אתם אנושיים? הותקפתם!

אתמול (א') פרסם בנק ישראל אזהרה לפיה "בשבועות האחרונים בוצעו ניסיונות גניבת פרטים אישיים של לקוחות תוך התחזות ל-PayPal. הבנק ציין כי במחצית השנה האחרונה ישנה התגברות בניסיונות הונאות פישינג כנגד לקוחות המערכת הבנקאית, שמטרתן לגנוב כספים מחשבונות.

התקפות פישינג, כמו גם התקפות כופרה, הן דוגמאות קלאסיות להתקפות המבוססות על הנדסה חברתית. מסתבר שהחולשות האנושיות שלנו הן כר פורה לפושעי הסייבר, והם ללא ספק מנצלים אותן על מנת לעקוף את מנגנוני האבטחה בארגון. הם מתמרנים את המשתמשים לבצע פעולות לכאורה תמימות על מנת לשים ידם על מידע רגיש או להחדיר נוזקות לארגון.

טעויות אנוש הן הסיבות המשמעותיות ביותר לפריצה למידע בארגון. על פי מכון BCI התקפות המבוססות על הנדסה חברתית מהוות קרוב ל-60% מההתקפות על ארגונים.

במהלך התקפות פישינג פושעי הסייבר שולחים הודעות אלקטרוניות שונות, דוגמת אימייל, SMS ו-Messenger, המתחזות להודעות לגיטימיות על מנת לשכנע את המשתמש לבצע פעולה לא בטוחה. בין אם מדובר במשלוח של חשבונית פיקטיבית, מודעת דרושים מושכת, הודעת מבצע לנעליים או ניוזלטר, הטקטיקה הזאת עובדת יפה ומאפשרת לתוקף להשיג גישה לארגון או לפרטים אישיים וחסויים של המשתמש ברגע שמקליקים על ההודעה. במקרים רבים המשתמש אפילו לא מודע לכך ששימש כחוליה מקשרת בשרשרת התקיפה והפריצה לארגון.

במרבית המקרים התוקפים שולחים מאות אלפי הודעות בקמפיין לא ממוקד לאוכלוסייה רחבה עם הצעה שקשה לסרב לה. יחד עם זאת, לעיתים התוקף מבצע קמפיין תקיפה ממוקד כלפי אדם מסוים, אחרי שביצע תחקיר ולמד אודות הקשרים החברתיים והמשפחתיים שלו, התחביבים שלו, תחומי העניין שלו וכל קצה חוט שיכול לעזור לו להערים עליו. לדוגמה, למשתמש שמתעניין במוזיקה, ישלח התוקף הצעה להופעה ולמשתמש שרוכב על אופניים, ישלח הצעה לביגוד ספורט מתאים.

להעלות את אחוזי ההקלקה על ההודעה הזדונית.

התקפות ממוקדות דורשות יותר השקעה ותכנון מצג התוקף, אולם הן צפויות לצמוח בעתיד ככל שהתקפות ההנדסה החברתית יסתמכו יותר על כלי AI ויהפכו לאוטומטיות יותר. כלי בינה מלאכותית ולמידת מכונה מסייעים לתוקף לאסוף מידע אישי בפשטות, לבנות פרופילים אודות משתמשים וכך לקלוע יותר לטעמם האישי ולהעלות את אחוזי ההקלקה על ההודעה הזדונית.

ומי מותקף? אם לענות על כך בכנות וללא שמץ של ציניות – כל מי שאנושי. כולנו חיים באופן טבעי את חיינו בגישה ש-"לי זה לא יקרה". יחד עם זאת, זוהי הגישה המדויקת שהתוקפים סומכים עליה. אם אתם אנשים מנומסים, חברותיים או אפילו צייתנים במקום העבודה, תיענו מהר לבקשות שנשלחות אליכם באימייל, גם אם הן נראות מופרכות. אם תקבלו אימייל מהבוס שלכם שמבקש מכם סיסמאות, אם לקוח שולח לכם בקשה דרך הרשתות החברתיות או אם אתם אוהבים הנחות ומבצעים – בהחלט אפשרי שתקליקו.

הדרכים להתמודדות והגנה מפני מתקפות הנדסה חברתית הינה בראש ובראשונה בהעלאת המודעות לאיומים הללו בקרב משתמשי הארגון כולם, החל מהמנכ"ל ועד לאחרון העובדים. קחו בחשבון שהתקפות הנדסה חברתית לא רק פוגעות בבכירים ובבעלי תפקידים קריטיים, הן פוגעות בכל מי שיש לו גישה למידע בארגון, עד אחרון הטכנאים.

כיום קיימים כלים טכנולוגיים שמאפשרים לארגונים לייצר קמפיינים של מתקפות דמה על המשתמשים. כלים אלו יכולים גם לספק לצוות מערכות המידע סטטוס אודות המוכנות של הארגון למתקפות הנדסה חברתית ולפיכך לתכנן את מערך ההדרכה.

אז אל תגידו "לי זה לא יקרה" – המגמה של התקפות מבוססות הנדסה חברתית רק תלך ותגבר, ובמוקדם או במאוחר ההתקפות הללו יגיעו לשיעור קריטי מהעובדים. למדו את משתמשי הארגון על סוגי המתקפות, כיצד לזהות ולהגיב להודעות חשודות ומה צריך להדליק במוחם "אור האדום". הקפידו להישאר עם היד על הדופק ולבחון את ההתנהגות של המשתמשים מול התקפות מדומות וכך תוכלו להגדיל את הסיכוי למנוע התקפות עתידיות.

סמנכ"ל מכירות ופיתוח עסקי ב-Power Communication, המפיצה את פתרונות Sophos בישראל.