מתקפות סייבר
איך ההאקרים גורמים לכם לעשות בדיוק את מה שהם רוצים?
מאת גיל נוילנדר, מנכ"ל ESET ישראל.
קיבלתם פעם מייל מהבנק שטען שאתם צריכים לעדכן סיסמה? או שאולי קיבלתם SMS שמודיע שזכיתם בפרס ענק בלוטו? הונאות כאלה מכונות "הנדסה חברתית" והמטרה שלהן היא לגרום לכם לעשות מה שהתוקף רוצה שתעשו. אז איך תזהו ותמנעו מהן?
הונאות הנדסה חברתית הן חלק בלתי נפרד כמעט מכל הונאות הרשת הנפוצות היום. בין אם מדובר במתקפות ענק נגד מדינות או חברות גדולות או בין אם מדובר בהתקפה על גולש אחד במקום כלשהו בעולם, מטרת התוקף היא זהה – לגרום לכם לסמוך עליו מספיק כדי שתיענו לבקשותיו.
למעשה, בזמן שיש פשיעה אינטרנטית שתפקידה לנצל פרצות טכנולוגיות – בחומרה או בתוכנה – הונאה חברתית מנצלת את החוליה הכי חלשה בשרשרת האבטחה והיא פרצה דרך הגורם האנושי.
מהי בדיוק "הנדסה חברתית"?
במובן הרחב ביותר, המונח "הנדסה חברתית" מתייחס לניצול של תכונות פסיכולוגיות אצל האדם במטרה לגרום לו להיענות לבקשות התוקף. במילים אחרות – בעזרת הנדסה חברתית אתם יכולים לגרום לאחרים לעשות את מה שאתם רוצים שהם יעשו, כאשר לא בדיוק מדובר בטובתם. לדוגמה, אתם יכולים להתקשר למישהו ולשכנע אותו שאתם עובדים בבנק ולגרום לו לתת לכם את הסיסמה לחשבון או את מספר כרטיס האשראי שלו.
בהקשר של הונאות סייבר, הנדסה חברתית מתוארת בתור טקטיקה לא טכנולוגית שבה האקרים משתמשים כדי לאסוף מידע, לבצע הונאות או להשיג גישה למחשבי הקורבנות שלהם. הנדסה חברתית מסתמכת על יחסים בין אנשים והיא מנסה לגרום לכם לסמוך על התוקף כך שלא תחשדו ותמסרו לו את הפרטים הסודיים ביותר שלכם.
הונאות הנדסה חברתית נפוצות כוללות הודעות פישינג, שיחות טלפון מ"נציגי תמיכה" ואפילו הפצה של התקני דיסק-און-קי תמימים למראה "בחינם" המכילים תוכנות זדוניות. הנדסה חברתית קיימת גם ברשתות חברתיות כמו פייסבוק וליקדאין. התוקפים עלולים ליצור איתכם קשר באמצעות הרשתות האלה ולרכוש את אמונכם – לעיתים במשך חודשים ארוכים של התכתבות – לפני שהסיבה האמיתית ליצירת הקשר נחשפת.
הנדסה חברתית בעולם האמיתי
הנדסה חברתית אינה מוגבלת לתחום הרשת בלבד. למעשה כל הונאה שמטרתה השגת מידע אישי או סודי יכולה להיחשב כהנדסה חברתית.
זה כולל דברים כמוTailgating שהיא התגנבות אחרי אנשים לתוך משרדים או אזורים מאובטחים, לרוב תוך התחזות לשליח או מנקה. במקרה מפורסם אחד הצליח חוקר אבטחה להתגנב בצורה הזו למשרדים של חברה טכנולוגית מובילה ולגנוב מידע עסקי רב. למזלה של אותה חברה הוא עשה זאת כדי להעלות את המודעות לנושא האבטחה, ולא נגרם לה כל נזק.
לאחרונה נוכל אחד מבריטניה אפילו הצליח לברוח מהכלא תוך שימוש בטקטיקות של הנדסה חברתית. באמצעות סמארטפון שהוברח אליו לתא, הוא יצר תיבת דואר אלקטרוני מזויפת באמצעות הוא התחזה לנציג בית המשפט ושלח הנחיות עבור השחרור שלו בערבות לצוות בית הכלא. אותו עציר שוחרר בעקבות אותה הודעת דואר אלקטרוני, אך מאוחר יותר, כשנגלתה ההונאה, הסגיר את עצמו שוב.
הנדסה החברתית היא כלי נשק יעיל מאוד בארסנל של פושעי הרשת, והם משתמשים בו בעיקר כדי לגנוב פרטים אישיים וסיסמאות, לדביק את הקורבנות שלהם בתכנות זדוניות או לגרום להם לשלם על כל מיני שירותים או מוצרים מומצאים. בנוסף, הנדסה חברתית היא עבודה קלה יחסית. קל יותר "לעבוד" על מישהו ולגרום לו לתת לכם את הסיסמה שלו מרצונו, מאשר להשקיע כסף ומאמץ מלפרוץ, לדוגמה, לתיבת האימייל שלו.
חמישה דברים שאתם צריכים לדעת על הנדסה חברתית:
- לא רק הונאות סייבר
הנדסה חברתית היא אחת מההונאות הוותיקות ביותר והיא לא מוגבלת לעולם האינטרנט בלבד. למעשה, נוכלים השתמשו בהנדסה חברתית בעולם "האמיתי" משחר ההיסטוריה תוך התחזות לכבאים, טכנאים, רופאים או מגידי עתידות במטרה להשיג מידע אישי או סודי שלאחר מכן שימש אותם כדי להשיג דברים חומריים יותר – כמו כסף.
- האיכות משתנה
איכות מתקפות ההנדסה החברתית משתנה מאוד ממתקפה אחת לאחרת. הרבה מההונאות נראות חובבניות במיוחד, עם שפה משובשת, סיפורים שסותרים את עצמם ומידע מבלבל. אבל לעיתים אנחנו עדים גם למתקפות הנראות אוטנטיות לחלוטין שמשתמשות בשפה תקינה, חומרים גרפיים איכותיים ואתרים מתחזים שלא היו מביישים חברות אמיתיות.
סביר להניח שכבר נתקלתם בכמה מההונאות האלה בעצמכם: החל מהודעות אימייל מפוקפקות מ"פליט ניגרי" כלשהו או הודעות שטוענות שזכיתם בסכומי כסף דימיוניים בהגרלת הלוטו של מדינה אחרת. קיימות אינספור דוגמאות לשימוש בהנדסה חברתית בהונאות סייבר.
- אפילו מדינות עושות את זה
ריגול מקוון משחק תפקיד חשוב במאמצי הסייבר של מעצמות כמו רוסיה, ארה"ב, סין ומדינות נוספות, ואפילו הן משלבות טקטיקות של הנדסה חברתית כחלק ממתקפות סייבר מתוחכמות ורחבות יותר. בהרבה מהמקרים "איש המטרה" יהיה אדם בעל דרגה בכירה בגוף המותקף, כך שתהיה לו גישה למידע רגיש או מסווג.
דוגמה לכך התרחשה ממש לאחרונה במתקפת סייבר נגד תחנות כוח באוקראינה שבוצעה, לכאורה, על ידי רוסיה. המתקפה כללה הדבקה של מערכות המחשוב בתחנת הכוח בתוכנה זדונית מתקדמת ביותר, אך את הפרצה הראשונית למערכת השיגו התוקפים באמצעות קובץ זדוני שצורף להודעת דואר אלקטרוני תמימה למראה שנשלחה לעובדים בכירים בתחנה.
- אין סימני אזהרה
הדבר המדאיג ביותר לגבי המתקפות הוא שאין שום סימן מובהק שיגיד לכם שאתם תחת מתקפה. אין הודעה שדורשת מכם לשלם (כמו בתוכנות כופר) או פרסומת מפחידה שרוצה שתורידו אפליקציה או תוכנה כלשהי. רוב הזמן, הפושעים מאחורי המתקפה גונבים את המידע שלכם ונעלמים, וייתכן שלעולם לא תדעו על כך.
- הנדסה חברתית תוקפת גם ארגוני ענק
התקפות הנדסה חברתית משפיעות על כולנו, אבל יותר ויותר מתקפות מכוונות בימים אלה כלפי חברות וארגונים מהמגזר העסקי.
עיקר מתקפות ההנדסה החברתית במגזר העסקי בוחרות במנהלים בכירים בתור יעד המתקפה. מבחינת התוקפים מנהלים הם "מכרה זהב" – אם הם נופלים בהונאה, המידע שאתה יכול להשיג באמצעותם הוא בעל ערך רב יותר מאשר עובדים זוטרים בחברה.
איך נמנעים?
צריך לזכור שמטרת הונאות ההנדסה החברתית היא קודם כל לזכות באמונכם, אז הפושעים שמאחורי אותן הונאות יעשו הכל כדי לגרום לה להיראות אמינה ככל האפשר. אבל ישנם כמה כללים שיעזרו לכם להימנע מההונאות:
- בנקים, חברות האשראי, רשתות חברתיות ושירותים מקוונים אחרים לעולם לא יבקשו מכם "לעדכן פרטים" או "לאפס סיסמה" בהודעת דואר אלקטרוני. אז מומלץ להתעלם מכאלו הודעות. אם אתם רוצים להיות בטוחים, צרו קשר עם שירות הלקוחות של השירות שכביכול פנה אליכם – אך אל תלחצו על אף קישור ואל תתקשרו לאף מספר טלפון, שמופיעים במייל עצמו.
- הודעות שהן "טובות מכדי להיות אמיתיות" – כמו זכיה בלוטו, אדם שמבקש להעביר דרככם סכום גדול של כסף ממדינה זרה ואפילו מישהו שמציע לכם לקנות רכב במחיר נמוך באופן מחשיד ממחירי השוק – הן ברוב המקרים הונאות ויש להפעיל את השכל הישר לפני שעונים על הודעות בעלי אופי כזה או דומה.
- מומלץ להשתמש בתוכנות לסינון דואר זבל. תוכנות כאלה יכולות למנוע מהודעות כאלה מלהגיע לתיבת הדואר הנכנס שלכם מלכתחילה, וכך להגן עליכם מההונאה.
- היזהרו מ"הצעות חברות" של אנשים שאינכם מכירים ברשתות החברתיות, במיוחד אם אין לכם אף חבר או מכר משותף. אנשים רבים נפלו קורבן לנוכלים שפיתחו איתם קשרי ידידות ארוכים ברשת – עד שבשלב כלשהו נחשף העוקץ כשאותם אנשים ביקשו מהם תמיכה כספית.
- הגנו על המחשב שלכם באמצעות תוכנת אבטחה וודאו שמערכת ההפעלה שלכם מעודכנת. זכרו, לאחר שהתקופים זכו באמונכם באמצעות הנדסה חברתית, הם עלולים לנסות להדביק אתכם בתוכנה זדונית כזו או אחרת. לכן חשוב להקפיד להגן על המחשב עם התוכנות המתאימות.