مهندسی اجتماعی یا Social Engineering فقط با آموزشهای مداوم و مکرر برای کارمندان سازمان قابل بهبود است. در واقع این رخنه امنیتی با هیچ ابزاری قابل کنترل و قابل دفاع نیست.

شما برای امن کردن یک دارایی می توانید آنرا در گاوصندوق بگذارید اما اگر مسئول گاو صندوق کلیدش را به دزد بدهد دیگر کاری از شما ساخته نیست. یک مثال:

یک موسسه مالی از یک نرم افزار سازمانی جهت حسابداری و کنترل دارایی خود و مشتریانش استفاده میکند خود نرم افزار هیچگونه باگی ندارد و شبکه هم فوق العاده امن است و هزینه زیادی صرف امنیت سخت افزاری و نرم افزاری شده و مهاجم برای نفوذ امکان دسترسی به روشهای معمول هک را ندارد یا اصلا دانش فنی آن را ندارد، ولی در این سازمان کارمندانی مشغول به کار هستند که آموزش لازم در زمینه مهندسی اجتماعی را ندیده اند. مهاجم در کمال خونسردی با یکی از کارمندان تماس می گیرد و خود را مهندس مسئول شبکه یا مسئول نرم افزار موسسه معرفی میکند و قبل از این به سادگی در تماس با سازمان نام و اطلاعات اولیه واحدهای سازمان را بدست آورده و در تماس نهایی با کارمند یکی از واحدها:

مهاجم: حسینی هستم مسئول IT درحال ارتقا نسخه نرم افزار هستیم لطفا رمز خود را به Newversion2 تغییر دهید. ضمنا تا یک ساعت وارد سیستم نشید چون هر تراکنشی ممکنه باعث اختلال بشه.
کارمند: خوب هستید آقای حسینی من الان دارم سند میزنم میشه چند دقیقه دیگه این کار رو بکنید ضمنا من یه مشکلی هم با فلش یو اس بی دارم.
مهاجم: ما امروز به همه واحدها اعلام کرده بودیم ولی مشکلی نداره من شما رو درک میکنم. می تونم تغییر سیستم شما رو با 10 دقیقه تاخیر انجام بدم.
کارمند: ولی به بنده اعلام نشده بود، به هر حال ممنونم که همکاری میکنید.
مهاجم: خواهش میکنم، در خصوص مشکلتون هم فردا تماس بگیرید، اسمتون رو بفرمایید من سریع کارتون رو انجام میدم، فرمودید شما آقای؟
کارمند: علوی هستم.
مهاجم: پس جناب علوی شما رمز رو الان تغییر بدید بنده هم از 10 دقیقه دیگه برنامه رو ارتقا میدم، راستی نام کاربریتون چی بود؟
کارمند: مثل بقیه نام خانوادگی...

به همین راحتی مهاجم با روش مهندسی اجتماعی، اطلاعات محرمانه بسیار با ارزش سیستم بانکی را از کارمندی که تصور میکرد در حال مکالمه با مسئول شبکه سازمان است دریافت کرد، بعلاوه اینکه اکثر نامهای کاربری در اختیار مهاجم قرار گرفت:
username: alavi
password: Newversion2

مهاجمان چند مرحله تا رسیدن به هدف فاصله دارند:
در مرحله اول تحقیقات اولیه، سپس جلب اطمینان و مرحله سوم دریافت اطلاعات و در نهایت سوء استفاده از اطلاعات که هدف بوده.

واقعا فکر می کنید اگر فردا به همین روش کسی با سازمان شما تماس بگیرد کارمندان سازمان شما چقدر در برابر دادن اطلاعات به فرد مهاجم مقاومت می کنند؟

من حاضرم این امتحان را براتون انجام بدم!😜

بله!

من چند موردش رو در ایران دیدم

یکی از کارمندان یکی از سرویس دهنده های Hosting در ایران، Email های بازرگانی و بازاریابی مشتریانش رو به رقبای مشتری می فروخت!

اما پیاده سازی DLP نیاز به بلوغ سازمانی بالایی داره. سازمان هم باید هزینه کنه و هم جورش رو بکشه

سازمانهای زیادی دیدم در ایران که چندساله صحبت از پیاده سازی DLP می زنن ولی جرات نکردن اجرا کنن

یا ناقص اجرا کردن

یا اصلا حاضر نیستن هزینه کنن