مهندسی اجتماعی

دستکاری استادانه

مهندسان اجتماعی تاکتیک‌های زیادی در اختیاردارند که با استفاده از آن‌ها حتی هوشیارترین کارکنان را بازیچه دست خود قرار‌می‌دهند. در اینجا درباره نحوه شناسایی استراتژی‌های آن‌ها و شیوه‌های اجتناب از افتادن به دام آن‌ها صحبت می‌کنیم.

مالکوم فیشر مدیر ارشد مالی یک شرکت هرگز گمان نمی‌کرد که قربانی جرایم سایبری شود؛ تا زمانی که یکی از مهندسان اجتماعی خود را به‌جای او جا زد و بیش از ۱۲۵۰۰۰ هزار دلار از شرکت وی کلاه‌ برداری کرد.
با در نظر گرفتن سمت فیشر در شرکت، شناسایی وی به‌عنوان هدفی با ارزش برای این مجرم نسبتا آسان بود؛ بیوگرافی وی به‌سادگی در وب‌سایت شرکت در دسترس همگان قرار‌داشت و پروفایل‌های رسانه‌های اجتماعی فیشر در فیس‌بوک، توییتر و لینکدین اطلاعات زیادی را در ارتباط با وی آشکار می‌ساخت و وی را به هدفی رویایی برای مهندسان اجتماعی سخت‌ کوش مبدل می‌ساخت.
فیشر مکررا در تورنمنت‌های پوکر شرکت می‌کرد و در توصیف موفقیت‌های خود اصلا فروتن نبود. او در پلتفرم‌های شبکه‌های اجتماعی خود پست‌هایی در مورد تورنمنت آتی در لاس‌وگاس گذاشت و برنامه سفر خود را شرح داد. اندکی پس از ورود به لاس‌وگاس، او پیامکی از فردی دریافت کرد که ظاهرا سازمان‌دهنده این تورنمنت بود و لینکی به برنامه به‌ روزرسانی شده تورنومنت در اختیار وی قرار می‌داد. زمانی که وی بر آن لینک کلیک کرد، در ظاهر اتفاقی نیفتاد، اما او به‌طور ناآگاهانه مهندس‌ اجتماعی مزبور را قادر‌ ساخت تا به تلفن همراهی که از طرف شرکت در اختیار وی قرار داده‌ شده بود، دسترسی پیدا کند.
این فرد کلاه‌بردار که می‌دانست که تورنمنت مزبور صبح فردا در ساعت ۱۱برگزار‌ می‌شود، حساب‌کاربری ایمیل فیشر را دزدید و در ساعت ۱۱:۱۵ صبح پیامی اضطراری به یکی از همکاران فرستاد. در این ایمیل که ظاهرا از سوی فیشر نوشته‌ شده‌ بود، از این فرد درخواست شده بود که سریعا ۱۲۵۰۰۰ هزار دلار به یکی از فروشندگان ارسال کند و ذکر شده‌ بود که وی چندین ساعت در دسترس نخواهد‌ بود زیرا در تورنمنت است.
این کارمند که هرگز دستورات رییس را زیر سوال نمی‌برد، سریعا وجه را انتقال داد. فیشر لاس‌وگاس را با خرسندی ترک گفت زیرا در تورنمنت مزبور برنده‌ شده‌ بود اما به زودی دریافت او بود که بازیچه قرارگرفته است.
این یک سناریو غیرمعمول نیست. با تمرکز بیشتر بر امنیت سایبری شرکت‌ها و ممانعت از درز داده‌ها بیشتر از هر زمانی، بسیاری از مدیران اجرایی بر این باورند که فناوری به‌تنهایی محافظت کافی علیه چنین تهدیدهایی فراهم‌می‌سازد.
اما نقش‌ آفرینان ماهر این تهدیدات، چه دولت‌های ملی، مجرمین، فعالین یا رقیبان خاین، مکررا بدیهی‌ترین نقطه‌ ضعف یافت‌شده در بیشتر سازمان‌ها را هدف قرار‌می‌دهند و آن عامل انسانی است. تعامل میان انسان‌ها و فناوری که هدف از آن محافظت از سازمان باشد، غالبا ضعیف‌ترین پیوند در امنیت نامیده می‌شود.
رایج‌ترین شیوه به‌کار گرفته‌شده از سوی این تهدیدکنندگان برای بهره‌گیری از آسیب‌پذیری عامل انسانی، مهندسی‌ اجتماعی است. در حقیقت، بر طبق گزارش تحقیقات درز داده سال ۲۰۱۸ شرکت ورایزن، بیش از ۹۰ درصد از رخنه‌های امنیتی موفق با گونه‌ای از مهندسی اجتماعی آغاز می‌شوند.
مهندسی اجتماعی عبارت است از ملعبه قرار‌دادن ماهرانه افراد درونی سازمان برای انجام‌دادن اقدامات خاصی که مورد توجه مهندس‌ اجتماعی است. افراد داخلی تنها کارکنان سازمان نیستند بلکه شامل هرکسی می‌شود که به سازمان هدف دسترسی بدون مشایعت دارد، ازجمله عرضه‌کنندگان خدماتی مانند نیروهای محافظ، نظافتچیان، شرکت‌های تهیه غذا، پرکنندگان دستگاه‌های فروش خودکار، پیمانکاران نگهداری و غیره.
کسب آگاهی و بینش بیشتر از این فرآیند موجب می‌شود که فرصت بهتری برای کاهش ریسک حملات مهندسی اجتماعی فراهم شود.

گردآوری داده

یک مهندس اجتماعی حرفه‌ای پیش از آِغاز هر نوع حمله، زمان کافی را صرف گردآوری اطلاعات منبع باز موجود می‌کند. بااینکه این نوع اطلاعات می‌توانند از منابع مختلف گردآوری‌شوند، پرکاربردترین واسطه‌ این کار یک تحقیق ساده آنلاین است.
تقریبا همه سازمان‌ها وب‌سایتی دارند که اطلاعاتی در مورد شرکت، محصولات و خدمات آن، پروفایل‌های مدیران آن، اطلاعیه‌های رسمی شرکت، اطلاعات تماس و فرصت‌های شغلی در آن ذکر می‌شود.
بااینکه همه این بخش‌ها می‌توانند اطلاعات مفیدی در اختیار یک مهندس اجتماعی قرار‌دهند، پروفایل‌های مدیران که غالبا حاوی اسامی کامل، عناوین، تصاویر و شرح بیوگرافی مختصری هستند، بینش قابل‌توجهی در مورد افراد داخلی کلیدی و جایگاه آن‌ها در ساختار سازمان فراهم می‌سازد.
فرصت‌های شغلی به همراه اطلاعات تماس شرکت، جزییات قابل بهره‌برداری فراهم می‌سازد و درگاهی است که از طریق آن مهندسان اجتماعی می‌توانند تماس مستقیم یا غیرمستقیم با سازمان برقرار‌کنند.

آگهی‌های استخدام و بازبینی‌های شغلی

آگهی‌های استخدام چه در وب‌سایت شرکت قرار‌داده‌شود یا در پلتفرم‌های شغلی آنلاین آگهی‌شوند، می‌توانند اطلاعات زیادی فراهم‌آورند. این آگهی‌ها حداقل صلاحیت‌های پایه IT لازم برای متقاضیان شغلی را آشکار‌می‌سازند و اطلاعات ارزشمندی در مورد سیستم‌های عامل و برنامه‌های نرم‌افزاری سازمان فراهم‌می‌آورند. توصیفات شغلی می‌تواند در مورد گسترش بالقوه سازمان چه به‌لحاظ جغرافیایی و چه از طریق محصولات و خدمات جدید، بینش‌هایی به‌دست دهد. سازمان با آگهی‌های شغلی از افراد خارجی برای تماس دعوت به‌عمل می‌آورد. این امر فرصت ارایه الکترونیکی پوشه‌کاری یا رزومه را (چه به‌صورت مستقیم از طریق بخش منابع انسانی و چه از طرق فردی دیگر در سازمان که توسط مهندس اجتماعی انتخاب‌شده است و رزومه را به وی ارسال می‌کند) در اختیار مهندس‌اجتماعی قرار‌می‌دهد. این ایمیل به‌همراه پیوست‌های آن می‌تواند واسطه‌ای برای راه‌اندازی یک بدافزار در سیستم هدف باشد.
این آگهی‌های شغلی فرصت مصاحبه با کارکنان و کسب اطلاعات حساس را برای مهندسان‌اجتماعی فراهم‌می‌آورند، اگرچه که این شیوه کمتر به‌کار‌گرفته می‌شود.
سایت‌های بررسی کارفرمایان مانند سایت گلسدور (Glassdoor) اطلاعات مفیدی در مورد محل کار که کارکنان پست‌کرده‌اند، فراهم می‌سازد. این بازبینی‌ها مهندس‌اجتماعی را از روحیه افراد سازمان مطلع می‌سازد . عموما، بازیچه قرار‌دادن کارکنان ناراضی از بازیچه قرار‌دادن افرادی که از شغل خود رضایت دارند و به کارفرمای خود وفادارند، آسان‌تر است.
رسانه‌های اجتماعی و موتورهای جستجو. بااینکه سازمان‌ها می‌توانند برای تبلیغات محصولات و خدمات خود استفاده گسترده‌ای از رسانه‌های اجتماعی به‌عمل‌آورند، یکی از عواقب ناخواسته این امر درز اطلاعات قابل بهره‌برداری است.
کارکنان غالبا عکس‌هایی از خود و همکارانشان در محیط کار را آپلود می‌کنند که اطلاعاتی در مورد فضاهای کاری فیزیکی ازجمله نقشه‌های طبقات، پیکربندی دفاتر، سخت‌افزار سیستم امنیتی، سیستم‌های IT، نشان‌ها یا پوشاک‌کارکنان را افشا می‌سازد. بخش زیادی از این اطلاعات در هنگام طرح‌ریزی نفوذ‌فیزیکی حقیقی به داخل سازمان، می تواند مفید باشد.
جستجوهای خلاقانه در گوگل مهندس‌اجتماعی را به ورای ورودی‌های متداول‌‌تری می‌برد که معمولا در ارتباط بانام سازمان نشان داده می‌شود.
برای مثال یک جستجوی ساده ولی خلاقانه شامل نام شرکت و واژه‌های «پی‌دی‌اف» یا «محرمانه» می‌توانند اسنادی مانند نظام‌نامه کارکنان، بسته‌های مزایای کارکنان، دستورالعمل‌های کاربران IT، یا قراردادها را افشا سازد. این جستجوها می‌توانند پیمانکاران فرعی شرکت هدف برای ارایه خدماتی مانند دربانی، حمل زباله، امنیت، تهیه غذا یا کارکنان موقت را شناسایی کنند.
جستجو برای سوابق دادگاه‌های عمومی، دسترسی به اسناد جنایی و مدنی دادگاه در سطح کشور را فراهم می‌سازد. این اسناد عموما حاوی جزییات عملیاتی در ارتباط با شرکت هدف یا مقاماتی هستند که شرکت ترجیح می‌دهد که مخفی نگه دارد.
یکی از تصورات غلط در مورد اینترنت این است که زمانی که شرکت اطلاعاتی که پیش‌ازاین در وب‌سایت سازمانی خود وجود داشت را پاک کند یا اصلاح کند، اطلاعات اصلی دیگر موجود نیستند. اما این‌طور نیست.
وی‌بک ماشین(Way back Machine) آرشیوی دیجیتال است شبکه جهانی وب است و کاربران را قادر می‌سازد تا نسخه‌های آرشیو شده از صفحات وب را تا سال ۱۹۹۶ مشاهده‌کنند. حتی اگر مدیر امنیت جدید سازمانی تصمیم بگیرد که اطلاعات بالقوه حساس را از وب‌سایت این نهاد حذف کند، مهندس‌اجتماعی می‌تواند برای بازیافت آن از وی‌بک ماشین استفاده کند.
سایت‌هایی مانند گوگل مپز به مهندس‌اجتماعی کمک می‌کنند تا بازدید مقدماتی را به‌صورت مجازی انجام دهد . اگر مهندس اجتماعی خواهان نفوذ به درون دفاتر هدف باشد، باید تا حد ممکن در مورد نقاط دسترسی، کنترل دسترسی شامل نشانه خوان‌ها یا سایر سیستم‌های دسترسی، دوربین‌های‌نظارت و محافظان اطلاعات کسب کند.
مهندس اجتماعی می‌تواند از نقشه‌ها برای شناسایی کسب‌ و کارهای نزدیک به محل هدف که کارکنان به آن‌ها رفت‌ و آمد می‌کند استفاده کند و ظاهرا به‌صورت تصادفی با آن‌ها برخورد کند و گفتگویی دوستانه را شروع کند تا به‌دقت اطلاعاتی را گردآوری کند که از طریق اینترنت در دسترس نیست. ضمنا این امر می‌تواند فرصتی باشد تا کارکنان را آماده سازد و آن‌ها را به‌منزله منبعی درونی در آینده به‌کار گیرد.
هدف بالقوه دوم از بازدید مقدماتی شناسایی محل‌هایی مانند گل‌فروشی‌ها یا رستوران‌ها در نزدیکی شرکت است که اجناسی را به دفاتر هدف تحویل‌می‌دهند. مهندس اجتماعی با داشتن این اطلاعات، ممکن است تصمیم بگیرد که خود را به‌عنوان فردی جا بزند که جنسی را تحویل می‌دهد تا دسترسی بی مشایع به محل شرکت پیدا کند.

افراد درونی

مهندسان‌ اجتماعی علاوه بر گردآوری اطلاعات در مورد سازمان، افراد درونی این نهادها را هدف قرار‌می‌دهند. در سازمان‌های متوسط تا بزرگ عملا چندین هزار کارمند وجود دارد، اما مهندس اجتماعی تنها نیاز دارد که از چند فرد که جایگاه مناسبی دارند، داده‌های مفید را گردآوری‌کند.
او مایل است که تا حد ممکن در مورد پیشینه‌های فردی و حرفه‌ای افراد هدف قرار داده‌شده اطلاعات کسب‌کند و هم‌چنین انگیزه‌های آن‌ها را دریابد. مهندس اجتماعی با داشتن این اطلاعات بهتر می‌تواند آن‌ها را بازیچه قرار دهد.
معمول‌ترین نقطه شروع برای گردآوری داده در مورد افراد درونی از طریق سایت‌های رسانه‌های اجتماعی است. بااینکه صدها عدد از چنین سایت‌هایی وجود دارند که بیش از ۳/۳ میلیارد نفر کاربر دارند، مهندسان اجتماعی به‌طورمعمول از سایت‌های استفاده می‌کنند که فراوان‌ترین اطلاعات را در بر دارند. برای یافتن تصاویری از افراد درونی هدف قرار‌داده‌شده و شبکه مخاطبین آن‌ها، می‌توان از فیس‌بوک استفاده‌کرد. در این سایت می‌توان در‌مورد محل زندگی افراد، سن و تاریخ تولد آن‌ها، مدرسه‌ای که به آن می‌رفتند، سرگرمی‌ها و علایق آن‌ها و برنامه‌های سفر آن‌ها درگذشته و آینده اطلاعاتی به‌دست آورد. زمانی که با فردی روبرو می‌شوند که تنظیمات حریم خصوصی را فعال کرده‌اند، مهندسان اجتماعی مبتکر به‌حساب‌های کاربری همسر و فرزندان این فرد روی می‌آورند که ممکن است فاقد این تنظیمات حریم خصوصی باشد.
توییتر می‌تواند گزارشی لحظه‌ به‌ لحظه از محل فرد و کاری که انجام‌ می‌دهد، ارایه‌ کند و مهندسان اجتماعی می‌توانند با استفاده از لینکدین در مورد پروفایل حرفه‌ای، دانشگاهی و کاری؛ علایق حرفه‌ای؛ و شبکه آشنایان فرد اطلاعات کسب‌کنند.

بازیچه قرار دادن افراد هدف

مهندسان اجتماعی از چهار نوع بردار حمله استفاده می‌کنند تا از شرکت‌ها در ارتباط با امور مالی، مایملک فکری یا داده کلاه‌ برداری کنند.

فیشینگ

در حال حاضر فیشینگ بیش از ۹۰ درصد از همه حملات‌ مهندسی را شامل می‌شود. این امر مشتمل است بر ایمیل‌های هرزنامه (Spam) معمول که از دریافت‌کننده درخواست می‌کنند تا بر لینکی کلیک کند و یا ضمیمه‌ای که در ایمیل قرار‌دارد را باز کند که می‌تواند به دانلود‌کردن ابزارهای مخربی منجر شود که می‌تواند به‌صورت بالقوه کامپیوتر دریافت‌کننده و در برخی موارد کل شبکه IT را دچار خطر کند.
درحالی‌که این ایمیل‌ها افراد خاص را هدف قرار نمی‌دهند و عملا هزاران عدد از آن‌ها ارسال‌می‌شود، حتی درصد اندکی از دریافت‌کنندگانی که قربانی آن‌ها می‌شوند و بر این لینک کلیک‌می‌کنند، می‌توانند موجب‌شوند که فرستنده آن‌ها بازگشت قابل‌توجهی از سرمایه‌گذاری خود به‌‌ دست آورد.
مهندسان اجتماعی حرفه‌ای از فیشینگ هدف‌دار (Spear Phishing) که موثرا ایمیلی را با استفاده از داده‌هایی که قبلا دست‌چین شده‌اند، هدف قرار‌می‌دهد استفاده‌می‌کنند. این احتمال این‌که هدف منتخب بر لینک کلیک خواهد‌کرد یا ضمیمه را باز خواهد‌کرد، را بسیار افزایش می‌دهد.
نوع دیگری از فیشینگ عبارت است از ایجاد یک حساب جعلی لینکدین توسط مهندس‌ اجتماعی و برقراری ارتباط با فرد هدف در مورد موضوعی خاص.اگر فرد هدف مایل نباشد که دعوت افراد ناشناس را بپذیرد، مهندس اجتماعی ابتدا شبکه مخاطبان فرد هدف را دعوت می‌کند و با آن‌ها تماس می‌گیرد. آنگاه، زمانی که فرد هدف مشاهده می‌کند که بسیاری از همتایان وی در صنعت به این پروفایل جعلی متصل‌اند، او هم احتمالا دعوت را قبول‌می‌کند.
هنگامی که مهندس‌ اجتماعی در برقراری پیوند با فرد هدف موفق شود، چند ایمیل با وی ردوبدل می‌کند و در پی آن ایمیلی که حاوی لینک یا ضمیمه بدافزار است. ازآنجایی‌که مبادلات قبلی احتمالا منجر‌به ایجاد صمیمت و اعتماد شده است، فرد هدف احتمالا قربانی حمله خواهد شد.

اسمیشینگ
(فیشینگ پیامکی)

این روش مشابه فیشینگ است، ولی به‌جای استفاده از ایمیل به‌عنوان واسط حمله، مهندس اجتماعی لینک یا ضمیمه را از طریق پیامک ارسال‌می‌کند. نتیجه آن مشابه است. بااینکه اسمیشینگ در حال‌حاضر مانند فامیلش فیشینگ متداول نیست، انتظار می‌رود که روندهای موجود در بازاریابی انبوه را منعکس کند، زیرا بازاریابی انبوه همه‌روزه بیشتر و بیشتر به سمت ارسال پیامک می‌رود زیرا نرخ دسترسی آن بالاتر است.

ویشینگ
(فیشینگ صوتی)

این فن می‌تواند برای مهندسان اجتماعی حرفه‌ای مفرح و شادی‌بخش باشد. بااینکه ویشینگ مهارت بیشتری لازم دارد، عموما از شیوه‌های مذکور در بالا موثرتر است. در اینجا مهندس‌اجتماعی با استفاده از هر یک از ترفندها یا بهانه‌های موجود با فرد هدف تماس تلفنی برقرار می‌کند.
فرض کنید که یک مهندس‌اجتماعی مایل است که اطلاعات حفاظت‌ شده در ارتباط با وضعیت یک محصول جدید در دفتر مرکزی شرکت هدف در شیکاگو را گردآوری‌کند. این مهندس‌ اجتماعی که خود را به‌جای دستیار جدید معاون عملیاتی شرکت جا‌می‌زند و با مدیر عملیات شرکت درباره یکی از آزمایشگاه‌های شرکت هدف در لس‌ آنجلس تماس تلفنی برقرار‌می‌کند.
برای‌ اینکه اعتبار این تماس تلفنی بیشتر شود، مهندس‌ اجتماعی تماس را جعل کرده (spoof) و وانمود‌می‌کند که این شماره تلفن، شماره تلفن دفتر معاون شیکاگو است. او اظهار‌می‌کند که معاون در حال آماده‌سازی مقدمات نهایی جلسه‌ای است که به‌زودی برگزار‌می‌شود و فورا به اطلاعاتی در مورد تاریخ عرضه محصول به بازار و هزینه‌های آن در مقایسه با ارقام بودجه نیاز دارد. ازآنجایی‌که به نظر می‌رسد که این تماس حقیقتا از سوی فردی در منصب قدرت برقرارشده است، و به دلیل ماهیت اضطراری آن، به‌احتمال‌ زیاد مهندس اجتماعی موفق خواهد شد.

نفوذ مستقیم

بااینکه اجرای نفوذ مستقیم در میان این چهار شیوه، دشوارترین شیوه قلمداد می‌شود، غالبا موفقیت‌آمیزترین شیوه هم هست و شامل تماس رودررو با فرد هدف می‌شود.
مهندس اجتماعی می‌تواند از انواعی از بهانه‌ها برای برقراری این نوع تماس استفاده کند، ازجمله آن‌که می‌تواند خود را به‌عنوان فردی که در داخل ساختمان قرار ملاقات دارد، پشتیبان IT، بازرس آتش‌نشانی که نظرسنجی انجام می‌دهد، یا عضوی از ارایه‌دهندگان خدمات که با سازمان قرار دارند، جا بزند.
مهندس اجتماعی می‌تواند به‌سادگی خود را به‌عنوان فردی جا بزند که باید بسته‌ای تحویل دهد که به امضای دریافت‌کننده نیاز دارد، و یا حتی تا آنجا پیش برود که لباس فرم فدکس یا یو‌پی‌اس (سازمان‌های پست خصوصی در آمریکا) را به‌صورت آنلاین خریداری کند. مهندس اجتماعی پس از بازبینی مکان‌های شناسایی‌ شده در نزدیکی تاسیسات هدف، می‌تواند خود را به‌عنوان فردی که گل، لوازم دفتری یا فست فود تحویل می‌دهد، جا بزند.
زمانی که مهندس‌ اجتماعی به داخل ساختمان دسترسی بدون مشایعت به‌دست‌ آورد، می‌تواند در اتاق‌های اجلاس یا ثبت‌کننده‌های صفحه‌کلید دستگاه‌های شنود کار‌بگذارد، تا اطلاعات خاصی مانند نام کاربری و رمز عبور شبکه را به‌دست‌آورد.
مهندس‌اجتماعی به‌سادگی می‌تواند فلش درایوهایی با برچسب «دستمزدهای محرمانه» در گوشه و کنار شرکت قرار دهد و با توجه به ماهیت کنجکاو انسان‌ها امیدوار باشد که حداقل یکی از کارکنان این درایوها را می‌یابد و آن‌ها را به کامپیوتر متصل‌می‌کند تا دستمزدهایی که دیگران دریافت می‌کنند را مشاهده‌کند. اگر فردی این کار را انجام دهد، مهندس اجتماعی با موفقیت فایل‌های مخرب را آپلود‌ می‌کند که به‌صورت بالقوه شبکه را به خطر می‌اندازند.
یکی دیگر از ترفندهای موفقیت‌ آمیز این است که مهندس اجتماعی خود را به‌جای یکی از استخدام‌کنندگان مدیران اجرایی جا بزند و بدون این‌که لازم باشد که نام موکل خاصی را ذکر‌کند مستقیما با فرد هدف در داخل شرکت تماس بگیرد و اظهار کند که آن‌ها تحت تاثیر سوابق حرفه‌ای وی که در لینکدین ذکرشده‌است، قرارگرفته‌اند و معتقدند که این فرد می‌تواند نامزد مناسبی برای پست بسیار خوبی باشد که آن‌ها می‌کوشند تا فردی برای آن بیابند.
فرد هدف که احساس می‌کند که چیزی را از دست نمی‌دهد، این امکان را در اختیار مهندس‌ اجتماعی قرار‌می‌دهد که چه از طریق تلفن یا در هنگام ملاقات حضوری اطلاعات قابل‌ توجهی از سوابق این فرد و هم‌چنین اطلاعات محرمانه‌ای در مورد کارفرمایان گذشته و فعلی وی به‌دست‌ آورد.

شیوه‌های تاثیرگذاری

احتمالا مهم‌ترین ویژگی رفتاری که موجب می‌شود افراد انسانی در مقابل ترفندهای مهندسی اجتماعی بسیار آسیب‌پذیر باشند، تمایل آن‌ها به اعتماد کورکورانه به همه‌ی افراد و حتی افرادی که نمی‌شناسند است. این اعتماد کورکورانه می‌تواند برای وضعیت امنیتی سازمان خطرناک باشد. این اعتماد موجب‌ می‌شود که مهندسان اجتماعی بتوانند به‌سادگی قربانیان خود را متقاعد کنند که همان فردی هستند که ادعا می‌کنند.
مهندسان‌ اجتماعی‌ حرفه‌ای علاوه‌ بر بهره‌گیری از اعتماد از تعداد زیادی شیوه‌های تاثیرگذاری را هم به‌کار می‌گیرند. ازآنجایی‌که احتمال بیشتری وجود‌ دارد که قربانیان به فردی‌دل‌چسب کمک‌کنند، مهندسان‌ اجتماعی تلاش خواهند‌ کرد تا پیش از مطرح‌کردن تقاضای خود، روابط‌ دوستانه مستحکمی با فرد برقرار کنند. به‌طور‌مشابه، اگر مهندس‌اجتماعی در حق قربانی لطف بزرگی انجام دهد یا با مهربانی با وی رفتار کند، فرد هدف هم غالبا حسی قوی از تعهد به جبران این لطف پیدا‌ می‌کند و مایل است که در حق مهندس اجتماعی لطفی انجام دهد.
اگر قربانیان معتقد شوند که این درخواست از سوی فردی صاحب قدرت مطرح می‌شود و یا اگر مهندس اجتماعی با تلقین این امر که خودداری از کمک به وی از دیدگاه اجتماعی نامطلوب است، فرد را تحت‌فشار قرار دهد، به‌ احتمال‌ زیاد تقاضای مهندس‌ اجتماعی را برآورده خواهند ساخت. یکی دیگر از تاکتیک‌ها این است که مهندس اجتماعی ابتدا درخواستی مطرح‌ می‌کند که قربانی برآورده کردن آن را غیرممکن می‌داند و متعاقبا با درخواست دیگری که ظاهرا بسیار ساده‌تر از درخواست اول است، موافقت می‌کند.
مهندس اجتماعی می‌تواند از حس ضیق‌وقت نیز بهره‌گیرد و قربانی را تحت‌ فشار قرار‌ دهد تا سریعا تصمیم‌گیری کند، زیرا در غیر این‌صورت فرصت را از دست خواهد داد.

کاهش حملات

با انجام برخی اقدامات پایه، می‌توان ریسک قربانی شدن سازمان را به نحوی قابل‌ملاحظه کاهش داد.
اولا میزان اطلاعات غیرضروری ولی قابل بهره‌برداری در مورد سازمان‌ها که به‌صورت آنلاین قابل‌ دسترسی است، باید به حداقل کاهش یابد. علاوه بر تدوین سیاست‌های شفاف در مورد آنچه کارکنان می‌توانند به‌صورت آنلاین پست کنند، فردی هم باید مسئولیت بررسی دوره‌ای سایت‌های کلیدی را به عهده گیرد تا از تبعیت کارکنان از این سیاست‌ها اطمینان حاصل شود. هرقدر میزان اطلاعات قابل‌دسترسی برای مهندسان اجتماعی بیشتر باشد، احتمال بیشتری دارد که سازمان در فهرست اهداف آن‌ها قرار گیرد.
همین شیوه هم باید در میان کارکنان سازمان در ارتباط با اطلاعات فردی که در رسانه‌های اجتماعی قرار می‌دهند، ترویج شود، هرچند که نمی‌توان آن را به شکل قانون درآورد.
اقدام دیگری که می‌توان انجام داد آموزش آگاهی از مهندسی‌ اجتماعی به کارکنان سازمان است. این آموزش حساسیت کارکنان را افزایش می‌دهد و آن‌ها را قادر می‌سازد تا حملات بالقوه مهندسی اجتماعی را شناسایی کنند و دریابند که چه اقداماتی باید صورت‌دهند.
نشانه‌های هشدارآمیز این امر که احتمال دارد یک مهندس‌ اجتماعی بالقوه متصدی باشد، عبارت‌اند از تماس‌گیرنده‌ای که شماره تماس خود را اعلام نمی‌کند، درخواستی نامعمول دارد، یا هنگام پرس‌وجو معذب می‌شود. اگر تماس‌گیرنده‌ای ادعا کند که صاحب‌مقام و قدرت است، بر فوریت کار تأکید کند و یا تهدید کند که در صورت عدم اقدام عواقب منفی در انتظار افراد است، کارکنان باید توجه داشته باشند که ممکن است این فرد یک مهندس اجتماعی باشد. و اگر تماس‌گیرنده‌ای نام افراد مهم را بر زبان بیاورد، یا به چرب‌زبانی و خوشامدگویی بپردازد، این فرد نیز ممکن است مهندسی‌ اجتماعی باشد.
پس‌ از آنکه کارکنان از خطر آگاه شدند، لازم است بدانند که چه اقداماتی باید صورت‌دهند و صرفا اجابت‌نکردن تقاضای مهندس‌اجتماعی کافی نیست.
سازمان‌ها باید سامانه‌ای داشته باشند که کارکنان با استفاده از آن به‌سرعت این حملات را از طریق گزارش واقعه به‌اطلاع بخش امنیت برسانند.
کارکنان باید این نوع آموزش را به‌صورت دوره‌ای دریافت کنند، ایده‌آل آن است که سالی یک‌ بار آموزش ببینند. برای آنکه این آموزش حقیقتا موثر باشد، باید با تست‌های نفوذ مهندس‌ اجتماعی همراه باشد، که ترفندهای بالقوه به کار گرفته‌ شده از سوی این افراد برای رخنه در امنیت سازمان را تقلید می‌کنند.
کارکنان با راه‌اندازی کمپین آگاهی از مهندسی‌ اجتماعی، کارکنان از چنین تهدیداتی آگاه‌ می‌شوند و اقدامات لازم را صورت‌ می‌دهند و بدین ترتیب آسیب‌پذیری‌های موجود را کاهش‌می‌دهند.

جمع‌‌بندی و نتیجه‌گیری

در همه تعاملات، چه از طریق ایمیل، پیامک، تلفن یا رودررو، کارکنان باید تصدیق کنند که فرد موردنظر همان کسی است که ادعا می‌کند و تقاضایی مشروع دارد.

این شعار را به‌خاطر داشته‌باشید:

” اول تصدیق بعد اعتماد “

فصل‌نامه علمی، تخصصی، آموزشی خبری صنعت امنیت الکترونیک

Leave a Reply Cancel reply