روش های مهندسی اجتماعی برای کلاهبرداری از کارکنان سازمان شما

تاریخ انتشار : چهارشنبه 24 فروردین 1401

اخبار استارتاپ

طبق آمار و اطلاعات موجود در وب سایت Proofpoint، اجرای طرح های مهندسی اجتماعی و حمله در سال 2021 موفق تر از سال قبل بوده است. خستگی ناشی از شیوع ویروس کرونا، دورکاری و نیاز به مدیریت حجم زیاد اطلاعات باعث شده است تا کارکنان از شناسایی ترفندهای مهندسی اجتماعی غافل شوند. بر اساس این نظرسنجی، بیش از 80 درصد از سازمان ها در سال 2021 حداقل یک بار یک حمله فیشینگ ایمیل موفق را تجربه کرده اند. این رقم نسبت به سال 2020 افزایش 46 درصدی را نشان می دهد.

به گفته کوین بیور، مشاور ارشد شرکت امنیتی Principle Logic: ضمیر ناخودآگاه این افراد تصمیمات حیاتی گرفته است. مهاجمان هم می‌دانند که چنین وضعیتی به نفع آنهاست و همیشه مورد سوء استفاده قرار می‌گیرند.

یک مطالعه توسط محققان دانشگاه استنفورد نشان داد که حدود 88 درصد از نشت ها به دلیل خطای کارمندان است. حدود نیمی از کارمندان به این موضوع اشاره می‌کنند که دلیل اصلی قربانی شدن به کلاهبرداری‌های فیشینگ، حواس‌پرتی و عدم توجه و تمرکز است. علاوه بر این، حدود 60 درصد از دورکارها معتقدند هنگام کار از خانه تمرکز کمتری دارند. از سوی دیگر، این تصور که ایمیل‌های فیشینگ معتبر هستند یا توسط یکی از مدیران ارشد یا برندهای معروف ارسال می‌شوند، یکی از دلایل اصلی کلیک بر روی چنین ایمیل‌هایی است.

حملات به مهندسی اجتماعی

امروزه مقیاس پیامدهای نقض امنیت ناشی از خطای انسانی نسبت به گذشته افزایش چشمگیری داشته است. در سال 2021، Proofpoint حدود 15 میلیون پیام فیشینگ را با ایمیل‌های مخرب شناسایی کرد که مستقیماً به نرم‌افزار باج‌گیری مرتبط بودند. به گفته Sophos: “متوسط کل هزینه بازیابی از یک حمله باج افزار در سال 2021 به 1.85 میلیون دلار رسیده است.”

چرا کارمندان همچنان فریب ترفندهای قدیمی را می خورند؟ در سال 2016، استو شوورمن، مدیرعامل KnowBe4، کنجکاوی، مودب بودن، زودباوری، حرص و آز، سبکسری، خجالتی و بی تفاوتی را به عنوان دلایل مهمی که باعث می شود کارمندان درگیر و قربانی حملات مهندسی اجتماعی شوند، ذکر کرد. موارد فوق همچنان از عوامل اصلی ظهور نفوذهای سایبری از طریق روش های مهندسی اجتماعی هستند.

5 ترفند قدیمی برای مهندسی اجتماعی

کارشناسان اطلاعات امنیتی معتقدند که کارکنان هنوز فریب پنج ترفند قدیمی مهندسی اجتماعی را می خورند. آنها همچنین هشدارهای امنیتی زیادی در مورد 4 تکنیک جدید کلاهبرداری می دهند که شامل تغییراتی در همان تکنیک های قدیمی است.

1 ایمیل ظاهراً این جعلی است رسمی آره!

کارمندان معمولاً نمی توانند در برابر ایمیل های مدیر عامل یا پیام هایی که نشان دهنده افزایش یا افزایش حقوق هستند مقاومت کنند. جان ویلسون، کارشناس امنیت سایبری در Agari می گوید: «کارمندان همچنان با ایمیل های به ظاهر رسمی که از یک منبع یا آشنای مجاز ارسال می شوند، فریب می خورند. ویلسون اخیراً یک ایمیل فیشینگ مشابه دریافت کرده است، اما او با چنین غارت‌هایی آشناست.

ویلسون گفت: “در چنین حملاتی، مهاجمان سعی می کنند به دنبال شناسایی باشند.” به عنوان مثال، برای باز کردن یک سند، از کاربران خواسته می‌شود که دوباره با نام کاربری و رمز عبور Office 365 وارد سیستم شوند.»

صرف نظر از طعمه استفاده شده، کاربران باید توجه داشته باشند که برای باز کردن سند نیازی به ورود مجدد به حساب کاربری خود ندارید. ویلسون همچنین استفاده از ابزار مدیریت رمز عبور را توصیه می کند. این ابزار فقط اعتبار شما را به وب سایت های معتبر و معتبر تحمیل می کند.

ایمیل های جعلی

2. تقلب از طریق کارت هدیه دفتر

کلاهبرداری از کارت هدیه هنوز یکی از پرسودترین تکنیک های مهندسی اجتماعی است. این روش یک ایمیل از یکی از مدیران شرکت ارسال می کند و از گیرنده پیام کمک می خواهد. به گفته ویلسون: «در این ایمیل‌ها، مدیرعامل معمولاً یک کارت هدیه می‌خواهد تا به سایر کارمندان پاداش دهد. وی همچنین بر لزوم غافلگیری کارکنان تاکید می کند و از گیرنده می خواهد که به هیچ وجه موضوع را با دیگران در میان نگذارد.

ویلسون گفت: «اگرچه مشخص نیست که آیا کسی این درخواست را خواهد پذیرفت، تیم امنیتی ما از سال 2019 حدود 10300 حمله موفق را ثبت کرده است و هر روز شاهد هزاران نوع تلاش مجرمانه مختلف برای حملات فیشینگ بوده است. متاسفانه در نهایت یک نفر قربانی می شود».

3. فلش مموری رایگان

اف‌بی‌آی اخیراً درباره نامه‌های جعلی ارسال شده از طریق خدمات پستی ایالات متحده، که در برخی موارد از نام وزارت خدمات انسانی و بهداشت ایالات متحده استفاده می‌شود، هشدار داده است که گفته می‌شود اطلاعات مربوط به تاج را درز می‌کند. در برخی موارد از نام شرکت آمازون استفاده می شد. همه بسته های ارسال شده حاوی یک درایو فلش USB حاوی بدافزار بودند.

اگر حافظه آلوده به رایانه شرکتی متصل شود، هکرها به کل شبکه سازمان دسترسی پیدا کرده و به راحتی بدافزار و باج افزار را نصب خواهند کرد. اگرچه هنوز مشخص نیست که آیا مشاغل قربانی چنین حملاتی شده اند یا خیر، این پروژه ها یادآور یکی از قدیمی ترین تکنیک های مهندسی اجتماعی هستند.

فلش مموری رایگان

4. پیام صوتی

در ماه‌های اخیر، پیام‌های صوتی آلوده به نرم‌افزارهای مخرب برای بسیاری از شرکت‌ها ارسال شده است و برخی از کارکنان همچنان فریب می‌خورند. به گفته ویلسون، “این ترفند همیشه در گذشته وجود داشته است، زیرا مردم معمولاً می خواهند پیام های صوتی دریافتی را بشنوند.” البته اثربخشی این روش به این بستگی دارد که چه کسی و در چه زمینه هایی پیام صوتی را دریافت می کند. مهندس معمولاً به یک پیام صوتی پاسخ نمی‌دهد، اما کارکنان فروش ممکن است بر این باور باشند که این پیام توسط یک مشتری بالقوه سفارش داده شده یا ارسال شده است، بنابراین احتمال بیشتری دارد که پیام را باز کنند.

گیرندگان چنین پیام هایی باید از خود بپرسند که آیا شرکت آنها از سیستمی استفاده می کند که پیام های صوتی را از طریق ایمیل ارسال می کند؟ با این حال، داشتن یکی از آنها هنوز از توان یک فرد عادی خارج است.

5. “مشکلی در تحویل بسته شما وجود داشت”

به گفته Chester Wisniewski، محقق ارشد Sophos، “اعلان‌های بسته جعلی بیش از 15 سال است که وجود داشته و پیچیده‌تر و جامع‌تر می‌شوند.” این انواع مختلف تلاش‌های فیشینگ به این دلیل طراحی شده‌اند که به بهانه انجام یک کار خاص، هزینه‌ای ناچیز در اختیار شما قرار می‌دهند. به طور کلی، حملات سایبری در تمام حملات فیشینگ سعی می‌کنند کاربر را تشویق کنند تا برای ردیابی و سرقت اطلاعات کاربری، وارد حساب کاربری خود شود. وی گفت: این پیام ها معمولا با توجه به موقعیت جغرافیایی کاربر شخصی سازی می شوند و نام شرکت های پستی مختلف را جعل می کنند.

4 ترفند جدید برای مهندسی اجتماعی

کلاهبرداری های جدید همیشه در کمین هستند و از مصرف کنندگان سوء استفاده می کنند. در اینجا چند تکنیک جدید رایج و بسیار خطرناک آورده شده است.

رویکردهای جدید در مهندسی اجتماعی

1 درخواست امضای دیجیتال اسناد قانونی

یکی از تکنیک های جدید مهندسی اجتماعی که به طور گسترده توسط هکرها مورد استفاده قرار می گیرد، به ویژه با گسترش بیماری عروق کرونر قلب، بدافزاری است که برای نیاز به امضای اسناد قانونی از طریق شرکت آمریکایی DocuSign (که امکان امضای خودکار و آنلاین را در اختیار کاربران قرار می دهد) طراحی شده است. بود. ویشنفسکی گفت: «امروزه فرم‌های قانونی معمولاً به صورت دیجیتال امضا می‌شوند. مجرمان سایبری در پیام‌های جعلی خود از کاربران می‌خواهند که یک پلاگین ویژه بررسی اسناد را نصب کنند که در اصل بدافزار رایانه‌ای است.

2. حساب های قدیمی را گزارش دهید

در این کلاهبرداری، یک کارمند که معمولاً در بخش حسابداری است ایمیلی دریافت می کند که به نظر می رسد توسط مدیر عامل ارسال شده است. در این اطلاعیه آمده است که مدیر می خواهد معوقات دریافتی را بررسی کند و از کارمند می خواهد که آخرین گزارش معوقه شامل فهرستی از کلیه مشتریانی که تسهیلات دریافت کرده اند و مدت زمان سررسید بدهی را برای او ارسال کند. ویلسون گفت: مهاجمان سپس دامنه مشابهی را ثبت کردند و با همه افراد موجود در لیست تماس گرفتند.

وی گفت: مهاجمان می دانند که هر فرد چه پولی بدهکار است و چه زمانی، شرایط پرداخت چیست و در نهایت به آنها گفته می شود اقساط را به شماره حسابی که متعلق به خود مهاجمان است پرداخت کنند. که متاسفانه با توجه به صحت تمامی اطلاعات، مشتری این درخواست را می پذیرد. “این کلاهبرداری بسیار خطرناک است زیرا نه تنها به شرکت شما بلکه به همه مشتریان شما آسیب جدی وارد می کند.”

3. «حساب بانکی شما مشکل دارد. برای حل مشکل بر روی این لینک کلیک کنید».

مجرمان سایبری از ایمیل های فیشینگ برای متقاعد کردن کاربر مبنی بر وجود مشکل در حساب بانکی، حساب ایمیل یا سایر حساب های ارزشمند استفاده می کنند. این ایمیل حاوی پیوندی است که به نظر می‌رسد کاربر را در حل مشکل راهنمایی می‌کند. با کلیک بر روی این لینک، صفحه ورود به این حساب باز می شود. قربانی نام کاربری، رمز عبور و کد پیامک را برای احراز هویت این صفحه وارد می کند. در این زمان کاربر هیچ مشکلی در اکانت خود نمی بیند و معتقد است که این پیام به اشتباه برای او ارسال شده است و صفحه مرورگر یا برگه ای را که باز کرده است می بندد.

اریش کرون، یکی از حامیان آگاهی امنیتی در KnowBe4، گفت: «این یک روش جدید برای دور زدن کنترل‌های امنیتی (مانند احراز هویت چند مرحله‌ای) است. سازمان ها معمولاً توانایی شناسایی سرورهای پروکسی معکوس را دارند[۱] این در حملات فیشینگ استفاده می شود که کار را برای مهاجمان سایبری سخت تر می کند، اما به گفته کرون، “مجرمان سایبری با ترفندهای جدید بازمی گردند.”

4. فیشینگ تلفنی

اخیرا شاهد کلاهبرداری تلفنی بوده ایم. نرم افزار مخربی به نام BazarLoader برندهای معروفی مانند آمازون را جعل می کند تا مشتریان را متقاعد کند که برای عضویت در این پلتفرم ها باید هزاران دلار بپردازند و اگر می خواهند اشتراک خود را لغو کنند باید با شماره تلفن تماس گرفته و با نماینده این شرکت صحبت کنند. مجرمان تعدادی مرکز تماس واقعی راه‌اندازی می‌کنند و زمانی که کاربر تماس می‌گیرد، به آنها دستور می‌دهند تا بدافزار را دانلود و نصب کنند. طرح‌های دیگر از ترفندهای مشابه برای لغو اشتراک از نشریات الکترونیکی یا خدمات ویدیویی استفاده می‌کنند.

فیشینگ تلفنی

نتیجه

ویشنفسکی گفت: «حملات به مهندسی اجتماعی هرگز از بین نمی‌روند. ما باید سعی کنیم هوشیار باشیم و پس از شناسایی تکنیک های جدید کلاهبرداری به مردم هشدارهای لازم را بدهیم. تیم‌های امنیت سایبری باید گزارش این کلاهبرداری‌ها را برای کارمندان آسان‌تر کنند. کارمندان باید بدانند که گزارش یک حمله نه تنها باعث ناراحتی کارکنان نمی شود، بلکه از بسیاری از پیامدهای منفی نیز جلوگیری می کند.

[۱] در Reverse Proxy درخواست کاربر (کلاینت) به چندین سرور ارسال می شود.

برای مطالعه سایر مقالات امنیت سایبری اینجا را کلیک کنید.

منبع: csoonline