منابع انسانی مورد حمله‌ی تهدیدهای سایبری

13 بهمن 1399 منابع انسانی مورد حمله‌ی تهدیدهای سایبری

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ برخی از حرفه‌ها –صرف‌نظر از نوع کسب و کار- صرفاً بیش از بقیه در معرض حملات سایبری قرار می‌گیرند. در این مطلب تمرکز خود را روی تهدیدهای سایبری‌ای گذاشته‌ایم که هدفشان متخصصین فعال در حوزه منابع انسانی[1] است. یکی از ساده‌ترین دلیل‌ها این است که آدرس ایمیل‌های کارمندان بخش منابع انسانی روی سایت‌های سازمانی برای مقاصد استخدامی نشر می‌شود (و این یعنی خیلی راحت می‌شود آدرس ایمیل آن‌ها را پیدا کرد). با ما همراه بمانید.

تهدیدهای سایبری در صدد حمله به منابع انسانی

در حوزه منابع انسانی، کارمندان سمت‌های نسبتاً عجیب و نامعمولی دارند: آن‌ها از خارج از شرکت کلی ایمیل و مکاتبه دریافت می‌کنند و جدا از این خود نیز علاقه دارند به داده‌های شخصی که شرکت توانایی نشت‌شان را ندارد دسترسی داشته باشند.

ایمیل دریافتی

معمولاً مجرمان سایبری با ارسال ایمیلی حاوی پیوست یا لینک آلوده به کارمند، به محیط امنیتی سازمان نفوذ می‌کنند. از این روست که همیشه به مخاطبین خود توصیه می‌کنیم ایمیل‌های ضمیمه‌دارِ مشکوک را باز نکنند یا روی لینک‌های ارسال‌شده توسط افراد ناشناس کلیک نکنند.

شاید این توصیه برای یک متخصص منابع سازمانی مسخره به نظر برسد. اکثریت ایمیل‌های خارجی که آن‌ها دریافت می‌کنند اغلب از سوی غریبه‌هاست و بیشتر حاوی پیوست رزومه (و برخی‌اوقات لینکی به نمونه‌کار). همانطور که ممکن است حدس زده باشید باور ما بر این است که دست‌کم نیمی از این ایمیل‌ها مشکوک به نظر می‌رسند. علاوه بر این، پورتفولیوها یا نمونه‌های کار قبلی برخی‌اوقات در قالب‌های نامعمولی ارائه می‌شوند؛ مانند فایل‌های بسیار تخصصی برنامه CAD.
ماهیت این کار ایجاب می‌کند که کارمندان محتواهای چنین فایل‌هایی را باز کرده و تحلیل کنند. حتی اگر آن لحظه را که مجرمان سایبری برخی‌اوقات با تغییر افزونه فایل، ماهیت حقیقی آن را می‌پوشانند نادیده بگیریم (آیا فایلCAD، عکس‌های RAW، یک  DOC یا EXE است؟) باز هم نمی‌شود گفت تمام این برنامه‌ها مدام به روز می‌شوند: این دست برنامه‌ها همه‌شان نیز برای شناسایی آسیب‌پذیری‌ها مورد آزمایش قرار نمی‌گیرند. متخصصین اغلب به حفره‌های امنیتی برمی‌خورند که حتی در نرم‌افزارهایی که به طور گسترده و مرتباً تحلیل می‌شوند (مانند مایکروسافت آفیس) نیز اجازه‌ی اجرای کد دلخواه را می‌دهند.

دسترسی به داده‌های شخصی

شرکت‌های بزرگ ممکن است انواع متخصصینی را به خدمت گرفته باشند که وظیفه‌شان ارتباط‌گیری با جویندگان کار و کار با کارمندان فعلی است؛ اما در مورد کسب و کارهای کوچک بیشتر چنین است که برای همه‌ی مناسبت‌ها تنها یک نماینده منابع انسانی دارند. همان یک نفر هم دسترسی کامل به داده‌های پرسنل شرکت دارد. با این حال، دستکاری میل‌باکس متخصص منابع انسانی از سوی مجرمان سایبری می‌تواند شروع یک فاجعه سایبری باشد.

متقاضیانی که رزومه‌های خود را ارسال می‌کنند ممکن است صراحتاً یا به صورت ضمنی به شرکت اجازه دهند اطلاعات شخصی‌شان را پردازش و ذخیره کند اما قطعاً راضی نیستند این اطلاعات به دست بیگانان بیافتد. مجرمان سایبری می‌توانند به چنین اطلاعاتی برای بلک‌میل رخنه کنند. در خصوص موضوع اخاذی هم باید باج‌افزارها را مد نظر قرار دهیم. پیش از محروم کردن مالک از دسترسی به داده‌ها، اغلب داده‌ها سرقت می‌شوند. اگر این نوع بدافزار روی کامپیوتر منابه انسانی فرود آید، سارقین می‌توانند به داده‌های شخصی دسترسی پیدا کنند.

جایگاهی برای حملات قانع‌کننده‌تر BEC

تکیه بر کارمندان زودباور با تحصیلات پایین، خطر دارد. اکنون بازیکن اصلی میدان، حمله‌ی نوع BEС (دستکاری ایمیل سازمانی)؛ حمله‌ای که شاید سخت‌تر باشد اما قطعاً مؤثرتر عمل می‌کند. حملاتی از این دست اغلب هدفشان کنترل داشتن روی میل‌باکس کارمند و متقاعد کردن همکاران او برای انتقال وجوه یا فوروارد اطلاعات محرمانه می‌باشد. مجرمان سایبری برای تضمین موفقیت خود می‌بایست اکانت ایمیل کسی را سرقت کنند که افراد دیگر از دستورهایش تبعیت می‌کنند (اغلب منظور مدیر است). قبل از فاز اجرایی این عملیات ابتدا وقت زیادی صرف پیدا کردن کارمندی با سمت بالا می‌شود. و اینجا میل‌باکس منابع نسانی شاید بسیار کارا باشد. از طرفی –همانطور که پیشتر بدان اشاره کردیم- کارمند منابع انسانی ایمیل‌های فیشینگ یا لینک‌های آلوده را به مراتب راحت‌تر باز می‌کند.

از طرفی دیگر، کارمندان شرکت دوست دارند به ایمیل‌هایی که از سوی منابع سازمانی ارسال می‌شوند اعتماد کنند. منابع انسانی معمولاً رزومه‌های متقاضیان را به مدیران دپارتمان‌ها می‌فرستند. البته منابع انسانی همچنین به طور کلی داکیومنت‌های داخلی به شرکت ارسال می‌کند و همین باعث می‌شود اکانت ایمیل HR سرقتی به پلت‌فرمی مؤثر برای اجرای حمله‌ی BEС تبدیل شود؛ پلت‌فرمی برای اقدامات جانبی در کل شرکت.

راهکارهای امنیتی

برای کاهش نفوذ مهاجمین به کامپیوترهای دپارتمان منابع انسانی، اقدامات زیر را توصیه می‌کنیم:

  •         در صورت امکان، کامپیوترهای منابع انسانی را روی زیرمجموعه شبکه‌ی مجزایی قرار دهید؛ این کار باعث کاهش احتمال شیوع تهدید به کل شبکه سازمانی می‌شود (حتی اگر یکی از کامپیوترها نیز دستکاری شده باشد).
  •         روی ایستگاه‌های کار، اطلاعات قابل‌شناسایی ذخیره نکنید. در عوض، آن‌ها را روی سروری جداگانه نگه دارید و تازه بهتر آنکه بگذارید اطلاعات در سیستمی باشند که مخصوص نگهداری چنین اطلاعاتی ساخته شده‌اند.
  •         به توصیه‌های متخصصین منابع سازمانی در خصوص آموزش آگاهی امنیت سایبری برای شرکت توجه کنید و این توصیه‌ها را در رأس کار خود قرار دهید.
  •         از نمایندگان منابع انسانی خواهش کنید به فرمت‌های فایل‌های ارسال‌شده توسط متقاضیان توجه بسیاری کنند. استخدام‌کنندگان نیز باید بتوانند فایل قابل‌اجرا را در لحظه شناسایی کرده و بدانند نباید چنین فایلی را اجرا کرد. در حالت ایده‌آل، با همدیگر دست به دست دهید و لیستی تهیه کنید از فرمت‌های معقول فایل برای رزومه‌ها و نمونه‌های کاری.

نکته مهم دیگر اینکه همیشه بر اساس ضوابط مقدماتی امنیتی پیش روید: نرم‌افزارهای خود را طبق بازه‌های زمانی مشخص روی کامپیوترهای منابع انسانی آپدیت کنید، خط‌مشی پسوردی سخت اما در عین حال ساده برای بخاطر سپردن انتخاب کنید (از گذاشتن رمزعبورهای تکراری یا ساده برای منابع داخلی‌تان خودداری کنید. سعی کنید هر از چندگاهی پسورد خود را تغییر داده و آپدیت کنید). روی هر دستگاه خود راهکار امنیتی نصب کنید که قادر باشد سریعاً به تهدیدهای جدید واکنش نشان داده و اقدام به اکسپلویت آسیب‌پذیری‌ها را در نرم‌افزارها شناسایی کند.

 

[1]  human resources.

 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    8,502,300 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    2,832,300 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    11,337,300 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    4,249,800 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    4,249,800 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    5,667,300 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    10,206,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد