در آگاهی‌رسان «مهندسی اجتماعی (۱)» به معرفی موضوع مهندسی اجتماعی و ذکر مهم‌ترین انواع حملات آن پرداخته شد. در این نسخه از این مجموعه آگاهی‌رسانی به ذکر اصلی‌ترین روش‌ها و راه‌کارها برای مقابله با حملات مهندسی اجتماعی خواهیم پرداخت.

پیش از بیان روش‌های دفاعی در برابر حملات مهندسی اجتماعی، لازم است تا کلیاتی را در مورد این دسته از حملات یادآور شویم. ویژگی بارز حملات مهندسی اجتماعی، هدف آن‌ها یعنی افراد (مردم عادی، نیروهای انسانی یک سازمان و غیره) است؛ لذا قابل پیش‌بینی است که راه‌کارهای مناسب دفاع در برابر این حملات، باید توصیه‌ها و دستورالعمل‌هایی باشند که توسط افراد (و نه سیستم‌های امنیتی و نرم‌افزارها و سخت‌افزارها) اجرا می‌شود.

در بسیاری از حملات مهندسی اجتماعی (نظیر حملات صیادی و دستاویزسازی)، مهاجم مستقیم به سراغ قربانی رفته و به صورت شفاهی یا کتبی با وی گفتگو می‌کند تا او را فریب داده و اطلاعات لازم را از وی دریافت نماید. لذا اکثر راهکارهای دفاعی در برابر حملات مهندسی اجتماعی بر همین موضوع تاکید داشته و به افراد گوشزد می‌نمایند تا در هنگام ارتباط با دیگران به چه موضوعاتی توجه داشته باشند تا خطر مواجهه با حملات مهندسی اجتماعی کاهش یابد. در ادامه به ذکر اصلی‌ترین روش‌های دفاعی خواهیم پرداخت:

1- آموزش مهم‌ترین اصل است

اولین و مهم‌ترین اصل در مقابله با مهندسی اجتماعی، آگاهی تک‌تک افراد و فرهنگ‌سازی مناسب است. افراد آگاه به سادگی می‌توانند حملات مهندسی اجتماعی را خنثی کنند. فرهنگ‌سازی در برابر حملات مهندسی اجتماعی می‌تواند در سطوح مختلفی انجام شود؛ از سطوح بسیار ساده و ابتدایی نظیر آموزش‌های والدین به فرزندان، تا سطوح بسیار پیشرفته در سازمان‌های اطلاعاتی و امنیتی. مسئله اصلی، افزایش سطح آگاهی افراد و آمادگی ذهنی آن‌ها در این موارد است:

1. آگاهی از وجود خطر: افراد باید این نکته را در ذهن داشته باشند که در هر ارتباط با افراد بیرونی ممکن است در معرض حملات مهندسی اجتماعی باشند. توجه به همین نکته ساده باعث افزایش هوشیاری افراد شده و سبب می‌شود تا اطلاعات شخصی و داخلی که دیگران نیازی به آگاهی از آن‌ها ندارند را به سادگی فاش نسازند.

1. شناخت اطلاعات حساس: فرهنگ‌سازی و آگاهی‌رسانی به افراد باید به گونه‌ای باشد تا طبقه‌بندی اطلاعات را به آن‌ها بیاموزد. در این صورت، افراد می‌توانند میان اطلاعات حساسی که باید در داخل مجموعه (خانواده، گروه، سازمان و غیره) باقی بماند و اطلاعات معمولی که می‌توان آن‌ها را فاش کرد تمایز قائل شوند. این آموزش‌ها باید توسط افراد خبره و یا بر اساس دستورالعمل‌های علمی انجام شود؛ چرا که اصلی‌ترین جنبه این آموزش، شناخت صحیح اطلاعات حساس است که نیازمند بررسی‌های علمی و داشتن تجربه است.
2. حصول اطمینان از صداقت افراد: آخرین نکته‌ای که در مبحث آموزش باید مورد توجه قرار گیرد، آموزش این نکته به افراد است که نباید به سادگی به حرف دیگران اعتماد کرد و باید بدون تعارف و اضطراب، ابتدا از صداقت طرف مقابل (چه در قالب مکالمه شفاهی و چه به صورت رایانامه، پیامک و پیام‌های چندرسانه‌ای) اطمینان حاصل کرد. همین فعالیت ساده، می‌تواند بسیاری از حملات مهندسی اجتماعی را خنثی‌سازی کند. برای مثال، تحقیقات نشان می‌دهد که متداول‌ترین روش‌ها برای حمله مهندسی اجتماعی به کارمندان یک سازمان، تماس با آن‌ها و معرفی خود به عنوان «کارمند جدید» یا «مسئول جمع‌آوری آمار» از سوی خود سازمان است. اگر هر کارمند در صورت مواجهه با چنین افرادی و پیش از دادن اطلاعات، با یک تماس ساده با مدیر ارشد خود، صداقت حرف فرد مقابل را بررسی کند، اکثر حملات مهندسی اجتماعی به شکست خواهد انجامید.

2- آگاه باشید که چه اطلاعاتی را منتشر می‌کنید

موضوع آموزش و فرهنگ‌سازی در زمان مواجهه با حملات مهندسی اجتماعی، موضوع مهمی است که در بخش قبل بیان شد؛ اما موضوع دیگر، آگاهی افراد در زمان‌های دیگر، به خصوص در زمان انجام فعالیت‌های روزمره و شخصی است. مهاجمانی که با اهداف جدی اقدام به حمله مهندسی اجتماعی می‌کنند، معمولا از قبل افرادی را هدف‌گیری کرده و اقدام به جمع‌آوری اطلاعات در مورد آن‌ها می‌نمایند. در چنین موقعیت‌هایی است که حتی رفتارهای روزمره افراد می‌تواند به عنوان ابزاری برای جلب اعتماد و یا تعیین فرصت مناسب حمله توسط مهاجمین مورد استفاده قرار گیرد. لذا باید آگاهی داشته باشیم که در صحبت‌های روزمره خود با دیگران و یا در شبکه‌های اجتماعی، چه اطلاعاتی را از خودمان (نه از گروه، سازمان یا غیره) منتشر می‌کنیم و به بیانی دیگر، چه اندازه به افراد ناآشنا اجازه می‌دهیم تا ما را بشناسند!

3- اطلاعات و داشته‌های خود را بشناسید

شناسایی داشته‌ها و اطلاعات حساس، معمولا به عنوان یکی از فعالیت‌های پایه امنیتی در هر سازمانی انجام می‌شود؛ خواه در سطح کوچک (مثل اطلاعات حساب مالی یک خانواده) و خواه در سطوح پیشرفته (مثل اطلاعات محرمانه و سری یک سازمان اطلاعاتی و نظامی). اما باید توجه داشت که تنها اطلاعات حساس نیست که نیاز به مراقبت و پنهان‌بودن از دیدهای بیرونی دارند؛ چرا که گاهی اوقات با وجود آنکه از اطلاعات اصلی و حساس مراقبت می‌شود، اطلاعات دیگری که به صورت مستقیم حائز اهمیت نبوده و به چشم نمی‌آیند، مورد استفاده مهاجمین مهندسی اجتماعی قرار می‌گیرند. برای مثال، در یک سازمان ممکن است به شدت از اطلاعات مالی حفاظت شود تا به هیچ طریقی به دست افراد غیرمسئول نرسد و همچنین به تمام مسئولین گوشزد شده تا در مورد اطلاعات مالی به هیچ‌کس حرفی نزنند. در چنین شرایطی، حملات مهندسی اجتماعی که مستقیما به دنبال کسب اطلاعات مالی شرکت از افراد باشند شکست خواهند خورد؛ اما هنوز راه نفوذ و دسترسی به این اطلاعات باز است! یک تیم مهاجم، می‌تواند با ترکیبی از مهندسی اجتماعی و حملات امنیتی فنی (هک و نفوذ) این کار را انجام دهد. به این صورت که اطلاعات غیرمستقیم نظیر نام و نسخه نرم‌افزارهایی که در سازمان از آن‌ها استفاده می‌شود را از طریق مهندسی اجتماعی استخراج کرده و حال، با دانستن این اطلاعات به سراغ هک و نفوذ می‌روند. بنابراین باید بر اساس مطالعات علمی و تجربه، بدانیم که علاوه بر اطلاعات محرمانه و حساس، چه اطلاعات دیگری ممکن است مورد استفاده مهاجمین قرار گیرد. این کار نیازمند مشورت با متخصصین حوزه‌های امنیتی است و بدون تجربیات و دانش فنی امنیت رایانه‌ای، نمی‌توان شناخت درستی از اطلاعات قابل استفاده توسط مهاجمین داشت. در نهایت این اطلاعات را نیز در زمره اطلاعات داخلی طبقه‌بندی کرده و به افراد آموزش دهیم تا علاوه بر خویشتن‌داری در برابر افشای اطلاعات حساس، از افشای این اقلام اطلاعاتی نیز خودداری نمایند.

4- سیاست‌های امنیتی تدوین کنید

در نهایت، باید توجه داشت که این تلاش‌ها به صورت مدیریت‌شده و سیستماتیک صورت گرفته و در نهایت، سیاست‌های مدونی برای رفتار امن افراد تهیه شده و آگاهی‌رسانی به آن‌ها نیز بر اساس همین سیاست‌های صورت گیرد. تنها در این صورت است که می‌توان اطمینان داشت تلاش‌ها ثمربخش هستند. نکته‌ای که در این خصوص حائز اهمیت است، پای‌بندی افراد به پیروی از سیاست‌ها و دستورالعمل‌ها است. حتی اگر امنیت رایانه‌ای را در دیگر بخش‌ها بتوان با سامانه‌های کنترل دسترسی، دیوار آتش و از این دست ابزارها فراهم کرد، در حوزه مهندسی اجتماعی بدون پای‌بندی افراد و التزام آن‌ها به سیاست‌های امنیتی به هیچ عنوان امکان‌پذیر نیست.