مراقب "حملات مهندسی اجتماعی" باشید
چهارشنبه, ۲۱ اسفند ۱۳۹۲، ۰۹:۵۰ ق.ظ
در بخش های قبلی به مباحث حملات سایبری و نحوه پیشگیری امنیت در ایمیل و ... پرداختیم. در این بخش از آموزش به موضوع حملات مهندسی اجتماعی و نحوه مقابله با آنها می پردازیم.
به گزارش دریچه فناوری اطلاعات باشگاه خبرنگاران؛ در بخش های قبلی به مباحث حملات سایبری و نحوه پیشگیری امنیت در ایمیل و ... پرداختیم. در این بخش از آموزش به موضوع حملات مهندسی اجتماعی و نحوه مقابله با آنها، می پردازیم.
آیا شما از جمله افرادی می باشید که به ظاهر افراد و نحوه برخورد آنان بسیار اهمیت داده و با طرح صرفا یک سوال از جانب آنان، هر آنچه را که در ارتباط با یک موضوع خاص می دانید در اختیار آنان قرار می دهید؟ رفتار فوق گرچه می تواند در موارد زیادی دستاورد های مثبتی را برای شما بد نبال داشته باشد، ولی در برخی حالات نیز ممکن است چالش ها و یا مسائل خاصی را برای شما و یا سازمان شما، ایجاد نماید. آیا وجود اینگونه افراد در یک سازمان مدرن اطلاعاتی ( خصوصا سازمانی که با داده های حساس و مهم سروکار دارد ) نمی تواند تهدیدی در مقابل امنیت آن سازمان محسوب گردد؟ به منظور ارائه اطلاعات حساس خود و یا سازمان خود از چه سیاست ها و رویه هائی استفاده می نمائید؟ آیا در چنین مواردی تابع مجموعه مقررات و سیاست های خاصی می باشید؟ صرف نظر از پاسخی که شما به هر یک از سوالات فوق خواهید داد، یک اصل مهم در این راستا وجود دارد که می بایست همواره به آن اعتقاد داشت: " هرگز اطلاعات حساس خود و یا سازمان خود را در اختیار دیگران قرار نداده مگر این که مطمئن شوید که آن فرد همان شخصی است که ادعا می نماید و می بایست به آن اطلاعات نیز دستیابی داشته باشد ."
حمله مهندسی اجتماعی
به منظور تدارک و یا برنامه ریزی یک تهاجم از نوع حملات مهندسی اجتماعی، یک مهاجم با برقراری ارتباط با کاربران و استفاده از مهارت های اجتماعی خاص ( روابط عمومی مناسب، ظاهری آراسته و ... ) ، سعی می نماید به اطلاعات حساس یک سازمان و یا کامپیوتر شما دستیابی و یا به آنان آسیب رساند. یک مهاجم ممکن است خود را به عنوان فردی متواضع و قابل احترام نشان دهد. مثلا وانمود نماید که یک کارمند جدید است، یک تعمیر کار است و یا یک محقق و حتی اطلاعات حساس و شخصی خود را به منظور تائید هویت خود به شما ارائه نماید. یک مهاجم، با طرح سوالات متعدد و برقراری یک ارتباط منطقی بین آنان، می تواند به بخش هائی از اطلاعات مورد نیاز خود به منظور نفوذ در شبکه سازمان شما دستیابی پیدا نماید. در صورتی که یک مهاجم قادر به اخذ اطلاعات مورد نیاز خود از یک منبع نگردد، وی ممکن است با شخص دیگری از همان سازمان ارتباط برقرار نموده تا با کسب اطلاعات تکمیلی و تلفیق آنان با اطلاعات اخذ شده از منبع اول، توانمندی خود را افزایش دهد.
حمله Phishing
این نوع از حملات شکل خاصی از حملات مهندسی اجتماعی بوده که با هدف کلاهبرداری و شیادی سازماندهی می شوند. در حملات فوق از آدرس های Email و یا وب سایت های مخرب به منظور جلب نظر کاربران و دریافت اطلاعات شخصی آنان نظیر اطلاعات مالی استفاده می گردد. مهاجمان ممکن است با ارسال یک Email با ظاهری قابل قبول و از یک شرکت معتبر کارت اعتباری و یا موسسات مالی، از شما درخواست اطلاعات مالی را نموده و اغلب عنوان نمایند که یک مشکل خاص ایجاد شده است و ما در صدد رفع آن می باشیم. پس از پاسخ کاربران به اطلاعات درخواستی، مهاجمان از اطلاعات اخذ شده به منظور دستیابی به سایر اطلاعات مالی و بانکی استفاده می نمایند.
پیشگیری از حملات مهندسی اجتماعی
الف) به تلفن ها، نامه های الکترونیکی و ملاقات هائی که عموما ناخواسته بوده و در آنان از شما درخواست اطلاعاتی خاص در مورد کارکنان و یا سایر اطلاعات شخصی می گردد، مشکوک بوده و با دیده سوء ظن به آنان نگاه کنید. در صورتی که یک فرد ناشناس ادعا می نماید که از یک سازمان معتبر است، سعی نمائید با سازمان مورد ادعای وی تماس گرفته و نسبت به هویت وی کسب تکلیف کنید.
ب) هرگز اطلاعات شخصی و یا اطلاعات مربوط به سازمان خود را ( مثلا ساختار و یا شبکه ها ) در اختیار دیگران قرار ندهید، مگر این که اطمینان حاصل گردد که فرد متقاضی مجور لازم به منظور دستیابی به اطلاعات درخواستی را دارا می باشد.
ج) هرگز اطلاعات شخصی و یا مالی خود را در یک email افشا نکرده و به نامه های الکترونیکی ناخواسته ای که درخواست این نوع اطلاعات را از شما می نمایند، پاسخ ندهید. ( به لینک های موجود در اینگونه نامه های الکترونیکی ناخواسته نیز توجهی نداشته باشید.)
د) هرگز اطلاعات حساس و مهم شخصی خود و یا سازمان خود را بر روی اینترنت ارسال ننمائید. قبل از ارسال اینگونه اطلاعات حساس، می بایست Privacy وب سایت مورد نظر به دقت مطالعه شده تا مشخص گردد که اهداف آنان از جمع آوری اطلاعات شخصی شما چیست و نحوه برخورد آنان با اطلاعات به چه صورت است؟
ه) دقت لازم در خصوص آدرس URL یک وب سایـت را داشته باشید. وب سایت های مخرب ممکن است خود را مشابه یک وب سایت معتبر ارائه نموده که آدرس URL آنان دارای تفاوت اندکی با وب سایـت های شناخته شده باشد. وجود تفاوت اندک در حروف استفاده شده برای نام سایت و یا تفاوت در domain، نمونه هائی در این زمینه می باشند. ( مثلا" com . در مقابل net .)
و) در صورت عدم اطمینان از معتبر بودن یک Email دریافتی، سعی نمائید با برقراری تماس مستقیم با شرکت مربوطه نسبت به هویت آن اطمینان حاصل نمائید. از اطلاعات موجود بر روی یک سایت مخرب به منظور تماس با آنان استفاده نمائید چراکه این اطلاعات می تواند شما را به مسیری دیگر هدایت نماید که صرفا اهداف مهاجمان را تامین نماید.
ز) با نصب و نگهداری نرم افزارهای آنتی ویروس ، فایروال ها و فیلترینگ نامه های الکترونیکی ناخواسته ( spam )، سعی نمائید یک سطح حفاظتی مناسب به منظور کاهش این نوع حملات را ایجاد نمائید.
اقدامات لازم در صورت بروز تهاجم
الف) در صورتی که فکر می کنید به هر دلیلی اطلاعات حساس سازمان خود را در اختیار دیگران ( افراد غیر مجاز ) قرار داده اید، بلافاصله موضوع را به اطلاع افراد ذیربط شاغل در سازمان خود ( مثلا مدیران شبکه ) برسانید. آنان می توانند در خصوص هر گونه فعالیت های غیرمعمول ویا مشکوک، هشدارهای لازم را در اسرع وقت در اختیار دیگران قرار دهند.
ب) در صورتی که فکر می کنید اطلاعات مالی شما ممکن است در معرض تهدید قرار گرفته شده باشد، بلافاصله با موسسه مالی خود تماس حاصل نموده و تمامی حساب های مالی در معرض تهدید را مسدود نمائید. در این رابطه لازم است دقت، حساسیت و کنترل لازم در خصوص هر گونه برداشت از حساب های بانکی خود را داشته باشید.
ج) گزارشی در خصوص نوع تهاجم را تهیه نموده و آن را در اختیار سازمان های ذیربط قانونی قرار دهید.
گزارش از حسین جاهدی
اگر قبلا در بیان ثبت نام کرده اید لطفا ابتدا وارد شوید، در غیر این صورت می توانید ثبت نام کنید.