הנדסה חברתית (אבטחת מידע)

מתוך ויקיפדיה, האנציקלופדיה החופשית

קפיצה אל: ניווט, חיפוש

הנדסה חברתית היא מושג מתחום האבטחה ובפרט מתחום אבטחת מידע שמשמעותו ניצול של תכונות פסיכולוגיות של האדם, אשר יביאו אותו לציית לבקשותיו של הפורץ. שיטה זו מאפשרת לעקוף את כל טכנולוגיות מנגונני האבטחה (כגון אנטי וירוס, חומת אש וכו'), והיא מתבססת על העובדה שכל מערכות המידע נועדו לספק שירותים למשתמשים כלשהם, ולאותם המשתמשים יש את האמצעים לגשת אל המידע שהפורץ רוצה להשיג. לדוגמא, באמצעות הנדסה חברתית, הפורץ יכול לשכנע את המשתמש לספק לו מידע רגיש כגון שמות משתמשים וסיסמאות או לבצע עבורו פעולות כגון הרצת תוכנה לבקשתו. ההאקר הידוע, קווין מיטניק, משתמש רבות במונח וטוען שהנדסה חברתית היא הטכניקה האפקטיבית ביותר ב-"ארגז הכלים" שלו^[1].

כיום, מנהלי אבטחת מידע רבים מעריכים כי איום זה לחיסיון המידע הארגוני, גדול משמעותית מכל איום טכנולוגי "קלאסי"^[^{דרוש מקור}^]. הדרכים המקובלות להתמודד ולהגן בהנדסה חברתית היא העלאת המודעות מפני סוגי התקפה של הנדסה חברתית בקרב המשתמשים ובעלי ההרשאות. לדוגמא, בנקים רבים מפרסמים באתרי האינטרנט שלהם שעובדי הבנק לעולם לא יבקשו בטלפון או בדוא"ל את סיסמאת הכניסה לחשבון הבנק של המשתמשים.

[עריכה] שיטות תקיפה נפוצות

כל הטכניקות בהנדסה חברתית מבוססות על תכונות פסיכולוגיות מסוימות של האדם, בעיקר בתחום קבלת ההחלטות. תכונות אלו, המכונות לעתים "באגים בחומרת האדם", ניתנות לניצול בצירופים שונים כדי ליצור טכניקות התקפה. בין סוגי ההתקפות קיימים: דיוג, איסוף מידע, תסריטים, הסחת דעת, פיתוי

[עריכה] דיוג

דיוג הינה שיטת הונאה מהנפוצות ביותר לחשיפת מידע אישי ממשתמשים בשירותי רשת. בפעולת דיוג הפורץ יוצר אתר אינטרנט מזוייף, בעל מראה דומה לדף האינטרנט האמיתי. משתמש שמוזמן להיכנס לאתר המזוייף, יזין לתומו את הפרטים האישיים והסיסמא לתוך האתר המזוייף. בהיותו אתר מזוייף, הנתונים שהוזנו לאתר יישלחו לשרת שנמצא בשליטתו של הפורץ, וכעת יש בידיו גישה מלאה לחשבון המשתמש ה"קרבן". על מנת לטשטש את עקבות פעולת הדיוג, פורץ ינסה לגרום למשתמש להרגיש שהכל כשורה. לשם כך ישנן שתי אפשרויות התנהלות מרגע שליחת הפרטים אל הפורץ-חלק רב מהפורצים מנתב את המשתמש אוטומטית לדף הכניסה המקורי, ושם המשתמש מתבקש להזין את הפרטים שלו שוב. אמנם מצב כזה מעט מחשיד, אך משתמשים רבים אינם זהירים דיים ומתייחסים לארועים כאלה כאל "באג" בשירות. דרך התנהלות שנייה, יותר חמקנית, מנתבת את המשתמש לדף הכניסה, מזינה אוטומטית את הפרטים לתוך האתר האמיתי, והמשתמש יועבר אוטומטית לתוך החשבון האמיתי שלו. השירות יכנס לחשבון המשתמש המבוקש והמשתמש לא יחשוד כלל.

כיום,ישנם שירותי רשת רבים שנאבקים בתופעת הפישינג, בשיטות שונות בעלות רמת יעילות שונה.

[עריכה] סימוכין

^ Kevin Mitnick, Alexis Kasperavičius, "Certified Social Engineering Prevention Specialist Course Workbook.", page 4. Mitnick Security Publishing, 2004

[עריכה] קישורים חיצוניים

Johnny Long, No-Tech Hacking, הרצאה בנושא הנדסה חברתית, מתוך כנס defcon 15

ערך זה הוא קצרמר בנושא טכנולוגיה. אתם מוזמנים לתרום לוויקיפדיה ולהרחיב אותו.

[0] Kevin Mitnick, Alexis Kasperavičius, "Certified Social Engineering Prevention Specialist Course Workbook.", page 4. Mitnick Security Publishing, 2004

[1]

הנדסה חברתית (אבטחת מידע)

תוכן עניינים

[עריכה] שיטות תקיפה נפוצות

[עריכה] דיוג

[עריכה] סימוכין

[עריכה] קישורים חיצוניים

כלים אישיים

גרסאות שפה

מרחבי שם

חיפוש

פעולות

צפיות

ניווט

קהילה

תיבת כלים

דף זה בשפות אחרות

הדפסה/יצוא