دستکاری استادانه
مهندسان اجتماعی تاکتیکهای زیادی در اختیاردارند که با استفاده از آنها حتی هوشیارترین کارکنان را بازیچه دست خود قرارمیدهند. در اینجا درباره نحوه شناسایی استراتژیهای آنها و شیوههای اجتناب از افتادن به دام آنها صحبت میکنیم.
مالکوم فیشر مدیر ارشد مالی یک شرکت هرگز گمان نمیکرد که قربانی جرایم سایبری شود؛ تا زمانی که یکی از مهندسان اجتماعی خود را بهجای او جا زد و بیش از ۱۲۵۰۰۰ هزار دلار از شرکت وی کلاه برداری کرد.
با در نظر گرفتن سمت فیشر در شرکت، شناسایی وی بهعنوان هدفی با ارزش برای این مجرم نسبتا آسان بود؛ بیوگرافی وی بهسادگی در وبسایت شرکت در دسترس همگان قرارداشت و پروفایلهای رسانههای اجتماعی فیشر در فیسبوک، توییتر و لینکدین اطلاعات زیادی را در ارتباط با وی آشکار میساخت و وی را به هدفی رویایی برای مهندسان اجتماعی سخت کوش مبدل میساخت.
فیشر مکررا در تورنمنتهای پوکر شرکت میکرد و در توصیف موفقیتهای خود اصلا فروتن نبود. او در پلتفرمهای شبکههای اجتماعی خود پستهایی در مورد تورنمنت آتی در لاسوگاس گذاشت و برنامه سفر خود را شرح داد. اندکی پس از ورود به لاسوگاس، او پیامکی از فردی دریافت کرد که ظاهرا سازماندهنده این تورنمنت بود و لینکی به برنامه به روزرسانی شده تورنومنت در اختیار وی قرار میداد. زمانی که وی بر آن لینک کلیک کرد، در ظاهر اتفاقی نیفتاد، اما او بهطور ناآگاهانه مهندس اجتماعی مزبور را قادر ساخت تا به تلفن همراهی که از طرف شرکت در اختیار وی قرار داده شده بود، دسترسی پیدا کند.
این فرد کلاهبردار که میدانست که تورنمنت مزبور صبح فردا در ساعت ۱۱برگزار میشود، حسابکاربری ایمیل فیشر را دزدید و در ساعت ۱۱:۱۵ صبح پیامی اضطراری به یکی از همکاران فرستاد. در این ایمیل که ظاهرا از سوی فیشر نوشته شده بود، از این فرد درخواست شده بود که سریعا ۱۲۵۰۰۰ هزار دلار به یکی از فروشندگان ارسال کند و ذکر شده بود که وی چندین ساعت در دسترس نخواهد بود زیرا در تورنمنت است.
این کارمند که هرگز دستورات رییس را زیر سوال نمیبرد، سریعا وجه را انتقال داد. فیشر لاسوگاس را با خرسندی ترک گفت زیرا در تورنمنت مزبور برنده شده بود اما به زودی دریافت او بود که بازیچه قرارگرفته است.
این یک سناریو غیرمعمول نیست. با تمرکز بیشتر بر امنیت سایبری شرکتها و ممانعت از درز دادهها بیشتر از هر زمانی، بسیاری از مدیران اجرایی بر این باورند که فناوری بهتنهایی محافظت کافی علیه چنین تهدیدهایی فراهممیسازد.
اما نقش آفرینان ماهر این تهدیدات، چه دولتهای ملی، مجرمین، فعالین یا رقیبان خاین، مکررا بدیهیترین نقطه ضعف یافتشده در بیشتر سازمانها را هدف قرارمیدهند و آن عامل انسانی است. تعامل میان انسانها و فناوری که هدف از آن محافظت از سازمان باشد، غالبا ضعیفترین پیوند در امنیت نامیده میشود.
رایجترین شیوه بهکار گرفتهشده از سوی این تهدیدکنندگان برای بهرهگیری از آسیبپذیری عامل انسانی، مهندسی اجتماعی است. در حقیقت، بر طبق گزارش تحقیقات درز داده سال ۲۰۱۸ شرکت ورایزن، بیش از ۹۰ درصد از رخنههای امنیتی موفق با گونهای از مهندسی اجتماعی آغاز میشوند.
مهندسی اجتماعی عبارت است از ملعبه قراردادن ماهرانه افراد درونی سازمان برای انجامدادن اقدامات خاصی که مورد توجه مهندس اجتماعی است. افراد داخلی تنها کارکنان سازمان نیستند بلکه شامل هرکسی میشود که به سازمان هدف دسترسی بدون مشایعت دارد، ازجمله عرضهکنندگان خدماتی مانند نیروهای محافظ، نظافتچیان، شرکتهای تهیه غذا، پرکنندگان دستگاههای فروش خودکار، پیمانکاران نگهداری و غیره.
کسب آگاهی و بینش بیشتر از این فرآیند موجب میشود که فرصت بهتری برای کاهش ریسک حملات مهندسی اجتماعی فراهم شود.
گردآوری داده
یک مهندس اجتماعی حرفهای پیش از آِغاز هر نوع حمله، زمان کافی را صرف گردآوری اطلاعات منبع باز موجود میکند. بااینکه این نوع اطلاعات میتوانند از منابع مختلف گردآوریشوند، پرکاربردترین واسطه این کار یک تحقیق ساده آنلاین است.
تقریبا همه سازمانها وبسایتی دارند که اطلاعاتی در مورد شرکت، محصولات و خدمات آن، پروفایلهای مدیران آن، اطلاعیههای رسمی شرکت، اطلاعات تماس و فرصتهای شغلی در آن ذکر میشود.
بااینکه همه این بخشها میتوانند اطلاعات مفیدی در اختیار یک مهندس اجتماعی قراردهند، پروفایلهای مدیران که غالبا حاوی اسامی کامل، عناوین، تصاویر و شرح بیوگرافی مختصری هستند، بینش قابلتوجهی در مورد افراد داخلی کلیدی و جایگاه آنها در ساختار سازمان فراهم میسازد.
فرصتهای شغلی به همراه اطلاعات تماس شرکت، جزییات قابل بهرهبرداری فراهم میسازد و درگاهی است که از طریق آن مهندسان اجتماعی میتوانند تماس مستقیم یا غیرمستقیم با سازمان برقرارکنند.
آگهیهای استخدام و بازبینیهای شغلی
آگهیهای استخدام چه در وبسایت شرکت قراردادهشود یا در پلتفرمهای شغلی آنلاین آگهیشوند، میتوانند اطلاعات زیادی فراهمآورند. این آگهیها حداقل صلاحیتهای پایه IT لازم برای متقاضیان شغلی را آشکارمیسازند و اطلاعات ارزشمندی در مورد سیستمهای عامل و برنامههای نرمافزاری سازمان فراهممیآورند. توصیفات شغلی میتواند در مورد گسترش بالقوه سازمان چه بهلحاظ جغرافیایی و چه از طریق محصولات و خدمات جدید، بینشهایی بهدست دهد. سازمان با آگهیهای شغلی از افراد خارجی برای تماس دعوت بهعمل میآورد. این امر فرصت ارایه الکترونیکی پوشهکاری یا رزومه را (چه بهصورت مستقیم از طریق بخش منابع انسانی و چه از طرق فردی دیگر در سازمان که توسط مهندس اجتماعی انتخابشده است و رزومه را به وی ارسال میکند) در اختیار مهندساجتماعی قرارمیدهد. این ایمیل بههمراه پیوستهای آن میتواند واسطهای برای راهاندازی یک بدافزار در سیستم هدف باشد.
این آگهیهای شغلی فرصت مصاحبه با کارکنان و کسب اطلاعات حساس را برای مهندساناجتماعی فراهممیآورند، اگرچه که این شیوه کمتر بهکارگرفته میشود.
سایتهای بررسی کارفرمایان مانند سایت گلسدور (Glassdoor) اطلاعات مفیدی در مورد محل کار که کارکنان پستکردهاند، فراهم میسازد. این بازبینیها مهندساجتماعی را از روحیه افراد سازمان مطلع میسازد . عموما، بازیچه قراردادن کارکنان ناراضی از بازیچه قراردادن افرادی که از شغل خود رضایت دارند و به کارفرمای خود وفادارند، آسانتر است.
رسانههای اجتماعی و موتورهای جستجو. بااینکه سازمانها میتوانند برای تبلیغات محصولات و خدمات خود استفاده گستردهای از رسانههای اجتماعی بهعملآورند، یکی از عواقب ناخواسته این امر درز اطلاعات قابل بهرهبرداری است.
کارکنان غالبا عکسهایی از خود و همکارانشان در محیط کار را آپلود میکنند که اطلاعاتی در مورد فضاهای کاری فیزیکی ازجمله نقشههای طبقات، پیکربندی دفاتر، سختافزار سیستم امنیتی، سیستمهای IT، نشانها یا پوشاککارکنان را افشا میسازد. بخش زیادی از این اطلاعات در هنگام طرحریزی نفوذفیزیکی حقیقی به داخل سازمان، می تواند مفید باشد.
جستجوهای خلاقانه در گوگل مهندساجتماعی را به ورای ورودیهای متداولتری میبرد که معمولا در ارتباط بانام سازمان نشان داده میشود.
برای مثال یک جستجوی ساده ولی خلاقانه شامل نام شرکت و واژههای «پیدیاف» یا «محرمانه» میتوانند اسنادی مانند نظامنامه کارکنان، بستههای مزایای کارکنان، دستورالعملهای کاربران IT، یا قراردادها را افشا سازد. این جستجوها میتوانند پیمانکاران فرعی شرکت هدف برای ارایه خدماتی مانند دربانی، حمل زباله، امنیت، تهیه غذا یا کارکنان موقت را شناسایی کنند.
جستجو برای سوابق دادگاههای عمومی، دسترسی به اسناد جنایی و مدنی دادگاه در سطح کشور را فراهم میسازد. این اسناد عموما حاوی جزییات عملیاتی در ارتباط با شرکت هدف یا مقاماتی هستند که شرکت ترجیح میدهد که مخفی نگه دارد.
یکی از تصورات غلط در مورد اینترنت این است که زمانی که شرکت اطلاعاتی که پیشازاین در وبسایت سازمانی خود وجود داشت را پاک کند یا اصلاح کند، اطلاعات اصلی دیگر موجود نیستند. اما اینطور نیست.
ویبک ماشین(Way back Machine) آرشیوی دیجیتال است شبکه جهانی وب است و کاربران را قادر میسازد تا نسخههای آرشیو شده از صفحات وب را تا سال ۱۹۹۶ مشاهدهکنند. حتی اگر مدیر امنیت جدید سازمانی تصمیم بگیرد که اطلاعات بالقوه حساس را از وبسایت این نهاد حذف کند، مهندساجتماعی میتواند برای بازیافت آن از ویبک ماشین استفاده کند.
سایتهایی مانند گوگل مپز به مهندساجتماعی کمک میکنند تا بازدید مقدماتی را بهصورت مجازی انجام دهد . اگر مهندس اجتماعی خواهان نفوذ به درون دفاتر هدف باشد، باید تا حد ممکن در مورد نقاط دسترسی، کنترل دسترسی شامل نشانه خوانها یا سایر سیستمهای دسترسی، دوربینهاینظارت و محافظان اطلاعات کسب کند.
مهندس اجتماعی میتواند از نقشهها برای شناسایی کسب و کارهای نزدیک به محل هدف که کارکنان به آنها رفت و آمد میکند استفاده کند و ظاهرا بهصورت تصادفی با آنها برخورد کند و گفتگویی دوستانه را شروع کند تا بهدقت اطلاعاتی را گردآوری کند که از طریق اینترنت در دسترس نیست. ضمنا این امر میتواند فرصتی باشد تا کارکنان را آماده سازد و آنها را بهمنزله منبعی درونی در آینده بهکار گیرد.
هدف بالقوه دوم از بازدید مقدماتی شناسایی محلهایی مانند گلفروشیها یا رستورانها در نزدیکی شرکت است که اجناسی را به دفاتر هدف تحویلمیدهند. مهندس اجتماعی با داشتن این اطلاعات، ممکن است تصمیم بگیرد که خود را بهعنوان فردی جا بزند که جنسی را تحویل میدهد تا دسترسی بی مشایع به محل شرکت پیدا کند.
افراد درونی
مهندسان اجتماعی علاوه بر گردآوری اطلاعات در مورد سازمان، افراد درونی این نهادها را هدف قرارمیدهند. در سازمانهای متوسط تا بزرگ عملا چندین هزار کارمند وجود دارد، اما مهندس اجتماعی تنها نیاز دارد که از چند فرد که جایگاه مناسبی دارند، دادههای مفید را گردآوریکند.
او مایل است که تا حد ممکن در مورد پیشینههای فردی و حرفهای افراد هدف قرار دادهشده اطلاعات کسبکند و همچنین انگیزههای آنها را دریابد. مهندس اجتماعی با داشتن این اطلاعات بهتر میتواند آنها را بازیچه قرار دهد.
معمولترین نقطه شروع برای گردآوری داده در مورد افراد درونی از طریق سایتهای رسانههای اجتماعی است. بااینکه صدها عدد از چنین سایتهایی وجود دارند که بیش از ۳/۳ میلیارد نفر کاربر دارند، مهندسان اجتماعی بهطورمعمول از سایتهای استفاده میکنند که فراوانترین اطلاعات را در بر دارند. برای یافتن تصاویری از افراد درونی هدف قراردادهشده و شبکه مخاطبین آنها، میتوان از فیسبوک استفادهکرد. در این سایت میتوان درمورد محل زندگی افراد، سن و تاریخ تولد آنها، مدرسهای که به آن میرفتند، سرگرمیها و علایق آنها و برنامههای سفر آنها درگذشته و آینده اطلاعاتی بهدست آورد. زمانی که با فردی روبرو میشوند که تنظیمات حریم خصوصی را فعال کردهاند، مهندسان اجتماعی مبتکر بهحسابهای کاربری همسر و فرزندان این فرد روی میآورند که ممکن است فاقد این تنظیمات حریم خصوصی باشد.
توییتر میتواند گزارشی لحظه به لحظه از محل فرد و کاری که انجام میدهد، ارایه کند و مهندسان اجتماعی میتوانند با استفاده از لینکدین در مورد پروفایل حرفهای، دانشگاهی و کاری؛ علایق حرفهای؛ و شبکه آشنایان فرد اطلاعات کسبکنند.
بازیچه قرار دادن افراد هدف
مهندسان اجتماعی از چهار نوع بردار حمله استفاده میکنند تا از شرکتها در ارتباط با امور مالی، مایملک فکری یا داده کلاه برداری کنند.
- فیشینگ
در حال حاضر فیشینگ بیش از ۹۰ درصد از همه حملات مهندسی را شامل میشود. این امر مشتمل است بر ایمیلهای هرزنامه (Spam) معمول که از دریافتکننده درخواست میکنند تا بر لینکی کلیک کند و یا ضمیمهای که در ایمیل قراردارد را باز کند که میتواند به دانلودکردن ابزارهای مخربی منجر شود که میتواند بهصورت بالقوه کامپیوتر دریافتکننده و در برخی موارد کل شبکه IT را دچار خطر کند.
درحالیکه این ایمیلها افراد خاص را هدف قرار نمیدهند و عملا هزاران عدد از آنها ارسالمیشود، حتی درصد اندکی از دریافتکنندگانی که قربانی آنها میشوند و بر این لینک کلیکمیکنند، میتوانند موجبشوند که فرستنده آنها بازگشت قابلتوجهی از سرمایهگذاری خود به دست آورد.
مهندسان اجتماعی حرفهای از فیشینگ هدفدار (Spear Phishing) که موثرا ایمیلی را با استفاده از دادههایی که قبلا دستچین شدهاند، هدف قرارمیدهد استفادهمیکنند. این احتمال اینکه هدف منتخب بر لینک کلیک خواهدکرد یا ضمیمه را باز خواهدکرد، را بسیار افزایش میدهد.
نوع دیگری از فیشینگ عبارت است از ایجاد یک حساب جعلی لینکدین توسط مهندس اجتماعی و برقراری ارتباط با فرد هدف در مورد موضوعی خاص.اگر فرد هدف مایل نباشد که دعوت افراد ناشناس را بپذیرد، مهندس اجتماعی ابتدا شبکه مخاطبان فرد هدف را دعوت میکند و با آنها تماس میگیرد. آنگاه، زمانی که فرد هدف مشاهده میکند که بسیاری از همتایان وی در صنعت به این پروفایل جعلی متصلاند، او هم احتمالا دعوت را قبولمیکند.
هنگامی که مهندس اجتماعی در برقراری پیوند با فرد هدف موفق شود، چند ایمیل با وی ردوبدل میکند و در پی آن ایمیلی که حاوی لینک یا ضمیمه بدافزار است. ازآنجاییکه مبادلات قبلی احتمالا منجربه ایجاد صمیمت و اعتماد شده است، فرد هدف احتمالا قربانی حمله خواهد شد.
- اسمیشینگ
(فیشینگ پیامکی)
این روش مشابه فیشینگ است، ولی بهجای استفاده از ایمیل بهعنوان واسط حمله، مهندس اجتماعی لینک یا ضمیمه را از طریق پیامک ارسالمیکند. نتیجه آن مشابه است. بااینکه اسمیشینگ در حالحاضر مانند فامیلش فیشینگ متداول نیست، انتظار میرود که روندهای موجود در بازاریابی انبوه را منعکس کند، زیرا بازاریابی انبوه همهروزه بیشتر و بیشتر به سمت ارسال پیامک میرود زیرا نرخ دسترسی آن بالاتر است.
- ویشینگ
(فیشینگ صوتی)
این فن میتواند برای مهندسان اجتماعی حرفهای مفرح و شادیبخش باشد. بااینکه ویشینگ مهارت بیشتری لازم دارد، عموما از شیوههای مذکور در بالا موثرتر است. در اینجا مهندساجتماعی با استفاده از هر یک از ترفندها یا بهانههای موجود با فرد هدف تماس تلفنی برقرار میکند.
فرض کنید که یک مهندساجتماعی مایل است که اطلاعات حفاظت شده در ارتباط با وضعیت یک محصول جدید در دفتر مرکزی شرکت هدف در شیکاگو را گردآوریکند. این مهندس اجتماعی که خود را بهجای دستیار جدید معاون عملیاتی شرکت جامیزند و با مدیر عملیات شرکت درباره یکی از آزمایشگاههای شرکت هدف در لس آنجلس تماس تلفنی برقرارمیکند.
برای اینکه اعتبار این تماس تلفنی بیشتر شود، مهندس اجتماعی تماس را جعل کرده (spoof) و وانمودمیکند که این شماره تلفن، شماره تلفن دفتر معاون شیکاگو است. او اظهارمیکند که معاون در حال آمادهسازی مقدمات نهایی جلسهای است که بهزودی برگزارمیشود و فورا به اطلاعاتی در مورد تاریخ عرضه محصول به بازار و هزینههای آن در مقایسه با ارقام بودجه نیاز دارد. ازآنجاییکه به نظر میرسد که این تماس حقیقتا از سوی فردی در منصب قدرت برقرارشده است، و به دلیل ماهیت اضطراری آن، بهاحتمال زیاد مهندس اجتماعی موفق خواهد شد.
- نفوذ مستقیم
بااینکه اجرای نفوذ مستقیم در میان این چهار شیوه، دشوارترین شیوه قلمداد میشود، غالبا موفقیتآمیزترین شیوه هم هست و شامل تماس رودررو با فرد هدف میشود.
مهندس اجتماعی میتواند از انواعی از بهانهها برای برقراری این نوع تماس استفاده کند، ازجمله آنکه میتواند خود را بهعنوان فردی که در داخل ساختمان قرار ملاقات دارد، پشتیبان IT، بازرس آتشنشانی که نظرسنجی انجام میدهد، یا عضوی از ارایهدهندگان خدمات که با سازمان قرار دارند، جا بزند.
مهندس اجتماعی میتواند بهسادگی خود را بهعنوان فردی جا بزند که باید بستهای تحویل دهد که به امضای دریافتکننده نیاز دارد، و یا حتی تا آنجا پیش برود که لباس فرم فدکس یا یوپیاس (سازمانهای پست خصوصی در آمریکا) را بهصورت آنلاین خریداری کند. مهندس اجتماعی پس از بازبینی مکانهای شناسایی شده در نزدیکی تاسیسات هدف، میتواند خود را بهعنوان فردی که گل، لوازم دفتری یا فست فود تحویل میدهد، جا بزند.
زمانی که مهندس اجتماعی به داخل ساختمان دسترسی بدون مشایعت بهدست آورد، میتواند در اتاقهای اجلاس یا ثبتکنندههای صفحهکلید دستگاههای شنود کاربگذارد، تا اطلاعات خاصی مانند نام کاربری و رمز عبور شبکه را بهدستآورد.
مهندساجتماعی بهسادگی میتواند فلش درایوهایی با برچسب «دستمزدهای محرمانه» در گوشه و کنار شرکت قرار دهد و با توجه به ماهیت کنجکاو انسانها امیدوار باشد که حداقل یکی از کارکنان این درایوها را مییابد و آنها را به کامپیوتر متصلمیکند تا دستمزدهایی که دیگران دریافت میکنند را مشاهدهکند. اگر فردی این کار را انجام دهد، مهندس اجتماعی با موفقیت فایلهای مخرب را آپلود میکند که بهصورت بالقوه شبکه را به خطر میاندازند.
یکی دیگر از ترفندهای موفقیت آمیز این است که مهندس اجتماعی خود را بهجای یکی از استخدامکنندگان مدیران اجرایی جا بزند و بدون اینکه لازم باشد که نام موکل خاصی را ذکرکند مستقیما با فرد هدف در داخل شرکت تماس بگیرد و اظهار کند که آنها تحت تاثیر سوابق حرفهای وی که در لینکدین ذکرشدهاست، قرارگرفتهاند و معتقدند که این فرد میتواند نامزد مناسبی برای پست بسیار خوبی باشد که آنها میکوشند تا فردی برای آن بیابند.
فرد هدف که احساس میکند که چیزی را از دست نمیدهد، این امکان را در اختیار مهندس اجتماعی قرارمیدهد که چه از طریق تلفن یا در هنگام ملاقات حضوری اطلاعات قابل توجهی از سوابق این فرد و همچنین اطلاعات محرمانهای در مورد کارفرمایان گذشته و فعلی وی بهدست آورد.
شیوههای تاثیرگذاری
احتمالا مهمترین ویژگی رفتاری که موجب میشود افراد انسانی در مقابل ترفندهای مهندسی اجتماعی بسیار آسیبپذیر باشند، تمایل آنها به اعتماد کورکورانه به همهی افراد و حتی افرادی که نمیشناسند است. این اعتماد کورکورانه میتواند برای وضعیت امنیتی سازمان خطرناک باشد. این اعتماد موجب میشود که مهندسان اجتماعی بتوانند بهسادگی قربانیان خود را متقاعد کنند که همان فردی هستند که ادعا میکنند.
مهندسان اجتماعی حرفهای علاوه بر بهرهگیری از اعتماد از تعداد زیادی شیوههای تاثیرگذاری را هم بهکار میگیرند. ازآنجاییکه احتمال بیشتری وجود دارد که قربانیان به فردیدلچسب کمککنند، مهندسان اجتماعی تلاش خواهند کرد تا پیش از مطرحکردن تقاضای خود، روابط دوستانه مستحکمی با فرد برقرار کنند. بهطورمشابه، اگر مهندساجتماعی در حق قربانی لطف بزرگی انجام دهد یا با مهربانی با وی رفتار کند، فرد هدف هم غالبا حسی قوی از تعهد به جبران این لطف پیدا میکند و مایل است که در حق مهندس اجتماعی لطفی انجام دهد.
اگر قربانیان معتقد شوند که این درخواست از سوی فردی صاحب قدرت مطرح میشود و یا اگر مهندس اجتماعی با تلقین این امر که خودداری از کمک به وی از دیدگاه اجتماعی نامطلوب است، فرد را تحتفشار قرار دهد، به احتمال زیاد تقاضای مهندس اجتماعی را برآورده خواهند ساخت. یکی دیگر از تاکتیکها این است که مهندس اجتماعی ابتدا درخواستی مطرح میکند که قربانی برآورده کردن آن را غیرممکن میداند و متعاقبا با درخواست دیگری که ظاهرا بسیار سادهتر از درخواست اول است، موافقت میکند.
مهندس اجتماعی میتواند از حس ضیقوقت نیز بهرهگیرد و قربانی را تحت فشار قرار دهد تا سریعا تصمیمگیری کند، زیرا در غیر اینصورت فرصت را از دست خواهد داد.
کاهش حملات
با انجام برخی اقدامات پایه، میتوان ریسک قربانی شدن سازمان را به نحوی قابلملاحظه کاهش داد.
اولا میزان اطلاعات غیرضروری ولی قابل بهرهبرداری در مورد سازمانها که بهصورت آنلاین قابل دسترسی است، باید به حداقل کاهش یابد. علاوه بر تدوین سیاستهای شفاف در مورد آنچه کارکنان میتوانند بهصورت آنلاین پست کنند، فردی هم باید مسئولیت بررسی دورهای سایتهای کلیدی را به عهده گیرد تا از تبعیت کارکنان از این سیاستها اطمینان حاصل شود. هرقدر میزان اطلاعات قابلدسترسی برای مهندسان اجتماعی بیشتر باشد، احتمال بیشتری دارد که سازمان در فهرست اهداف آنها قرار گیرد.
همین شیوه هم باید در میان کارکنان سازمان در ارتباط با اطلاعات فردی که در رسانههای اجتماعی قرار میدهند، ترویج شود، هرچند که نمیتوان آن را به شکل قانون درآورد.
اقدام دیگری که میتوان انجام داد آموزش آگاهی از مهندسی اجتماعی به کارکنان سازمان است. این آموزش حساسیت کارکنان را افزایش میدهد و آنها را قادر میسازد تا حملات بالقوه مهندسی اجتماعی را شناسایی کنند و دریابند که چه اقداماتی باید صورتدهند.
نشانههای هشدارآمیز این امر که احتمال دارد یک مهندس اجتماعی بالقوه متصدی باشد، عبارتاند از تماسگیرندهای که شماره تماس خود را اعلام نمیکند، درخواستی نامعمول دارد، یا هنگام پرسوجو معذب میشود. اگر تماسگیرندهای ادعا کند که صاحبمقام و قدرت است، بر فوریت کار تأکید کند و یا تهدید کند که در صورت عدم اقدام عواقب منفی در انتظار افراد است، کارکنان باید توجه داشته باشند که ممکن است این فرد یک مهندس اجتماعی باشد. و اگر تماسگیرندهای نام افراد مهم را بر زبان بیاورد، یا به چربزبانی و خوشامدگویی بپردازد، این فرد نیز ممکن است مهندسی اجتماعی باشد.
پس از آنکه کارکنان از خطر آگاه شدند، لازم است بدانند که چه اقداماتی باید صورتدهند و صرفا اجابتنکردن تقاضای مهندساجتماعی کافی نیست.
سازمانها باید سامانهای داشته باشند که کارکنان با استفاده از آن بهسرعت این حملات را از طریق گزارش واقعه بهاطلاع بخش امنیت برسانند.
کارکنان باید این نوع آموزش را بهصورت دورهای دریافت کنند، ایدهآل آن است که سالی یک بار آموزش ببینند. برای آنکه این آموزش حقیقتا موثر باشد، باید با تستهای نفوذ مهندس اجتماعی همراه باشد، که ترفندهای بالقوه به کار گرفته شده از سوی این افراد برای رخنه در امنیت سازمان را تقلید میکنند.
کارکنان با راهاندازی کمپین آگاهی از مهندسی اجتماعی، کارکنان از چنین تهدیداتی آگاه میشوند و اقدامات لازم را صورت میدهند و بدین ترتیب آسیبپذیریهای موجود را کاهشمیدهند.
جمعبندی و نتیجهگیری
در همه تعاملات، چه از طریق ایمیل، پیامک، تلفن یا رودررو، کارکنان باید تصدیق کنند که فرد موردنظر همان کسی است که ادعا میکند و تقاضایی مشروع دارد.
این شعار را بهخاطر داشتهباشید:
” اول تصدیق بعد اعتماد “