روانشناسی نفوذگران: درک چهار مورد از احساسات مورد هدف در مهندسی اجتماعی

درحالی‌که که دانش‌های فناوری مطمئناً نقش بزرگی را در توانمندی نفوذگران برای دسترسی به هر سامانه‌ شخصی یا تجاری بازی می‌کنند، آنچه که اغلب نادیده انگاشته می‌شود، برخی از حقه‌های تجاری، نظیر مهندسی اجتماعی و همچنین بازی‌های روانی است. این بدان معناست که حفاظت و دفاع در برابر چنین حملاتی در واقع بخشی از بازی ذهن است.
برای متخصصان فناوری مهم است تا روش‌های مهندسی اجتماعی را که برای بهره گرفتن از احساسات انسانی به منظور انجام حملات به کار می‌روند، درک کنند. در این پست چهار مورد از احساسات و رفتارهای انسانی را که اغلب نفوذگران از آن‎ها به عنوان بخشی از حملات مهندسی اجتماعی بهره‌ می‌گیرند و ویژگی‌های متمایز هر کدام از این احساسات و برخی از ملاحظات برای قرار دادن کارکنان و سازمان خود در وضعیت بهتر در برابر این حملات آتی بررسی شده است.

ترس: به عنوان یک احساس ناخوشایند ناشی از این عقیده که کسی یا چیزی خطرناک است و به احتمال زیاد موجب درد یا تهدید می‌شود.
مسلماً ترس به عنوان یکی از قوی‌ترین محرک‌های ماست که بیشتر از همه‌ی دیگر احساس‌ها در حملات مهندسی اجتماعی مورد سوءاستفاده قرار می‌گیرد. چه در قالب یک رایانامه جعلی که حساب بانکی اینترنتی شما که در آن گفته می‌شود در خطر هستید و باید گذرواژه خود را تغییر دهید و یا به عنوان یک هشدار امنیتی فوری بانک، این کلاهبرداری از یک تهدید خاص استفاده می‌کند تا دریافت‌کننده یا گروه دریافت‌کنندگان را هدف قرار دهد و آنها را مجبور کند تا به سرعت برای جلوگیری از یک وضعیت دردناک و یا خطرناک کاری انجام دهند.
برای نمونه، اخیراً مجرمان سایبری از فصل مالیات‌ها استفاده کرده‌اند تا با جمع‌آوری اطلاعات از شرکت‌های مالیاتی، مالیات‌دهندگان آمریکایی را برای پر کردن برگه‌های مالیاتی تهدید کنند. پس از نگه داشتن قربانیان پشت خط، مهاجمان بلافاصله حالتی تهاجمی می‌گیرند، و تهدید به اقدام فوری پلیس در صورتی می‌کنند که پول به یک حساب جعلی شرکت‌های مالیاتی برای جلوگیری از بی‌نظمی‌های مالیاتی واریز نشود.

اطاعت: به عنوان پیروی از قوانین و دستوالعمل‌های صادره از هر کدام از نهادهای قانونی، تعریف شده است.
کلاهبرداران مهندسی اجتماعی که به شکار احساس اطاعت کاربران می‌روند، اغلب به صورت مبدل از رایانامه، پیام کوتاه و یا حتی تماس تلفنی یا پست صوتی شخص یا گروه‌هایی نظیر مجریان قانونی یا مدیران اجرایی شرکت‌ها استفاده می‌کنند. از آنجا که ما از کودکی یاد گرفته‌ایم که به مقامات اعتماد کنیم، به هر رو برای ما مطبوع نیست که اعتبار این مکاتبات را زیر سؤال ببریم و تمایل داریم تا از دستورالعمل‌ها، درخواست‌ها و راهنمایی‌های آنان تبعیت کنیم.
اما زمانی که به حملات فیشینگ می‌رسیم اعتماد ذاتی ما می‌تواند عواقبی جدی را در بر داشته باشد. فقط کافی است که از غول اسباب‌سازی Mattel بپرسید، که نزدیک به سه میلیون دلار توسط یک مجرم سایبری از آن سرقت شد، این مجرم ادعا می‌کرد که مدیر عامل است و در رایانامه‌ای به مدیر مالی دستورالعمل‌هایی برای تأیید پرداخت به یک سازنده چینی صادر کرد. در حالی‎که این کلاهبرداری خاص، یک پایان خوش را برای Mattel داشت، چرا که مقامات چینی توانستند برای بازگرداندن این وجوه به این شرکت کمک کنند، اما این درسی جدی برای اهمیت دادن به این مسأله و قدرت جا زدن خود به جای مقامات و اطلاعات از آنها در برابر حملات فیشینگ است.

طمع: به عنوانی تمایلی شدید و خودخواهانه برای رسیدن به ثروت یا قدرت و یا هر چیز دیگری تعریف شده است.
در مورد حملاتی که از حرص و طمع استفاده می‌کنند، معمولا بحث یک پاداش (معمولاً پاداش پولی) برای انجام یک کار مطرح است. یک مثال کلاسیک در این رابطه به «کلاهبرداری ۴۱۹ نیجریه‌ای» بر می‌گردد که نامش را از مجرمان سایبری گرفته است که ادعا می‌کردند مقامات نیجریه یا آژانسی هستند و از طریق تلفن یا رایانامه وعده‌ی پاداش خوبی را برای انجام کارهای کوچک و یا در برابر مقدار کمی پول می‌دادند تا زمانی که بالاخره قربانی اطلاعات حساب بانکی خود را برای دریافت پاداش قول داده شده ارسال می‌کرد.
در سال ۲۰۱۳، یک قربانی کلاه‌برداری نیجریه‌ای از استرالیا در کنفرانس AusCERT، صحبت کرد و گفت که از او در طول یک دوره چهار ساله مبلغ ۳۰۰ هزار دلار کلاهبرداری شده است. همانطور که مشخص است، پول ریشه‌ همه‌ی این اعمال شرورانه است و در مورد حملات فیشینگ، حرص و آز افراد موجب می‌شود که افراد نتوانند به درستی در مورد درجه این وعده‌ها قضاوت کنند.

خیرخواهی: به عنوانی تمایلی برای کمک به افراد دیگر تعریف شده است.
همه‌ی مجرمان سایبری از گرایش‌های منفی انسان به منظور انجام حملات مهندسی اجتماعی استفاده نمی‌کنند. در واقع رفتار چهارمی که مورد سوء استفاده قرار می‌گیرد، تمایل به کمک به دیگر افراد یا گروه‌ها است. این حملات اغلب به بخش‌های پشتیبانی و خدمات صورت می‌گیرد، چرا که مهاجمان از تمایل این کارکنان برای درخواست‌های خود سوء‌استفاده می‌کنند تا ادعا کنند که قصد شاد کردن افراد را داشته و آن‌ها را تشویق می‌کنند تا اطلاعات بیشتری از آنچه که باید را ارائه کنند.
برای مثال، نگاهی به آخرین خدمات مشتریان Amazom.com بیاندازید که یک درپشتی در آن کشف شد. در این مورد، یک نفوذگر به یک حساب فروشنده آمازون دسترسی پیدا کرد و تنها با یک نام، رایانامه و یک نشانی پستی نادرست، قادر بود تا حساب را به صورت گفتگوی اینترنتی با مشتریان به عنوان بخش پشتیبانی مشتریان تأیید کند و با استفاده از مجموعه‌ای از پرسش‌های حساب شده، بتواند اطلاعات شخصی صحیح قربانیان را دریافت کند .این نفوذگر در نهایت توانست به اطلاعات کارت‌های شخصی قربانیان خود دسترسی پیدا کند. عاقبت این نفوذگر به اطلاعات کارت‌های اعتباری فروشنده دسترسی پیدا کرد و از طریق حساب آمازون خود خرید را انجام داد. مسئولان پشتیبانی مشتری تنها کار خود را انجام می‌دادند، اما این نفوذگر می‌دانست که چگونه از حس کمک کردن و نوع‌دوستی آنها استفاده کند.

در یک محیط شرکت، با بسیاری از جبنه‌های موجود امنیتی، بخش بزرگی از دفاع در برابر مهندسی اجتماعی به سیاست‌گذاری و آموزش کارکنان مربوط می‌شود. تهدیدات داخلی مسلماً از رایج‎ترین و خطرناک‎ترین تهدیدات برای دفاع یک سازمان هستند و یک مطالعه جدید نشان می دهد که بازیگران داخلی مسئول ۴۳ درصد از نفوذها هستند (نیمی از آنها تصادفی و غیر مخرب بوده‌اند).
نه تنها مهم است که مدیران امنیت و فناوری شگردهای در حال تکامل نفوذگران را یاد بگیرند بلکه آن‎ها علاوه بر این باید به‌طور پیوسته سیاست‌های خود را با آن‌ها تنظیم کنند و دانش‌های خود را با آموزش همکاران و مراقبت آن‎ها در برابر فعالیت‌های بدخواهانه، به اشتراک گذارند. برای مثال، کارمندان نیاز دارند تا یاد بگیرند هنگامی که یک رایانامه مشکوک دریافت می‌کنند، یک قدم به عقب برگردند و احساسات خود را در این میان کنترل کرده و ببینند که در میانه‌ی این بازی ناپاک چه کاری می‌توانند انجام دهند. در حالی‎که برای شما به عنوان یک متخصص فناوری ممکن است واضح باشد که یک رایانامه غیرمنتظره به احساسات و پاسخ‌های نظیر ترس، اطاعت، طمع و خیرخواهی می‌پردازد و در بردارنده یک پرچم قرمز است، اما به احتمال زیاد کارکنان سطح متوسط این را نمی‌دانند.
برنامه‌های آگاهی دهنده برای کارکنان معمولی ممکن است دلهره آور به نظر برسند اما این‎ها منابعی هستند که به شما کمک می‌کنند تا از طریق آموزش مهندسی اجتماعی به وسیله‌ی مؤسساتی چون SANS و دیگر سازمان‌های پیشرو به کارکنان شرکت، سطح امنیت را ارتقاء بخشید.
به کارکنان خود یادآوری کنید که آن‌ها می‌توانند همه‌ی رایانامه‌ها و ارتباطات مشکوک را به بخش فناوری ارسال کنند و این کار می‌تواند پیشرفت زیادی برای متوقف کردن کلاه‌برداری و جلوگیری از خرابکاری باشد. مهم نیست که اندازه‌ی سازمان شما چقدر است، مطمئن شوید که شما کار خود را به عنوان اطمینان‌بخش همکاران خود به صورت مؤثری در جهت دفاع از شرکت در برابر مهندسی اجتماعی به خوبی انجام می‌دهید و از همه مهم‎تر اینکه فراموش نکنید که این‎ها مسائلی روانشناسی هستند.
شاید مهمترین بخش این توصیه‌ها این باشد که مکاتباتی را که از شما درخواست دارند، متوقف کنید و همواره بپرسید که آیا آن‌ها می‌توانند به شیوه‌ای مخربانه عمل کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.