מהי הנדסה חברתית?
הנדסה חברתית היא פעולת ניצול חולשות אנושיות בכדי לקבל גישה למידע אישי ומערכות מוגנות. הנדסה חברתית מסתמכת על מניפולציה של אנשים ולא על פריצת מערכות מחשב כדי לחדור לחשבון היעד.
הבנת הנדסה חברתית
לדוגמה, אישה עשויה להתקשר לבנק של קורבן זכר ולהעמיד פנים שהיא אשתו שתובעת חירום ומבקשת גישה לחשבונו. אם האישה תוכל להנדס בהצלחה חברתית את נציג שירות הלקוחות בבנק באמצעות פנייה לנטייתו האמפטית של הנציג, היא עשויה להצליח להשיג גישה לחשבון הגבר ולהיות מסוגלת לגנוב את כספו. באופן דומה, תוקף עשוי לפנות למחלקת שירות הלקוחות של ספק הדוא"ל כדי לקבל איפוס סיסמא שמאפשר לתוקף לשלוט בחשבון הדוא"ל של היעד במקום לפרוץ לחשבון זה.
הנדסה חברתית מתייחסת למניפולציה של יעד כך שהם מוותרים על מידע מפתח. בנוסף לגניבת זהותו של אדם או התפשרות של כרטיס אשראי או חשבון בנק, ניתן ליישם הנדסה חברתית כדי להשיג סודות מסחריים של חברה או לנצל את הביטחון הלאומי.
הנדסה חברתית קשה למטרות פוטנציאליות למנוע. משתמשים באמצעי זהירות כמו שימוש בסיסמאות חזקות ואימות דו-גורמי עבור חשבונות, אך עדיין עלולים להיפגע בחשבונות על ידי צדדים שלישיים עם הגישה לחשבונות שלהם, כמו עובדי בנק. עם זאת, אנשים יכולים להפחית את הסיכון שלהם על ידי הימנעות ממסירת מידע סודי, זהירות בעת שיתוף מידע במדיה החברתית, אי חזרה על סיסמאות, שימוש באימות דו-גורמי, שימוש בתשובות מזויפות או שקשה לנחש לשאלות בנושא אבטחת חשבונות ושמירה על עוקבים מקרוב אחר חשבונות, במיוחד חשבונות פיננסיים.
תוקפים משתמשים לרוב בטקטיקות פשוטות להפליא בתכניות להנדסה חברתית, כמו למשל לבקש עזרה מאנשים. טקטיקה נוספת היא ניצול נפגעי אסון על ידי בקשתם למסור מידע המאפשר זיהוי אישי כגון שמות עלמות, כתובות, תאריכי לידה ומספרי ביטוח לאומי עבור יקיריהם הנעדרים או שנפטרו - מידע שאפשר לשמש אחר כך לגניבת זהות.
התמקדות כאיש מקצוע תומך טכני או כאיש משלוחים הם דרכים קלות לקבל גישה בלתי מורשית לחשבון כמו למשל שליחת דוא"ל לגיטימי לכאורה עם קובץ מצורף זדוני. הודעות דוא"ל כאלה נשלחות לרוב לכתובת דוא"ל עבודה שבה אנשים פחות חשודים כלפי שולח לא ידוע.
ניתן להסוות דוא"ל להופיע כאילו מקורם בשולח ידוע כאשר הם נשלחים בפועל על ידי האקר. טקטיקות מורחבות יותר הממוקדות לאנשים ספציפיים עשויות לכלול למידה על תחומי העניין שלהם ואז לשלוח למטרה קישור הקשור לאינטרס הזה. הקישור יכול להכיל קוד זדוני שיכול לגנוב מידע אישי מהמחשבים שלהם. טכניקות הנדסה חברתית פופולריות כוללות דיוג, דייג חתולים, זנב ים ופיתיון.
