روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ فناوریهای جدید آشکارا در حال تغییرِ این جهانند؛ اما مغز انسان همچنان همان است. در نتیجه، نبوغ شیطانی مدام در کار است تا ابداعاتی فناوریمحور طراحی کند که از این طریق بشود آسیبپذیریهای داخل مغز انسان را مورد هدف قرار دهد. نمونهی بارزش اینکه اسکمرها صدای مدیر ارشد اجرایی شرکتی بینالمللی را تقلید کردند تا بدین واسطه، مدیریت شرکت تابعهاش را فریب داده و مجاب شود مبلغی را به اکانتهای جعلی آنها انتقال دهد. داستان چه بود؟
چند و چون این حمله هنوز مشخص نیست؛ اما روزنامهی والاستریتژورنال با استناد به شرکت Euler Hermes Group SA واقعه را چنین شرح میدهد:
- مدیر ارشد اجرایی شرکت انگلیسیِ انرژی وقتی تلفن را جواب داد فکر کرد دارد با مافوق خود یعنی مدیر اجرایی شرکت مادرش (که در آلمان بود) صحبت میکند. او درخواست ارسال 220 هزار یورو ظرف یک ساعت کرده بود.
- مدیریت اجرایی بریتانیایی مبلغ درخواستی را انتقال داد.
- مهاجمین باری دیگر تماس گرفتند و گفتند این شرکتِ مادر پول را برای بازپرداخت به این شرکت انگلیسی انتقال داده است.
- همان روز کمی بعد، تماس سوم را هم برقرار کردند و این بار خودشان را جای مدیر ارشد اجرایی جا زدند و دومین پرداخت را درخواست کردند.
- از آنجایی که انتقالِ بازپرداخت وجوه هنوز میسر نشده بود و سومین تماس از شماره تلفنی اتریشی بود (و نه آلمانی)، مدیریت شک کرد و دومین پرداخت را انجام نداد.
چطور انجامش دادند؟
دو احتمال وجود دارد: مهاجمین از میان کلی صداهای ضبطشدهی مدیریت اجرایی به طور دستی بخشهای گزیده را کنار هم چیده بوده یا (احتمال مورد دوم بیشتر است) آنها از الگوریتم فناوری یادگیری ماشین روی صداهای ضبطشده استفاده کرده بودند. متود اول نامطمئن و بسیار زمانبر است- خیلی سخت بتوان تکههای صداهای ضبطشده را به طور معنادار و منسجمی در قالب جمله درست کرد. به نقل از قربانیِ بریتانیایی این حمله، حرفهای پشت تلفن خیلی عادی به نظر میرسید؛ لحن و تن شمرده و واضح با تهلهجهی آلمانی. پس نوک پیکان ابتدا به سمت فناوری هوش مصنوعی میرود. اما این موفقیت ابتدا مرهون کنترل الگوی رفتاری بشر است تا صرفِ استفاده از فناوریهای جدید (در این مورد منظورمان تسلیم فرامین مافوق شدن است).
روانشناسیِ پسامرگی[1]
روانشناسان اجتماعی آزمایشات بسیاری انجام دادهاند که نشان میدهد حتی افراد باهوش و باتجربه نیز در معرض فرمانبرداری بیقید وشرط از مافوق قرار دارند؛ حتی اگر این فرمانبرداری با عقاید شخصی، عقل سلیم و یا ملاحظات امنیتی در تضاد باشد. فیلیپ زیمباردو در کتابش تحت عنوان اثر لوسیفر: درک اینکه چگونه آدمهای خوب به شیطان تبدیل میشوند این نوع آزمایش را شرح میدهد. در این آزمایش، پرستاران تماسی از سوی پزشک دریافت میکنند که از آنها میخواهد دوز تزریق به بیمار را دو برابر مقدار مجاز بکنند. از هر 22 پرستار 21 نفر از آنها از این دستور اطاعت کردند. در حقیقت، نیمی از پرستاران با علم به اینکه ممکن است این تزریق به بیمار آسیب بزند سرنگ را پر کردند. پرستارانی که از این دستور تبعیت کردند اعتقاد داشتند در خصوص تجویز نسخه، مسئولیت آنها نسبت به پزشک کمتر است برای همین خیلی درگیر ماجرا نخواهند شد.
استنلی میلگرامِ روانشناس نیز به طور مشابهی با استفاده از «تئوری فردیت»[2] دنبالهروییِ بیقید و شرط از مافوق را توضیح داد. جوهرهی اصلی تئوری فردیت این است که اگر افراد خود را ابزاری برای تأمین خواستههای سایرین بدانند دیگر خود را مسئول اقدامات خویش تلقی نمیکنند.
چه باید کرد؟
نمیشود 100% فهمید آدم پای تلفن دقیقاً دارد با چه کسی حرف میزند- خصوصاً اگر آن فرد یک چهرهی عمومی و شناختهشده باشد و از او تعداد زیادی فایل صوتی در دسترس باشد (سخنرانی، مصاحبه). این موارد شاید امروز به ندرت پیش بیایند اما با پیشرفت علم، احتمال میرود شاهد موارد بیشتری از این دست باشیم.
شاید با چشمبسته پذیرفتن فرامین مافوق، ناخواسته همدست مجرمان سایبری شوید. خیلی طبیعی است که باید حرف مافوق را گوش داد اما این را هم باید در نظر داشت که دستورها نباید تصمیمهای غیرمنطقی مدیریتی و یا چیزهای عجیب و خارج از عرف باشد. تنها توصیهی ما به شما است که نگذارید کارمندانتان کورکورانه تسلیم دستورات مافوق شوند. بدون توضیح دادن مسئلهای و یا آوردن دلیلی، نگذارید از شما فرمانبرداری کنند.
از چشمانداز فنی، توصیهی ما این است:
- تجویز روندی روشن و واضح برای انتقال وجه تا حتی کارمندان ردهبالا نیز نتوانند پول را بدون اجازه مافوق از شرکت خارج کنند. نقل و انتقالات مبالغ کلان میبایست توسط چندین مدیر تحت نظارت قرار گیرد.
- به کارمندان خود، اصول اولیهی امنیت سایبری را آموزش داده و به آنها یاد دهید همیشه به دستوراتی که از بالا دریافت میکنند چند درصدی شک (شکِ سالم) داشته باشند. برنامههای آگاهیِ تهدید[3] ما شاید در این راستا بتواند کمک شایانی بکند.
[1] Postmortem
[2] Theoryof subjectivity
[3] threat awareness programs
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
