"הנדסה חברתית" ו"גניבת זהות" הם שני מונחים מתחום האבטחה שאנחנו שומעים הרבה מאוד. איך פושעי העולם המקוון משתמשים בטכניקות האלה כדי להכניס את היד לכיס שלכם?
אנחנו כבר מזמן יודעים שהמטרה העיקרית של ההאקרים, שלשמה הם פורצים למחשבים שלנו, מפתחים תוכנות זדוניות או וירוסים חדשים, היא כסף, והרבה! בימינו, כאשר כלי פריצה זמינים לכל דורש בכל מיני פורומים מחתרתיים, האקר לא חייב להיות איזה גאון מחשבים או בעל כישורים מיוחדים. כל שהוא צריך הוא התוכנה המתאימה וקורבן תמים, ולקצור מהמחשב שלו מידע בעל ערך כספי - כמו מספר כרטיס אשראי, גישה לחשבון הבנק או ה- PayPal שלו, והוא מסודר.
הנדסה חברתית – התגברות על מנגנוני האבטחה
כדי שהאקר כלשהו יצליח לפרוץ לכם למחשב, עליו לעבור את מנגנוני האבטחה שהצבתם – תוכנת אנטי וירוס, סיסמאות, חומת אש ועוד. כדי לעשות זאת ההאקר צריך להיות מיומן מאוד, שכן להצליח לעבור את תוכנת האבטחה ולפרוץ סיסמאות מורכבות הוא לא דבר של מה בכך. וכאן נכנסת לתמונה ה"הנדסה החברתית" – כי בעצם בשביל מה להתאמץ אם ניתן פשוט לקבל את המפתח לדלת הראשית מהקורבן עצמו? הפירוש של הנדסה חברתית לפי וויקיפדיה - "ניצול של תכונות פסיכולוגיות של האדם אשר עשויות להביא אותו לציית לבקשותיו של הפורץ".
שיטות ההנדסה החברתית הן מגוונות מאוד. אחת המוכרות יותר היא פישינג שמטרתן "לדוג" את הסיסמאות שלכם, המתבצעות בדרך כלל באמצעות הדואר אלקטרוני שלכם ומפנה אתכם לאתרים המתחזים לאתרים מוכרים כדי לגנוב כסף ופרטים אחרים שלאחר מכן ישמשו להתחזות לגולשים.
לרוב המשתמשים בעולם היום יש לפחות פרופיל אחד ברשת חברתית כזו או אחרת או מנוי לאתר אחר כלשהו שמאפשר צפייה רק למשתמשים רשומים. מצב זו מצריך אותנו, המשתמשים, לזכור פרטי גישה רבים לאתרים שונים. עכשיו עם יד על הלב, לכמה מהאתרים עליהם אתם מנויים אתם משתמשים באותה סיסמה בדיוק? אבל את האמת! כשאתם משתמשים באותה סיסמה לאתרים שונים, אתם בעצם הופכים את העבודה של האקרים לקלה במיוחד, כי לאחר שהם פרצו לחשבון אחד הם יכולים בקלות לפרוץ לשאר החשבונות המקוונים שלכם ללא מאמץ.
הונאת הנדסה חברתית נוספת שנתקלתי בה בעבר הייתה מפתיעה ואפילו על גבול החוצפה – קיבלתי שיחה מאישה חביבה, שעל פי הקול הייתה באזור ה 60 לחייה (מה שאמור היה לשדר אמינות של סבתא?). האישה החביבה הודיעה לי בחגיגיות שעליתי בגורל בהגרלת "שקר כלשהו" וזכיתי בפרס כספי של כמה אלפי שקלים. לדבריה העברת הפרס מתבצעת לחשבון האשראי, וכדי שאוכל לקבל את הפרס אני צריך לספק את מספר כרטיס האשראי שלי. מעניין לדעת כמה אנשים נפלו בהונאה הזו – שברוח העליזה שנחתה עליהם למשמע ההודעה על הזכייה נתנו לאדם זר לחלוטין את מספר כרטיס האשראי שלהם.
גניבת זהות
אך לא כל ההונאות הן ישירות כמו המקרה הנ"ל. בהרבה מקרים מטרת ההונאה הי השגת פרטי הגישה לפרופיל הפייסבוק או הדואר האלקטרוני שלנו. סביר להניח שהאקרים לא מעוניינים בתמונות שעשיתם עם חמתכם בצפון, אז מה יש להם כבר לעשות עם הסיסמאות שלנו?
התשובה היא 'גניבת זהות' - גישה לפרופיל הפייסבוק שלכם למשל, תאפשר לתוקף לפרסם דברים בשמנו שעלולים להיראות אמינים לחברים שלנו. באותם פרסומים ניתן אפילו לשתול קישורים לאתרים שידביקו את החברים שלנו בווירוסים - מה שיאפשר להאקר לתקוף מחשבים נוספים תוך התחזות אלינו.
אך לעומת הפייסבוק, פרטי גישה לחשבון הג'ימייל שלנו הם ממש אוצר. הפורץ יכול למשל לשחזר סיסמת PayPal לאימייל שיש לו גישה אליו, והרי לכם חשבון הוצאות פתוח לרכישות ברשת האינטרנט. עם גישה מלאה לחשבוןGmail אפשר לבצע בקלות את הונאת העוקץ הניגרי ושתיראה אפילו אמינה יותר לאנשי הקשר שלי אם היא תגיע מהחשבון האישי שלי. ומעל הכל פרטי חשבון ה Google שלנו מאפשרים שליטה די מלאה על הסמארטפון או הטאבלט שלנו – אם אנחנו בעלים של מכשיר בעל מערכת ההפעלה של אנדרואיד.
כשיש לכם את הסיסמה, ניתן בקלות להיכנס ל Google Play דרך המחשב האישי, לבחור מכשיר שמקושר לחשבון ולהתקין עליו כל אפליקציה שנרצה. משתמשי Apple גם חשופים – פרטי גישה לחשבוןItune שיחשפו, יכולים לאפשר לפורץ גישה לצפייה ושליחה של הודעות טקסט באפליקציית Imessage.
זהו קצה המזלג של גניבת זהות, והונאות מתוחכמות ומושקעות יותר יכולות לקחת את זה כמה צעדים קדימה – כמו לקיחת הלוואות בשמכם או תשלום באמצעות כרטיס האשראי לכם בצורה כזו שלא תצליחו להוכיח שהתשלום בוצע במרמה.
השורה התחתונה היא – שמרו על המידע שלכם מוגן. אל תתפתו לספק מידע אישי אם אינכם יודעים את זהות הדורש, והגנו על הזהות המקוונת שלכם ברשת. בהצלחה.
לכתבות נוספות בנושא אבטחה, מחשבים ואינטרנט
גיל נוילנדר - מנכ"ל ESET ישראל
ESETאודות
חברת ESET הינה ספקית בינלאומית של תוכנת האנטי וירוס NOD32 וחבילת האבטחה ESET Smart Security לארגונים בגדלים שונים וצרכנים פרטיים. החברה מיוצגת ברחבי העולם כולו ביותר מ-180 מדינות וסניפיה המרכזיים ממוקמים היום באנגליה, ארגנטינה, סלובקיה וכמובן ארצות הברית. בישראל, מיוצגת ESET באופן בלעדי על ידי חברת קומסקיור, המפעילה בארץ מרכז פתרונות ותמיכה טכניים בשפה העברית.