روانشناسی یک حمله‌ فیشینگ

در امنیت سایبری، انسان رایج‌ترین و ساده‌ترین هدف است؛ بنابراین هکرها معمولاً از طریق حمله‌ی فیشینگ، کارکنان یک سازمان را هدف قرار می‌دهند.

به گزارش ایستاتگ، فیشینگ یک حمله مهندسی- اجتماعی است که در آن هکرها، معمولاً ایمیل‌هایی را ارسال می‌کنند که به نظر می‌رسد از یک منبع قابل اعتماد هستند؛ بنابراین قربانی ترغیب می‌شود روی این لینک‌ها کلیک کند.

طبق گزارش جرائم اینترنتی ۲۰۲۱ FBI داده‌های ۸۴۷۳۷۶ جرائم سایبری گزارش شده است و افزایش شدیدی در تعداد حملات فیشینگ مشاهده می‌شود که از ۲۵۳۴۴ مورد در سال ۲۰۱۷ به ۳۲۳۹۷۲ در سال ۲۰۲۱ افزایش یافت.

حال این سؤال مطرح می‌شود روانشناسی حملات فیشینگ چیست؟ با وجود آشکار بودن این نوع حملات، چرا برخی هنوز هم قربانی فیشینگ می‌شوند.

پیچیدگی روزافزون حمله‌ی فیشینگ

حملات فیشینگ اولیه ایمیلی، معمولاً شامل برخی از پیام‌ها با کلمات ضعیف برای فریب کاربران برای ارسال پول به حساب‌های بانکی جعلی بود. اما امروزه این حملات بسیار پیچیده‌تر شده‌اند.

در دنیای دیجیتال امروز، همه می‌دانند که فیشینگ بد است، اما اعتماد همچنان عامل اصلی این حملات است.

عوامل تهدید در مورد اهداف خود تحقیق می‌کنند.

آن‌ها به نمایه‌ها و پست‌های عمومی کارکنان، روابط و … نگاه می‌کنند. اساس همه این حملات بالقوه، اعتماد ضمنی کارکنان به روابط قبلی است.

علاوه بر اعتماد ضمنی ناشی از ارسال ایمیل توسط یک فرستنده شناخته شده، یک ایمیل فیشینگ موفق، احساسات خواننده را مورد هدف قرار می‌دهد و سعی دارد او را فریب دهد.

راه‌های مختلفی برای تأثیرگذاری بر کارمندان وجود دارد.

ایمیل‌های جعلی که به نظر می‌رسد از طرف شخصی مهمی هستند، از نفوذی که روسا و بخش‌هایی مانند منابع انسانی بر خواننده دارند؛ استفاده می‌کنند.

موقعیت‌های اجتماعی مانند رفتار متقابل،  کمک به همکار، و ثبات، پرداخت به موقع به فروشنده یا پیمانکار برای حفظ یک رابطه خوب، ممکن است خواننده را تحت تأثیر قرار دهد تا روی لینک در ایمیل فیشینگ کلیک کند.

بر اساس گزارش روانشناسی خطای انسانی ۲۰۲۲ توسط Tessian Research، که در ادامه گزارش سال ۲۰۲۰ آن‌ها با دانشگاه استنفورد انجام شد، ۵۲ درصد از مردم به این دلیل روی ایمیل فیشینگ کلیک کردند، زیرا به نظر می‌رسید که از طرف یکی از مدیران ارشد شرکت ارسال شده است.

علاوه بر این، کارکنان در هنگام خستگی بیشتر مستعد خطا بودند که هکرها مرتباً از آن سوء استفاده می‌کنند.

Tessian در سال ۲۰۲۱ گزارش داد که بیشتر حملات فیشینگ بین ساعت ۲ تا ۶ بعد از ظهر ارسال می‌شود، یعنی دقیقاً بعد از ناهار و زمانی که کارکنان به احتمال زیاد خسته یا حواس پرت هستند.

کارمندان ممکن است پس از اینکه متوجه شوند فریب خورده‌اند، در گزارش حادثه فیشینگ مردد شوند و به خاطر اینکه توبیخ نشوند؛ این حمله را گزارش ندهند.

آن‌ها به احتمال زیاد احساس بدی دارند و حتی ممکن است از مجازات شرکت ترس داشته باشند.

با این حال، گزارش این حادثه بهترین کاری است که می‌توانند انجام دهند.

اما اگر کارمندان قربانی سعی کند این حملات را مخفی کند؛ در نهایت این رویداد سایبری می‌تواند به یک حادثه سایبری در مقیاس بزرگ تبدیل شود.

در عوض، سازمان‌ها باید فرهنگی ایجاد کنند که در آن امنیت سایبری یک مسئولیت مهم باشد؛ و کارکنان با اعتماد بیشتری آن را به سازمان گزارش دهند و گفتگوی باز در مورد فیشینگ و سایر تهدیدات سایبری ارتقا یابد.

امنیت سایبری سخت است، اما یادگیری در مورد آن لازم است

سازمان‌هایی که در بحث امنیت سایبری موفق هستند، این موضوع را برای همه کارمندان قابل دسترس می‌کنند.

برای تسهیل گفتگوی باز، سازمان‌ها باید از استراتژی دفاعی عمیق استفاده کنند.

این ترکیبی از کنترلر‌های فنی و غیرفنی است که تهدیدات امنیت سایبری را کاهش و پاسخ می‌دهد.

آموزش آگاهی از این نوع حملات تنها یک تکه از پازل دفاعی است.

برای ایجاد یک برنامه امنیتی قوی، بسیاری از کنترلر های کاهش دهنده باید به شرکت معرفی شوند.

در آموزش آگاهی امنیتی به اندازه کافی، عنصر انسانی مورد سوء استفاده حملات فیشینگ را در نظر نمی‌گیرد. یکی از نمونه‌های یک برنامه آموزشی، برنامه آموزشی است که از تکنیک‌های علوم رفتاری مانند داستان سرایی برای تأثیرگذاری بر کارکنان استفاده می‌کند.

هدف از رویکرد داستان سرایی این است که بر کارمندان تأثیر بگذارد و آنها تحت تأثیر قرار دهد تا به امنیت سازمان کمک کنند.

در این رویکرد کارکنان در معرض تهدیدات قرار می‌گیرند تا یاد بگیرند چگونه با آن‌ها مواجه شوند و در نهایت اگر فریب خوردند آن را به سازمان گزارش دهند.

یکی از مشتریان Curricula گزارش داد که پس از راه‌اندازی یک برنامه آموزشی و شبیه‌سازی فیشینگ، شاهد کاهش نرخ کلیک روی لینک‌های فیشینگ از ۳۲% به ۳% در بین ۶۰۰+ کارمند طی شش ماه بودند.

هنگامی که سازمان شما به درستی با ابزار، دانش و منابع مسلح شود، کارمندانی که قبلاً حواسشان پرت شده و فریب خورده‌اند، می‌توانند بهترین خط دفاعی شما باشند و این یک فایروال انسانی در برابر فیشینگ، باج افزار و بدافزار است.

مدیریت باید در آموزش مشارکت داشته باشد

برای درک شرایط انسانی درک این موضوع مهم است که شما به بودجه و ابزارهایی برای ایمن سازی منابع فنی نیاز دارید که از خطرات دیجیتال جلوگیری کرده، آن‌ها را کاهش و انتقال دهد تا فرهنگ امنیتی خود را بهینه کنید.

سازمان‌ها ممکن است با گذراندن یک ممیزی امنیتی یا دریافت گواهینامه، احساس امنیت کاذبی داشته باشند.

با این حال، همانطور که در چند سال گذشته نشان داده شده است، خطرات دیجیتال به طور مداوم در حال تغییر شکل هستند و عوامل تهدید از روش‌های جدیدتری استفاده خواهند کرد.

عوامل تهدید معمولاً سازمان‌ها را به دلیل انتخاب‌ فناوری‌های ضعیف و نادیده گرفتن عواملی مانند صنعت، اندازه یا نوع داده‌هایی که محافظت می‌کنند، هدف قرار می‌دهند.

علاوه بر این، مدیران سطح C از حملات موفق فیشینگ مصون نیستند.

حملات فیشینگ مدیران خاصی را در یک سازمان هدف قرار می‌دهند.

در سال ۲۰۱۷ اعلام شد که دو شرکت فناوری که گمان می‌کنیم گوگل و فیس بوک هستند، قربانی یک حمله فیشینگ نیزه‌ای به ارزش ۱۰۰ میلیون دلار شده‌اند.

جون کیم، دادستان ایالات متحده، این رویداد را زنگ خطری نامید که هر کسی ممکن است قربانی فیشینگ شود.

اقتصاد دیجیتال با سرعتی بالایی در حال تغییر است.

برای اینکه سازمان‌ها واقعاً شکوفا شوند و در برابر فاز بعدی خطرات دیجیتالی که با این تحولات همراه است ایمن شوند؛ باید ابتدا یک فرهنگ امنیتی قوی ایجاد کنند و ابزارهایی را برای شناسایی، واکنش و گزارش حملات فیشینگ و سایر حملات در اختیار کارکنان قرار دهند.

علاوه بر این، استفاده از ابزارهای مناسب مانند احراز هویت چند عاملی، تشخیص و پاسخ نقطه پایانی، و حتی همکاری با یک شرکت سایبری قوی می‌تواند یک استراتژی دفاعی لایه‌ای عمیق در سازمان ایجاد کند.

این رویکرد دفاعی لایه‌ای به سازمان‌ها کمک می‌کند تا از تبدیل یک رویداد سایبری مانند فیشینگ به یک حادثه سایبری بزرگ مانند نقض داده یا حمله باج‌افزار جلوگیری کنند.

منبع: venturebeat