روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ برخی از حرفهها –صرفنظر از نوع کسب و کار- صرفاً بیش از بقیه در معرض حملات سایبری قرار میگیرند. در این مطلب تمرکز خود را روی تهدیدهای سایبریای گذاشتهایم که هدفشان متخصصین فعال در حوزه منابع انسانی[1] است. یکی از سادهترین دلیلها این است که آدرس ایمیلهای کارمندان بخش منابع انسانی روی سایتهای سازمانی برای مقاصد استخدامی نشر میشود (و این یعنی خیلی راحت میشود آدرس ایمیل آنها را پیدا کرد). با ما همراه بمانید.
تهدیدهای سایبری در صدد حمله به منابع انسانی
در حوزه منابع انسانی، کارمندان سمتهای نسبتاً عجیب و نامعمولی دارند: آنها از خارج از شرکت کلی ایمیل و مکاتبه دریافت میکنند و جدا از این خود نیز علاقه دارند به دادههای شخصی که شرکت توانایی نشتشان را ندارد دسترسی داشته باشند.
ایمیل دریافتی
معمولاً مجرمان سایبری با ارسال ایمیلی حاوی پیوست یا لینک آلوده به کارمند، به محیط امنیتی سازمان نفوذ میکنند. از این روست که همیشه به مخاطبین خود توصیه میکنیم ایمیلهای ضمیمهدارِ مشکوک را باز نکنند یا روی لینکهای ارسالشده توسط افراد ناشناس کلیک نکنند.
شاید این توصیه برای یک متخصص منابع سازمانی مسخره به نظر برسد. اکثریت ایمیلهای خارجی که آنها دریافت میکنند اغلب از سوی غریبههاست و بیشتر حاوی پیوست رزومه (و برخیاوقات لینکی به نمونهکار). همانطور که ممکن است حدس زده باشید باور ما بر این است که دستکم نیمی از این ایمیلها مشکوک به نظر میرسند. علاوه بر این، پورتفولیوها یا نمونههای کار قبلی برخیاوقات در قالبهای نامعمولی ارائه میشوند؛ مانند فایلهای بسیار تخصصی برنامه CAD.
ماهیت این کار ایجاب میکند که کارمندان محتواهای چنین فایلهایی را باز کرده و تحلیل کنند. حتی اگر آن لحظه را که مجرمان سایبری برخیاوقات با تغییر افزونه فایل، ماهیت حقیقی آن را میپوشانند نادیده بگیریم (آیا فایلCAD، عکسهای RAW، یک DOC یا EXE است؟) باز هم نمیشود گفت تمام این برنامهها مدام به روز میشوند: این دست برنامهها همهشان نیز برای شناسایی آسیبپذیریها مورد آزمایش قرار نمیگیرند. متخصصین اغلب به حفرههای امنیتی برمیخورند که حتی در نرمافزارهایی که به طور گسترده و مرتباً تحلیل میشوند (مانند مایکروسافت آفیس) نیز اجازهی اجرای کد دلخواه را میدهند.
دسترسی به دادههای شخصی
شرکتهای بزرگ ممکن است انواع متخصصینی را به خدمت گرفته باشند که وظیفهشان ارتباطگیری با جویندگان کار و کار با کارمندان فعلی است؛ اما در مورد کسب و کارهای کوچک بیشتر چنین است که برای همهی مناسبتها تنها یک نماینده منابع انسانی دارند. همان یک نفر هم دسترسی کامل به دادههای پرسنل شرکت دارد. با این حال، دستکاری میلباکس متخصص منابع انسانی از سوی مجرمان سایبری میتواند شروع یک فاجعه سایبری باشد.
متقاضیانی که رزومههای خود را ارسال میکنند ممکن است صراحتاً یا به صورت ضمنی به شرکت اجازه دهند اطلاعات شخصیشان را پردازش و ذخیره کند اما قطعاً راضی نیستند این اطلاعات به دست بیگانان بیافتد. مجرمان سایبری میتوانند به چنین اطلاعاتی برای بلکمیل رخنه کنند. در خصوص موضوع اخاذی هم باید باجافزارها را مد نظر قرار دهیم. پیش از محروم کردن مالک از دسترسی به دادهها، اغلب دادهها سرقت میشوند. اگر این نوع بدافزار روی کامپیوتر منابه انسانی فرود آید، سارقین میتوانند به دادههای شخصی دسترسی پیدا کنند.
جایگاهی برای حملات قانعکنندهتر BEC
تکیه بر کارمندان زودباور با تحصیلات پایین، خطر دارد. اکنون بازیکن اصلی میدان، حملهی نوع BEС (دستکاری ایمیل سازمانی)؛ حملهای که شاید سختتر باشد اما قطعاً مؤثرتر عمل میکند. حملاتی از این دست اغلب هدفشان کنترل داشتن روی میلباکس کارمند و متقاعد کردن همکاران او برای انتقال وجوه یا فوروارد اطلاعات محرمانه میباشد. مجرمان سایبری برای تضمین موفقیت خود میبایست اکانت ایمیل کسی را سرقت کنند که افراد دیگر از دستورهایش تبعیت میکنند (اغلب منظور مدیر است). قبل از فاز اجرایی این عملیات ابتدا وقت زیادی صرف پیدا کردن کارمندی با سمت بالا میشود. و اینجا میلباکس منابع نسانی شاید بسیار کارا باشد. از طرفی –همانطور که پیشتر بدان اشاره کردیم- کارمند منابع انسانی ایمیلهای فیشینگ یا لینکهای آلوده را به مراتب راحتتر باز میکند.
از طرفی دیگر، کارمندان شرکت دوست دارند به ایمیلهایی که از سوی منابع سازمانی ارسال میشوند اعتماد کنند. منابع انسانی معمولاً رزومههای متقاضیان را به مدیران دپارتمانها میفرستند. البته منابع انسانی همچنین به طور کلی داکیومنتهای داخلی به شرکت ارسال میکند و همین باعث میشود اکانت ایمیل HR سرقتی به پلتفرمی مؤثر برای اجرای حملهی BEС تبدیل شود؛ پلتفرمی برای اقدامات جانبی در کل شرکت.
راهکارهای امنیتی
برای کاهش نفوذ مهاجمین به کامپیوترهای دپارتمان منابع انسانی، اقدامات زیر را توصیه میکنیم:
- در صورت امکان، کامپیوترهای منابع انسانی را روی زیرمجموعه شبکهی مجزایی قرار دهید؛ این کار باعث کاهش احتمال شیوع تهدید به کل شبکه سازمانی میشود (حتی اگر یکی از کامپیوترها نیز دستکاری شده باشد).
- روی ایستگاههای کار، اطلاعات قابلشناسایی ذخیره نکنید. در عوض، آنها را روی سروری جداگانه نگه دارید و تازه بهتر آنکه بگذارید اطلاعات در سیستمی باشند که مخصوص نگهداری چنین اطلاعاتی ساخته شدهاند.
- به توصیههای متخصصین منابع سازمانی در خصوص آموزش آگاهی امنیت سایبری برای شرکت توجه کنید و این توصیهها را در رأس کار خود قرار دهید.
- از نمایندگان منابع انسانی خواهش کنید به فرمتهای فایلهای ارسالشده توسط متقاضیان توجه بسیاری کنند. استخدامکنندگان نیز باید بتوانند فایل قابلاجرا را در لحظه شناسایی کرده و بدانند نباید چنین فایلی را اجرا کرد. در حالت ایدهآل، با همدیگر دست به دست دهید و لیستی تهیه کنید از فرمتهای معقول فایل برای رزومهها و نمونههای کاری.
نکته مهم دیگر اینکه همیشه بر اساس ضوابط مقدماتی امنیتی پیش روید: نرمافزارهای خود را طبق بازههای زمانی مشخص روی کامپیوترهای منابع انسانی آپدیت کنید، خطمشی پسوردی سخت اما در عین حال ساده برای بخاطر سپردن انتخاب کنید (از گذاشتن رمزعبورهای تکراری یا ساده برای منابع داخلیتان خودداری کنید. سعی کنید هر از چندگاهی پسورد خود را تغییر داده و آپدیت کنید). روی هر دستگاه خود راهکار امنیتی نصب کنید که قادر باشد سریعاً به تهدیدهای جدید واکنش نشان داده و اقدام به اکسپلویت آسیبپذیریها را در نرمافزارها شناسایی کند.
[1] human resources.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
