מתקפות הנדסה חברתית

מהן מתקפות הנדסה חברתית?

הנדסה חברתית היא פעולה של מניפולציה על אנשים כדי לחשוף מידע סודי או רגיש.

פעולה זו יכולה להתבצע בטלפון, בדוא"ל או במפגש פנים אל פנים. מדובר בשיטת האיסוף העתיקה ביותר והיא עדיין נפוצה כיום.

לעיתים קרובות משתמשים בהנדסה חברתית יחד עם ספאם ופישינג, שכן היא מעניקה למניפולציה אמינות רבה יותר.

סוגי מתקפות הנדסה חברתית:

  1. פישינג: מתקפה שבה התוקף שולח הודעה מזויפת שנועדה להערים על המשתמש ולגרום לו לחשוף מידע רגיש או להתקין תוכנה זדונית כמו רנסומוור. דוא"ל טוב כמו Avanan יכול לעצור מתקפה זו.
  2. וויסינג (Vishing): פישינג באמצעות שיחות טלפון דרך VoIP. התוקף מתקשר למטרה ומתחזה לארגון מהימן. אין לפתוח שיחות כאלה.
  3. ספיר פישינג (Spear Phishing): פישינג ממוקד שמכוון לאדם או קבוצת יעד ספציפיים, לעיתים כולל מידע רלוונטי כמו מסמכים פיננסיים או אירועים עדכניים.
  4. Credential Dumping: איסוף פרטי התחברות או מסדי נתונים ממערכות, שרתים או אתרים שהותקפו, לשם גישה למערכות אחרות. שימוש בתוכנת ניהול נקודות קצה כמו BigFix מסייע במניעה.
  5. Baiting: השארת התקנים זדוניים (USB, CD) במקומות שקרובים לעובדים, במטרה שהם יחברו אותם למחשבים.
  6. Smishing: שילוב של פישינג והודעות SMS, בהן המשתמשים מונחים ללחוץ על קישורים ולהסגיר מידע אישי.
  7. ספיר פישינג ברשתות חברתיות: שימוש ברשתות חברתיות להפצת תוכנות זדוניות, גניבת מידע אישי וגישה לחשבונות.
  8. Water holing: השארת מערכת או מכשיר פגיע במרחב ציבורי כדי שתוקפים אחרים ינצלו את הפגיעות.
  9. הנדסה חברתית לפלטפורמות ניידות: תוקף מבקש מידע רגיש דרך הטלפון החכם של המשתמש.
  10. Scareware: התקנת תוכנת אנטי-וירוס מזויפת שמתחזה לאיומים ומכחישה מידע, במטרה להטעות משתמשים ולגבות כסף.
  11. Tailgating ו-Piggybacking: שימוש בעובד אחר כדי להיכנס לאזור מוגבל או להשתמש בהרשאות שלו מבלי שידע.
  12. Quid Pro Quo: הצעת תועלת בתמורה לשיתוף פעולה או סודיות לגבי פעולות בלתי חוקיות.
  13. Whaling: פישינג שמכוון למנהלים בכירים, תוך מעקב אחר מידע ברשתות חברתיות ודוא"ל של ההנהלה.
  14. Brute Forcing: “שבירת סיסמאות” על ידי תוכנה שמנחשת סיסמאות במהירות.
  15. Pharming: הונאה שמנתבת משתמשים לאתר מזויף דרך קוד זדוני במכשירם, במקום דוא"ל.
  16. Tapping: האזנה לשיחות טלפון או גניבת מידע מרשת מחשבים.

כיצד למנוע מתקפות הנדסה חברתית:

  1. הימנעו מפתיחת קבצים מצורפים ממקורות לא מוכרים, גם אם ההודעה נראית מהימנה.
  2. אם אתר נראה חשוד או לא לגיטימי, אל תזינו מידע אישי או פיננסי ופנו למנהל ה‑IT.
  3. אל תספקו מידע אישי בטלפון אם לא יזמתם את הקשר עם חברה מהימנה; עדיף לאמת דרך מקור רשמי כמו אתר החברה.
  4. השתמשו באימות דו‑שלבי (2FA) כמו YubiKey לאתרים ואפליקציות, כדי שמי שהסיסמה שלו נחשפה לא יוכל לגשת לחשבון ללא המכשיר הפיזי.

שתף:

פוסטים נוספים: