בלוג | הנדסה חברתית

הנדסה חברתית

יוגב 22 ינואר 2019

רקע

בימינו מערכות ההגנה התקדמו מאוד, יש מגוון רחב של מערכות בקרה, התראה, ניטור, חומות אש, מניעת גישה וכו’. מערכות אלו ללא ספק מונעות מספר לא קטן של התקפות סייבר, כמובן שאין הגנה המכסה את מלוא הסיכונים אך כל עוד מנהלים את מערכות ההגנה בצורה העונה לדרישות האבטחה של הארגון ובהתאם לניהול הסיכונים הארגוני סביר להניח כי לא כל התקפה שתגיע לארגון תצליח לפגוע ו\או לגרום נזק.

מנגד, קיים מימד נוסף שלצערנו הרב עליו אין מערכות הגנה, אין “תיקונים חמים” ואין חסימת גישה אליו על ידי חומת אש או כל מוצר אבטחה אחר, מדובר על המימד האנושי. אחת החולושות הכי גדולות בעולם אבטחת המידע שעדיין אין עליה מענה זה האדם האנושי וסקרנותו.

הגדרת המושג “הנדסה חברתית”

הנדסה חברתית היא מושג שלקוח מתחום האבטחה ובעיקר מתחום אבטחת המידע, ויקיפדיה מגדירה זאת:

“ניצול של תכונות פסיכולוגיות של האדם, אשר עשויות להביא אותו לציית לבקשותיו של הפורץ”.במילים שלנו, זה מצב בוא התוקף גורם לנתקף לבצע פעולה כלשהיא שבמידה והיה מודע לכך סביר להניח שלא היה מבצע אותה.

מה הכוונה?

ננסה לפשט את העניין על ידי המחשה, במידה והייתי שואל אותכם במפורש מהי סיסמת חשבון הדוא”ל הארגוני שלכם ואומר לכם שבכוונתי לפרוץ לכם לחשבון הייתי מיד נענה בתגובה שלילת וסביר להניח שלא הייתם מספקים לי את סיסמתכם. אך מה היה קורה אם הייתי עושה זאת בדרך אחרת, לדוגמה, מתקשר אליכם לטלפון הנייד ומתחזה לאיש התמיכה החדש של הארגון או לחלופין לאיש תמיכה קיים, ומודיע לכם כי התקבלה התראה על פעילות חריגה בחשבונכם ולצורך הבדיקה אצטרך את סיסמתכם כדי לטפל בבעיה.

סביר להניח כי מרבית האנשים בתמימות וללא מודעות כלל יספקו את הסיסמה במצב זה ובעצם יבצעו פעולה שאם היו יודעים מה ההשלכות שלה ומודעים לתרמית סביר להניח שלא היו מבצעים אותה, אך בשל חוסר המודעות שלהם הם כן מבצעים את אותה פעולה שהתוקף גרם להם לבצע .

כיום קיימות המון התקפות מסוג הנדסה חברתית, הרבה פעמים טוענים “שלי זה לא יקרה..” אך כמובן שקל לדבר כאשר מודעים מראש להתקפה. ברגע שלא מודעים להתקפה (ברוב המקרים) ולא מוכנים אליה מראש קל מאוד “ליפול בפח”.

הרבה אנשים “מזלזלים” בהתקפות מסוג אלה ולא מייחסים להן את החשיבות הנדרשת אך אלו הן אותן התקפות שדווקא הכי קשה להגונן מפניהם ודרכן “השמיים הם הגבול”. הרבה פעמים התוקף מגיע למבוי סתום, כל פירצה שהוא מנסה לנצל או כל התקפה שמנסה לבצע נכשלת עקב מערכות הגנה מתוחכמות, ואז מגיע הפתרון “הנדסה חברתית”. בהרבה מאוד מקרים זאת הדרך הקלה ביותר לחדור אל תוך הארגון ללא ידע “מטורף” במחשבים, ללא עקיפה של מערכות הגנה וללא עבודת הכנה ארוכות טווח, לכן יש צורך לייחס חשיבות מאוד גבוהה לעניין.

אז מה כן אפשר לעשות כדי להימנע מהתקפות מסוג זה? הפתרון הכי אפקטיבי זה מודעות!

כאשר דואגים להכניס “לראש” של המשתמשים, העובדים, המנהלים ואנשי המחשוב כמה שיותר מידע רלוונטי שיגביר את המודעות שלהם לענייני אבטחת מידע ובעיקר להתקפות מסוג “הנדסה חברתית”, ניתן להקטין בצורה משמעותית את הסיכוי להיפגע.

כמובן שהדגמות, מצגות והרצאות של איש מקצוע בעניין מאוד יתרמו להבנה של המשתמשים על אופן הפעולה שבה “האקר” יכול לנהוג ולגרום להם לחשוב פעמיים לפני ביצוע פעולה מסויימת.

הפתרון הנוסף הוא ביצוע מבדק חדירה המשלב מבדק “הנדסה חברתית” וכולל בדיקת המודעות של העובדים, כולל ניסיון לחדור ולתקוף את הארגון על ידי התקפות מסוג “הנדסה חברתית” ולאחר מכן להסיק מסקנות ולשתף את העובדים בתוצאות.

השאר תגובה

למעלה