לפרוץ למוח האנושי: הסיכון הגדול ביותר לאבטחת מידע הוא הנדסה חברתית

כפי שניקולס קייג’ מעיד, העובדה שאתה לא נראה רע, עושה את עבודתו של הנוכל קלה בהרבה, וגם של ההאקר. תומר טלר מצ’קפוינט מסביר כיצד ההאקרים משתמשים במוח האנושי כדי לפרוץ לכם לרשת.

flicker, Liz Henry

פוסט זה נכתב על ידי כתב אורח, תומר טלר, חוקר בחברת אבטחת המידע Check Point. 

בסרט ‘אנשי המזימות’ ישנה סצינה בה הדמות הראשית, שמגולמת על ידי ניקולס קייג’, מנהלת את הדיאלוג הבא עם השחקן אליסון לוהמן:

לוהמן: אתה לא נראה כמו איש רע.

קייג’: זה מה שעושה אותי כל כך טוב בזה.

השיחה הזו לוכדת את המהות הבסיסית של כל משחקי הנוכלות, אם הם מתרחשים בעולם הדיגיטלי או בעולם הפיסי – הבאת המטרה להוריד בעצמה את חומות ההגנה בעזרת תחבולה מבריקה העושה את חיי הגנב קלים בהרבה. בעגה של ההאקרים, זה נקרא ‘הנדסה חברתית’ (Social Enginiring).

איך זה עובד עליך?

הנדסה חברתית עוסקת במוח האנושי, שמהרבה בחינות הוא קל לפריצה בצורה משמעותית, מאשר למצוא את נקודות החולשה תוכנה חדשה, ולהשתמש בהן כשער כניסה לתוך החברה. החולשות הללו, נקראות ‘ימי אפס’ (zero days) ויכולות לעלות עשרות אלפי דולרים בשוק ההאקרים המחתרתי, סכומים, שיכולים להחסך במידה ומישהו יהיה מרומה ויתקין את וירוס המחשבים בעצמו על המכשיר. אחרי הכל, אין צורך לבזבז את הזמן לפריצת המנעול כשאתה יכול לשכנע את הדייר לתת לך להכנס אל תוך ביתו.

מה למעשה מבצעת התקפת הנדסה חברתית טובה? המפתח קודם כל, הוא הפיתיון, שיכול להיות מגוון; פוסט מושך תשומת לב בפייסבוק על סלבריטאי מסויים ועד לאימיילים עם שורות נושא על העסק של החברה שלך. אחת ההתקפות הידועות יותר של השנה האחרונה הייתה ההתקפה על RSA, שהחלה בעובד שפתח אימייל שכותרתו הייתה: ‘תוכנית גיוס 2011’. כשהעובד פתח את הקובץ המצורף, העובד התחיל שרשרת אירועים שהובילו לכך שמידע היה תחת סיכון. בעוד פריצה למערכת דורשת ידע על נקודות חולשה בתוכנה, פריצה למוח האנושי דורשת סוג שונה של ידע, ספציפי, כמו, איזה סוג של אימיילים או לינקים הכי סביר שהקורבן ילחץ עליהם.

דרך אחת להחזיק במידע הזה היא לכוון לאנשים לפי המשרות ותחומי העניין שלהם, וסביר להניח שאין מקור טוב יותר למידע על הנושאים האלה מאשר הרשתות החברתיות. מסע בפרופיל לינקדין יכול לחשוף את היסטוריית התעסוקה והעמדה בחברה; מבט חטוף בחשבונות פייסבוק יכול לחשוף את חבריהם ותחביביהם. בעוד רשתות חברתיות עשו לאחרונה רבות על מנת לשפר את אפשרויות השליטה של המשתמשים בפרטיותם, משתמשים רבים אינם משתמשים באפשרויות אלה או הופכים אותן ללא אפקטיביות על ידי קבלת בקשות חברות מאנשים שאינם באמת מכירים. מחקרים הראו שהפרופיל המזוייף בפייסבוק הינו בעל 726 ‘חברים’ – יותר מפי חמישה ממספר החברים של המשתמשים האמיתיים.

פריצה אל המוח האנושי מתרחשת גם בצורות אחרות ושונות. לדוגמא, אופטימזציה של מנוע חיפוש (SEO) היא טכניקה חביבה על ההאקרים. הרעיון מאחורי SEO הינה לעלות את דירוג האתר שלך במנוע חיפוש כמו גוגל. מצד אחד, זה לגמרי לגיטמי; מצד שני, זה מעלה את הסבירות שאנשים ינחתו על אתרים זדוניים. ישנן גם טכניקות שהן הרבה פחות טכניות, כמו שיחת טלפון פשוטה שגורמת למישהו להוריד את מנגנוני ההגנה שלו.

אתם לא לבד

רק לאחרונה, צ’ק פוינט העניקה חסות למחקר על ידי Dimensional Research שחשף ש-43% מ-853 אנשי IT מקצועיים ברחבי הגלובס שנסקרו במחקר, העידו שהיו למטרה בידי מזימה כזו או אחרת של מהנדסים חברתיים. הסקר גם מצא שעובדים חדשים הם המטרות הקלות והחשופות ביותר להתקפות שכאלו, עם 60% סיכון המהווים “סיכון גבוה” עבור מהנדסים חברתיים. למרבה הצער, אימון אינו נראה הפתרון למצב, וזאת, מכיוון שאינו עומד בקצב האיומים. כשרק 26% מהמשיבים ענו שהינם מבצעים אימונים באופן תדיר, ועוד 34% הודו שאינם עושים כל מאמץ על מנת להשכיל את עובדיהם בנושא. החדשות הטובות הן שהמצב משתנה ויותר עסקים מעלים את המודעות על איומי הביטחון ואת הטכניקה של העובדים לזהות את שיטות ההונאה של המהנדסים חברתיים.

חינוך הוא אלמנט המפתח בהתגוננות מפני התקפה, אבל התהליך מתחיל בקיומה של מדיניות איתנה ובטוחה להגנה על מידע. זה כולל שליטה על למי קיימת גישה למידע, והטווית מדיניות שתהא ניתנת לאכיפה ותורמת לפעילות העסק. מכאן, עובדים צריכים להיות מושכלים על מה היא המדיניות והכללים ואז להבחן עליהם. המפתח לכך הוא לחלוק את המידע על ההתקפות שמתגלות כך שהעובדים יוכלו להבין טוב יותר כיצד הם מותקפים. לעיתים קרובות, מנה גדושה של זהירות יכולה להספיק לכברת דרך לא מבוטלת, למשל, אם אימייל לא צפוי מגיע ומבקש מידע אישי, עקוב אחרי השולח על מנת לוודא שהוא לגיטימי.

בתמיכה לכך צריכות להיות רשתות ונקודות סיום מוגנות על ידי מיטב הפרקטיקות ועדכוני התוכנה העדכניים ביותר, אך בלב העניין, מלחמה בפורצים כנגד המוח האנושי דורשת שינוייים נוספים מעבר לארסנל הטכנולוגי. אם ישנו אנטיוירוס למוח האנושי, הוא צריך להיות מעודכן בידע על המדיניות החברה והבנה על איך ההאקרים מתקיפים את הקורבנות שלהם. שילוב המידע הזה בתוכניות אימון יכול להיות ההבדל בין פרצת אבטחה ועוד לילה שקט במשרד.


פוסט זה הוצג בחסות Check Point


האם אתם יודעים איזה אפליקציות Web 2.0 נמצאות בשימוש בארגון שלכם. האם אתם מודעים לחורי האבטחה שהעסק שלכם חשוף אליהם ואיזה מידע רגיש נשלח אל מחוץ לארגון?

חברת צ’ק פוינט מפעילה את תוכנית 3D Security Analysis Report המאפשר לכם על מנת לקבל דו”ח מרוכז, גרפי, קל, נעים ונוח לקריאה ללא עלות על סיכוני האבטחה ואיבוד המידע של העסק.

לפרטים נוספים וקבלת דו”ח לעסק שלכם, לחצו כאן.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

1 תגובה on "לפרוץ למוח האנושי: הסיכון הגדול ביותר לאבטחת מידע הוא הנדסה חברתית"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
יוסי רוזנמן
Guest

נראה כאילו הכתבה תורגמה מאנגלית, ולא בידי מתרגם טוב…

wpDiscuz

תגיות לכתבה: