נעם וואי

שמע סיפור...

מתחזה (מתקשר לסניף בנק): "הי מיכל, זה בני ממחלקת אשראי. דיברתי עם מוטי (מנהל הסניף) והוא אמר לי שאת תוכלי לעזור לי. יש לי בקו השני לקוח חשוב שלנו שמבקש מידע על החשבון שלו. הבעיה שהמחשבים שלנו פה נפלו כרגע, והלקוח עצבני מאוד. תוכלי לבדוק לי רגע יתרה בחשבון? זה דחוף!"
 

פקידה: "מה מספר החשבון שלו?"
 

מתחזה: "אין לי את המספר, המחשב שלי נפל זוכרת? תנסי לחפש אותו לפי השם, קוראים לו א.א תעשיות"
 

פקידה: "אוקי, מצאתי אותו"
 

מתחזה:  "יופי, מה מספר החשבון שלו?" 
 

פקידה: "245-534768"
 

מתחזה:  "ומה היתרה שם כרגע?"
 

פקידה: "יש לו כרגע שני מיליון בעוש"
 

מתחזה:  "תודה מיכל, הצלת אותי, אני חייב לחזור אליו עכשיו לפני שהוא פונה למנהל שלי, ביי"​

אוקי, אז השקעתם הון בטכנולוגיות האבטחה הטובות ביותר שכסף יכול לקנות, ואתם חושבים שהארגון שלכם מוגן היטב. אתם הרי מקצועני אבטחת מידע, ותעשו הכל בכדי להבטיח שבמשמרת שלכם זה לא יקרה!

מוכנים לבדוק את זה?
התכוננו להיות מופתעים מהקלות שבה אפשר לעקוף את מערכות האבטחה שלכם, ולחלץ מכם מידע מסווג שלא אמור לזלוג החוצה. 

ברוכים הבאים אל עולם ההנדסה החברתית עליה מסתמכות 98% ממתקפות הסייבר, ושאיתה אמצעי ההגנה הטכנולוגיים שלכם יתקשו להתמודד.

אם טכניקות הנדסה חברתית פשוטות איפשרו להאקרים לגנוב 38 מיליון דולר מחברת טויוטה העולמית, אז יש סיכוי טוב שהן יעבדו גם על הארגון שלכם, אם לא תהיו מוכנים.   

בניגוד לבדיקות חדירה טכנולוגיות, בדיקות הנדסה חברתית דורשות מיומנויות מיוחדות ושליטה בטכניקות רכישת אמון מתוחכמות. להלן רשימה של כמה טכניקות מובילות בהנדסה חברתית:


פריטקסטינג והתחזות
פריטקסטינג והתחזות היא טכניקה שבה התוקף יוצר תרחיש בדוי כדי לנסות ולשכנע את הקורבן לוותר על מידע בעל ערך, כמו סיסמה למשל. הדוגמה הנפוצה ביותר להתקפה כזו היא התחזות לבעל תפקיד בכיר. התוקף משכנע את הקורבן שהוא אכן האדם אליו הוא מתחזה, ובכך רוכש את אמונו ומחלץ ממנו מידע מסווג.

פיתיון
מטרת טכניקת הפיתיון היא להציג הזדמנות מפתה עבור הקורבן ולהשתמש בה כדי למשוך אותו לתוך ההונאה. במובנים רבים ניתן להתייחס לכך כאל מצב פשוט של פיתיון ומלכודת. כל עוד תשומת הלב של הקורבן היא על הפיתיון, יש סיכוי טוב שההונאה הכוללת לא תתגלה.

הפעלת לחץ והצעת פתרון
מטרת טכניקה זו היא להפעיל על הקורבן לחץ בדמות מצב רגשי שלילי כגון פחד, כעס, או בושה, ולאחר מכן להציג בפניו פתרון שיפחית או יסיר את הרגש. הפתרון כמובן יסייע לתוקף בהשגת המטרה שלו. זו דוגמה נוספת לטכניקת הפיתיון שכן הקורבן מסונוור ממצבו הרגשי בדיוק כפי שהוא מסונוור מפיתיון. אם התוקף יצליח לעורר רגש חזק מספיק, אז זה כל מה שהקורבן יתמקד בו.

ניצול סמכות
ניצול סמכות על כל צורותיה יכול להיות יעיל מאוד במתקפת הנדסה חברתית. זאת מכיוון שרוב העובדים צפויים לבצע את המשימות שנקבעו להן על ידי ההנהלה. עצם טיבעה של מערכת התפקידים ההיררכית פירושה שמעסיקים יכולים "לתמרן" את העובדים בתנאי שדרישותיהם תואמות את ציפיות התפקיד. אם העובד מאמין שהמהנדס החברתי הוא חלק מההנהלה, סביר להניח שהוא יענה לכל בקשה סבירה. לרוב בקשה לחשיפת מידע רגיש להנהלה לא תעורר חשד כלשהו. למעשה, בקשות מידע מסוג זה עשויות בהחלט להיות שגרתיות למדי. לדוגמה, מהנדס חברתי יכול להתחזות למנהל, לפנות למחלקת משאבי אנוש, ולבקש מידע על עובד ספציפי. אם מחלקת משאבי אנוש תאמין שהוא אכן מנהל, סביר להניח שהם יספקו את המידע המבוקש.

הנדסה חברתית הפוכה
הנדסה חברתית הפוכה היא טכניקה קלאסית ליצירת אמינות מוצקה. הרעיון הבסיסי הוא לגרום לנפגע לפנות לסיוע מהתוקף כדי לפתור בעיה. לאחר מכן התוקף מספק את הסיוע הנדרש, שגם מסייע להתקפה. הקורבן מבקש משהו מהתוקף, ולא להיפך. זו הסיבה שטכניקה זו נקראת הנדסה חברתית הפוכה.

שרשרת אימות
שרשרת האימות היא טכניקה רבת עוצמה שניתן ליישם בהרבה דרכים שונות. הרעיון הוא לייצר מצב שבו הקורבן מניח שהתוקף כבר עבר אימות זהות על ידי עובד אחר בחברה. כך זוכה התוקף לאמינותו של אותו עובד לגיטימי ומנצל זאת בכדי לחלץ מידע מסווג. 

צבירת אמינות
צבירת אמינות היא טכניקה המשמשת כמעט בכל מתקפת הנדסה חברתית ומטרתה להגדיל את סיכויי הצלחתה. הרעיון הוא להשיג אמינות מול הקורבן על ידי הצגת פיסות מידע מרכזיות שניתן להשיג בקלות ובמהירות ממקורות מקוונים שונים. שימוש במידע הזה בעת ביצוע התקיפה יוצרת אצל הקורבן תחושת אמינות שגורמת לו לשתף פעולה עם התוקף.

מינוף מידע
מינוף מידע היא דרך להשתמש במידע תמים בכדי לצבור אמינות, ואז להשתמש באמינות שנצברה בכדי לצבור מידע רגיש יותר, וכך הלאה. באמצעות שימוש עקבי ומושכל בטכניקות מינוף מידע יכול התוקף בסופו של דבר לחלץ מהארגון מידע מסווג ביותר שיסייע לו לבצע התקפות חמורות. 

השפעה חברתי
כוחה של ההשפעה החברתית, המכונה גם הוכחה חברתית, הוא בהחלט לא חדש. עסקים מינפו טכניקות הוכחה חברתית במשך שנים על מנת לעודד אנשים לקנות את המוצרים והשירותים שלהם. הרעיון הבסיסי הוא פשוט ביותר, אנשים ילכו בעקבות ההמון. טבע האדם הוא לחפש את הנוחות שמתלווה להתאמה עם כולם. באמצעות טכניקה זו משכנע התוקף את היעד שאנשים אחרים בארגון נענו לבקשה שלו, ובכך מעלה את הסיכויים שהקורבן  ילך בעקבות חבריו לארגון.

מסגור מידע
במובן הבסיסי ביותר, מסגור עוסק בהצגת מידע באופן כזה שיעורר תגובה ספציפית או ינתב את התפיסה הסובייקטיבית של הצופה לכיוון מסוים. בדרך כלל, מסגור משמש כדי להציג מידע בצורה חיובית יותר כדי לעודד את הקורבן "לבחור" באפשרות מסוימת רצויה לתוקף. 

תשומת לב סלקטיבית
תשומת לב סלקטיבית היא תופעה מרתקת העוסקת באופן שבו אנו מעבדים מידע. החושים השונים שלנו מקבלים הרבה יותר מידע ממה שאי פעם יכולנו לקוות לעבד במלואו. לכן, המוח שלנו מסנן את כל המידע הזה כך שרק החלקים החשובים ביותר יעברו. עם זאת, האפשרות לנצל תופעה זו כדי לסייע בהנדסה חברתית היא משמעותית. כל מה שהמהנדס החברתי צריך לעשות הוא להבטיח שתשומת הלב של הקורבן מתמקדת במשהו מסובך מספיק כדי למנוע עיבוד של מידע אחר. ה"מידע האחר" יהיה כמובן מרכיב ההתקפה שישיג את המטרת התוקף.

כמתמטיקאי, פתרון בעיות של עקיפת מנגנוני אבטחת מידע מסקרן ומאתגר אותי מאוד. כיצד מצליחים האקרים להתגבר על מערכות ההגנה המשוכללות ביותר ולתקוף ארגונים רבי אמצעים? 


התחקות אחר מקרי פריצה מפורסמים רבים מלמדת שכמעט תמיד מסתמכים התוקפים על חולשת הגורם האנושי. חוזקה של שרשרת נקבע על פי חוסנה של החולייה החלשה ביותר בה, ולרוב החולייה החלשה הזו היא העובדים בארגון. עובדה זו מציבה את ההנדסה החברתית כגורם סיכון מספר אחד באבטחת מידע.


אבחנה זו הניע אותי להתעמק ולהתמחות בנושא מרתק זה של הנדסה חברתית. כיום אני עוסק במתן שירותי בדיקות חדירה המבוססות על הנדסה חברתית, ומייעץ לארגונים כיצד להיערך טוב יותר בפני האיומים שטכניקות אלו מציבות בפניהם.


סיוע בהתגוננות בפני מתקפות הנדסה חברתית הינו תהליך מתמשך ובלתי פוסק אשר במסגרתו אני בונה ומיישם ביחד עם הארגון עשרות תסריטי בדיקה שונים המבוססים על מקרי תקיפה אמיתיים שהתרחשו לאורך השנים.


אשמח לסייע גם לכם להיערך טוב יותר לסכנות שמציבה בפניכם ההנדסה החברתית.     

 

צור קשר