תוכנות זדוניות אינן האיום המקוון היחיד לדאוג. הנדסה חברתית היא איום עצום, והיא יכולה לפגוע בך בכל מערכת הפעלה. למעשה, הנדסה חברתית יכולה להתרחש גם בטלפון ובמצבים פנים אל פנים.
חשוב להיות מודעים להנדסה חברתית ולהיזהר. תוכניות אבטחה לא יגנו עליכם מפני איומי ההנדסה החברתית ביותר, ולכן עליכם להגן על עצמכם.
הוסבר הנדסה חברתית
התקפות מבוססות מחשב מסורתיות תלויות לרוב במציאת פגיעות בקוד המחשב. לדוגמה, אם אתה משתמש בגרסה לא מעודכנת של Adobe Flash - או חלילה ג'אווה , שהייתה הגורם ל 91% מהתקפות בשנת 2013 על פי סיסקו - אתה יכול לבקר באתר זדוני ואתר זה ינצל את הפגיעות בתוכנה שלך כדי לקבל גישה למחשב שלך. התוקף עושה מניפולציות על באגים בתוכנה כדי להשיג גישה ולאסוף מידע פרטי, אולי באמצעות מפתח מפתח שהם מתקינים.
הטריקים של הנדסה חברתית שונים מכיוון שהם כוללים מניפולציה פסיכולוגית במקום זאת. במילים אחרות, הם מנצלים אנשים, לא את התוכנה שלהם.
קָשׁוּר: אבטחה מקוונת: פירוק האנטומיה של דוא"ל פישינג
בטח כבר שמעתם על זה פישינג , שהיא סוג של הנדסה חברתית. ייתכן שתקבל דוא"ל בטענה שהוא מהבנק שלך, מחברת כרטיסי האשראי שלך או מעסק מהימן אחר. הם עשויים להפנות אותך לאתר מזויף המחופש להיראות כמו אתר אמיתי או לבקש ממך להוריד ולהתקין תוכנית זדונית. אבל טריקים כאלה של הנדסה חברתית לא חייבים לערב אתרים מזויפים או תוכנות זדוניות. כתובת הדוא"ל של התחזות עשויה פשוט לבקש ממך לשלוח תשובת דוא"ל עם מידע פרטי. במקום לנסות לנצל באג בתוכנה, הם מנסים לנצל אינטראקציות אנושיות רגילות. פישינג חנית יכול להיות מסוכן עוד יותר, מכיוון שמדובר בצורת פישינג שנועדה למקד לאנשים ספציפיים.
דוגמאות להנדסה חברתית
טריק פופולרי אחד בשירותי צ'אט ובמשחקים מקוונים היה לרשום חשבון בשם כמו "מנהל מערכת" ולשלוח לאנשים הודעות מפחידות כמו "אזהרה: גילינו שמישהו יכול לפרוץ את חשבונך, להגיב באמצעות הסיסמה שלך כדי לאמת את עצמך." אם מטרה מגיבה באמצעות הסיסמה שלהם, הם נפלו על הטריק ולתוקף יש כעת את סיסמת החשבון שלהם.
אם למישהו יש מידע אישי עליך, הוא יכול להשתמש בו כדי לקבל גישה לחשבונות שלך. לדוגמה, מידע כמו תאריך לידתך, מספר הביטוח הלאומי ומספר כרטיס האשראי משמשים לעיתים קרובות לזיהויך. אם למישהו יש את המידע הזה, הוא יכול לפנות לעסק ולהעמיד פנים שהוא אתה. הטריק הזה שימש מפורסם על ידי תוקף כדי לקבל גישה ליאהו של שרה פיילין. חשבון דואר בשנת 2008, והגיש מספיק פרטים אישיים בכדי לקבל גישה לחשבון באמצעות טופס שחזור הסיסמה של יאהו! ניתן להשתמש באותה שיטה דרך הטלפון אם יש לך את המידע האישי שהעסק דורש כדי לאמת אותך. תוקף עם קצת מידע על המטרה יכול להעמיד פנים שהוא אותם ולקבל גישה לדברים נוספים.
ניתן להשתמש בהנדסה חברתית גם באופן אישי. תוקף יכול להיכנס לעסק, להודיע למזכירה שהם איש תיקון, עובד חדש או מפקח כיבוי בטון סמכותי ומשכנע, ואז להסתובב באולמות ולגנוב נתונים חסויים או לשתול חרקים לביצוע ריגול תאגידי. הטריק הזה תלוי שהתוקף יציג את עצמו כמישהו שהם לא. אם מזכיר, שוער או מי שעומד בראשו לא ישאל יותר מדי שאלות או יסתכל מקרוב מדי, הטריק יצליח.
קָשׁוּר: כיצד תוקפים למעשה "חשבונות פריצה" באופן מקוון וכיצד להגן על עצמך
התקפות הנדסה חברתית משתרעות על מגוון אתרי אינטרנט מזויפים, הודעות דוא"ל רמאות והודעות צ'אט מזויות עד להתחזות למישהו בטלפון או באופן אישי. התקפות אלה מגיעות במגוון רחב של צורות, אך לכולן משותף אחד - הן תלויות בתחבולות פסיכולוגיות. הנדסה חברתית נקראה אומנות המניפולציה הפסיכולוגית. זה אחד של הדרכים העיקריות של "האקרים" למעשה "לפרוץ" חשבונות באינטרנט .
כיצד להימנע מהנדסה חברתית
ידיעה שקיימת הנדסה חברתית יכולה לעזור לך להילחם בזה. היו חשודים בנוגע למיילים לא רצויים, הודעות צ'אט ושיחות טלפון המבקשות מידע פרטי. לעולם אל תחשוף מידע פיננסי או מידע אישי חשוב בדוא"ל. אל תוריד קבצים מצורפים שעלולים להיות מסוכנים והפעל אותם, גם אם הודעת דוא"ל טוענת שהם חשובים.
אתה גם לא צריך לעקוב אחר קישורים בדוא"ל לאתרים רגישים. לדוגמה, אל תלחץ על קישור באימייל שנראה כאילו הוא מהבנק שלך והתחבר. ייתכן שייקח אותך לאתר התחזות מזויף המחופש להיראות כאתר הבנק שלך, אך עם כתובת אתר שונה בתכלית. בקר באתר ישירות במקום.
אם אתה מקבל בקשה חשודה - למשל, שיחת טלפון מהבנק שלך מבקשת מידע אישי - פנה ישירות למקור הבקשה ובקש אישור. בדוגמה זו היית מתקשר לבנק שלך ושואל מה הם רוצים במקום למסור את המידע למישהו שטוען שהוא הבנק שלך.
תוכניות דוא"ל, דפדפני אינטרנט וסוויטות אבטחה בדרך כלל כוללות מסנני דיוג אשר יזהירו אותך כאשר אתה מבקר באתר פישינג ידוע. כל מה שהם יכולים לעשות זה להזהיר אותך כשאתה מבקר באתר דיוג ידוע או מקבל דוא"ל דיוג ידוע, והם לא יודעים על כל אתרי הדיוג או הדוא"ל שיש. לרוב, עליכם להגן על עצמכם - תוכניות אבטחה יכולות רק לעזור מעט.
מומלץ להפעיל חשד בריא כאשר מתמודדים עם בקשות לנתונים פרטיים וכל דבר אחר שיכול להיות התקפה הנדסית חברתית. חשדנות וזהירות יסייעו לך להגן עליך, הן במצב מקוון והן במצב לא מקוון.
אשראי תמונה: ג'ף טרנט בפליקר
