روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در شرکت‌های بزرگ، معمولاً از کارمندهایی که رده‌بالا نیستند در مورد آرزوهای کاری، حوزه‌های علاقمندی یا دستاوردهایشان خارج از شرح وظیفه‌ای که دارند نمی‌پرسند. شاید یک بار در سال آن هم برای تحلیل راندمان اجرایی شرکت‌ها دست به چنین کاری بزنند. با این حال، بسیاری دوست دارند افکار خود را تعداد دفعات بیشتری در سال با مدیریت به اشتراک بگذارند. پس اینجاست که دعوت به پر کردن پرسشنامه خودارزیابی وارد میدان می‌شود و خوب گمان نکنید مجرمان سایبری چنین فرصت طلایی را از دست می‌دهند! با ما همراه شوید تا با شما از کلاهبرداری فیشینگ پرسشنامه خودارزیابی بگوییم.

ایمیل فیشینگ با دعوت‌نامه

ایمیلی ظاهراً از سوی تیم منابع انسانی حاوی شرح مفصلی از روند خودارزیابی کارمند که دیالوگی بین اعضای شرکت و مدیران یا سوپروایزران‌شان را ترغیب می‌کند به دست می‌رسد: «شما می‌توانید در مورد نقاط قوت و ضعف‌های خود بدانید و آن را در موفقیت‌های خود، نقاط پیشرفت‌تان و هدف‌های کاری که دارید به کار ببندید» به طور کلی یک ایمیل می‌تواند به نظر چیز بسیار عادی و قانونی بیاید.

شاید به حد کافی متقاعدکننده به نظر آید اما در هر صورت پرچم‌قرمزهای فیشینگی هم می‌شود در آن پیدا کرد. برای تازه‌کارها شاید بهتر باشد بگوییم باید به نام دامنه در آدرس فرستنده نگاه کنند. درست است، با نام شرکت همخوانی ندارد. البته این امکان هم هست که دپارتمان منابع انسانی شما دارد از کنتراکتوری که برای شما ناشناس است استفاده می‌کند اما چرا برای مثال Family Eldercare باید از چنین سرویس‌هایی استفاده کند؟ حتی اگر نمی‌دانید این یک سازمان غیرانتفاعی است که به خانواده کمک می‌کند از خویشاوندان پیر خود مراقبت کنند هم باز نام آن باید کمی برایتان شک‌ ایجاد کند. افزون بر این ایمیل می‌گوید این نظرسنجی برای همه اجباری است و باید تا آخر روز انجام شود (در نظر داشته باشید متن با فونت بزرگ است)! حتی اگر بزرگ بودن فونت را هم نادیده بگیریم، بار این حس اضطراری که ایجاد شده می‌تواند دلیلی برای شک باشد. همچنین باید با دپارتمان واقعی منابع انسان نیز چک شود که آیا آن‌ها این ایمیل را فرستاند یا نه.

فرم تقلبی خودارزیابی

آن‌هایی که پرچم‌های قرمز را نادیده می‌گیرند و روی لینک زده تا به فرم برسند با مجموعه سوالاتی روبرو می‌شوند که شاید به راندمان اجرایی ربط داشته باشد. اما محور عملیات فیشینگ در سه مورد آخر این سوال نهفته است - که از قربانی خواسته می‌شود آدرس ایمیل خود را ارائه کند و رمز عبور خود را برای احراز هویت وارد و سپس دوباره آن را برای تأیید وارد کند. این در واقع حرکت هوشمندانه‌ای از سمت فیشر است. معمولاً فیشینگ از این نوع مستقیماً از ایمیل به فرمی برای وارد کردن اعتبار شرکت در یک سایت طرف‌سوم منجر می‌شود، که بسیاری را فوراً دچار شک می‌کند. اینجا اما درخواست برای پسورد و آدرس ایمیل (که به طور رایجی حکم نام کاربری هم دارد) به عنوان بخشی از فرم (آن آخرِ آخر) پنهان می‌شود. در این مرحله قربانی حسابی هشیار است و فکر می‌کند دارد کار درست را می‌کند. هچنین در نظر داشته باشید کلمه password د حرفش با ستاره جایگزین می‌شود. این برای دور زدن فیلترهای خودکار است که پسورد را به عنوان کلیدواژه سرچ می‌کنند.

راهکارهای امنیتی

برای اینکه نگذارید کارمندان فریب چنین فیشینگی را بخورند باید مدام آن‌ها را از آخرین ترفندها آگاه کنید (برای مثال با فوروارد کردن مقالات کسپرسکی به آن‌ها و گوشزد کردن دسیسه‌های فیشینگی). اگر ترجیح می‌دهید رویکردی نظام‌مندتر داشته باشید آموزش‌های معمول و بررسی‌های روی روال انجام دهید. برای مثال می‌توانید از پلت‌فرم Kaspersky Automated Security Awareness استفاده کنید. در حالت ایده‌آل، کارمندان به لطف ابزارهای فنی نباید هرگز به دام فیشینگ بیافتند: راهکارهای امنیتی مجهز به فناوری ضد فیشینگ را هم در سطح سازمانی و هم روی همه دستگاه‌هایی که کانکشن اینترنت دارند نصب کنید.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.