הפקולטה להנדסה חברתית

ממוחשבים ככל שנהיה, אנחנו עדיין בני אדם. חושבים, מרגישים – ובעיקר אי-רציונליים. אפשר לנצל אותנו די בקלות באמצעות מניפולציות – מתוחכמות יותר או פחות. אם אי-פעם היה לכם לא נעים ממישהו, אם המוכר בחנות הצליח לדחוף לכם מוצר שלא הייתם צריכים, ואפילו אם עזרתם לגברת עם סלים לעלות לאוטובוס – נתתם לרגשות שלכם לעבוד בשבילכם. לפעמים זה טוב, לפעמים פחות, ובאינטרנט זה יכול להיות די רע.

מניפולציה על רגשות

הנדסה חברתית (באנגלית: social engineering), הינו מונח שהגיע מתחום מדעי החברה, ובמקור נועד לציין שימוש בהתנהגות חברתית של בני-אדם לשם ניתובם לצרכים שונים (בעיקר פוליטיים). המונח אומץ על-ידי קהיליית האבטחה הממוחשבת, וכיום הוא מציין בעיקר את המניפולציות שמבוצעות עלינו, המשתמשים, כדי שנוותר על האבטחה שלנו ונבצע את רצונו של פושע כלשהו. רוצים דוגמה? לא חסרות כאלה:

אנטי או וירוס?

במאמר חיסון נגד וירוסים – לא רק לחורף, דנו בתוכנות זדוניות המתחזות לתוכנות אנטי-וירוס לגיטימיות. בחלק זה של המאמר תוכלו לקרוא על הזיופים הללו, ואפילו לבחון את עצמכם בזיהוי התוכנות המרושעות מבין המסכים המוצגים.

הסיבה לעצם קיומן של התוכנות הללו ברורה: אנשים רעים רוצים לגשת אל המחשב שלנו – כדי לדלות ממנו מידע, כדי לעקוב אחרינו או אפילו סתם כדי להשתלט עליו ולעשות באמצעותו דברים שליליים – והדרך הטובה ביותר לגרום לנו להריץ תוכנה זדונית על המחשב היא להסוות אותה כתוכנה שכולנו רוצים להאמין בה. במקרה הזה, זו תוכנת אנטי-וירוס שתשמור עלינו מהאנשים הרעים… אנחנו רוצים כל-כך להאמין שהכל יהיה בסדר, ולכן אנחנו מוכנים להפסיק לחשוב (ולחשוד) בהיגיון, ובמקום זה ממהרים להתקין את התוכנה על-סמך ההבטחה העצמית שלה לעזור. הפתרון הוא מניעתי: אל תסתבכו מלכתחילה. התקינו רק תוכנות שאתם מכירים או שקיבלתם עליהן המלצות חמות, כולל חיפוש של שם התוכנה בגוגל אם צריך.

סיסמה בבקשה

הטלפון מצלצל. אתם עונים, ובצד השני נמצא טכנאי של ספק האינטרנט שלכם, שרוצה לשדרג לכם את חוויית הגלישה וצריך רק את שם המשתמש והסיסמה שלכם. אתם נותנים לו… וכאן הבעיה. האם אתם יודעים שזה באמת טכנאי? נניח שהוא נתן את שם ספק האינטרנט שלכם – הוא יכול להמר על אחד הספקים הגדולים, לחייג לארבעה אנשים ולהיות צודק ברבע מהפעמים. ובכלל, האם חשבתם לרגע על כך שלספק האינטרנט שלכם יש גישה לכל המידע שהוא סיפק לכם מלכתחילה, כולל שם משתמש וסיסמה?

כריכת ספר בנושא הנדסה חברתית
כריכת ספר בנושא הנדסה חברתית

באנגלית נקראת ההתחזות הזו phishing, ובעברית “דיוג”. לא לחינם חברות רציניות חוזרות שוב ושוב על ההודעה: אנחנו לא נבקש ממך לעולם את פרטי המשתמש שלך, מספר חשבון הבנק, פרטי כרטיס האשראי וכו’ (למעט ארבע ספרות אחרונות כאמצעי זיהוי) – החברות לא צריכות את המידע הזה, כי הוא כבר ברשותן. מי שצריכים אותו הם “דייגים” – פושעים שמנסים “לדוג” מידע יקר-ערך ברשת, כמו מספרי חשבונות בנק או כרטיסי אשראי. מלבד שיחות טלפון, נסיונות דיוג נעשים גם באמצעות אתרים מזויפים, הנראים זהים לחלוטין לאתר הרשמי של הבנק או החברה אבל נמצאים בכתובת שונה. הדייגים מאתרים בדרך-כלל כתובת עם שגיאת כתיב (לדוגמה: www.bankhapaolim.co.il – שמתם לב לשגיאה?) ובונים אתר שייראה זהה לאתר האמיתי, כדי שלא תשימו לב לכך שלא הגעתם לאתר הבנק שלכם. ברגע שהקלדתם את פרטי הכניסה לחשבון הבנק שלכם (שם המשתמש והסיסמה), הנזק כבר נעשה – נתתם לדייגים את כל המידע הדרוש להם, ועכשיו הם יכולים להיכנס לחשבון הבנק שלכם ברשת ולהוציא ממנו כספים.

את נסיונות הדיוג באמצעות אתרים מזויפים משלימות הודעות אימייל: רשמיות למראה, מנוסחות יפה ואפילו מתהדרות בלוגו האמיתי של הבנק או החברה, אבל מכילות קישורים לאתרים המזויפים. ראו הוזהרתם.

אפשר להפקיד אצלך כסף?

שיטת דיוג נוספת נקראת “העוקץ הניגרי”, והיא הולכת ככה: אתם מקבלים אימייל מאדם המציג עצמו כשליט המודח של ניגריה, או מדינה אפריקאית אחרת. ברשותו מאות אלפי דולרים שהוא רוצה להבריח מהמדינה, והוא ישמח להיעזר בחשבון הבנק שלכם כדי לעשות זאת, כמובן תמורת עמלה שמנה. לשם כך, עליכם לאשר לו גישה לחשבון שלכם. אם תאוות הבצע תתגבר עליכם ותאשרו, תגלו שלא רק שהחשבון שלכם לא זכה במאות אלפי הדולרים המובטחים, אלא שהוא רוקן לחלוטין ממעט השקלים שהיו בו.

הדייג החרוץ בונה על תאוות הבצע האנושית ועל העיוורון החלקי שנלווה אליה. אתם יכולים להימנע מפגיעה באמצעות הפעלת השכל הישר והתגברות (לא תמיד קלה!) על הדחפים הראשוניים שיש לכולנו.

מזדנבים

כאמור, הנדסה חברתית איננה המצאה של עידן האינטרנט. לדוגמה, אם הכניסה למקום העבודה שלכם מתאפשרת רק לאחר העברת תג עובד או הקשת קוד, שימו לב למזדנבים – אנשים שאין להם אישור כניסה, ולכן הם מחכים שהדלת תיפתח על-ידי מישהו אחר ואז נכנסים בזריזות אחריו. המניע? החל בצורך תמים אך דחוף לשירותים, דרך פשיטה על תיקי העובדים וגניבת ארנקים, ועד לגניבת מידע ונכסים אחרים של החברה. המזדנב סומך על כך שלאנשים לא נעים להתעמת עם אנשים אחרים – רוב בני האדם יעדיפו לעבור על הזדנבות בשתיקה במקום לשאול את המזדנב מי הוא (מה אם הוא באמת עובד כאן? אולי אפילו נפגשנו כבר ושכחתי? איזו פדיחה…) או לבקש ממנו להשתמש בתג האישי שלו (הוא עוד יחשוב שאני נודניק).

ויש עוד

כותרת מעיתון: גישה מנומסת של האקר עובדת כמו קסם
כותרת מעיתון: גישה מנומסת של האקר עובדת כמו קסם

סקרנו דוגמאות מעטות בלבד מים האפשרויות העומדות בפני אנשים רעים לנצל את טוב לבנו ואת רצוננו לעזור (וגם דחפים אחרים, נחמדים פחות, כמו תאוות הבצע הקיימת בכל אחד מאיתנו). פושעים יצרתיים ממציאים שיטות חדשות לבקרים כדי לנצל תכונות אנושיות למטרות שפלות. אף תוכנה או מערכת לא תוכל לעזור לכם – כאן מדובר בהפעלת שיקול דעת. קחו דקה, נשמו עמוק וחשבו – זה בדיוק מה שהדייגים, המזדנבים ושאר עושי הצרות מקווים שלא תעשו.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *