מה זה הנדסה חברתית, וכיצד ניתן להימנע מכך?
תוכנה זדונית אינה האיום המקוון היחיד לדאוג. הנדסה חברתית היא איום עצום, וזה יכול להכות אותך על כל מערכת הפעלה. למעשה, הנדסה חברתית יכולה להתרחש גם בטלפון ובמצבים פנים אל פנים.
חשוב להיות מודעים להנדסה חברתית ולהיות על המשמר. תוכניות אבטחה לא יגן עליך מפני רוב האיומים הנדסה חברתית, אז אתה צריך להגן על עצמך.
הנדסה חברתית הסבר
התקפות מסורתיות מבוססות מחשב תלויות לעתים קרובות במציאת פגיעות בקוד המחשב. לדוגמה, אם אתה משתמש בגירסה מעודכנת של Adobe Flash - או, חס וחלילה, ג'אווה, שהייתה הסיבה ל -91% מהתקפות ב -2013 לפי סיסקו - תוכל לבקר באתר זדוני ובאתר זה תנצל את הפגיעות בתוכנה שלך כדי לקבל גישה למחשב שלך. התוקף הוא מניפולציה באגים בתוכנה כדי לקבל גישה ולאסוף מידע פרטי, אולי עם keylogger הם מתקינים.
הטריקים הנדסה חברתית שונים כי הם כרוכים מניפולציה פסיכולוגית במקום. במילים אחרות, הם מנצלים אנשים, לא את התוכנה שלהם.
בטח כבר שמעת על התחזות, שהיא סוג של הנדסה חברתית. ייתכן שתקבל דוא"ל שטוען שהוא מהבנק שלך, מחברת כרטיסי האשראי או מעסק מהימן אחר. הם עשויים להפנות אותך לאתר מזויף במסווה להיראות כמו אחד אמיתי או לבקש ממך להוריד ולהתקין תוכנית זדונית. אבל כאלה טריקים הנדסה חברתית לא צריך לערב אתרים מזויפים או תוכנות זדוניות. הודעת ההתחזות עשויה פשוט לבקש ממך לשלוח הודעת דוא"ל עם מידע פרטי. במקום לנסות לנצל באג בתוכנה, הם מנסים לנצל אינטראקציות אנושיות רגילות. דיוג חנית יכול להיות מסוכן עוד יותר, שכן הוא מהווה סוג של דיוג שנועד למקד לאנשים ספציפיים.
דוגמאות להנדסה חברתית
טריק פופולרי אחד בשירותי צ'אט ומשחקים מקוונים הוא לרשום חשבון בשם כמו "מנהל" ולשלוח לאנשים הודעות מפחידות כמו "אזהרה: זיהינו שמישהו עלול לפרוץ את החשבון שלך, להגיב עם הסיסמה שלך כדי לאמת את עצמך." אם יעד מגיב עם הסיסמה שלהם, הם נפלו על הטריק ואת התוקף עכשיו יש את סיסמת החשבון שלהם.
אם למישהו יש מידע אישי עליך, הוא יוכל להשתמש בו כדי לקבל גישה לחשבונות שלך. לדוגמה, מידע כמו תאריך הלידה, מספר תעודת זהות ומספר כרטיס האשראי שלך משמשים לעתים קרובות לזיהויך. אם למישהו יש מידע זה, הם יכולים ליצור קשר עם העסק ולהעמיד פנים שאתה. טריק זה היה בשימוש נפוץ על ידי התוקף כדי לקבל גישה Yahoo! של שרה פיילין! חשבון דואר בשנת 2008, הגשת פרטים אישיים מספיק כדי לקבל גישה לחשבון באמצעות טופס שחזור הסיסמה של Yahoo! באותה שיטה ניתן להשתמש בטלפון אם יש לך את המידע האישי העסקי מחייב כדי לאמת אותך. תוקף עם מידע מסוים על יעד יכול להעמיד פנים שהם אותם ולקבל גישה לדברים נוספים.
הנדסה חברתית יכול לשמש גם אדם. תוקף יכול להיכנס לעסק, להודיע למזכיר כי הוא אדם תיקון, עובד חדש, או מפקח אש בטון סמכותי ומשכנע, ולאחר מכן לשוטט באולמות פוטנציאליים לגנוב נתונים סודיים או באגים צמח לבצע ריגול חברות. הטריק הזה תלוי בתוקף המציג את עצמם כמישהו שהם לא. אם מזכירה, שוער, או מי אחר הוא אחראי לא שואל יותר מדי שאלות או להסתכל מקרוב מדי, הטריק יהיה מוצלח.
התקפות חברתיות-הנדסיות משתרעות על טווח של אתרי אינטרנט מזויפים, הודעות דוא"ל מזויפות, הודעות צ'אט מעוררות כל הדרך עד התחזות למישהו בטלפון או באופן אישי. התקפות אלה מגיעות במגוון רחב של צורות, אבל לכולם יש דבר אחד במשותף - הם תלויים תרמית פסיכולוגית. ההנדסה החברתית נקראה האמנות של מניפולציה פסיכולוגית. זוהי אחת הדרכים העיקריות "האקרים" למעשה "גרזן" חשבונות באינטרנט.
כיצד להימנע הנדסה חברתית
ידע הנדסה חברתית קיים יכול לעזור לך להילחם בזה. היה חשוד לגבי הודעות דוא"ל לא רצויות, הודעות צ'אט ושיחות טלפון שמבקשות מידע פרטי. לעולם אל תחשוף מידע פיננסי או מידע אישי חשוב בדוא"ל. אל תוריד קבצים מצורפים שעלולים להיות מסוכנים ולהפעיל אותם, גם אם דוא"ל טוען שהם חשובים.
אתה גם לא צריך לעקוב אחר קישורים בדוא"ל לאתרים רגישים. לדוגמה, אל תלחץ על קישור בהודעת דוא"ל שנראית כאילו היא מהבנק שלך וכניסתך למערכת. הדבר עשוי להוביל אותך לאתר דיוג מזויף המחופש להיראות כאתר הבנק שלך, אך עם כתובת אתר שונה באופן שונה. בקר באתר ישירות במקום זאת.
אם אתה מקבל בקשה חשודה - לדוגמה, שיחת טלפון מהבנק שלך מבקשת מידע אישי - פנה ישירות אל מקור הבקשה ובקש אישור. בדוגמה זו, התקשר לבנק שלך ושאל את מה שהם רוצים במקום למסור את המידע למי שטוען שהוא הבנק שלך.
תוכניות דוא"ל, דפדפני אינטרנט וסוויטות אבטחה כוללות בדרך כלל מסנני התחזות שיזהירו אותך בעת ביקור באתר דיוג ידוע. כל מה שהם יכולים לעשות הוא להזהיר אותך כאשר אתה מבקר באתר התחזות ידוע או לקבל הודעת התחזות ידוע, והם לא יודעים על כל אתרי התחזות או הודעות דוא"ל שם בחוץ. על פי רוב, זה תלוי בך כדי להגן על עצמך - תוכניות אבטחה יכול רק לעזור קצת.
זה רעיון טוב לממש חשד בריא כאשר מתמודדים עם בקשות נתונים פרטיים וכל דבר אחר שיכול להיות התקפה חברתית הנדסה. חשד וזהירות יסייעו בהגנה עליך, הן במצב מקוון והן במצב לא מקוון.
קרדיט תמונה: ג 'ף טורנט על Flickr