مهاجمین برخیاوقات موقع آمادهسازی حملهای هدفدار علیه یک شرکت به امید پیدا کردن اطلاعاتی مفید به روش زبالهگردی متوسل میشوند. در زندگی واقعی آنها هرگز به 50 پسورد معتبر در سطل زباله دسترسی پیدا نخواهند کرد اما در جهان دیجیتال هنوز هم لابهلای آشغالهای سازمانی برای مجرمان سایبری زبالههای به دردبخوری پیدا میشود. در ادامه با ما همراه شوید تا روش صحیح دورانداختن اطلاعات سازمانی را خدمتتان توضیح دهیم.
چرا باید حواسمان به سطل زبالهها باشد؟
حتی خوشبینترین زبالهگردها هم انتظار ندارند پورتفولیویی از داکیومنتها را که رویشان برچسب «فوق محرمانه»خورده پیدا کنند. علاوه بر اینها آنها برای اعتبار کردن شرکت یا پیش بردن حملهای هدفدار نیازی به اطلاعات فوق محرمانه ندارند؛ همین که زباله سازمانیای باشد که به آنها کمک کند از طریق مهندسی اجتماعی کارمندان را فریب دهند کفایت میکند.
دستمالی کردن آشغالها
فرض را بر این میگیریم که عادت ندارید شواهد و مدارکی دال بر گزارشات سازمانی یا حسابهای شرکت از خود به جای بگذارید؛ اما این را بدانید که خطر آنجایی در کمین است که پای دادههای شخصی به میان میآید (هم اطلاعات شخصی مشتریان و هم اطلاعات شخصی خود کارمندان!). با این حال تا امروز سعی کردیم همواره پروندههایی را مورد نظر قرار دهیم که سر و کارشان با دادههای شخصی دورانداختهشده بوده است. با وجود اینکه در مورد پیشگیری از بروز این حملات و تهدیدها کلی داستان گفتیم باز هم همهی کارمندان متوجه نشدهاند که برای مثال فهرستی از آدرسهای تحویل پیتزا میتواند در نوع خود «اطلاعات محرمانه» محسوب شود. آنچه بیشتر نگران کننده است، سوابق پزشکی با شمارههای امنیت اجتماعی است؛ همینطور فاکتورهای پرداخت با جزئیات کارت بانکی رویشان و اسکنهای داکیومنتهای هویتی.
برای یک حمله مهندسی اجتماعی چه چیزی برای مجرمان سایبری میتواند مفید باشد؟
مجرمان سایبری میتوانند از اطلاعاتی که در داکیومنتهای کاری دورانداختهشده، پاکتنامهها و رسانههای ذخیره دیجیتال پیدا میکنند به عنوان حربه استفاده نمایند. داکیومنتهای کاری –حتی آنهایی که حاوی اطلاعات دستهبندینشده هستند- میتوانند هدف تیم سازمانی را و پروسههایی که شرکت قرار است طی کند برملا کنند. مهاجم اگر به چنین اطلاعاتی خود را مجهز کند میتواند با ایمیل یا حتی تلفن خودش را جای شریکی در راستای فرآیند کار غالب کند. بدینترتیب از آنها اطلاعات بیشتری بیرون میکشند و شاید هم حمله دستکاری ایمیل سازمانی را پیش ببرند. پاکت نامههای شرکت همیشه رویشان آدرس و نام فرستنده دارند. مجرم سایبری اگر بداند کارمند شرکت M داکیونتهای کاغذی را از نمایندگان شرکت N دریافت میکند میتواند برای مثال به گیرنده تماس بگیرد و از او درخواست متقاعدکنندهای کرده یا لینک مخربی را -که به نظر، رسیدِ تأیید داکیومنت فیزیکی و واقعی است- ارسال کند.
مدیای دیجیتال هم حقیقتاً مخزن اطلاعاتی خوبی به حساب میآیند. یک اسمارتفون شکسته میتواند کلی مخاطب و پیام در خود جای داده باشد که همه اینها برای تقلیدکردن از صاحب قبلی دستگاه مفید است. فلش درایوها و حتی هارددرایوهای دورانداختهشده کلی داکیومنتهای کاری و دادههای شخصی در خود نگه میدارند. اگر بخواهیم کلی صحبت کنیم، حتی یک بسته تحویل غذا که رویش نام کارمند شرکت است میتواند فرصتهایی را در اختیار مهاجمی قرار دهد: برای مثال ایمیلی فیشینگ با لینکهای جعلی برای منوهای مخصوص یا برنامههای وفاداری (البته این مورد خیلی هم محبوب نیست با این حال ترفندی واقعی است!).
راهکارهای امنیتی
در قدم اول توصیه میکنیم استفاده از کاغذ بعنوان مدیوم ذخیرهسازی را حذف کرده یا دست کم به حداقل برسانید. با این کار نه تنها درختان را نجات دادهاید که حتی ازمشکل تولید زباله هم خلاص میشوید. ابتدا همه داکیومنتهای کاغذی را که به هر شکلی به کار شرکت مربوط میشوند دور بیاندازید. این یعنی همهشان، نه تنها آنهایی که حاوی دادههای شخصی هستند. همهشان را خرد کنید حتی پاکتنامهها. مدیای دیجیتال (هارددرایوها و فلشها) جایشان در زباله نیست. گام بعدی این است که آنها را به طور مکانیکی غیرقابل استفاده کرده و به مراکز بازیافت الکترونیک ببرید. برای دیسکها و فلش درایورها از انبردست استفاده کنید و برای هارددرایوها از دریل برقی یا چکش.
یادتان باشد که داخل هر تلفنی یک فلش درایو و داخل هر کامپیوتری یک هارد درایو وجود دارد. اگر آنها را دور انداختید مطمئن شوید دادههایشان قابل خواندن نیست. پیش از دور انداختن هر بخش یا کیسه تحویل غذا هر برچسبی را که نام و آدرس گیرنده رویش دارد پاره کنید. در نظر داشته باشید که امنیت کسب و کار شما مستقیماً به هر کارمند شرکت بستگی دارد؛ آنها همگی میبایست درک کافی از این مسئله را داشته باشند و از قوانین اطاعت کنند. هر کسی صرفنظر از سمت و جایگاه به دانش پایه و عملی در خصوص تحویل اطلاعاتی که بالقوه خطرناکند نیاز دارد.
