התקפות הנדסה חברתית (Social Engineering) כמו שוד משתמשי Binance שעלה לכותרות השבוע מנצלות את חוסר ההבנה והמודעות של המשתמשים בנוגע לאיומי הסייבר, ומובילות לכך שהם בעצמם מספקים את המידע הקריטי לתוקפים.
במקום לפרוץ ישירות למערכות מאובטחות, התוקפים מנצלים חולשות אנושיות כמו אמון יתר, פחד, לחץ או חוסר תשומת לב כדי להשיג גישה למידע רגיש. אלו דברים ששום אנטי וירוס לא יעזור נגדם, כיוון שהם לא מופנים נגד מערכות ההגנה של המחשב אלא של האדם.
התוקפים יוצרים מצג שווא של אמינות על ידי התחזות לנציגי חברות אמינות, שליחת הודעות שמפעילות לחץ או משחקות על רגשות המשתמשים, והבטחות למידע או תגמול שדורשות מהקורבן לבצע פעולות פזיזות. התוקפים אוספים מידע אישי שזלג לרשת ומשתמשים בו כדי להונות את קורבנותיהם. הרשת האפלה מלאה בפורומים שמציעים למכירה שמות משתמשים ופרטים אישיים של אלפי חברות בינלאומיות.
כבר לא תוקפים רק את החלשים
מה שמפתיע במיוחד בפרשת ביננס הוא פרופיל הקורבנות. בניגוד למתקפות מסורתיות המכוונות לקשישים, אנשים מבודדים או אלו שאינם בקיאים בטכנולוגיה, קורבנות מתקפת ביננס היו ברובם משקיעי קריפטו מנוסים - ציבור שנחשב למתוחכם טכנולוגית, בעל אוריינות דיגיטלית גבוהה ומכיר היטב את עולם העסקים והפיננסים. עובדה זו מדגישה את רמת התחכום שהתוקפים הגיעו אליה.
ההונאה עוצבה בקפידה כה רבה, והשתמשה באיתותים פסיכולוגיים כה מדויקים, שאפילו אנשים שרגילים לשמור על ערנות בסביבה הדיגיטלית נפלו בפח. זוהי תזכורת מטרידה שאוריינות טכנולוגית לבדה אינה מספיקה - הטכניקות הפסיכולוגיות שמפעילים הנוכלים הפכו כה מתוחכמות שכל אחד עלול להפוך לקורבן ברגע של חוסר תשומת לב או לחץ.
המון שיטות, תכלית אחת
אחת השיטות הנפוצות ביותר היא מתקפות פישינג (Phishing), שבהן נשלחות הודעות דוא"ל, הודעות SMS או הודעות ברשתות החברתיות שמתחזות לחברות מוכרות ומבקשות מהמשתמשים למסור מידע אישי או ללחוץ על קישור זדוני.
בנוסף, קיימות מתקפות טלפוניות המכונות וישינג (Vishing), שבהן תוקפים מתחזים לנציגי בנק, חברת אשראי או גורם מוסדי אחר, ומשכנעים את הקורבן למסור פרטי זיהוי.
דרך נוספת היא סמישינג (Smishing), הכוללת הודעות טקסט מפתות או מאיימות שמפנות את הקורבן לאתרים מזויפים או מתקינות תוכנה זדונית על מכשירו.
מתקפות פרה-טקסטינג (Pretexting) אף הן פופולריות, כאשר תוקפים יוצרים סיפורים משכנעים המובילים את הקורבן לשתף מידע רגיש או לבצע פעולות שאינן לטובתו.
מבחן הקשב
התוקפים מנצלים את חוסר תשומת הלב של המשתמשים ומייצרים תחושת דחיפות ולחץ כדי לגרום להם לפעול במהירות וללא חשיבה ביקורתית. הם משתמשים במותגים אמינים כמו בנקים, חברות אשראי ופלטפורמות מסחר דיגיטליות, כך שהקורבן יאמין כי מדובר בפנייה לגיטימית. כך למשל, לקוחות פלטפורמות קריפטו כמו Binance קיבלו הודעות מזויפות ובהן הם עודכנו כי בוצע ניסיון למשיכת כספים מחשבונם ולפיכך נדרש מהם "לאמת את חשבונם".
כדי להלחיץ עוד יותר, מספר דקות לאחר מכן מתקבלת שיחה ממספר לא מזוהה על ידי נוכל שמתחזה לנציג החברה. "הנציג" בסופו של התהליך מבקש מהקורבן לבצע פעולה לא הגיונית (מהצד העסקי) באמצעות בקשה להעביר את הכספים במהירות לארנק אחר - פעולה שאף חברה אמיתית תדרוש.
בפעם הבאה שמתקשר אליכם נוכל, תעשו את זה
לא רק משקיעי קריפטו
חשוב להדגיש כי מתקפות מסוג זה אינן מוגבלות רק לעולם הקריפטו - הן מתרחשות גם בעולם הפיננסי המסורתי, כאשר תוקפים מתחזים לנציגי בנקים, הדואר וחברות אשראי כדי לגנוב פרטי התחברות ופרטי תשלום.
כדי להגן על עצמנו מהתקפות הנדסה חברתית, חשוב להיות מודעים ולנקוט משנה זהירות. לעולם אין למסור פרטים אישיים או סיסמאות בתגובה להודעות חשודות, ויש לבדוק היטב את כתובת השולח והלינקים המצורפים לפני שלוחצים עליהם. מומלץ גם להפעיל אימות דו-שלבי (2FA) על כל החשבונות הפיננסיים ולוודא שכל בקשה להקלדת פרטי זיהוי מגיעה ממקור מאובטח.
בנוסף, יש להימנע מתגובות להודעות שמייצרות תחושת לחץ או דחיפות ולבדוק באופן עצמאי מול החברה הרלוונטית אם אכן מדובר בפנייה אותנטית. שימוש בתוכנות אבטחה ועדכון שוטף של המכשירים יכול גם הוא למנוע התקפות ולזהות ניסיונות חדירה.
לסיכום, הנדסה חברתית היא אחת הדרכים היעילות ביותר שבהן תוקפים גונבים מידע וכספים ממשתמשים תמימים. יכולתם לנצל חולשות אנושיות ולהתחזות לגורמים לגיטימיים הופכת את ההתקפות הללו למסוכנות במיוחד. עם זאת, על ידי שמירה על ערנות, הטמעת הרגלי אבטחת מידע נכונים ושימוש באמצעי הגנה מתאימים, ניתן לצמצם משמעותית את הסיכון ולשמור על המידע הפיננסי שלנו בטוח.
ג'קי אלטל הוא מנהל מעבדת הסייבר בקריה האקדמית אונו