הנדסה חברתית (אבטחת מידע)

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש

הנדסה חברתיתאנגלית: Social Engineering) היא מושג מתחום האבטחה ובפרט מתחום אבטחת מידע, שמשמעותו ניצול של תכונות פסיכולוגיות של האדם, אשר עשויות להביא אותו לציית לבקשותיו של הפורץ. הנדסה חברתית היא לכן, אחת מהטכניקות למימוש לוחמת סייבר.

שיטה זו מאפשרת לעקוף את כל טכנולוגיות מנגנוני האבטחה (כגון אנטי וירוס, חומת אש וכו'), והיא מתבססת על העובדה שכל מערכות המידע נועדו לספק שירותים למשתמשים כלשהם, ולאותם המשתמשים יש אמצעים לגשת אל המידע שהפורץ רוצה להשיג. לדוגמה, באמצעות הנדסה חברתית, הפורץ יכול לשכנע את המשתמש לספק לו מידע רגיש כגון שמות משתמשים וסיסמאות, או לבצע עבורו פעולות כגון הרצת תוכנה לבקשתו. למשל, ההאקר הידוע קווין מיטניק, משתמש לעתים קרובות במונח זה, וטוען שהנדסה חברתית היא הטכניקה האפקטיבית ביותר ב"ארגז הכלים" שלו[1].

כיום, מנהלי אבטחת מידע רבים מעריכים כי איום זה לחיסיון המידע הארגוני, גדול משמעותית מכל איום טכנולוגי "קלאסי"[דרוש מקור]. הדרכים המקובלות להתמודד ולהגן בהנדסה חברתית היא העלאת המודעות מפני סוגי התקפה של הנדסה חברתית בקרב המשתמשים ובעלי ההרשאות. לדוגמה, בנקים רבים מפרסמים באתרי האינטרנט שלהם שעובדי הבנק לעולם לא יבקשו בטלפון או בדואר אלקטרוני את סיסמאת הכניסה לחשבון הבנק של המשתמשים.

שיטות תקיפה נפוצות[עריכת קוד מקור | עריכה]

כל הטכניקות בהנדסה חברתית מבוססות על תכונות פסיכולוגיות מסוימות של האדם, בעיקר בתחום קבלת ההחלטות. תכונות אלו, המכונות לעתים "באגים בחומרת האדם", ניתנות לניצול בצירופים שונים כדי ליצור טכניקות התקפה. בין סוגי ההתקפות קיימים: דיוג, איסוף מידע, תסריטים, הסחת דעת, פיתוי ועוד.

השימוש בפיתוי הוא בדרך כלל ע"י טקסט שמשכנע את המשתמש להוריד משהו או ללחוץ על קישור. הנה מספר טקסטים לדוגמה:

  • "מזל טוב! אתה המשתמש מספר מיליון שלנו, לחץ כאן כדי לקבל את הפרס".
  • "לחץ כאן לצפייה ב(שם של מישהי/מישהו מפורסמ/ת) בעירום".
  • "לחץ כאן כדי להוריד את המשחק (השם של המשחק המבוקש)".

הנה דוגמה למשפט בהנדסה חברתית שיכולה לגרום למשתמש שחושב שהוא מוריד משחק מוכר - להפעיל וירוס (למרות שהאנטי-וירוס יודיע למשתמש על ההורדה המסוכנת, ויבקש את אישורו להמשך): "שים לב: האנטי-וירוסים הישנים עלולים להציג את המשחק כוירוס. אל דאגה, המשחק רק משתמש בהרשאות רחבות כדי לחבר אותך אל המשחק".

דיוג[עריכת קוד מקור | עריכה]

Postscript-viewer-shaded.png ערך מורחב – דיוג

דיוג ("פישינג") היא שיטת הונאה מהנפוצות ביותר לחשיפת מידע אישי ממשתמשים בשירותי רשת. בפעולת דיוג הפורץ יוצר אתר אינטרנט מזויף, בעל מראה דומה לדף האינטרנט האמיתי. משתמש שמוזמן להיכנס לאתר המזויף, עשוי להזין לתומו את הפרטים האישיים והסיסמה לתוך האתר המזויף. בהיותו אתר מזויף, הנתונים שהוזנו לאתר נשלחים לשרת שנמצא בשליטתו של הפורץ, וכך יש בידיו גישה מלאה לחשבון משתמש זה.

על מנת לטשטש את עקבות פעולת הדיוג, הפורץ מנסה לגרום למשתמש להרגיש שהכל כשורה. לשם כך ישנן שתי אפשרויות התנהלות מרגע שליחת הפרטים אל הפורץ: רבים מהפורצים מנתבים את המשתמש אוטומטית לדף הכניסה המקורי, ושם המשתמש מתבקש להזין את הפרטים שלו שוב; אמנם מצב כזה מעט מחשיד, אך משתמשים רבים אינם זהירים דיים ומתייחסים לאירועים כאלה כאל "באג" בשירות. דרך התנהלות שנייה, יותר חמקנית, מנתבת את המשתמש לדף הכניסה, מזינה אוטומטית את הפרטים לתוך האתר האמיתי, והמשתמש מועבר אוטומטית לתוך החשבון האמיתי שלו, כך שאינו חושד כלל שמשהו אינו כשורה.

כיום ישנם שירותי רשת רבים שנאבקים בתופעת הדיוג, בשיטות שונות בעלות רמת יעילות שונה.

קישורים חיצוניים[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ Kevin Mitnick, Alexis Kasperavičius, "Certified Social Engineering Prevention Specialist Course Workbook.", page 4. Mitnick Security Publishing, 2004
Crystal kpackage.png ערך זה הוא קצרמר בנושא תוכנה. אתם מוזמנים לתרום לוויקיפדיה ולהרחיב אותו.