הנדסה חברתית - כך ההאקרים מפילים אתכם ברשת

למאמר הבא
ESET

אנחנו נתקלים בזה כל הזמן – הודעות מסתוריות מהבנק שטוענות שאנחנו צריכים לעדכן סיסמה, או הודעות SMS שמבשרות לנו על זכיה ענקית בלוטו. כל ההונאות האלו מכונות "הנדסה חברתית" ומטרתן היא לגרום לכם לעשות את מה שההאקר רוצה שתעשו. איך מזהים ונמנעים מהונאות כאלה?

הונאות "הנדסה חברתית" הן חלק כמעט בלתי נפרד מכל הונאות האינטרנט הנפוצות בימינו. המטרה שלהן היא לגרום לכם לסמוך על התוקף מספיק על מעת להיענות לדרישותיו – בין אם הוא רוצה שתתנו לו את הסיסמה שלכם, תפתחו ותתקינו קובץ כלשהו או שתשתפו איתו פרטים סודיים אחרים.

למעשה, האקרים משתמשים בהונאות הנדסה חברתית על מנת לתקוף את החוליה החלשה ביותר בשרשרת האבטחה – הגורם האנושי – ובכך לעקוף מנגנוני הגנה מתקדמים יותר.

אז מה זה בכלל "הנדסה חברתית"?

המונח "הנדסה חברתית", במובן הרחב ביותר שלו, מתייחס לניצול של תכונות פסיכולוגיות אצל האדם כדי לגרום לו להיענות לבקשות התוקף. במילים אחרות – המטרה של הנדסה חברתית היא לגרום לאחרים לעשות דברים בניגוד לרצונם, או בניגוד לשכל הישר. אך הרבה פעמים, התוקף נשמע משכנע מספיק כדי לגרום לקורבן שלו לשתף פעולה.

בהקשר של הונאות מקוונות, הנדסה חברתית מתוארת בתור טקטיקות שלא מתבססות על טכנולוגיה שבעזרתן האקרים משתמשים כדי לבצע הונאות, לאסוף מידע או להשיג גישה למחשבים של הקורבנות שלהם. הנדסה חברתית מסתמכת על יחסי אנוש והיא מנסה לגרום לכם לסמוך על התוקף עד כדי כך שלא תחשדו בו לפני שתמסרו לו את הפרטים הפרטיים ביותר שלכם.

הודעות פישינג, שיחות טלפון מ"נציגי תמיכה" מתחזים ואפילו הפצה של התקני USB נגועים בווירוסים "בחינם" הם סוגים נפוצים של הונאות הנדסה חברתית. הונאות כאלה קיימת גם ברשתות חברתיות כמו פייסבוק וליקדאין, שם התוקפים עלולים ליצור איתכם קשר ולנסות לרכוש את אמונכם – לעיתים במשך חודשים ארוכים של התכתבויות – לפני שהסיבה האמיתית ליצירת הקשר נחשפת.

הנדסה חברתית והעולם האמיתי

הנדסה חברתית אינה מוגבלת לאינטרנט בלבד. למעשה כל הונאה שהמטרה שלה היא השגת מידע אישי או סודי יכולה להיחשב כהנדסה חברתית.

זה כולל הונאות כמו Tailgating שהיא התגנבות אחרי אנשים לתוך בנייני משרדים או אזורים מאובטחים, תוך התחזות לשליח או מנקה. במקרה מפורסם אחד הצליח חוקר אבטחה להתגנב בצורה חשאית למשרדים של חברה טכנולוגית גדולה ולגנוב מידע עסקי רב. למזלה של אותה חברה המטרה שלו הייתה להעלות את המודעות לנושא האבטחה, כך שלא נגרם שום נזק ממשי.

לאחרונה פושע אחד מבריטניה אפילו הצליח לברוח מהכלא תוך שימוש בטקטיקות של הנדסה חברתית. באמצעות סמארטפון שהוברח אליו לתא, הוא יצר תיבת דואר אלקטרוני מזויפת באמצעותה הוא התחזה לנציג בית המשפט ושלח הנחיות עבור השחרור שלו בערבות לצוות בית הסוהר. אותו עציר שוחרר בעקבות אותה הודעת דואר אלקטרוני אך מאוחר יותר, כשנגלתה ההונאה, הסגיר את עצמו שוב.

הנדסה החברתית היא כלי נשק יעיל מאוד בארסנל של פושעי הרשת, והם משתמשים בו בעיקר כדי לגנוב פרטים אישיים וסיסמאות, לדביק את הקורבנות שלהם בתכנות זדוניות או לגרום להם לשלם על כל מיני שירותים או מוצרים מומצאים. בנוסף, הנדסה חברתית היא עבודה קלה יחסית. קל יותר "לעבוד" על מישהו ולגרום לו לתת לכם את הסיסמה שלו מרצונו, מאשר להשקיע כסף ומאמץ מלפרוץ, לדוגמה, לתיבת האימייל שלו.

חמישה דברים שכדאי לדעת על הנדסה חברתית:

1. לא הונאות סייבר בלבד

הנדסה חברתית היא אחת מההונאות הוותיקות ביותר והיא לא מוגבלת לעולם האינטרנט בלבד. למעשה, נוכלים השתמשו בהנדסה חברתית בעולם "האמיתי" משחר ההיסטוריה תוך התחזות לכבאים, טכנאים, רופאים או מגידי עתידות במטרה להשיג מידע אישי או סודי שלאחר מכן שימש אותם כדי להשיג דברים חומריים יותר - כמו כסף.

2. האיכות ההונאות משתנה

איכות מתקפות ההנדסה החברתית משתנה מאוד ממתקפה אחת לאחרת. הרבה מההונאות נראות חובבניות במיוחד, עם שפה משובשת, סיפורים שסותרים את עצמם ומידע מבלבל. אבל לעיתים אנחנו עדים גם למתקפות הנראות אוטנטיות לחלוטין שמשתמשות בשפה תקינה, חומרים גרפיים איכותיים ואתרים מתחזים שלא היו מביישים חברות אמיתיות.

סביר להניח שכבר נתקלתם בכמה מההונאות האלה בעצמכם: החל מהודעות אימייל מפוקפקות מ"פליט ניגרי" כלשהו או הודעות שטוענות שזכיתם בסכומי כסף דימיוניים בהגרלת הלוטו של מדינה אחרת. קיימות אינספור דוגמאות לשימוש בהנדסה חברתית בהונאות סייבר.

3. גם מדינות עושות את זה

ריגול מקוון משחק תפקיד חשוב במאמצי הסייבר של מעצמות כמו רוסיה, ארה"ב, סין ומדינות נוספות, ואפילו הן משלבות טקטיקות של הנדסה חברתית כחלק ממתקפות סייבר מתוחכמות ורחבות יותר. בהרבה מהמקרים "איש המטרה" יהיה אדם בעל דרגה בכירה בגוף המותקף, כך שתהיה לו גישה למידע רגיש או מסווג.

דוגמה לכך התרחשה ממש לאחרונה במתקפת סייבר נגד תחנות כוח באוקראינה שבוצעה, לכאורה, על ידי רוסיה. המתקפה כללה הדבקה של מערכות המחשוב בתחנת הכוח בתוכנה זדונית מתקדמת ביותר, אך את הפרצה הראשונית למערכת השיגו התוקפים באמצעות קובץ זדוני שצורף להודעת דואר אלקטרוני תמימה למראה שנשלחה לעובדים בכירים בתחנה.

4. לא תקבלו אזהרות

הדבר המדאיג ביותר לגבי המתקפות הוא שאין שום סימן מובהק שיגיד לכם שאתם תחת מתקפה. אין הודעה שדורשת מכם לשלם (כמו בתוכנות כופר) או פרסומת מפחידה שרוצה שתורידו אפליקציה או תוכנה כלשהי. רוב הזמן, הפושעים מאחורי המתקפה גונבים את המידע שלכם ונעלמים, וייתכן שלעולם לא תדעו על כך.

5. הנדסה חברתית נגד ארגוני ענק

התקפות הנדסה חברתית משפיעות על כולנו, אבל יותר ויותר מתקפות מכוונות בימים אלה כלפי חברות וארגונים מהמגזר העסקי.

עיקר מתקפות ההנדסה החברתית במגזר העסקי בוחרות במנהלים בכירים בתור יעד המתקפה. מבחינת התוקפים מנהלים הם "מכרה זהב" – אם הם נופלים בהונאה, המידע שאתה יכול להשיג באמצעותם הוא בעל ערך רב יותר מאשר עובדים זוטרים בחברה.

איך נמנעים?

צריך לזכור שמטרת הונאות ההנדסה החברתית היא קודם כל לזכות באמונכם, אז הפושעים שמאחורי אותן הונאות יעשו הכל כדי לגרום לה להיראות אמינה ככל האפשר. אבל ישנם כמה כללים שיעזרו לכם להימנע מההונאות:

1. בנקים, חברות האשראי, רשתות חברתיות ושירותים מקוונים אחרים לעולם לא יבקשו מכם "לעדכן פרטים" או "לאפס סיסמה"
    בהודעת דואר אלקטרוני. אז מומלץ להתעלם מכאלו הודעות. אם אתם רוצים להיות בטוחים, צרו קשר עם שירות הלקוחות של
    השירות שכביכול פנה אליכם – אך אל תלחצו על אף קישור ואל תתקשרו לאף מספר טלפון, שמופיעים במייל עצמו.

2. הודעות שהן "טובות מכדי להיות אמיתיות" – כמו זכיה בלוטו, אדם שמבקש להעביר דרככם סכום גדול של כסף ממדינה זרה
    ואפילו מישהו שמציע לכם לקנות רכב במחיר נמוך באופן מחשיד ממחירי השוק – הן ברוב המקרים הונאות ויש להפעיל את
    השכל הישר לפני שעונים על הודעות בעלי אופי כזה או דומה.

3. מומלץ להשתמש בתוכנות לסינון דואר זבל. תוכנות כאלה יכולות למנוע מהודעות כאלה מלהגיע לתיבת הדואר הנכנס שלכם
    מלכתחילה, וכך להגן עליכם מההונאה.

4. היזהרו מ"הצעות חברות" של אנשים שאינכם מכירים ברשתות החברתיות, במיוחד אם אין לכם אף חבר או מכר משותף.
    אנשים רבים נפלו קורבן לנוכלים שפיתחו איתם קשרי ידידות ארוכים ברשת - עד שבשלב כלשהו נחשף העוקץ כשאותם
    אנשים ביקשו מהם תמיכה כספית.

5. הגנו על המחשב שלכם באמצעות תוכנת אבטחה וודאו שמערכת ההפעלה שלכם מעודכנת. זכרו, לאחר שהתקופים זכו
    באמונכם באמצעות הנדסה חברתית, הם עלולים לנסות להדביק אתכם בתוכנה זדונית כזו או אחרת. לכן חשוב להקפיד להגן
    על המחשב עם התוכנות המתאימות.