Telegram Sapp Instagram Aparat tvhoshdar

مهندسی اجتماعی ۳

مهندسی اجتماعی ۳
تاريخ:چهارم شهريور 1391 ساعت 00:00   |   کد : 1077
حملۀ مهندسی اجتماعی از دو جهت مختلف بررسی می‌شود: ۱. جنبۀ فیزیکی آن یا محل حمله مانند: محل کار، از طریق تلفن، زباله گردی در اینترنت و...؛ ۲. جنبۀ روان‌شناسی است که بیانگر روشی است که حمله از طریق آن صورت می‌گیرد. مثل: متقاعد کردن افراد، جعل هویت، انطباق، روابط دوستی و... .

ایران هشدار-در بخش‌های‌ قبلی‌این مقاله، مهندسی اجتماعی این‌گونه تعریف شد که یک مهاجم با سوءاستفاده از گرایش طبیعی انسان‌ها به اطمینان داشتن به اشخاص، با هدف جمع‌آوری اطلاعاتی که او را قادر می‌سازد به اطلاعات خاص و محرمانه‌ای که در سیستم-های یک سازمان موجود است، دست یابد، اقدام می‌کند. برای مرور آنچه گفته شد، می‌توان گفت: هدف اصلی در مهندسی اجتماعی، همانند هک کردن است: دستیابی بدون اجازه به اطلاعات خاص سیستم‌ها با هدف کلاهبرداری، نفوذ شبکه، جاسوسی صنعتی، دزدی هویت یا ایجاد اختلال در سیستم یا شبکه.

استراتژی‌های مقابله با مهندسی اجتماعی

حملۀ مهندسی اجتماعی از دو جهت مختلف بررسی می‌شود: ۱. جنبۀ فیزیکی آن یا محل حمله مانند: محل کار، از طریق تلفن، زباله گردی در اینترنت و...؛ ۲. جنبۀ روان‌شناسی است که بیانگر روشی است که حمله از طریق آن صورت می‌گیرد. مثل: متقاعد کردن افراد، جعل هویت، انطباق، روابط دوستی و... .

بنابراین، سیاست‌های مقابله با آن نیازمند فعالیت در هر دو سطح فیزیکی و روان‌شناسی است. در این راستا آموزش کارمندان بسیار ضروری است. اشتباهی که برخی سازمان‌ها مرتکب می‌شوند، تنها مقابله با جنبۀ فیزیکی حمله‌ها است که آن‌ها را از پرداختن به جنبۀ روان‌شناسی حمله‌ها منحرف می‌سازد؛ پس برای شروع، مدیریت باید لزوم گسترش و اجرای همه جانبۀ سیاست‌ها و برنامه‌های امنیتی را بداند که تمام هزینه‌ای که صرف خرید نرم‌افزارهای مختلف یا سخت‌افزارهای امنیتی و حسابرسی می‌کند، بدون پیشگیری کافی از حمله‌های مهندسی اجتماعی و مهندسی اجتماعی معکوس بی‌فایده است و درواقع هزینۀ شما به‌ هدر می‌رود. اگر اعمال کارمندان تحت سیاست‌های خاصی باشد، که آن‌ها را از پاسخ به مهندسین اجتماعی بازدارد، کارمند هیچ انتخاب دیگری به‌جز رد کردن درخواست مهاجم نخواهد داشت. یک سیاست و خط مشی قوی می‌تواند به‌صورت عمومی و یا خاص باشد؛ اما روند متعادل و میانه مناسب است. این رویه خط مشی ‌های کلی را با انعطاف پذیری خاصی که در آینده گسترش می‌یابد، ارائه می‌دهد و در ضمن از دادن اختیارات بی‌حد و مرز به کارمندان از جهت اعمال روزانه جلوگیری می‌کند. این خط مشی‌ها امنیتی باید شامل کنترل دسترسی به اطلاعات، راه اندازی و تنظیم کاربری، تأئید دسترسی‌ها وتغییر رمز عبور باشد. مودم‌ها هرگز نباید مجاز به استفاده از اینترانت شرکت باشند. رمزگذاری ID‌ها و فایل‌های کوچک باید جزء سیاست‌ها قرار گیرد. تخلفات باید گزارش شود و با آن برخورد شود.

پیشگیری از حملۀ فیزیکی:

در بیان تئوری، برقراری امنیت فیزیکی بسیار ساده و مثل روز روشن به نظر می‌رسد؛ اما برای حفظ اطلاعات امنیتی و تجاری وجلوگیری از دسترسی مهاجمان، باید دقت و توجه لازم را داشت.

بدون استثناء همۀ افرادی که وارد ساختمان می‌شوند، باید ID مخصوصی که تأئید شده است، داشته باشند. اسناد و مدارک مهم باید داخل فایل‌هایی که قفل است، یا هر مکان امن دیگری نگهداری ‌شوند. فایل‌ها و مدارکی که دیگر نیازی به آن‌ها نیست، اِم‌ها شوند (ترجیحاً داخل کاغذ خرد کن ریخته شوند) تا قابل بازگردانی و زباله‌گردی نباشند. همچنین همۀ رسانه‌های مغناطیسی باید به‌طور کامل حذف شوند، به‌طوری که قابل بازیابی نباشند. زمانی که یک حافظۀ جانبی یا هارد دیسک را فرمت می‌کنید، زباله‌ها را رمزگذاری کنید و در جای امن قرار دهید.

در داخل ساختمان، تمامی سیستم‌ها در شبکه (شامل سیستم‌های ریموت) باید به‌طور کامل با یک رمز عبور اجرایی قوی، محافظت شوند. حتی پسورد برای Screen Saver نیز نیاز است و همچنین دیگر برنامه‌های به روز، می‌تواند برای رمز گذاشتن روی فایل‌ها و هارد سیستم جهت امنیت بیشتر استفاده شود.

تلفن و تبادل انشعاب خصوصی

یکی از دسیسه‌های رایج، استفاده غیرقانونی از خط‌های تماس تبادل انشعابات خصوصی (PBX) یا‌‌‌ همان شبکه خصوصی سازمان‌ها است.

مهاجمان می‌توانند با یک تماس، جعل هویت را انجام دهند به صورتی که از اپراتور شرکت درخواست می‌کنند، آن‌ها را به یک خط بیرونی متصل کنند و سپس با  نقاط مختلف دنیا تماس می‌گیرند و هزینۀ آن را به عهده شرکت می‌گذارند. شرکت‌ها می‌توانند، از این کار با رعایت سیاست‌ها در جهت رد تماس انتقال، کنترل تماس خارجی و از راه دور و یا ردیابی تماس‌های مشکوک، جلوگیری کنیم و بدانیم که اگر شخصی تماس گرفت و بیان کرد آن‌ها تکنسین تلفن هستند و نیاز به رمز عبور شما دارند تا دسترسی به سیستم پیداکنند، شک نکنید، آن‌ها قصد فریب شما را دارند و دروغ می‌گویند و تکنسین‌های تلفن می‌توانند به رمزهای عبور دسترسی داشته باشند، بدون این‌که از کاربران رمز عبورشان را بپرسند؛ بنابراین درخواست رمز عبور یا هر چیز دیگر مشکوک به نظر می‌رسد. همۀ کارمندان باید آگاه باشند که ممکن است در معرض این تاکتیک‌های مهندسی اجتماعی قرار گیرند.

ه‌مان طور که در قسمت‌های قبلی این مقاله بیان شد افرادی که در گیشۀ اطلاعات کار می‌کنند، هدف اصلی حمله‌های مهندسی اجتماعی هستند؛ زیرا در درجۀ اول باید گفت شغل آن‌ها ایجاب می‌کند تا اطلاعاتی به کاربران بدهند که مورد نیاز آن هاست. بهترین راه برای جلوگیری از قرار‌گیری افراد گیشه اطلاعات در معرض حمله مهندسی اجتماعی، آموزش آن‌هاست. گیشۀ اطلاعات همیشه باید از دادن رمز عبور مجوز، به افراد امتناع کند. (در حقیقت این باید در سیاست‌های سازمان گنجانده شود که پسورد نباید هرگز از طریق ثبت تلفن یا ایمیل افشاء شود و فقط می‌تواند به افرادی که مورد اطمینان هستند و مجوز دریافت آن را دارند به صورت حضوری داده شود).

تماس مجدد، PIN کد و رمز عبور قوی راه‌های پیشنهادی برای افزایش امنیت است. هنگامی که مسأله‌ای مشکوک به نظر می‌رسد، کارمندان گیشه اطلاعات باید از دادن اطلاعات خودداری کنند؛ یعنی بگویند اطلاعاتی درمورد این موضوع نداریم.

Share

آدرس ايميل شما:  
آدرس ايميل دريافت کنندگان  
 


 

دسترسی ها
  info@iranhoshdar.ir

   کلیه حقوق این سایت متعلق به وبسایت iranhoshdar.ir می باشد و استفاده از مطالب آن با ذکر منبع بلامانع است.