מהי הנדסה חברתית?

MiscellaneaApr 08, 2023

באבטחת מחשבים, בעיות רבות מתרחשות למרות מאמציו הטובים ביותר של המשתמש. לדוגמה, אתה יכול להיפגע עם תוכנות זדוניות כתוצאה מ-malvertising בכל שלב, זה באמת בגלל מזל רע. ישנם צעדים שאתה יכול לנקוט כדי למזער את הסיכון, כגון שימוש בחוסם פרסומות. אבל פגיעה כזו אינה אשמתו של המשתמש. התקפות אחרות מתמקדות בהטעיית המשתמש לעשות משהו. סוגים אלה של התקפות מגיעים תחת הדגל הרחב של התקפות הנדסה חברתית.

הנדסה חברתית כוללת שימוש בניתוח והבנה של איך אנשים מטפלים במצבים מסוימים כדי לתמרן תוצאה. הנדסה חברתית יכולה להתבצע נגד קבוצות גדולות של אנשים. עם זאת, במונחים של אבטחת מחשבים, הוא משמש בדרך כלל נגד אנשים, אם כי ייתכן כחלק ממסע פרסום גדול.

דוגמה להנדסה חברתית נגד קבוצת אנשים יכולה להיות ניסיונות לגרום לפאניקה כהסחת דעת. לדוגמה, צבא מבצע פעולת דגל שווא, או מישהו שצועק "אש" במקום עמוס ואז גונב בתוך הכאוס. ברמה מסוימת, תעמולה פשוטה, הימורים ופרסום הם גם טכניקות של הנדסה חברתית.

אולם באבטחת מחשבים, הפעולות נוטות להיות אינדיבידואליות יותר. פישינג מנסה לשכנע משתמשים ללחוץ ולקשר ולהזין פרטים. הונאות רבות מנסות לבצע מניפולציות על סמך פחד או חמדנות. התקפות הנדסה חברתית באבטחת מחשבים יכולות אפילו לצאת לעולם האמיתי כמו ניסיון להשיג גישה לא מורשית לחדר שרתים. מעניין שבעולם אבטחת הסייבר, התרחיש האחרון הזה, וכאלה כמוהו, הם בדרך כלל הכוונה כשמדברים על התקפות הנדסה חברתית.

הנדסה חברתית רחבה יותר - אונליין

פישינג הוא סוג של התקפה שמנסה להנדס חברתי את הקורבן לספק פרטים לתוקף. התקפות דיוג מועברות בדרך כלל במערכת חיצונית כגון באמצעות דואר אלקטרוני, ולכן יש להן שתי נקודות הנדסה חברתית נפרדות. ראשית, עליהם לשכנע את הקורבן שההודעה לגיטימית ולגרום לו ללחוץ על הקישור. לאחר מכן, זה טוען את דף ההתחזות, שבו המשתמש יתבקש להזין פרטים. בדרך כלל, זה יהיה שם המשתמש והסיסמה שלהם. זה מסתמך על הדוא"ל הראשוני ודף ההתחזות שניהם נראים משכנעים מספיק כדי להניע את המשתמש לסמוך עליהם.

הונאות רבות מנסות להנדס את קורבנותיהן למסור כסף. הונאת "הנסיך הניגרי" הקלאסית מבטיחה תשלום גדול אם הקורבן יכול לעמוד בתשלום מראש קטן. כמובן, ברגע שהקורבן משלם את "האגרה" לא מתקבלת תשלום לעולם. סוגים אחרים של התקפות הונאה פועלים על פי עקרונות דומים. שכנע את הקורבן לעשות משהו, בדרך כלל למסור כסף או להתקין תוכנות זדוניות. תוכנת כופר אפילו היא דוגמה לכך. הקורבן צריך למסור כסף או מסתכן באיבוד גישה לכל הנתונים שהוצפנו.

הנדסה חברתית אישית

כאשר הנדסה חברתית מכונה בעולם אבטחת הסייבר, היא מתייחסת בדרך כלל לפעולות בעולם האמיתי. יש המון תרחישים לדוגמה. אחד הבסיסיים ביותר נקרא tail-gating. זה מרחף מספיק קרוב מאחורי מישהו שהוא יחזיק דלת פתוחה מבוקרת גישה כדי לאפשר לך לעבור. ניתן לשפר את הדלת האחורית על ידי הגדרת תרחיש שבו הקורבן עשוי לעזור לך. שיטה אחת היא לבלות עם המעשנים בחוץ בהפסקת עשן ואז לחזור פנימה עם הקבוצה. שיטה נוספת היא לראות שהיא נושאת משהו מביך. יש סיכוי גבוה יותר שהטכניקה הזו תצליח אם מה שאתה נושא יכול להיות עבור אחרים. לדוגמה, אם יש לך מגש של ספלי קפה עבור "הצוות שלך", יש לחץ חברתי שמישהו יחזיק את הדלת פתוחה עבורך.

חלק גדול מההנדסה החברתית האישית מסתמך על הגדרת תרחיש ואז להיות בטוח בתוכו. לדוגמה, מהנדס חברתי עשוי להתחזות לעובד בניין או מנקה כלשהו שעלול להתעלם ממנו בדרך כלל. כשהוא מתחזה לשומרוני טוב, מסירת כונן USB "אבד" עלולה לגרום לכך שעובד יחבר אותו לחשמל. הכוונה תהיה לראות למי זה שייך, אבל זה יכול להדביק את המערכת בתוכנה זדונית.

סוגים אלה של התקפות הנדסה חברתית באופן אישי יכולים להיות מוצלחים מאוד, מכיוון שאף אחד לא באמת מצפה שיטעו אותו ככה. עם זאת, הם טומנים בחובם סיכון רב עבור התוקף שיש לו סיכוי ממשי להיתפס על חם.

סיכום

הנדסה חברתית היא הרעיון של מניפולציה של אנשים כדי להשיג מטרה ממוקדת. דרך אחת כרוכה ביצירת מצב אמיתי למראה כדי להערים על הקורבן להאמין בו. ניתן גם ליצור תרחיש בו יש לחץ חברתי או ציפייה מהנפגע לפעול בניגוד לעצות אבטחה סטנדרטיות. עם זאת, כל התקפות ההנדסה החברתית מסתמכות על הטעיית קורבן אחד או יותר לבצע פעולה שהתוקף רוצה שיבצעו.