יוגב מתתיהו

הנדסה חברתית בעולם הדיגיטלי – מהי ואיך נמנעים ממנה?

יוגב מתתיהו
הנדסה חברתית. סביר להניח שנחשפתם אליה מתישהו בידיעתכם ואף ללא ידיעתכם. ולכן חשוב שנכיר אותה ונדע להיזהר ממנה. יוגב מתיתיהו מענף אבטחת מידע בלאומי, בסקירה קצרה על הצד הפחות נעים ברשת, שכדאי שכולנו נכיר...

הנדסה חברתית היא מונח מתחום אבטחת המידע, שמשמעותו מניפולציה על האדם, הגורמת לו למסור מידע בתום לב או לבצע פעולה מרצונו, וזאת, מבלי שיחוש כי “עובדים עליו”.

בכדי להסביר מהי הנדסה חברתית, אספר לכם מקרה שנתקלתי בו לאחרונה.

מספר ימים לאחר רעידת האדמה בנפאל קיבלתי הודעה בפייסבוק מחבר ותיק. בהודעה נכתב “חברים יקרים,  אני תקוע בנפאל ללא כסף או אפשרות להתקשר טלפונית. אני חייב שתעבירו לי כסף לחשבון XXXXXX, כל סכום יעזור” ההודעה הייתה כתובה באנגלית.

מתוך סקרנות נכנסתי לפרופיל שלו לראות מה הוא פרסם והאם העלה תמונות. להפתעתי גיליתי שהוא העלה באותו היום תמונות מאירוע בת”א.

הסתבר כי חשבון הפייסבוק של חבר שלי נפרץ ומישהו החליט לעשות קצת כסף מרעידת האדמה בנפאל.

זו רק דוגמה אחת מיני רבות להנדסה חברתית.

להלן מקבץ מקרים מייצגים:

  1. מייל עם קובץ זדוני – כולנו קיבלנו, יותר מפעם אחת, מייל עם מצגת או סרטון שהנושא שלו “חייבים לראות – קורע מצחוק”, “תמונות מדהימות” או משהו בסגנון הזה. הקובץ המצורף שפתחתם עלול להכיל וירוס או סוס טרויאני שמטרתו לאסוף מידע מהמחשב או מהטלפון שלכם, לבצע פעולות בשמכם, לגנוב את הסיסמאות שלכם ועוד. אז בזמן שאנחנו צוחקים מהמצגת, מישהו אחר צוחק כי השיג גישה למידע שלנו.

אז מה עושים כדי להימנע מקבלת מייל עם קובץ זדוני?

סלקטיביות בפתיחת מיילים – קיבלתם מייל עם קובץ מגורם לא מוכר או לא צפוי? פשוט אל תפתחו את הקובץ.

  1. Phishing (דיוג) – אתם מקבלים הודעה במייל, ב-sms, ברשת חברתית וכו’, עם לינק (קישור), כאשר תלחצו על הלינק תגיעו לדף אינטרנט שנראה כאתר מוכר, בו אתם נדרשים לעדכן פרטים כמו שם משתמש וסיסמה. למעשה אתר זה הוא אתר מתחזה שהקים האקר, במטרה לאסוף את פרטיכם האישיים ולהשתמש בהם.

אז מה עושים כדי להימנע מ-Phishing ?

מבחן “מה בקישור?” – אל תלחצו על הלינק וכמובן אל תזינו פרטים אישיים. באתרים בהם נדרש להזין פרטים אישיים או אמצעי תשלום, מומלץ להיכנס לאתרים ע”י הקלדת כתובת האתר ידנית.

  1. הצעות מפתות – אתם מקבלים מייל המבשר לכם שזכיתם בלוטו ואתם נדרשים להעביר פרטי אשראי כדי לזכות את חשבונכם. או שמישהו יוצר איתכם קשר באמצעות רשת חברתית ואומר לכם שקרוב משפחה שלכם נפטר והוריש לכם כסף, ועל מנת להעביר את הכסף לחשבונכם, עליכם להעביר מספר פרטים.

    הונאה כזאת יכולה להתבצע גם בטלפון, כאשר מישהו מתקשר אליכם ומודיע לכם שזכיתם בסוף שבוע זוגי לצימר והוא רק צריך לאמת את פרטי כרטיס האשראי שלכם על מנת שתקבלו את ההטבה.

אז מה עושים כדי להימנע מהונאות והצעות מפתות?

מבחן ה “It’s Too Good to be True” – אם זה נראה טוב מדי בכדי להיות אמיתי זה כנראה לא אמיתי. אל תמסרו פרטים אישיים לגורמים לא מוכרים.

“לא מדברים עם זרים” – ההורים שלכם בטוח אמרו לכם את זה, והם צדקו!

ואם בכל זאת נפלתם קורבן להנדסה חברתית?

  1. שנו את הסיסמאות בכל האתרים בהם אתם משתמשים בסיסמה שחשודה כפרוצה.
  2. בדקו את דפי החשבון ושימו לב לחיובים בלתי מוסברים.
  3. וודאו כי האנטי ווירוס על המחשב פעיל ועדכני.

תגובות הקוראים (1)

  1. פוני יער

    האפנה היום היא מילוי סקרים בתשלום
    אתם מגלים הכל ל”אח הגדול” בשביל תלושים של חמישים שקל

    הגב

שדות חובה מסומנים בכוכבית

תגובתך הועברה לצוות לאומי בלוג ותפורסם לאחר אישורה.

האם אתה מסכים?