בלוג

הנדסה חברתית – זה קורה לטובים ביותר

סדרת מאמרי סייבר מקצועיים

זה קורה לטובים ביותר

קיבלתם שיחה טלפונית פתאומית וביקשו "בטעות" אדם אחר שאינכם מכירים, למרות טענתכם שמדובר בטעות עדיין אתם נשאלים מספר שאלות על ידי אותו גורם שהתקשר, האם הדבר מוכר לכם?

רוב הסיכויים שהתשובה היא כן, בהרבה מן המקרים אין זו באמת טעות אלא תרמית במטרה להוציא מכם מידע שאינכם הייתם מספקים לאדם זר שהיה מבקש זאת בסיטואציה אחרת.

תרמית זאת נקראת במונח המקצועי – הנדסה חברתית.הנדסה חברתית ופישינג

הנדסה חברתית קיימת בשימוש קבוע בחיי היומיום שלנו, בין אם זו הדרך שבה הילדים משכנעים את הוריהם לקנות להם ממתקים, בין אם זה על ידי אנשי מכירות שגורמים ללקוחות לקנות מוצרים שבכלל אינם חפצים בהם וכו'.

הנדסה חברתית הינה היכולת לתמרן את המוח האנושי לנקוט בפעולה כלשהי, כאשר אותה פעולה לא הייתה נראית לנו לגיטימית במידה והיינו מודעים למשמעותה או למטרה שלשמה נתבקשנו לבצעה.

ויקיפדיה מגדירה זאת: "מושג מתחום האבטחה ובפרט מתחום אבטחת מידע, שמשמעותו ניצול של תכונות פסיכולוגיות של האדם, אשר עשויות להביא אותו לציית לבקשותיו של הפורץ. הנדסה חברתית היא לכן, אחת מהטכניקות למימוש לוחמת סייבר."

לי זה לא יקרה

אז נכון, יש לכם חומת אש (Firewall) מהחדישות ביותר, מערכות לגילוי והתרעה על התקפות ברשת, אנטי-וירוסים בכל התחנות בארגון, בקרות גישה ביומאריות, חדרי הרתים מאובטחים היטב, מי מסוגל לפרוץ אליכם עם כל ההגנות האלה?

כאשר מדובר בהנדסה חברתית, להגנות אלו אין יותר מדי משמעות ואתם נותרים חשופים למגוון רחב של התקפות שדרכן ניתן בקלות רבה לחדור לארגונכם ולעקוף את כל ההגנות הפיזיות והאפליקטיביות הקיימות. היות ואין באמת הגנה על החולשה העיקרית – הגורם האנושי.

בעוד ארגונים מתקדמים טכנולוגית ומשפרים משמעותית את מערך אבטחת המידע שלהם, האקרים פונים לחלק הכי חלש בחוליה, העובדים.

כיום, עם מערכות ההגנה המתקדמות, התקפות על מערך אבטחת המידע בארגון הפכו ליותר מסובכות וקשות ליישום, מה שמאריך ומקשה מאוד את תהליך התקיפה.

לעומת זאת, בעזרת הנדסה חברתית, האקר יכול להגיע לתוצאות זהות בשעות עבודה ספורות בלבד.

המחשה

לארגונכם הגיע איש כיבוי אש המטפל במטפי הכיבוי בבניין, איש כיבוי האש ניגש תחילה לשומר הנמצא בלובי הבניין והסביר שבא לביקורת שגרתית ולכן השומר הכניסו ללא כל בעיה לבניין.

לאחר שיחה קצרה עם המזכירה בדלפק הקבלה "וזריקת" חיוך קטן :), איש כיבוי האש קיבל הכוונה למיקום חדר השרתים וניגש לאזור המעליות ועלה לקומה הראשונה בה נמצא מתחם השרתים של הארגון.

הכניסה למתחם השרתים מאופשרת רק לבעלי מורשי גישה ובאמצעות טביעת אצבע בלבד.

בדיוק כאשר יצא האיש מהמעלית, אחד מטכנאי המחשבים יצא מדלת המתחם לצורך הפסקת סיגריה קצרה וראה את איש כיבוי האש בדיוק בדרכו פנימה ולכן השאיר לו את הדלת פתוחה כדי שיוכל להיכנס.

לאחר שקיבל הסבר מאחד הטכנאים הנמצא במקום, הוא הופנה לחדר השרתים שבו מותקן מטף הכיבוי.

לאחר מבט מהיר הוציא מכיסו תווית קטנה והדביקה על המטף.

תווית זו מעידה כי המטף תקין, בזמן הוצאת התווית מכיסו, שלף דיסק און קי קטן, אשר אינו בולט לעיין והכניסו לאחד השרתים שהיו על ידו (בחלקו האחורי של השרת).

הבחור אמר שלום בחיוך ועזב את הבניין. עד לפעולה האחרונה שאותו "איש כיבוי אש" ביצע, ניתן להניח שממבט מבחוץ של עובד מן המניין, כל הפעולות שהוזכרו לעיל ייראו לגיטימיות לגמרי.

אך באם נבחן את מטרתו האמיתית של אותו "איש כיבוי אש" פעולותיו מתגלות כתרמית אחת גדולה אשר לא היינו מאפשרים לה לקרות במידה והיינו מודעים לה.

אחת משיטות התקיפה הנפוצות ביותר בהנדסה חברתית הינה – דיוג (“פישינג”).הנדסה חברתית ופישינג

דיוג הינה שיטה לגנוב מידע, בעיקר מידע רגיש, על ידי התחזות לגורם לגיטימי המוכר לקורבן.

ניתן ליישם דיוג בטכניקות שונות לרבות: מסרים מידיים, דואר אלקטרוני, שיחות קוליות וכו'.

האתרים הנפוצים שבשמם מבוצעות פעולות פישיניג הינם אתרי בנקים, רשתות חברתיות כגון גוגל ופייסבוק, אתרי מסחר כגון איביי ועוד.

למרות כל ההגנות החדישות בתחום אבטחת המידע, עדיין אין הגנות המסוגלות לשמור מפני טעויות הנובעות מכשלים בהתנהלות הגורם האנושי.

זה קורה לטובים ביותר

לפי פרסומים משנת 2011, אחת המדינות (חוקרים רבים סבורים כי מדובר בסין) שמה לעצמה מטרה לפרוץ לחברת האבטחה מהגדולות והמוכרות בעולם – חברת RSA.

חברה בסדר גודל שכזה, יכולה להרשות לעצמה לממן טכנולוגיות אבטחת מידע מהחדישות ביותר בתחום.

אלא שאותם תוקפים נקטו בשיטת תקיפה שונה וחסכונית – עקיפת מערך האבטחה של מחשבי הארגון דרך עובדי החברה.

לאחר איסוף מידע מקדים, התוקפים שלחו לעובדי החברה מייל עם הנושא: "Recruitment plan 2011".

מייל זה הכיל בתוכו קובץ אקסל אשר ניצל פרצת אבטחה לתוכנת הפלאש.

עם הפעלת הקובץ על ידי העובדים, הותקנה למחשב תוכנה זדונית בשם Poison Ivy.

תוכנה זו מאפשרת שליטה מלאה על המחשב באמצעות מחשב מרוחק של התוקף.

לאחר השתלטות על התחנה בוצעה פריצה מלאה לרשת החברה.

אנו עדים כאן להתקפה מסוג הנדסה חברתית אשר הביאה לחדירה מלאה לחברת RSA.

אז מה כן ניתן לעשות?

הדרך היעילה ביותר כיום להגנה מפני התקפות מסוג הנדסה חברתית, הינה הגברת מודעות העובדים\משתמשים.

ניתן ליישם זאת באמצעות שיטות שונות ובניהן:

  • יצירת מסגרת אמון בין הארגון לעובדים והגדרת המצבים בהם מותר/אסור להעביר מידע רגיש לגורמים ספציפיים, אם בכלל.
  • זיהוי המידע הרגיש בארגון והערכת חשיפתו להתקפות מסוג הנדסה חברתית.
  • הכנת מדיניות ונהלים המטפלים באופן השימוש במידע רגיש.
  • הכשרת העובדים בהתאם לתפקידם, מיקומם בשרשרת הארגונית ורמת רגישות המידע איתו הם עובדים.
  • ניטור נסיונות להדלפת מידע מתוך הארגון.
  • נהלים הדוקים לאבטחה פיזית והגברת המודעות של גורמי האבטחה.
  • ביצוע מבדקי חדירה הכוללים שימוש בהתקפות מסוג הנדסה חברתית ולאחר מכן, עדכון העובדים בטעויותיהם.