«تخلیه تلفنی» یک واژه ساده دارد، اما پشتش روانشناسی عمیق، مهندسی اجتماعی و کمی شیادی حرفهای خوابیده است. مهاجم پشت خط نه هکر نابغه با عینک دودی است، نه مأمور فیلمهای جاسوسی؛ اغلب فقط کسی است که بلد است اعتماد بسازد، اضطرار ایجاد کند، و شما را وادار به حرف زدن کند.
تخلیه تلفنی یعنی گرفتن اطلاعات حساس از طریق مکالمه، بدون نفوذ فنی. ابزارش صداست، سلاحش سؤال.
حالا دفاع از آن، بیشتر از اینکه فنی باشد، فرهنگی و روانشناختی است.
اول باید بفهمیم مهاجم چه کار میکند. معمولاً خودش را جای یک فرد معتبر جا میزند: کارمند فناوری اطلاعات، همکار واحد مالی، مدیر ارشد، پیمانکار، یا حتی نهادهای رسمی. تکنیکهای کلاسیکش اینهاست: ایجاد فوریت («الان باید انجام بشه»)، ایجاد ترس («اگه همکاری نکنید حساب مسدود میشه»)، یا ایجاد صمیمیت («ما قبلاً با هم صحبت کردیم»). این همان چیزی است که در امنیت به آن مهندسی اجتماعی میگویند.
پس دفاع واقعی از کجا شروع میشود؟ از آموزش.
کارکنان باید بدانند: هیچ مقام یا واحد معتبری رمز عبور، کد تأیید، اطلاعات دسترسی یا جزئیات امنیتی را تلفنی درخواست نمیکند. اگر چنین درخواستی شد، همان لحظه باید زنگ خطر ذهنی روشن شود. سازمان باید سیاست رسمی داشته باشد که انتقال اطلاعات حساس از طریق تماس تلفنی بدون احراز هویت چندمرحلهای ممنوع است.
احراز هویت متقابل خیلی مهم است. یعنی فقط شما نیستید که باید خودتان را معرفی کنید؛ تماسگیرنده هم باید هویتش را اثبات کند. روش ساده؟ تماس را قطع کنید و از طریق شماره رسمی ثبتشده سازمان با او تماس بگیرید. نه شمارهای که خودش اعلام میکند. این تفاوت کوچک، بسیاری از حملات را خنثی میکند.
ثبت و گزارشدهی هم حیاتی است. هر تماس مشکوک باید گزارش شود، حتی اگر اطلاعاتی افشا نشده باشد. این کار باعث میشود الگوی حملات شناسایی شود. امنیت سازمانی مثل سیستم ایمنی بدن است؛ اگر یک ویروس را تشخیص بدهد، برای بعد آمادهتر میشود.
از نظر ساختاری، باید اصل «حداقل دسترسی» رعایت شود. یعنی هر کارمند فقط به اطلاعاتی دسترسی داشته باشد که برای کارش لازم است. اگر اطلاعات طبقهبندی شده باشد و توزیع آن محدود باشد، حتی اگر کسی فریب بخورد، خسارت محدود میشود.
تمرین شبیهسازی هم مؤثر است. بعضی سازمانهای پیشرفته عمداً حملات مهندسی اجتماعی آزمایشی انجام میدهند تا ببینند کارکنان چقدر مقاوم هستند. این کار اگر درست اجرا شود، آموزش عملی فوقالعادهای است. البته بدون تحقیر افراد؛ هدف تقویت سیستم است، نه سرزنش انسان.
یک نکته ظریف روانشناختی: بیشتر افراد از «نه گفتن» میترسند، مخصوصاً وقتی طرف مقابل خودش را مقام بالاتر معرفی کند. باید در فرهنگ سازمانی جا بیفتد که رد کردن درخواست مشکوک نه بیاحترامی است، نه تمرد؛ بلکه وظیفه حرفهای است. امنیت از شجاعتهای کوچک شروع میشود.
در نهایت، تخلیه تلفنی بیشتر یک بازی ذهن است تا یک نفوذ فنی. بهترین فایروال دنیا اگر پشتش انسانی باشد که تحت فشار روانی اطلاعات میدهد، عملاً دور زده شده است. امنیت واقعی یعنی ترکیب سیاست روشن، آموزش مستمر، ساختار دسترسی محدود، و فرهنگ گزارشدهی فعال.
جالب است بدانیم بسیاری از بزرگترین نفوذهای تاریخ از یک تماس ساده شروع شدهاند، نه از کد پیچیده. انسان همیشه ضعیفترین و در عین حال پیچیدهترین حلقه زنجیره امنیت است. همین پیچیدگی است که هم آسیبپذیری میآورد، هم امکان دفاع هوشمندانه
