הבלוג של WIZER למודעות לאיומי סייבר

וובינר הנדסה חברתית

Written by יוגב נחום | 07:35:45 20/09/2022

 

 

מה זה בכלל הנדסה חברתית ולמה היא כל כך אפקטיבית?

בעולם הסייבר, הנדסה חברתית היא ביצוע מניפולציה רגשית שמפתה קורבנות פוטנציאלים באמצעים טכנולוגיים על מנת לבצע התקפות סייבר.

באמצעות הנדסה חברתית תוקפים משיגים שליטה על חשבונות משתמשים, גונבים מידע, גונבים כסף, חודרים לארגונים ומבצעים התקפות סייבר.

בעולם הפיזי יש לנו מנגנוני הגנה שעוזרים לנו לזהות מתי מנסים לרמות אותנו, הטכנולוגיה עוזרת לתוקפים לטשטש את מנגנוני ההגנה ולפתות אותנו לפעול בניגוד לאינטרס שלנו.

התוקפים ינסו להציג את עצמם כבעלי סמכות כלשהיא וישלחו מסר המניע אותנו לפעול בדחיפות ובפזיזות, בד"כ האצבע על העכבר מהירה יותר מכוח המחשבה.

הרבה יותר קשה לחדור לארגון ישירות מאשר לנצל את החולשות האנושיות שלנו כיחידים. מספיק שאדם אחד ילחץ על לינק מזויף והארגון תחת מתקפה.

התוקפים יודעים טוב מאוד ללחוץ לנו על רגשות הפחד, סקרנות, שמחה ורצון לעזור. לכל אחד יש משהו שמניע אותו לפעולה ובמוקדם או מאוחר נפול בפח.

מהן שלבי ההתקפה?

זיהוי המטרה ואיסוף נתונים – לכל אחד יש חתימה דיגיטלית ברשת ואנחנו משתפים המון מידע. יש כאלו שנוטים לשתף יותר מידע ממה שצריך ובכך עוזרים לתוקפים לדעת עליהם הרבה יותר מדי.

יצירת חיבור – במייל, סמס, שיחת טלפון ועוד. זהו שלב הפיתוי לפעולה בו מתממש הפן הפסיכולוגי.

החדרת הנוזקה – הפעולה הטכנולוגית של המשתמש בעקבות הפיתוי של התוקפים.

הפעלת הנוזקה – ביצוע הנזק ע"י התוקפים לאחר העזרה של המשתמש.

מהם וקטורי התקיפה ואלו דוגמאות נפוצות יש כיום?

פישינג – מייל התחזות.

סמישינג – סמס התחזות.

וישינג- שיחת טלפון מתחזה.

Bait – התקן נייד המכיל תוכנה זדונית.

Mailware - התקנת תוכנות זדוניות בתאנת שווא.

Deep Fake - התחזות למישהו בארגון.

ועוד הרבה שיטות, הנדסה חברתית נמצאת כמעט בכל ניסיון הונאה.

לא חסר דוגמאות והתוקפים נהיים יותר ויותר יצירתיים.

בדיקות קורונה מזויפות, אפילו הודעה מהקופ"ח.

זכייה בהגרלה משום מקום.

החבילה שלכם תקועה במכס.

שיחה מהמחלקה הטכנית שמודיעים כי יש תקלה.

הצעות עבודה מזויפות.

התקן נייד שנשכח על הרצפה עם מדבקה של משכורות עובדים.

בקיצור כל דבר שיכול להטעות אתכם ויעבוד על הרגשות שלכם כדי לבצע פעולה פזיזה.

אז איך מתגוננים?

קודם כל לוודא לפני שנותנים אמון.

לחשוב פעמיים לפני שעושים פעילות פזיזה.

אנחנו חייבים לתרגל מודעות לעניין ולפתח ספקות לגבי המסרים שאנו מקבלים.

האם ציפית לקבל את המייל או ההודעה הזאת?

האם נוסח ההודעה הגיוני? דומה להודעות הקודמות של אותו שולח?

האם זה נראה יותר מדי טוב להיות אמיתי?

האם יש שגיאות כתיב? האם כתובת האתר זהה לכתובת המקורית?

מודעות היא אבן היסוד בהתגוננות מפני הנדסה חברתית.

מומלץ להשתמש באימות רב שלבי.

בארגונים, יש להתנהל בתהליכים מאורגנים בחברה אשר מונעים הטעיות. כאשר הנוהל כולל וידוא לפני ביצוע אפשר להימנע מהטעיות מיותרות.

לעדכן גרסאות על מנת להימנע מחולשות אבטחה.

לתרגל הדמיות פישינג והדרכות פישינג.

ישנן גם פתרונות טכנולוגיים המזהים אתרים מזויפים ובכלל גישה של ZERO TRUST.

בידוד סביבות עבודה במקומות רגישים.

להתאים את הפתרונות הטכנולוגיים לאופי הארגון והצרכים שלו.

ועוד הרבה מודעות בקרב העובדים וגם בחיי היום יום.

מה לעשות אם הותקפתי?

לדווח בארגון ולשתף עם הסביבה כדי שלא יפלו בפח.

לשנות סיסמאות ולא להשתמש באותה סיסמה.

להפעיל אימות רב שלבי.

לעדכן נותני שירות כמו בנקים וחברות ביטוח.

בארגון חייבת להיות תרבות ארגונית המכילה טעויות ומודעת לאיומי סייבר.

מה חשוב לזכור?

הנדסה חברתית קיימת והיא פה להישאר. פושעי סייבר פשוט אוהבים להפיל אותנו בפח.

צריך להטיל ספק ולחשוב פעמיים לפני פעולות פזיזות.

אין סיבה לנדב מידע לכל הדורש, בכלל יש לצמצם את המידע שאנו חולקים בהתנדבות.

פושעי סייבר יודעים ללחוץ לנו כפתורי הרגש, חייבים לתרגל מודעות.

וכמובן הלקח: אל תתפתו לעסקאות בשטח, אחרת תאכלו אותה בחזק ובגדול!!! 😊