הנדסה חברתית וקידום אורגני – החולשות של הגולשים
הדרכות לאיומי סייבר ואבטחת מידע
מהו tailgating ?
דמיינו מצב שבו אתם עובדים במקום שדורש כניסה באמצעות כרטיס מגנטי ורק בצורה הנ”ל הדלת תיפתח (המצב המתואר הוא ללא אבטחה פיסית אנושית אבל גם מסכן מקומות עם אבטחה פיסית )
ליד הדלת עומד אדם או אישה שמדברת בטלפון וכאילו עסוקה, מיד כשהעברתם כרטיס ופתחתם את הדלת האיש או האישה תופסים את הדלת ומחייכים או זורקים לכם משפט כגון : ראית מה קרה לפני שתי דק’ פה ליד ? חייזרים נחתו או משהו מזעזע אחר ואתם אפילו לא חושבים שמדובר בפורץ , הוא לא עוטה מסיכה , אין לו משקפי שמש ובנדנה שחורה על הפנים , הוא נחמד , הדעת שלכם ולפעמים גם המודעות מוסחת בגלל חולשה פסיכולוגית אנושית של יחסי אנוש בסיסיים.
הפורץ נכנס למתחם ואתם ממשיכים לעבודה, אם תיידעו מישהו אחראי אולי יאשימו אתכם במחדל או רשלנות .
הסיבה היא אדיבות אנושית , מבוכה , תמימות , נהלי אבטחה לקויים, חוסר מודעות כללית לסכנה של tailgating .
דוג’ נוספת של פריצה \ כניסה לא מורשית למתחם שמור כגון חברות הייטק .
בלובי הבניין יש אבטחה , יש מגנומטר , יש שומרים\מאבטחים אחד או יותר ושער כניסה שנפתח עם כרטיסי עובד
דמיינו עובד שנראה לגיטימי ומתנהג בביטחון וחיוך כאילו החברה וכל הבניין שלו ואפילו מדבר שיחת חולין עם עובדת או עובד הבניין ואז כשאמור לעבור את המחסום שנפתח עם כרטיס עובד , מתעכב , מחפש , מוציא חפצים אישיים מתיקו ורצוי שיהיו חריגים או מביכים כגון תרופות או ארנק עמוס בצורה חריגה ובולטת .
חולשת אבטחה מעין זו תוביל להסחת דעת המאבטח מנהלי אבטחה שאולי לא ברורים או קשוחים מספיק והשומר יאפשר מתוך חולשה אנושית שנקראת אי נעימות לאיש הלא מורשה לעבור ללא כרטיס כי הנ”ל התנהג בצורה מתוחכמת וניצל חולשת אבטחה בטכניקת הנדסה אנושית.
כמה מתקריות הסייבר הגדולות בהיסטוריה קרו וכנראה עוד יקרו בטכניקה של tailgating .
ברמה טכנית הפריצה התבצעה עם מכשור טכני הכי פשוט כגון דיסק און קי עם תוכנה מזיקה שמותקנת אוטומטית בכל מחשב שמחובר לרשת בדר”כ ללא התראה על המחשב ואו ברשת במידה ויודעים לעשות את זה בצורה מקצועית.
דוג’ נוספת :
מישהו מגיע אליכם לעסק ומבקש טובה, אומר שלא מוצא או ממש צריך להדפיס את קורות החיים שלו ומספר סיפור רגשי שעובד על חולשה אנושית של רחמים \ אמפתיה ואדיבות בסיסית למשל :
(סוף סוף ראיון עבודה פה בבניין או אצל השכן של העסק ולא מוצא את המסמך קוח\אישור\מסמךחשוב כלשהו)
אתם מדפיסים לו ומאחלים לו יום טוב ובהצלחה .
בהנדסה אנושית זה נקרא החדרת וירוס\טרוייאני או קוד שפותח גישה כלשהי למערכת מאובטחת.
המונח מגיע מתחום באבטחת מידע ומאפיין את השימוש בתכונות וחולשות של בני אדם לטובת סייבר .
יש הקוראים לתחום גם לוחמת סייבר.
הנדסה חברתית היא טכניקה אחת מיני רבות שהאקרים מוצאים אותה יעילה מאוד , טכניקה זו בעצם במילים פשוטות מאפשרת להאקרים וגם לאנשים לא מקצועיים ולא רק באבטחת מידע אלא בטכנולוגיה בכלל לקבל שליטה על פרטי כניסה לאתרים , לאפליקציות , למאגרי מידע , למקומות פיסיים , למקומות רגישים שקיים פיקוח והגבלה על הנחשפים והנכנסים אליהם.
דוג’ נוספות של שימוש בהנדסה חברתית :
יצירת אתרים משוכפלים \ מזוייפים \ דומים \ הצעות שקריות כגון הנחה משמעותית על רכיבים שבאתר מקורי עולים הרבה יותר ומי מאיתנו אוהב לשלם ביוקר?
מיילים מזוייפים המציעים הנחות ומבצעים שקשה לסרב להם כגון :
- מגיע לך כסף
- בוא לעשות כסף בקלות\בלי לעבוד \ בלי השקעה \ בלי להתאמץ (מי מאתנו אוהב לעבוד קשה?)
- מודעות דרושים מזויפות בכדי לאסוף נתונים אישיים לדוג’ קורות חיים לתפקידים מסוימים מכילים ת.ז ושם מלא כמו גם כתובת, טלפון, מצב משפחתי, היסטוריה של מקומות עבודה , תחומי עניין .
- מסרונים מזויפים – למשל חברה סלולרית או יס הוט וכאלו עם הצעות שקריות כדי לפתות את הגולש ללחוץ וגם אם לא ימלא פרטים עדיין יבצע כניסה לעסק שאולי משלם על תנועה באינטרנט אליו.
- מודעות מזויפות במדיה החברתית על קופונים \ נופשים \ דילים \ סלולרי וכל מה שכל אחד מאתנו היה משלם יותר בדרך בטוחה ולגיטימית.
קיימות שיטות נוספות (וקטורים נוספים של הנדסה חברתית) שלא בטוח לדבר עליהן ועל אחת כמה וכמה לפרסם אבל …