כיצד להתגונן מהונאות סייבר מבוססות הנדסה חברתית

המשתמש הוא החוליה החלשה בארגון, לכן יש חשיבות לחינוך ולהדרכת המשתמשים לערנות ולמודעות לאירועי סייבר. מאמר זה בא להאיר את הצד הנוגע להונאות מבוססות הנדסה חברתית ושיטות הונאה נפוצות שעברייני סייבר עושים בהן שימוש במטרה לפתות ולהטעות את הקורבנות על מנת לקבל גישה לנתונים ולמקורות מידע שונים שלהם, כגון חשבונות פרטיים וחשבונות ארגוניים, חשבונות פיננסיים ועוד.

מהי הונאה בעזרת הנדסה חברתית?

מדובר במושג מתחום האבטחה ומתחום אבטחת המידע והסייבר בפרט, ומשמעותו: ניצול תכונות פסיכולוגיות של האדם, העשויות להביא אותו לחשוף מידע רגיש לתוקף ובכך לאפשר גישה למערכות, למידע ולרשת. הנדסה חברתית מהווה טכניקה מהיעילות שבהן עושים שימוש עברייני סייבר. הונאות אלו מבוססות על צורת החשיבה ודפוסי הפעולה של אנשים, תוך שימוש באמצעים, כגון אמפתיה למטרה, רגש, התחזות לדבר מה מוכר, הבטחה לקבלת דבר מה, במטרה לתמרן את המשתמש המותקף.

טקטיקות הונאה באמצעות הנדסה חברתית אף עשויות לנצל חוסר ידע אצל המשתמשים לגבי ערך המידע שלהם, ו/או כמות המידע הדרוש למתן שירות. אין זה פלא שאחת הטקטיקות ההנדסיות החברתיות הפוריות ביותר היא השימוש בהתחזות לגורם סמכותי (ארגון, אתר או אדם).

דוגמאות להונאות סייבר העושות שימוש בהנדסה חברתית

דיוג באמצעות דוא"ל או הודעת SMS – דוא"ל מהווה את הווקטור הגדול ביותר למתקפות סייבר, אחרי הכל מדובר בכלי שבו כולנו משתמשים על בסיס יום יומי (הדברים נכונים גם להודעות SMS). עברייני סייבר מנצלים זאת על ידי שימוש בהודעות דוא"ל ו-SMS מתחזות, הנשלחות למספר עצום של כתובות במטרה לפתות את מקבל ההודעה ללחוץ על קישור שיוריד תוכנות זדוניות למכשיר המשתמש.

דיוג ממוקד (Spear Phishing) – גירסה ממוקדת של הונאת דיוג, שבה התוקף בוחר אנשים או ארגונים ספציפיים ומתאים את המסרים הנשלחים בהתאם למאפייני הסביבה של הקורבן במטרה להפוך את ההתקפה לפחות בולטת. דיוג ממוקד דורש מאמץ גדול יותר וזמן מטעם המבצע. תרחיש דיוג ממוקד עשוי לכלול תוקף המתחזה לבעל סמכות בארגון, מנהל או איש ה-IT של הארגון. באמצעות שליחת דוא"ל לעובד אחד או יותר תוך שימוש בנוסח שלא מעורר חשד אצל הקורבן, שגורמים לנמענים לחשוב שמדובר במסר אותנטי.

שימוש בקודי QR זדוניים – השימוש הגובר בקוד QR למטרות מגוונות (תשלום, מידע ועוד…) הביא לכך, שקודי QR זדוניים הפכו לווקטור לביצוע הונאות. עברייני סייבר שולחים קודי QR בתוך הודעת דוא"ל, ואף יכולים למקם כאלו במקומות ציבוריים כהצעה למידע או לשירותים. במקום התחזות וטקסטים המחפים על קישורים לאתרים זדוניים, נעשה שימוש בקודי QR זדוניים, שמטרתם להוביל את מכשיר המשתמש לאתר זדוני.

חלונות קופצים בדפדפן – שיטה ותיקה, שעדיין משתמשים רבים נופלים בה, היא שימוש בחלונות קופצים, המבקשים אישור לפני ביצוע פעולה. על אף הוותק הרב שלהם, הם עדיין משמשים כטקטיקות הנדסה חברתית על ידי תוקפים, מכיוון שחלק מהמשתמשים מדלגים על קריאת ההודעה ופשוט לוחצים על "אישור" כדי להגיע ליעד. ברגע שהמשתמש לוחץ על כפתור האישור, ההודעה תפנה אותם לאתר זדוני במטרה להוריד תוכנות או מייל זדוני דרך הקישור.

ניצול טכנולוגי להונאות הנדסה חברתית

שיטות חדשות יותר בתחום הונאות הנדסה החברתית עושות שימוש בטכנולוגיות מתקדמות, כגון Deepfake (קטעי וידיאו או הקלטות שמע מזויפים, הנראים ונשמעים אמיתיים לחלוטין) וניצול רשתות חברתיות.

שימוש בטכנולוגיית Deepfake – השם "Deepfake" נובע מהשימוש בבינה מלאכותית ובלמידה עמוקה (Deep learning), המשמשים ליצירת סרטונים כה מציאותיים, שרוב הצופים לעולם לא ישימו לב שמדובר בזיוף. דוגמאות מפורסמות לסרטוני Deepfake: סרטון הודעת שירות ציבורי של ברק אובמה, סרטון הטיק-טוק שבו מופיע השחקן טום קרוז. סרטוני Deepfake יכולים לשמש להונאה מבוססת הנדסה חברתית שכן הם משתמשים ב"דמות מהימנה" כדי להערים על אנשים ולגרום להם לספק או להעביר מידע או כסף לעברייני סייבר.

שימוש ברשתות חברתיות ופורומים – רשתות חברתיות ופורומים מהווים כר פורה להנדסה חברתית, כשגם כאן מטרת עברייני הסייבר היא לקבל מידע או להעביר תוכנה זדונית למשתמש. ההבדל מתבטא בשימוש בפלטפורמת הרשתות החברתיות דוגמת פייסבוק, טוויטר, לינקדין, אינסטגרם ואף פורומים מקצועיים.

כיצד להישמר מהונאות מבוססות הנדסה חברתית

איומי ההנדסה החברתית ימשיכו ללוות אותנו בכל מקום שיש בו בני אדם עם גישה לכסף, למידע או לרשת. תמיד יימצאו פרקטיקות חדשות של הנדסה חברתית והתחזות. התפתחות ההונאות של הנדסה חברתית באמצעות אימוצן של טכנולוגיות חדשות מצביעה עד כמה הונאות אלו משתלמות עבור עברייני סייבר.

סימנים המעידים על ניסיון הונאה יכולים להיות: שגיאות כתיב, תחביר גרוע בהודעה ממקור "רשמי";בקשות מוגזמות למידע מהנמען; כתובות דוא"ל של שולח, המורכבות ממחרוזת מספרים ואותיות; שמות דומיינים מוסתרים וקיצור קישורים.

כמה כללים להתגוננות מפני הונאות:

• אין להוריד אפליקציה שאינה מחנות האפליקציות הרשמית.
• לפני כל לחיצה על קישור יש להאט ולבדוק את כתובת הקישור או מה מבקשת ההודעה שהופיעה בחלון הקופץ.
• אין לסרוק קוד QR בדוא"ל או במקומות ציבוריים אם אינך מכיר וסומך על השולח/מפיץ הקוד.
• במידת האפשר, יש להשתמש בסורק QR שבודק או מציג את הקישור לפני שהוא מעביר את המשתמש לאתר.
• שימוש בחוסם חלונות קופצים ושימוש בתוכנת אנטי-וירוס מודרני יחסמו מלכתחילה רבות מההודעות הקופצות ויעזרו לחסום את האתר הזדוני.
• במקרה של סרטוני Deepfake שאלו את עצמכם: האם הסרטון נשמע ו/או נראה הגיוני? האם זו הדרך הרגילה שבה הדברים עובדים, או שזה נראה חריג? האם אתה יכול לאמת את הדברים עם מקור נוסף?
• אין לשתף מידע אישי או מידע רגיש אחר ברשתות חברתיות ובפורומים.
• אם בכל זאת החלטתם לשתף פעולה עם אדם/פרופיל אחר, ודאו את זהותו לפני שתשלחו לו מידע אישי, או תלחצו על קישורים שנשלחו אליכם, או לפני שתקבלו ממנו הורדות.

בעוד שחלק מהונאות ההנדסה החברתית ניתן לעצור באמצעים טכנולוגיים, הנשק הטוב ביותר כנגד הונאות הנדסה חברתית מתבסס על הכשרה וחינוך של המשתמשים. מניעה מנפילה למלכודת היא הדרך הטובה ביותר מליפול קורבן להונאה.

הכותב הוא מהנדס פריסייל בחברת בינת תקשורת.