پیش از بیان روشهای دفاعی در برابر حملات مهندسی اجتماعی، لازم است تا کلیاتی را در مورد این دسته از حملات یادآور شویم. ویژگی بارز حملات مهندسی اجتماعی، هدف آنها یعنی افراد (مردم عادی، نیروهای انسانی یک سازمان و غیره) است؛ لذا قابل پیشبینی است که راهکارهای مناسب دفاع در برابر این حملات، باید توصیهها و دستورالعملهایی باشند که توسط افراد (و نه سیستمهای امنیتی و نرمافزارها و سختافزارها) اجرا میشود.
در بسیاری از حملات مهندسی اجتماعی (نظیر حملات صیادی و دستاویزسازی)، مهاجم مستقیم به سراغ قربانی رفته و به صورت شفاهی یا کتبی با وی گفتگو میکند تا او را فریب داده و اطلاعات لازم را از وی دریافت نماید. لذا اکثر راهکارهای دفاعی در برابر حملات مهندسی اجتماعی بر همین موضوع تاکید داشته و به افراد گوشزد مینمایند تا در هنگام ارتباط با دیگران به چه موضوعاتی توجه داشته باشند تا خطر مواجهه با حملات مهندسی اجتماعی کاهش یابد. در ادامه به ذکر اصلیترین روشهای دفاعی خواهیم پرداخت:
1- آموزش مهمترین اصل است:
اولین و مهمترین اصل در مقابله با مهندسی اجتماعی، آگاهی تکتک افراد و فرهنگسازی مناسب است. افراد آگاه به سادگی میتوانند حملات مهندسی اجتماعی را خنثی کنند. فرهنگسازی در برابر حملات مهندسی اجتماعی میتواند در سطوح مختلفی انجام شود؛ از سطوح بسیار ساده و ابتدایی نظیر آموزشهای والدین به فرزندان، تا سطوح بسیار پیشرفته در سازمانهای اطلاعاتی و امنیتی. مسئله اصلی، افزایش سطح آگاهی افراد و آمادگی ذهنی آنها در این موارد است:
الف– آگاهی از وجود خطر:
افراد باید این نکته را در ذهن داشته باشند که در هر ارتباط با افراد بیرونی ممکن است در معرض حملات مهندسی اجتماعی باشند. توجه به همین نکته ساده باعث افزایش هوشیاری افراد شده و سبب میشود تا اطلاعات شخصی و داخلی که دیگران نیازی به آگاهی از آنها ندارند را به سادگی فاش نسازند.
ب- شناخت اطلاعات حساس:
فرهنگسازی و آگاهیرسانی به افراد باید به گونهای باشد تا طبقهبندی اطلاعات را به آنها بیاموزد. در این صورت، افراد میتوانند میان اطلاعات حساسی که باید در داخل مجموعه (خانواده، گروه، سازمان و غیره) باقی بماند و اطلاعات معمولی که میتوان آنها را فاش کرد تمایز قائل شوند. این آموزشها باید توسط افراد خبره و یا بر اساس دستورالعملهای علمی انجام شود؛ چرا که اصلیترین جنبه این آموزش، شناخت صحیح اطلاعات حساس است که نیازمند بررسیهای علمی و داشتن تجربه است.
ج- حصول اطمینان از صداقت افراد:
آخرین نکتهای که در مبحث آموزش باید مورد توجه قرار گیرد، آموزش این نکته به افراد است که نباید به سادگی به حرف دیگران اعتماد کرد و باید بدون تعارف و اضطراب، ابتدا از صداقت طرف مقابل (چه در قالب مکالمه شفاهی و چه به صورت رایانامه، پیامک و پیامهای چندرسانهای) اطمینان حاصل کرد. همین فعالیت ساده، میتواند بسیاری از حملات مهندسی اجتماعی را خنثیسازی کند. برای مثال، تحقیقات نشان میدهد که متداولترین روشها برای حمله مهندسی اجتماعی به کارمندان یک سازمان، تماس با آنها و معرفی خود به عنوان «کارمند جدید» یا «مسئول جمعآوری آمار» از سوی خود سازمان است. اگر هر کارمند در صورت مواجهه با چنین افرادی و پیش از دادن اطلاعات، با یک تماس ساده با مدیر ارشد خود، صداقت حرف فرد مقابل را بررسی کند، اکثر حملات مهندسی اجتماعی به شکست خواهد انجامید.
2- آگاه باشید که چه اطلاعاتی را منتشر میکنید:
موضوع آموزش و فرهنگسازی در زمان مواجهه با حملات مهندسی اجتماعی، موضوع مهمی است که در بخش قبل بیان شد؛ اما موضوع دیگر، آگاهی افراد در زمانهای دیگر، به خصوص در زمان انجام فعالیتهای روزمره و شخصی است. مهاجمانی که با اهداف جدی اقدام به حمله مهندسی اجتماعی میکنند، معمولا از قبل افرادی را هدفگیری کرده و اقدام به جمعآوری اطلاعات در مورد آنها مینمایند. در چنین موقعیتهایی است که حتی رفتارهای روزمره افراد میتواند به عنوان ابزاری برای جلب اعتماد و یا تعیین فرصت مناسب حمله توسط مهاجمین مورد استفاده قرار گیرد. لذا باید آگاهی داشته باشیم که در صحبتهای روزمره خود با دیگران و یا در شبکههای اجتماعی، چه اطلاعاتی را از خودمان (نه از گروه، سازمان یا غیره) منتشر میکنیم و به بیانی دیگر، چه اندازه به افراد نا آشنا اجازه میدهیم تا ما را بشناسند!
3- اطلاعات و داشتههای خود را بشناسید:
شناسایی داشتهها و اطلاعات حساس، معمولا به عنوان یکی از فعالیتهای پایه امنیتی در هر سازمانی انجام میشود؛ خواه در سطح کوچک (مثل اطلاعات حساب مالی یک خانواده) و خواه در سطوح پیشرفته (مثل اطلاعات محرمانه و سری یک سازمان اطلاعاتی و نظامی).
اما باید توجه داشت که تنها اطلاعات حساس نیست که نیاز به مراقبت و پنهانبودن از دیدهای بیرونی دارند؛ چرا که گاهی اوقات با وجود آنکه از اطلاعات اصلی و حساس مراقبت میشود، اطلاعات دیگری که به صورت مستقیم حائز اهمیت نبوده و به چشم نمیآیند، مورد استفاده مهاجمین مهندسی اجتماعی قرار میگیرند.
برای مثال، در یک سازمان ممکن است به شدت از اطلاعات مالی حفاظت شود تا به هیچ طریقی به دست افراد غیرمسئول نرسد و همچنین به تمام مسئولین گوشزد شده تا در مورد اطلاعات مالی به هیچکس حرفی نزنند. در چنین شرایطی، حملات مهندسی اجتماعی که مستقیما به دنبال کسب اطلاعات مالی شرکت از افراد باشند شکست خواهند خورد؛ اما هنوز راه نفوذ و دسترسی به این اطلاعات باز است! یک تیم مهاجم، میتواند با ترکیبی از مهندسی اجتماعی و حملات امنیتی فنی (هک و نفوذ) این کار را انجام دهد. به این صورت که اطلاعات غیرمستقیم نظیر نام و نسخه نرمافزارهایی که در سازمان از آنها استفاده میشود را از طریق مهندسی اجتماعی استخراج کرده و حال، با دانستن این اطلاعات به سراغ هک و نفوذ میروند.
بنابراین باید بر اساس مطالعات علمی و تجربه، بدانیم که علاوه بر اطلاعات محرمانه و حساس، چه اطلاعات دیگری ممکن است مورد استفاده مهاجمین قرار گیرد. این کار نیازمند مشورت با متخصصین حوزههای امنیتی است و بدون تجربیات و دانش فنی امنیت رایانهای، نمیتوان شناخت درستی از اطلاعات قابل استفاده توسط مهاجمین داشت. در نهایت این اطلاعات را نیز در زمره اطلاعات داخلی طبقهبندی کرده و به افراد آموزش دهیم تا علاوه بر خویشتنداری در برابر افشای اطلاعات حساس، از افشای این اقلام اطلاعاتی نیز خودداری نمایند.
4- سیاستهای امنیتی تدوین کنید:
در نهایت، باید توجه داشت با توجه به اینکه تلاشهای مهندسی اجتماعی به صورت مدیریتشده و نظام مند صورت می گیرد لذا باید سیاستهای مدونی برای رفتار امن افراد تهیه شده و آگاهیرسانی به آنها نیز بر اساس همین سیاستها صورت گیرد. تنها در این صورت است که می توان اطمینان داشت تلاشها ثمربخش هستند.
نکتهای که در این خصوص حائز اهمیت است، پایبندی افراد به پیروی از سیاستها و دستورالعملها است. حتی اگر امنیت رایانهای را در دیگر بخشها بتوان با سامانههای کنترل دسترسی، دیوار آتش و از این دست ابزارها فراهم کرد، در حوزه مهندسی اجتماعی بدون پایبندی افراد و التزام آنها به سیاستهای امنیتی به هیچ عنوان امکانپذیر نیست.
5- چند نکته:
همانطور که در آگاه نامه شماره قبل گفتیم یادگیری زبان اداره شما، یکی از راه هایی است که در مهندسی اجتماعی استفاده می شود. مثالهایی در این مورد که در ایران هم مصداق دارد، استفاده از جملات و کلماتی مانند “صبحکم الله بالخیر و العافیه، یرحمک الله، یغفرالله لکم، اسعدالله ایامکم و …” است که در فضای ادارت دولتی و مذهبی، در میان طلاب و روحانیت کاربرد فراوانی دارد. استفاده از این اصطلاحات به شخص کمک می کند تا خود را بومی و مذهبی جلوه داده، اعتماد افراد را جذب کرده و اطلاعات مورد نظر را راحت تر دریافت کند.
انجام وظایف اداری بصورت کاملا قانونی، عدم اطمینان بی جا، ارائه اطلاعات در حد نیاز پس از احراز هویت ارباب رجوع و توجه به طبقه بندی اطلاعاتی ما را از گزند این حملات دور می سازد.
اما در مورد حمله صیادی یا Phishing، متناسب با فعالیتهایی که هکر انجام می دهد باید موارد زیر را مدنظر داشته باشیم:
- باید بدانید که چه اطلاعاتی از شما در اینترنت و شبکه های اجتماعی وجود دارد و آیا این اطلاعات قابل سوء استفاده هست یا نه؟
- آدرس سایت های مهم و حساس را همیشه ذخیره داشته باشید و مطمئن شوید سایتی که به آن وارد می شوید همان سایت اصلی است.
- منابع پیغام ها و ایمیل هایی که حالت ترس، اضطرار و عجله را منتقل می کنند و حاوی لینک یا پیوند هستند را محتاطانه بررسی کرده و حتی الامکان از خیر آنها بگذرید.
- از عجله بپرهیزید.
- از شبکه های موجود در مکانهای عمومی مثل وای فای عمومی موجود در هتل ها، رستوران ها و … اطلاعات حساس خود را منتقل نکنید.
برای انواع دیگر حملات مانند استفاده از موسیقی انتظار تلفن، حملات دستاویز سازی، طعمهگذاری و جبرانکردن باید نکات زیر را مد نظر قرار دهید:
- برای مراجعینی که فراتر از حقوق خود توقع دارند بصورت محترمانه قوانین اداری را یاد آوری کرده و سیکل کاری را به آنها متذکر شوید.
- راجع به ادعاهای مختلف افراد و جایگاهشان از همکاران، افراد مطمئن، مقامات بالادست و غیره سوال کنید.
- هیچ گاه عجله نکنید و به خودتان مسلط باشید.
- از برداشت های شخصی و دلسوزی های بی مورد بپرهیزید.
- از هویت واقعی شخص خدمت گیرنده اطمینان حاصل کنید.
- در مورد کالاهای ارزان یا رایگان تامل بیشتری داشته باشید.
- همیشه خداوند را حاضر و ناظر بدانید.
