הנדסה חברתית (אבטחת מידע)

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש

הנדסה חברתית היא מושג מתחום האבטחה ובפרט מתחום אבטחת מידע, שמשמעותו ניצול של תכונות פסיכולוגיות של האדם, אשר עשויות להביא אותו לציית לבקשותיו של הפורץ.

שיטה זו מאפשרת לעקוף את כל טכנולוגיות מנגנוני האבטחה (כגון אנטי וירוס, חומת אש וכו'), והיא מתבססת על העובדה שכל מערכות המידע נועדו לספק שירותים למשתמשים כלשהם, ולאותם המשתמשים יש אמצעים לגשת אל המידע שהפורץ רוצה להשיג. לדוגמה, באמצעות הנדסה חברתית, הפורץ יכול לשכנע את המשתמש לספק לו מידע רגיש כגון שמות משתמשים וסיסמאות, או לבצע עבורו פעולות כגון הרצת תוכנה לבקשתו. למשל, ההאקר הידוע קווין מיטניק, משתמש לעתים קרובות במונח זה, וטוען שהנדסה חברתית היא הטכניקה האפקטיבית ביותר ב"ארגז הכלים" שלו[1].

כיום, מנהלי אבטחת מידע רבים מעריכים כי איום זה לחיסיון המידע הארגוני, גדול משמעותית מכל איום טכנולוגי "קלאסי"[דרוש מקור]. הדרכים המקובלות להתמודד ולהגן בהנדסה חברתית היא העלאת המודעות מפני סוגי התקפה של הנדסה חברתית בקרב המשתמשים ובעלי ההרשאות. לדוגמה, בנקים רבים מפרסמים באתרי האינטרנט שלהם שעובדי הבנק לעולם לא יבקשו בטלפון או בדואר אלקטרוני את סיסמאת הכניסה לחשבון הבנק של המשתמשים.

שיטות תקיפה נפוצות[עריכת קוד מקור | עריכה]

כל הטכניקות בהנדסה חברתית מבוססות על תכונות פסיכולוגיות מסוימות של האדם, בעיקר בתחום קבלת ההחלטות. תכונות אלו, המכונות לעתים "באגים בחומרת האדם", ניתנות לניצול בצירופים שונים כדי ליצור טכניקות התקפה. בין סוגי ההתקפות קיימים: דיוג, איסוף מידע, תסריטים, הסחת דעת, פיתוי ועוד.

דיוג[עריכת קוד מקור | עריכה]

Postscript-viewer-shaded.png ערך מורחב – דיוג

דיוג ("פישינג") היא שיטת הונאה מהנפוצות ביותר לחשיפת מידע אישי ממשתמשים בשירותי רשת. בפעולת דיוג הפורץ יוצר אתר אינטרנט מזויף, בעל מראה דומה לדף האינטרנט האמיתי. משתמש שמוזמן להיכנס לאתר המזויף, עשוי להזין לתומו את הפרטים האישיים והסיסמה לתוך האתר המזויף. בהיותו אתר מזויף, הנתונים שהוזנו לאתר נשלחים לשרת שנמצא בשליטתו של הפורץ, וכך יש בידיו גישה מלאה לחשבון משתמש זה.

על מנת לטשטש את עקבות פעולת הדיוג, הפורץ מנסה לגרום למשתמש להרגיש שהכל כשורה. לשם כך ישנן שתי אפשרויות התנהלות מרגע שליחת הפרטים אל הפורץ: רבים מהפורצים מנתבים את המשתמש אוטומטית לדף הכניסה המקורי, ושם המשתמש מתבקש להזין את הפרטים שלו שוב; אמנם מצב כזה מעט מחשיד, אך משתמשים רבים אינם זהירים דיים ומתייחסים לאירועים כאלה כאל "באג" בשירות. דרך התנהלות שנייה, יותר חמקנית, מנתבת את המשתמש לדף הכניסה, מזינה אוטומטית את הפרטים לתוך האתר האמיתי, והמשתמש מועבר אוטומטית לתוך החשבון האמיתי שלו, כך שאינו חושד כלל שמשהו אינו כשורה.

כיום ישנם שירותי רשת רבים שנאבקים בתופעת הדיוג, בשיטות שונות בעלות רמת יעילות שונה.

קישורים חיצוניים[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ Kevin Mitnick, Alexis Kasperavičius, "Certified Social Engineering Prevention Specialist Course Workbook.", page 4. Mitnick Security Publishing, 2004
Crystal kpackage.png ערך זה הוא קצרמר בנושא תוכנה. אתם מוזמנים לתרום לוויקיפדיה ולהרחיב אותו.