איך האקרים מצלחים פעם אחר פעם לעקוף את כל מנגנוני האבטחה שלנו, ולהתקין על המחשב שלנו וירוסים או תוכנות זדוניות אחרות? מסתבר שבשרשרת האבטחה שלנו ישנה חוליה חלשה – רוצים לנחש מה היא?
הנדסה חברתית, או Social Engineering באנגלית, הוא מונח מתחום אבטחת המידע המתייחס לשילוב בין כמה טכניקות הונאה, התחזות ושכנוע אשר גורמות לקורבנות לציית לבקשת התוקף מתוך מטרה, לדוגמה, לספק לו מידע אישי כמו סיסמאות, או לבצע עבורו פעולות שונות על המחשב שלנו (כמו להתקין תוכנה שאיננו יודעים מה היא עושה).
הצרה עם הנדסה חברתית היא שהיא עוקפת את כל מנגנוני האבטחה שהצבנו בדרך, בין ההאקר למידע האישי שלנו. ואכן, מומחי אבטחה רבים טוענים שהחוליה החלשה באבטחת מחשבים בימינו היא למעשה המשתמשים עצמם - הם לוחצים על דברים מבלי לדעת על מה הם בעצם לוחצים, מתקינים תוכנות משונות או מבקרים באתרים מפוקפקים ובכך חושפים את עצמם לאיומים בצורה מתמדת. למעשה מרבית ההונאות המופצות בימינו משתמשות בטכניקות של הנדסה חברתית – לרוב ברשתות החברתיות.
חשדנות
קיימות אין ספור וריאציות שונות בהן הונאות של הנדסה חברתית יכולות להופיע. התכונה שתשמור עליכם במרבית המקרים תהיה חשדנות בריאה – בקשות מוזרות מזרים, חדשות "מדהימות" ממקורות לא ידועים ומבצעים בלתי סבירים בעליל צריכים להדליק אצלכם נורה אדומה. הנדסה חברתית היא האמצעי שבאמצעותו מבקשים "מהנדסי" ההונאות להשיג מידע – מספר כרטיס אשראי, סיסמאות, פרטי חשבון בנק ועוד. מעבר לכך, הונאות ההנדסה החברתית אינן מוגבלות רק לאינטרנט והן עלולות להתבצע גם בטלפון ואפילו ברחוב.
דוגמה לכך היא הונאה שנפוצה בעיקר במדינות דוברות אנגלית ונקראות "הונאות תמיכה" – המשתמש מקבל טלפון מאדם שטוען שהוא נציג חברת מיקרוסופט, או כל חברה מוכרת אחרת מתחום המחשוב. אותו "תומך" מתריע למשתמש שהמחשב שלו נתגלה כנגוע בווירוס מסוכן בסריקה יזומה שנעשתה על ידי אותה חברה ושתמורת סכום נקוב התומך ישמח לעזור לו להיפתר מאותו וירוס. גולשים רבים יותר ממה שתאמינו רצים להביא את כרטיס האשראי, כאשר אין להם באמת מושג למי הם נותנים אותו, ומבלי לשאול יותר מדיי שאלות.
חשוב שתדעו
לעולם, אבל לעולם, נציג תמיכה של חברה מסחרית או בנק לא יבקש מכם את הסיסמה שלכם או את הקוד הסודי של כרטיס האשראי שלכם או פרטים סודיים אחרים "לצורך זיהוי". יוצא הדופן היחידי, אולי, יהיה אם הנציג חזר אליכם בעקבות פניה יזומה שלכם לשירות הלקוחות של הבנק או החברה, וגם אז הוא לרוב יבקש פרטי זיהוי אחרים, כגון מספר תעודת הזהות או ארבע ספרות אחרונות של כרטיס האשראי.
דוגמא מקומית מפורסמת הייתה הונאה לגניבת סיסמאות נגד לקוחות בנק הפועלים לפני מספר שנים. לקוחות רבים קיבלו הודעת דואר אלקטרוני בה הם מתבקשים להתחבר לחשבון שלהם על מנת "לעדכן פרטים" הקישור הפנה את הגולשים לדף אינטרנט מתחזה לדף הבית של בנק הפועלים, בו הם נדרשו להזין את שם המשתמש והסיסמא שלהם. מה שמשתמש זהיר וחשדן היה עושה במקרה זה הוא לסגור את האימייל שקיבל ולהיכנס לאתר הבנק בעצמו בניגוד ללחיצה על הלינק, או אפילו מתקשר לשירות הלקוחות של הבנק כדי להבין במה המדובר.
ההנדסה החברתית בעידן הפייסבוק
הונאות ההנדסה החברתית מסתמכות על תפוצה נרחבת על מנת להצליח, ומה יותר טוב מרשת אחת אליה מחוברים מיליוני משתמשים שנוטים לשתף את חבריהם בכל דבר מבלי לבדוק אותו יותר מדי? מאז פריצתן של הרשתות החברתיות לתודעת הרבים הן הפכו לפלטפורמה העיקרית בה מופצות מתקפות הנדסה חברתית. לצערנו, מרבית המשתמשים עדיין לא מודעים לפוטנציאל ההרסני הטמון בחשיפת מידע לא מבוקרת ברשתות החברתיות ולא טורחים להגן על המידע שלהם או שהם משתפים אותו בחופשיות.
לסיכום
הרשת מלאה בהונאות הנדסה חברתית, אך עם הכלים הנכונים וקצת חשדנות בריאה אתם יכולים לזהות, ולהימנע מההונאות האלה וגם להזהיר אחרים. אז שלא יהנדסו אתכם!
לכתבות נוספות בנושא אבטחה, מחשבים ואינטרנט
גיל נוילנדר - מנכ"ל ESET ישראל
ESETאודות
חברת ESET הינה ספקית בינלאומית של תוכנת האנטי וירוס NOD32 וחבילת האבטחה ESET Smart Security לארגונים בגדלים שונים וצרכנים פרטיים. החברה מיוצגת ברחבי העולם כולו ביותר מ-180 מדינות וסניפיה המרכזיים ממוקמים היום באנגליה, ארגנטינה, סלובקיה וכמובן ארצות הברית. בישראל, מיוצגת ESET באופן בלעדי על ידי חברת קומסקיור, המפעילה בארץ מרכז פתרונות ותמיכה טכניים בשפה העברית.