شکارچی‌ها میدان‌ها اهداف گزارش‌های شکار بلاگ درباره ما
EN
شکارچی‌هامیدان‌هااهدافگزارش‌های شکاربلاگدرباره ما
ENورود ثبت نام
نکات امنیتی‌ راجع به مهندسی اجتماعی؛ برای کسب و کارها و افراد

نکات امنیتی‌ راجع به مهندسی اجتماعی؛ برای کسب و کارها و افراد

۱۴۴

تفاوت مهم حملات مهندسی اجتماعی با سایر حملات در چیست؟ در حملات مهندسی اجتماعی از عنصر انسانی و آسیب پذیری هایش در راستای رسیدن به هدف سوءاستفاده می‌شود. حملات مهندسی اجتماعی بر آسیب پذیری های انسانی تمرکز دارند، آسیب پذیری‌هایی مانند: اعتماد، کنجکاوی، عدم آگاهی و ... . این حملات از روان‌شناسی و رفتار انسانی بهره می‌برند و قصد آن را دارند که با تحریک افراد باعث شوند آن ها اطلاعات حساسی را فاش کنند یا اقداماتی که امنیت را به خطر می‌اندازند، را انجام دهند. این‌گونه هکرها می‌توانند با بهره‌گیری از ضعف‌های افراد به سیستم‌ها و داده‌ها دسترسی غیرمجاز پیدا کنند.  

پیشنهاد خواندنی: 

مهندسی اجتماعی و انواع روش‌های آن 

آن‌چه در این بلاگ‌پست خواهید خواند: 

چرا لازم است نیروهای انسانی آگاه شوند؟ 

نکات امنیتی برای امنیت بیشتر در برابر حملات مهندسی اجتماعی 

به‌عنوان یک کسب‌وکار، لازم است به این موارد توجه کنید 

به‌عنوان نیروی انسانی یک کسب‌وکار، لازم است به این موارد توجه کنید 

چرا لازم است نیروهای انسانی آگاه شوند؟ 

همان‌طور که تهیه‌ي تجهیزات امنیتی مانند فایروال و نرم‌افزارهای آنتی‌ویروس برای ارتقای امنیت ضروری هستند، ایجاد آگاهی دربرابر حملات مهندسی اجتماعی نیز ضروری است. هر چقدر هم که لایه‌های امنیتی و تجهیزات فنی قوی‌ را به کار گرفته باشید، اما اگر یک حمله‌کننده بتواند از آسیب پذیری های انسانی بهره‌برداری کند، عملکرد آن تجهیزات دفاعی بی‌اثر خواهد شد. به همین دلیل ضروری است که سازمان‌ها و نیروهای انسانی، درباره تاکتیک‌های مهندسی اجتماعی آگاهی داشته باشند و بتوانند تدابیر امنیتی قوی را پیاده‌سازی و از این حملات جلوگیری کنند. 

نکات امنیتی برای امنیت بیشتر در برابر حملات مهندسی اجتماعی 

در ادامه و در دو بخش مجزا، به مواردی پرداخته‌ایم که می‌تواند به امنیت بیشتر شما در مقابل حملات مهندسی اجتماعی، کمک کند. با پیاده‌سازی این استراتژی‌ و فرهنگسازی می‌توانید به طور قابل‌توجهی آسودگی خود را در برابر حملات مهندسی اجتماعی بهبود بخشید. 

به‌عنوان یک کسب‌وکار، لازم است به این موارد توجه کنید: 

آگاهی

یکی از روش‌های موثر برای مقابله با مهندسی اجتماعی، آگاهی درباره تاکتیک‌های رایج مورداستفاده‌ی حمله‌کنندگان است. پیگیر جدیدترین کلاهبرداری‌ها و تکنیک‌ها باشید. 

آموزش منظم

جلسات آموزش امنیتی را برای همکاران برگزار کنید تا به دانش و توانایی آن‌ها در تشخیص و پاسخ به حملات مهندسی اجتماعی بیفزایید. 

اجرای سیاست‌های امنیتی

سیاست‌ها و روال‌ امنیتی مشخصی را در راستای کنترل، به اشتراک گذاری و دسترسی به اطلاعات حساس تعیین کنید. به دلیل ماهیت پیچیده آسیب‌پذیری‌ها، بازیینی و به روزرسانی سیاست به صورت دوره‌ای و منظم اهمیت بالایی دارد. 

تأیید دو عاملی

برای دسترسی به سامانه‌ها یا داده‌های حساس، تأیید دو عاملی (MFA) را پیاده‌سازی کنید. به این صورت که با اضافه کردن لایه‌های امنیت جدید، استفاده از چندین مدل تأیید قبل از دسترسی را الزامی کنید. 

پیشنهاد خواندنی: 10 توصیه‌ی ساده برای آگاهی و امنیت کاربران اینترنت (گفت‌وگو با محمدامین کریمان)

مانور حملات مهندسی اجتماعی

با برگزاری حملات شبیه‌سازی شده و آزمایش واکنش‌ همکاران، نقاط ضعف سازمان را بیابید و رفتارهای خوب امنیتی را تقویت کنید. 

استفاده از رمزگذاری

با رمزگذاری داده‌های حساس (هم در حالت بدون بایگانی و هم در حال انتقال) آن‌ها را از دسترسی غیرمجاز محافظت کنید. 

محتاط بودن

رفتارهای احتیاط آمیز را در سازمان خود ترویج کنید. رفتارهایی مانند این‌که؛ همکاران نسبت به درخواست‌های مشکوک شک کنند، هویت افراد ناآشنا را تأیید نکنند و هرگونه حادثه امنیتی محتمل را سریع گزارش دهند. 

به‌عنوان نیروی انسانی یک کسب‌وکار، لازم است به این موارد توجه کنید: 

پذیرش این‌ اصل اساسی که "شاید برای شما هم اتفاق بیفتد"

افراد باید آگاه باشند که حملات مهندسی اجتماعی ممکن است برای هر کسی، بدون توجه به دانش یا تخصص فنی آن‌ها، اتفاق بیفتد. معمولاً مهاجمان افرادی را هدف قرار می‌دهند که درباره خطرات امنیت سایبری به خوبی آگاه نیستند. 

آگاهی و شناخت تکنیک‌های رایج و به‌روز

مهندسان اجتماعی از تکنیک‌های مختلفی مانند ایمیل‌های فیشینگ، تماس‌های تلفنی و جعل هویت استفاده می‌کند تا افراد را به افشای اطلاعات حساس یا انجام اقدامات خاص تشویق کند. درباره‌ی تکتیک‌های مهندسی اجتماعی و روش‌های پیشگیری از وقوع چنین حملاتی اطلاعات کسب کنید. با دنبال کردن اخبار و به‌روزرسانی‌های سایبری، از آخرین تکتیک‌ها و روندهای مهندسی اجتماعی آگاه شوید.  

نظر یک متخصص امنیتی: 

بعضی‌وقت‌ها می‌بینم که یک‌سری موارد در توییتر ترند می‌شوند. مثلا کاربرها می‌آیند و به یک‌ سری ربات‌ها یک‌ سری دسترسی‌هایی می‌دهند تا برایشان یک‌سری روابط منطقی را از اکانت‌شان استخراج کنند، مثلا؛ توییتی که بیشترین لایک شده، اکانت افرادی که بیش‌ترین اینتراکشن را با آن‌ها داشته‌اند و از این‌جور موارد. خب درواقع دسترسی‌هایی که دارد به آن ربات داده می‌شود، شاید در ظاهر یک‌ چیز خیلی عادی و بدون ترسی به نظر بیاید. ولی خب ممکن است این رباتی که دسترسی گرفته، به‌جایشان توییت بزند، افرادی را فالو کند، توییت‌هایشان را پاک کند و بعد هم بلاک کند و از این‌جور چیزها. و همه را هم با سرعت زیادی انجام دهد، چون ربات است و برایش مثل ما محدودیت وجود ندارد. اگر کاربران قبل از دادن دسترسی به چنین ربات‌هایی، این امکان و خطر را هم درنظر داشتند، احتمالا هیچ‌وقت این‌کار را نمی‌کردند!  

علامت‌های خطر

نسبت به درخواست‌های غیرمنتظره برای اطلاعات شخصی یا حساس، به ویژه اگر از طریق کانال‌های ناآشنا یا به نظر مبهم آمده باشند، هوشیار و محتاط باشید. 

حفاظت از اطلاعات شخصی

حفاظت از اطلاعات شخصی مانند رمز عبور، جزئیات اطلاعات مالی و داده‌های حساس بسیار اهمیت دارد. از به اشتراک گذاری این اطلاعات با افراد یا سازمان‌های ناآشنا اجتناب کنید.  

پیشنهاد خواندنی: چک‌لیست مراقبت از گذرواژه؛ گاهی زود، دیر می‌شود... 

از پاسخ به درخواست‌های ناشناخته برای اطلاعات شخصی مراقبت کنید

اگر کسی به صورت ناگهانی با شما تماس گرفت و اطلاعات حساس یا دسترسی به حساب‌های شما را درخواست کرد، مشکوک باشید و قبل از به اشتراک گذاری هر گونه جزئیات، از هویت و هدف آن شخص اطمینان حاصل کنید. 

در تایید هویت افراد هوشمند باشید

قبل از اشتراک‌‌گذاری هر گونه اطلاعات محرمانه یا ایجاد دسترسی به داده‌های حساس، همیشه هویت فرد درخواست‌کننده را از طریق چندین کانال مانند تماس تلفنی یا جلسات حضوری تأیید کنید. 

رفتار امن در شبکه‌های اجتماعی

نسبت به اطلاعاتی که در پلتفرم‌های رسانه‌های اجتماعی و دیگر انجمن‌های آنلاین به اشتراک می‌گذارید، محتاط باشید. چراکه مهاجم‌ها می‌توانند از این اطلاعات برای طرح حملات مهندسی اجتماعی قانع کننده استفاده کنند. "نام معلم اول ابتدایی‌ات چه بود؟" ، "نام حیوان خانگی‌ات چیست؟" ، "نام بهترین دوست دوران کودکی؟" و ... ، سوال های ساده ای به نظر می رسند. احتمالا به چشم شما هم ‌خورده باشد که فردی در محتوایی منتشرشده در شبکه‌های اجتماعی از معلم اول ابتدایی‌ش و یا اسامی معلمین دوره‌ی ابتدایی‌ش بنویسد و از مخاطبینش نیز دعوت کند که آن‌ها هم این موارد را منتشر کنند. اما نکته‌ی امنیتی ماجرا آن‌جاست که ممکن است برخی از این محتواها هدف‌مند و به‌قصد جمع‌آوری اطلاعات افراد، طراحی شده باشند. اما این اطلاعات به چه درد نفوذگران و هکرهای کلاه‌سیاه می‌خورد؟ بگذارید یک قدم به عقب‌تر برگردیم، این سوال‌ها برای شما آشنا نیستند؟ احتمالا شما نیز دفعاتی رمز عبور خود را فراموش کرده‌اید و به‌ناچار از گزینه‌ی "فراموشی گذرواژه" کمک گرفته‌اید. برخی سایت‌ها در این فرآیند برای شما سوال‌هایی را تدارک‌ دیده‌اند که قبلا نیز پاسخ آن‌ها را از شما گرفته‌ و ذخیره کرده‌اند. این سایت‌ها در مواقعی که شما به گزینه‌ی فراموشی گذرواژه روی می‌آورید، یکی از راه‌هایی که پیش رویتان می‌گذارند، پاسخ به این سوالات است. در واقع با این کار از شما می‌خواهند با ارائه‌ی نشانه‌هایی ثابت کنید که شما، خودتان هستید. سوال‌هایی مانند: نام معلم اول ابتدایی‌ات چه بود؟ نام حیوان خانگی‌ات چیست؟ نام بهترین دوست دوران کودکی؟ ... شما با منتشر کردن چنین اطلاعاتی در شبکه‌های اجتماعی، داده‌های ارزشمندی را در اختیار هکرهای کلاه‌سیاه قرار می‌دهید که می‌توانند در روندی مانند "فراموشی گذرواژه" از آن‌ها استفاده کند و حمله‌ی مبتنی بر مهندسی اجتماعی خود را به اجرا برساند. حتی اگر پاسخ شما به سوال‌های موجود در شبکه‌های اجتماعی و افشای اطلاعات شخصی‌تان به طور مستقیم نیز به کار نفوذگر نیایند، در فرآیند شناخت شما و حدس گذرواژه‌یتان به کارش می‌آیند. 

نظر یک متخصص امنیتی:  

یک مسئله که خیلی‌بیشتر در اینترنت مشاهده می‌شود، مسئله‌ی Over Sharing است؛ این‌که آدم‌ها چقدر اطلاعات از خودشان به اشتراک می‌گذارند! خب یک مهاجم باتوجه به دیتابیس‌هایی قبلی که لو رفته و اطلاعاتی از یک فرد هم در آن هست، با ترکیب این عکس و اطلاعات و این‌جور چیزهایی که کاربر خودش در اینترنت منتشر می‌کند، به‌راحتی می‌تواند یک نفر را کپی کند! مثلا من می‌توانم با استفاده از اطلاعاتی که از خانم x یا آقای Y در توییتر، اینستاگرام، فیسبوک و سایر جاهای از خودش گذاشته و باتوجه به اطلاعاتی که قبلا ازش لو رفته است، دقیقا از رویش یک شخصیت کامل را درست کنم. چون من وقتی اسم و اطلاعاتش را که پیدا کنم، روی یک‌سری دیتابیس‌های لورفته‌ی کسب‌وکارها می‌شود کدملی، شماره‌موبایل، آدرس خانه و خیلی موارد جزئی‌تر را نیز پیدا کرد. از روی عکس‌هایی که خودش دارد Share می‌کند نیز می‌شود LifeStyle روزانه‌اش را هم به‌دست آورد. خب این خطرناک است. چون خب، نقطه‌ی خلل هر سیستمی، حتی امن‌ترین سیستم‌ها هم، آدم‌هایش هستند. و خب وقتی به این راحتی می‌شود یک آدم را تکرار کرد، یا حالا شبیه‌سازیش کرد، خب یک‌ذره خطرناک‌تر است‌! اگر این‌ Over Sharing بخواهد ادامه پیدا کند و بشود هی از روی آدم‌ها هی تکرار کرد و شبیه‌سازیش کرد، خب یک‌ذره سخت می‌شود! آن‌وقت اعتماد و امنیت در فضای مجازی خیلی سخت می‌شود. 

مراقبت از افشای اطلاعات کاری

هر عضو یک سازمان، به اطلاعات و مواردی از آن سازمان دسترسی دارد، که نسبت به آن‌ها مسئول است. به همین دلیل لازم است در مورد به اشتراک گذاری اطلاعات کاری، به ویژه با افراد ناآشنا یا تأئیدنشده، محتاط باشید و مقدار انتشار اطلاعات خود را در پلتفرم‌های رسانه‌ای اجتماعی محدود کنید.  

نظر یک متخصص امنیتی: 

من در اینستاگرام اکانت ندارم، ولی در توییتر هستم و معمولا می‌بینم که کاربرها یک‌سری رفتارهایی می‌کنند که یک ذره عجیب است! مواردی که می‌خواهم بگویم در مورد رفتار کاربرانی ست که در سازمان‌ها کار می‌کنند و در مورد اطلاعات و خبرهای سازمان، حساسیت امنیتی به خرج نمی‌دهند. مثلا؛ یک‌ نفر که عضو یک تیم فنی بوده، آمده و در توییتش اطلاعات خیلی‌حساسی را در مورد اکانت‌های شرکتشان گفته! خب، اگر یک‌نفر یک ذره تیز باشد و مثلا بفهمد که آقای X دارد در شرکت Y کار می‌کند، و از توضیحاتش در توییتش هم بفهمد که یک SubDomain جدید به اسم Z راه انداخته و بالا آورده‌اند که از آن حفاظت هم نمی‌کنند، خب به راحتی می‌تواند همان روز حمله بکند! 

موردی که تعریف کردم یک سطح بود. بعضی‌وقت‌ها کارمندهای یک شرکت، برخی اسرار و خلل‌های امنیتی شرکتشان را در فضای مجازی می‌گویند.منظورم این نیست که مستقیم آن خلل امنیتی را می‌گویند، ولی وقتی در مورد روزشان صحبت می‌کنند انگار می‌شود آن شکلی آن موارد را برداشت کرد و ازشان سواستفاده کرد. 

فعالیت‌های مشکوک را گزارش دهید: اگر فکر می‌کنید هدف یک حمله مهندسی اجتماعی هستید یا قربانی چنین حملاتی شده‌اید، فورا آن را به تیم امنیت IT سازمان خود یا مقامات مربوط گزارش دهید. اعلام به موقع و در اولین فرصت می تواند جلوی هزینه‌های بسیار را بگیرد. 

به نکات امنیتی جانبی عمل کنید

نرم‌افزار خود را به طور منظم به‌روز‌رسانی کنید، از رمز عبور قوی و منحصر‌به‌فرد استفاده کنید و هنگام کلیک بر روی لینک‌ها یا دانلود پیوست‌ها محتاط باشید تا خطر قربانی‌شدن در حملات مهندسی اجتماعی را کاهش دهید. 

 سخن آخر

همان‌طور که قبل‌تر گفتیم، مهندسی اجتماعی، مهندسی انسان‌هاست. مهندسی اجتماعی برروی آسیب پذیری‌های انسان‌ها حساب می‌کند. اما دانش، کلید یک قدم جلوتر بودن نسبت به خطرهای سایبری است. شما با آگاهی و حواس جمع، می‌توانید این آسیب پذیری را خلع سلاح کنید. 

بلاگ‌پست‌های مرتبط: 

چک‌لیست اصول امنیتی دورکاری 

۷ نکته برای انتخاب پسورد امن‌تر 

رفتارهای ناامنی که برای مراقبت از امنیت مجازی‌مان، نباید بکنیم. 

۶ نکته برای مدیریت روابط عمومی پس از یک حمله سایبری

راورو

«راورو» یک واژه‌ی کردی و به معنای شکارچی حرفه‌ای است.
ما در راورو تلاش می‌کنیم پاسخی برای دغدغه‌های امنیتی کسب‌وکارها باشیم. تلاش می‌کنیم با ایجاد پلی میان تخصص متخصصین امنیت و کسب‌وکارها، شرایطی را فراهم آوریم که کسب‌وکارها بتوانند با خیالی آسوده، ارتقای امنیت کسب‌وکار خود را به ما بسپارند و خود بر روی حل سایر چالش‌های موجود در مسیر رشد کسب‌وکارشان تمرکز کنند.

اشتراک در خبرنامه

اطلاع از آخرین خبرنامه‌ی راورو

راورو
شکارچی
میدان
روز و روزگارتون امن ؛)© تمامی حقوق برای راورو محفوظ است.