הפסיכולוגיה האנושית: מה זה הנדסה חברתית, ואיך מזהים ונמנעים ממתקפות מסוג זה
קבלו תרחיש: יום שלישי בצהריים, פתאום אתם מקבלים הודעת SMS מדואר ישראל שהחבילה שהזמנתם מאמזון הגיעה לישראל אבל נתקעה במכס. בהודעה רשום גם שכדי לשחרר אותה, אתם צריכים לשלם 255 ש"ח ואם לא תשלמו את הסכום הזה, תצטרכו לשלם 25 ש"ח על כל יום שהיא נמצאת במכס. מלחיץ, נכון ?
בהודעה שנראית די אמינה עם הלוגו של דואר ישראל בתוכה, מופיע גם קישור המפנה לאתר המתחזה לאתר של דואר ישראל שבו תצטרכו להזין את כל הפרטים האישיים ואת פרטי האשראי שלכם כדי "לשחרר" את החבילה שתקועה במכס. זהו לא תרחיש דמיוני, זוהי הודעה אמיתית שקיבלו אלפי ישראלים לפני מספר שבועות וחלקם נפלו קורבן לתרמית.
אם אתם בטוחים שלא הזמנתם אף מוצר מהאינטרנט, סביר להניח שמדובר בנוכלים שמשתמשים בטכניקות של "הנדסה חברתית" (Social Engineering) כדי להפעיל עליכם לחץ לבצע פעולה מסוימת. במקרה הזה, למסור פרטים אישיים רגישים ופרטי כרטיס האשראי.
מה זה הנדסה חברתית
הנדסה חברתית הוא מונח מתחום אבטחת המידע ואחת מהטכניקות השונות שבהם משתמשים נוכלים או האקרים לביצוע מתקפות סייבר. התוקפים מנצלים תכונות פסיכולוגיות אנושיות כדי להונות, לשכנע ולהתחזות לחברות או אנשים מוכרים, וכך לגרום לקורבנות להאמין למה שהם אומרים בטלפון או רושמים להם בהודעה או במייל, ולבצע בעצמם את מה שהם ביקשו מהם לבצע.
ברוב המקרים, הקורבנות ימסרו פרטים אישיים ופרטי אשראי, ובמקרים שבהם מדובר על מתקפה גדולה שמכוונת נגד חברה או ארגון גדול, הם ימסרו מידע רגיש על הארגון או יפתחו קובץ שקיבלו במייל שבתוכו מתחבא וירוס כופר (Ransomware).
תקיפות מבוססות הנדסה חברתית מתבצעות באמצעות שיחת טלפון (וישינג), הודעות SMS (סמישינג), בדואר האלקטרוני או ברשתות החברתיות השונות. לעיתים, התוקפים יישלחו גם מייל וגם הודעת SMS כדי להגביר את תחושת האמינות ולגרום לקורבן למסור את הפרטים הרצויים או להוריד את הנוזקה.
איך נזהרים ונמנעים ממתקפות הנדסה חברתית
ראשית כל, אף פעם אל תזינו את הפרטים האישיים שלכם ואת פרטי האשראי בכל מיני אתרים או טפסים שהגעתם אליהם דרך קישור שמופיע בהודעת SMS, הודעות וואטסאפ או במייל שקיבלתם. תמיד עדיף להיכנס לאזור האישי באתר הרשמי של החברה או השירות שממנו קיבלתם את המייל ולבדוק במה מדובר, או ליצור קשר עם שירות הלקוחות של אותה חברה. מומלץ לחפש את המספר של שירות הלקוחות באתר הרשמי של החברה שממנה כביכול התקשרו.
הימנעו ממסירת מידע לאנשים וחברות שמתקשרים אליכם. אם הם עובדים בחברה או בשירות שבו הם טוענים שהם עובדים, המידע הזה אמור להופיע במערכות שלהם. אם אתם לא בטוחים אם מדובר בנציג שירות אמיתי או מתחזה, מומלץ לנתק את השיחה ולהתקשר לשירות הלקוחות של אותה חברה. ברוב המקרים, הנוכלים ינסו גם להפעיל עליכם לחץ כדי לגרום לכם לעשות את מה שהם רוצים שתעשו בלי לאפשר לכם לחשוב יותר מידי. הישארו רגועים, קחו את הזמן וחשבו היטב לפני שאתם פועלים.
אם מציעים לכם הטבה כלשהי אל תתפתו לקחת אותה ולמסור את הפרטים שלכם. התקשרו לחברה שהציעה לכם את ההטבה ובדקו אם באמת יש הטבה כזאת ואם השיחה שקיבלתם קודם לכן הייתה מנציג שירות או מכירות של אותה חברה.
אל תפתחו מיילים שקיבלתם ממקורות לא מזוהים או מוכרים. אם הסקרנות גברה עליכם ופתחתם את המייל, אל תלחצו על הקישור או הקישורים המופיעים בתוכו, ובשום פנים ואופן אל תורידו ותפתחו את הקבצים המצורפים למייל.
חשבו היטב אילו פרטים, תמונות וסרטונים אתם משתפים ברשתות החברתיות. המידע שאתם משתפים מאפשר לנוכלים לדעת עליכם הכל מבלי להתאמץ יותר מידי. באמצעות המידע שהם אוספים עליכם, הם יכולים להתחזות לאדם מוכר או לחברה שאתם מנויים בה ולהוציא מכם מידע רגיש.