מירי היא מנהלת צוות במחלקת שירות לקוחות בארגון גדול במגזר העסקי. ביום שישי בבוקר מירי קיבלה מייל דחוף מליאת, מנהלת מערכות המידע בארגון בו הן עובדות. במייל ליאת מתארת שהיא מטפלת בתקלה טכנית חמורה ומבקשת את עזרתה הדחופה של מירי. ליאת מבקשת שמירי תקיש על הקישור שצירפה, ובדף שייפתח תקליד את שם המשתמש והסיסמה למערכת המידע הארגונית. כל זאת על מנת לוודא שהמערכת תקינה לאחר סיום הטיפול.
>> לסיפורים הכי מעניינים והכי חמים בכלכלה - הצטרפו לערוץ הטלגרם שלנו
מירי נבהלה מהפנייה הדחופה, מיהרה לבצע את הנחיותיה של ליאת והקישה על הקישור שהפנה לדף המוכר לה כדף הכניסה למערכת המידע הארגונית. מירי הקלידה את שם המשתמש והסיסמה שלה והקישה "אישור". הדף נסגר ולא קרה דבר נוסף.
מירי השיבה בדוא"ל לליאת כי ביצעה את שביקשה. ליאת, ששהתה בחופשה באותו סוף שבוע, השיבה כעבור מספר שעות שאיננה מבינה על מה מירי מדברת.
סייבר בימי קורונה
השבוע מציינים בישראל את שבוע הסייבר. משבר הקורונה והמעבר לעבודה מרחוק הביאו להגדלת היקף צריכת השירותים המקוונים, תוך הסתמכות על תקשורת דיגיטלית ותיווך של אמצעים טכנולוגיים שונים.
מדובר בתקופה בה חוסר הוודאות גדל וחלים שינויים תדירים באופי ההתנהלות של מקומות עבודה רבים. שינויים ארגוניים אלה, לצד שימוש באמצעים טכנולוגיים לצרכי תקשורת, הם כר פורה לתוקפים אשר ששים לנצל את ימי המשבר לניסיונות תקיפה באמצעות פעולות של הנדסה חברתית.
הרשות להגנת הפרטיות במשרד המשפטים מסבירה מהי מתקפת סייבר מסוג של הנדסה חברתית, למה חשוב לארגונים ולעובדים להיות מודעים לכך, איך ניתן לזהות את הסיכונים ומהן ההמלצות להתגוננות ולפעולות במקרים מהסוג הזה.
מהי הנדסה חברתית?
הנדסה חברתית (או Social Engineering) היא מגוון של פעולות אנושיות במרחב הפיזי והדיגיטלי, הנעשות בכוונת זדון, במטרה להשיג מידע מסוים או גישה לנכסים דיגיטליים על ידי יצירת אמון וניצול תמימות הקורבן באמצעות הסחות דעת, התחזות לגורם רשמי ועוד.
מערכות המידע בארגון מספקות שירותים כגון מערכות לניהול משאבי הארגון (ERP), תיבת דוא"ל (פרטית או ארגונית) או מערכת לניהול לקוחות (CRM). שירותים אלה כרוכים בעיבוד מידע אודות משתמשי הקצה, או מידע הנחוץ למשתמש הקצה לשם צרכיו (הפרטיים או במסגרת העבודה). הואיל והמידע נחוץ למשתמש הקצה, הוא מהווה גם מטרה לתוקפים פוטנציאליים.
ברשות להגנת הפרטיות מסבירים כי שימוש בהנדסה חברתית מאפשר לעקוף את מנגנוני האבטחה של הארגון, באמצעות קבלת פרטים אשר מאפשרים לתוקף לגשת למידע, באופן שהמערכת מזהה כלגיטימית.
לדוגמה, באמצעות הנדסה חברתית, התוקף יכול לשכנע את המשתמש לספק לו מידע רגיש כגון שם משתמש וסיסמאות גישה, ובאמצעותם להתחזות לו בעת קבלת הרשאת גישה למערכת.
מה מיוחד בהנדסה חברתית ואיך וירוס ה"קורונה" קשור אליה?
מתקפות סייבר מסוג הנדסה חברתית הן מהמורכבות והמאתגרות ביותר, מכיוון שהן מיועדות בעיקר להוליך שולל אנשים, ולאו דווקא לעקוף אמצעי הגנה טכניים. מדובר בשיטת תקיפה שאינה מבוססת בהכרח על מפגש פרונטלי, אלא על שימוש באמצעים ובטכנולוגיות המאפשרים התחזות, זיוף והטעיה.
מכאן, ששיטת תקיפה זו מועדפת על התוקפים, שכן היא זולה יחסית ואינה דורשת משאבים יקרים, כפי שנדרש לרוב בתקיפות השמות להן למטרה להתגבר על אמצעים טכנולוגיים מתוחכמים להגנת סייבר, במיוחד כשמדובר בארגונים שמשקיעים בטכנולוגיות לאבטחת מידע והחוליה החלשה נותרת המשתמש.
משבר הקורונה והמעבר לעבודה מרחוק הביאו להגדלת היקף צריכת השירותים המקוונים, תוך הסתמכות על תקשורת דיגיטלית ותיווך של אמצעים טכנולוגיים שונים. עם זאת, מדובר בתקופה בה חוסר הוודאות גדל וחלים שינויים תדירים באופן ההתנהלות של מקומות עבודה רבים. שינויים ארגוניים ותפעוליים אלה, לצד שימוש בטכנולוגיה לצרכי תקשורת, הם כר פורה לתוקפים אשר ששים לנצל את ימי המשבר לניסיונות תקיפה על ידי הנדסה חברתית.
מיהו היעד לתקיפה באמצעות הנדסה חברתית?
מתקפות הנדסה חברתית יכולות להיות מכוונות כלפי אנשים פרטיים, במטרה לגרום להם למסור מידע אישי ורגיש, או כלפי עובדים בארגונים למטרת השגת מידע ארגוני ועסקי, כגון גניבת קניין רוחני, השגת סודות מסחריים אחרים, או אפילו לשם עצירה ואף חיסול לחלוטין של פעילות עסקית.
מדוע עובדים מהווים יעד מועדף במיוחד?
בדוגמה שניתנה, הפנייה אל מירי איננה תמימה. מדובר בדוא"ל מתחזה בשיטת הנדסה חברתית המכונה "דיוג" (Phishing), אחת המתקפות השכיחות ביותר בה נעשית פנייה אל עובדים (באמצעות דוא"ל, מסרונים בפלטפורמות השונות או אפילו בשיחת טלפון), תוך הטעייה שתגרום להם להניח שמדובר בפנייה לגיטימית מבעל/ת תפקיד בכיר בארגון, ותוביל אותם לפעול בהתאם להנחיות.
התוקף הסתמך על כך שדעתה של מירי תוסח עקב בהילות ההודעה ושהיא לא תשים לב שכתובת הדוא"ל ממנה נשלחה ההודעה, איננה של ליאת, אלא כתובת דומה מאוד. בנוסף, ניצל התוקף את מעמדה הבכיר של ליאת בארגון ובחר לזייף פנייה בשמה אל מירי, הזוטרה ממנה. זאת מתוך כוונה לנצל את המשמעת הארגונית. לבסוף, בחר התוקף לפנות אל מירי בעיתוי ספציפי שבו מירי תתקשה לאתר את ליאת, היות שמדובר בסוף השבוע וזמינותה תהיה נמוכה יחסית.
מטרת התוקף שהתחזה לליאת היתה להשיג פרטי גישה אל מערכת המידע הארגונית והמידע המעובד באמצעותה. על מנת לקדם את תוכניתו, התוקף ביצע פעולות של הנדסה חברתית, ובכללן ניתוח זהות העובדים בארגון ותפקידם, משלוח הודעה שתביא לפעולה מהירה של הקורבן, וכן הכנת כתובת מייל ודף נחיתה אשר יידמו בצורה מספקת את דף ההזדהות של המערכת.
מרגע שהתוקף מקבל את הפרטים המאפשרים לו גישה, הוא ימהר להשלים את תוכניתו, שיכולה לכלול גניבת מידע, שינוי מידע, איסוף פרטים כדי לקדם את השלב הבא בהתקפה על הארגון ואף הצפנה, מחיקה או שיבוש של המידע, או שינוי הגדרות במערכות הארגון. כל אלה מהווים כמובן אירוע אבטחה חמור וגורמים לנזק קריטי ודרמטי לארגון ולנושאי המידע.
הבנתי שיכולים לנסות "להפיל אותי בפח". מה אפשר לעשות?
אמצעי ההגנה הטוב ביותר להגנה מפני מתקפות הנדסה חברתית הוא לא אחר מאשר הקורבן עצמו. היות שהתוקף מסתמך על כך שיצליח להערים על העובד, הרי שאם העובד יגביר מראש את המודעות וההיכרות עם שיטות הנדסה חברתית, התוקף יתקשה לפעול.
כמובן שהעובד אינו האחראי הבלעדי לשיפור המודעות לסיכון זה, ומחובתה של הנהלת הארגון, והממונה על אבטחת המידע בארגון, להבטיח את רמת המוכנות של בעלי הגישה למערכות הארגון.
המלצות הרשות להגנת הפרטיות במשרד המשפטים:
- היו ערניים גם מחוץ לעבודה - מתקפות הנדסה חברתית אינן מתחילות בהכרח במסגרת הארגונית, אלא פעמים רבות מופעלות במסגרות פרטיות שאינן קשורות במישרין לעבודה.
- פקחו עין לגבי כל פנייה אליכם ברשתות החברתיות, בתיבות הדוא"ל הפרטיות או במסרונים - מי הפונה, מה כתובתו, נוסח הפנייה, תוכן הפנייה, עיתוי הפנייה וכמובן מהן הצרופות.
- לא להילחץ! אם מנהל/ת בכיר/ה בארגון פונה אליכם בהודעה חריגה שאינה מרגישה לכם אותנטית או הגיונית בנסיבות, עליכם לדווח מיד לממונה עליכם. המלצתנו היא לגשת פיזית אל הממונה עליכם או ליצור עמו קשר טלפוני. זכרו - גם מייל הכולל דיווח יכול להוות הונאת הנדסה חברתית, ולכן פנו אליו באופן שיזהה אתכם בוודאות.
- שמרו על פרטי הגישה שלכם למערכות המידע הארגוניות בצורה מאובטחת ושמורה מחשיפה לגורמים בלתי מורשים.
- מומלץ שעובדי ארגונים מסווגים או בעלי תפקידים העוסקים בעיבוד מידע רגיש, יימנעו מפרסום מידע ברשתות החברתיות, אודות הארגון או תפקידם.
- וודאו כי הארגון מבצע מעת לעת תרגילים לבדיקת רמת המודעות וההתמודדות של העובדים עם אירועי אבטחת מידע.
- היו ערניים לשערי כניסה, דלתות (לרבות פתחי חירום) ומעברים שאינם נעולים ומאפשרים כניסה בלתי מבוקרת לאתרים במקום העבודה. זכרו כי מתקפות של הנדסה חברתית מבוצעות גם במרחב הפיזי - לרבות שיחות טלפון, הגעה פיזית, תשאול של הקורבן ובחינת הממשק הפיזי-דיגיטלי של המערכות. היו ערניים לאנשים שאינכם מכירים השוהים במקום עבודתכם. אורחים אמורים להיות מלווים ומזוהים על ידי תג.
- והחשוב מכל – היו מודעים! וגלו ערנות בכל מקרה בו מופנית אליכם בקשה, הצעה, הנעה לביצוע פעולה חשודה, ובמיוחד אם נתבקשתם להקיש על קישור או להוריד קובץ שאינם שגרתיים.