روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ در ژوئن 2019، سام جدلیِ محقق چندین افزونه برای مرورگرهای کروم و فایرفاکس کشف کرد که تاریخچه‌ی وبگردی را جمع‌آوری کرده و آن را به یک سرویس/سازمان طرف‌سوم انتقال می‌دادند. علاوه بر این او همچنین پلت‌فرمی یافت که در آن، چنین اطلاعاتی خرید و فروش می‌شدند. شاید تا اینجای کار فکر کنید جایی برای نگرانی نیست. اما اگر یک نفر پی ببرد که یکی از کارمندان شما به وبسایت کنتراکتور سر زده یا حتی به اکانت سازمانی در یک شبکه‌ی اجتماعی لاگین کرده آنوقت چه؟ همه‌ی مهاجمین آدرس او را می‌گیرند. می‌گویید آن‌ها نمی‌توانند به هیچ اطلاعاتی دسترسی داشته باشند پس اهمیتش در چیست. بسیارخوب، این افزونه‌ها به صورت دوره‌ای داده‌های درون‌سازمانی را نشت می‌دهند؛ در ادامه همراهمان باشید تا از چند و چون این ماجرا برایتان بگوییم.

لینک‌هایی که همه‌چیز را برایتان فاش می‌کنند

احتمال دارد شبکه‌های اجتماعی و وبسایت‌های رسمیِ کنتراکتورها و شرکای شما هیچ اطلاعات محرمانه‌ای را فاش نکنند. باید بیشتر نگران صفحات «بسته» بود؛ که تنها از طریق لینک‌های خاصی می‌توانند برای نشت اطلاعات مورد استفاده قرار گیرند. در واقعیت، تنها چیزی که از این صفحات حفاظت می‌کند، محرمانه بودنشان است: بیگانه‌ها آدرس آن‌ها را نمی‌دانند. در ادامه چندین مثال از این صفحات برایتان آورده‌ایم:

کنفرانس‌های آنلاین

فرض کنید شرکت شما از کنفرانس‌های وبی- جایی که کارمندان دپارتمان‌های مختلف در مورد برنامه‌های فعلی‌شان بحث و گفتگو می‌کنند-نهایت استفاده را می‌کند، از ساماندهی جلسات بارش مغزی گرفته تا صرفاً یک دریافت اطلاعاتی ساده از سوی مدیریت. بسیاری از پلت‌فرم‌ها اساساً برای برگزاری همین نوع کنفرانس‌هاست که وجود دارند. برای شرکت در برخی، باید رمز داشته باشید و اما در مورد شرکت‌های کوچک اغلب می‌توانید از آن‌ها به طور رایگان استفاده کنید. شاید هم مجبور شوید از راه‌حل‌های مقرون به صرفه‌ای استفاده کنید که تنها به لینکی حاوی شناسه‌ی ویژه‌ی جلسه نیاز دارند که متصدی امر برای تمام علاقمندان ارسال می‌کند. فکر کنید! تمام آنچه برای شرکت در چنین رویدادهایی لازم است همین‌هایی است که گفتیم.

حال تصور کنید یکی از کارمندانی که این لینک را دریافت کرده است افزونه‌ای در مرورگرش نصب باشد که قادر باشد اطلاعات را در دسترس اجنبی‌ها قرار دهد. به محض اینکه آن فرد به کنفرانس ملحق می‌شود، این پلاگینِ بی‌رحم، یوآرال خود را به بازار ارسال می‌کند. مهاجمی هم که سعی دارد اطلاعات مربوط به شرکت را جمع‌آوری کند و یا صرفاً به دنبال فرصت است، سابقه‌ی وبگردی‌ِ کارمندان شما را می‌خرد و درست از همین طریق است که می‌تواند ببیند در جریان برگزاری جلسات قابل‌دسترسی قرار گیرد.

هیچ‌چیز نمی‌تواند جلوی خریدار این لینک را برای پیوستن به این نشست بگیرد. البته، شرکت کنندگان دیگر نوتیفیکینی دریافت خواهند کرد مبنی بر اینکه فردی به رویداد ملحق شده است. اما اگر کلی شرکت‌کننده وجود داشته باشد و هیچکس هم همدیگر را نشناسند پس دیگر خیلی کم احتمال دارد کسی به ورود فردی ناشناس شک کند. در نتیجه، هر چیزی که در کنفرانس مطرح شده باشد در اختیار بیگانگان هم قرار خواهد گرفت.

صورت‌حساب‌های آنلاین از سوی تأمین‌کنندگان

تأمین‌کنندگان شرکت شما ممکن است از سرویس‌های صورت‌حساب آنلاین استفاده کنند. برای برخی سرویس‌ها، می‌توان با استفاده از لینکی منحصر به فرد (قابل‌دسترسی برای عموم) به فاکتورهای پرداختی دسترسی پیدا کرد. اگر مهاجم به چنین فاکتوری دسترسی داشته باشد، می‌تواند نام و آدرس شرکت و شرکت تأمین‌کننده، مبلغ پرداختی و سایر اطلاعات را پیدا کنند.

درست است که در برخی موارد، اگر چنین اطلاعاتی به دست افراد نامحرم هم برسد اتفاق خاصی نخواهد افتاد؛ اما برای کسی که کارش پیاده‌سازی مهندسی اجتماعی است، این فاکتورها حکم طلا را دارند.

داکیومنت‌های کاری

بسیاری از شرکت‌ها همچون گوگل درایو برای مقاصد مشارکتی از چنین سرویس‌های آنلاینی استفاده می‌کنند. به طور نظری، آن‌ها به شما اجازه می‌دهند برای اینکه نگذارید بیگانه‌ها فایل‌ها را باز کنند، آن‌ها را محدود کنید. با این حال هر کسی روی فایل‌های اشتراک‌گذاری‌شده چنین محدودیت‌های اعمال نمی‌کند. برخی‌اوقات، هر کسی که به فایل لینک دارد می‌تواند داکیومنت را دیده و حتی آن را ویرایش نماید.

و چنین داکیومنتی ممکن است حاوی هر نوع اطلاعاتی باشد؛ از اطلاعات مربوط به قیمت گرفته تا داده‌های شخصی پرسنل.

راهکارهایی برای جلوگیری

به منظور کم کردن میزان خطر افشای چنین لینکی، به کارمندان خود متذکر شوید که باید پیش از نصب هر افزونه‌ی مرورگر جوانب احتیاط را در نظر گرفته و همچنین اگر سرویس آنلاینی که استفاده می‌کنند چنین اجازه‌ای داد، باید پیش از اشتراک‌گذاری، دسترسی به داکیومنت را محدود کنند. بهترین روش مدیریت این ماجرا، تأیید فهرستی است از افزونه‌های مرورگرِ قابل‌اطمینان و ممنوع کردن هر چیز دیگری که می‌تواند نشانی از خطر داشته باشد.

علاوه بر این، روی سرویس‌های آنلاینی که شرکت استفاده می‌کند تحلیل انجام داد و آن‌هایی را که بدون نیاز به احراز هویت، دسترسی را مجاز می‌کنند شناسایی کنید. اگر سرویسی به فرد دسترسی دارد (بواسطه‌ی لینک) دنبال جایگزین مطمئن‌تری باشید.

در آخر، حتماً راه‌حل امنیتی قابل‌اطمینانی روی کامپیوترهای شرکت نصب کنید تا هر تلاشی برای نصب افزونه‌ی مخرب و نیز تهدیدهای سایبری بی‌ثمر بماند.