קורבנות ההנדסה החברתית

Gonzalo Álvarez Marañón. El Comercio. Cibernauta. Spain.

החשבת כי כדי לחדור למערכת ממוחשבת נדרשות יכולות טכניות משמעותיות? חשבת כי חובה להכיר את הפרטים הסודיים של פרוטוקולים ומערכות הפעלה בכדי לאתר חורים ודלתות אחוריות? לא רבותי, קיימת דרך פשוטה ויעילה הרבה יותר להשגת סודות שמורים, אשר אינה מצריכה השכלה טכנית איתנה. רק סבלנות, תחקום, ומנה טובה של פסיכולוגיה. השם הוא הנדסה חברתית והיא עתיקה ממש כמו השקר והכזב בעולם.
 
במשך מלחמת העולם השנייה בין שורות צבא גרמנייה נמנה צוות של מנתחי צופן אשר תפקידו היה לפצח התקשורת המוצפנת של בעלי הברית. חייליו התבססו על מתמטיקה ועוד דיסציפלינות מדעיות שהצליחו לפצח עד 50% מהתקשורות של בעלי הברית שנקלטו. לצבא האיטלקי לא היו כוחות פיצוח דומות ולמרות זאת, הצליחו לפענח אחוז גבוה יותר של תקשורות האויב. האסטרטגיה המוצלחת של האיטלקיים התבססה על שוחד, מרמה וליווי ארוטי של מפקדי הכוח הצרפתי בכדי למשוך בלשונם. מקרה זה מהווה דוגמא למופת להנדסה חברתית.
 
בימינו, כאשר מדברים על הנדסה חברתית בתחום האינטרנט, מכלילים תחת מושג זה את סך כל הטכניקות של פיצוח שמטרתן לחדור לרשתות או להשיג מידע מסווג, המבוססות - במקום על המיומנות הטכנית - על רמיית אנשים בכדי שאלו ימסרו סיסמאות ומידע שיערער את אבטחת המערכת תחת מתקפה.
 
מכל מיליוני המשתמשים הגולשים ברשת רק 1% הם מומחים או בעלי השכלה טכנית גבוהה. 99% הנותרים, גם אם הם מומחים כל אחד בתחומם, אינם מכירים את הפעילות הייחודית של האינטרנט, את דקויות התרבות הדיגיטאלית ואת רזי הניסיון הטכנולוגי הדרוש בכדי להעמיק ברבים מן התהליכים ופרוטוקולים.
 
מטרת ההנדסה החברתית היא בדיוק 99% אלו. על מה מבוססת הצלחתה של ההנדסה החברתית? על פנייתה לנטיותיה העמוקות ביותר בנפש האדם: הפחד, התשוקה, החמדנות, ואפילו טוב הלב. הוירוסים המודרניים המופצים באמצעות דואר אלקטרוני, עושים שימוש ברגשות אנושיות בכדי לאלץ את המשתמשים לפתוח את הקבצים הקטלניים המכילים אותם, ובכך לשתף פעולה להפצתם.
עוד שיטות נפוצות הן להתחזות למנהל רשת או טכנאי של ספק אינטרנט בכדי להשיג סיסמאות של משתמשים, לחשבון הדואר, לחשבונו בחנות וירטואלית, לחשבון גישה לשירות בתשלום וכו'.
 

נהוג להפחיד את הקורבנות כך שאלו יאמינו כי חלה בעיה בחשבונם, על ידי מספר תירוצים הגיוניים מעורבים בשטף של משפטים בג'יבריש טכני. כך, ניתן להיות בטוח כי הקורבן אינו מבין מה בדיוק מתרחש. מיד מתבקש המשתמש המבולבל, למסור את סיסמתו כאמצעי יחיד שיכול להחזיר את השירות לפעולה. או מבקשים ממנו לצלצל למספר טלפון מסוים על מנת למנוע - כביכול - חיוב מופרז לחשבון האשראי שלו. שיחה זאת כבר תעלה לו הון.
 
אם ה"מהנדס החברתי" מוכשר, קפדן ובעל דמיון, מעטים אלו שיעמדו בפניו. למעשה, רק 1% מן הגולשים יהיו מסוגלים להתנגד לו.
לעיתים בשל רצון טוב לעזור, לעיתים מתוך פחד להפסיד מידע או כסף, או בשל הרצון להרוויח אותם, ההנדסה החברתית מצליחה כטכניקת תקיפה, ומוצאת באינטרנט קרקע פורייה.
 
הזהירות והחשדנות, כמו בכל מקרה של רמייה, הן ההגנות היחידות של הגולש. אם במשך שיטוטיו ברשת נתקל במצבים מוזרים בהם נדרש למסור מידע רגיש, עליו לבדוק היטב שלא מדובר בזאב בעור של כבש.