מה הנדסה חברתית? 11 דוגמאות שכדאי להיזהר מהן
תוכן העניינים
מהי בעצם הנדסה חברתית?
הנדסה חברתית מתייחסת לפעולת מניפולציה של אנשים כדי לחלץ את המידע הסודי שלהם. סוג המידע שהפושעים מחפשים עשוי להשתנות. בדרך כלל, האנשים ממוקדים לפרטי הבנק שלהם או לסיסמאות החשבון שלהם. פושעים מנסים גם לגשת למחשב של הקורבן כדי שיתקינו תוכנה זדונית. תוכנה זו עוזרת להם לחלץ כל מידע שהם עשויים להזדקק להם.
פושעים משתמשים בטקטיקות של הנדסה חברתית מכיוון שלעתים קרובות קל לנצל אדם על ידי רכישת אמונו ולשכנע אותו לוותר על הפרטים האישיים שלו. זוהי דרך נוחה יותר מפריצה ישירה למחשב של מישהו ללא ידיעתו.
דוגמאות להנדסה חברתית
תוכל להגן על עצמך טוב יותר על ידי קבלת מידע על הדרכים השונות שבהן נעשית הנדסה חברתית.
1. תירוצים
תירוצים משמשים כאשר הפושע רוצה לגשת למידע רגיש מהקורבן לצורך ביצוע משימה קריטית. התוקף מנסה להשיג את המידע באמצעות מספר שקרים שנעשו בקפידה.
הפושע מתחיל ביצירת אמון עם הקורבן. הדבר עשוי להיעשות על ידי התחזות לחבריהם, עמיתיהם, פקידי הבנק, המשטרה או רשויות אחרות שעשויות לבקש מידע רגיש שכזה. התוקף שואל אותם סדרה של שאלות באמתלה של אישור זהותם ואוסף נתונים אישיים בתהליך זה.
שיטה זו משמשת להוצאת כל מיני פרטים אישיים ורשמיים מאדם. מידע כזה עשוי לכלול כתובות אישיות, מספרי תעודת זהות, מספרי טלפון, רישומי טלפון, פרטי בנק, תאריכי חופשה של הצוות, מידע אבטחה הקשור לעסקים וכדומה.
2. גניבת הסחה
מדובר בסוג של הונאה שממוקדת בדרך כלל כלפי חברות שליחויות ותחבורה. הפושע מנסה להערים על חברת היעד בכך שהוא גורם לה לספק את חבילת המשלוח שלהם למקום מסירה שונה מזה שהתכוון במקור. טכניקה זו משמשת לגניבת סחורות יקרות המועברות באמצעות הדואר.
הונאה זו עשויה להתבצע גם במצב לא מקוון וגם באינטרנט. ניתן לפנות אל הצוות הנושא את החבילות ולהשתכנע למסור את המשלוח במקום אחר. תוקפים עשויים גם לקבל גישה למערכת המסירה המקוונת. לאחר מכן הם יכולים ליירט את לוח הזמנים של המסירה ולבצע בו שינויים.
3 דיוג
פישינג היא אחת הצורות הפופולריות ביותר של הנדסה חברתית. הונאות דיוג כוללות אימייל והודעות טקסט שעלולות ליצור תחושת סקרנות, פחד או דחיפות אצל הקורבנות. הטקסט או האימייל מעוררים אותם ללחוץ על קישורים שיובילו לאתרים זדוניים או קבצים מצורפים שיתקינו תוכנות זדוניות במכשירים שלהם.
לדוגמה, משתמשים בשירות מקוון עשויים לקבל אימייל בטענה שחל שינוי במדיניות המחייב אותם לשנות את הסיסמאות שלהם באופן מיידי. המייל יכיל קישור לאתר לא חוקי זהה לאתר המקורי. לאחר מכן המשתמש יזין את אישורי החשבון שלו באתר זה, בהתחשב בכך שהוא הלגיטימי. עם מסירת פרטיהם, המידע יהיה נגיש לעבריין.
4. דיוג חנית
זהו סוג של הונאת דיוג שממוקדת יותר לאדם מסוים או לארגון מסוים. התוקף מתאים את המסרים שלו בהתאם לתפקידי העבודה, המאפיינים והחוזים הקשורים לקורבן, כך שהם עשויים להיראות אמיתיים יותר. דיוג בחנית דורש יותר מאמץ מצד הפושע ועלול לקחת הרבה יותר זמן מאשר דיוג רגיל. עם זאת, קשה יותר לזהות אותם ויש להם אחוזי הצלחה טובים יותר.
לדוגמה, תוקף שינסה לבצע דיוג בחנית בארגון ישלח מייל לעובד המתחזה ליועץ ה-IT של החברה. המייל ימוסגר בצורה דומה בדיוק לאופן שבו היועץ עושה זאת. זה ייראה אותנטי מספיק כדי לרמות את הנמען. המייל ינחה את העובד לשנות את הסיסמה שלו על ידי מתן קישור לדף אינטרנט זדוני שיתעד את המידע שלו וישלח אותו לתוקף.
5. חור מים
הונאת בריחת המים מנצלת את היתרונות של אתרי אינטרנט אמינים שבהם מבקרים בקביעות הרבה אנשים. הפושע יאסוף מידע לגבי קבוצת אנשים ממוקדת כדי לקבוע באילו אתרים הם מבקרים לעתים קרובות. לאחר מכן, אתרים אלה ייבדקו לאיתור נקודות תורפה. עם הזמן, אחד או יותר מחברי הקבוצה הזו יידבקו. לאחר מכן, התוקף יוכל לגשת למערכת המאובטחת של משתמשים נגועים אלה.
השם בא מהאנלוגיה של האופן שבו בעלי חיים שותים מים על ידי התאספות במקומות המהימנים שלהם כשהם צמאים. הם לא חושבים פעמיים על נקיטת אמצעי זהירות. הטורפים מודעים לכך, אז הם ממתינים בקרבת מקום, מוכנים לתקוף אותם כשהשומר שלהם מושבת. חור מים בנוף הדיגיטלי יכול לשמש כדי לבצע כמה מההתקפות ההרסניות ביותר על קבוצה של משתמשים פגיעים בו זמנית.
6. פיתיונות
כפי שעולה מהשם, פיתיון כרוך בשימוש בהבטחת שווא כדי לעורר את הסקרנות או החמדנות של הקורבן. הקורבן מפתה לתוך מלכודת דיגיטלית שתעזור לפושע לגנוב את פרטיו האישיים או להתקין תוכנות זדוניות במערכות שלו.
פיתיון יכול להתרחש גם באמצעות מדיומים מקוונים וגם לא מקוונים. כדוגמה לא מקוונת, הפושע עשוי להשאיר את הפיתיון בצורה של כונן הבזק שנדבק בתוכנה זדונית במקומות בולטים. זה עשוי להיות המעלית, חדר האמבטיה, מגרש החניה וכו' של החברה המיועדת. לכונן הבזק יהיה מראה אותנטי, שיגרום לנפגע לקחת אותו ולהכניס אותו למחשב העבודה או הביתי שלו. לאחר מכן, כונן ההבזק ייצא אוטומטית תוכנות זדוניות למערכת.
צורות מקוונות של פיתיון עשויות להיות בצורה של פרסומות אטרקטיביות ומפתות שיעודדו את הקורבנות ללחוץ עליה. הקישור עשוי להוריד תוכניות זדוניות, אשר לאחר מכן ידבקו את המחשב שלהם בתוכנה זדונית.
7. Quid Pro Quo
התקפת quid pro quo פירושה התקפת "משהו עבור משהו". זוהי וריאציה של טכניקת הפיתיון. במקום לפתות את הקורבנות בהבטחה להטבה, התקפת quid pro quo מבטיחה שירות אם פעולה מסוימת בוצעה. התוקף מציע הטבה מזויפת לקורבן בתמורה לגישה או מידע.
הצורה הנפוצה ביותר של התקפה זו היא כאשר פושע מתחזה לצוות IT של חברה. לאחר מכן פונה העבריין לעובדי החברה ומציע להם תוכנה חדשה או שדרוג מערכת. לאחר מכן העובד יתבקש להשבית את תוכנת האנטי-וירוס שלו או להתקין תוכנה זדונית אם הוא רוצה את השדרוג.
8. תאחור
התקפת תא המטען נקראת גם נסיעה. זה כרוך בפושע המבקש כניסה למיקום מוגבל שאין בו אמצעי אימות מתאימים. הפושע יכול לקבל גישה על ידי כניסה מאחורי אדם אחר שהורשה להיכנס לאזור.
כדוגמה, הפושע עלול להתחזות לנהג משלוחים שידיו מלאות בחבילות. הוא ממתין לעובד מורשה שייכנס בדלת. לאחר מכן, המשלוח המתחזה מבקש מהעובד להחזיק את הדלת עבורו, ובכך לתת לו לגשת ללא כל אישור.
9. מלכודת דבש
הטריק הזה כולל את הפושע שמתחזה לאדם מושך באינטרנט. האדם מתיידד עם המטרות שלו ומזייף איתם מערכת יחסים מקוונת. לאחר מכן, העבריין מנצל את מערכת היחסים הזו כדי לחלץ את הפרטים האישיים של הקורבנות שלהם, ללוות מהם כסף או לגרום להם להתקין תוכנות זדוניות במחשבים שלהם.
השם 'מלכודת דבש' מגיע מטקטיקות הריגול הישנות שבהן השתמשו בנשים למטרות כוונה לגברים.
10. סוררים
תוכנות נוכלות עשויות להופיע בצורה של נוכל נגד תוכנות זדוניות, סורק נוכל, תוכנות אימה נוכלות, אנטי תוכנות ריגול וכן הלאה. סוג זה של תוכנות זדוניות מחשב מטעה משתמשים לשלם עבור תוכנה מדומה או מזויפת שהבטיחה להסיר תוכנה זדונית. תוכנת אבטחה נוכלת הפכה לדאגה גוברת בשנים האחרונות. משתמש לא חושד עלול בקלות ליפול טרף לתוכנה כזו, הזמינה בשפע.
11. תוכנות זדוניות
המטרה של התקפת תוכנה זדונית היא לגרום לקורבן להתקין תוכנות זדוניות במערכות שלהם. התוקף מתמרן רגשות אנושיים כדי לגרום לקורבן לאפשר את התוכנה הזדונית לתוך המחשבים שלהם. טכניקה זו כוללת שימוש בהודעות מיידיות, הודעות טקסט, מדיה חברתית, דואר אלקטרוני וכו', כדי לשלוח הודעות דיוג. הודעות אלו מרמות את הקורבן ללחוץ על קישור שיפתח אתר המכיל את התוכנה הזדונית.
לעתים קרובות נעשה שימוש בטקטיקות הפחדה עבור ההודעות. הם עשויים לומר שמשהו לא בסדר בחשבונך וכי עליך ללחוץ מיד על הקישור המצורף כדי להיכנס לחשבונך. לאחר מכן הקישור יגרום לך להוריד קובץ שדרכו תותקן התוכנה הזדונית במחשב שלך.
הישארו מודעים, הישארו בטוחים
לשמור על עצמך מעודכן הוא הצעד הראשון לקראת הגנה על עצמך מפני התקפות הנדסה חברתית. טיפ בסיסי הוא להתעלם מכל הודעה המבקשת את הסיסמה או המידע הפיננסי שלך. אתה יכול להשתמש במסנני דואר זבל שמגיעים עם שירותי הדואר האלקטרוני שלך כדי לסמן מיילים כאלה. השגת תוכנת אנטי-וירוס מהימנה גם תעזור לאבטח את המערכת שלך.
