הנדסה חברתית (אבטחת מידע)
הנדסה חברתית (מאנגלית: Social Engineering) היא מושג מתחום האבטחה ובפרט מתחום אבטחת מידע, שמשמעותו ניצול של תכונות פסיכולוגיות של האדם, אשר עשויות להביא אותו לציית לבקשותיו של הפורץ. לכן הנדסה חברתית היא אחת מהטכניקות למימוש לוחמת סייבר.
שיטה זו מאפשרת לעקוף את כל טכנולוגיות מנגנוני האבטחה (כגון אנטי וירוס, חומת אש וכולי), והיא מתבססת על העובדה שכל מערכות המידע נועדו לספק שירותים למשתמשים כלשהם, ולאותם המשתמשים יש אמצעים לגשת אל המידע שהפורץ רוצה להשיג. לדוגמה, באמצעות הנדסה חברתית, הפורץ יכול לשכנע את המשתמש לספק לו מידע רגיש כגון שמות משתמשים וסיסמאות, או לבצע עבורו פעולות כגון הרצת תוכנה לבקשתו. למשל, ההאקר הידוע קווין מיטניק, משתמש לעיתים קרובות במונח זה, וטוען שהנדסה חברתית היא הטכניקה האפקטיבית ביותר ב"ארגז הכלים" שלו[1].
כיום, מנהלי אבטחת מידע רבים מעריכים כי איום זה לחיסיון המידע הארגוני, גדול משמעותית מכל איום טכנולוגי "קלאסי" [2]. הדרכים המקובלות להתמודד ולהגן בהנדסה חברתית היא העלאת המודעות מפני סוגי התקפה של הנדסה חברתית בקרב המשתמשים ובעלי ההרשאות. לדוגמה, בנקים רבים מפרסמים באתרי האינטרנט שלהם שעובדי הבנק לעולם לא יבקשו בטלפון או בדואר אלקטרוני את סיסמת הכניסה לחשבון הבנק של המשתמשים.
שיטות תקיפה נפוצות[עריכת קוד מקור | עריכה]
כל הטכניקות בהנדסה חברתית מבוססות על תכונות פסיכולוגיות מסוימות של האדם, בעיקר בתחום קבלת ההחלטות. תכונות אלו, המכונות לעיתים "באגים בחומרת האדם", ניתנות לניצול בצירופים שונים כדי ליצור טכניקות התקפה. בין סוגי ההתקפות קיימים: דיוג, איסוף מידע, תסריטים, הסחת דעת, פיתוי ועוד.
השימוש בפיתוי הוא בדרך כלל על ידי טקסט שמשכנע את המשתמש להוריד משהו או ללחוץ על קישור. הנה מספר טקסטים לדוגמה:
- "מזל טוב! אתה המשתמש המיליון שלנו, לחץ כאן כדי לקבל את הפרס".
- "לחצו כאן לצפייה בסלבריטאים בעירום".
- "לחצו כאן כדי להוריד את המשחק (השם של המשחק המבוקש)".
הנה דוגמה למשפט בהנדסה חברתית שיכולה לגרום למשתמש שחושב שהוא מוריד משחק מוכר - להפעיל וירוס (אף על פי שהאנטי-וירוס יודיע למשתמש על ההורדה המסוכנת, ויבקש את אישורו להמשך): "שימו לב: אנטי-וירוסים ישנים עלולים להציג את המשחק כווירוס. אל דאגה, המשחק רק משתמש בהרשאות רחבות כדי לחבר אתכם אל המשחק".
דיוג[עריכת קוד מקור | עריכה]
ערך מורחב – דיוג
דיוג ("פישינג") היא שיטת הונאה מהנפוצות ביותר לחשיפת מידע אישי רגיש ממשתמשים בשירותי רשת. בפעולת דיוג הפורץ יוצר אתר אינטרנט מזויף, בעל מראה דומה לדף האינטרנט האמיתי. משתמש שמוזמן להיכנס לאתר המזויף, עשוי להזין לתומו את הפרטים האישיים והסיסמה לתוך האתר המזויף. בהיותו אתר מזויף, הנתונים שהוזנו לאתר נשלחים לשרת שנמצא בשליטתו של הפורץ, וכך יש בידיו גישה מלאה לחשבון משתמש זה.
על מנת לטשטש את עקבות פעולת הדיוג, הפורץ מנסה לגרום למשתמש להרגיש שהכול כשורה. לשם כך ישנן שתי אפשרויות התנהלות מרגע שליחת הפרטים אל הפורץ: רבים מהפורצים מנתבים את המשתמש אוטומטית לדף הכניסה המקורי, ושם המשתמש מתבקש להזין את הפרטים שלו שוב; אמנם מצב כזה מעט מחשיד, אך משתמשים רבים אינם זהירים דיים ומתייחסים לאירועים כאלה כאל "באג" בשירות. דרך התנהלות שנייה, יותר חמקנית, מנתבת את המשתמש לדף הכניסה, מזינה אוטומטית את הפרטים לתוך האתר האמיתי, והמשתמש מועבר אוטומטית לתוך החשבון האמיתי שלו, כך שאינו חושד כלל שמשהו אינו כשורה.
כיום ישנם שירותי רשת רבים שנאבקים בתופעת הדיוג, בשיטות שונות בעלות רמת יעילות שונה.
דרכי התגוננות[עריכת קוד מקור | עריכה]
- כשבקשת העזרה היא בשם חבר או קרוב משפחה, על המותקף לפנות לאותו חבר / קרוב משפחה.
- בקשה למידע ניתן לוודא מול הגורם הרשמי, שממנו הגיעה לכאורה הבקשה.
- מתקפה בדואר אלקטרוני או בטלפון ניתן לנטרל על ידי בקשה לפגישה.
- סיסמאות ונתוני הזדהות אין להעביר בשום מקרה[3].
קישורים חיצוניים[עריכת קוד מקור | עריכה]
- Johnny Long, No-Tech Hacking, הרצאה בנושא הנדסה חברתית, מתוך כנס defcon 15
אמיתי זיו, אוריינות סייבר: במקום מוצרי אבטחה - חנכו את העובדים, באתר TheMarker, 28 באוקטובר 2015
רן לוי, מה מסתתר בתוך הטלפון של פריס הילטון? על הנדסה חברתית, באתר "עושים היסטוריה" (שידור של הפודקאסט וטקסט מלא שלו)
הערות שוליים[עריכת קוד מקור | עריכה]
- ^ Kevin Mitnick, Alexis Kasperavičius, "Certified Social Engineering Prevention Specialist Course Workbook.", page 4. Mitnick Security Publishing, 2004
- ^ Social Engineering Remains a Top Cybersecurity Concern, www.varonis.com (באנגלית)
- ^ לפי מכתב תאגיד שנשלח ללקוח