Trace Id is missing
דלג לתוכן הראשי
Security Insider

ניצול של כלכלת האמון: הונאת ההנדסה החברתית

שתף
צללית של אדם שעשויה מקוד, מחזיקה מסיכה ויוצאת מתוך טלפון. אחריהן מופיעות בועות אדומות שמייצגות גורמי איום.

בעולם שהולך והופך ליותר ויותר מקוון, שבו אמון הוא גם כסף וגם פגיעות, גורמי איום שואפים לבצע מניפולציה בהתנהגות אנושית ולנצל את הנטייה של אנשים לרצות להיות מלאי תקווה. באינפוגרפיקה זו, אנו נחקור הנדסה חברתית כולל הסיבה שגורמי איום מעריכים זהויות מקצועיות יותר מכל זהות אחרת בזמן שנדריך אותך לאורך כמה מהדרכים בהן הם מבצעים מניפולציה בטבע האנושי כדי להשיג את היעדים שלהם.

הנדסה חברתית והמשיכה הפלילית של דיוג

בערך 90%1 ממתקפות הדיוג כוללות טקטיקות של הנדסה חברתית שנועדו לבצע מניפולציה בקרבנות - לרוב באמצעות דוא"ל - כדי לחשוף מידע רגיש, לחיצה על קישורים זדוניים או פתיחת קבצים זדוניים. מתקפות דיוג הן חסכוניות עבור תוקפים, מסתגלות כדי לעזור לחמוק מאמצעי מניעה ומתגאות בשיעורי הצלחה גבוהים.

המנופים של התנהגות אנושית

טקטיקות של הנדסה חברתית נוטות להיתלות על השימוש של התוקף בביטחון ובאמונה לשכנע את היעדים שלהם לנקוט בפעולה שעשויות להיות לא אופייניות. שלושה מנופים יעילים הם דחיפות, רגש והרגל.2 דחיפות  אף אחד לא רוצה לפספס הזדמנות רגישה בזמן או לא להצליח לעמוד בתאריך יעד חשוב. תחושת הדחיפות לעתים קרובות יכולה לגרום ליעדים רציונליים להגיע למצב שבו הם מוסרים מידע אישי.
דוגמה: דחיפות כוזבת
הודעת חתימה אלקטרונית: מסמך עבור סקירה וחתימה מבית DocuSign. הודעה חשובה.
”סימן ההיכר של הודעת דוא"ל לדיוע הוא קובץ מצורף מסוג מסוים של מסגרת זמן. הם רוצים לדחוף אותך לקבל החלטה בזמן מקוצר.”
ג’ק מוט - בינת איומים של Microsoft

רגש

מניפולציה רגשית יכולה להביא התוקפים למצב שבו ידם על העליונה, מאחר שקיימת סבירות גבוהה יותר שבני אדם ינקטו בפעולה מסוכנת המצב רגשי גבוה, במיוחד אם פחד, אשמה או כעס מעורבים.

 

לדוגמה: מניפולציה רגשית

”הפיתיון היעיל ביותר שאי פעם ראיתי היה הודעת דוא"ל מאוד קצרה שהיה כתוב בה שחתמנו על חוזה עם בן/ת הזוג שלך להכנת מסמכי הגירושין שלך. יש ללחוץ על הקישור להורדת העותק שלך.”
שרוד דה’גריפו - בינת איומים של Microsoft

הרגל

פושעים הם צופים נלהבים של התנהגות, והם שמים לב במיוחד לסוגי ההרגלים ושהגרות שאנשים מבצעים ”על טייס אוטומטי”, מבלי לחשוב יותר מדי.

 

לדוגמה: הרגל נפוץ

בטכניקה שידועה בשם ”quishing” (דיוג באמצעות קוד QR)3, הנוכלים יתחזו לחברה מהימנה ויבקשו ממך לסרוק קוד QR בהודעת הדוא”ל שלהם. לדוגמה, הם יכולים להגיד שעליך לסרוק את הקוד בגלל שהתשלום שלך מחשבונית לא עבר, או שעליך לאפס את הסיסמה שלך.

”גורמי איום מסתגלים למקצבים של עסקים. הם מעולים בפריסת פיתיונות שנראים הגיוניים בתוך ההקשר של הדברים שאנחנו בדרך-כלל מקבלים מהם.”
ג’ק מוט - בינת איומים של Microsoft

הגבול בין האישיות האישית והמקצועית עובד יכול לפעמים להיטשטש. עובדים יכולים להשתמש בדוא”ל של העבודה שלנו עבור חשבונות אישיים שהם משתמשים בהם לצורך עבודה. גורמי איום לעתים מנסים לנצל את זה על-ידי פניה שנראית כמו אחת התוכניות האלה והכל כדי להשיג גישה למידע ארגוני של עובד.

דיאגרמה שמראה: מועדוני לקוחות, מדיה חברתית, משלוח, נסיעה משותפת, בנקאות/השקעות, הזרמה. דיאגרמה זו מראה דוגמאות לאופן שבו גורמי איום מנסים להשיג גישה למידע ארגוני של עובדים
”בהונאות דיוג בדוא”ל, פושעי סייבר בודקים את ”הפיתיונות” שלהם לכתובות דואר אלקטרוני ארגוניים. כתובות דואר אינטרנט אישיות לא שוות את הזמן שלהם. בכתובות של עבודה יש ערך רב יותר, לכן הם ישקיעו יותר משאבים ומיקוד במתקפה ידנית עדי להתאים אישית מתקפות לחשבונות אלה.”
ג’ק מוט - בינת איומים של Microsoft

”ההונאה הגדולה”

מתקפות הנדסה חברתית הן לרוב איטיות. מהנדסים חברתיים נוטים לבנות אמון עם הקרבנות שלהם לאורך זמן באמצעות טכניקות שדורשות עבודה אינטנסיבית שמתחילות במחקר. המחזור של סוג זה של מניפולציה עשוי להיראות באופן הבא:
  • חקירה: מהנדסים מזהים יעד ואוספים מידע רקע, כמו נקודות כניסה פוטנציאליות או פרוטוקולי אבטחה.
  • חדירה: המהנדסים מתמקדים בביסוס אמון עם היעד. הם יוצרים ספין לסיפור, הם לוכדים את היעד והם משתלטים על האינטראקציה כדי להוביל את לדרך שמועילה למהנדס.
  • קוד ניצול לרעה: מהנדסים חברתיים משיגים את המידע של היעד לאורך זמן. בדרך כלל, היעד מוסר את המידע שלו מרצון, והמהנדסים עשויים להשתמש בו לטובתם כדי להשיג גישה למידע סודי אף יותר.
  • שחרור: מהנדס חברתי יסיים את האינטראקציה בדרך טבעית. מהנדס מיומן יעשה זאת מבלי לעורר חדש כלשהו בקרב היעד

מתקפות BEC נבדלות בתעשיית פשעי הסייבר בשל הדגש שלהן על  הנדסה חברתית  ואמנות ההונאה. מתקפות BEC מוצלות עולות לארגונים מאות מיליוני דולרים מדי שנה. בשנת 2022, מרכז התאימות לפשעים באינטרנט של לשכת החקירות הפדרליות (FBI) תיעד הפסדים מותאמים של מעל USD$2.7 מיליארד על 21,832 תלונות BEC שהוגשו.4

יעדים מובילים עבור BEC הם מנהלים בכירים ומובילים בכירים אחרים, מנהלים פיננסיים, צוות משאבי אנוש שמחזיקים בגישה לרשומות עובדים כגון מספרי ביטוח לאומי, הצהרות מס או מידע אישי ניתן לזיהוי אחר. עובדים חדשים, שהסבירות שיאמתו בקשות דוא"ל לא מוכרות אולי נמוכה יותר, גם מהווים יעד.

כמעט כל הצורות של מתקפות BEC נמצאות בעליה. סוגי מתקפת BEC נפוצים כוללים:5

  • חשיפה לסכנה ישירה של דואר אלקטרוני (DEC): חשבונות דואר אלקטרוני שנחשפו לסכנה משמשים בכללי חשבונאות פנימיים של מהנדס חברתי או של צד שלישי כדי להעביר כספים לחשבון הבנק של התוקף או לשנות את פרטי התשלום עבור חשבון קיים.
  • חשיפה לסכנה של דואר אלקטרוני של ספק (VEC): הנדסה חברתית של קשרי גומלין קיימים של ספק על-ידי חטיפה של דואר אלקטרוני שקשור לתשלום והתחזות לעובדי חברה כדי לשכנע ספק לנתב מחדש תשלום שעדיין לא נפרע לחשבון בנק בלתי חוקי.
  • מזימת חשבונית לא נכונה: מזימה המונית של הנדסה חברתית שמנצלת מותגים עסקיים ידועים כדי לשכנע חברות לשלם חשבוניות מזויפות.
  • התחזות לעורך דין: הניצול של מערכות יחסים מהימנת עם משרדי עורכי דין גדולים ומוכרים, כדי להגדיל את המהימנות מול מנהלים בכירים של חברות קטנות וסטארט-אפים כדי להשלים תשלום של חשבוניות שעדיין לא טופלו, במיוחד לפני אירועים חשובים כמו הצעות ראשוניות לציבור. ניתוב מחדש של תשלום לחשבון בנק בלתי חוקי מתרחשת כאשר מגיעים להסכם לגבי תנאי תשלום.

Octo Tempest

Octo Tempest הוא קולקטיב בעלי מוטיבציה כלכלית של גורמי איום דוברי אנגלית כשפת אם שידועים בשל השקה של קמפיינים בעלי טווח נרחב שהציגו באופן בולט טכניקות יריב בתווך (AiTM), הנדסה חברתית ויכולות החלפת SIM.

תרחיש דיוג: המשתמש מזין סיסמה, MFA, מנותב מחודש; Proxy זדוני מעורב

Diamond Sleet

באוגוסט 2023, קבוצת Diamond Sleet חשפה לסכנה שרשרת אספקה של תוכנה של ספקית תוכנה גרמנית בשם JetBrains, אשר חשפה לסכנה שרתים עבור תהליכי בנייה, בדיקה ופריסה של תוכנה. מאחר ש- Diamond Sleet חדרה בהצלחה לסביבות בנויות בעבר, Microsoft מעריכה שפעילות זו מטילה סיכון גבוה במיוחד לארגונים שנדבקו.

Sangria Tempest6

Sangria Tempest, קבוצה שמוכרת גם בשם FIN, ידועה על שהציבה כיעד את ענף המסעדנות, וגנבה נתוני כרטיסי תשלום. אחד מהפיתיונות היעילים ביותר של קבוצה זו קשור בהאשמה למקרה הרעלת מזון, שאת פרטיה ניתן להציג בעת פתיחה של קובץ מצורף זדוני.

Sangria Tempest, שהיא בעיקרה קבוצה מזרח אירופאית, השתמשה בפורומים מחתרתיים כדי לגייס דוברי אנגלית כשפת אם, שמתורגלים ביצירת קשר עם חנויות בעת מסירת הפיתיון בדוא”ל. הקבוצה גנבה עשרות מיליוני נתונים של כרטיסי תשלום באמצעות תהליך זה.

Midnight Blizzard

Midnight Blizzard היא גורם איום שממוקדם ברוסיה שידועה על כך שהציבה כיעד בעיקר ממשלות, ישויות דיפלומטיות, ארגונים שאינם ממשלתיים (NGO) וספקי שירות IT שממוקמים בעיקר בארה”ב ובאירופה.

Midnight Blizzard מינפה הודעות Teams כדי לשלוח פיתיונות שמנסים לגנוב פרטי כניסה מארגוני יעד על-ידי מעורבות משתמש והוצאת אישור של הנחיות אימות רב-גורמי (MFA).

הידעת?

אסטרטגיית השיום של גורם האיום של Microsoft השתנתה לטקסונומיית שיום חדשה עבור גורמי איום ששואבים השראה מנושאים שקשורים למזג האוויר.

אשימה של איומים טבעיים ואיומי סייבר

אמנם מתקפות הנדסה חברתית יכולות להיות מתוחכמות, אך עדיין ישנם דברים שאתה יכול לעשות כדי למנוע אותן.7 אם אתה מתנהל בחוכמה בנוגע לפרטיות ולאבטחה שלך, תוכל לנצח את התוקפים במשחק שלהם.

תחילה, הנחה משתמשים לשמור על החשבונות האישיים שלהם אישיים ולא לערבב אותם עם תיבות דוא"ל של העבודה או משימות שקשורות לעבודה.

בנוסף, הקפד לאכוף את השימוש ב- MFA. מהנדסים חברתיים בדרך-כלל מחפשים מידע כמו פרטי כניסה. על-ידי הפיכת MFA לזמין אפילו אם תוקף מקבל את שם המשתמש ואת הסיסמה שלך, הוא עדיין לא יוכל להשיג גישה לחשבונות ולמידע האישי שלך.8

אל תפתח הודעות דוא"ל או קבצים מצורפים ממקורות חשודים. אם חבר שולח לך קישור שעליך ללחוץ עליו בדחיפות, אשר מול החבר אם ההודעה באמת הגיעה ממנו. השתהה ושאל את עצמך אם השולח הוא מי שהוא אומר שהוא לפני לחיצה על דבר כלשהו.

השתהה ואמת

היה זהיר מהצעות שנשמעות טובות מדי בשביל להיות מציאותיות. אינך יכול לזכות בהגרלות שלא השתתפת בהן, ואין אף בן מלוכה זר שישאיר לך סכום כסף גדול. אם הצעה נראית מפתה מדי, ערוך חיפוש קצר כדי לקבוע אם ההצעה לגיטימית או מלכודת.

אל תשתף יותר מדי פרטים באינטרנט. מהנדסים חברתיים צריכים שהיעדים שלהם יסמכו עליהם כדי שמזימות יעבדו. אם הם יכולים למצוא את הפרטים האישיים מהפרופילים שלך במדיה החברתית, הם יכולים להשתמש בהם כך שהפרטים יעזרו למזימה שלהם להיראות יותר לגיטימית.

אבטח את המחשבים והמכשירים שלך. השתמש בתוכנת אנטי-וירוס, חומת אש ומסנני דוא"ל. במקרה שאיום מצליח להגיע למכשיר שלך, תהיה לך הגנה שנועדה לעזור לשמור על המידע שלך בטוח.

”כאשתה מקבל שיחת טלפון או הודעת דואר אלקטרוני מפוקפקים, המפתח הוא פחות להאט ולאמת. אנשים טועים כשהם פועלים מהר מדי, לכן חשוב להזכיר לעובדים שהם לא צריכים להגיב מיד לסוגים כאלה של מצבים.”
ג’ק מוט - בינת איומים של Microsoft

קבל מידע נוסף אודות האופן בו תוכל לעזור להגן על הארגון שלך על-ידי צפייה ב סיכון שבאון: איומי הנדסה חברתית והגנות סייבר.

מאמרים קשורים

עצת מומחה לגבי שלושת האתגרים העקביים ביותר של אבטחת סייבר

מנהל קבוצת ניהול, ג’סטין טרנר, יחידת מחקר האבטחה של Microsoft, מתאר את שלושת האתגרים התמידיים שהוא ראה לאורך הקריירה שלו באבטחת סייבר: ניהול תצורה, תיקון ונראות מכשיר
למידע נוסף

פשע סייבר כשירות (CaaS) מקדם עלייה של 38% בהונאה על דואר אלקטרוני עסקי

חשיפה לסכנה של דואר אלקטרוני עסקי (BEC) נמצאת בעלייה עכשיו כשפושעי סייבר יכולים להסתיר את המקור של המתקפות שלהם כך שיהיו אף יותר מרושעות. קבל מידע אודות CaaS וכיצד לעזור להגן על הארגון שלך.
מידע נוסף

Microsoft, ‏Amazon ורשויות החוק הבינלאומי התאחדו במאבק נגד הונאה של תמיכה טכנית

ראה כיצד Microsoft ו- Amazon שילבו כוחות בפעם הראשונה אי פעם, כדי להפיל מרכזי תמיכה טלפוניים לשירות טכני בלתי חוקיים ברחבי הודו.
מידע נוסף

עקוב אחר 'האבטחה של Microsoft'