כיצד עובדת הנדסה חברתית?
רוב טכניקות ההנדסה החברתית לא דורשות אף מיומנות טכנית מצד התוקף, מה שאומר שכל אחד – החל מפושעי סייבר מתחילים ועד התוקפים המתוחכמים
ביותר – יכול לפעול במרחב הזה.
ישנן טכניקות רבות שנכנסות למטריית המונח הרחב שנקרא "הנדסה חברתית באבטחת סייבר". הטכניקות הידועות ביותר הן ספאם (דואר זבל) ופישינג (דיוג).
הודעות זבל הן כל תקשורת לא-רצויה שנשלחת בכמות גדולה. רוב הודעות הזבל הן בעצם הודעות דוא"ל שנשלחות לכתובות רבות ככל האפשר, אך ניתן לשלוח הודעות זבל בכל פלטפורמה – בתוכנות מסרים מיידיים, בהודעות טקסט (SMS) וברשתות החברתיות. חלק מהודעות הזבל גם משמשות להפצת קבצים או קישורים זדוניים.
דיוג (פישינג) היא צורת התקפה מסוג הנדסה חברתית, שבה עבריין הסייבר מתחזה לגוף אמין על מנת לבקש פרטי מידע רגישים מהקורבן. תרמיות מסוג זה מנסות ליצור תחושת דחיפות או להפחיד את המשתמש על מנת לגרום לקורבן להיענות לדרישות התוקף. קמפיינים של דיוג יכולים להיות מופנים לכמות גדולה של משתמשים אנונימיים, אך גם לקורבנות ספציפיים ואפילו לקורבן ספציפי יחיד.
אבל אלו לא כל הטכניקות. היזהרו גם מאלו:
דיוג ממוקד היא מתקפת דיוג שבה הלקוח שולח הודעות מותאמות אישית לקבוצה מצומצמת של נמענים, או אפילו לנמען אחד בלבד, במטרה להשיג את הנתונים שברשותם או לבצע פעולות פוגעניות.
ווישינג וסמישינג הן טכניקות הנדסה חברתית שדומות מאוד לדיוג, כשההבדל מתבטא באמצעי התקשורת המשמש למתקפה. בעוד שמתקפות דיוג מתבצעות באמצעות הדוא"ל, מתקפות ווישינג (דיוג קולי) משתמשות בשיחות טלפון ומתקפות סמישינג (דיוג באמצעות הודעות טקסט) משתמשות בהודעות SMS המכילות תכנים או קישורים זדוניים.
התחזות בעולם אבטחת הסייבר דומה במשמעותה למקבילה שלה בעולם האמיתי. פושעי סייבר מתחזים לזהות אמינה וגורמים לקורבנות לבצע פעולות שפוגעות בהם או בארגון שלהם. אחת הדוגמאות הקלאסיות היא תוקף המתחזה למנכ"ל החברה – כשזה נמצא מחוץ למשרד – ומורה על ביצוע העברות כספים במקומו.
תרמיות תמיכה טכנית הן שיחות טלפון או פרסומות בהן התוקפים מציעים לקורבנות שירותי תמיכה טכנית מבלי שהקורבנות ביקשו אותם. למעשה, פושעי הסייבר מנסים להרוויח כסף באמצעות מכירת שירותים מזויפים ופתרון בעיות שלא היו קיימות מלכתחילה.
נוזקת הפחדה היא תוכנה המשתמשת במגוון של טכניקות מעוררות-חרדה כדי לגרום לקורבנות להתקין קוד זדוני נוסף על מכשיריהם. ברבים מהמקרים התוקפים גם מנסים לגבות תשלום עבור תוכנה שאינה מתפקדת או תוכנה זדונית. אחת מהדוגמאות הקלאסיות היא מוצר אנטי-וירוס מזויף הגורם למשתמשים לחשוב שהמכשיר שלהם הותקף ושעליהם להתקין תוכנה ספציפית (לרוב מדובר בנוזקה) כדי לפתור את הבעיה.
תרמיות (סייבר) הן פעולות מתוכננות בקפידה שמשתמשות באחת או אף בכמה מטכניקות ההנדסה החברתית שתוארו בחלק זה.
מדוע עסקים קטנים-בינוניים צריכים לחשוש מהנדסה חברתית?
כמות הולכת וגדלה של עסקים קטנים ובינוניים מודעים לכך שהם יעד אפשרי למתקפות סייבר, כפי שנמצא בסקר משנת 2019 שנערך ע"י חברת Zogby Analytics בשמה של התאגדות הסייבר הלאומית של ארה"ב. כמעט חצי (44%) מהחברות בהן עובדים 251-500 עובדים אמרו שהן חוו דליפה של מידע רשמי במהלך 12 החודשים שלפני ביצוע הסקר. הסקר מצא כי 88% מהעסקים הקטנים מאמינים כי הם לפחות "בסיכון כלשהו" לחוות מתקפת סייבר.
הנזק הוא אמיתי ורחב היקף, ונקודה זו הוסברה היטב בדו"ח השנתי של מרכז פשעי האינטרנט של ה-FBI. ב-FBI מעריכים כי בשנת 2018 לבדה חברות אמריקאיות הפסידו מעל 2.7 מיליארד דולרים כתוצאה ממתקפות סייבר, בהם 1.2 מיליארד דולרים המיוחסים למתקפות של פריצה לתיבת דוא"ל עסקית או פרטית, שאפשרה העברת כספים ללא אישור.
כיצד ניתן לזהות מתקפת הנדסה חברתית?
ישנם מספר דגלים אדומים שיכולים להצביע על מתקפת הנדסה חברתית. שגיאות תחביר ואיות הן אחד מהסימנים. כך גם תחושת דחיפות גבוהה שנובעת מהמסר ומבקשת מהנמען לפעול במהירות ובלי לשאול שאלות. כל בקשה של מידע רגיש צריכה לעורר מיד את פעמוני האזהרה: חברות מהימנות לא מבקשות סיסמאות או פרטי מידע אישיים באמצעות דוא"ל או הודעות טקסט.
אלו חלק מהדגלים האדומים שמצביעים על מתקפת הנדסה חברתית:
1. שפה גנרית הכוללת שגיאות
ברוב המקרים, התוקפים לא משקיעים תשומת לב רבה בירידה לפרטים, והם שולחים הודעות מלאות בטעויות כתיב ובמילים חסרות שהתחביר שלהן לוקה בחסר. אלמנט בלשני נוסף שיכול להראות על ניסיון מתקפה הוא שימוש בביטויי פתיחה וסגירה גנריים. לכן, אם הודעת דוא"ל מתחילה בביטוי "נמען יקר" או "משתמש יקר", כדאי להיזהר.
2. כתובת שולח משונה
רוב שולחי הודעות הזבל לא מקדישים זמן להסוואת שמו של השולח או כתובת האינטרנט שלו, משהו שיכול לגרום להודעה שלהם להיראות מהימנה יותר. לכן, אם הודעת הדוא"ל מגיעה מכתובת שמורכבת מערבוב של מספרים ותווים אקראיים, או שהכתובת אינה מוכרת לנמען, כדאי לשלוח את ההודעה באופן מיידי לתיקיית דואר הזבל ולדווח עליה למחלקת ה-IT.
3. תחושת דחיפות
ברוב המקרים, העבריינים העומדים מאחורי קמפיינים של הנדסה חברתית ינסו לגרום לקורבנות לבצע פעולות מסוימות מתוך פחד באמצעות ביטויים מעוררי חרדה כגון "שלח לנו את פרטיך מיד, או שהחבילה שנשלחה אליך תוחזר לשולח", או "אם לא תעדכן את הפרופיל שלך עכשיו, נסגור את חשבונך". בדרך כלל בנקים, חברות שליחויות, מוסדות ציבור ואפילו מחלקות פנימיות של החברה עצמה מתקשרות באופן ניטרלי אשר מבוסס על עובדות. לכן, אם ההודעה מנסה לגרום לנמען לפעול במהירות, היא כנראה זדונית וייתכן שאף מדובר בתרמית.
4. בקשת מידע רגיש
ברוב המקרים, גם חברות חיצוניות וגם מחלקות בתוך החברה לא יבקשו מידע רגיש באמצעות הדוא"ל או הטלפון, חוץ ממקרים בהם הקשר הראשוני נוצר ע"י העובד עצמו.
5. אם משהו נראה טוב מדי מכדי להיות אמיתי, כנראה שהוא אינו אמיתי
כפי שכלל זה נכון גם להגרלות ברשתות החברתיות, הוא נכון גם ל"הזדמנות עסקית מצוינת אך מוגבלת בזמן" שהגיעה לתיבת הדוא"ל שלכם
5 דרכים להגן על הארגון שלכם מפני מתקפות הנדסה חברתית
1. הכשרת סייבר קבועה לכל העובדים, כולל ההנהלה הבכירה ואנשי ה-IT. זכרו שהכשרה כזו אמורה להראות או לדמות תרחישים מהחיים האמיתיים. את כל הנקודות הנלמדות יש לבחון מחוץ לחדר ההכשרות: טכניקות הנדסה חברתית מסתמכות על המודעות הנמוכה לאבטחת סייבר של קורבנותיה.
2. אתרו סיסמאות חלשות שעשויות להפוך לדלת פתוחה לרשת של הארגון שלכם, במיוחד עבור תוקפים. בנוסף, הגנו על הסיסמאות באמצעות שכבת הגנה נוספת באמצעות הטמעת אימות רב-שלבי.
3. הטמיעו פתרונות טכניים למניעת תקשורות תרמית כך שהודעות דואר הזבל והפישינג יזוהו, יושמו בהסגר, ינוטרלו ויימחקו. פתרונות אבטחה, כמו אלה שחברת ESET מספקת, כוללים חלק מהיכולות האלה או את כולן.
4. . צרו מדיניות אבטחה מובנת שבה העובדים יוכלו להשתמש כך שתעזור להם לזהות מהם הצעדים שהם צריכים לנקוט ברגע שהם נתקלים במתקפת הנדסה חברתית.
5. השתמשו בפתרון אבטחה וכלים אדמיניסטרטיביים, כמו ESET Cloud Administrator, כדי להגן על תחנות הקצה והרשתות בארגון שלכם. כלים אלה יתנו למנהלי הרשתות את האפשרות לראות את כל מה שמתרחש ברשת ואת היכולת לזהות ולטפל בכל איום פוטנציאלי על הרשת.
הילחמו בהנדסה חברתית עוד היום
ESET PROTECT
Advanced
הגנו על הארגון שלכם מפני הנדסה חברתית באמצעות שימוש בפתרונות האבטחה הרב-שכבתיים לנקודות קצה של ESET, שכוללים הגנת LiveGrid® באמצעות הענן והגנה מפני מתקפות רשת, וכן ב-ESET PROTECT, שיאפשר למנהלי הרשת שלכם לראות באופן מפורט את כל מה שקורה ברשתות שלכם, 24 שעות ביממה, שבעה ימים בשבוע.
