الگوریتم‌های فناوری یادگیری ماشین، ابزاری برای اسکم

۱۳۹۸/۷/۱۵امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ فناوری‌های جدید آشکارا در حال تغییرِ این جهانند؛ اما مغز انسان همچنان همان است. در نتیجه، نبوغ شیطانی مدام در کار است تا ابداعاتی فناوری‌محور طراحی کند که از این طریق بشود آسیب‌پذیری‌های داخل مغز انسان را مورد هدف قرار دهد. نمونه‌ی بارزش اینکه اسکمرها صدای مدیر ارشد اجرایی شرکتی بین‌المللی را تقلید کردند تا بدین واسطه، مدیریت شرکت تابعه‌اش را فریب داده و مجاب شود مبلغی را به اکانت‌های جعلی آن‌ها انتقال دهد. داستان چه بود؟

چند و چون این حمله هنوز مشخص نیست؛ اما روزنامه‌ی وال‌استریت‌ژورنال با استناد به شرکت Euler Hermes Group SA واقعه را چنین شرح می‌دهد:

  1. مدیر ارشد اجرایی شرکت انگلیسیِ انرژی وقتی تلفن را جواب داد فکر کرد دارد با مافوق خود یعنی مدیر اجرایی شرکت مادرش (که در آلمان بود) صحبت می‌کند. او درخواست ارسال 220 هزار یورو ظرف یک ساعت کرده بود.
  2. مدیریت اجرایی بریتانیایی مبلغ درخواستی را انتقال داد.
  3. مهاجمین باری دیگر تماس گرفتند و گفتند این شرکتِ مادر پول را برای بازپرداخت به این شرکت انگلیسی انتقال داده است.
  4. همان روز کمی بعد، تماس سوم را هم برقرار کردند و این بار خودشان را جای مدیر ارشد اجرایی جا زدند و دومین پرداخت را درخواست کردند.
  5. از آنجایی که انتقالِ بازپرداخت وجوه هنوز میسر نشده بود و سومین تماس از شماره تلفنی اتریشی بود (و نه آلمانی)، مدیریت شک کرد و دومین پرداخت را انجام نداد.

چطور انجامش دادند؟

 دو احتمال وجود دارد: مهاجمین از میان کلی صداهای ضبط‌شده‌ی مدیریت اجرایی به طور دستی بخش‌های گزیده را کنار هم چیده بوده یا (احتمال مورد دوم بیشتر است) آن‌ها از الگوریتم فناوری یادگیری ماشین روی صداهای ضبط‌شده استفاده کرده بودند. متود اول نامطمئن و بسیار زمان‌بر است- خیلی سخت بتوان تکه‌های صداهای ضبط‌شده را به طور معنادار و منسجمی در قالب جمله درست کرد. به نقل از قربانیِ بریتانیایی این حمله، حرف‌های پشت تلفن خیلی عادی به نظر می‌رسید؛ لحن و تن شمرده و واضح با ته‌لهجه‌ی آلمانی. پس نوک پیکان ابتدا به سمت فناوری هوش مصنوعی می‌رود. اما این موفقیت ابتدا مرهون کنترل الگوی رفتاری بشر است تا صرفِ استفاده از فناوری‌های جدید (در این مورد منظورمان تسلیم فرامین مافوق شدن است).

روان‌شناسیِ پسامرگی[1]

روان‌شناسان اجتماعی آزمایشات بسیاری انجام داده‌اند که نشان می‌دهد حتی افراد باهوش و باتجربه نیز در معرض فرمانبرداری بی‌قید وشرط از مافوق قرار دارند؛ حتی اگر این فرمانبرداری با عقاید شخصی، عقل سلیم و یا ملاحظات امنیتی در تضاد باشد. فیلیپ زیمباردو در کتابش تحت عنوان اثر لوسیفر: درک اینکه چگونه آدم‌های خوب به شیطان تبدیل می‌شوند این نوع آزمایش را شرح می‌دهد. در این آزمایش، پرستاران تماسی از سوی پزشک دریافت می‌کنند که از آن‌ها می‌خواهد دوز تزریق به بیمار را دو برابر مقدار مجاز بکنند. از هر 22 پرستار 21 نفر از آن‌ها از این دستور اطاعت کردند. در حقیقت، نیمی از پرستاران با علم به اینکه ممکن است این تزریق به بیمار آسیب بزند سرنگ را پر کردند. پرستارانی که از این دستور تبعیت کردند اعتقاد داشتند در خصوص تجویز نسخه، مسئولیت آن‌ها نسبت به پزشک کمتر است برای همین خیلی درگیر ماجرا نخواهند شد.

استنلی میلگرامِ روانشناس نیز به طور مشابهی با استفاده از «تئوری فردیت»[2] دنباله‌روییِ بی‌قید و شرط از مافوق را توضیح داد. جوهره‌ی اصلی تئوری فردیت این است که اگر افراد خود را ابزاری برای تأمین خواسته‌های سایرین بدانند دیگر خود را مسئول اقدامات خویش تلقی نمی‌کنند.

چه باید کرد؟

نمی‌شود 100% فهمید آدم پای تلفن دقیقاً دارد با چه کسی حرف می‌زند- خصوصاً اگر آن فرد یک چهره‌ی عمومی و شناخته‌شده باشد و از او تعداد زیادی فایل صوتی در دسترس باشد (سخنرانی، مصاحبه). این موارد شاید امروز به ندرت پیش بیایند اما با پیشرفت علم، احتمال می‌رود شاهد موارد بیشتری از این دست باشیم.

شاید با چشم‌بسته پذیرفتن فرامین مافوق، ناخواسته همدست مجرمان سایبری شوید. خیلی طبیعی است که باید حرف مافوق را گوش داد اما این را هم باید در نظر داشت که دستورها نباید تصمیم‌های غیرمنطقی مدیریتی و یا چیزهای عجیب و خارج از عرف باشد. تنها توصیه‌ی ما به شما است که نگذارید کارمندانتان کورکورانه تسلیم دستورات مافوق شوند. بدون توضیح دادن مسئله‌ای و یا آوردن دلیلی، نگذارید از شما فرمانبرداری کنند.

از چشم‌انداز فنی، توصیه‌ی ما این است:

  • تجویز روندی روشن و واضح برای انتقال وجه تا حتی کارمندان رده‌بالا نیز نتوانند پول را بدون اجازه‌ مافوق از شرکت خارج کنند. نقل و انتقالات مبالغ کلان می‌بایست توسط چندین مدیر تحت نظارت قرار گیرد.
  • به کارمندان خود، اصول اولیه‌ی امنیت سایبری را آموزش داده و به آن‌ها یاد دهید همیشه به دستوراتی که از بالا دریافت می‌کنند چند درصدی شک (شکِ سالم) داشته باشند. برنامه‌های آگاهیِ تهدید[3] ما شاید در این راستا بتواند کمک شایانی بکند.

 

[1] Postmortem

[2] Theoryof subjectivity

[3] threat awareness programs

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.