פרצת האבטחה בטוויטר - מהי הנדסה חברתית וכיצד נתגונן מפניה

פרצת האבטחה הקריטית בטוויטר שהתרחשה בשבוע שעבר, התמקדה בחשבונות של משתמשים ובעלי פרופיל משמעותיים אשר שימשו להפצה של הונאת ביטקוין.

החשבונות הפרוצים צייצו: "אני נותן בחזרה לקהילה. כל סכום ביטקוין שיישלח לכתובת המופיעה מטה - יוכפל ויוחזר לשולח! אם תשלחו 1,000 דולר, אשלח בחזרה 2,000 דולר! ההצעה תקפה ל-30 דקות בלבד". נכון לשעות אלו, ההונאה אכן הצליחה והתוקפים הרוויחו כ-100,000 דולר עד כה.

במסגרת פרצת האבטחה, האקרים השתמשו בהנדסה חברתית – טכניקת התקפה שאינה טכנית ומשמשת עברייני סייבר כדי לגרום למשתמשים, במקרה זה עובדי טוויטר, לעקוף מנגנוני אבטחה או מנגנונים עסקיים אחרים, לבצע פעולות הרסניות או למסור מידע רגיש (במקרה זה השגת שליטה על חשבונות בעלי מספר גבוה של עוקבים).

מהי הנדסה חברתית?

המטרה של הנדסה חברתית היא לגרום לאחרים לעשות דברים בניגוד לרצונם, או בניגוד לשכל הישר. אך הרבה פעמים, התוקף נשמע משכנע מספיק כדי לגרום לקורבן שלו לשתף פעולה.

בהקשר של הונאות מקוונות, הנדסה חברתית מתוארת בתור טקטיקות שלא מתבססות על טכנולוגיה שבעזרתן האקרים משתמשים כדי לבצע הונאות, לאסוף מידע או להשיג גישה למחשבים של הקורבנות שלהם. הנדסה חברתית מסתמכת על יחסי אנוש והיא מנסה לגרום לכם לסמוך על התוקף עד כדי כך שלא תחשדו בו לפני שתמסרו לו את הפרטים הפרטיים ביותר שלכם.

הונאות כאלה קיימת גם ברשתות חברתיות כמו פייסבוק וליקדאין, שם התוקפים עלולים ליצור איתכם קשר ולנסות לרכוש את אמונכם – לעיתים במשך חודשים ארוכים של התכתבויות – לפני שהסיבה האמיתית ליצירת הקשר נחשפת.

כיצד עובדת הנדסה חברתית?

רוב טכניקות ההנדסה החברתית לא דורשות אף מיומנות טכנית מצד התוקף, מה שאומר שכל אחד – החל מפושעי סייבר מתחילים ועד התוקפים המתוחכמים ביותר – יכול לפעול במרחב הזה.

ישנן טכניקות רבות שנכנסות למטריית המונח הרחב שנקרא "הנדסה חברתית באבטחת סייבר".

הטכניקות הידועות ביותר הן ספאם (דואר זבל) ופישינג (דיוג).

· ספאם (הודעות זבל) הן כל תקשורת לא-רצויה שנשלחת בכמות גדולה. רוב הודעות הזבל הן בעצם הודעות דוא"ל שנשלחות לכתובות רבות ככל האפשר, אך ניתן לשלוח הודעות זבל בכל פלטפורמה – בתוכנות מסרים מיידיים, בהודעות טקסט (SMS) וברשתות החברתיות. חלק מהודעות הזבל גם משמשות להפצת קבצים או קישורים זדוניים.

· דיוג (פישינג) היא צורת התקפה מסוג הנדסה חברתית, שבה עבריין הסייבר מתחזה לגוף אמין על מנת לבקש פרטי מידע רגישים מהקורבן. תרמיות מסוג זה מנסות ליצור תחושת דחיפות או להפחיד את המשתמש על מנת לגרום לקורבן להיענות לדרישות התוקף. קמפיינים של דיוג יכולים להיות מופנים לכמות גדולה של משתמשים אנונימיים, אך גם לקורבנות ספציפיים ואפילו לקורבן ספציפי יחיד.

דיוג ממוקד היא מתקפת דיוג שבה הלקוח שולח הודעות מותאמות אישית לקבוצה מצומצמת של נמענים, או אפילו לנמען אחד בלבד, במטרה להשיג את הנתונים שברשותם או לבצע פעולות פוגעניות.

ווישינג וסמישינג הן טכניקות הנדסה חברתית שדומות מאוד לדיוג, כשההבדל מתבטא באמצעי התקשורת המשמש למתקפה. בעוד שמתקפות דיוג מתבצעות באמצעות הדוא"ל, מתקפות ווישינג (דיוג קולי) משתמשות בשיחות טלפון ומתקפות סמישינג (דיוג באמצעות הודעות טקסט) משתמשות בהודעות SMS המכילות תכנים או קישורים זדוניים.

· התחזות בעולם אבטחת הסייבר דומה במשמעותה למקבילה שלה בעולם האמיתי. פושעי סייבר מתחזים לזהות אמינה וגורמים לקורבנות לבצע פעולות שפוגעות בהם או בארגון שלהם. אחת הדוגמאות הקלאסיות היא תוקף המתחזה למנכ"ל החברה – כשזה נמצא מחוץ למשרד – ומורה על ביצוע העברות כספים במקומו.

· תרמיות תמיכה טכנית הן שיחות טלפון או פרסומות בהן התוקפים מציעים לקורבנות שירותי תמיכה טכנית מבלי שהקורבנות ביקשו אותם. למעשה, פושעי הסייבר מנסים להרוויח כסף באמצעות מכירת שירותים מזויפים ופתרון בעיות שלא היו קיימות מלכתחילה

כיצד ניתן לזהות מתקפת הנדסה חברתית?

ישנם מספר דגלים אדומים שיכולים להצביע על מתקפת הנדסה חברתית. שגיאות תחביר ואיות הן אחד מהסימנים. כך גם תחושת דחיפות גבוהה שנובעת מהמסר ומבקשת מהנמען לפעול במהירות ובלי לשאול שאלות. כל בקשה של מידע רגיש צריכה לעורר מיד את פעמוני האזהרה: חברות מהימנות לא מבקשות סיסמאות או פרטי מידע אישיים באמצעות דוא"ל או הודעות טקסט.

אלו חלק מהדגלים האדומים שמצביעים על מתקפת הנדסה חברתית:

1. שפה גנרית הכוללת שגיאות

ברוב המקרים, התוקפים לא משקיעים תשומת לב רבה בירידה לפרטים, והם שולחים הודעות מלאות בטעויות כתיב ובמילים חסרות שהתחביר שלהן לוקה בחסר. אלמנט בלשני נוסף שיכול להראות על ניסיון מתקפה הוא שימוש בביטויי פתיחה וסגירה גנריים. לכן, אם הודעת דוא"ל מתחילה בביטוי "נמען יקר" או "משתמש יקר", כדאי להיזהר.

2. כתובת שולח משונה

רוב שולחי הודעות הזבל לא מקדישים זמן להסוואת שמו של השולח או כתובת האינטרנט שלו, משהו שיכול לגרום להודעה שלהם להיראות מהימנה יותר. לכן, אם הודעת הדוא"ל מגיעה מכתובת שמורכבת מערבוב של מספרים ותווים אקראיים, או שהכתובת אינה מוכרת לנמען, כדאי לשלוח את ההודעה באופן מיידי לתיקיית דואר הזבל ולדווח עליה למחלקת ה-IT.

3. תחושת דחיפות

ברוב המקרים, העבריינים העומדים מאחורי קמפיינים של הנדסה חברתית ינסו לגרום לקורבנות לבצע פעולות מסוימות מתוך פחד באמצעות ביטויים מעוררי חרדה כגון "שלח לנו את פרטיך מיד, או שהחבילה שנשלחה אליך תוחזר לשולח", או "אם לא תעדכן את הפרופיל שלך עכשיו, נסגור את חשבונך". בדרך כלל בנקים, חברות שליחויות, מוסדות ציבור ואפילו מחלקות פנימיות של החברה עצמה מתקשרות באופן ניטרלי אשר מבוסס על עובדות. לכן, אם ההודעה מנסה לגרום לנמען לפעול במהירות, היא כנראה זדונית וייתכן שאף מדובר בתרמית.

4. בקשת מידע רגיש

ברוב המקרים, גם חברות חיצוניות וגם מחלקות בתוך החברה לא יבקשו מידע רגיש באמצעות הדוא"ל או הטלפון, חוץ ממקרים בהם הקשר הראשוני נוצר ע"י העובד עצמו.

5. אם משהו נראה טוב מדי מכדי להיות אמיתי, כנראה שהוא אינו אמיתי

כפי שכלל זה נכון גם להגרלות ברשתות החברתיות, הוא נכון גם ל"הזדמנות עסקית מצוינת אך מוגבלת בזמן" שהגיעה לתיבת הדוא"ל שלכם

איך נמנעים?

צריך לזכור שמטרת הונאות ההנדסה החברתית היא קודם כל לזכות באמונכם, אז הפושעים שמאחורי אותן הונאות יעשו הכל כדי לגרום לה להיראות אמינה ככל האפשר. אבל ישנם כמה כללים שיעזרו לכם להימנע מההונאות:

1. בנקים, חברות האשראי, רשתות חברתיות ושירותים מקוונים אחרים לעולם לא יבקשו מכם "לעדכן פרטים" או "לאפס סיסמה" בהודעת דואר אלקטרוני. אז מומלץ להתעלם מכאלו הודעות. אם אתם רוצים להיות בטוחים, צרו קשר עם שירות הלקוחות של השירות שכביכול פנה אליכם – אך אל תלחצו על אף קישור ואל תתקשרו לאף מספר טלפון, שמופיעים במייל עצמו.

2. הודעות שהן "טובות מכדי להיות אמיתיות" – כמו זכיה בלוטו, אדם שמבקש להעביר דרככם סכום גדול של כסף ממדינה זרה ואפילו מישהו שמציע לכם לקנות רכב במחיר נמוך באופן מחשיד ממחירי השוק – הן ברוב המקרים הונאות ויש להפעיל את השכל הישר לפני שעונים על הודעות בעלי אופי כזה או דומה.

3. מומלץ להשתמש בתוכנות לסינון דואר זבל. תוכנות כאלה יכולות למנוע מהודעות כאלה מלהגיע לתיבת הדואר הנכנס שלכם מלכתחילה, וכך להגן עליכם מההונאה.

4. היזהרו מ"הצעות חברות" של אנשים שאינכם מכירים ברשתות החברתיות, במיוחד אם אין לכם אף חבר או מכר משותף. אנשים רבים נפלו קורבן לנוכלים שפיתחו איתם קשרי ידידות ארוכים ברשת - עד שבשלב כלשהו נחשף העוקץ כשאותם אנשים ביקשו מהם תמיכה כספית.

5. הגנו על המחשב שלכם באמצעות תוכנת אבטחה וודאו שמערכת ההפעלה שלכם מעודכנת. זכרו, לאחר שהתקופים זכו באמונכם באמצעות הנדסה חברתית, הם עלולים לנסות להדביק אתכם בתוכנה זדונית כזו או אחרת. לכן חשוב להקפיד להגן על המחשב עם התוכנות המתאימות.

'בחדרי' גם ברשתות החברתיות - הצטרפו!