לא משנה באיזו מערכת הפעלה אתם משתמשים או איזו תוכנת אבטחה התקנתם על המחשב שלכם, קיימת שיטת הונאה שיודעת לעקוף את כל מנגנוני האבטחה שתוכלו לחשוב עליהם - הנדסה חברתית.
הנדסה חברתית, או Social Engineering באנגלית, היא מושג מתחום אבטחת המידע המוגדר כשילוב של טכניקות הונאה, התחזות ושכנוע הגורמות לאנשים לציית לבקשת הפורץ. למשל, לספק לו מידע רגיש כגון שמות משתמשים וסיסמאות או לבצע עבורו פעולות כגון הרצת תוכנה לבקשתו. מומחי אבטחה רבים יגידו לכם שהחוליה החלשה באבטחת מחשבים באינטרנט היא למעשה המשתמשים עצמם - הם מקליקים על דברים, מריצים תוכנות או מבקרים באתרים לא רצויים ובכך חושפים את עצמם לאיומים בצורה מתמדת. למעשה רוב הונאות האינטרנט היום מופצות בסוג כלשהו של הנדסה חברתית, בעיקר באמצעות רשתות חברתיות.
איך תזהו הונאת הנדסה חברתית?
הווריאציות השונות שבהן הונאות של הנדסה חברתית יכולות להופיע הן כמעט אינסופיות. תכונה טובה של גולש זהיר תהיה חשדנות, אם משהו נראה לכם קצת חשוד, או אם קיבלתם בקשה שלא נראית לכם סבירה או הגיונית, כנראה שמדובר בהונאה. על מנת לזהות הונאות של הנדסה חברתית צריך להבין את המטרה שלה, שכן הנדסה חברתית שלעצמה היא אמצעי שדרכו מבקשים ה"מהנדסים" להשיג מידע - סיסמאות, פרטי חשבון בנק, מספר כרטיס אשראי ועוד. בנוסף, הונאות של הנדסה חברתית לא מוגבלות רק לתחום המחשבים והן עלולות להתבצע גם דרך הטלפון ואפילו ברחוב.
לכן אחרי שהתקנתם את תכונת החשדנות לסרגל הכלים שלכם יש עוד כמה דברים שאולי תרצו לדעת שיכולים למנוע מכם ליפול קורבן לתעשיית ההנדסה החברתית. הדבר הראשון שאולי תרצו לדעת הוא שלעולם, אבל לעולם, חברות מסחריות, ממשלתיות או בנקים לא ישאלו אתכם מה היא הסיסמא שלכם, הקוד הסודי של כרטיס האשראי שלכם "לצורך זיהוי" או פרטים סודיים אחרים. היוצא דופן היחיד יהיה אם חזרו אליכם בעקבות פניה שאתם יזמתם לשירות הלקוחות של הבנק או החברה וגם אז הם ישתמשו בפרטי זיהוי אחרים כגון תעודת זהות או ארבע ספרות אחרונות של כרטיס האשראי וכו'. דוגמא מפורסמת לזה הייתה הונאת הפישניג נגד לקוחות בנק הפועלים שבה קיבלו לקוחות רבים אימייל עם לינק אשר מפנה אותם לדף אינטרנט המתחזה לדף הבית של הבנק בוא הם היו אמורים "לעדכן פרטים" ולשם כך נדרשו להזין את שם המשתמש והסיסמא שלהם. מה שמשתמש זהיר וחשדן היה עושה במקרה זה הוא לסגור את האימייל שקיבל ולהיכנס לאתר הבנק בעצמו בניגוד ללחיצה על הלינק או אפילו מתקשר לשירות הלקוחות של הבנק כדי להבין במה המדובר.
הדבר הבא שקרוב לודאי תרצו לדעת הוא שהצעת מפתות ברשת שהן טובות-מדי-כדי-להיות-אמיתיות הן בדיוק כאלה וגם כאן המטרה היא לגרום לכם ללחוץ על לינקים או לספק פרטים אישיים, סיסמאות וכו' כדי בסופו של דבר להגיע אל הכיס שלכם בצורה זו או אחרת.
כשההנדסה החברתית פגשה את המדיה החברתית
עידן הרשתות החברתיות הוא תור הזהב של הונאות הרשת. איפה עוד תמצא מיליוני משתמשים מחוברים למיליוני משתמשים אחרים ומשתפים אחד את השני בכל דבר אפשרי? מאז פריצת הרשתות החברתיות לתודעת הרבים הן הפכו לפלטפורמה העיקרית למתקפות פישינג והנדסה חברתית. משתמשים רבים לא מודעים לפוטנציאל ההרסני הטמון בחשיפת מידע ברשתות החברתיות ולכן לא טורחים להגן על המידע או שהם חושפים אותו בחופשיות. ולא חסרות דוגמאות להנדסה חברתית ברשת הפייסבוק, המפורסמות ביניהן היא לינק לאפליקציה "מי צפה בפרופיל שלי" שמסיבה כלשהי מושכת משתמשים רבים להתקין אותה. על עשרת ההונאות הנפוצות ביותר בפייסבוק תוכלו לקרוא כאן.
לסיכום
הנדסה חברתית היא שיטת הונאה שסומכת על התוכנות הטובות של האופי האנושי. אנשים רוצים להאמין שלאחרים יש כוונות טובות ושהם רוצים בטובתם ולכם מתפתים לספק את מבוקשם. בעוד אלה שמפיצים הונאות אלה הם מיעוט זעיר הם עדיין מצליחים לעורר מהומה גדולה בעקבות מעשיהם הנפשעים.
כשטיילתי באוסטרליה ניגשה אליי ערב אחד אישה בערך בשנות ה 40 לחייה שנראתה נורמאלית לחלוטין וסיפרה לי שהיא נתקעה עם האוטו ואין עליה ארנק או טלפון ושהיא זקוקה למעט כסף כדי שתוכל לחזור הביתה. היא דאגה גם לקחת ממני את מספר הטלפון שלי כדי שהיא תוכל להתקשר אליי ולהחזיר לי את כספי בחזרה. למרות שכל העסק נראה לי חשוד החלטתי להאמין ולעזור לה. לא שמעתי ממנה עד היום. יכול להיות שהיום הייתי נוהג בדיוק באותה צורה, אבל זוהי רק עוד דוגמא להנדסה חברתית.
גלעד הראל הוא דובר חברת קומסקיור, נציגת ESET בישראל, מזה 3 שנים. חברת ESET הינה מפתחת ספקית בינלאומית של תוכנת האבטחה NOD32 וחבילת האבטחה ESET Smart Security לארגונים בגדלים שונים וצרכנים פרטיים. החברה מיוצגת ברחבי העולם כולו ביותר מ-100 מדינות וסניפיה המרכזיים ממוקמים היום באנגליה, ארגנטינה, סלובקיה וכמובן ארצות הברית. בישראל, מיוצגת ESET באופן בלעדי על ידי חברת קומסקיור, המפעילה בארץ מרכז פתרונות ותמיכה טכניים בשפה העברית.