مهندسی اجتماعی حتی در دنیای امنیت سایبری به سختی یک مفهوم جدید است. کلاهبرداری های فیشینگ به تنهایی نزدیک به 30 سال است که وجود دارد و مهاجمان به طور مداوم راه های جدیدی برای ترغیب قربانیان به کلیک کردن بر روی پیوند، دانلود یک فایل یا ارائه اطلاعات حساس پیدا می کنند.
حملات به خطر افتادن ایمیل تجاری (BEC) با دسترسی مهاجم به یک حساب ایمیل قانونی و جعل هویت مالک آن، بر این مفهوم تکرار می شود. مهاجمان استدلال میکنند که قربانیان ایمیلی را که از یک منبع قابل اعتماد ارسال میشود، زیر سوال نمیبرند – و اغلب، حق با آنهاست.
اما ایمیل تنها وسیله موثری نیست که مجرمان سایبری برای درگیر شدن در حملات مهندسی اجتماعی استفاده می کنند. کسبوکارهای مدرن به طیف وسیعی از برنامههای دیجیتال، از خدمات ابری و VPN گرفته تا ابزارهای ارتباطی و خدمات مالی، متکی هستند. علاوه بر این، این برنامهها به هم مرتبط هستند، بنابراین مهاجمی که میتواند یکی را به خطر بیاندازد، میتواند دیگران را نیز به خطر بیاندازد. سازمانها نمیتوانند به طور انحصاری روی حملات فیشینگ و BEC تمرکز کنند - نه زمانی که خطر برنامههای تجاری (BAC) در حال افزایش است.
هدف قرار دادن ورود به سیستم
کسب و کارها از برنامه های دیجیتال استفاده می کنند زیرا مفید و راحت هستند. در عصر کار از راه دور، کارکنان نیاز به دسترسی به ابزارها و منابع حیاتی از طیف وسیعی از مکانها و دستگاهها دارند. برنامه ها می توانند گردش کار را ساده کنند، دسترسی به اطلاعات حیاتی را افزایش دهند و کار را برای کارمندان آسان تر کنند. یک بخش فردی در یک سازمان ممکن است از ده ها برنامه کاربردی استفاده کند، در حالی کهشرکت به طور متوسط بیش از 200 استفاده می کند. متأسفانه، دپارتمانهای امنیت و فناوری اطلاعات همیشه از این برنامهها اطلاع ندارند - چه رسد به اینکه آنها را تأیید کنند، و همین امر نظارت را به یک مشکل تبدیل میکند.
احراز هویت یک مسئله دیگر است. ایجاد (و به خاطر سپردن) ترکیب نام کاربری و رمز عبور منحصر به فرد می تواند برای هرکسی که از ده ها برنامه مختلف برای انجام کار خود استفاده می کند یک چالش باشد. استفاده از مدیر رمز عبور یک راه حل است، اما اجرای آن برای IT ممکن است دشوار باشد. در عوض، بسیاری از شرکت ها فرآیندهای احراز هویت خود را ساده می کنند از طریق راه حل های ثبت نام واحد (SSO).، که به کارمندان اجازه می دهد یک بار برای دسترسی به همه برنامه ها و خدمات متصل به یک حساب تایید شده وارد شوند. اما از آنجایی که سرویسهای SSO به کاربران امکان دسترسی آسان به دهها (یا حتی صدها) برنامه تجاری را میدهند، اهداف با ارزشی برای مهاجمان هستند. البته ارائهدهندگان SSO ویژگیها و قابلیتهای امنیتی مخصوص به خود را دارند - اما خطای انسانی همچنان یک مشکل دشوار برای حل است.
مهندسی اجتماعی، تکامل یافته
بسیاری از برنامه ها - و مطمئناً اکثر راه حل های SSO - دارای احراز هویت چند عاملی (MFA) هستند. این کار را برای مهاجمان دشوارتر می کند تا یک حساب کاربری را به خطر بیاندازند، اما مطمئناً غیرممکن نیست. MFA میتواند برای کاربران آزاردهنده باشد، زیرا ممکن است مجبور شوند از آن برای ورود به حسابها چندین بار در روز استفاده کنند - که منجر به بیصبری و گاهی اوقات بیاحتیاطی میشود.
برخی از راه حل های MFA از کاربر می خواهند که یک کد وارد کند یا اثر انگشت خود را نشان دهد. دیگران به سادگی می پرسند: "این تو هستی؟" دومی، در حالی که برای کاربر آسان تر است، به مهاجمان فضایی برای عملیات می دهد. مهاجمی که قبلاً مجموعهای از اعتبارنامههای کاربری را دریافت کرده است، ممکن است سعی کند چندین بار وارد سیستم شود، علیرغم اینکه میداند این حساب دارای محافظت MFA است. با ارسال هرزنامه به تلفن کاربر با درخواست های احراز هویت MFA، مهاجمان خستگی هوشیار قربانی را افزایش می دهند. بسیاری از قربانیان، پس از دریافت سیل درخواستها، تصور میکنند که IT تلاش میکند به حساب کاربری دسترسی پیدا کند یا روی «تأیید» کلیک میکنند تا سیل اعلانها را متوقف کند. مردم به راحتی اذیت می شوند و مهاجمان از این موضوع به نفع خود استفاده می کنند.
از بسیاری جهات، این امر انجام BAC را آسانتر از BEC می کند. دشمنانی که در BAC شرکت می کنند فقط باید قربانیان خود را برای گرفتن یک تصمیم بد آزار دهند. و با هدف قرار دادن ارائه دهندگان هویت و SSO، مهاجمان می توانند به ده ها برنامه مختلف از جمله خدمات منابع انسانی و حقوق و دستمزد دسترسی پیدا کنند. برنامههای کاربردی رایج مانند Workday اغلب با استفاده از SSO قابل دسترسی هستند و به مهاجمان اجازه میدهند در فعالیتهایی مانند واریز مستقیم و کلاهبرداری حقوق و دستمزد شرکت کنند که میتواند وجوه را مستقیماً به حسابهای خود منتقل کند.
این نوع فعالیت به راحتی می تواند مورد توجه قرار نگیرد – به همین دلیل است که داشتن ابزارهای تشخیص درون شبکه که می تواند رفتار مشکوک را حتی از یک حساب کاربری مجاز شناسایی کند، مهم است. علاوه بر این، مشاغل باید استفاده از آن را در اولویت قرار دهند کلیدهای امنیتی Fast Identity Online (FIDO) مقاوم در برابر فیش
هنگام استفاده از MFA اگر فاکتورهای فقط FIDO برای MFA غیرواقعی هستند، بهترین کار بعدی غیرفعال کردن ایمیل، پیامک، صدا و رمزهای عبور یکبار مصرف (TOTP) به نفع اعلانهای فشاری است، سپس سیاستهای MFA یا ارائهدهنده هویت را برای محدود کردن دسترسی پیکربندی کنید. به دستگاه های مدیریت شده به عنوان یک لایه امنیتی اضافی.
اولویت بندی پیشگیری از BAC
اخیر تحقیق نشان می دهد
که تاکتیک های BEC یا BAC در 51٪ از تمام حوادث استفاده می شود. اگرچه BAC موفق کمتر از BEC شناخته شده است، به مهاجمان اجازه دسترسی به طیف گسترده ای از برنامه های تجاری و شخصی مرتبط با حساب را می دهد. مهندسی اجتماعی همچنان ابزاری با بازده بالا برای مهاجمان امروزی است - ابزاری که در کنار فناوریهای امنیتی طراحی شده برای متوقف کردن آن تکامل یافته است.
کسب و کارهای مدرن باید به کارکنان خود آموزش دهند و به آنها یاد دهند که چگونه نشانه های یک کلاهبرداری بالقوه را تشخیص دهند و کجا آن را گزارش کنند. با توجه به اینکه کسبوکارها هر ساله از برنامههای کاربردی بیشتری استفاده میکنند، کارمندان باید دست در دست تیمهای امنیتی خود کار کنند تا به سیستمها کمک کنند در برابر مهاجمان فزاینده فریبنده محافظت شوند.