Telecom News - מחקר חושף טכניקות שכנוע חדישות של פושעי סייבר

מחקר חושף טכניקות שכנוע חדישות של פושעי סייבר

דף הבית >> חדשות אבטחה ועולם הסייבר >> מחקר חושף טכניקות שכנוע חדישות של פושעי סייבר
מחקר חושף טכניקות שכנוע חדישות של פושעי סייבר
מאת: מערכת Telecom News, 11.3.15, 12:22משה אסרף
 
נחשפו בפני המגזר העסקי 6 מנופי ההשפעה, שמאפשרים לפושעי הסייבר לפרוץ את מערכת ההפעלה האנושית ולחדור לארגונים.

מחקר חדש של אינטל סקיוריטי – Hacking the Human OS גילה, שפושעי סייבר מאמצים טכניקות 'מכירה' והונאה, שמגיעות מהעולם האמיתי, כדי לשאוב מידע רב ערך. המחקר התבצע בשיתוף עם מרכז פשעי הסייבר של ה-Europol והוא חושף את טכניקות השכנוע החדשות, שבהן משתמשים פושעי הסייבר כדי לשכנע עובדים לעשות פעולות, שאחרת לא היו עושים ועי"כ  גורמים לאובדן כספי או לאובדן מידע רב ערך.

המחקר התבצע על רקע גידול מואץ בנסיונות של האקרים לסחוט מידע וכסף תוך הפעלת הגורם האנושי: כשני שליש מהאי-מיילים בעולם הם דואר זבל שנועדו למטרה זו. כתוצאה מצמיחה יוצאת דופן בתחום הפישינג יש כיום כ-30 מיליון כתובת URL חשודות, שזוהו ע"י מעבדות מקאפי. מהצד השני מסתבר, שלמעלה מ-80% מהעובדים אינם מסוגלים לזהות הונאות פישינג בסיסיות, שבהן נעשה שימוש תכוף. עפ"י הדו"ח, כ-18% מהעובדים, שאליהם נשלח מייל זדוני הקורא לפעולה, אכן מבצעים את הפעולה הנדרשת מהם.

בעת שנזקי פשיעת הסייבר מוערכים ב-445 מליארד דולרים בשנה, אינטל סקיוריטי חושפת בפני המגזר העסקי את 6 מנופי ההשפעה, שמאפשרים לפושעי הסייבר לפרוץ את מערכת ההפעלה האנושית:

הדדיות – כשאנשים מקבלים 'משהו' הם נוטים להרגיש מחויבים וכתוצאה מכך להיענות לגורם הנותן.

נדירות – אנשים נוטים לציית כשהם מאמינים, שדבר כלשהו נמצא במחסור. לדוגמה, היענות לאי-מייל מזויף מהבנק הדורש מהלקוח לבצע פעולה כלשהי אחרת חשבונוו ייחסם.

עקביות -  כאשר המותקפים מבטיחים לעשות משהו, בדרך כלל הם עומדים בהבטחתם כיוון שאף אחד לא רוצה להיתפש כבלתי אמין או לא ראוי לאמון. לדוגמה, האקר, שמתחזה לאיש IT של החברה, יצליח להשיג הסכמה של כל עובד לבצע כל פעולה נדרשת בתחום האבטחה. אחר כך הוא ישלב גם דרישה חשודה, שהיא כביכול חלק מדרישות האבטחה הרגילות.

חיבה -  משתמשים נוטים להיענות כאשר הם מחבבים את הפונה אליהם. האקר עלול להשתמש בקסם אישי דרך הטלפון או במייל כדי להתחבב על המטרות שלו, שאינם חושדים בדבר.

סמכות – אנשים נוטים לשתף פעולה כשדרישה מגיעה מדמות סמכותית. לדוגמה, האקר עלול לשלוח אי-מייל למחלקת הכספים שעלול להתחזות כפנייה של מנכ"ל או נשיא החברה.

לחץ חברתי – אנשים נוטים לציית כאשר אחרים עושים זאת. לדוגמה, אי-מייל מתחזה עלול להישלח לקבוצה של עובדים, כשכל אחד מהם עלול לחשוב, שהוא אמיתי – מעצם העובדה, שאחרים קיבלו אתו. 

המחקר מציג שורה של המלצות, שנועדו לבלום ולצמצם את התופעה, הן ברמת חינוך המשתמש, הן ברמת התהליכים הארגוניים והן ברמת הטכנולוגיות הנדרשות. 

 משה אסרף, (בתמונה), מנהל פעילות עסקית, מקאפי (אינטל סקיוריטי) ישראל: "כשחוקרים פריצות סייבר אזי תופעה בולטת היא השימוש בהנדסה חברתית (Social Engineering) כדי לכפות על המשתמש לבצע פעולה, שתאפשר הידבקות בנוזקות. פושעי סייבר הפכו לאחרונה למומחים בניצול התת מודע של עובדים נאמנים, לעתים תוך שימוש בשיטות 'מכירה' מחיי היום יום של כולנו. עסקים חייבים להתאים את עצמם למציאות זו, תוך שילוב אמצעי בקרה ברמת האנשים, התהליכים והטכנולוגיה כדי להתמודד עם התופעה".   
טכניקות שכנוע



 
 
Bookmark and Share