לאחר שהבהרנו את המניעים שיגרמו לאחרים לתקוף אותנו, נעבור לבחון את ההיבט הפסיכולוגי שמאחורי התקיפה, ונבין איך נוכל להיזהר ממנה | אחרי הפישינג, הכירו את ספיר-פישינג, וישינג, סמישינג, קיורשינג ועוד שיטות רבות שמשמשים האקרים למניפולציות כלפינו | הפרק השישי בסדרת הסייבר
מרים פרצמן 11.01.2024עולם התקיפות כנגד הגורם האנושי נקרא עולם ההנדסה החברתית. 'הנדסה חברתית' היא שם חגיגי לאוסף המניפולציות שבהן משתמש הגורם הזדוני, על מנת לגרום לקורבן לבצע את מה שהוא רוצה.
"בתוך העולם של ההנדסה החברתית יש מספר דרכים לגרום לקורבן ליפול בפח", מסביר גיא דגן, מייסד חברת 'קונסיינטה' מקבוצת יעל. "זה מתחיל בפישינג – שנקרא בעברית 'דיוג', אימיילים זדוניים או מתחזים; עובר דרך ספיר פישינג – דיוג ממוקד אל אנשים ספציפיים; וישינג – שיחות טלפון זדוניות ("שלום, אני מתקשר מחברת הגלישה שלך. תוכל לתת לי הרשאה למחשב כדי לבדוק כמה דברים נחוצים?); סמישינג – הודעות SMS זדוניות; קיורישינג – סריקות קודי QR זדוניים, ועוד הרבה שיטות שונות שבאמצעותן יכול ההאקר לבצע עלינו מניפולציה".
ארבע מי יודע
גיא דגן מחלק את המניפולציות הפסיכולוגיות שההאקרים אוהבים להשתמש בהן בהנדסה החברתית לארבעה דפוסים:
הידד, אני מיליונר
הדפוס הראשון הוא 'שיטת המתנת חינם'. ההאקר עובד על תאוות הבצע או על התמימות שלנו, על מנת לגרום לנו לבצע את הפעולה אותה הוא רוצה שנבצע.
"זכיתם!" מכריז המייל באותיות חגיגיות מאירות עיניים, "בהגרלת דירת שלושה חדרים של חברת נתיבות צדקותנו".
אני לא מאמין, אני לא מאמין, אתם ממלמלים בכהות חושים, אני לא מאמין שזכיתי. הידד! אני מיליונר! "למימוש הזכייה לחץ כאן", ממשיך להכריז המייל. אתם נרגשים ממש. לא משנה שמעולם לא קניתם כרטיס הגרלה לחברת נתיבות צדקותנו. אתם רוצים, הרי, לממש את ההטבה.
ברגע שאתם לוחצים על הלינק – הופך ההאקר שלכם למיליונר.
"אף אחד לא מחלק מתנות חינם", חוזר ומתרה דגן. "אם לא היה לכם דוד עשיר בסין הוא לא נפטר ולא הוריש לכם מיליונים, ואם לא קניתם כרטיס בלוטו הוא לא זכה. שלמה המלך אמר 'שונא מתנות יחיה', וגם באזור הזה הוא צדק. לא מאמינים לזכיות, לא לוחצים על קישורים".
הצילו! פרצו אליי!
הדפוס השני עובד על הלחץ או הפחד שלנו. כשאדם נמצא בלחץ המוח שלו ננעל ולא חושב נכון, ואת הפחד והפאניקה הללו אוהבים ההאקרים לנצל.
"משתמש יקר, הסיסמה שלך נחשפה וקבצים מהגיבוי נפגמו. לסידור התקלה התקשר במהירות למספר הנ"ל". הודעה כזו מלחיצה את המשתמש שבטוח שהמחשב שלו בסכנת הכחדה, וגורמת לו לעשות מעשים טפשיים. לא מתקשרים למספר הנ"ל, מנחה דגן. מתקשרים לאיש מקצוע לשאול אותו מה צריך לעשות.
מה, באמת?
הדפוס השלישי עובד על הסקרנות שלנו. רכילויות הרצות ברשת הן דבר מגונה, ובעולם הסייבר הן מגונות אף יותר. כשאדם מקבל רכילות כלשהי יצר הריגוש שלו גובר, וההאקרים מודעים לנטייה הזו ואוהבים לנצל אותה.
"הפתגם 'הסקרנות הרגה את החתול' נכון עד כדי כאב. לא נופלים בפח, לא מתרגשים מרכילויות", דגן מזכיר שוב ושוב. "אם חשוב מאוד לברר משהו לצורך תועלתי מבררים אותו באופן עצמאי, לא משתמשים בקישור שטרח מישהו לשלוח לכם".
עוד פעם קובץ, מה יכול לקרות…
הדפוס האחרון משתמש בשגרה שמעוורת אותנו. השגרה מרדימה את החושים של הטובים ביותר, וגורמת לאמצעי הזהירות שלו לישון. אדם שרגיל לקבל עשרות קבצי קורות חיים ביום – מפסיק להיות ערני לזהירות הנדרשת, ועלול ליפול בפח.
האקרים מודעים לעובדה הזאת, ומנצלים את השגרה כדי להפיל אנשים בפח. הקובץ המאה ואחת של קורות החיים שנשלחים אליכם עלול להיות נגוע בווירוס.
לאנשים שמתוקף עבודתם מקבלים קבצים רבים מאנשים שונים יש תוכנות ייעודיות המונעות מווירוסים להיכנס אליהם. לאחרים, המקבלים עדכונים שוטפים מהעירייה ומבתי הספר של הילדים – מומלץ לא להוריד קבצים או ללחוץ על קישורים עד שהם מוודאים שהמייל הגיע מהמקור אותו הוא מתיימר להציג, גם אם הם מקבלים את העדכונים הללו באופן שגרתי.
תחשבו בהיגיון
"הכל חותר למשוואה אחת", מסכם דגן. "כל אחד מארבעת הדפוסים הללו משתמש במניפולציות שמעוורות אותנו, כי ברגע שאנחנו מתרגשים, סקרנים, מפחדים או תאווי בצע, אנחנו נאטמים ולא חושבים בהיגיון. אנו לא עוצרים לשים לב לפרטים, ואז פועלים באופן אוטומטי ונופלים.
"ברגע שנבין שאלו המניפולציות ונזהה אותן, נוכל להבחין שזו הונאה ולא ניפול אליה".
16/01/2024 10:36
זה מדהים לקרוא את הכתבה ולהבין את כל הסיפורים ששמעתי מהסביבה שלי איך כל סיפור נופל לקטגוריה משלו.
כמו משרד פרסום שפרצו להם למחשבים ודרשו כופר או כל המיילים שירושה של איזה נסיך ניגרי מחכה לך רק אם תשלח דמי טיפול…
תודה על הכתבה!