مهندسی اجتماعی؛ از آموزش تا شناسایی
هر روزه حملات مهندسی اجتماعی با بهره گیری از روش های خلاقانه به نحوی سازمان دهی و انجام میشوند که گویا هرگز نمی توان پایانی را بر آنها متصور شد. حملات فیشینگ و مهندسی اجتماعی بهانه جویی (Pretexting) همواره در صدر لیست حملات سایبری قرار داشته و اطلاعات محرمانه سرقت شده با استفاده از این حملات، نقطه شروع مرسومی برای خرابکاران سایبری محسوب می شوند.
لازم به ذکر است مهندسی اجتماعی بهانهجویی روشی برای سناریوسازی (بهانهجویی) جهت به دست آوردن اطلاعات یا انجام عملی ناخواسته توسط فرد مورد هدف است که عمدتاً هم از طریق تلفن انجام می شود. در این روش تهاجمی، بهانهجویی چیزی بیش از یک دروغ ساده است و میتواند با ادعای قانونی بودن تقاضای مورد نظر، فرد را به دادن اطلاعاتی همچون تاریخ تولد، شماره و رمز حساب های کاربری یا بانکی ترغیب کند.
با گسترش ترفندهای مهندسی اجتماعی که به عنوان عاملی برای برانگیختن وسوسه انسانی شناخته میشوند، پیدا کردن علت ریشهای این حملات میتواند مانعی برای به دام افتادن افراد توسط نفوذگران باشد. محققان امنیت سایبری معمولاً استفاده از راهکارهای آموزشی اثربخش کارمندان توسط سازمانها و افزایش مهارت های شخصی را جهت شناسایی و مقابله با حملات مهندسی اجتماعی از جمله عوامل بازدارنده چنین حملاتی می دانند.
راهکارهای آموزش افراد در معرض خطر حمله مهندسی اجتماعی
مهاجمان سایبری می توانند از طریق اوسینت (OSINT) یا منبع هوش آزاد، هر اطلاعاتی را که می خواهند در مورد افراد اطلاعات به دست آورند، آنها را ثبت و پالایش کرده و در نهایت نیز گزارش کاملی را از آن فرد داشته باشند. این اطلاعات که با جمع آوری داده های به اشتراک گذاشته شده خود کاربران در شبکه های اجتماعی و وبسایتهای مختلف گردآوری می شوند می توانند تمام آنچه که یک مهاجم می خواهد را در اختیار وی قرار دهند.
بنابراین افراد به نوعی به ارزیابی و تشخیص مخاطره از طریق OSINT نیاز داشته و می بایست آموزشهایی را در خصوص آنچه که با دیگران به اشتراک می گذارند ببینند.
آیا حملات مهندسی اجتماعی از بین خواهند رفت؟
با توجه به آنچه که گفته شد، حملات مهندسی نه تنها در طول سال های اخیر کاهش نیافته اند بلکه با بهره گیری از راهکارهای فناورانه، پیچیده تر نیز شده اند. از این رو، تمامی افراد باید آموزش های لازم را در خصوص نحوه مقابله با این حملات دیده تا احتمال این مخاطره را تا کمترین حد ممکن کاهش دهند.
آیا فقط افراد مسن تر در دام حملات مهندسی اجتماعی می افتند؟
قاعدتاً افراد بر اساس آموزش هایی که دیده اند و هوش اجتماعی شان، عکسالعملهای متفاوتی را در برابر حمله مهندسی از خود نشان خواهند داد. البته این را نیز میدانیم که افراد مسنتر و نسلهای پیشین نسبت به مخاطرات اورژانسی، مثل مواردی نظیر «باید این کار را انجام بدی یا همین الان اخراج میشی» واکنش شدیدتری دارند. در حالی که افراد جوانتر، بیشتر مستعد انجام اقدام های احساسی و پاداش گونه هستند؛ برای مثال، «برای دریافت شارژ رایگان ایرانسل بر روی این لینک کلیک کنید» یا «برای دریافت یک سفر رایگان به مشهد مقدس روی این قسمت کلیک کنید» یا مواردی از این قبیل می تواند برای بعضی از اشخاص، وسوسه کننده بوده و آنها را دچار حملات مهندسی اجتماعی کند.
بنابراین با توجه به نسلی که با آن سروکار داریم، روشهای متفاوتی باید اتخاذ شود. با این وجود باید گفت که تاکنون هیچ نسلی وجود نداشته که اصلاً به دام این حملات گرفتار نشده باشد و تمامی نسلها به نوعی دچار آن شده اند.
چگونه میتوان دانش افراد را برای مقابله با مهندسی اجتماعی افزایش داد؟
برای مقابله اثربخش با حملات مهندسی اجتماعی چیزی که واقعاً اهمیت دارد این است که باید آن را برای افراد سادهسازی کرد. بیشتر اشخاص دوست ندارند چیزهایی در خصوص ترس، عدم قطعیت، شک و تردید بشنوند. همچنین علاقهای هم به گوش دادن به مطالب فنی ندارند. آنها فقط میخواهند به زندگیشان رسیده و بتوانند با خیال راحت مطالب شان را در اینستاگرام و سایر شبکه های اجتماعی پست کنند.
در نتیجه اگر بتوانیم این آموزشها را در بالاترین سطح سادهسازی به افراد ارایه کرده، جزییات غیرضروری را حذف کرده و هر سه ماه یکبار نیز یک بهروز رسانی 15 دقیقهای در حوزه کسبوکاری شان به آنها ارایه دهیم، وضعیت امنیتی بسیار بهتر از زمانی خواهد بود که آموزشهای سالیانه اندکی فنیتر و با جزییات بیشتر فاقد مشخصههای مربوط به کسب و کار را برای آنها برگزار کنیم. هر چه این آموزشها بیشتر با حوزه کاری آنها تناسب داشته باشد، در ذهن افراد ماندگارتر خواهند بود.
پیوسته، خلاصه و مستمر …
آموزش روش های شناخت و مقابله با حملات مهندسی اجتماعی باید کاملاً شخصی و متناسب با حوزه شغلی افراد باشد. بنابراین اگر فقط بگوییم «قضیه به این صورت است و به این شکل به دام مهاجمان گرفتار میشوید» آنها هم با خودشان میگویند «خب این اتفاق هرگز برای من رخ نمیدهد».
اما اگر بگوییم «اجازه بده نگاهی به اینستاگرامت بندازم. خب، این چیزی هست که می تونه برای تو مخاطره ایجاد کنه» آنها میگویند «اوه، فهمیدم. من نباید اجازه مشاهده چنین اطلاعاتی رو به سایر افراد بدم».
وظیفه سازمان ها برای آموزش کارکنان
بهترین کاری که یک سازمان میتواند به منظور مقابله با حملات مهندسی اجتماعی کارکنانش انجام دهد، ایجاد فرهنگ گزارشدهی حوادث است. چرا که اغلب زمانها افراد وقتی کاری را «اشتباه» انجام میدهند، از بیان آن احساس شرمساری میکنند. آنها ممکن است بر روی یک لینک مخرب کلیک کرده، اطلاعات سازمانی را لو داده و در اختیار افراد غیرمجاز قرار دهند یا موجب ایجاد یک رخنه اطلاعاتی در شبکه های اجتماعی و پیام رسان های ارتباطی شوند. به همین دلیل نسبت به بیان آن اندکی خجالت زده و معذب خواهند شد.
همواره باید کاری کنیم که افراد از این که پیشگام شده و نزد ما بیایند، احساس راحتی کنند. بنابراین بهتر است به آنها بگوییم: «ما متوجه این هستیم که شما نسبت به این قضیه احساس بدی دارید. ممنون که ما را در جریان گذاشتید» یا چیزی شبیه این. اگر شما در مورد فعالیت های خرابکارانه ای که کارکنان شما انجام داده اند آگاهی لازم را داشته باشید بهتر می توانید از اطلاعات سازمان تان محافظت کنید اما اگر در مورد آن اطلاعی نداشته باشید بالطبع مشکل نیز بزرگتر خواهد شد.
بنابراین اولین گام، ترویج فرهنگ گزارشدهی رخدادها در سازمان است. این مورد اهمیت زیادی دارد. دومین گام هم این است که شما باید آموزشهای مناسبی را در جهت ایجاد هوشیاری و افزایش دانش کارکنان تان برگزار کنید. این آموزشها باید مستمر بوده، به صورت شخصی انجام شده و ترجیحاً نیز طولانی و خسته کننده نباشند.
آیا این نکته که اگر شما یک بار بر روی لینک مخربی کلیک کرده باشید، احتمالاً دوباره هم این کار را انجام میدهید درست است؟
ممکن است چنین اتفاقی بیافتد و شما هرگز نمیتوانید نرخ کلیک های مخرب را به صفر برسانید. این موضوع کلیه مشکلات شما را برطرف نخواهد کرد اما کاری که انجام می دهد این است که یک فرهنگ امنیتی برای شما ایجاد می کند که در نتیجه آن افراد نزد شما آمده و تشویق شوند که رخدادها را با شما در میان بگذارند. این همان چیزی است که می تواند بازی را به نفع شما تغییر دهد.
اگر بتوانید افراد را به نقطهای برسانید که در صحبت کردن در خصوص این مسایل یا مواردی نظیر فیشینگ و حملات مهندسی اجتماعی با شما راحت بوده و ترسی از بیان آنها نداشته باشند میتوانید میزان مخاطره ای که برای سازمان شما وجود دارد را تغییر داده و آن را به شدت کم کنید.
پیامدهای گسترده حملات مهندسی اجتماعی حتی در حوزه سیاست
عبارت «مهندسی اجتماعی» که بارها و بارها آن را شنیده اید و به وفور هم در اینترنت راجع به آن مطلب وجود دارد، نه فقط در متون مربوط به امنیت اطلاعات بلکه در حوزه سیاست نیز کاربرد دارد. اگر این عبارت را در توئیتر جستجو کنید، کلاً با بحثهای مربوط به مهندسی اجتماعی در حوزه سیاست رو به رو میشوید. انسان ها کلمات را در حوزههای مختلف، به صورتهای متفاوتی به کار میبرند، در نتیجه هرگز نمیتوانیم در خصوص این که چه کلماتی چه معنی خاصی را میدهند صحبت کنیم.
وسوسه انسانی عبارتی است که شاید شخصی که در حوزه امنیت اطلاعات هم فعالیت نمی کند آن را برای توصیف مهندسی اجتماعی به کار برد. بنابراین در خصوص یک چیز صحبت میکنیم. موضوع فقط به این مطلب برمیگردد که برخی از ما نسبت به سایرین اطلاعات بیشتری در خصوص موضوع مورد بحث داریم.
در سیاست، از این عبارت گاهی برای انتشار خبرها و اطلاعات غلط نیز استفاده می کنند. البته این مفهوم چیزی فراتر از ارسال یک ایمیل فیشینگ یا فیشینگ تلفنی (ویشینگ) بوده و بیشتر مرتبط با این مطلب است که عملکرد سیاستمداران به چه صورت است، چگونه اطلاعات را منتشر میکنند و مردم چه تفسیری از آن اطلاعات خواهند داشت.