اگر در یک اداره یا دفتر کار شلوغ کار میکنید، احتمالا تا به حال برایتان پیش آمده که با چهرهای ناآشنا مواجه شوید که در حال پرسه زدن است. ولی آیا تا به حال به این فکر کردهاید که ممکن است او برای ملاقات یکی از همکارانتان نیامده باشد؟ به عبارت دیگر، احتمالا شما با یک دزد اطلاعات روبرو بودهاید!
به گزارش بیبیسی، در یک مورد، مدیرعامل یک موسسه مالی هنگامیکه در اتاق خود را گشود، با کسی مواجه شد که ظرف مدت تنها 20 دقیقه از ورود به ساختمان توانسته بود به اطلاعات محرمانهای در مورد یک ادغام نیم میلیارد پوندی دست پیدا کند.
البته، خوشبختانه در این مورد بخصوص، فرد غریبه یک دزد نبود؛ بلکه او کالین گرینلیس، از مشاوران شرکت سرمایهگذاری ارتباطات زیمنس بود. او بنا به درخواست مدیر بخش آیتی آن شرکت و برای آزمایش میزان آمادگی شرکت در مقابله با حملات ناشی از مهندسی اجتماعی به آنجا رفته بود.
در یک مورد مشابه که با خواست و همکاری مدیران بیبیسی انجام شده بود، آقای گرینلیس 5 نفر از کارمندان بیبیسی را هدف گرفت. این بار او وانمود کرد که یک مهندس آیتی است و توانست با تنها یک تماس تلفنی به نام کاربری و رمز ورود هر پنج نفر آنها دست پیدا کند.
کلاهبرداری با جلب اعتماد
به گفته آقای گرینلیس، هکرها و جاسوسان صنعتی از تمام ابزارهای ممکن برای دستیابی به اطلاعات مورد علاقه خود استفاده میکنند. آنها بدون نیاز به هیچ سیستم کامپیوتری پیچیدهای و تنها با استفاده از یکی از قدیمیترین و موثرترین روشهای ممکن میتوانند هر چه را میخواهند به دست بیاورند.
او در گفتگو با بیبیسی گفت: «مسئله فقط اعتماد است. من در حالیکه وانمود میکردم در حال مکالمه با گوشی همراهم هستم، وارد ساختمان یکی از شرکتهای عضو بورس لندن شدم و آسانسور آنجا که تنها با کارت شناسایی باز میشد نیز توسط کسی که بعدا معلوم شد مدیر داخلی آنجا است، برای من باز نگه داشته شد! من حتی برای 5 روز کاری در یک اتاق جلسات در طبقه سوم آنجا ماندم».
از آنجا او توانست به اطلاعات بسیار محرمانه، اطلاعات معاملهها، ادغامها و پیشنهادهای خرید شرکتها، و همچنین شماره تلفنهای همراه تمام مدیران ارشد آنجا دست پیدا کند.
چند روز بعد او یکی دیگر از مشاوران زیمنس را با خود به آنجا برد تا همراه او و در اتاق کار ساختگی او کار کند. او که چندین اسم کاربری و رمز عبور را در اختیار داشت میتوانست از آنجا و با لپتاپ خودش به شبکه داخلی آن شرکت دسترسی داشته باشد.
مهندسی اجتماعی به بهترین راه کلاهبرداری در قرن 21 تبدیل شده است.
تمام افراد شاغل در حوزه امنیت آنلاین، هر روز بیشتر به این حقیقت پی میبرند که هکرها و مجرمان اینترنتی به طرز روزافزونی از روشهای مهندسی اجتماعی برای اغفال افراد استفاده میکنند تا آنها را وادار کنند اطلاعات مورد نیاز را به آنها بدهند و یا اجازه دسترسی به کامپیوتر را به آنها بدهند.
ولی شرکتها برای مقابله با این پدیده که هر روز مشکل آفرینتر هم میشود، تنها سیستمهای آیتی خود را مسدود میکنند و این مسئله را از یاد میبرند که ممکن است این، خود کارمندان باشند که شرکت را در معرض خطر قرار میدهند. به گفته گرینلیس، «نیروی انسانی، ضعیفترین حلقه ارتباط است».
آقای گرینلیس در هر ماه با دو یا سه تقاضا از شرکتهای بزرگ و کوچک مواجه میشود؛ شرکتهایی که دریافتهاند نشت اطلاعات میتواند مشکلات بزرگی را برای آنها رقم بزند.
از دست دادن اطلاعات
آقای گرینلیس، در ماموریتی دیگر برای یک نهاد حکومتی، خود را به عنوان یک مهندس آیتی معرفی کرد و در حالی که از خانه و با شماره تلفن خودش کار میکرد، توانست به اسامی کاربری و رمزهای عبور 85 درصد از 64 نفر کارمندی که هدف قرار داده بود، پی ببرد: «من وانمود کردم که یک مهندس آیتی هستم و گفتم که در ایمیل آنها با یک مشکل مواجه شدهام. من خیلی ساده از آنها اسم کاربری ورمز عبورشان را خواستم و بعد، میتوانستم از راه دور به کامپیوتر آنها دسترسی داشته باشم».
تونی نیت، مدیرعامل GetSafeOnline اعتقاد دارد که شرکتها باید کارمندان خود را بهتر آموزش دهند و رویکرد یکپارچهتری را برای امنیت خود اتخاذ کنند. او میگوید: «بیشتر شرکتها یک مسئول امنیت آیتی دارند و یک مسئول امنیت فیزیکی، ولی مگر این دو نفر چقدر با هم صحبت میکنند؟»
در ماههای اخیر چند مورد پر سر و صدا از نشت یا از دست دادن اطلاعات روی داده است. بعضی از آنها، نتیجه هک کردن بود؛ ولی برخی دیگر مانند نشت اطلاعات 25 میلیون نفر که از مزایای کمک هزینه دولتی زایمان استفاده میکردند، در نتیجه خطای انسانی به وقوع پیوست.
نشت اطلاعات
این که بگوییم چقدر از مشکل نشت اطلاعات ناشی از مهندسی اجتماعی است، خیلی سخت است؛ زیرا در حال حاضر هیچ راهی برای اندازهگیری آن وجود ندارد. آقای نیت، این مشکل را در حال حاضر «مشکل بزرگی» نمیداند، ولی اعتقاد دارد که شرکتها «باید بدانند که افراد میتوانند به راحتی از خیابان وارد اداره شوند و اطلاعات را بدزدند».
آقای گرینلیس نیز پذیرفته که هر کس اندک علاقهای به جاسوسی صنعتی داشته باشد، میتواند به یک مهندس اجتماعی دسترسی پیدا کند که توانایی خرابکاری داشته باشد. وی میگوید: «با تجربیات من، افرادی وجود دارند که این کار را انجام بدهند. افراد خاصی در دنیای جرایم زیر زمینی وجود دارند، آنها افرادی را میشناسند که آنها هم با افرادی دیگر در ارتباطند. آنها برای کار خود تبلیغات نمیکنند، ولی وجود دارند».
گزارش اخیر شرکت امنیتی PGP تخمین زده است که هر واحد از اطلاعاتی که از یک شرکت نشت کند، در حدود 60 پوند برای سازمانی که این اطلاعات را از دست داده، هزینه در بردارد.
اهمال داخلی
مشخص شده که 70 درصد از نشتیهای اطلاعات در شرکتها، نه به دلیل هک شدن سیستم که به خاطر اهمال کارمندان است.
استفاده روز افزون از فناوریهای همراه مانند لپتاپها، گوشیهای هوشمند موبایل و کارتهای حافظه به معنای خروج بیشتر و بیشتر اطلاعات از ساختمانها است که بعضی از آنها هیچ وقت باز نمیگردند.
موارد پر سر و صدا و مشهوری از جا ماندن لپتاپها در قطارها گزارش شده، و پیمایش جدید شرکت امنیتی Credant Technologies مشخص کرده است که در سال گذشته نههزار حافظه یواسبی در لباسشوییهای خودکار پیدا شده است که هنگام خشکشویی لباسها در جیب آنها جا مانده بود.
این عدد به تنهایی نشان میدهد که شرکتها برای حفاظت از اطلاعات خود چه کار سختی در پیش دارند و نیازی به توضیح بیشتر ندارد.
بیبیسی، 6 می -ترجمه: مجید جویا
نظر شما