מהי הנדסה חברתית?
הנדסה חברתית היא מונח רחב המתאר טקטיקות של מניפולציה באינטראקציה אנושית על מנת להשיג מידע רגיש או גישה מהקורבן. מטרת הונאות אלה הוא לרוב לפתות משתמשים לחשוף נתונים, להפיץ Malware או לתת גישה למערכות מוגבלות. התקפות יכולות להתרחש באינטרנט, באופן אישי ובאמצעות אינטראקציות אחרות.
הונאות המבוססות על הנדסה חברתית בנויות סביב איך אנשים חושבים ופועלים. ככאלה, התקפות הנדסה חברתית שימושיות במיוחד למניפולציה של התנהגות המשתמש. ברגע שתוקף מבין מה מניע את פעולות המשתמש, הוא יכול להונות ולתמרן את המשתמש ביעילות.
בנוסף, האקרים מנסים לנצל את חוסר הידע של המשתמש. במהירות שבה הטכנולוגיה מתפתחת כיום, משתמשים ועובדים רבים אינם מודיעם לסכנות האורבות ברשת. הרשתות החברתיות הפכו שיתוף פרטים אישיים לדבר נפוץ, ופעמים רבות ניתן לראות אנשים מעלים תמונות המכילות מידע רגיש כמו רישיון נהיגה, מספר תעודת זהות, מספרי רכב וטלפון, כתובות מגורים וכדומה.
איך מבצעים הנדסה חברתית?
רוב התקפות ההנדסה החברתית מסתמכות על אינטראקציה במידה כזו או אחרת בין התוקפים לקורבנות. לצורך ביצוע מתקפות כאלה יש צורך בתכנון מקדים על ידי איסוף מידע רקע על הקורבן, בן אם מדובר באדם פרטי או ארגון. לאחר מכן התוקפים מסתננים על ידי יצירת מערכת יחסים או יזימת אינטראקציה, ולאחר שהם מנצלים את הקורבן הם מתנתקים.
תהליך זה יכול להתרחש בדוא"ל בודד או במשך חודשים ארוכים של שיחות.
שיטה פופלרית להנדסה חברתית כנגד ארגונים היא התחזות לאנשי תמיכת IT. דרך התכתבות או שיחות טלפוניות, התוקפים רוכשים את אמון הקורבנות ומשיגים פרטים אישיים כמו סיסמאות ולעיתים גישה מרחוק למחשבים. משם זה מהלך די פשוט של החדרת קוד זדוני בתואנה של עדכון תוכנה.
טכניקות בהנדסה חברתית
פישינג
המושג הזה נזרק לאוויר כמו סוכריות בבר מצווה, אבל מהו פישינג? הפישינג, או דיוג לחובבי האקדמיה ללשון העברית, הוא ניסיון לגנוב מידע רגיש ע"י התחזות ברשת האינטרנט. מדובר בשיטת הטעיה שמטרתה לגרום למשתמש לבצע פעולה אשר תסכן את המחשב שלו, בין אם על ידי התקנת Malware או גניבה של מידע רגיש. הפישינג היא השיטה הפופלרית ביותר להנדסה חברתית, בשל הגיוון הרב שיש בסוגי הפישינג, המאפשרים מתקפה פשוטה וקלה או מתקפות מתכוננות וממוקדות, על פי העדפת התקופים. מחקר של חברת הייעוץ Interisle גילה עלייה של 61% במתקפות הפישינג בשנה האחרונה, ועלייה של 83% במספר הדומיינים שנרשמו לשם אתרי פישינג. יתר מכך, גוגל דיווח שנכון ל-2021, ישנם ברשת 2,145,013 אתרי פישינג.
סוגים של פישינג-
- אימייל פישינג- אימיילים הנראים כאילו הגיעו ממקור אמין כמו ארגונים, מוסדות ונותני שירות אמיתיים, אך בעצם נשלחו מהאקר שעשה עבודה מאוד טובה בניסיון להתחזות. השימוש בשפה הארגונית, בלוגו החברה, אפילו בטיפוגרפיה המקורית- כל אלה משדרגים את רמת האמינות של מיילים אלה וגורמים לנו להאמין שאכן מדובר בארגון המדובר, לרוב חברות כמו פייסבוק, ebay וכדומה.
- Spear Phishing- אם ניקח סביבה ארגונית כדוגמא, התוקף אוסף מידע על שמות עובדים במחלקה מסוימת ומתחזה לגורם מוכר, לדוגמא ספק שירות העובד איתם או צוות IT. במקרה זה האימייל מיועד לאנשים מסוימים ולכן "תפור למידותיהם".
- Whaling- פישינג למנהלים בכירים. בתוך קטגוריית ה- Spear phishing נמצא גם ה-Whailng. מדובר על פישינג המכוון כנגד בעלי תפקידים בדרג ההנהלה, מכאן שמו של סוג הפישינג, שכן לוויתן זה שם כינוי למטרה בעלת פוטנציאל כספי מאוד גדול.
- Vishing- שימוש בטקטיקות של הנדסה חברתית דרך הטלפון, על ידי התחזות לגורם מוסמך כמו פקיד בנק, איש תחזוקה טכנית או נציג חברת כרטיסי אשראי. המתחזה לעיתים יודיע על פריצה לחשבון הבנק וינסה להשיג פרטים אישיים כמו סיסמא, או במקרה של התחזות לאנשי IT ישכנע לאפשר השתלטות מרחוק על המכשיר כדי לתקן את הפגיעות. בעצם מדובר בתחבולה שמטרתה לתת להאקר גישה בלתי מוגבלת למכשיר ולמידע הנמצא בו, בין אם עלי ידי נוהל השתלטות מרחוק או על ידי החדרת תוכנת Malware.
- פישינג במנועי חיפוש- מדובר בניסיון למקם אתרים מזויפים וזדוניים בראש רשימת החיפוש שמופיע בדפדפן, בין אם מדובר במודעות פרסום או באתרים הממוקמים במיקום אורגני, אתרים אלה לעיתים נראים כמו אתרי קניות אהובים עלינו, רק עם שינוי בכתובת ה-URL.
- האדם באמצע היא אולי השיטה הקשה ביותר לזיהוי ע"י מי שאינו מומחה. ה-MITM מתרחש כאשר על האקר ממקם את עצמו בין המשתמש לספק השירות, בין אם כדי "להאזין לתקשורת" ביניהם או בין אם כדי להתחזות לאחד מהצדדים. מטרת המתקפה היא לגנוב מידע אישי- פרטי כרטיס אשראי, סיסמאות ומידע על חשבונות- ולרוב מתרחש בתקשורת בין משתמשים לחברות פיננסיות, SaaS, חנויות אינטרנטיות ואתרים שיש בהם צורך בכניסה לחשבון.
שיטת ה-Baiting
השיטה מנצלת את הסקרנות הטבעית של בני אדם, ואהבה האנושית שלנו לקונספט "חינם". תוקפים מציעים מוצר כלשהו בחינם- USB שנשאר בבית קפה ונרצה להשתמש בו, או מייל על תוכנת אנטיוירוס להורדה בחינם.
הנדסה חברתית פיזית
מדובר בשיטה הדורשת מתוקפים להגיע פיזית לקורבן, לרוב תחת העמדת פנים של איש מקצוע על מנת לקבל גישה לאזורים מוגבלים. מתקפות אלה פופלריות מאוד נגד ארגונים פרטיים, ציבוריים וממשלתיים, כאשר לעיתים רבות התוקפים מתחזים לאנשי תמיכה טכנית. מדובר במתקפה עם סיכון גבוה, ולכן תקופים מבצעים מתקפה זו רק כאשר פוטנציאל הרווח הוא גדול.
ניתן להכניס בתוך קטגוריה זו גם Tailgating, כאשר תוקף עוקב אחר איש צוות בתוך הארגון ומנסה להיכנס אחריו לאזורים מוגבלים, לעיתים על ידי ניצול הנימוס הבסיסי של בני אדם בהחזקת דלתות לאחרים.
הנדסה חברתית- דוגמאות
מחקרים מראים תמונת מצב מדאיגה- כ-75% מכלל הארגונים בעולם נפלו קורבן למתקפה של הנדסה חברתית במהלך שנת 2020. יתרה מכך, מכלל מתקפות הסייבר העולמיות שהתרחשו עד כה ב-2022, האקרים משתמשים בטכניקות הנדסה חברתית ב-98% מהמקרים.
למרות הנתונים, רק 27% מהחברות מספקות לעובדיהם הדרכות להעלאת מודעות. סטטיסטיקות אלה אינן תיאורתיות בלבד- ב-2020 עשרות חשבונות בעלי פרופיל גבוה ומיליוני עוקבים בטוויטר נפרצו והפיצו בצורה הונאת ביטקוין. בין חשבונות שנפגעו – הנשיא לשעבר ברק אובמה, ג'ו ביידן, ביל גייטס, ג'ף בזוס, קים קרדשיאן וקניה ווסט, וגם חברות ענק כמו אפל שמתהדרת בכך שפרטיות ואבטחת מידע זה ערך עליון עבורה. בטוויטר הבינו מהר מאוד כי מדובר בשימוש בטכניקות של הנדסה חברתית, לניצול כלי ניהול פנימיים של אחד או יותר מעובדי החברה.
המניפולציות הממוקדות דורשות ידע מקדים על הקורבן. ניתן לראות הכנה מרשימה במתקפת Deepfake על חברת האנרגיה הבריטית במרץ 2019, כאשר המנכ"ל של ספק האנרגיה קיבל שיחת טלפון ממישהו שנשמע כמו הבוס שלו. השיחה הייתה כל כך משכנעת שהמנכ"ל בסופו של דבר העביר 243,000 דולר ל"ספק הונגרי" – חשבון בנק שהיה שייך למעשה לרמאי.
הנזק של מתקפות אלה יכול להיות עצום. התקפת ההנדסה החברתית הגדולה ביותר בוצעה על ידי אזרח הליטאי נגד שתיים מהחברות הגדולות בעולם: גוגל ופייסבוק. התוקף וצוותו הקימו חברה מזויפת, התחזו ליצרנית מחשבים שעבדה עם גוגל ופייסבוקואפילו הקימו חשבונות בנק על שם החברה.
לאחר מכן, שלחו מיילים לעובדי גוגל ופייסבוק, וחילקו להם חשבונית עבור סחורות ושירותים שהיצרן סיפק – אך הפנו אותם להפקיד כסף לחשבונות ההונאה שלהם. בין 2013 ל-2015 הצוות רימה את שתי ענקיות הטכנולוגיה בסכום של יותר מ-100 מיליון דולר.
גם יצרנית חלקי המטוסים FACC הפסידה כמעט 60 מיליון דולר כאשר תוקפים התחזו למנהלים בדרגים גבוהים ורימו עובדים כדי שיעבירו כספים. לאחר התקרית, FACC הוציאה עוד כסף בניסיון לתבוע את המנכ"ל ואת ראש הכספים שלה, בטענה שהם לא הצליחו ליישם בקרות אבטחה פנימיות נאותות.
זיהוי והתגוננות מפני הנדסה חברתית
יש כמה שאלות פשוטות שניתן לשאול את עצמנו כאשר החשד שלנו עולה:
האם הרגשות שלי מוגברים? טקטיקות הנדסה חברתית מנסות להגביר את עוצמת הרגשות שלנו, כדי שלא נפקפק במה שנאמר ונמהר לפעול.
האם ההודעה הזו הגיעה משולח לגיטימי? בדוק בקפידה כתובות דוא"ל ופרופילי מדיה חברתית בעת קבלת הודעה חשודה. ייתכן שיש תווים המחקים אחרים.
האם חבר שלי באמת שלח לי את ההודעה הזו? תמיד טוב לשאול את השולח אם הוא היה השולח האמיתי של ההודעה המדוברת. בין אם זה היה עמית לעבודה או אדם אחר בחייך, שאל אותם באופן אישי או באמצעות שיחת טלפון אם אפשר. ייתכן שהם נפרצו ולא יודעים, או שמישהו מתחזה לחשבונות שלהם.
האם באתר שבו אני נמצא יש פרטים מוזרים? אי סדרים בכתובת האתר, איכות תמונה ירודה, סמלי לוגו ישנים או שגויים של החברה ושגיאות הקלדה בדפי אינטרנט יכולים להיות דגלים אדומים של אתר הונאה.
האם ההצעה הזו נשמעת טובה מכדי להיות אמיתית? במקרה של מתנות, עלינו לשקול מדוע מישהו מציע משהו בעל ערך תמורת רווח קטן.
האם יש קבצים מצורפים או קישורים חשודים?
האם אדם זה יכול להוכיח את זהותו? אם אדם אינו יכול לאמת את זהותו למרות שהוא טוען כי הוא חלק מהארגון, אין לתת לו גישה לשם מערכת או אזור.
מניעת מתקפת הנדסה חברתית
הרגלי תקשורת בטוחים וניהול חשבונות
- לא ללחוץ על קישורים באימיילים או בהודעות- תמיד להקליד ידנית כתובת URL
- השתמשו באימות רב-שלבי. כאשר משתמשים ביותר מרק סיסמה להגן על חשבונות מקוונים, הסיכויים לפריצה קטנים. אימות רב-שלבי מוסיף שכבות נוספות כדי לאמת את זהות בעל החשבון בעת הכניסה לחשבון. "גורמים" אלה יכולים לכלול ביומטריה כמו טביעת אצבע או זיהוי פנים, או קוד סיסמה זמני שנשלח באמצעות הודעת טקסט.
- השתמשו בסיסמאות חזקות (ובמנהל סיסמאות). כל אחת מהסיסמאות צריכה להיות ייחודית ומורכבת. שאפו להשתמש בסוגי תווים מגוונים, כולל אותיות, מספרים וסמלים.
- הימנעו משיתוף פרטים אישיים כמו בתי הספר שלמדתם בהם, חיות המחמד, מקום הלידה או פרטים אישיים אחרים.
- היזהרו מאוד בבניית חברויות מקוונות בלבד.
הרגלי שימוש בטוחים ברשת
- רשתות מקוונות שנפגעו יכולות להיות נקודת פגיעות נוספת המנוצלת למחקר רקע. לעולם אל לאפשר לזרים להתחבר לרשת ה-Wi-Fi הראשית. בבית או במקום העבודה, יש לאפשר גישה לחיבור אינטרנט אלחוטי לאורחים.
- השתמשו ב-VPN. במקרה שמישהו ברשת הראשית – קווית, אלחוטית או אפילו סלולרית – ימצא דרך ליירט את התקשורת כמו ב-MITM, רשת פרטית וירטואלית (VPN) יכולה להרחיק אותם. VPNs הם שירותים שנותנים "מנהרה" פרטית ומוצפנת בכל חיבור אינטרנט.
- שמירה על אבטחת כל המכשירים והשירותים המחוברים לרשת. אנשים רבים מודעים לנוהלי אבטחת האינטרנט עבור התקני מחשב ניידים ומסורתיים. עם זאת, אבטחת הרשת עצמה, בנוסף לכל המכשירים החכמים ושירותי הענן חשובה לא פחות. הקפד להגן על התקנים שמשתמשים בהם בדרך כלל כמו מערכות מידע בידור לרכב ונתבי רשת ביתית.
בדיקות פישינג לארגונים
מבדקי פישינג לארגונים מלמדים את העובדים אמצעי זהירות ונותנים למנהל אינדיקציה על רמת האבטחה בחברתו. מלבד זאת מודעות העובדים לעניין גוברת ע"י מבחנים חוזרים ונשנים, או לחילופין לתת קנס למי שנופל.
בדיקת פישינג מתבצעת ע"י צוות בודקים המתמחה בזיהוי המתקפות ויישומן במרחב העבודה.
מטרת צוות החוקרים היא ליצור הדמיה למתקפת פישינג אמיתית, וכך עובדי הארגון נתונים תחת מבחן פישינג- האם ימסרו את פרטיהם או לא. הצוות בדרך כלל ירכוש דומיין, ולעיתים גם תעודת SSL על מנת לא לעורר חשד. לאחר מכן נשלחת הודעה לעובדי החברה (באמצעות אחת משיטות הדיוג המופיעות), מכתובת שכביכול מוכרת. להודעה לרוב מצורף קישור עם בקשה להזין פרטים אישיים (סיסמא, שם משתמש, פרטי חשבון וכדומה). ברגע שמודעות העובדים לנושא זה תגדל באמצעות מבחני הפישינג, זהירות העובדים תעלה וכך תמנעו את המתקפה הבאה.
עסקים קטנים נמצאים בסכנה גדולה מאחרים למתקפת הנדסה חברתית. דו"ח Verizon לשנת 2019 הצהיר כי 43% מכלל מתקפות הסייבר הופנו כלפי עסקים קטנים. נתון זה מרתיע עוד יותר כאשר לוקחים בחשבון שפריצות אלה עלולות להיות הרסניות, שכן ה-NSA מעריך כי 60% מהעסקים הקטנים פושטים רגל תוך שישה חודשים ממתקפת הסייבר. קראו על כל סכנות הסייבר הייחודית לעסקים קטנים במאמר המלא שלנו.
