مراقب حملات مهندسی اجتماعی و كلاهبرداری باشید

این هكرهای خوش تیپ!

آیا شما از جمله افرادی هستید كه به ظاهر افراد و نحوه برخورد آنان بسیار اهمیت داده و با طرح صرفا یك سوال از جانب آنان، هر آنچه را كه در ارتباط با یك موضوع خاص می‌دانید در اختیار آنان قرار می‌دهید؟ رفتار فوق گرچه می‌تواند در موارد زیادی دستاوردهای مثبتی را برای شما به‌دنبال داشته باشد، ولی در برخی حالات نیز ممكن است چالش‌ها و یا مسائل خاصی را برای شما و یا سازمان شما، ایجاد نماید. آیا وجود این‌گونه افراد در یك سازمان مدرن اطلاعاتی(خصوصا سازمانی كه با داده‌های حساس و مهم سروكار دارد) نمی‌تواند تهدیدی در مقابل امنیت آن سازمان محسوب گردد؟ به منظور ارائه اطلاعات حساس خود و یا سازمان خود از چه سیاست‌ها و رویه‌هایی استفاده می‌نمایید ؟  آیا در چنین مواردی تابع مجموعه مقررات و سیاست‌های خاصی می‌باشید؟ صرفنظر از پاسخی كه شما به هر یك از سوالات فوق خواهید داد، یك اصلمهم در این راستا وجود دارد كه می‌بایست همواره به آن اعتقاد داشت: «هرگز اطلاعات حساس خود و یا سازمان خود را در اختیار دیگران قرار نداده مگر این كه مطمئن شوید كه آن فرد همان شخصی است كه ادعا می‌نماید و می‌بایست به آن اطلاعات نیز دستیابی داشته باشد«.

یك حمله مهندسی اجتماعی چیست؟

به منظور تدارك و یا برنامه‌ریزی یك تهاجم از نوع حملات مهندسی اجتماعی، یك مهاجم با برقراری ارتباط با كاربران و استفاده از مهارت‌های اجتماعی خاص (روابط عمومی‌مناسب، ظاهری آراسته و...)، سعی می‌نماید به اطلاعات حساس یك سازمان و یا كامپیوتر شما دستیابی و یا به آنان آسیب رساند. یك مهاجم ممكن است خود را به عنوان فردی متواضع و قابل احترام نشان دهد. مثلا وانمود نماید كه یك كارمند جدید است، یك تعمیر كار است و یا یك محقق و حتی اطلاعات حساس و شخصی خود را به منظور تایید هویت خود به شما ارائه نماید. یك مهاجم، با طرح سوالات متعدد و برقراری یك ارتباط منطقی بین آنان، می‌تواند به بخش‌هایی از اطلاعات مورد نیاز خود به منظور نفوذ در شبكه سازمان شما دستیابی پیدا نماید. در صورتی كه یك مهاجم قادر به اخذ اطلاعات مورد نیاز خود از یك منبع نگردد، وی ممكن است با شخص دیگری از همان سازمان ارتباط برقرار نموده تا با كسب اطلاعات تكمیلی و تلفیق آنان با اطلاعات اخذ شده از منبع اول، توانمندی خود را افزایش دهد. (یك قربانی دیگر(!.

یك حمله Phishing چیست ؟

این نوع از حملات شكل خاصی از حملات مهندسی اجتماعی بوده كه با هدف كلاهبرداری و شیادی سازماندهی می‌شوند. در حملات فوق از آدرس‌های Emailو یا وب سایت‌های مخرب به منظور جلب نظر كاربران و دریافت اطلاعات شخصی آنان نظیر اطلاعات مالی استفاده می‌گردد. مهاجمان ممكن است با ارسال یك Emailبا ظاهری قابل قبول و از یك شركت معتبر كارت اعتباری  و یا موسسات مالی، از شما درخواست اطلاعات مالی را نموده  و اغلب عنوان نمایند كه یك مشكل خاص ایجاد شده است و ما در صدد رفع آن می‌باشیم. پس از پاسخ كاربران به اطلاعات درخواستی، مهاجمان از  اطلاعات اخذ شده به منظور دستیابی به سایر اطلاعات مالی و بانكی  استفاده می‌نمایند.

نحوه پیشگیری از حملات مهندسی اجتماعی و كلاهبرداری

به تلفن‌ها، نامه‌های الكترونیكی و ملاقات‌هایی كه عموما ناخواسته بوده و در آنان از شما درخواست اطلاعاتی خاص در مورد كاركنان و یا سایر اطلاعات شخصی می‌گردد، مشكوك بوده و با دیده سوء ظن به آنان نگاه كنید. در صورتی كه یك فرد ناشناس ادعا می‌نماید كه از یك سازمان معتبر است، سعی نمایید با سازمان مورد ادعای وی  تماس گرفته و  نسبت به هویت وی كسب تكلیف كنید.

هرگز اطلاعات شخصی و یا اطلاعات مربوط به سازمان خود را ( مثلا ساختار و یا شبكه‌ها ) در اختیار دیگران قرار ندهید، مگر این كه اطمینان حاصل گردد  كه فرد متقاضی مجور لازم به منظور دستیابی به اطلاعات درخواستی را  دارا می‌باشد .

هرگز اطلاعات شخصی و یا مالی خود را در یك emailافشا نكرده و به نامه‌های الكترونیكی ناخواسته‌ای كه درخواست این نوع اطلاعات را از شما می‌نمایند، پاسخ ندهید (به لینك‌های موجود در این‌گونه نامه‌های الكترونیكی ناخواسته نیز توجهی نداشته باشید(.

هرگز اطلاعات حساس و مهم شخصی خود و یا سازمان خود را بر روی اینترنت ارسال ننمایید. قبل از ارسال این‌گونه اطلاعات حساس، می‌بایست Privacyوب سایت مورد نظر به دقت مطالعه شده تا مشخص شود كه اهداف آنان از جمع آوری اطلاعات شخصی شما چیست و نحوه برخورد آنان با اطلاعات به چه صورت است ؟

دقت لازم در خصوص آدرس URLیك وب سایت را داشته باشید. وب سایت های مخرب ممكن است خود را مشابه یك وب سایت معتبر ارائه نموده كه آدرس URLآنان دارای تفاوت اندكی با وب سایت‌های شناخته شده باشد. وجود تفاوت اندك در حروف استفاده شده برای نام سایت و یا تفاوت در domain، نمونه‌هایی در این زمینه می‌باشند  مثلا.com)در مقابل. net)

در صورت عدم اطمینان از معتبر بودن یك Emailدریافتی،  سعی نمایید با برقراری تماس مستقیم با شركت مربوطه  نسبت به هویت آن اطمینان حاصل نمایید. از اطلاعات موجود بر روی یك سایت مخرب به منظور تماس با آنان استفاده نمایید چرا كه این اطلاعات می‌تواند شما را به مسیری دیگر هدایت نماید كه صرفا اهداف مهاجمان را تامین نماید. به منظور آگاهی از این نوع حملات كه تاكنون به‌وقوع پیوسته است، می‌توانید به آدرسhttp://www.antiphishing.org/phishingarchive.html،  مراجعه  نمایید.

با نصب و نگهداری نرم افزارهای آنتی ویروس، فایروال‌ها و فیلترینگ نامه‌های الكترونیكی ناخواسته‌

( spam)، سعی نمایید یك سطح حفاظتی مناسب به منظور كاهش این نوع حملات را ایجاد نمایید.

اقدامات لازم در صورت بروز تهاجم

در صورتی كه فكر می‌كنید به هر دلیلی اطلاعات حساس سازمان خود را در اختیار دیگران ( افرادغیر مجاز ) قرار داده‌اید، بلافاصله موضوع را به اطلاع افراد ذیربط شاغل در سازمان خود (مثلا مدیران شبكه ) برسانید. آنان می‌توانند در خصوص هر گونه فعالیت‌های غیرمعمول و یا مشكوك، هشدارهای لازم را در اسرع وقت در اختیار دیگران قرار دهند.

در صورتی كه فكر می‌كنید اطلاعات مالی شما ممكن است در معرض تهدید قرار گرفته شده باشد، بلافاصله با موسسه مالی خود تماس حاصل نموده و تمامی‌حساب‌های مالی در معرض تهدید را مسدود نمایید. در این رابطه لازم است دقت، حساسیت و كنترل لازم در خصوص هر گونه برداشت از حساب‌های بانكی خود را داشته باشید.

گزارشی در خصوص نوع تهاجم را تهیه نموده و  آن را در اختیار سازمان‌های ذی ربط قانونی قرار دهید

برگرفته از سخاروش