۰ نفر
۲۱ اردیبهشت ۱۳۸۸ - ۰۵:۵۶

درست است که بسیاری از هکرها و جاسوسان با بهره گیری از مهندسی اجتماعی به سرقت اطلاعات دست می‌زنند، اما کم‌دقتی و اهمال کارکنان نیز در سرقت اطلاعات بی‌تاثیر نیست.

اگر در یک اداره یا دفتر کار شلوغ کار می‌کنید، احتمالا تا به حال برایتان پیش آمده که با چهره‌ای ناآشنا مواجه شوید که در حال پرسه زدن است. ولی آیا تا به حال به این فکر کرده‌اید که ممکن است او برای ملاقات یکی از همکارانتان نیامده باشد؟ به عبارت دیگر، احتمالا شما با یک دزد اطلاعات روبرو بوده‌اید!

به گزارش بی‌بی‌سی، در یک مورد، مدیرعامل یک موسسه مالی هنگامی‌که در اتاق خود را گشود، با کسی مواجه شد که ظرف مدت تنها 20 دقیقه از ورود به ساختمان توانسته بود به اطلاعات محرمانه‌ای در مورد یک ادغام نیم میلیارد پوندی دست پیدا کند.

البته، خوشبختانه در این مورد بخصوص، فرد غریبه یک دزد نبود؛ بلکه او کالین گرینلیس، از مشاوران شرکت سرمایه‌گذاری ارتباطات زیمنس بود. او بنا به درخواست مدیر بخش آی‌تی آن شرکت و برای آزمایش میزان آمادگی شرکت در مقابله با حملات ناشی از مهندسی اجتماعی به آنجا رفته بود.

در یک مورد مشابه که با خواست و همکاری مدیران بی‌بی‌سی انجام شده بود، آقای گرینلیس 5 نفر از کارمندان بی‌بی‌سی را هدف گرفت. این بار او وانمود کرد که یک مهندس آی‌تی است و توانست با تنها یک تماس تلفنی به نام کاربری و رمز ورود هر پنج نفر آنها دست پیدا کند.

کلاهبرداری با جلب اعتماد
به گفته آقای گرینلیس، هکرها و جاسوسان صنعتی از تمام ابزارهای ممکن برای دست‌یابی به اطلاعات مورد علاقه خود استفاده می‌کنند. آنها بدون نیاز به هیچ سیستم کامپیوتری پیچیده‌ای و تنها با استفاده از یکی از قدیمی‌ترین و موثرترین روش‌های ممکن می‌توانند هر چه را می‌خواهند به دست بیاورند.

او در گفتگو با بی‌بی‌سی گفت: «مسئله فقط اعتماد است. من در حالی‌که وانمود می‌کردم در حال مکالمه با گوشی همراهم هستم، وارد ساختمان یکی از شرکت‌های عضو بورس لندن شدم و آسانسور آنجا که تنها با کارت شناسایی باز می‌شد نیز توسط کسی که بعدا معلوم شد مدیر داخلی آنجا است، برای من باز نگه داشته شد! من حتی برای 5 روز کاری در یک اتاق جلسات در طبقه سوم آنجا ماندم».

از آنجا او توانست به اطلاعات بسیار محرمانه، اطلاعات معامله‌ها، ادغام‌ها و پیشنهادهای خرید شرکت‌ها، و هم‌چنین شماره تلفن‌های همراه تمام مدیران ارشد آنجا دست پیدا کند.

چند روز بعد او یکی دیگر از مشاوران زیمنس را با خود به آنجا برد تا همراه او و در اتاق کار ساختگی او کار کند. او که چندین اسم کاربری و رمز عبور را در اختیار داشت می‌توانست از آنجا و با لپ‌تاپ خودش به شبکه داخلی آن شرکت دسترسی داشته باشد.

مهندسی اجتماعی به بهترین راه کلاهبرداری در قرن 21 تبدیل شده است.

تمام افراد شاغل در حوزه امنیت آنلاین، هر روز بیشتر به این حقیقت پی می‌برند که هکرها و مجرمان اینترنتی به طرز روزافزونی از روش‌های مهندسی اجتماعی برای اغفال افراد استفاده می‌کنند تا آنها را وادار کنند اطلاعات مورد نیاز را به آنها بدهند و یا اجازه دسترسی به کامپیوتر را به آنها بدهند.

ولی شرکت‌ها برای مقابله با این پدیده که هر روز مشکل آفرین‌تر هم می‌شود، تنها سیستم‌های آی‌تی خود را مسدود می‌کنند و این مسئله را از یاد می‌برند که ممکن است این، خود کارمندان باشند که شرکت را در معرض خطر قرار می‌دهند. به گفته گرینلیس، «نیروی انسانی، ضعیف‌ترین حلقه ارتباط است».

آقای گرینلیس در هر ماه با دو یا سه تقاضا از شرکت‌های بزرگ و کوچک مواجه می‌شود؛ شرکت‌هایی که دریافته‌اند نشت اطلاعات می‌تواند مشکلات بزرگی را برای آنها رقم بزند.

از دست دادن اطلاعات
آقای گرینلیس، در ماموریتی دیگر برای یک نهاد حکومتی، خود را به عنوان یک مهندس آی‌تی معرفی کرد و در حالی که از خانه و با شماره تلفن خودش کار می‌کرد، توانست به اسامی کاربری و رمزهای عبور 85 درصد از 64 نفر کارمندی که هدف قرار داده بود، پی ببرد: «من وانمود کردم که یک مهندس آی‌تی هستم و گفتم که در ای‌میل آنها با یک مشکل مواجه شده‌ام. من خیلی ساده از آنها اسم کاربری ورمز عبورشان را خواستم و بعد، می‌توانستم از راه دور به کامپیوتر آنها دسترسی داشته باشم».

تونی نیت، مدیرعامل GetSafeOnline اعتقاد دارد که شرکت‌ها باید کارمندان خود را بهتر آموزش دهند و رویکرد یکپارچه‌تری را برای امنیت خود اتخاذ کنند. او می‌گوید: «بیشتر شرکت‌ها یک مسئول امنیت آی‌تی دارند و یک مسئول امنیت فیزیکی، ولی مگر این دو نفر چقدر با هم صحبت می‌کنند؟»

در ماه‌های اخیر چند مورد پر سر و صدا از نشت یا از دست دادن اطلاعات روی داده است. بعضی از آنها، نتیجه هک کردن بود؛ ولی برخی دیگر مانند نشت اطلاعات 25 میلیون نفر که از مزایای کمک هزینه دولتی زایمان استفاده می‌کردند، در نتیجه خطای انسانی به وقوع پیوست.

نشت اطلاعات
این که بگوییم چقدر از مشکل نشت اطلاعات ناشی از مهندسی اجتماعی است، خیلی سخت است؛ زیرا در حال حاضر هیچ راهی برای اندازه‌گیری آن وجود ندارد.  آقای نیت، این مشکل را در حال حاضر «مشکل بزرگی» نمی‌داند، ولی اعتقاد دارد که شرکت‌ها «باید بدانند که افراد می‌توانند به راحتی از خیابان وارد اداره شوند و اطلاعات را بدزدند».

آقای گرینلیس نیز پذیرفته که هر کس اندک علاقه‌ای به جاسوسی صنعتی داشته باشد، می‌تواند به یک مهندس اجتماعی دسترسی پیدا کند که توانایی خراب‌کاری داشته باشد. وی می‌گوید: «با تجربیات من، افرادی وجود دارند که این کار را انجام بدهند. افراد خاصی در دنیای جرایم زیر زمینی وجود دارند، آنها افرادی را می‌شناسند که آنها هم با افرادی دیگر در ارتباطند. آنها برای کار خود تبلیغات نمی‌کنند، ولی وجود دارند».

گزارش اخیر شرکت امنیتی PGP تخمین زده است که هر واحد از اطلاعاتی که از یک شرکت نشت کند، در حدود 60 پوند برای سازمانی که این اطلاعات را از دست داده، هزینه در بردارد.

اهمال داخلی
مشخص شده که 70 درصد از نشتی‌های اطلاعات در شرکت‌ها، نه به دلیل هک شدن سیستم که به خاطر اهمال کارمندان است.

استفاده روز افزون از فناوری‌های همراه مانند لپ‌تاپ‌ها، گوشی‌های هوشمند موبایل و کارت‌های حافظه به معنای خروج بیشتر و بیشتر اطلاعات از ساختمان‌ها است که بعضی از آنها هیچ وقت باز نمی‌گردند.

موارد پر سر و صدا و مشهوری از جا ماندن لپ‌تاپ‌ها در قطارها گزارش شده، و پیمایش جدید شرکت امنیتی Credant Technologies مشخص کرده است که در سال گذشته نه‌هزار حافظه یو‌اس‌بی در لباس‌شویی‌های خودکار پیدا شده است که هنگام خشک‌شویی لباس‌ها در جیب آنها جا مانده بود.

این عدد به تنهایی نشان می‌دهد که شرکت‌ها برای حفاظت از اطلاعات خود چه کار سختی در پیش دارند و نیازی به توضیح بیشتر ندارد.

بی‌بی‌سی، 6 می -ترجمه: مجید جویا

کد خبر 8081

برچسب‌ها

نظر شما

شما در حال پاسخ به نظر «» هستید.
1 + 6 =