הנדסה חברתית היא שיטת התקיפה בה השתמשו הלילה כדי לפרוץ לטוויטר
מאת: מערכת Telecom News, 16.7.20, 13:20

פרצת האבטחה הקריטית בטוויטר הלילה התמקדה בחשבונות של משתמשים ובעלי פרופיל משמעותיים, ששימשו להפצה של הונאת ביטקוין. מהי הנדסה חברתית, כיצד היא עובדת, איך ניתן לזהותה ואיך מתגוננים? עדכונים בתחתית הכתבה.
 
מחברת אבטחת המידע ESET נמסר, שהחשבונות הפרוצים צייצו: "אני נותן בחזרה לקהילה. כל סכום ביטקוין, שיישלח לכתובת המופיעה מטה - יוכפל ויוחזר לשולח! אם תשלחו 1,000 דולר, אשלח בחזרה 2,000 דולר! ההצעה תקפה ל-30 דקות בלבד".
 
נכון לשעות אלו, ההונאה אכן הצליחה והתוקפים הרוויחו כ-100,000 דולרים עד כה.

צילום מסך של ציוץ לדוגמה:  
במסגרת פרצת האבטחה, האקרים השתמשו בהנדסה חברתית - טכניקת התקפה, שאינה טכנית, ומשמשת עברייני סייבר כדי לגרום למשתמשים, במקרה זה עובדי טוויטר, לעקוף מנגנוני אבטחה או מנגנונים עסקיים אחרים, לבצע פעולות הרסניות או למסור מידע רגיש (במקרה זה השגת שליטה על חשבונות בעלי מספר גבוה של עוקבים). חברת האבטחה מספקת מידע על ההנדסה החברתית:
 
מהי הנדסה חברתית
המטרה של הנדסה חברתית היא לגרום לאחרים לעשות דברים בניגוד לרצונם, או בניגוד לשכל הישר. אך הרבה פעמים, התוקף נשמע משכנע מספיק כדי לגרום לקורבן שלו לשתף פעולה.
 
בהקשר של הונאות מקוונות, הנדסה חברתית מתוארת בתור טקטיקות שלא מתבססות על טכנולוגיה, שבעזרתן האקרים משתמשים כדי לבצע הונאות, לאסוף מידע או להשיג גישה למחשבים של הקורבנות שלהם. הנדסה חברתית מסתמכת על יחסי אנוש והיא מנסה לגרום לסמוך על התוקף עד כדי כך, שלא תחשדו בו לפני שתמסרו לו את הפרטים הפרטיים ביותר שלכם.
 
הונאות כאלו קיימת גם ברשתות חברתיות כמו פייסבוק וליקדאין, שם התוקפים עלולים ליצור איתכם קשר ולנסות לרכוש את אמונכם, לעיתים במשך חודשים ארוכים של התכתבויות, לפני שהסיבה האמיתית ליצירת הקשר נחשפת.
דוגמה שקרתה לאחרונה עם שימוש בלינקדאין - כאן. 
 
כיצד עובדת הנדסה חברתית?
 
רוב טכניקות ההנדסה החברתית לא דורשות אף מיומנות טכנית מצד התוקף, מה שאומר, שכל אחד - החל מפושעי סייבר מתחילים ועד התוקפים המתוחכמים ביותר - יכול לפעול במרחב הזה.
 
יש טכניקות רבות, שנכנסות למטריית המונח הרחב, שנקרא "הנדסה חברתית באבטחת סייבר".
 
הטכניקות הידועות ביותר הן ספאם (דואר זבל) ופישינג (דיוג).
ספאם (הודעות זבל) הן כל תקשורת לא-רצויה הנשלחת בכמות גדולה. רוב הודעות הזבל הן בעצם הודעות דוא"ל, שנשלחות לכתובות רבות ככל האפשר, אך ניתן לשלוח הודעות זבל בכל פלטפורמה - בתוכנות מסרים מיידיים, בהודעות טקסט (SMS) וברשתות החברתיות. חלק מהודעות הזבל גם משמשות להפצת קבצים או קישורים זדוניים. 

דיוג (פישינג) היא צורת התקפה מסוג הנדסה חברתית, שבה עבריין הסייבר מתחזה לגוף אמין כדי לבקש פרטי מידע רגישים מהקורבן. תרמיות מסוג זה מנסות ליצור תחושת דחיפות או להפחיד את המשתמש כדי לגרום לקורבן להיענות לדרישות התוקף. קמפיינים של דיוג יכולים להיות מופנים לכמות גדולה של משתמשים אנונימיים, אך גם לקורבנות ספציפיים ואפילו לקורבן ספציפי יחיד.
דיוג ממוקד היא מתקפת דיוג, שבה הלקוח שולח הודעות מותאמות אישית לקבוצה מצומצמת של נמענים, או אפילו לנמען אחד בלבד, כדי להשיג את הנתונים שברשותם או לבצע פעולות פוגעניות.
ווישינג וסמישינג הן טכניקות הנדסה חברתית, שדומות מאוד לדיוג, כשההבדל מתבטא באמצעי התקשורת המשמש למתקפה. בעוד שמתקפות דיוג מתבצעות באמצעות הדוא"ל, מתקפות ווישינג (דיוג קולי) משתמשות בשיחות טלפון ומתקפות סמישינג (דיוג באמצעות הודעות טקסט) משתמשות בהודעות SMS המכילות תכנים או קישורים זדוניים.

התחזות בעולם אבטחת הסייבר דומה במשמעותה למקבילה שלה בעולם האמיתי. פושעי סייבר מתחזים לזהות אמינה וגורמים לקורבנות לבצע פעולות הפוגעות בהם או בארגון שלהם. אחת הדוגמאות הקלאסיות היא תוקף המתחזה למנכ"ל החברה - כשזה נמצא מחוץ למשרד - ומורה על ביצוע העברות כספים במקומו.  

תרמיות תמיכה טכנית הן שיחות טלפון או פרסומות בהן התוקפים מציעים לקורבנות שירותי תמיכה טכנית מבלי שהקורבנות ביקשו אותם. למעשה, פושעי הסייבר מנסים להרוויח כסף באמצעות מכירת שירותים מזויפים ופתרון בעיות שלא היו קיימות מלכתחילה.  
 
כיצד ניתן לזהות מתקפת הנדסה חברתית?
ישנם מספר דגלים אדומים, שיכולים להצביע על מתקפת הנדסה חברתית. שגיאות תחביר ואיות הן אחד מהסימנים. כך, גם תחושת דחיפות גבוהה, שנובעת מהמסר ומבקשת מהנמען לפעול במהירות ובלי לשאול שאלות. כל בקשה של מידע רגיש צריכה לעורר מיד את פעמוני האזהרה: חברות מהימנות לא מבקשות סיסמאות או פרטי מידע אישיים באמצעות דוא"ל או הודעות טקסט.
 
אלה חלק מהדגלים האדומים המצביעים על מתקפת הנדסה חברתית:

1. שפה גנרית הכוללת שגיאות

ברוב המקרים, התוקפים לא משקיעים תשומת לב רבה בירידה לפרטים, והם שולחים הודעות מלאות בטעויות כתיב ובמילים חסרות שהתחביר שלהן לוקה בחסר. אלמנט בלשני נוסף, שיכול להראות על ניסיון מתקפה, הוא שימוש בביטויי פתיחה וסגירה גנריים. לכן, אם הודעת דוא"ל מתחילה בביטוי "נמען יקר" או "משתמש יקר", כדאי להיזהר.

2. כתובת שולח משונה

רוב שולחי הודעות הזבל לא מקדישים זמן להסוואת שמו של השולח או כתובת האינטרנט שלו, משהו שיכול לגרום להודעה שלהם להיראות מהימנה יותר. לכן, אם הודעת הדוא"ל מגיעה מכתובת, שמורכבת מערבוב של מספרים ותווים אקראיים, או שהכתובת אינה מוכרת לנמען, כדאי לשלוח את ההודעה באופן מיידי לתיקיית דואר הזבל ולדווח עליה למחלקת ה-IT.

3. תחושת דחיפות

ברוב המקרים, העבריינים העומדים מאחורי קמפיינים של הנדסה חברתית ינסו לגרום לקורבנות לבצע פעולות מסוימות מתוך פחד באמצעות ביטויים מעוררי חרדה כגון "שלח לנו את פרטיך מיד, או שהחבילה שנשלחה אליך תוחזר לשולח", או "אם לא תעדכן את הפרופיל שלך עכשיו, נסגור את חשבונך". בד"כ בנקים, חברות שליחויות, מוסדות ציבור ואפילו מחלקות פנימיות של החברה עצמה מתקשרות באופן ניטרלי המבוסס על עובדות. לכן, אם ההודעה מנסה לגרום לנמען לפעול במהירות, היא כנראה זדונית וייתכן שאף מדובר בתרמית.

4. בקשת מידע רגיש

ברוב המקרים, גם חברות חיצוניות וגם מחלקות בתוך החברה לא תבקשנה מידע רגיש באמצעות הדוא"ל או הטלפון, חוץ ממקרים בהם הקשר הראשוני נוצר ע"י העובד עצמו.

5. אם משהו נראה טוב מדי מכדי להיות אמיתי, כנראה שהוא אינו אמיתי

כפי שכלל זה נכון גם להגרלות ברשתות החברתיות, הוא נכון גם ל"הזדמנות עסקית מצוינת אך מוגבלת בזמן" ,שהגיעה לתיבת הדוא"ל שלכם
 
איך נמנעים?
 
צריך לזכור, שמטרת הונאות ההנדסה החברתית היא קודם כל לזכות באמונכם, אז הפושעים שמאחורי אותן הונאות יעשו הכל כדי לגרום לה להיראות אמינה ככל האפשר. אבל יש כמה כללים שיעזרו לכם להימנע מההונאות:
 

1. בנקים, חברות האשראי, רשתות חברתיות ושירותים מקוונים אחרים לעולם לא יבקשו מכם "לעדכן פרטים" או "לאפס סיסמה" בהודעת דואר אלקטרוני. אז מומלץ להתעלם מכאלו הודעות. אם אתם רוצים להיות בטוחים, צרו קשר עם שירות הלקוחות של השירות שכביכול פנה אליכם, אך אל תלחצו על אף קישור ואל תתקשרו לאף מספר טלפון, שמופיעים במייל עצמו.

 

2. הודעות שהן "טובות מכדי להיות אמיתיות" - כמו זכיה בלוטו, אדם, שמבקש להעביר דרככם סכום גדול של כסף ממדינה זרה ואפילו מישהו המציע לכם לקנות רכב במחיר נמוך באופן מחשיד ממחירי השוק, הודעות אלו הן ברוב המקרים הונאות ויש להפעיל את השכל הישר לפני שעונים על הודעות בעלי אופי כזה או דומה.

 

3. מומלץ להשתמש בתוכנות לסינון דואר זבל. תוכנות כאלו יכולות למנוע מהודעות כאלה מלהגיע לתיבת הדואר הנכנס שלכם מלכתחילה, וכך להגן עליכם מההונאה.

 

4. היזהרו מ"הצעות חברות" של אנשים, שאינכם מכירים ברשתות החברתיות, במיוחד אם אין לכם אף חבר או מכר משותף. אנשים רבים נפלו קורבן לנוכלים, שפיתחו איתם קשרי ידידות ארוכים ברשת, עד שבשלב כלשהו נחשף העוקץ כשאותם אנשים ביקשו מהם תמיכה כספית.

 

5. הגנו על המחשב שלכם באמצעות תוכנת אבטחה. וודאו, שמערכת ההפעלה שלכם מעודכנת. זכרו, לאחר שהתקופים זכו באמונכם באמצעות הנדסה חברתית, הם עלולים לנסות להדביק אתכם בתוכנה זדונית כזו או אחרת. לכן חשוב להקפיד להגן על המחשב עם התוכנות המתאימות.

עדכון 16.7.20, 16:45: פול דקלין, חוקר בכיר בחברת אבטחת המידע סופוס, מוסיף ומעדכן לגבי הפריצה לטוויטר - מהן נורות האזהרה שיש לשים לב אליהן:
 
כאמור, חשבונות של מובילי דעה רבים בטוויטר פרסמו הלילה ציוצים מזויפים, שהובילו להונאות מטבע קריפטוגרפי. בין מובילי הדעה המרכזיים היו ג'ו ביידן, אילון מאסק, ברק אובמה, ביל גייטס, החשבון של אפל ורבים נוספים.

הציוצים, על אף שהיו בלתי סבירים, נוסחו בצורה ישירה מאוד, לדוגמא: "בתחושה של הוכרת תודה [כולל שגיאת הכתיב], מכפיל את כל התשלומים שיעשו לכתובת הביטקוין שלי". הציוצים קראו למעשה לאנשים להעביר 1,000 דולרים ולקבל 2,000 דולרים חזרה. כמובן שמדובר בהונאה, אך כל הציוצים האלה הגיעו מחשבונות מאומתים ומוכרים, שהעניקו לציוצים אמינות גבוהה יחסית, בוודאי בהשוואה לדואר אלקטרוני.

בתגובה, טוויטר נקטה בצעד חריג של סגירת חלקים מהשירות לתקופת החקירה, שהיא מבצעת, כולל אפשרויות "ציוץ, אתחול סיסמאות, ויכולות נוספות, כפי שצייץ חשבון התמיכה של החברה.

יש 3 צעדים פשוטים, שכדאי לנקוט:

• אם הודעה נשמעת טוב מידי מכדי להיות אמיתית, היא באמת טובה מכדי להיות אמיתית. אם מאסק, גייטס, אפל, ביידן, או כל אישיות ידועה רוצים לחלק כמות גדולה של כסף מתוך גחמה, הם לא יבקשו, שתמסור להם כסף לפני כן. זה סימן ברור לכך, שהחשבון נפרץ.
• בעסקאות במטבעות קריפטוגרפיים אתה לא מקבל את ההגנה החוקית, שיש לך בתשלום דרך הבנק או חברת האשראי. בביטקוין אין שירות דיווח הונאות או מנגנון לביטול עסקאות. שליחה של מטבעות למישהו היא כמו למסור לו מעטפה עם שטרות. אם הם מגיעים לפושע, לעולם לא תראה אותם שוב. אם יש ספק, אל תשלח.
• בכל הודעה יש לחפש סימנים שהיא אינה אמיתית. עבריינים לא תמיד עושים שגיאות כתיב או טעות בפרטים, אבל לעיתים קרובות זה קורה. לדוגמא, המילה "מוקיר" (grateful) במקרה הנוכחי. לכן אם הודעה מגיעה עם סכום של 50 דולרים כאשר בישראל המטבע הנקוב הוא שקלים, או שמספר הטלפון שגוי לחלוטין, או שההודעה פשוט כתובה בשפה שאינה טבעית, מדובר בנורת אזהרה משמעותית. 

עדכון 31.7.20, 22:45: בפלורידה נעצרו נער בגיל 17 ("המוח" מאחורי הפריצה) ועוד 2 צעירים בגילאי 19 ו-22, שהם אלה שהשתלטו על החשבונות בטוויטר.