روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ برخی از حرفه‌ها –صرف‌نظر از نوع کسب و کار- صرفاً بیش از بقیه در معرض حملات سایبری قرار می‌گیرند. در این مطلب تمرکز خود را روی تهدیدهای سایبری‌ای گذاشته‌ایم که هدفشان متخصصین فعال در حوزه منابع انسانی[1] است. یکی از ساده‌ترین دلیل‌ها این است که آدرس ایمیل‌های کارمندان بخش منابع انسانی روی سایت‌های سازمانی برای مقاصد استخدامی نشر می‌شود (و این یعنی خیلی راحت می‌شود آدرس ایمیل آن‌ها را پیدا کرد). با ما همراه بمانید.

تهدیدهای سایبری در صدد حمله به منابع انسانی

در حوزه منابع انسانی، کارمندان سمت‌های نسبتاً عجیب و نامعمولی دارند: آن‌ها از خارج از شرکت کلی ایمیل و مکاتبه دریافت می‌کنند و جدا از این خود نیز علاقه دارند به داده‌های شخصی که شرکت توانایی نشت‌شان را ندارد دسترسی داشته باشند.

ایمیل دریافتی

معمولاً مجرمان سایبری با ارسال ایمیلی حاوی پیوست یا لینک آلوده به کارمند، به محیط امنیتی سازمان نفوذ می‌کنند. از این روست که همیشه به مخاطبین خود توصیه می‌کنیم ایمیل‌های ضمیمه‌دارِ مشکوک را باز نکنند یا روی لینک‌های ارسال‌شده توسط افراد ناشناس کلیک نکنند.

شاید این توصیه برای یک متخصص منابع سازمانی مسخره به نظر برسد. اکثریت ایمیل‌های خارجی که آن‌ها دریافت می‌کنند اغلب از سوی غریبه‌هاست و بیشتر حاوی پیوست رزومه (و برخی‌اوقات لینکی به نمونه‌کار). همانطور که ممکن است حدس زده باشید باور ما بر این است که دست‌کم نیمی از این ایمیل‌ها مشکوک به نظر می‌رسند. علاوه بر این، پورتفولیوها یا نمونه‌های کار قبلی برخی‌اوقات در قالب‌های نامعمولی ارائه می‌شوند؛ مانند فایل‌های بسیار تخصصی برنامه CAD.
ماهیت این کار ایجاب می‌کند که کارمندان محتواهای چنین فایل‌هایی را باز کرده و تحلیل کنند. حتی اگر آن لحظه را که مجرمان سایبری برخی‌اوقات با تغییر افزونه فایل، ماهیت حقیقی آن را می‌پوشانند نادیده بگیریم (آیا فایلCAD، عکس‌های RAW، یک  DOC یا EXE است؟) باز هم نمی‌شود گفت تمام این برنامه‌ها مدام به روز می‌شوند: این دست برنامه‌ها همه‌شان نیز برای شناسایی آسیب‌پذیری‌ها مورد آزمایش قرار نمی‌گیرند. متخصصین اغلب به حفره‌های امنیتی برمی‌خورند که حتی در نرم‌افزارهایی که به طور گسترده و مرتباً تحلیل می‌شوند (مانند مایکروسافت آفیس) نیز اجازه‌ی اجرای کد دلخواه را می‌دهند.

دسترسی به داده‌های شخصی

شرکت‌های بزرگ ممکن است انواع متخصصینی را به خدمت گرفته باشند که وظیفه‌شان ارتباط‌گیری با جویندگان کار و کار با کارمندان فعلی است؛ اما در مورد کسب و کارهای کوچک بیشتر چنین است که برای همه‌ی مناسبت‌ها تنها یک نماینده منابع انسانی دارند. همان یک نفر هم دسترسی کامل به داده‌های پرسنل شرکت دارد. با این حال، دستکاری میل‌باکس متخصص منابع انسانی از سوی مجرمان سایبری می‌تواند شروع یک فاجعه سایبری باشد.

متقاضیانی که رزومه‌های خود را ارسال می‌کنند ممکن است صراحتاً یا به صورت ضمنی به شرکت اجازه دهند اطلاعات شخصی‌شان را پردازش و ذخیره کند اما قطعاً راضی نیستند این اطلاعات به دست بیگانان بیافتد. مجرمان سایبری می‌توانند به چنین اطلاعاتی برای بلک‌میل رخنه کنند. در خصوص موضوع اخاذی هم باید باج‌افزارها را مد نظر قرار دهیم. پیش از محروم کردن مالک از دسترسی به داده‌ها، اغلب داده‌ها سرقت می‌شوند. اگر این نوع بدافزار روی کامپیوتر منابه انسانی فرود آید، سارقین می‌توانند به داده‌های شخصی دسترسی پیدا کنند.

جایگاهی برای حملات قانع‌کننده‌تر BEC

تکیه بر کارمندان زودباور با تحصیلات پایین، خطر دارد. اکنون بازیکن اصلی میدان، حمله‌ی نوع BEС (دستکاری ایمیل سازمانی)؛ حمله‌ای که شاید سخت‌تر باشد اما قطعاً مؤثرتر عمل می‌کند. حملاتی از این دست اغلب هدفشان کنترل داشتن روی میل‌باکس کارمند و متقاعد کردن همکاران او برای انتقال وجوه یا فوروارد اطلاعات محرمانه می‌باشد. مجرمان سایبری برای تضمین موفقیت خود می‌بایست اکانت ایمیل کسی را سرقت کنند که افراد دیگر از دستورهایش تبعیت می‌کنند (اغلب منظور مدیر است). قبل از فاز اجرایی این عملیات ابتدا وقت زیادی صرف پیدا کردن کارمندی با سمت بالا می‌شود. و اینجا میل‌باکس منابع نسانی شاید بسیار کارا باشد. از طرفی –همانطور که پیشتر بدان اشاره کردیم- کارمند منابع انسانی ایمیل‌های فیشینگ یا لینک‌های آلوده را به مراتب راحت‌تر باز می‌کند.

از طرفی دیگر، کارمندان شرکت دوست دارند به ایمیل‌هایی که از سوی منابع سازمانی ارسال می‌شوند اعتماد کنند. منابع انسانی معمولاً رزومه‌های متقاضیان را به مدیران دپارتمان‌ها می‌فرستند. البته منابع انسانی همچنین به طور کلی داکیومنت‌های داخلی به شرکت ارسال می‌کند و همین باعث می‌شود اکانت ایمیل HR سرقتی به پلت‌فرمی مؤثر برای اجرای حمله‌ی BEС تبدیل شود؛ پلت‌فرمی برای اقدامات جانبی در کل شرکت.

راهکارهای امنیتی

برای کاهش نفوذ مهاجمین به کامپیوترهای دپارتمان منابع انسانی، اقدامات زیر را توصیه می‌کنیم:

•         در صورت امکان، کامپیوترهای منابع انسانی را روی زیرمجموعه شبکه‌ی مجزایی قرار دهید؛ این کار باعث کاهش احتمال شیوع تهدید به کل شبکه سازمانی می‌شود (حتی اگر یکی از کامپیوترها نیز دستکاری شده باشد).
•         روی ایستگاه‌های کار، اطلاعات قابل‌شناسایی ذخیره نکنید. در عوض، آن‌ها را روی سروری جداگانه نگه دارید و تازه بهتر آنکه بگذارید اطلاعات در سیستمی باشند که مخصوص نگهداری چنین اطلاعاتی ساخته شده‌اند.
•         به توصیه‌های متخصصین منابع سازمانی در خصوص آموزش آگاهی امنیت سایبری برای شرکت توجه کنید و این توصیه‌ها را در رأس کار خود قرار دهید.
•         از نمایندگان منابع انسانی خواهش کنید به فرمت‌های فایل‌های ارسال‌شده توسط متقاضیان توجه بسیاری کنند. استخدام‌کنندگان نیز باید بتوانند فایل قابل‌اجرا را در لحظه شناسایی کرده و بدانند نباید چنین فایلی را اجرا کرد. در حالت ایده‌آل، با همدیگر دست به دست دهید و لیستی تهیه کنید از فرمت‌های معقول فایل برای رزومه‌ها و نمونه‌های کاری.

نکته مهم دیگر اینکه همیشه بر اساس ضوابط مقدماتی امنیتی پیش روید: نرم‌افزارهای خود را طبق بازه‌های زمانی مشخص روی کامپیوترهای منابع انسانی آپدیت کنید، خط‌مشی پسوردی سخت اما در عین حال ساده برای بخاطر سپردن انتخاب کنید (از گذاشتن رمزعبورهای تکراری یا ساده برای منابع داخلی‌تان خودداری کنید. سعی کنید هر از چندگاهی پسورد خود را تغییر داده و آپدیت کنید). روی هر دستگاه خود راهکار امنیتی نصب کنید که قادر باشد سریعاً به تهدیدهای جدید واکنش نشان داده و اقدام به اکسپلویت آسیب‌پذیری‌ها را در نرم‌افزارها شناسایی کند.

[1]  human resources.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.