دسته ای ازحملات که دانش فنی چندانی لازم ندارد و برپایه روان شناسی وارتباطات انسانی بنا شده اند که به آنها، حملات مهندسی اجتماعی گفته می شود. در واقع مهندسی اجتماعی، مجموعه ای از روش های غیرفنی مبتنی بر استفاده از ویژگی های روان شناسانه افراد برای نفوذ به سیستم ها و دسترسی به اطلاعات کاربران است که توسط هکرها مورد استفاده قرار می گیرد.
راهکارهای مناسب دفاع در برابر حملات مهندسی اجتماعی، توصیه ها و دستورالعمل هائی است که توسط افراد (و نه سیستم های امنیتی و نرم افزارها و سخت افزارها) اجرا می شود.
در بسیاری از حملات مهندسی اجتماعی (نظیر حملات صیادی و دستاویزسازی)، مهاجم مستقیم به سراغ قربانی رفته و به صورت شفاهی یا کتبی با وی گفتگو می کند تا او را فریب داده و اطلاعات لازم را از وی دریافت کند.
لذا اکثر راهکارهای دفاعی در برابر حملات مهندسی اجتماعی به افراد گوشزد می شود تا آنها در هنگام ارتباط با دیگران بدانند که به چه موضوعاتی باید توجه داشته باشند تا خطر مواجهه با حملات مهندسی اجتماعی کاهش یابد.
آموزش مهمترین اصل در مقابله با حملات مهندسی اجتماعی است
اولین و مهمترین اصل در مقابله با حملات مهندسی اجتماعی، آگاهی تک تک افراد و فرهنگ سازی مناسب است. افراد آگاه به سادگی می توانند حملات مهندسی اجتماعی را خنثی کنند.
فرهنگ سازی در برابر حملات مهندسی اجتماعی می تواند در سطوح مختلفی انجام شود؛ از سطوح بسیار ساده و ابتدایی نظیر آموزش های والدین به فرزندان، تا سطوح بسیار پیشرفته در سازمان های اطلاعاتی و امنیتی را دربرگیرد.
آگاهی از وجود خطر: افراد باید این نکته را در ذهن داشته باشند که در هر ارتباط با افراد بیرونی ممکن است در معرض حملات مهندسی اجتماعی باشند. توجه به همین نکته ساده باعث افزایش هوشیاری افراد شده و سبب می شود تا اطلاعات شخصی و داخلی که دیگران نیازی به آگاهی از آنها ندارند را به سادگی فاش نسازند.
شناخت اطلاعات حساس: فرهنگ سازی و آگاهی رسانی به افراد باید به گونه ای باشد تا طبقه بندی اطلاعات را به آنها بیاموزد.
در این صورت، افراد می توانند میان اطلاعات حساسی که باید در داخل مجموعه (خانواده، گروه، سازمان و غیره) باقی بماند و اطلاعات معمولی که می توان آنها را فاش کرد، تمایز قائل شوند.
این آموزش ها باید توسط افراد خبره و یا بر اساس دستورالعمل های علمی انجام شود؛ چرا که اصلی ترین جنبه این آموزش، شناخت صحیح اطلاعات حساس است که نیازمند بررسی های علمی و داشتن تجربه است.
حصول اطمینان از صداقت افراد: آخرین نکته ای که در مبحث آموزش باید مورد توجه قرار گیرد، آموزش این نکته به افراد است که نباید به سادگی به حرف دیگران اعتماد کرد و باید بدون تعارف و اضطراب، ابتدا از صداقت طرف مقابل (چه در قالب مکالمه شفاهی و چه به صورت رایانامه، پیامک و پیام های چند رسانه ای) اطمینان حاصل کرد.
همین فعالیت ساده، می تواند بسیاری از حملات مهندسی اجتماعی را خنثی سازی کند. برای مثال، تحقیقات نشان می دهد که متداول ترین روش ها برای حمله مهندسی اجتماعی به کارمندان یک سازمان، تماس با آنها و معرفی خود به عنوان «کارمند جدید» یا «مسئول جمع آوری آمار» از سوی خود سازمان است.
اگر هر کارمند در صورت مواجهه با چنین افرادی و پیش از دادن اطلاعات، با یک تماس ساده با مدیر ارشد خود، صداقت حرف فرد مقابل را بررسی کند، اکثر حملات مهندسی اجتماعی به شکست خواهد انجامید.
آگاه باشید که چه اطلاعاتی را منتشر می کنید
موضوع آموزش و فرهنگ سازی در زمان مواجهه با حملات مهندسی اجتماعی، موضوع مهمی است؛ اما موضوع دیگر، آگاهی افراد در زمان های دیگر، به خصوص در زمان انجام فعالیت های روزمره و شخصی است.
مهاجمانی که با اهداف جدی اقدام به حمله مهندسی اجتماعی می کنند، معمولا از قبل افرادی را هدف گیری کرده و اقدام به جمع آوری اطلاعات در مورد آنها می کنند.
در چنین موقعیت هائی است که حتی رفتارهای روزمره افراد می تواند به عنوان ابزاری برای جلب اعتماد و یا تعیین فرصت مناسب حمله توسط مهاجمین مورد استفاده قرار گیرد.
لذا باید آگاهی داشته باشیم که در صحبت های روزمره خود با دیگران و یا در شبکه های اجتماعی، چه اطلاعاتی از خودمان (نه از گروه، سازمان یا غیره) منتشر می کنیم و به بیانی دیگر، چه اندازه به افراد ناآشنا اجازه می دهیم تا ما را بشناسند.
اطلاعات و داشته های خود را بشناسید
شناسایی داشته ها و اطلاعات حساس، معمولا به عنوان یکی از فعالیت های پایه امنیتی در هر سازمانی انجام می شود؛ خواه در سطح کوچک (مثل اطلاعات حساب مالی یک خانواده) و خواه در سطوح پیشرفته (مثل اطلاعات محرمانه و سری یک سازمان اطلاعاتی و نظامی) باشد.
اما باید توجه داشت که تنها اطلاعات حساس نیست که نیاز به مراقبت و پنهان بودن از دیدهای بیرونی دارند؛ چرا که گاهی اوقات با وجود آنکه از اطلاعات اصلی و حساس مراقبت می شود، اطلاعات دیگری که به صورت مستقیم حائز اهمیت نبوده و به چشم نمی آیند، مورد استفاده مهاجمین مهندسی اجتماعی قرار می گیرند.
برای مثال، در یک سازمان ممکن است به شدت از اطلاعات مالی حفاظت شود تا به هیچ طریقی به دست افراد غیرمسئول نرسد و همچنین به تمام مسئولین گوشزد شده تا در مورد اطلاعات مالی به هیچ کس حرفی نزنند. در چنین شرایط، حملات مهندسی اجتماعی که مستقیما به دنبال کسب اطلاعات مالی شرکت از افراد باشند شکست خواهند خورد؛ اما هنوز راه نفوذ و دسترسی به این اطلاعات باز است، یک تیم مهاجم، می تواند با ترکیبی از مهندسی اجتماعی و حملات امنیتی فنی (هک و نفوذ) این کار را انجام دهد.
به این صورت که اطلاعات غیرمستقیم نظیر نام و نسخه نرم افزارهائی که در سازمان از آنها استفاده می شود را از طریق مهندسی اجتماعی استخراج کرده و حال، با دانستن این اطلاعات به سراغ هک و نفوذ می روند.
بنابراین باید براساس مطالعات علمی و تجربه، بدانیم که علاوه بر اطلاعات محرمانه و حساس، چه اطلاعات دیگری ممکن است مورد استفاده مهاجمین قرار گیرد.
این کار نیازمند مشورت با متخصصین حوزه های امنیتی است و بدون تجربیات و دانش فنی امنیت رایانه ای، نمی توان شناخت درستی از اطلاعات قابل استفاده توسط مهاجمین داشت.
در نهایت این اطلاعات را نیز در زمره اطلاعات داخلی طبقه بندی کرده و به افراد آموزش دهیم تا علاوه بر خویشتنداری در برابر افشای اطلاعات حساس، از افشای این اقلام اطلاعاتی نیز خودداری کنند.
سیاست های امنیتی تدوین کنید
در نهایت، باید توجه داشت که این تلاش ها به صورت مدیریت شده و سیستماتیک صورت گرفته و در نهایت، سیاست های مدونی برای رفتار امن افراد تهیه شده و آگاهی رسانی به آنها نیز براساس همین سیاست های صورت گیرد. تنها در این صورت است که اطمینان داشت تلاش ها ثمربخش هستند.
نکته ای که در این خصوص حائز اهمیت است، پایبندی افراد به پیروی از سیاست ها و دستورالعمل ها است. حتی اگر امنیت رایانه ای را در دیگر بخش ها بتوان با سامانه های کنترل دسترسی، دیوار آتش و از این دست ابزارها فراهم کرد، در حوزه مهندسی اجتماعی بدون پایبندی افراد و التزام آنها به سیاست های امنیتی به هیچ عنوان امکان پذیر نیست.