمان اتصال به شبکه های بی سیم، بسیار دقت کنید. در بسیاری از مواقع شبکه های بی سیم رایگان، دامی برای به دست آوردن اطلاعات شما هستند.
7- اطلاعات مهم را بر روی دسکتاپ رایانه خود ذخیره نکنید. همچنین نوشتن کلمه عبور بر روی یک برگه و چسباندن آن به صفحه کلید یا نمایشگر، کار نفوذگران سایبری را راحت تر می کند.
8- اگر به ایمیلی شک کرده و احساس کردید که ممکن است فیشینگ باشد، موضوع را حتماً به مسئولان مربوطه و پلیس فتا گزارش دهید.
9- چنانچه تحت شرایط خاصی مجبور شدید کلمه عبور خود را با شخصی در میان بگذارید، در اولین فرصت ممکن اقدام به تغییر آن کنید.
10- با مطالعه مطالب سایت فراست، همواره اطلاعات خودتان را در مورد حملات سایبری، به روز نگه داشته و درباره روشهای جدید فیشینگ آگاهی کسب کنید.