הנדסה חברתית, או Social Engineering באנגלית, היא מושג מתחום אבטחת המידע המוגדר כשילוב של טכניקות הונאה, התחזות ושכנוע הגורמות לאנשים לציית לבקשת הפורץ. למשל, לספק לו מידע רגיש כגון שמות משתמשים וסיסמאות או לבצע עבורו פעולות כגון הרצת תוכנה לבקשתו. מומחי אבטחה רבים יגידו לכם שהחוליה החלשה באבטחת מחשבים באינטרנט היא למעשה המשתמשים עצמם - הם מקליקים על דברים, מריצים תוכנות או מבקרים באתרים לא רצויים ובכך חושפים את עצמם לאיומים בצורה מתמדת. למעשה, רוב הונאות האינטרנט היום מופצות בסוג כלשהו של הנדסה חברתית, בעיקר באמצעות רשתות חברתיות.
איך תזהו הונאת הנדסה חברתית?
הווריאציות השונות שבהן הונאות של הנדסה חברתית יכולות להופיע הן כמעט אינסופיות. תכונה טובה של גולש זהיר תהיה חשדנות; אם משהו נראה לכם קצת חשוד, או אם קיבלתם בקשה שלא נראית לכם סבירה או הגיונית, כנראה שמדובר בהונאה. על-מנת לזהות הונאות של הנדסה חברתית, צריך להבין את המטרה שלה, שכן הנדסה חברתית כשלעצמה היא אמצעי שדרכו מבקשים ה"מהנדסים" להשיג מידע - סיסמאות, פרטי חשבון בנק, מספר כרטיס אשראי ועוד. בנוסף, הונאות של הנדסה חברתית לא מוגבלות רק לתחום המחשבים והן עלולות להתבצע גם דרך הטלפון ואפילו ברחוב.
לכן אחרי שהתקנתם את תכונת החשדנות לסרגל הכלים שלכם, יש עוד כמה דברים שאולי תרצו לדעת שיכולים למנוע מכם ליפול קורבן לתעשיית ההנדסה החברתית. הדבר הראשון שאולי תרצו לדעת הוא שלעולם, אבל לעולם, חברות מסחריות, ממשלתיות או בנקים לא ישאלו אתכם מה היא הסיסמה שלכם, הקוד הסודי של כרטיס האשראי שלכם "לצורך זיהוי" או פרטים סודיים אחרים. היוצא דופן היחיד יהיה אם חזרו אליכם בעקבות פנייה שאתם יזמתם לשירות הלקוחות של הבנק או החברה, וגם אז הם ישתמשו בפרטי זיהוי אחרים כגון תעודת זהות או ארבע ספרות אחרונות של כרטיס האשראי וכולי.
דוגמה מפורסמת לזה הייתה הונאת הפישיניג נגד לקוחות
בנק הפועלים, שבה קיבלו לקוחות רבים אימייל עם לינק אשר מפנה אותם לדף אינטרנט המתחזה לדף הבית של הבנק בו הם היו אמורים "לעדכן פרטים" ולשם כך נדרשו להזין את שם המשתמש והסיסמה שלהם. מה שמשתמש זהיר וחשדן היה עושה במקרה זה הוא לסגור את האימייל שקיבל ולהיכנס לאתר הבנק בעצמו בניגוד ללחיצה על הלינק, או אפילו מתקשר לשירות הלקוחות של הבנק כדי להבין במה המדובר.
הדבר הבא שקרוב לוודאי תרצו לדעת הוא שהצעות מפתות ברשת שהן טובות-מדי-כדי-להיות-אמיתיות הן בדיוק כאלה, וגם כאן המטרה היא לגרום לכם ללחוץ על לינקים או לספק פרטים אישיים, סיסמאות וכולי כדי בסופו של דבר להגיע אל הכיס שלכם בצורה זו או אחרת.
כשההנדסה החברתית פגשה את המדיה החברתית
עידן הרשתות החברתיות הוא תור הזהב של הונאות הרשת. איפה עוד תמצא מיליוני משתמשים מחוברים למיליוני משתמשים אחרים ומשתפים אחד את השני בכל דבר אפשרי? מאז פריצת הרשתות החברתיות לתודעת הרבים הן הפכו לפלטפורמה העיקרית למתקפות פישינג והנדסה חברתית. משתמשים רבים לא מודעים לפוטנציאל ההרסני הטמון בחשיפת מידע ברשתות החברתיות ולכן לא טורחים להגן על המידע או שהם חושפים אותו בחופשיות. ולא חסרות דוגמאות להנדסה חברתית ברשת הפייסבוק, המפורסמת ביניהן היא לינק לאפליקציה "מי צפה בפרופיל שלי" שמסיבה כלשהי מושכת משתמשים רבים להתקין אותה. על עשר ההונאות הנפוצות ביותר בפייסבוק תוכלו
לקרוא כאן.
לסיכום
הנדסה חברתית היא שיטת הונאה שסומכת על התוכנות הטובות של האופי האנושי. אנשים רוצים להאמין שלאחרים יש כוונות טובות ושהם רוצים בטובתם ולכן מתפתים לספק את מבוקשם. בעוד אלה שמפיצים הונאות אלה הם מיעוט זעיר, הם עדיין מצליחים לעורר מהומה גדולה בעקבות מעשיהם הנפשעים.
כשטיילתי באוסטרליה ניגשה אליי ערב אחד אישה, בערך בשנות ה-40 לחייה, שנראתה נורמלית לחלוטין וסיפרה לי שהיא נתקעה עם האוטו ואין עליה ארנק או טלפון ושהיא זקוקה למעט כסף כדי שתוכל לחזור הביתה. היא דאגה גם לקחת ממני את מספר הטלפון שלי כדי שהיא תוכל להתקשר אליי ולהחזיר לי את כספי בחזרה. למרות שכל העסק נראה לי חשוד, החלטתי להאמין ולעזור לה. לא שמעתי ממנה עד היום. יכול להיות שהיום הייתי נוהג בדיוק באותה צורה, אבל זוהי רק עוד דוגמה להנדסה חברתית.