عواقب انسانی مهندسی اجتماعی
اخبار داغ فناوری اطلاعات و امنیت شبکه
مهندسی اجتماعی، به مجموعه ای از فعالیتهای مخرب امنیت سایبری اطلاق میگردد که از طریق دستکاری روانشناختی، کاربران را به اشتباهات امنیتی یا دادن اطلاعات حساس، سوق و فریب میدهد.
حملات شبیه سازی شده، تمرینات تکنیکی است که از تاکتیک ها، تکنیک ها و رویه های یک مهاجم واقعی الگوبرداری می کند، تا به شما در راستای درک بهتر روند واکنش و پاسخگویی شما در حوادثی که به خوبی اجرا می شوند، کمک کند. شبیه سازی کل زنجیره حمله برای بیشتر دشمنان، به این معنی است که ما نه تنها این فناوری را هدف قرار می دهیم، بلکه افراد درگیر را نیز هدف گرفته و به این چالش وارد میکنیم.
در مورد مردم معمولا به عنوان حلقه ضعیف در حملات صحبت میشود و گر چه درک خطا پذیری انسان و احتمال شکست، گول خوردن یا فریب خوردن مردم، مهم است، اما ما همچنین از منظر اخلاقی و شعوری موظف هستیم از افرادی که هدف حملات هستند مراقبت کرده و از بروز هرگونه نگرانی و ناراحتی اجتماعی و فردی، جلوگیری نمائیم.
آیا به تو دروغ میگویم؟
مهندسی اجتماعی یک اصطلاح رشد نیافته است که طیف گسترده ای از اصول و قواعد مختلف را در قیاس با "دروغ گفتن به مردم"، "سوء استفاده از اعتماد" و یا "خیانت در ارتباطات"، پوشش میدهد. اما اگر بخواهیم زنجیره حمله و فعالیت های آنها را عینا شبیه سازی کنیم، باید یکسری از موارد را نیز در نظر بگیریم. نادیده گرفتن افراد خارج از مجموعه های بیرونی محیط کار و با احساسات و عواطف قدرتمند، بسیار ساده است. بنابراین وقتی در حال شبیه سازی دشمنان و حملات پیشرفته ای هستیم، نباید از تاثیر آنها بر اهداف انسانی اجتماع خود چشمپوشی نمائیم.
شرایط تحت فشار:
هر کسی که در واکنش فوری به یک حادثه امنیتی سایبری نقش موثری داشته باشد، با روند فزاینده احساسات و فشار بعد روانی آن آشنا خواهد بود. افراد ساعت ها کار میکنند، و در حالی که تیم واکنش و پاسخ دهنده به حملات تحت فشار است، آدرنالین در شریان های آنها جریان پیدا میکند. هنگام تهیه و تدارک برنامه ریزی برای پاسخگویی به حوادث، شرکت ها معمولا به سلامتی افرادی که در تیم واکنش و پاسخ قرار دارند، توجه مینمایند. اطمینان حاصل میکنند که خوب استراحت کنند، غذا بخورند، از فضای تنفس برخوردار باشند و به خوبی پشتیبانی شوند؛ اما آسیب های موازی با این جریانات قابل چشم پوشی است.
تصور کنید فردی درگیر یک حادثه شبیه سازی شده است. وی از طریق ایمیل و تماس تلفنی با شخصی که فکر می کند مشتری است و در طی چندین روز ارتباط سازی می کند و فقط با باز کردن سند آلوده به بدافزاری که دریافت شده، باعث آسیب و خدشه دار شدن وضعیت کاری خود می شود. این یک مثال واقعی بود.
در تیم آی تی، به این شخص "بیمار صفر" گفته میشود. آنها میپرسند که چه اتفاقی افتاده است، چه صحبت هایی رد و بدل شده است و چه اتفاقاتی در جریان این حمله پیچیده که شامل دامنه های ثبت شده و مکالمات تلفنی با یک شخص غیر واقعی که منجر به افشای اطلاعات شرکت مورد هجوم واقع شده، به وقوع به پیوسته است.
هیچ متخصص امنیت سایبری انتظار ندارد که یک به یک کارکنان و کارمندان در سطح پیشرفته ای از حملات مهندسی اجتماعی، توانایی دفاع داشته باشند. مهم این است که بدانیم واکنش آن شخص چگونه بوده است، علت بروز چنین تخریب عظیمی چه بوده، از خود سوال کند که آیا میتوانست بهتر عمل کند و بپرسید که آیا میتواند به قضاوت شخصی خود اعتماد کند. به طبع آن شخص بسیار ناراحت بوده و خود را مقصر میداند و شرزنش میکند.
واقعیت در مقابل شبیه سازی:
هنگامی که آشکار شد این حمله به عنوان بخشی از تمرینات بوده است، اگر چه خطای وی موجب خسارت واقعی نشده است، اما به دلیل اضطراب و ناراحتی و آنچه که کارفرما به وی تحمیل کرده بود، باعث عصبانیت و ناراحتی وی شده بود.
آیا انجام شبیه سازی حملات و هدف قرار دادن آن کارمند اشتباه بود؟
این یک منقطه خاکستری است که متخصصان امنیت سایبری باید بدون محدودیت های رفتاری و اخلاقی و بدون محافظت از افرادی که تحت حمله و به متعاقب آن شرایط استرس زا قرار گرفته اند، حرکت کرده و نقطه برابری و تعادل بین شبیه سازی و واقعیت را پیدا کنند.
هنگام استفاده از روش های مهندسی اجتماعی، مجرمان سایبری از تاکتیک هایی استفاده میکنند که بیشترین شانس موفقیت را داشته باشند. آنها بیشتر روی یک به اصطلاح "قلاب" تکیه میکنند چیزی که باعث میشود قربانی با این چالش درگیر شود و مردم را مجبور میکند روی یک لینک مخرب کلیک کنند و یا یک پیوست یا سند حاوی بد افزار را بارگیری کنند.
آنهایی که بیشترین تاثیر روانی و احساسی را میگذارند، به طبع بیشترین شانس موفقیت را نیز دارند. در ابتدای پاندمی بیماری کووید-19، ما شاهد تغییرات بزرگی در قلاب های مورد استفاده مهاجمان بودیم، مانند: کمپین های گسترده فیشینگ با استفاده از اطلاعات ویروس کرونا. ترس و اضطراب جز عواطف و احساسات بسیار قدرتمندی هستند که باعث کاهش سطح کیفی تفکر فرد میشوند.
در تهاجم های در قالب قلاب، باید تصمیمات اخلاقی گرفته شوند. به مثال کارمندی را در نظر بگیرید که درباره مشکلات بارداری در شبکه های اجتماعی پست می گذارد. اینها اطلاعاتی است که دشمنان می توانند از آن استفاده کنند، احتمالاً اینها گزینه های مورد علاقه فرد هدف خواهند بود: یک درمان باروری جدید!، پوشش هزینه های درمان باروری به دلیل تغییر در شرایط و مزایای استخدام!. سطح بالای بهم ریختگی و پریشانی عاطفی می تواند ویرانگر و بسیار مخرب باشد. حتی اگر مجرمی با انجام این کارها هیچ مشکلی نداشته باشد، متخصصان امنیت سایبری انجام چنین کاری را غیر منصفانه و به دور از وجدان میدانند. اما در اکثریت موارد، تأثیرات احتمالی قلاب ها ممکن است به حد کافی مشهود نباشد.
اعتماد برابر است با امنیت:
هر بار که در مهندسی اجتماعی از گزینه قلاب استفاده میشود، تعهداتی نیز برای تاثیرات عاطفی آن میبایست در نظر گرفته شود. اعتماد بین کارفرما و کارمند برای ایجاد یک فرهنگ امنیتی موفق و مطمئن، بسیار مهم است. موفق ترین برنامه های امنیتی باعث ایجاد این فرهنگ مثبت و بروز حس امنیت از مطرح کردن گزارشات میشوند که به طبع برای داشتن شرایط محیطی منعطف و مناسب، بسیار ارزشمند است. مردم در این بین بزرگترین، قوی ترین و مهم ترین سرمایه هستند.
از بین بردن اعتماد کارمندان با غفلت و کوتاهی در مراقبت از قربانیان حملات مهندسی اجتماعی میتواند به روابطی که برای حفاظت از دارایی ها، سرمایه و اطلاعات مستلزم اعتماد هستند، آسیب برساند. در حالی که مهندسی اجتماعی باید برای پشتیبانی از شبیه سازی زنجیره حملات انجام شود، ما باید در این بین مراقب هزینه های انسانی نیز باشیم و برای اطمینان از به حداقل رساندن آسیب به قربانیان گام برداریم. اینها تنها سایه هایی از طیف خاکستری این چشم انداز است، اما ما در زمان به خطر افتادن خودمان، انسانیت افراد مورد هدف خود را فراموش مینماییم.
برچسب ها: شبیه سازی, قلاب, بیمار صفر, Simulation, hook, patient zero, cybersecurity, Social Engineering, مهندسی اجتماعی, Smart Security, Cyber Security, امنیت سایبری