علل قربانی شدن کارمندان در جرایم اینترنتی

بر اساس مطالعات جدید، استفاده از راهکارهای مقابله با ایمیل‌های فیشینگ، احتمال قربانی شدن کارمندان در برابر کلاهبرداری های اینترنتی را افزایش می دهد. نتایج تحقیقات صورت گرفته توسط دانشگاه ساسکس نشان می دهد کنترل‌های پیشگیرانه مثل پروکسی ایمیل، فناوری‌های ضدبدافزار و ضدفیشینگ می‌توانند باعث ایجاد حس کاذب امنیت در کارمندان شده و موجب غفلت آنها از رعایت کنترل های امنیتی شوند؛ زیرا کارمندان چنین تصور می‌کنند که با به کارگیری این راهکارها همه پیام‌ها قبل از ورود به صندوق ورودی ایمیل آنها از لحاظ وجود بدافزارها بررسی می شوند.

بر مبنای این تحقیق، حس خجالت و ترس از عدم تأیید همکاران مهمترین عوامل بازدارنده برای مقابله با کلاهبرداری‌های فیشینگ به شمار می روند. کارشناسان دانشگاه های ساسکس و اوکلند به شرکت‌ها توصیه می‌کنند برای حفاظت از خودشان در برابر کلاهبرداری‌های پرهزینه می بایست تمامی کارمندان شان را به صورت مستمر آموزش دهند.

 

راهکارهای امنیتی در تقابل با رخنه های اطلاعاتی

از هر 3 حادثه رخنه اطلاعاتی، معمولاً یک مورد از آنها مربوط به کلاهبرداری‌های فیشینگ است و برآورد می‌شود هزینه حملات باج افزاری برای کسب و کارها در سطح جهان بیش از 8 میلیارد دلار باشد. دکتر مونا رشیدی راد، استاد راهبرد و بازاریابی دانشکده کسب و کار دانشگاه ساسکس می‌گوید: «راهکارهای امنیتی نمی توانند به تنهایی از شرکت‌ها در برابر کلاهبرداری‌های فیشینگ محافظت ‌کنند. اشخاص و سازمان‌ها سرمایه گذاری قابل توجهی برای پیاده‌سازی راهکارهای امنیتی جهت حفاظت از جامعیت، دسترس پذیری و محرمانگی اطلاعات خودشان انجام می‌دهند اما یافته‌های ما، نتایج مطالعات اخیر مبنی بر اینکه این راهکارها برای محافظت از اطلاعات حساس و محرمانه کافی نیستند را تأیید می‌کند».

وی همچنین بیان کرده که: «ابزارهای تشخیصی و حفاظتی؛ از یادگیری ماشینی، تشخیص ناهنجاری، متن کاوی و تطبیق پروفایل برای مقابله با تهدید ایمیل‌های فیشینگ استفاده می‌کنند اما مجرمان سایبری به نحوی طرح‌های کلاهبرداری خودشان را طراحی می‌کنند که از کنترل‌های مبتنی بر فناوری عبور کرده و از جهت گرایی شناختی انسان سوءاستفاده می‌کنند … راهکارهای فنی مثل ابزارهای ضدفیشینگ و ضدهرزنامه، ابزارهای تشخیص بدافزارهای ایمیلی و ابزارهای مقابله با نشت داده ها معمولاً برای تحلیل و تشخیص ایمیل‌های فیشینگ، نیاز به مداخله انسان دارند».

دکتر رشیدی راد معتقد است: «برای پیشگیری از حملات فیشینگ باید یک طرح آموزشی مستمر طراحی شود که در آن از تمرین‌های شبیه سازی، استفاده شده و شامل آموزش‌های ویژه برای کارمندان آسیب‌پذیر باشد».

 

نقش عامل انسانی در مقابله با حملات فیشینگ

محققان پس از نظرسنجی از کارمندان، یک مدل نظری از عوامل تأثیرگذار بر کلیک روی ایمیل‌های فیشینگ از دیدگاه اجتماعی – فنی طراحی کرده اند که واکنش کارمندان در برابر چنین ایمیل‌هایی را مورد بررسی قرار می‌دهد.

این تیم تحقیقاتی با استفاده از نظریه رفتار برنامه ریزی شده (TPB[1]) به این نتیجه رسیده است که قصد کاربران از کلیک بر روی ایمیل‌های فیشینگ، بیشتر از هر چیزی به واکنش مدیران و همکاران شان به عملکرد آنها، ارزیابی کارمند از این که چگونه می‌تواند با تهدید مقابله کند و همچنین نگرش شخصی آنها نسبت به پیروی از قوانین و استانداردها بستگی دارد.

محققان، مجموعه‌ای از عوامل فردی، سازمانی و فنی را شناسایی کرده اند که می‌توانند بر عدم پیروی از خط مشی‌های امنیتی ایمیل و مقابله با قربانی شدن در برابر حملات فیشینگ اثرگذار باشند. بر اساس این مطالعه، میزان آسیب‌پذیری در برابر کلاهبرداری‌های فیشینگ با در نظر گرفتن سن، جنسیت یا تحصیلات تغییر چندانی نمی‌کند. کلیک روی ایمیل‌های فیشینگ توسط کارمندان، معمولاً یک رفتار غیرعمدی و ناشی از عادت و تمایلات رفتاری خودکار است که در اثر استفاده هر روزه از ایمیل در ذهن انسان شکل می‌گیرد.

 

جایگاه آموزش و آگاهی بخشی در کاهش مخاطره

محققان دریافته اند که اطلاع رسانی به کارمندان در خصوص راهکارهای مقابله با کلاهبرداری از جمله استانداردها، خط مشی‌ها و سیاست‌های امنیت اطلاعات باعث افزایش آگاهی آنها می‌شود اما به تنهایی برای تغییر رفتار کارمندان در مقابل ایمیل‌های فیشینگ کافی نیست. آموزش‌های کارآمد به کارمندان یاد می دهد که کارفرمایان آنها چه راهکارها و سیاست‌هایی را پیاده‌سازی نموده و این که چه مخاطرات امنیتی باقی مانده است که مهاجمان سایبری می‌توانند همچنان از آنها سوءاستفاده کنند.

حمیدرضا شهبازنژاد، محقق ارشد داده در دانشگاه اوکلند در این باره می‌گوید: «هر چند راهکارهای فنی مثل ابزارهای ضدفیشینگ و مقابله با هرزنامه، ابزارهای تشخیص بدافزارهای ایمیلی و ابزارهای مقابله با نشت داده‌ها برای کاهش مخاطره حملات فیشینگ پیاده‌سازی شده‌اند اما استفاده درست از این فناوری‌ها برای تشخیص حملات فیشینگ هنوز هم یک مسأله چالش برانگیز است. چون این ابزارها برای تمایز قایل شدن بین ایمیل‌های فیشینگ و ایمیل‌های سالم باز هم نیاز به مداخله انسانی دارند».

به گفته فرزان کولینی دانشجوی دکترای دانشگاه اوکلند، «با پیچیده‌تر شدن حملات فیشینگ و دور زدن راهکارهای امنیتی توسط آنها اهمیت راهکارهایی مثل ابزارهای ضدفیشینگ و پروکسی ایمیل برای تشخیص ایمیل‌های فیشینگ بیشتر شده اما همچنان خود کارمندان نقش اصلی را در تشخیص ایمیل‌های مشکوک بر عهده دارند».

 

[1] theory of planned behavior

 

منبع: techxplore