پيشگيرى از حملات مهندسى اجتماعى و کلاهبردارى
سخا روش – آيا شما از جمله افرادى هستید که به ظاهر افراد و نحوه برخورد آنان بسيار اهميت داده و با طرح صرفا” يک سوال از حانب آنان، هر آنچه را که در ارتباط با يک موضوع خاص مى دانيد در اختيار آنان قرار مى دهيد ؟
رفتار فوق گرچه مى تواند در موارد زيادى دستاوردهاى مثبتى را براى شما بدنبال داشته باشد، ولى در برخى حالات نيز ممکن است چالش ها و يا مسائل خاصى را براى شما و يا سازمان شما، ايجاد نمايد. آيا وجود اينگونه افراد در يک سازمان مدرن اطلاعاتى ( خصوصا” سازمانى که با داده هاى حساس و مهم سروکار دارد ) نمى تواند تهديدى در مقابل امنيت آن سازمان محسوب گردد ؟ به منظور ارائه اطلاعات حساس خود و يا سازمان خود از چه سياست ها و رويه هائى استفاده مى نمائيد ؟ آيا در چنين مواردى تابع مجموعه مقررات و سياست هاى خاصى مى باشيد ؟ صرفنظر از پاسخى که شما به هر يک از سوالات فوق خواهيد داد، يک اصل مهم در اين راستا وجود دارد که مى بايست همواره به آن اعتقاد داشت : ” هرگز اطلاعات حساس خود و يا سازمان خود را در اختيار ديگران قرار نداده مگر اين که مطمئن شويد که آن فرد همان شخصى است که ادعا مى نمايد و مى بايست به آن اطلاعات نيز دستيابى داشته باشد .”
يک حمله مهندسى اجتماعى چيست ؟
به منظور تدارک و يا برنامه ريزى يک تهاجم از نوع حملات مهندسى اجتماعى ، يک مهاجم با برقرارى ارتباط با کاربران و استفاده از مهارت هاى اجتماعى خاص ( روابط عمومى مناسب ، ظاهرى آراسته و … ) ، سعى مى نمايد به اطلاعات حساس يک سازمان و يا کامپيوتر شما دستيابى و يا به آنان آسيب رساند . يک مهاجم ممکن است خود را به عنوان فردى متواضع و قابل احترام نشان دهد . مثلا” وانمود نمايد که يک کارمند جديد است ، يک تعمير کار است و يا يک محقق و حتى اطلاعات حساس و شخصى خود را به منظور تائيد هويت خود به شما ارائه نمايد . يک مهاجم ، با طرح سوالات متعدد و برقرارى يک اتباط منطقى بين آنان،مى تواند به بخش هائى از اطلاعات مورد نياز خود به منظور نفوذ در شبکه سازمان شما دستيابى پيدا نمايد . در صورتى که يک مهاجم قادر به اخذ اطلاعات مورد نياز خود از يک منبع نگردد ، وى ممکن است با شخص ديگرى از همان سازمان ارتباط برقرار نموده تا با کسب اطلاعات تکميلى و تلفيق آنان با اطلاعات اخذ شده از منبع اول ، توانمندى خود را افزايش دهد . ( يک قربانى ديگر ! ) .
يک حمله Phishing چيست ؟
اين نوع از حملات شکل خاصى از حملات مهندسى اجتماعى بوده که با هدف کلاهبردارى و شيادى سازماندهى مى شوند . در حملات فوق از آدرس هاى Email و يا وب سايت هاى مخرب به منظور جلب نر کاربران و دريافت اطلاعات شخصى آنان نظير اطلاعات مالى استفاده مى گردد . مهاجمان ممکن است با ارسال يک Email با ظاهرى قابل قبول و از يک شرکت معتبر کارت اعتبارى و يا موسسات مالى ، از شما درخواست اطلاعات مالى را نموده و اغلب عنوان نمايند که يک مشکل خاص ايجاد شده است و ما در صدد رفع آن مى باشيم . پس از پاسخ کاربران به اطلاعات درخواستى ، مهاجمان از اطلاعات اخذ شده به منظور دستيابى به ساير اطلاعات مالى و بانکى استفاده مى نمايند.
نحوه پيشگيرى از حملات مهندسى اجتماعى و کلاهبردارى
به تلفن ها ، نامه هاى الکترونيکى و ملاقات هائى که عموما” ناخواسته بوده و در آنان ا شما درخواست اطلاعاتى خاص در مورد کارکنان و يا ساير اطلاعات شخصى مى گردد ، مشکوک بوده و با ديده سوء ظن به آنان نگاه کنيد . در صورتى که يک فرد ناشناس ادعا مى نمايد که از يک سازمان معتبر است ، سعى نمائيد با سازمان مورد ادعاى وى تماس گرفته و نسبت به هويت وى کسب تکليف کنيد .
هرگز اطلاعات شخصى و يا اطلاعات مربوط به سازمان خود را ( مثلا” ساختار و يا شبکه ها ) در اختيار ديگران قرار ندهيد ، مگر اين که اطمينان حاصل گردد که فرد متقاضى مجور لازم به منظور دستيابى به اطلاعات درخواستى را دارا مى باشد .
هرگر اطلاعات شخصى و يا مالى خود را در يک email افشاء نکرده و به نامه هاى الکترونيکى ناخواسته اى که درخواست اين نوع اطلاعات را از شما مى نمايند ، پاسخ ندهيد( به لينک هاى موجود در اينگونه نامه هاى الکترونيکى ناخواسته نيز توجهى نداشته باشيد ) .
هرگز اطلاعات حساس و مهم شخصى خود و يا سازمان خود را بر روى اينترنت ارسال ننمائيد . قبل از ارسال اينگونه اطلاعات حساس ، مى بايست Privacy وب سايت مورد نظر به دقت مطالعه شده تا مشخص گردد که اهداف آنان از جمع آورى اطلاعات شخصى شما چيست و نحوه برخورد آنان با اطلاعات به چه صورت است ؟
دقت لازم در خصوص آدرس URL يک وب سايـت را داشته باشيد . وب سايت هاى مخرب ممکن است خود را مشابه يک وب سايت معتبر ارائه نموده که آدرس URL آنان داراى تفاوت اندکى با وب سايـت هاى شناخته شده باشد . وجود تفاوت اندک در حروف استفاده شده براى نام سايت و يا تفاوت در domain ، نمونه هائى در اين زمينه مى باشند ( مثلا” com . در مقابل net .) .
در صورت عدم اطمينان از معتبر بودن يک Email دريافتى، سعى نمائيد با برقرارى تماس مستقيم با شرکت مربوطه نسبت به هويت آن اطمينان حاصل نمائيد . از اطلاعات موجود بر روى يک سايت مخرب به منظور تماس با آنان استفاده نمائيد چراکه اين اطلاعات مى تواند شما را به مسيرى ديگر هدايت نمايد که صرفا” اهداف مهاجمان را تامين نمايد . به منظور آگاهى از اين نوع حملات که تاکنون بوقوع پيوسته است ، مى وانيد به آدرس http://www.antiphishing.org/phishing_archive.html ، مراجعه نمائيد .
با نصب و نگهدارى نرم افزارهاى آنتى ويروس ، فايروال ها و فيلترينگ نامه هاى الکترونيکى ناخواسته ( spam ) ، سعى نمائيد يک سطح حفاظتى مناسب به منظور کاهش اين نوع حملات را ايجاد نمائيد .
اقدامات لازم در صورت بروز تهاجم
در صورتى که فکر مى کنيد به هر دليلى اطلاعات حساس سازمان خود را در اختيار ديگران ( افراد غير مجاز ) قرار داده ايد ، بلافاصله موضوع را به اطلاع افراد ذيربط شاغل در سازمان خود ( مثلا” مديران شبکه ) برسانيد . آنان مى توانند در خصوص هر گونه فعاليت هاى يرمعمول ويا مشکوک،هشدارهاى لازم را در اسرع وقت در اختيار ديگران قرار دهند .
در صورتى که فکر مى کنيد اطلاعات مالى شما ممکن است در معرض تهديد قرار گرفته شده باشد ، بلافاصله با موسسه مالى خود تماس حاصل نموده و تمامى حساب هاى مالى در معرض تهديد را مسدود نمائيد. در اين رابطه لازم است دقت ، حساسيت و کنترل لازم در خصوص هر گونه برداشت از حساب هاى بانکى خود را داشته باشيد .
گزارشى در خصوص نوع تهاجم را تهيه نموده و آن را در اختيار سازمان هاى ذيربط قانونى قرار دهيد .