لا تخرب الأمن الخاص بك ، وتدريب المستخدمين

أعتقد أن المرة الأولى التي رأيت فيها رسالة بريد إلكتروني للتصيد كانت في عام 2000 بينما كنت أعمل في مشروع اختبار مع Oliver Rist ، وهو الآن محرر أعمال PCMag. في صباح أحد الأيام تلقينا كلاهما رسائل بريد إلكتروني تحتوي على عنوان الموضوع ، "أنا أحبك" ، والذي كان أيضًا نص رسالة البريد الإلكتروني وكان هناك مرفق. كلانا يعرف على الفور أن البريد الإلكتروني كان يجب أن يكون مزيفًا لأننا ، كمحرري مجلة ، عرفنا أنه لا أحد يحبنا. لم نضغط على المرفق. كنا ، في الواقع ، بمثابة جدران الحماية البشرية. لقد تعرفنا على رسالة بريد إلكتروني مزيفة في الأفق ، وحذفناها بدلاً من ترك محتوياتها تنتشر في أجهزة الكمبيوتر لدينا وبقية الشبكة.

حتى في ذلك الوقت ، كانت الهجمات مثل هذه تسمى "الهندسة الاجتماعية" من قبل مجموعة القراصنة. اليوم ، ربما تكون رسائل البريد الإلكتروني المخادعة هي الإصدار الأكثر شهرة لهذا النوع من الاستغلال. وهي تهدف أساسًا إلى اختراق بيانات اعتماد الأمان ، ولكنها أيضًا قادرة على تقديم أنواع أخرى من البرامج الضارة ، وخاصة الفدية. لكن تجدر الإشارة إلى أن هناك أنواعًا أخرى من هجمات الهندسة الاجتماعية إلى جانب الخداع ، بما في ذلك بعضها حيث يكون الهجوم ماديًا وليس رقميًا تمامًا.

البشر: لا يزال أحد رواد الهجوم

السبب في أن رسائل البريد الإلكتروني المخادعة معروفة على نطاق واسع هو أنها شائعة جدًا. من العدل الآن أن نقول إن أي شخص لديه حساب بريد إلكتروني سيتلقى رسالة بريد إلكتروني تصيّد في مرحلة ما. غالبًا ما تتظاهر رسالة البريد الإلكتروني بأنها من البنك الذي تتعامل معه أو شركة بطاقة الائتمان الخاصة بك أو من أعمال أخرى تتكرر فيها. لكن يمكن أن تشكل رسائل البريد الإلكتروني المخادعة أيضًا تهديدًا لمؤسستك حيث يحاول المهاجمون استخدام موظفيك ضدك. جاءت نسخة مبكرة أخرى من هذا الهجوم خلال العصر الذهبي للفاكس ، حيث كان المهاجمون ببساطة يرسلون فاتورة للخدمات التي لم يتم تقديمها إلى الشركات الكبيرة ، على أمل أن المديرين التنفيذيين المشغولين سيقدمونها ببساطة للدفع.

التصيد فعال بشكل مدهش. وفقًا لدراسة أجرتها شركة المحاماة BakerHostetler ، والتي نظرت في 560 انتهاكًا للبيانات العام الماضي ، يعد التصيد الاحتيالي السبب الرئيسي لحوادث أمان البيانات اليوم.

لسوء الحظ ، لم تلتحق التكنولوجيا بهجمات التصيد. في حين أن هناك عددًا من أجهزة الأمان وحزم البرامج المصممة لتصفية رسائل البريد الإلكتروني الضارة ، فإن الأشرار الذين يصنعون رسائل البريد الإلكتروني المخادعة يعملون بجد للتأكد من أن هجماتهم تتسلل عبر التشققات. أظهرت دراسة أجراها Cyren أن فحص البريد الإلكتروني لديه معدل فشل يبلغ 10.5 بالمائة في العثور على رسائل البريد الإلكتروني الضارة. حتى في الشركات الصغيرة والمتوسطة الحجم (SMB) ، يمكن أن تضيف الكثير من رسائل البريد الإلكتروني ، وأي منها يحتوي على هجوم هندسة اجتماعية يمكن أن يشكل تهديدًا لمؤسستك. وليس تهديدًا عامًا كما هو الحال مع معظم البرامج الضارة التي تمكنت من التسلل من خلال تدابير الحماية الخاصة بنقطة النهاية ، ولكن النوع الأكثر شريرًا الذي يستهدف بالتحديد أكثر البيانات والموارد الرقمية قيمة.

لقد تم تنبيهي إلى تقرير Cyren أثناء محادثة مع Stu Sjouwerman ، المؤسس والرئيس التنفيذي لـ KnowBe4 ، وهي شركة يمكنها مساعدة محترفي الموارد البشرية (HR) في تعليم الوعي الأمني. كان سجويرمان هو الذي طرح مصطلح "جدار الحماية البشري" والذي ناقش أيضًا "القرصنة البشرية". اقتراحه هو أنه يمكن للمنظمات أن تمنع أو تقلل من فعالية هجمات الهندسة الاجتماعية من خلال بعض التدريب المتسق الذي يتم بطريقة تشرك موظفيك أيضًا في حل المشكلة.

بالطبع ، العديد من المنظمات لديها دورات تدريبية للتوعية الأمنية. من المحتمل أنك كنت في العديد من تلك الاجتماعات التي يتم فيها إقران القهوة القديمة بالكعك الذي لا معنى له بينما يقضي المقاول الذي يوظفه HR مدة 15 دقيقة لإعلامك بعدم التعرض لرسائل البريد الإلكتروني المخادعة - دون إخبارك فعليًا بما هي عليه أو توضيح ما يجب القيام به إذا تعتقد أنك وجدت واحدة. نعم ، تلك الاجتماعات.

ما اقترحه Sjouwerman بشكل أفضل هو إنشاء بيئة تدريب تفاعلية يمكنك من خلالها الوصول إلى رسائل البريد الإلكتروني الاحتيالية الفعلية حيث يمكنك فحصها. ربما يكون هناك جهد جماعي يحاول فيه الجميع رؤية العوامل التي تشير إلى رسائل البريد الإلكتروني المخادعة ، مثل سوء الهجاء ، والعناوين التي تبدو شبه حقيقية ، أو طلبات ، عند الفحص ، لا معنى لها (مثل طلب النقل الفوري لـ أموال الشركات إلى مستلم مجهول).

الدفاع ضد الهندسة الاجتماعية

لكن سجورمان أشار أيضًا إلى أن هناك أكثر من نوع واحد من الهندسة الاجتماعية. إنه يقدم مجموعة من الأدوات المجانية على موقع KnowBe4 والتي يمكن للشركات استخدامها لمساعدة موظفيها على التعلم. كما اقترح الخطوات التسع التالية التي يمكن للشركات اتخاذها لمحاربة هجمات الهندسة الاجتماعية.

• قم بإنشاء جدار حماية بشري عن طريق تدريب موظفيك على التعرف على هجمات الهندسة الاجتماعية عندما يرونها.
• إجراء اختبارات الهندسة الاجتماعية المتكررة والمحاكاة لإبقاء موظفيك على أصابع قدرتهم.
• إجراء اختبار أمان التصيد ؛ Knowbe4 لديه واحد مجانا.
• كن على اطلاع على الاحتيال الرئيس التنفيذي. هذه هي الهجمات التي ينشئ فيها المهاجمون بريدًا إلكترونيًا مخادعًا يبدو أنه من المدير التنفيذي أو ضابط آخر رفيع المستوى ، يوجه إجراءات مثل تحويل الأموال على أساس عاجل. يمكنك التحقق لمعرفة ما إذا كان يمكن خداع مجالك باستخدام أداة مجانية من KnowBe4.
• أرسل رسائل بريد إلكتروني تصيّدًا محاكية إلى موظفيك وتضمّن رابطًا ينبهك إذا تم النقر على هذا الرابط. تتبع الموظفين الذين يسقطون لذلك وتركيز التدريب على أولئك الذين يسقطون لأكثر من مرة.
• كن مستعدًا لـ "vishing" ، وهو نوع من الهندسة الاجتماعية للبريد الصوتي حيث يتم ترك الرسائل التي تحاول الحصول على إجراء من موظفيك. قد يبدو أن هذه مكالمات من تطبيق القانون أو خدمة الإيرادات الداخلية (IRS) أو حتى الدعم الفني من Microsoft. تأكد من أن موظفيك يعرفون عدم إعادة تلك المكالمات.
• قم بتنبيه موظفيك إلى "تصيّد نصي" أو "SMiShing (تصيّد رسائل نصية قصيرة SMS)" ، وهو يشبه الخداع عبر البريد الإلكتروني ولكن مع الرسائل النصية. في هذه الحالة ، قد يتم تصميم الرابط للحصول على معلومات حساسة ، مثل قوائم جهات الاتصال ، من هواتفهم المحمولة. يجب تدريبهم على عدم لمس الروابط في الرسائل النصية ، حتى لو بدا أنها من الأصدقاء.
• تعتبر هجمات الناقل التسلسلي العالمي (USB) فعالة بشكل مدهش وهي وسيلة يمكن الاعتماد عليها لاختراق الشبكات ذات الهواء. طريقة عملها هي أن شخصًا ما يترك عصي ذاكرة USB ملقاة في دورات المياه أو مواقف السيارات أو الأماكن الأخرى التي يرتادها الموظفون ؛ ربما تكون العصا مغرية أو شعارات عليها. عندما يعثر الموظفون ويدخلونها في جهاز كمبيوتر مفيد - وسيعملون إذا لم يتم تعليمهم بطريقة أخرى - فإن البرمجيات الخبيثة الموجودة عليهم تصل إلى شبكتك. هذه هي الطريقة التي اخترقت بها البرمجيات الخبيثة Stuxnet البرنامج النووي الإيراني. Knowbe4 لديه أداة مجانية لاختبار هذا أيضا.
• هجوم الحزمة هو أيضا فعالة بشكل مدهش. هذا هو المكان الذي يظهر فيه شخص ما مع حمولة من الصناديق (أو البيتزا في بعض الأحيان) ويطلب السماح بالدخول حتى يمكن تسليمها. بينما لا تبحث ، فإنها تنزلق جهاز USB إلى كمبيوتر قريب. يجب تدريب موظفيك عن طريق تنفيذ هجمات محاكاة. يمكنك تشجيعهم عن طريق التدريب على ذلك ثم مشاركة البيتزا إذا كانت صحيحة.

كما ترون ، يمكن أن تكون الهندسة الاجتماعية تحديًا حقيقيًا وقد تكون أكثر فاعلية مما تريد. الطريقة الوحيدة لمكافحته هي إشراك موظفيك بنشاط في اكتشاف مثل هذه الهجمات وطردهم. إذا انتهى الأمر ، فسيستمتع موظفوك بالفعل بالعملية - وربما سيحصلون على بعض البيتزا المجانية منها أيضًا.